Pred samotným útokom si útočník zistí informácie potrebné o obeti alebo o organizácii z verejne dostupných zdrojov. Na základe informácií nadviaže útočník s obeťou kontakt, vybuduje si u nej dôveru a zmanipuluje ju. Na konci je zvyčajne odovzdanie citlivých údajov či finančná transakcia.
Pretexting:
Vytvorenie fiktívnej identity alebo presvedčivého scenára s cieľom získania dôvernej informácie.
Predstieranie:
Útočník sa predstaví ako dôveryhodná osoba alebo inštitúcia, aby získal dôveru obete.
Dôvera:
Budovanie dôverného vzťahu s obeťou cez sériu interakcií alebo zdieľaných skúseností, ktoré pôsobia autenticky.
Zvedavosť:
Poslanie infikovaného súboru s lákavým názvom, ktorý obete otvoria.
Strach alebo naliehavosť:
Útočník vytvorí falošný pocit, aby prinútil obeť k okamžitej akcii.
Zneužitie autority:
Fejk osoby s autoritou, napríklad vedúceho pracovníka alebo technickej podpory.
Niečo za niečo:
Útočník ponúkne niečo hodnotné výmenou za informácie alebo prístup.
Sociálny dôkaz:
Príklady alebo odporúčania od iných osôb, ktorým obeť dôveruje, aby útočník legitimoval žiadosť alebo akciu.
Technické šarlatánstvo:
Použitie technických alebo odborných termínov na vytvorenie zdania autority alebo na zamlčanie pravdy.
Záplava informácií:
Množstvo informácií, výhovoriek alebo zdôvodnení, aby útočník zahltil obeť a znejasnil situáciu.
Tieto piliere môžu byť kombinované alebo upravené podľa konkrétnej situácie alebo cieľa. Hlavnou obranou proti sociálnemu inžinierstvu je vzdelanie a povedomie o týchto technikách a príznakoch.
Obrana zahŕňa školenia a osvetu zameranú na zvyšovanie povedomia používateľov o rizikách a typoch sociálneho inžinierstva. Kľúčový je však výcvik v identifikácii podozrivých požiadaviek a komunikácií.
ESET Príručka o technikách sociálneho inžinierstva, CSIRT.SK, Wikipedia