Wikipedia.org definerer Social Engineering som "... den praksis at få fortrolige oplysninger ved manipulation af legitime brugere." Disse brugere har normalt kendskab til de værdipapirer, der beskytter fra angriberne, og kan blive lokket til at give væk de oplysninger, der ville gøre det muligt for en hacker at få adgang.
Sociale ingeniører bruger en praksis kaldet "con spil" for at vinde tillid person, der har autoriseret adgang til et netværk. Angriberen bruger denne tillid til at i sidste ende føre målet brugeren til at afsløre følsomme oplysninger.
En social ingeniør normalt rettet mod den svage brugeren som undertiden deres karisma eller naturlig hjælpsomhed. Det er de mest nyttige brugere, der går ud af deres måde at give den sociale ingeniør med oplysninger, de normalt ikke ville få lov til at give ud. "Appel til forfængelighed, appellere til myndighed, og gammeldags aflytning er typiske social engineering teknikker" (State of Wisconsin DET). Et mål kan også være opmærksom på de sikkerhedsmæssige konsekvenser, eller kan gøre det ud af skødesløshed for sikkerhed.
Der er flere forskellige metoder en social ingeniør kunne bruge til at få oplysninger fra en legitim bruger. Social engineering kan finde sted på to niveauer, det ene er fysisk og andre psykologiske. Eksempler på fysiske rammer omfatter telefoner, arbejdspladsen, papirkurv, og internettet. En social engineering kunne simpelthen spejder en arbejdsplads for dokumenter, der indeholder følsomme oplysninger eller se en bruger indtaste deres kodeord. Nogen kunne også klæde sig ud som en medarbejder eller arbejdstager at få adgang til områder, de ellers ikke ville have adgang til.
Den mest almindelige form for social engineering er over telefonen. Hjælp skriveborde er som regel de mest tilbøjelige til at dette angreb. Den sociale ingeniør kalder helpdesk og imiterer en person i en position af autoritet eller relevans til at trække oplysninger. Et eksempel på dette trick vedrører PBX, "Hackere er i stand til at lade som om de ringer inde fra selskabet ved at spille tricks på PBX eller virksomheden operatør, så opkalds-id er ikke altid det bedste forsvar.
Her er en klassisk PBX trick, pleje af Computer Security Institute: "" Hej, jeg er din AT & T rep, jeg sidder fast på en pæl. Jeg har brug for dig til at slå en masse knapper for mig. "" (SecurityFocus). Da det er en opgave for help desk at være "nyttige" og appellerer til offentligheden så meget som muligt; det er m