Mittels Social Engineering (soziale Manipulation) sollen Menschen dazu gebracht werden Handlungen auszuführen oder Informationen preiszugeben, die sie unter anderen Umständen vielleicht nicht weitergeben oder ausführen würden. Die Täter setzen bei dieser Form des Angriffs auf den Faktor Mensch als Schwachstelle unter der Ausnutzung menschlicher Eigenschaften wie Vertrauen, Hilfsbereitschaft oder Angst, um diese Menschen zu manipulieren.
Dabei haben sie es auf Kontodaten, Anmeldeinformationen sowie persönliche oder geschäftliche Informationen abgesehen, um diese für weitere Angriffe zu nutzen. Sie treten als staatliche Stelle, Autoritätsperson oder vertrauenswürdige Marke auf. Erzeugen Angst und Handlungsdruck, oder appellieren an die Habgier und Neugier der Menschen.
Für Unternehmen könnte es bedeuten, dass eine Person anruft und sich als Systemadministrator ausgibt mit dem Ziel an Login-Daten zu gelangen oder dafür zu sorgen, dass der Mitarbeitende eine präparierte Webseite aufruft. Die Angreifer gehen bei dieser Methode oftmals sehr koordiniert vor. Über Soziale Medien sammeln sie Informationen über Mitarbeitende und Ihre Vorlieben, um während des Gesprächs eine persönliche Beziehung zum Opfer aufzubauen, nutzen Fachjargon oder drohen damit sich an einen Vorgesetzten zu wenden, sollte sich das Opfer querstellen.
Häufig werden auch Phishing E-Mails eingesetzt, um zu versuchen die Empfänger zu manipulieren. Die E-Mails sind dabei so aufgebaut, als ob sie von einer vertrauenswürdigen Stelle oder Person stammen. Zum Teil sogar von Personen, die der Empfänger persönlich kennt, wie zum Beispiel der Vorgesetzte.
Eine weitere Social Engineering Art ist das Baiting. Das Opfer wird mit einem Köder gelockt um vertrauliche Informationen Preis zugeben. Als Beispiel dient hier die Betrugsmasche mit einem Anwalt, der den Nachlass einer reichen verstorbenen Person regeln muss und nun Kontodaten benötigt. Weitere Beispiele sind mit Malware infizierte Spiele- oder Softwaredownloads, oder das absichtliche Auslegen von mit Malware infizierten Wechseldatenträgern wie USB-Sticks.
Darüber hinaus gibt es noch Scareware, die beim Opfer Angst erzeugen soll durch gefälschte Bescheide von Anwälten oder Strafverfolgungsbehörden. Aber auch das Tailgating bei dem eine unbefugte Person einer anderen folgt, um in Bereiche zu gelangen die sonst nicht zugänglich wären. In digitaler Form wäre es das Verwenden eines unbeaufsichtigten aber noch angemeldeten Computers.
