Sự phát triển mạnh mẽ của internet, nhu cầu kết nối máy tính để phục vụ cho công việc, đáp ứng các yêu cầu thông tin tự động cả outsite và inside. Sự kết nối này là cơ hội giúp các hacker tiếp cận với nhân viên. Các hoạt động tấn công như email, pop- up windows, instant message sử dụng trojan, worm, virus...gây thiệt hại và phá hủy tài nguyên máy tính. Social engineer tiếp cận với nhân viên và thuyết phục họ cung cấp thông tin, thông qua những mưu mẹo, hơn là làm nhiễm malware cho máy tính thông qua tấn công trực tiếp. Một cuộc tấn công Social engineering có thể giúp cho hacker thu thập được những thông tin cần thiết, chuẩn bị cho một cuộc tấn công mạnh mẽ khác sau đó. Vì thế, phải có lời khuyên và những khuyến cáo cho nhân viên, là làm thế nào để nhận diện và tránh các cuộc tấn công Social engineering trực tuyến.
Các mối đe dọa từ Email (Email Threats): Nhiều nhân viên nhận được hàng
chục hàng trăm mail mỗi ngày, từ cả các hoạt động kinh doanh, và từ hệ thống email riêng. Khối lượng email nhiều có thể làm cho việc kiểm tra email trở nên khó khăn hơn, và mức độ cảnh giác đối với email mạo danh cũng giãm đi. Đó chính là cơ hội cho hacker mạo danh người gửi là một người quen để dụ dỗ nạn nhân cung cấp những thông tin cần thiết.
Một ví dụ của tấn công kiểu này là gửi email đến các nhân viên nói rằng ông chủ muốn tất cả lịch nghỉ của nhân viên để tổ chức một cuộc hợp. Chỉ đơn giản là làm cho email gửi đến nhân viên bắt nguồn từ ông chủ. Các nhân viên vì không thận trọng nên đã cung cấp thông tin yêu cầu một cách không ngần ngại. Sự hiểu biết về lịch trình nghỉ của nhân viên có thể không là mối đe dọa gì đến bảo mật, nhưng nó có ý nghĩ với hacker, biết được khi nào nhân viên vắng mắt. Hacker sau đó có thể giả dạng nhân viên vắng mặt, và có thể giảm thiểu khả năng bị phát hiện.
Vụ lừa đảo liên quan đến email, thường mục tiêu là ngân hàng, công ty thẻ tín dụng, hoặc tổ chức liên quan tài chính. Email yêu cầu người nhận xác nhận thông tin ngân hàng, hoặc đặt lại email, mã số PIN. Người dùng click vào một đường link trong
email, và được dẫn đến một trang web giả mạo. Hacker nắm bắt thông tin có lợi cho mục đích tài chính hoặc chuẩn bị cho một cuộc tấn công khác. Trong các cuộc tấn công, con mồi là những người dùng bình thường, họ chỉ biết cung cấp những thông tin mà hacker yêu cầu. Vì vậy, phía cần phòng chống là các công ty cung cấp dịch vụ, làm sao cho hacker không thể giả mạo.
Các ứng dụng pop-up và hộp hội thoại( Pop-Up Applications and Dialog Boxes): Không thực tế các nhân viên sử dụng internet không chỉ cho mục đích làm
việc của công ty. Hầu hết nhân viên duyệt Web cho các lý do cá nhân, chẳng hạn như mua sắm hoặc nghiên cứu trực tuyến. Thông qua trình duyệt cá nhân của nhân viên hệ thống máy tính công ty có thể tiếp xúc với các hoạt động của Social Engineer. Mặc dù điều này có thể không là mục tiêu cụ thể của hacker, họ sẽ sử dụng các nhân viên trong một nỗ lực để đạt được quyền truy xuất vào tài nguyên công ty. Một trong những mục đích phổ biến là nhúng một mail engine vào môi trường máy tính công ty thông qua đó hacker có thể bắt đầu phising hoặc các tấn công khác vào email của cá nhân hay của công ty.
Hai phương thức thông thường để lôi kéo user click vào một nút bấm bên trong một hộp hội thoại là đưa ra một cảnh báo của vấn đề, chẳng hạn như hiển thị một thông báo lỗi ứng dụng hoặc hệ thống, bằng cách đề nghị cung cấp thêm dịch vụ - ví dụ, một download miễn phí các ứng dụng tăng tốc máy tính. Với những nhân viên có kinh nghiệm (nhân viên IT chẳng hạn) không dễ bị mắc lừa bởi kiểu lừa bịp này. Nhưng với các user thiếu kinh nghiệm thì các phương thức này có thể đe dọa và lừa được họ.
Bảo vệ user từ các ứng dụng pop-up Social Engineering phần lớn là một chức năng của sự ý thức. Để tránh vấn đề này, bạn có thể thiết lập cấu hình trình duyệt mặc định sẽ ngăn chặn pop-up và download tự động, nhưng một vài pop-up có thể vượt qua thiết lập này. Sẽ hiệu quả hơn để đảm bảo rằng người dùng nhận thức được rằng họ không nên bấm vào cửa sổ pop-up, trước khi có sự ý kiển của nhân viên phòng IT.
Instant Mesaging Có một số mối đe dọa tiềm tàng của IM khi nó được hacker
nhắm đến. Đầu tiên là tính chất không chính thức của IM. Tính tán gẫu của IM, kèm theo đó là lựa chọn cho mình một cái tên giả mạo (nickname), nghĩa là sẽ không hoàn toàn rõ ràng khi bạn đang nói chuyện với một người mà bạn tin rằng bạn đã quen biết. Hình minh họa dưới đây chỉ ra spoofing làm việc như thế nào, cho cả e-mail và IM.