مهندسی اجتماعی سوء استفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است، که به کمک مجموعه‌ای از تکنیک‌ها، فرد را به فاش کردن اطلاعات یا انجام کارهایی خاص متقاعد می‌کند.

مهاجم به جای استفاده از روش‌های معمول و مستقیم نفوذ جمع‌آوری اطلاعات و عبور از دیواره آتش برای دسترسی به سیستم‌های سازمان و پایگاه داده‌های آن، از مسیر انسان‌هایی که به این اطلاعات دسترسی دارند و با استفاده از تکنیک‌های فریفتن آنها، به جمع‌آوری اطلاعات در راستای دستیابی به خواسته‌های خود اقدام می‌کند.

حمله‌های مهندسی اجتماعی از دو ناحیه سرچشمه می‌گیرند:

  • داخلی
  • خارجی

چرخه حملات مهندسی اجتماعی

سارا گارتنر در مقاله‌ای راجع به روش‌های دفاع در مقابل حملات مهندسی اجتماعی، اذعان کرد هر جرمی دارای الگوی متداولی می‌باشد. برای مهندسی اجتماعی نیز الگویی وجود دارد، که قابل تشخیص و قابل جلوگیری می‌باشد. این الگو به صورت چرخه‌ای در شکل نشان داده شده‌است. این چرخه شامل چهار مرحله، جمع‌آوری اطلاعات، برقراری ارتباطات بهره‌کشی و عمل و اجرا است، که مانند تکه‌های پازل به هم مرتبط و وابسته‌اند.

  1. جمع‌آوری اطلاعات
  2. برقراری ارتباطات
  3. بهره‌کشی
  4. عمل و اجرا