Se define ingeniería social (en este entorno) como la obtención de información confidencial por medio de la interacción humana.
El tipo de información que un atacante quiere conseguir puede ser variable, pero cuando el objetivo es un individuo, los atacantes suelen tratar de engañar a las víctimas con el fin de obtener sus contraseñas, información bancaria, o acceder a su ordenador para instalar software malicioso.
A diferencia de otros tipos de ataques, la ingeniería social no se refiere a una manipulación tecnológica aprovechando las vulnerabilidades de hardware o software y no requiere habilidades técnicas. En cambio, este tipo de ataque explota las debilidades humanas - falta de cuidado o el deseo de ser cooperativo - para acceder a las credenciales de red de un usuario legítimo. Los talentos que son más útiles al intruso que utiliza esta técnica son los llamados “don de gentes”, como tener una personalidad encantadora, o persuasiva, o un mando de autoridad.
Muchos profesionales de seguridad consideran que el eslabón más débil de la cadena de seguridad es el ser humano. Algunos ataques comunes de ingeniería social incluyen correo electrónico de un “amigo” que contiene un enlace o un archivo para descargar (con software malicioso incrustado), o solicitud de ayuda ...