Sosyal mühendislik, teknik açıkları değil insan psikolojisini sömüren saldırı yöntemidir. Güven, aciliyet, korku, otorite veya merak gibi duygular manipülasyon aracı olarak kullanılır. Phishing bu kategorinin en yaygın formudur. Ama yüz yüze pretexting, telefon vishing'i veya kimlik taklidi de sosyal mühendislik kapsamına girer. Teknik güvenliğin ne kadar güçlü olduğu fark etmez; bir çalışan manipüle edilirse sistem çöker.
Saldırgan IT destek ekibi kılığında arar: "Sistemde kritik bir güvenlik açığı var, şifrenizi hemen sıfırlamalıyız. Size geçici şifre göndereyim ama sizin mevcut şifrenize de ihtiyacım var, kontrol için." Çalışan güvendi ve şifreyi verdi. Hiçbir teknik saldırı olmadı, sistem hiç hacklenmedi ama erişim kapıdan açıldı. Bu yüzden güvenlik eğitimi teknik araçlar kadar önemlidir.
