Wikipedia.org definieert Social Engineering als "... de praktijk van vertrouwelijke informatie verkrijgen door manipulatie van legitieme gebruikers." Deze gebruikers hebben meestal kennis van de effecten die beschermen tegen aanvallers, en kan worden misleid in het weggeven van de informatie die een aanvaller in staat zou stellen om toegang te krijgen.
Sociale ingenieurs een praktijk genaamd de "con spel" te winnen het vertrouwen van iemand die de toegang tot het netwerk is toegestaan.
De aanvaller maakt gebruik van dit vertrouwen om uiteindelijk tot de beoogde gebruiker om gevoelige informatie te onthullen. Een sociaal ingenieur richt meestal de zwakte van de gebruiker die soms hun charisma of natuurlijke behulpzaamheid. Het is het meest behulpzame gebruikers die gaan uit van hun manier om de sociale ingenieur met informatie die ze normaal niet zou worden toegestaan om uit te geven te bieden. "Oproep aan ijdelheid, een beroep op gezag, en ouderwets afluisteren zijn typische social engineering-technieken" (State of Wisconsin DET).
Een doel kan ook niet bewust van de gevolgen voor de beveiliging, of kan het doen uit onachtzaamheid voor de veiligheid.
Er zijn verschillende methoden een social engineer kan gebruiken om informatie in te winnen van een legitieme gebruiker. Social engineering kan plaatsvinden op twee niveaus, waarvan een fysieke en de andere psychologische. Voorbeelden van fysieke instellingen voorzien van een telefoon, de werkplek, prullenbak, en het internet. Een social engineering kon gewoon scout een werkplaats voor documenten met gevoelige informatie of kijken naar een gebruiker typt zijn wachtwoord.
Iemand kan ook verkleden als een werknemer of de werknemer om de toegang tot gebieden die ze anders niet zouden toegang hebben tot krijgen.
De meest voorkomende vorm van social engineering is via de telefoon. Helpdesks zijn meestal de meest vatbaar voor deze aanval. De social engineer noemt de helpdesk en imiteert iemand in een positie van gezag of de relevantie van informatie te trekken.
Een voorbeeld van deze truc heeft betrekking op PBX, "Hackers zijn in staat om te doen alsof ze belt vanuit het bedrijf door te spelen trucs op de PBX of het bedrijf operator, zodat de beller-ID is niet altijd de beste verdediging. Hier is een klassieke PBX truc, zorg van het Computer Security Institute: "'Hallo, ik ben je AT & T rep, ben ik vast op een paal. Ik heb je nodig om een bos van knoppen punch voor mij. "'' (SecurityFocus). Want