Social engineering là phương pháp phi kỹ thuật đột nhập vào hệ thống hoặc mạng công ty. Đó là quá trình đánh lừa người dùng của hệ thống, hoặc thuyết phục họ cung cấp thông tin có thể giúp chúng ta đánh bại bộ phận an ninh. | Sau đây là một ví dụ về kỹ thuật tấn công social engineering được Kapil Raina kể lại, hiện ông này đang là một chuyên gia an ninh tại Verisign, câu chuyện xẩy ra khi ông đang làm việc tại một công ty khác trước đó: “Một buổi sàng vài năm trước, một nhóm người lạ bước vào công ty với tư cách là nhân viên của một công ty vận chuyển mà công ty này đang có hợp động làm việc chung. Và họ bước ra với quyền truy cập vào toàn bộ hệ thống mạng công ty. Họ đã làm điều đó bằng cách nào?. Bằng cách lấy một lượng nhỏ thông tin truy cập từ một số nhân viên khác nhau trong công ty. Đầu tiên họ đã tiến hành một nghiên cứu tổng thể về công ty từ hai ngày trước. Tiếp theo họ giã vờ làm mất chìa khóa để vào cửa trước, và một nhân viên công ty đã giúp họ tìm lại được. Sau đó, họ làm mất thẻ an ninh để vào cổng công ty, và chỉ bằng một nụ cười thân thiện, nhân viên bảo vệ đã mở cửa cho họ vào. Trước đó họ đã biết trường phòng tài chính vừa có cuộc công ta xa, và những thông tin của ông này có thể giúp họ tấn công hệ thống. Do đó họ đã đột nhập văn phòng của giám đốc tài chính này. Họ lục tung các thùng rác của công ty để tìm kiếm các tài liệu hữu ích. Thông qua lao công của công ty, họ có thêm một số điểm chứa tài liệu quan trọng cho họ mà là rác của người khác. Điểm quan trọng cuối cùng mà họ đã sử dụng là giả giọng nói của vị giám đốc vắn mặt này. Có thành quả đó là do họ đã tiến hành nghiên cứu giọng nói của vị giám đốc. Và những thông tin của ông giám đốc mà họ thu thập được từ thùng rác đã giúp cho họ tạo sự tin tưởng tuyệt đối với nhân viên. Một cuộc tấn công đã diễn ra, khi họ đã gọi điện cho phòng IT với vai trò giám đốc phòng tài chính, làm ra vẽ mình bị mất pasword, và rất cần password mới. Họ tiếp tục sử dụng các thông tin khác và nhiều kỹ thuật tấn công đã giúp họ chiếm lĩnh toàn bộ hệ thống mạng”. Nguy hiểm nhất của kỹ thuật tấn công này là quy trình thẩm định thông tin cá nhân. Thông qua tường lửa, mạng riêng ảo, phần mềm giám sát giúp rộng cuộc tấn công, bởi vì kỹ thuật tấn công này không sử dụng các biện pháp trực tiếp. Thay vào đó yếu tố con người rất quan trọng. Chính sự lơ là của nhân viên trong công ty trên đã để cho kẽ tấn công thu thập được thông tin quan trọng.
