社交工程:
假想某Internet服务提供商(ISP)打给用户的一个简单电话

李: 您好,我是Columbia internet安全部门的李**,请问王**在吗?
王: 我就是.
李: 好极了.我们现在在Columbia internet,是您的internet提供商,这段时间以来网络的病毒活动日益猖獗,为了想您和Intenet社区提供更好的服务,我们希望您能允许我们对您通过网络接收的邮件中的附件进行病毒扫描.请注意我们并不想阅读您的任何邮件,仅是扫描而已也不会以任何方式影响您的使用电子邮件.
王: 好的,听起来很棒!需要我做什么?
李: 我们能够在我们这边设置好所有的事情,此外,为合法起见,需要确认您就是帐号持有人.您的用户名是thx1138,对吗?
王: 是的.
李: 那么所需要确认的是您的口令了.
王: 没问题,是......

  上述谈话并不是ISP和它的可户的电话交流,李实际上是一个想入侵本地银行数据库的黑客,而王是某位新任数据库管理员.就如李所希望的,王的Internet帐号和内部的银行访问使用的是同一个口令,因此李就可以通过拨号直接访问银行系统,她早就知道这一方法,只是先前提供不了认证信息.与使用烦琐而且缓慢的口令破解不同,她只用2分钟的电话就得到了想要的信息.
  她所使用的方法就是社交工程(Social Engineering).即通过欺骗和舞蹈使别人帮助她事实攻击.通常,这甚至在人们意识到他们正在损害自己的安全性之前就已经完成了.

(1)假冒权威：

  黑客可以使用多种方法使别人泄露信息或者提供访问权限,而这些信息和权限本应受到保护.现实中,黑客可能混用几种方法,以创造最能达到目的的适当环境.
  黑客通常可以简单地使受害者相信他们就是那些需要信息的人士,从而获得想要的信息.通过假扮成某个上司,如关系疏远的副总裁,黑客通常只需询问就可以得到任何信息.对现今规模比较大或者地域分布比较广的公司来说,绝大部分员工都不认识所有的上司的情况非常平常.
  黑客并不需要假扮成任何实际存在的人,只需能够有权索取想要的信息或者权限即可.通过出示伪造的徽章,黑客很同意就可以声称他是便衣警察.并以此身份进入运行服务器的房间.在Internet上,黑客可以向邮件列表或者新闻组发出关于入侵的安全警告,并提供解决问题的指令,而实际上该指令经过巧妙的设计,能使他访问系统.只要其中有足够显眼的标题和时髦的行话,很可能就会有很多人上当受骗,去执行这些指令.

我是安全官员:
  黑客走进某个软件公司的程序设计部门.她告诉经理自己来自安全部门,需要在每台机器上安装新的病毒定义文件,因此需要所有用户把他们的屏幕保护程序口令告诉他.然后他开始逐台机器地安装用语记录用户击键记录的程序,该程序在每天晚上把这些记录发送到某个秘密邮件帐号.这样,他不仅通过桌面得到了所有的口令,同时也记录了这些用户的所有动作,以及他们可以访问的所有其他机器的口令.

（2）假扮
  假扮类似拟与假冒权威,黑客试图使别人相信他们 有权做随后所做的事情.这里，黑客伪装成某个实际人物,因此是另一种版本的假冒权威.
  黑客很难站在你面前并假扮成你所认识的某个人.然而,在电话、电子邮件、聊天或者短信里做到这一点就相对容易多了。黑客可以通过阅读电子邮件来模仿别人的写作风格，并且从中得到足以证明他就是你的那个朋友的个人信息。一旦使你确信他就是所假扮那个人，黑客通常就会请求对于该人而言不会引以怀疑的信息或访问权限。

  我们就可能遭遇此类的攻击。例如：有时某个同时前往新的客户站点，进入他们的服务器机房，在乃接受不到移动电话信号，此时我们接受到他发自该处的电子邮件，并允许其对我们的信息进行访问。幸运的是，这些请求都是可信的，但是为了加快工作速度（而没有采取严格的人证措施），我们也可能已经被欺骗。

(3)同情
  黑客所使用的最可靠的方法之一是使自己看上去必须获得所请求的任何信息--使某些人为他们感到遗憾并愿意提供帮助。假如某个来自市场部的人声称他需要重置其口令，否则他就无法即使设计出广告，那样上司就会炒了他。尤其是如果他的述说长而复杂，管理员通常会对他感到同情，并尽力帮助他，很可能会忘记应该检查并确认他就是所声称的那为员工，从而违反了防止该类似攻击所需遵循的策略。
  博取同情是数以百万的人在他们日常生活中使用的方法，黑客也使用这一方法来获得对有用信息的访问权限。

(4)个人利益
  黑客发现，如果他们营造一个能够影响欺骗的人的场景，就能得到更多的合作。例如，如果黑客诡计中的场景在真实情况下会给受害人造成麻烦，则他可能得到比仅使用同情策略更多的支持。

工资单的问题
一个秘密的安全顾问假装来自财务部门的员工，前去访问系统管理员。声称她进入不了系统。他结实说需要在系统中运行某些重要的程序，否则工资单就会被延误。此时，系统管理员可能会给予她超过所需的权限，以绝对保证不会对工资单--包括该管理员的薪水---的计算造成任何障碍而使其延误.

(5)改善自我感觉
使某些人自我感觉良好能够使他们更易于欺骗。当人们被奉承时，总是倾向与继续被奉承，而放松先前所应有的警惕。

个人游历：
黑客进入某个热情的经理的房间。他使该经理确信自己是来自市场部的新员工，并对开发部门的产品很感兴趣。因此，他可能得到这位经理将近一小时的深入介绍，以让她了解公司产品的开发方法、代码的存放地点、各台机器上所运行的程序，甚至可以得到网络协议的拷贝。做到这一切，只需假装出兴趣和好奇心，并奉承经理，赞美各个部分结合得如何之好。这个易上当的经理实际上大致泄露了那些最易受攻击的机器，以及系统的弱点所在。如果这些还不够，另一方面是他在这一过程中曾经多次输入口令。任何一个真正的黑客都知道如何观察人们输入口令，同时又装作未加注意。这种喝着咖啡交谈得到的信息，如果用通常的方式，则需要长时间的端口扫描和PING扫射---和可能导致大量的自动警告。

(6)不引人注意的职业
  只要伪装成来自天燃气公司、电力公司、电话公司或者环境服务部门的员工，黑客通常就可以访问某些受限区域。一般情况下，这些专业人士就好象配有某种不可见盾牌---除非绝对必要，他们不会被注意。这些就是黑客想要调查并加班的理想专业人员。通常，黑客只需穿上环境服务部门的同意服装，就能够在办公事里到处逛，寻找写有口令的贴纸条。在这一段时间后，他们又可以装作新员工进入这一办公楼，同时又不会被任何人认出来。

相信我，我来自电话公司：
  黑客在某公寓里逐门逐户走动。他声称自己来自电话公司，正在试图追踪信号丢失和错误连接的问题。进入之后，他在每个房间的电话线上安上了一些没有用的设备。如果发现某计算机带有调制解调器，他就请求主人向ISP拨号，猜测问题就出现在这个调制解调器。如果是使用专线（DSL/ISDN）上网，他就会请求人们解除屏幕保护程序。通过其中的任一方法，他就可以观察人们输入的口令。
  一旦连接到Internet，他就会访问自己的某个主页（被设计成类似于电话公司），他输入口令，并由其扫描用户的机器，然后下载与操作系统相应的后门软件。在做完事情之后，他会四处看看，以发现是否有其他便于的有用信息，例如记录在贴纸条上的其他口令或者公司的拨号号码。人们通常信任来自电话公司的人，并让他独自留在房间里，时间长短随其所需。

(7)奖赏
黑客可能发现，提供某种形式的奖赏就能较为容易地引诱某些人泄露信息。例如，在某个大学宿舍，某人在起居室展示一个有如下说明的大型空白表格：

口令竞赛！
想要展示你的创造性？想要赢得大奖？在这里列出你的校园网用户名和口令---我们将奖励5个最具创意和智慧的口令所有者以免费的校园足球商品。口令遵循标准UNIX规则---不超过8个字符，区分大小写----同时正确性也必须能够在评比过程中被验证。

这里对活动的倡议方和奖品的来源都没有任何提及，但在一天之内仍可能收集到超过50对的用户名和口令。马上，这些帐号就会从全球任何地方被访问数百次。