مهندسی اجتماعی هنر بهرهگیری از روانشناسی انسانی به جای تکنیکهای فنی هک در جهت دستیابی به سیستمها ، داده ها و یا ساختمانها است .
به عنوان مثال به جای تلاش برای یافتن آسیب پذیری نرم افزار یک مهندس اجتماعی ممکن است با یک کارمند تماس گرفته و خود را بعنوان یک فرد پشتیبان فناوری اطلاعات معرفی کند و سعی کند کارمند را فریب دهد تا رمز عبور خود را بازگو کند.
حتی اگر هنگام برقراری امنیت دیتاسنتر خود تمام موارد امنیتی شامل بهروشهای امنیت اطلاعات و امنیت فیزیکی را رعایت کنید و سرمایه گذاری در فن آوری های دفاعی ، سیاست ها و فرایندهای امنیتی مناسبی را در پیش بگیرید و آنها را به خوبی پیاده سازی کنید. و حتی به صورت مستمر آنها را بروز و کامل کنید بازهم یک مهندس اجتماعی حیله گر می تواند راه خود را از طریق مهندسی اجتماعی به تجهیزات شما باز کند.
ثابت شده است كه مهندسي اجتماعي يك روش بسيار موفق براي يك مجرم است كه بتواند وارد سازمان شما شود. هنگامی که یک مهندس اجتماعی رمزعبور کارمند قابل اعتماد سازمان را داشته باشد ، می تواند به سادگی وارد سیستم شده و از اطلاعات حساس شما استفاده کند. مجرمان می توانند با داشتن کارت دسترسی یا کد دسترسی به داده ها سرقت دارایی ها را انجام دهند .
در مقاله Anatomy of a Hack ، یک کارشناس تست نفوذ با استفاده از اطلاعات عمومی موجود در شبکه های اجتماعی و یک پیراهن 4 دلاری سیسکو که وی از یک فروشگاه خریداری کرده بود به صورت غیرقانونی وارد یک سازمان میشود این پیراهن به وی کمک کرد تا پذیرش ساختمان و سایر کارمندان را متقاعد کند که وی یکی از کارمندان سیسکو است که برای بازدید از تجهیزات آمده است همچنین این شخص زمانی که وارد شد توانست به اعضای دیگر تیم خود نیز دسترسی ورود غیرقانونی بدهد. وی همچنین موفق به اتصال چندین USB حاوی بدافزار Malware به سیستم های این شرکت شد .
البته برای انجام حمله مهندسی اجتماعی نیازی به خرید تیشرت سیسکو ازفروشگاه نیست. این شیوه از طریق ایمیل تلفن یا شبکه های اجتماعی کار می کنند. آنچه که در حملات مهندسی استفاده میشود این است که آنها از عامل انسانی به نفع خود استفاده می کنند ، طمع ، ترس ، کنجکاوی و حتی تمایل برای کمک به دیگران مواردی هستند که مورد سوء استفاده قرار میگیرد .
مجرمان ممکن است هفته ها و یا حتی ماه ها برای آشنایی با هدف قبل از برقرار تماس و یا مراجعه وقت بگذرانند این مدت زمان آماده سازی برای آنها است که ممکن است شامل یافتن لیست تلفن های داخلی شرکت یا چارت سازمانی و تحقیق در مورد کارمندان در سایت های شبکه های اجتماعی مانند LinkedIn یا Facebook باشد.
یک مهندس اجتماعی ممکن است تماس گرفته و وانمود کند که یک کارمند همکار یا یک مقام خارج از منافع معتبر است (مانند وکیل قانونی شرکت و یا حسابرس).
“آیا می توانید در را برای نگه دارید؟ من کارت کلید خود را همراه ندارم.” چند بار این حرف را در ساختمان خود شنیده اید؟ در حالی که ممکن است فرد سؤال کننده مشکوک به نظر نرسد ، این یک تاکتیک بسیار متداول است که توسط مهندسین اجتماعی استفاده می شود.
شبکه های اجتماعی انجام حملات مهندسی اجتماعی را آسان تر کرده اند. مهاجمان امروزی می توانند به سایت هایی مانند LinkedIn بروند و کلیه کاربرانی را که در یک شرکت کار می کنند پیدا کنند و اطلاعات مفصلی را که می توانند برای بیشتر حمله استفاده کنند را بدست بیاورند .