הנדסה חברתית הנה ניצול תכונות אנושיות על מנת לקבל גישה או מידע רגיש הקשור בקרבן.
תוקף יכול להפעיל כריזמה אישית ולא יעורר חשד. הוא יתחזה בצורה מוצלחת ולעיתים אף יגבה עצמו בפרטי מידע מזהים אותנטיים, יישמע אמפטי ואמין בכדי לגרום למותקף לספק לו מידע איתו יוכל לפעול אצל גורמים אחרים בחברה לשם הזדהות. לחילופין הוא יכול לגרום למותקף להאמין כי מדובר באישיות בעלת סמכות המעוניינת לספק לו צורך כלשהו. מהרגע שהתוקף קנה את אמון המותקף הדרך קלה לביצוע המתקפה הן בהשגת מידע רגיש או התקנת תכנה, הורדת קובץ למחשב ועוד.
הטכניקות המוכרות ביותר בתחום ההנדסה החברתית הן:
הודעות פישינג (דיוג)
שיטה זו גורמת לחשיפת מידע רגיש ממשתמשים בשירותי רשת. פושעי סייבר מתחזים לזהות אמינה וגורמים לקורבנות לבצע פעולות הפוגעות בהם או בארגון שלהם. למעשה, פושעי הסייבר מנסים להרוויח כסף באמצעות מכירת שירותים מזויפים ופתרון בעיות שלא היו קיימות מלכתחילה. תרמיות מסוג זה יכולות להיות מופנות לכמות גדולה של משתמשים אנונימיים ומנסות ליצור תחושת דחיפות או להפחיד את המשתמש כדי לגרום לקורבן להיענות לדרישות התוקף. סוגי מתקפות פישינג נוספות הן:
Spear fishing
מתקפה המתמקדת בקרבנות ספציפיים ושולחת הודעות המותאמות אישית כדי להשיג את הנתונים שברשותם, התוקף יוצר הודעה המותאמת אישית למשתמש באמצעות מידע הקשור למקבל ההודעה. מתקפה דומה נקראת בשם סמישינג (SMS) ועושה את אותה פעולה בצורת תקשורת שונה- על ידי הודעת טקסט המכילה קישורים זדוניים.
ספאם (הודעות זבל)
הן כל תקשורת לא-רצויה הנשלחת בכמות גדולה. רוב הודעות הזבל הן בעצם הודעות דוא"ל, שנשלחות לכתובות רבות ככל האפשר, אך ניתן לשלוח הודעות זבל בכל פלטפורמה – בתוכנות מסרים מיידיים, בהודעות טקסט (SMS) וברשתות החברתיות. חלק מהודעות הזבל גם משמשות להפצת קבצים או קישורים זדוניים. בחדשות השנה האחרונה ניתן לראות את מתקפת הפישינג מכה חדשים לבקרים בהודעות שיצאו לעיתונות נרשם כי נראה זינוק של פי 3 בהיקף מתקפות הפישינג בישראל לעומת השנה שעברה. ע"פ נתוני חברת הסייבר קספרסקי, שמתבססים על מידע שהגיע מהאפליקציות שלה, זוהו כ-896,479 מקרי ניסיונות פישינג בהם המשתמשים לחצו על הקישור שמוביל לנוזקה.
עוד נראה, כי במהלך הרבעון הראשון של 2020 חלה עלייה של 350% באתרי הפישינג בעולם כאשר רוב האתרים מנצלים את מגיפת הקורונה. מתחילת השנה זוהו יותר מ-40,000 אתרים חדשים, שנרשמו תוך שימוש בשם הקשור לנגיף הקורונה, ומסווגים כאתרים בעלי סיכון גבוה.
"ההשפעה הגלובלית של מגיפת הקורונה", נכתב בדו"ח שפורסם על ידי חברת קספרסקי, "יחד עם חוסר אמון בממשלות ובתקשורת כמקורות מידע אמינים, יצרה בסופו של דבר את הסערה המושלמת עבור פושעי רשת. אנשים מחפשים כל הזמן מקורות מידע חדשים, ופושעי הרשת ניצלו את ההזדמנות לרווחתם האישית".
אירועים אלו מייצגים עד כמה קל לגרום לכאוס בעזרת שימוש במכשירים פשוטים מאוד ובטכניקות לעיתים חסרות תחכום בכדי לגנוב כסף, לרמות את התקשורת, ואפילו לרמות את האנשים החזקים בעולם לכדי שיתוף המידע האישי שלהם בעזרת לא יותר ממכשיר טלפון וכתובת דוא”ל. כיום, כל מנהלי החברות יודעים, כי ההנדסה החברתית הנה מההתקפות הקשות למניעה ולמעקב. בלחיצת לינק בודדת של עובד שהתפתה או לחילופין במסירת מידע בהיסח הדעת, יכול מידע יקר מפז לדלוף לתוקף שישמח לקבלו.