Wikipedia.org definerer Social Engineering som "... praksisen med å innhente konfidensiell informasjon ved manipulering av legitime brukere." Disse brukerne vanligvis har kunnskap om de verdipapirene som beskytter mot angripere, og kan bli lurt til å gi bort informasjon som ville gjøre det mulig for en angriper å få tilgang.
Sosiale ingeniører bruker en praksis kalt "con spillet" for å få tillit til noen som har autorisert tilgang til et nettverk. Angriperen bruker denne tilliten til slutt føre målet brukeren å avsløre sensitiv informasjon.
En sosial ingeniør rettet vanligvis svakheten til brukeren som er noen ganger sin karisma eller naturlig hjelpsomhet. Det er de mest nyttige brukere som går ut av deres måte å gi den sosiale ingeniør med informasjonen de normalt ikke ville få lov til å gi ut. "Appell til forfengelighet, appellere til autoritet, og gammeldags avlytting er typiske social engineering teknikker" (State of Wisconsin DET). Et mål kan heller ikke være klar over sikkerhetsrisikoen, eller kan gjøre det ut av uforsiktighet for sikkerhet.
Det finnes flere forskjellige metoder en sosial ingeniør kan bruke til å få informasjon fra en legitim bruker. Social engineering kan foregå på to nivåer, et vesen fysisk og den andre psykisk. Eksempler på fysiske innstillinger har telefon, arbeidsplassen, søppel og internett. En social engineering kan bare speide en arbeidsplass for dokumenter som inneholder sensitive opplysninger eller se en brukertype i deres passord. Noen kunne også kle seg ut som en ansatt eller arbeidstaker å få tilgang til områder de ellers ikke har tilgang til.
Den vanligste typen av social engineering er over telefonen. Helpdesk er vanligvis den mest utsatt for dette angrepet. Den sosiale ingeniør kaller help desk og imiterer noen i en posisjon av autoritet eller relevans å trekke informasjon. Et eksempel på dette trikset er relatert til PBX, "Hackers er i stand til å late som de ringer fra innsiden av selskapet ved å spille triks på sentralen eller selskapet operatør, så innringer-ID er ikke alltid det beste forsvar. Her er et klassisk PBX trick, omsorg av Computer Security Institute: "Hei, jeg er din AT & T rep, jeg står fast på en stang.
Jeg trenger deg til å sparke en haug med knapper for meg. "" (Securityfocus). Siden det er jobben av help desk å være "nyttig" og imøtekomme til publikum så mye som mulig; det er veldig lett for dem å gi opp sensitiv informasjon som ellers ville virke ufarlig i naturen