Para lanzar ataques de ingeniería social, un atacante usa interacción humana (habilidades sociales) para obtener información de una organización o sus sistemas computacionales.
Un atacante podría parecer respetable e inocente, posiblemente indicando que es un nuevo empleado, una persona del servicio técnico, o un investigador, inclusive puede ofrecer credenciales que avalen su identidad. Así, haciendo preguntas simples, una persona podría recabar suficiente información para infiltrar la red de una organización. Si un atacante no puede obtener información de una fuente, podría contactar a otra persona dentro de la misma organización y usar la información parcial, obtenida de la primera fuente para tratar de acreditar su identidad.