Sin embargo, las cualidades humanas no siempre se convierten en el centro de atención de los intentos de manipulación. El hecho de estar orgulloso por el trabajo realizado o por el éxito de la empresa puede inducir tanto a los trabajadores como a los miembros del departamento de ejecutivos a fanfarronear con información confidencial, por ejemplo en una entrevista fingida, ante clientes o en entrevistas de trabajo. A menudo, la obsesión por la prevención de conflictos conduce a llevar a cabo acciones críticas en contra del sentido común. El motor más poderoso de las acciones poco meditadas es, sin embargo, el miedo, y este puede fomentarse, por ejemplo, por medio de un presunto provocador al otro lado del teléfono que un día amenaza con hacer que no funcione Internet si no recibe inmediatamente información detallada sobre el router y su configuración. Haciendo uso de términos técnicos relevantes, la persona que llama intimida a los trabajadores que no tienen unos conocimientos técnicos amplios.
Asimismo, otra de las herramientas de estos “hackers sociales” es el miedo que se tiene a los jefes: un truco muy popular son las órdenes de pago ficticias del jefe por correo electrónico.
Para engañar a sus víctimas, los estafadores se hacen pasar, en general, por compañeros de trabajo, jefes o solicitantes de puestos de trabajo, pero también adoptan el rol de trabajadores del servicio técnico que se encargan de evaluar el nivel de satisfacción del cliente o que realizan una encuesta por orden de un organismo de investigación.
Los denominados “ingenieros sociales” no se limitan necesariamente a contactos aislados, sino que también es posible que se le pida un favor a la víctima durante un período considerable de tiempo o que se la entretenga por medio de conversaciones sobre temas banales. El verdadero ataque se produce, en este caso, cuando hay cierta base de confianza y el atacante ha recopilado suficiente información para engañar a su víctima. En ocasiones, tal espionaje va precedido de una intensa tarea de investigación y entre las fuentes de información no solo se sitúan las páginas web de las empresas, sino también las redes sociales como Facebook o LinkedIn. Algo que va todavía más lejos es el “dumpster diving”, por medio de lo que los criminales buscan en la basura de la víctima para hacerse acopio de documentos comerciales desechados.
Habitualmente, el social engineering se lleva a cabo por medio del correo electrónico o por teléfono, ya que este tipo de ataques puede automatizarse aun teniendo escasos conocimientos técnicos. El peligro de revelar secretos corporativos o datos de acceso de manera involuntaria también está presente tanto en los medios de transporte públicos como en bares, cafeterías o restaurantes, en los que se conversa sobre cifras de negocio, sistemas de trabajo o sobre el contacto con los clientes. Incluso aquellos trabajadores que responden a llamadas de trabajo al teléfono móvil, están hablando sobre asuntos internos de las empresas en público y sin tener en cuenta que puede que haya personas que les estén escuchando.