Doch nicht immer stehen die guten Eigenschaften des Menschen im Fokus von Manipulationsversuchen. Auch Stolz auf die eigene Arbeit oder Erfolge des Unternehmens können Mitarbeiter bis hin zur Chefetage dazu verleiten, mit sensiblen Informationen zu prahlen – z. B. in einem fingierten Interview, gegenüber Kunden oder bei Bewerbungsgesprächen. Oft führt ein Hang zur Konfliktvermeidung dazu, dass sicherheitskritische Handlungen wider besseres Wissen durchgeführt werden. Stärkster Motor unüberlegter Handlungen ist hingegen Angst. Schüren lässt sich diese beispielsweise durch einen vermeintlichen Telefonentstörer am anderen Ende der Leitung, der einen Nachmittag ohne Internet androht, wenn er nicht sofort detaillierte Informationen zum Router und dessen Konfiguration bekommt. Gespickt mit relevanten Fachbegriffen schüchtern solche Anrufer vor allem Mitarbeiter mit geringem Technikverständnis ein. Auch die Angst vor dem Vorgesetzten machen sich „Social Hacker“ zunutze: Eine beliebte Masche ist die fingierte Zahlungsanweisung per E-Mail vom Chef.
Um Ihre Opfer zu täuschen, geben sich Trickbetrüger zum Beispiel als Kollegen, Vorgesetzte oder Bewerber aus. Darüber hinaus schlüpfen Angreifer in die Rolle eines Service-Mitarbeiters, der die Kundenzufriedenheit erfasst oder im Auftrag einer Forschungseinrichtung eine Branchenumfrage durchführt.
Sogenannte Social Engineers beschränken sich dabei nicht zwangsläufig auf einmalige Kontakte. Möglich ist auch, das Opfer über eine gewisse Zeit hinweg um unbedenkliche Gefallen zu bitten oder mit Smalltalk bei Laune zu halten. Der eigentliche Hack erfolgt in diesem Fall erst, wenn eine gewisse Vertrauensbasis besteht und der Angreifer genügend Informationen gesammelt hat, das Opfer zu täuschen. Mitunter geht einem solchen Spionageangriff eine aufwendige Recherche voraus. Als Informationsquellen bieten sich neben der Unternehmensseite soziale Netzwerke wie Facebook oder LinkedIn an. Noch einen Schritt weiter geht das „Dumpster Diving“, bei dem Kriminelle im Mülleimer des Opfers auf Tauchgang gehen, um unbedacht weggeworfene Geschäftsdokumente zu erbeuten.
Üblich ist Social Engineering via E-Mail oder Telefon, da sich solche Angriffe schon mit geringem technischen Aufwand automatisieren lassen. Die Gefahr, unbeabsichtigt Firmengeheimnisse oder Zugangsdaten preiszugeben, lauert jedoch auch in öffentlichen Verkehrsmitteln sowie in Bars, Cafés oder Restaurants, wenn sich mehrere Kollegen in lockerer Atmosphäre über Geschäftszahlen, Arbeitsprozesse oder Kundenkontakte unterhalten. Gerade Mitarbeiter, die Geschäftsanrufe am Mobiltelefon entgegennehmen, diskutieren unternehmensinterne Angelegenheiten oft in aller Öffentlichkeit und ohne Rücksicht auf etwaige Mithörer.