2 Potenciální hrozby zabezpečení sítí
2.6 Útoky spojené s pojmem sociální inženýrství

Sociální inženýrství (Social Engineering) je definováno jako proces získávání důvěrných informací pomocí lidské interakce.

Typy informací, které se hackeři tímto způsobem pokoušejí získat, mohou být velmi odlišné. Avšak pokud jsou cíleně klamáni jednotlivci, pak se hackeři hlavně zaměřují na získávání různých typů hesel, citlivých bankovních údajů (např. přístupových údajů k bankovním účtům), případně jak získat kontrolu resp. přístup do jejich počítačů využitím skryté instalace škodlivých programů.

Na rozdíl od jiných typů útoků, sociální inženýrství nemá žádnou spojitost s využitím technických slabin počítačového hardwaru nebo softwaru a samo o sobě ani nevyžaduje přilíš rozsáhlé technické dovednosti. Namísto toho tento typ útoku využívá zcela přirozených lidských slabostí – jakými jsou např. nepozornost, naivita nebo přílišná důvěřivost či touha se sdružovat s ostatními a registrovat se v rámci různých komunit a seskupení na Internetu. Všechny tyto slabosti umožňují útočníkovi získat přístup k legitimním síťovým oprávněním, která následně zneužije. Schopnosti a dovednosti, které jsou pro útočníka těmi nejužitečnějšími, se opírají o techniku, která bývá v anglické literatuře označována termínem people skills, a mezi které lze zcela jistě zahrnout kouzlo či charisma osobnosti nebo třeba i autoritativní či přesvědčivé vystupování.

Mnoho bezpečnostních analytiků považuje za nejslabší článek v bezpečnostním řetězci právě člověka, resp. lidský faktor, který bývá svými slabostmi velmi často ovlivněn ve svém chování. Mezi časté a dnes již zcela běžné útoky sociálního inženýrství patří podvrhnuté e-mailové zprávy zaslané od „přátel“, které však obsahují odkazy nebo přímo soubory ke stažení s přiloženým škodlivým softwarem, nebo které vás žádají o pomoc a očekávají vaši okamžitou reakci či posílání falešných e-mailů z bankovních institucí, které vás vyzývají k zadání vašich přihlašovacích údajů k bankovnímu účtu, apod. V posledních dvou předchozích případech se jedná o podvodnou techniku nazývanou phishing.