Social Engineering kann in einem Ereignis oder in mehreren Stufen und Phasen erfolgen, in denen der Angreifer einzelne Informationen sammelt und diese später miteinander verknüpft. Diese zusammengeführten Informationen können dann dazu genutzt werden, eine Person dazu zu bringen, schädliche Handlungen auszuführen oder sensible Informationen preiszugeben. Damit kann ein Angreifer z.B. Zugriff zu Daten, Zutritt zu Gebäuden oder Geldüberweisungen erlangen. Auch andere Szenarien sind denkbar.

Social Engineering ist eine subtile Angriffsmethode, die große Schäden verursachen kann.

Oftmals versuchen Angreifer mit einer einzelnen Attacke an die Informationen zu gelangen, nach denen sie suchen. Es kann aber auch vorkommen, dass Angreifer bei verschiedenen Stellen und Personen kleine Informationsschnipsel einsammeln, die für sich genommen unbedeutend erscheinen. Werden diese einzelnen Schnipsel aber zusammengeführt, kann mit dem Ergebnis ein großer abschließender Angriff durchgeführt werden, der zum Erfolg für den Angreifer führen kann.

Social Engineering kann sich auch über einen längeren Zeitraum erstrecken. Ein perfides Beispiel ist ein Angriff, dessen Vorbereitung sich über 3 Jahre erstreckte und der in einem Heise-Artikel beschrieben steht::

Heise Online: Aktenzeichen-XZ-ungelöst

Social Engineering-Angriffe zielen in aller Regel darauf ab, bei dem Opfer Vertrauen aufzubauen und mittels der aufgebauten Vertrauensstellung an z.B. vertrauliche Informationen, Zugangsdaten, Zugriffsberechtigungen, überwiesene Geldbeträge oder physische Zutritte und Zugänge zu gelangen.