Wikipedia.org define Ingeniería Social como "... la práctica de obtener información confidencial mediante la manipulación de usuarios legítimos." Estos usuarios suelen tener conocimiento de los valores que protegen de los atacantes, y pueden ser engañados para regalar la información que permitiría a un atacante obtener acceso.
Los ingenieros sociales utilizan una práctica llamada la "estafa" para ganar la confianza de alguien que ha autorizado el acceso a una red.
El atacante utiliza esta confianza para dirigir finalmente, el usuario de destino para revelar información sensible. Un ingeniero social generalmente se dirige a la debilidad del usuario, que es a veces su carisma o amabilidad natural. Son los usuarios más votos que salen de su manera de proporcionar al ingeniero social con la información que normalmente no se les permitirá dar a conocer. "Apelar a la vanidad, apelar a la autoridad, y el espionaje a la antigua son técnicas típicas de ingeniería social" (Estado de Wisconsin DET).
Un objetivo también puede no ser consciente de las implicaciones de seguridad, o puede hacerlo por descuido de la seguridad
.
Hay varios métodos diferentes de un ingeniero social podría utilizar para obtener información de un usuario legítimo. La ingeniería social puede tener lugar en dos niveles, uno de ellos física y la otra psicológica. Ejemplos de configuraciones físicas incluyen teléfono, el lugar de trabajo, basura, y el Internet.
Una ingeniería social podría simplemente explorar un lugar de trabajo para los documentos que contengan información sensible o ver un tipo de usuario en su contraseña. Alguien también podría vestirse como un empleado o trabajador para acceder a las áreas que de otra manera no tendrían acceso.
El tipo más común de la ingeniería social es a través del teléfono. Mesas de ayuda suelen ser los más propensos a este ataque. El ingeniero social llama a la mesa de ayuda e imita a alguien en una posición de autoridad o relevancia para sacar información.
Un ejemplo de este truco se refiere al PBX: "Los hackers son capaces de fingir que están llamando desde el interior de la corporación al jugar una mala pasada a la central o el operador de la empresa, de modo de identificación de llamada no siempre es la mejor defensa. He aquí un truco PBX clásico, importa del Instituto de Seguridad Informática: "Hola, soy su representante de AT & T, estoy atrapado en un poste. Necesito que perfora un montón de botones para mí. '"" (Se