सामजिक अभियांत्रिकी (सुरक्षा)



सूचना सुरक्षा के संदर्भ में, सोशल इंजीनियरिंग लोगों के कार्यों को करने या गोपनीयता प्रकट करने के लिए मनोवैज्ञानिक हेरफेर है। यह सामाजिक विज्ञान के भीतर सामाजिक इंजीनियरिंग से भिन्न है, जो गोपनीय जानकारी के प्रकटीकरण से संबंधित नहीं है। सूचना एकत्र करने, धोखाधड़ी, या सिस्टम एक्सेस के उद्देश्य से एक प्रकार की विश्वास चाल, यह एक पारंपरिक चोर से अलग है कि यह अक्सर एक अधिक जटिल धोखाधड़ी योजना में कई चरणों में से एक है। इसे किसी भी कार्य के रूप में भी परिभाषित किया गया है जो किसी व्यक्ति को ऐसी कार्रवाई करने के लिए प्रभावित करता है जो उनके सर्वोत्तम हित में हो या न हो। सोशल इंजीनियरिंग का एक उदाहरण अधिकांश वेबसाइटों पर पासवर्ड भूल जाने की क्रिया का उपयोग है, जिसमें लॉगिन की आवश्यकता होती है। एक दुर्भावनापूर्ण हमलावर को उपयोगकर्ता के खाते तक पूर्ण पहुंच प्रदान करने के लिए एक अनुचित रूप से सुरक्षित पासवर्ड-पुनर्प्राप्ति प्रणाली का उपयोग किया जा सकता है, जबकि मूल उपयोगकर्ता खाते तक पहुंच खो देगा।

सूचना सुरक्षा संस्कृति
कर्मचारियों के व्यवहार का संगठनों में सूचना सुरक्षा पर बड़ा प्रभाव पड़ सकता है। सांस्कृतिक अवधारणाएं संगठन के विभिन्न हिस्सों को प्रभावी ढंग से काम करने में मदद कर सकती हैं या किसी संगठन के भीतर सूचना सुरक्षा की दिशा में प्रभावशीलता के खिलाफ काम कर सकती हैं। संगठनात्मक संस्कृति और सूचना सुरक्षा संस्कृति के बीच संबंधों की खोज सूचना सुरक्षा संस्कृति की निम्नलिखित परिभाषा प्रदान करती है: ISC एक संगठन में व्यवहार के पैटर्न की समग्रता है जो सभी प्रकार की जानकारी की सुरक्षा में योगदान करती है। एंडरसन और रीमर्स (2014) ने पाया कि कर्मचारी अक्सर खुद को संगठन सूचना सुरक्षा प्रयास के हिस्से के रूप में नहीं देखते हैं और अक्सर ऐसी कार्रवाइयां करते हैं जो संगठनात्मक सूचना सुरक्षा सर्वोत्तम हितों की उपेक्षा करते हैं। अनुसंधान से पता चलता है कि सूचना सुरक्षा संस्कृति में लगातार सुधार की आवश्यकता है। सूचना सुरक्षा संस्कृति में विश्लेषण से परिवर्तन तक, लेखकों ने टिप्पणी की कि यह कभी न खत्म होने वाली प्रक्रिया है, मूल्यांकन और परिवर्तन या रखरखाव का चक्र है। उनका सुझाव है कि सूचना सुरक्षा संस्कृति का प्रबंधन करने के लिए पांच कदम उठाए जाने चाहिए: पूर्व-मूल्यांकन, रणनीतिक योजना, परिचालन योजना, कार्यान्वयन और मूल्यांकन के बाद।
 * पूर्व-मूल्यांकन: कर्मचारियों के भीतर सूचना सुरक्षा के प्रति जागरूकता की पहचान करना और वर्तमान सुरक्षा नीति का विश्लेषण करना।
 * रणनीतिक योजना: एक बेहतर जागरूकता-कार्यक्रम के साथ आने के लिए, हमें स्पष्ट लक्ष्य निर्धारित करने की आवश्यकता है। क्लस्टरिंग लोग इसे प्राप्त करने में सहायक होते हैं।
 * ऑपरेशनल प्लानिंग: आंतरिक संचार, प्रबंधन-बाय-इन और सुरक्षा जागरूकता और प्रशिक्षण कार्यक्रम के आधार पर एक अच्छी सुरक्षा संस्कृति स्थापित करें। *कार्यान्वयन: सूचना सुरक्षा संस्कृति को लागू करने के लिए चार चरणों का उपयोग किया जाना चाहिए। वे प्रबंधन की प्रतिबद्धता, संगठनात्मक सदस्यों के साथ संचार, सभी संगठनात्मक सदस्यों के लिए पाठ्यक्रम और कर्मचारियों की प्रतिबद्धता हैं।

तकनीक और शर्तें
सभी सामाजिक इंजीनियरिंग तकनीकें मानव निर्णय लेने की विशिष्ट विशेषताओं पर आधारित होती हैं जिन्हें संज्ञानात्मक पूर्वाग्रहों की सूची के रूप में जाना जाता है। इन पूर्वाग्रहों, जिन्हें कभी-कभी मानव हार्डवेयर में बग कहा जाता है, "हमले की तकनीक बनाने के लिए विभिन्न संयोजनों में उपयोग किए जाते हैं, जिनमें से कुछ नीचे सूचीबद्ध हैं। सोशल इंजीनियरिंग में इस्तेमाल किए गए हमलों का इस्तेमाल कर्मचारियों की गोपनीय जानकारी चुराने के लिए किया जा सकता है। सोशल इंजीनियरिंग का सबसे आम प्रकार फोन पर होता है। सोशल इंजीनियरिंग हमलों के अन्य उदाहरण अपराधियों, फायर मार्शलों और तकनीशियनों के रूप में प्रस्तुत करने वाले अपराधी हैं, जो किसी का ध्यान नहीं जाते क्योंकि वे कंपनी के रहस्य चुराते हैं।

सोशल इंजीनियरिंग का एक उदाहरण एक व्यक्ति है जो एक इमारत में चलता है और कंपनी के बुलेटिन में एक आधिकारिक-दिखने वाली घोषणा पोस्ट करता है जो कहता है कि हेल्प डेस्क के लिए नंबर बदल गया है। इसलिए, जब कर्मचारी मदद के लिए कॉल करते हैं तो व्यक्ति उनसे उनके पासवर्ड और आईडी मांगता है जिससे कंपनी की निजी जानकारी तक पहुंचने की क्षमता प्राप्त होती है। सोशल इंजीनियरिंग का एक और उदाहरण यह होगा कि हैकर सोशल नेटवर्किंग साइट पर लक्ष्य से संपर्क करता है और लक्ष्य के साथ बातचीत शुरू करता है। धीरे-धीरे हैकर लक्ष्य का विश्वास हासिल कर लेता है और फिर उस भरोसे का उपयोग पासवर्ड या बैंक खाते के विवरण जैसी संवेदनशील जानकारी तक पहुंचने के लिए करता है। सोशल इंजीनियरिंग रॉबर्ट सियालडिनी द्वारा स्थापित प्रभाव के छह सिद्धांतों पर बहुत अधिक निर्भर करता है। Cialdini के प्रभाव का सिद्धांत छह प्रमुख सिद्धांतों पर आधारित है: पारस्परिकता, प्रतिबद्धता और निरंतरता, सामाजिक प्रमाण, अधिकार, पसंद, बिखराव।

प्राधिकरण
सोशल इंजीनियरिंग में, हमलावर पीड़ित से पालन की संभावना बढ़ाने के लिए अधिकार के रूप में प्रस्तुत कर सकता है।

धमकाना
हमलावर (संभावित रूप से प्रच्छन्न) सूचित करता है या संकेत करता है कि यदि कुछ कार्य नहीं किए जाते हैं तो नकारात्मक परिणाम होंगे। परिणामों में सूक्ष्म डराने-धमकाने वाले वाक्यांश शामिल हो सकते हैं जैसे कि मैं आपके प्रबंधक को और भी बुरा बताऊंगा।

आम सहमति/सामाजिक प्रमाण
लोग वही करेंगे जो वे दूसरों को करते हुए देखते हैं। उदाहरण के लिए, एक प्रयोग में, एक या अधिक संघी आकाश की ओर देखेंगे; तमाशबीन लोग तब आकाश में देखते थे कि वे क्या खो रहे थे। एक बिंदु पर यह प्रयोग निरस्त कर दिया गया, क्योंकि इतने सारे लोग ऊपर देख रहे थे कि उन्होंने यातायात रोक दिया। अनुरूपता (मनोविज्ञान) और ऐश अनुरूपता प्रयोग देखें।

कमी
कथित कमी मांग उत्पन्न करेगी। आपूर्ति के अंतिम समय में सामान्य विज्ञापन मुहावरा बिखराव की भावना का लाभ उठाता है।

उतावलापन
बिखराव से जुड़े, हमलावर सामाजिक इंजीनियरिंग के समय-आधारित मनोवैज्ञानिक सिद्धांत के रूप में तात्कालिकता का उपयोग करते हैं। उदाहरण के लिए, यह कहना कि ऑफर सीमित समय के लिए उपलब्ध हैं, केवल अत्यावश्यकता की भावना से बिक्री को प्रोत्साहित करता है।

परिचित/पसंद
लोग जिन लोगों को पसंद करते हैं उनके द्वारा आसानी से राजी हो जाते हैं। Cialdini Tupperware के विपणन का हवाला देती है जिसे अब संक्रामक विपणन कहा जा सकता है। लोगों को खरीदने की अधिक संभावना थी अगर वे उस व्यक्ति को पसंद करते थे जो उन्हें बेच रहा था। अधिक आकर्षक लोगों के पक्ष में कई पूर्वाग्रहों पर चर्चा की गई है। शारीरिक आकर्षण स्टीरियोटाइप देखें।

विशिंग
विशिंग, अन्यथा आवाज फ़िशिंग के रूप में जाना जाता है, वित्तीय पुरस्कार के उद्देश्य से जनता से निजी व्यक्तिगत और वित्तीय जानकारी तक पहुंच प्राप्त करने के लिए पीएसटीएन पर सोशल इंजीनियरिंग का उपयोग करने का आपराधिक अभ्यास है। यह लक्षित संगठन पर अधिक विस्तृत खुफिया विश्लेषण एकत्र करने के लिए टोही उद्देश्यों के लिए हमलावरों द्वारा भी नियोजित किया जाता है।

फ़िशिंग ===

फ़िशिंग धोखाधड़ी से निजी जानकारी प्राप्त करने की एक तकनीक है। आमतौर पर, फ़िशर एक ई-मेल भेजता है जो एक वैध व्यवसाय-एक बैंक, या क्रेडिट कार्ड कंपनी से आता है- सूचना के सत्यापन का अनुरोध करता है और कुछ नुकसान से बचने की चेतावनी देता है यदि यह प्रदान नहीं किया गया है। ई-मेल में आमतौर पर कपटपूर्ण वेब पेज का एक लिंक होता है जो वैध लगता है—कंपनी के लोगो और सामग्री के साथ—और इसमें घर के पते से लेकर एटीएम कार्ड की व्यक्तिगत पहचान संख्या या क्रेडिट कार्ड नंबर तक सब कुछ अनुरोध करने वाला एक फॉर्म होता है। उदाहरण के लिए, 2003 में, एक फ़िशिंग घोटाला हुआ था जिसमें उपयोगकर्ताओं को ईबे से कथित रूप से ईमेल प्राप्त हुए थे, जिसमें दावा किया गया था कि उपयोगकर्ता का खाता निलंबित होने वाला था, जब तक कि क्रेडिट कार्ड को अपडेट करने के लिए प्रदान किए गए लिंक पर क्लिक नहीं किया गया था (ऐसी जानकारी जो वास्तविक ईबे के पास पहले से थी)। किसी वैध संगठन के HTML कोड और लोगो की नकल करके नकली वेबसाइट को प्रामाणिक दिखाना अपेक्षाकृत सरल है। घोटाले ने कुछ लोगों को यह सोचने पर मजबूर कर दिया कि ईबे उन्हें दिए गए लिंक पर क्लिक करके अपनी खाता जानकारी अपडेट करने की आवश्यकता है। लोगों के बहुत बड़े समूहों को अंधाधुंध रूप से स्पैमिंग करके, फ़िशर उन प्राप्तकर्ताओं के छोटे प्रतिशत (फिर भी बड़ी संख्या) से संवेदनशील वित्तीय जानकारी प्राप्त करने में गिना जाता है जिनके पास पहले से ही ईबे खाते हैं और वे भी घोटाले के शिकार हो जाते हैं।

स्मिशिंग
पीड़ितों को आकर्षित करने के लिए एसएमएस टेक्स्ट मैसेजिंग का उपयोग करने का कार्य, जिसे स्मिशिंग के रूप में भी जाना जाता है। फ़िशिंग की तरह यह किसी दुर्भावनापूर्ण लिंक पर क्लिक करना या जानकारी प्रकट करना हो सकता है। उदाहरण टेक्स्ट संदेश हैं जो एक सामान्य वाहक (जैसे FedEx) से होने का दावा करते हैं, जो एक पैकेज प्रदान किए गए लिंक के साथ ट्रांज़िट में है।

प्रतिरूपण
किसी सिस्टम या बिल्डिंग में शारीरिक रूप से पहुंच प्राप्त करने के लक्ष्य के साथ कोई अन्य व्यक्ति होने का नाटक करना या दिखावा करना। सिम स्वैप घोटाला धोखाधड़ी में प्रतिरूपण का उपयोग किया जाता है।

बहाना
प्रीटेक्स्टिंग (adj. pretextual) एक लक्षित शिकार को इस तरह से संलग्न करने के लिए एक आविष्कृत परिदृश्य (बहाना) बनाने और उपयोग करने का कार्य है जिससे पीड़ित द्वारा जानकारी प्रकट करने या ऐसे कार्य करने की संभावना बढ़ जाती है जो सामान्य परिस्थितियों में असंभव होगा। एक विस्तृत झूठ, इसमें अक्सर कुछ पूर्व अनुसंधान या सेटअप शामिल होता है और लक्ष्य के मन में वैधता स्थापित करने के लिए प्रतिरूपण (जैसे, जन्म तिथि, सामाजिक सुरक्षा संख्या, अंतिम बिल राशि) के लिए इस जानकारी का उपयोग होता है। एक पृष्ठभूमि के रूप में, प्रीटेक्स्टिंग को सोशल इंजीनियरिंग के पहले विकास के रूप में व्याख्यायित किया जा सकता है, और सामाजिक इंजीनियरिंग के रूप में विकसित होना जारी है, जिसमें वर्तमान समय की तकनीकें शामिल हैं। प्रीटेक्स्टिंग के वर्तमान और पिछले उदाहरण इस विकास को प्रदर्शित करते हैं।

इस तकनीक का उपयोग किसी व्यवसाय को ग्राहकों की जानकारी का खुलासा करने के साथ-साथ निजी जांचकर्ताओं द्वारा सीधे कंपनी सेवा प्रतिनिधियों से टेलीफोन रिकॉर्ड, उपयोगिता रिकॉर्ड, बैंकिंग रिकॉर्ड और अन्य जानकारी प्राप्त करने के लिए किया जा सकता है। जानकारी का उपयोग प्रबंधक के साथ कठिन पूछताछ के तहत और भी अधिक वैधता स्थापित करने के लिए किया जा सकता है, उदाहरण के लिए, खाता परिवर्तन करने, विशिष्ट शेष राशि प्राप्त करने आदि के लिए।

प्रीटेक्स्टिंग का उपयोग सहकर्मियों, पुलिस, बैंक, कर अधिकारियों, पादरियों, बीमा जांचकर्ताओं- या किसी अन्य व्यक्ति का प्रतिरूपण करने के लिए भी किया जा सकता है, जो लक्षित पीड़ित के मन में कथित अधिकार या जानने का अधिकार हो सकता है। प्रीटेक्स्टर को केवल उन प्रश्नों के उत्तर तैयार करने चाहिए जो पीड़ित द्वारा पूछे जा सकते हैं। कुछ मामलों में, केवल एक आवाज़ की ज़रूरत होती है जो आधिकारिक लगती है, एक ईमानदार स्वर, और एक पूर्ववर्ती परिदृश्य बनाने के लिए अपने पैरों पर सोचने की क्षमता।

विशिंग
फोन फ़िशिंग (या विशिंग) एक बैंक या अन्य संस्था के आईवीआर सिस्टम की एक वैध-ध्वनि वाली प्रति को फिर से बनाने के लिए एक दुष्ट इंटरएक्टिव वॉयस रिस्पांस (आईवीआर) प्रणाली का उपयोग करता है। पीड़ित को जानकारी सत्यापित करने के लिए प्रदान किए गए (आदर्श रूप से टोल फ्री) नंबर के माध्यम से बैंक में कॉल करने के लिए (आमतौर पर फ़िशिंग ई-मेल के माध्यम से) संकेत दिया जाता है। एक विशिष्ट विशिंग प्रणाली लॉग-इन को लगातार अस्वीकार कर देगी, यह सुनिश्चित करते हुए कि पीड़ित कई बार पिन या पासवर्ड दर्ज करता है, अक्सर कई अलग-अलग पासवर्ड का खुलासा करता है। अधिक उन्नत प्रणालियां पीड़ित को हमलावर/धोखाधड़ी करने वाले को स्थानांतरित करती हैं, जो पीड़ित से आगे की पूछताछ के लिए ग्राहक सेवा एजेंट या सुरक्षा विशेषज्ञ के रूप में प्रस्तुत करता है।

स्पीयर फ़िशिंग
हालांकि फ़िशिंग के समान, स्पीयर फ़िशिंग एक ऐसी तकनीक है जो कुछ अंतिम उपयोगकर्ताओं को अत्यधिक अनुकूलित ईमेल भेजकर धोखाधड़ी से निजी जानकारी प्राप्त करती है। यह फ़िशिंग हमलों के बीच मुख्य अंतर है क्योंकि फ़िशिंग अभियान सामान्यीकृत ईमेल की उच्च मात्रा को इस अपेक्षा के साथ भेजने पर ध्यान केंद्रित करते हैं कि केवल कुछ ही लोग प्रतिक्रिया देंगे। दूसरी ओर, स्पीयर-फ़िशिंग ईमेल में हमलावर को अपने लक्ष्य पर अतिरिक्त शोध करने की आवश्यकता होती है ताकि अंतिम उपयोगकर्ताओं को अनुरोधित गतिविधियों को करने के लिए बरगलाया जा सके। भाला-फ़िशिंग हमलों की सफलता दर फ़िशिंग हमलों की तुलना में काफी अधिक है, लगभग 70% संभावित प्रयासों की तुलना में लगभग 3% फ़िशिंग ईमेल खोलने वाले लोग। जब उपयोगकर्ता वास्तव में ईमेल खोलते हैं तो फ़िशिंग ईमेल में अपेक्षाकृत मामूली 5% सफलता दर होती है, जब किसी स्पीयर-फ़िशिंग हमले की 50% सफलता दर की तुलना में लिंक या अटैचमेंट पर क्लिक किया जाता है। स्पीयर-फ़िशिंग की सफलता काफी हद तक OSINT (ओपन-सोर्स इंटेलिजेंस) की मात्रा और गुणवत्ता पर निर्भर करती है जिसे हमलावर प्राप्त कर सकता है। सामाजिक मीडिया खाता गतिविधि OSINT के स्रोत का एक उदाहरण है।

जल जमाव
वाटर होलिंग एक लक्षित सामाजिक इंजीनियरिंग रणनीति है जो उपयोगकर्ताओं द्वारा नियमित रूप से देखी जाने वाली वेबसाइटों पर उनके भरोसे का लाभ उठाती है। पीड़ित उन कामों को करने में सुरक्षित महसूस करता है जो वह दूसरी स्थिति में नहीं करेगा। एक सावधान व्यक्ति, उदाहरण के लिए, जानबूझकर एक अवांछित ईमेल में एक लिंक पर क्लिक करने से बच सकता है, लेकिन वही व्यक्ति उस वेबसाइट पर एक लिंक का अनुसरण करने में संकोच नहीं करेगा जिस पर वे अक्सर जाते हैं। तो, हमलावर एक पसंदीदा पानी के छेद पर अवांछित शिकार के लिए एक जाल तैयार करता है। कुछ (माना जाता है) बहुत सुरक्षित प्रणालियों तक पहुंच प्राप्त करने के लिए इस रणनीति का सफलतापूर्वक उपयोग किया गया है। हमलावर लक्षित करने के लिए किसी समूह या व्यक्तियों की पहचान करके निकल सकता है। तैयारी में उन वेबसाइटों के बारे में जानकारी एकत्र करना शामिल है जिन्हें लक्ष्य अक्सर सुरक्षित प्रणाली से देखते हैं। जानकारी एकत्र करना पुष्टि करता है कि लक्ष्य वेबसाइटों पर जाते हैं और यह कि सिस्टम ऐसी यात्राओं की अनुमति देता है। इसके बाद हमलावर इन वेबसाइटों की भेद्यता के लिए कोड इंजेक्ट करने के लिए परीक्षण करता है जो किसी विज़िटर के सिस्टम को मैलवेयर से संक्रमित कर सकता है। इंजेक्ट किए गए कोड ट्रैप और मैलवेयर को विशिष्ट लक्ष्य समूह और उनके द्वारा उपयोग की जाने वाली विशिष्ट प्रणालियों के अनुरूप बनाया जा सकता है। समय के साथ, लक्षित समूह के एक या अधिक सदस्य संक्रमित हो जाएंगे और हमलावर सुरक्षित प्रणाली तक पहुंच प्राप्त कर सकता है।

बैटिंग
बैटिंग वास्तविक दुनिया के ट्रोजन हॉर्स की तरह है जो भौतिक मीडिया का उपयोग करता है और शिकार की जिज्ञासा या लालच पर निर्भर करता है। इस हमले (कंप्यूटिंग) में, हमलावर मैलवेयर-संक्रमित फ्लॉपी डिस्क, सीडी रॉम, या यूएसबी फ्लैश ड्राइव को उन स्थानों पर छोड़ देते हैं जहां लोग उन्हें ढूंढेंगे (बाथरूम, लिफ्ट, फुटपाथ, पार्किंग स्थल, आदि), उन्हें वैध और जिज्ञासा-उत्तेजना देते हैं। लेबल, और पीड़ितों की प्रतीक्षा करें।

उदाहरण के लिए, एक हमलावर कॉर्पोरेट लोगो वाली एक डिस्क बना सकता है, जो लक्ष्य की वेबसाइट से उपलब्ध है, और इसे कार्यकारी वेतन सारांश Q2 2012 लेबल कर सकता है। हमलावर तब डिस्क को लिफ्ट के फर्श पर या लक्ष्य कंपनी की लॉबी में कहीं छोड़ देता है। एक अनजान कर्मचारी इसे खोज सकता है और अपनी जिज्ञासा को संतुष्ट करने के लिए डिस्क को कंप्यूटर में डाल सकता है, या एक अच्छा सामरी इसे ढूंढ सकता है और इसे कंपनी को वापस कर सकता है। किसी भी मामले में, डिस्क को कंप्यूटर में डालने से मैलवेयर इंस्टॉल हो जाता है, जिससे हमलावरों को पीड़ित के पीसी और शायद लक्ष्य कंपनी के आंतरिक कंप्यूटर नेटवर्क तक पहुंच मिल जाती है।

जब तक कंप्यूटर नियंत्रण ब्लॉक संक्रमणों को नियंत्रित नहीं करता है, प्रविष्टि पीसी ऑटो-रनिंग मीडिया से समझौता करती है। शत्रुतापूर्ण उपकरणों का भी उपयोग किया जा सकता है। उदाहरण के लिए, एक भाग्यशाली विजेता को एक मुफ्त डिजिटल ऑडियो प्लेयर भेजा जाता है जो किसी भी कंप्यूटर से जुड़ा होता है। एक सड़क सेब (घोड़े की खाद के लिए बोलचाल का शब्द, उपकरण की अवांछनीय प्रकृति का सुझाव देता है) अवसरवादी या विशिष्ट स्थानों पर छोड़े गए दुर्भावनापूर्ण सॉफ़्टवेयर के साथ कोई भी हटाने योग्य मीडिया है। यह अन्य मीडिया के बीच एक सीडी, डीवीडी, या यूएसबी फ्लैश ड्राइव हो सकता है। जिज्ञासु लोग इसे लेते हैं और इसे कंप्यूटर में प्लग करते हैं, होस्ट और किसी भी संलग्न नेटवर्क को संक्रमित करते हैं। फिर से, हैकर्स उन्हें आकर्षक लेबल दे सकते हैं, जैसे कर्मचारी वेतन या गोपनीय। 2016 में किए गए एक अध्ययन में शोधकर्ताओं ने इलिनोइस विश्वविद्यालय के परिसर के आसपास 297 यूएसबी ड्राइव गिराए थे। ड्राइव में वे फ़ाइलें थीं जो शोधकर्ताओं के स्वामित्व वाले वेबपृष्ठों से जुड़ी थीं। शोधकर्ता यह देखने में सक्षम थे कि उनमें से कितनी ड्राइव में फाइलें खोली गई थीं, लेकिन यह नहीं कि कितने बिना फाइल खोले कंप्यूटर में डाली गई थीं। गिराए गए 297 ड्राइव में से 290 (98%) को उठा लिया गया और उनमें से 135 (45%) को होम कॉल कर दिया गया।

प्रतिदान
Quid pro quo का अर्थ है किसी चीज़ के लिए कुछ:


 * एक हमलावर तकनीकी सहायता से कॉल बैक करने का दावा करते हुए एक कंपनी पर रैंडम नंबरों पर कॉल करता है। आखिरकार यह व्यक्ति किसी को वैध समस्या के साथ मारा जाएगा, आभारी है कि कोई उनकी मदद करने के लिए वापस बुला रहा है। हमलावर समस्या को हल करने में मदद करेगा और इस प्रक्रिया में, उपयोगकर्ता प्रकार के आदेश होंगे जो हमलावर को पहुंच प्रदान करते हैं या मैलवेयर लॉन्च करते हैं।
 * 2003 के एक सूचना सुरक्षा सर्वेक्षण में, 91% कार्यालय कर्मचारियों ने एक सस्ते कलम के बदले एक सर्वेक्षण प्रश्न के उत्तर में शोधकर्ताओं को जो दावा किया वह उनका पासवर्ड था। बाद के वर्षों में इसी तरह के सर्वेक्षणों ने चॉकलेट और अन्य सस्ते प्रलोभनों का उपयोग करके समान परिणाम प्राप्त किए, हालांकि उन्होंने पासवर्ड को मान्य करने का कोई प्रयास नहीं किया।

टेलगेटिंग
एक हमलावर, अप्राप्य, इलेक्ट्रॉनिक अभिगम नियंत्रण, उदा द्वारा सुरक्षित प्रतिबंधित क्षेत्र में प्रवेश की मांग कर रहा है। आरएफआईडी कार्ड द्वारा, बस वैध पहुंच वाले व्यक्ति के पीछे चलता है। सामान्य शिष्टाचार का पालन करते हुए, वैध व्यक्ति आम तौर पर हमलावर के लिए दरवाजा खुला रखेगा या हमलावर स्वयं कर्मचारी को उनके लिए दरवाजा खुला रखने के लिए कह सकते हैं। एक कर्मचारी द्वारा पूछताछ को रोकने के लिए हमलावर अक्सर मोबाइल का उपयोग करके फोन कॉल पर होने का दावा करेगा। वैध व्यक्ति कई कारणों से पहचान के लिए पूछने में असफल हो सकता है, या यह दावा स्वीकार कर सकता है कि हमलावर उचित पहचान टोकन भूल गया है या खो गया है। हमलावर पहचान टोकन पेश करने की कार्रवाई को नकली भी बना सकता है।

अन्य प्रकार
आम विश्वास चालबाजों या धोखेबाजों को भी व्यापक अर्थों में सामाजिक इंजीनियर माना जा सकता है, जिसमें वे जानबूझकर लोगों को धोखा देते हैं और हेरफेर करते हैं, व्यक्तिगत लाभ प्राप्त करने के लिए मानवीय कमजोरियों का शोषण करते हैं। उदाहरण के लिए, वे आईटी धोखाधड़ी के हिस्से के रूप में सोशल इंजीनियरिंग तकनीकों का उपयोग कर सकते हैं।

2000 के दशक की शुरुआत में, एक अन्य प्रकार की सोशल इंजीनियरिंग तकनीक में याहू !, जीमेल लगीं, या हॉटमेल जैसे लोकप्रिय ई-मेल आईडी वाले लोगों की स्पूफिंग या हैकिंग आईडी शामिल है। इसके अतिरिक्त, स्पूफिंग के कुछ प्रयासों में पेपाल जैसे प्रमुख ऑनलाइन सेवा प्रदाताओं के ईमेल शामिल थे। इसने अप्रैल 2014 के प्रेषक नीति फ्रेमवर्क आरएफसी 7208 के प्रस्तावित मानक को स्पूफिंग से निपटने के साधन के रूप में डीएमएआरसी के संयोजन में प्रेरित किया। इस धोखे के लिए कई प्रेरणाओं में से हैं:


 * फ़िशिंग क्रेडिट-कार्ड खाता संख्या और उनके पासवर्ड।
 * निजी ई-मेल और चैट इतिहास को क्रैक करना, और धन उगाही करने और व्यक्तियों के बीच अविश्वास पैदा करने से पहले सामान्य संपादन तकनीकों का उपयोग करके उनमें हेरफेर करना।
 * कंपनियों या संगठनों की वेबसाइटों को क्रैक करना और उनकी प्रतिष्ठा को नष्ट करना।
 * कंप्यूटर वायरस झांसा
 * उपयोगकर्ताओं को अपने वेब खाते तक पहुंच की अनुमति देने के लिए स्व-XSS हमले के माध्यम से वेब ब्राउज़र के भीतर दुर्भावनापूर्ण कोड चलाने के लिए राजी करना

एक अन्य प्रकार है अशिक्षित या असुरक्षित डिस्प्ले और इनपुट उपकरणों की संवेदनशील जानकारी को पढ़ना, जिसे शोल्डर सर्फिंग (कंप्यूटर सुरक्षा) कहा जाता है।

प्रतिवाद
संगठन अपने सुरक्षा जोखिमों को कम करते हैं:

कर्मचारियों को प्रशिक्षण: कर्मचारियों को उनकी स्थिति के लिए प्रासंगिक सुरक्षा प्रोटोकॉल में प्रशिक्षण देना। (उदाहरण के लिए, टेलगेटिंग जैसी स्थितियों में, यदि किसी व्यक्ति की पहचान सत्यापित नहीं की जा सकती है, तो कर्मचारियों को विनम्रतापूर्वक मना करने के लिए प्रशिक्षित किया जाना चाहिए।)

मानक ढाँचा: कर्मचारी/कार्मिक स्तर पर विश्वास के ढाँचे की स्थापना (अर्थात, कब/कहाँ/क्यों/कैसे संवेदनशील जानकारी को संभाला जाना चाहिए निर्दिष्ट करें और प्रशिक्षित करें)

जानकारी की जांच करना: यह पहचानना कि कौन सी जानकारी संवेदनशील है और सोशल इंजीनियरिंग और सुरक्षा प्रणालियों (बिल्डिंग, कंप्यूटर सिस्टम, आदि) में खराबी के लिए इसके जोखिम का मूल्यांकन करना।

सुरक्षा प्रोटोकॉल: संवेदनशील जानकारी को संभालने के लिए सुरक्षा प्रोटोकॉल, नीतियों और प्रक्रियाओं की स्थापना करना।

इवेंट टेस्ट: सुरक्षा ढांचे के अघोषित, आवधिक परीक्षण करना।

इनोक्यूलेशन: समान या संबंधित प्रयासों के जोखिम के माध्यम से अनुनय प्रयासों के प्रति प्रतिरोध पैदा करके सामाजिक इंजीनियरिंग और अन्य धोखाधड़ी चाल या जाल को रोकना। समीक्षा करें: उपरोक्त चरणों की नियमित रूप से समीक्षा करना: सूचना अखंडता का कोई समाधान सही नहीं है। अपशिष्ट प्रबंधन: एक अपशिष्ट प्रबंधन सेवा का उपयोग करना जिसमें डंपस्टर हैं जिन पर ताले लगे हैं, जिनकी चाबियां केवल अपशिष्ट प्रबंधन कंपनी और सफाई कर्मचारियों तक सीमित हैं। डंपस्टर का पता लगाना या तो कर्मचारियों को देखते हुए, ताकि इसे एक्सेस करने की कोशिश में देखे जाने या पकड़े जाने का जोखिम हो, या लॉक गेट या बाड़ के पीछे जहां व्यक्ति को डंपस्टर तक पहुंचने का प्रयास करने से पहले अतिचार करना चाहिए।

सोशल इंजीनियरिंग का जीवनचक्र

 * 1) सूचना एकत्र करना: सूचना एकत्र करना जीवनचक्र का पहला और सबसे महत्वपूर्ण चरण है। इसके लिए बहुत धैर्य और शिकार की आदतों को ध्यान से देखने की आवश्यकता होती है। यह कदम पीड़ित के हितों, व्यक्तिगत जानकारी के बारे में डेटा एकत्र करता है। यह समग्र हमले की सफलता दर निर्धारित करता है।
 * 2) पीड़ित के साथ जुड़ाव: आवश्यक मात्रा में जानकारी एकत्र करने के बाद, पीड़ित को कुछ भी अनुचित पाए बिना हमलावर पीड़ित के साथ आसानी से बातचीत शुरू कर देता है।
 * 3) अटैकिंग: यह कदम आम तौर पर लक्ष्य के साथ उलझने की लंबी अवधि के बाद होता है और इस दौरान सोशल इंजीनियरिंग का उपयोग करके लक्ष्य से जानकारी प्राप्त की जाती है। चरण में, हमलावर लक्ष्य से परिणाम प्राप्त करता है।
 * 4) क्लोजिंग इंटरेक्शन: यह अंतिम चरण है जिसमें पीड़ित पर कोई संदेह पैदा किए बिना हमलावर द्वारा संचार को धीरे-धीरे बंद करना शामिल है। इस तरह, मकसद पूरा हो जाता है और पीड़ित को शायद ही कभी पता चलता है कि हमला हुआ था।

फ्रैंक एग्नाले जूनियर
फ्रैंक एबगनेल|फ्रैंक अबगनले जूनियर एक अमेरिकी सुरक्षा सलाहकार हैं, जो अपनी पृष्ठभूमि के लिए एक पूर्व ठग, चेक जालसाज और पाखण्डी के रूप में जाने जाते हैं, जब वह 15 और 21 वर्ष की आयु के बीच का था। वह सबसे कुख्यात ढोंगियों में से एक बन गया, एक एयरलाइन पायलट, एक चिकित्सक, यू.एस. 22 साल की उम्र से पहले अबगनले दो बार पुलिस हिरासत से भाग गया (एक बार एक टैक्सी वाले एयरलाइनर से और एक बार यू.एस. संघीय जेल से)। लोकप्रिय स्टीवन स्पीलबर्ग फिल्म अगर तुम मुझे पकड़ सकते हो तो पकड़ो उनके जीवन पर आधारित है।

केविन मिटनिक
केविन मिटनिक एक अमेरिकी कंप्यूटर सुरक्षा सलाहकार, लेखक और हैकर हैं, जो अपनी हाई-प्रोफाइल 1995 की गिरफ्तारी और बाद में विभिन्न कंप्यूटर और संचार संबंधी अपराधों के लिए पांच साल की सजा के लिए जाने जाते हैं।

सुसान हेडली
सुसान हेडली 1970 के दशक के अंत और 1980 के दशक की शुरुआत में सक्रिय एक अमेरिकी हैकर थी, जो सोशल इंजीनियरिंग, प्रीटेक्सटिंग और मनोवैज्ञानिक तोड़फोड़ में अपनी विशेषज्ञता के लिए व्यापक रूप से सम्मानित थी। वह सैन्य कंप्यूटर सिस्टम में सेंध लगाने की अपनी विशेषता के लिए जानी जाती थी, जिसमें अक्सर सैन्य कर्मियों के साथ बिस्तर पर जाना और सोते समय उपयोगकर्ता नाम और पासवर्ड के लिए उनके कपड़ों की जांच करना शामिल था। वह लॉस एंजिल्स में केविन मिटनिक और लुईस डी पायने के साथ घबराहट में शामिल हो गई, लेकिन बाद में गिरने के बाद यूएस लीजिंग में सिस्टम फाइलों को मिटाने के लिए उन्हें फंसाया गया, जिससे मिटनिक की पहली सजा हुई। वह पेशेवर पोकर से सेवानिवृत्त हुईं।

जेम्स लिंटन
जेम्स Linton (हैकर) एक ब्रिटिश हैकर और सोशल इंजीनियर हैं, जिन्होंने 2017 में प्रमुख बैंकों के सीईओ और ट्रम्प व्हाइट हाउस प्रशासन के सदस्यों सहित ईमेल पर कई तरह के लक्ष्यों को चकमा देने के लिए OSINT और स्पीयर फ़िशिंग तकनीकों का इस्तेमाल किया था। उसके बाद वह ईमेल सुरक्षा में काम करने के लिए गया, जहां उसने विशिष्ट खतरे की खुफिया जानकारी एकत्र करने के लिए BEC (बिजनेस ईमेल समझौता) खतरे वाले अभिनेताओं को सामाजिक रूप से इंजीनियर किया।

माइक रिडपथ
माइक रिडपथ सुरक्षा सलाहकार, प्रकाशित लेखक और वक्ता। W00w00 के पिछले सदस्य। सोशल इंजीनियरिंग शांत बुलावा के लिए तकनीक और रणनीति पर जोर देता है। अपनी बातचीत के बाद उल्लेखनीय बन गया जहां वह रिकॉर्डेड कॉल चलाएगा और फोन और अपने लाइव प्रदर्शनों के माध्यम से पासवर्ड प्राप्त करने के लिए वह क्या कर रहा था, इस पर अपनी विचार प्रक्रिया को समझाएगा।    एक बच्चे के रूप में रिद्पथ बदीर ब्रदर्स के साथ जुड़ा हुआ था और व्यापक रूप से लोकप्रिय भूमिगत ezines के साथ अपने लेखों के लिए फ़्रीकिंग और हैकर (कंप्यूटर सुरक्षा) समुदाय के भीतर जाना जाता था, जैसे कि Oki 900s, ब्लूबॉक्सिंगप्रसारण संकेत घुसपैठ घुसपैठ और संशोधित करने पर Phrack, B4B0 और 9x। आरसीएमएसी।

बदिर ब्रदर्स
भाई रेमी, मुज़ेर, और शादे बदीर- जो सभी जन्म से अंधे थे- 1990 के दशक में इजराइल में सोशल इंजीनियरिंग, आवाज प्रतिरूपण और ताज़ा करने योग्य ब्रेल डिस्प्ले | ब्रेल-डिस्प्ले कंप्यूटर का उपयोग करके एक व्यापक फोन और कंप्यूटर धोखाधड़ी योजना स्थापित करने में कामयाब रहे।

क्रिस्टोफर जे. हडनागी
क्रिस्टोफर जे. हडनागी एक अमेरिकी सामाजिक इंजीनियर और सूचना प्रौद्योगिकी सुरक्षा सलाहकार हैं। उन्हें सोशल इंजीनियरिंग और साइबर सुरक्षा पर 4 पुस्तकों के लेखक के रूप में जाना जाता है   और इनोसेंट लाइव्स फाउंडेशन के संस्थापक, एक संगठन जो सूचना सुरक्षा विशेषज्ञों की सहायता लेने, ओपन-सोर्स इंटेलिजेंस (OSINT) से डेटा का उपयोग करने और कानून प्रवर्तन के साथ सहयोग करने जैसी विभिन्न सुरक्षा तकनीकों का उपयोग करके बाल तस्करी को ट्रैक करने और पहचानने में मदद करता है।

कानून
आम कानून में, प्रीटेक्स्टिंग गोपनीयता का आक्रमण है जो विनियोग का अपकृत्य है।

टेलीफोन रिकॉर्ड के बहाने
दिसंबर 2006 में, संयुक्त राज्य कांग्रेस ने एक सीनेट प्रायोजित बिल को मंजूरी दी, जिसमें टेलीफोन रिकॉर्ड के बहाने को $250,000 तक के जुर्माने और व्यक्तियों के लिए दस साल की जेल (या कंपनियों के लिए $500,000 तक का जुर्माना) के साथ एक संघीय गुंडागर्दी बना दिया गया। इस पर 12 जनवरी 2007 को राष्ट्रपति जॉर्ज डब्ल्यू बुश ने हस्ताक्षर किए थे।

संघीय कानून
1999 ग्राम-लीच-ब्लीली अधिनियम | जीएलबीए संयुक्त राज्य अमेरिका की एक संघीय सरकार है|यू.एस. संघीय कानून जो विशेष रूप से संघीय कानूनों के तहत दंडनीय अवैध कार्य के रूप में बैंकिंग रिकॉर्ड के बहाने को संबोधित करता है। जब एक व्यावसायिक इकाई जैसे कि एक निजी अन्वेषक, SIU बीमा अन्वेषक, या एक समायोजक किसी भी प्रकार के धोखे का संचालन करता है, तो यह संघीय व्यापार आयोग (FTC) के अधिकार के अंतर्गत आता है। इस संघीय एजेंसी के पास यह सुनिश्चित करने का दायित्व और अधिकार है कि उपभोक्ता किसी भी अनुचित या भ्रामक व्यावसायिक प्रथाओं के अधीन नहीं हैं। अमेरिकी संघीय व्यापार आयोग अधिनियम, संघीय व्यापार आयोग अधिनियम की धारा 5 में कहा गया है: जब भी आयोग के पास यह विश्वास करने का कारण होगा कि कोई भी व्यक्ति, साझेदारी, या निगम प्रतिस्पर्धा के किसी अनुचित तरीके या अनुचित या भ्रामक कार्य या व्यवहार का वाणिज्य में या प्रभावित कर रहा है या कर रहा है, और यदि आयोग को यह प्रतीत होता है कि एक कार्यवाही उसके द्वारा उसके संबंध में जनता के हित में होगा, यह ऐसे व्यक्ति, साझेदारी, या निगम को उस संबंध में अपने आरोपों को बताते हुए एक शिकायत जारी करेगा और तामील करेगा।

क़ानून कहता है कि जब कोई वित्तीय संस्थान या उपभोक्ता से कोई व्यक्तिगत, गैर-सार्वजनिक जानकारी प्राप्त करता है, तो उनकी कार्रवाई क़ानून के अधीन होती है। यह वित्तीय संस्थान के साथ उपभोक्ता के संबंध से संबंधित है। उदाहरण के लिए, उपभोक्ता के बैंक से उपभोक्ता का पता प्राप्त करने के लिए या उपभोक्ता को अपने बैंक के नाम का खुलासा करने के लिए झूठे बहाने का उपयोग करने वाला एक बहाना कवर किया जाएगा। निर्धारित करने वाला सिद्धांत यह है कि प्रीटेक्सिंग केवल तब होती है जब झूठी प्रस्तुतियों के माध्यम से जानकारी प्राप्त की जाती है।

जबकि सेल टेलीफोन रिकॉर्ड की बिक्री ने महत्वपूर्ण मीडिया का ध्यान आकर्षित किया है, और दूरसंचार रिकॉर्ड वर्तमान में संयुक्त राज्य अमेरिका की सीनेट के समक्ष दो बिलों का फोकस हैं, सार्वजनिक बाजार में कई अन्य प्रकार के निजी रिकॉर्ड खरीदे और बेचे जा रहे हैं। सेल फोन रिकॉर्ड, वायरलाइन रिकॉर्ड और कॉलिंग कार्ड से जुड़े रिकॉर्ड के लिए कई विज्ञापनों के साथ-साथ विज्ञापित किया जाता है। जैसे-जैसे लोग वीओआईपी टेलीफोनों की ओर शिफ्ट होते हैं, यह मान लेना सुरक्षित है कि उन रिकॉर्डों को बिक्री के लिए भी पेश किया जाएगा। वर्तमान में, टेलीफोन रिकॉर्ड बेचना कानूनी है, लेकिन उन्हें प्राप्त करना अवैध है।

प्रथम स्रोत सूचना विशेषज्ञ
दूरसंचार और इंटरनेट पर ऊर्जा और वाणिज्य उपसमिति के अध्यक्ष, यू.एस. प्रतिनिधि फ्रेड अप्टन (आर-कलामज़ू, मिशिगन, मिशिगन), ने हाउस एनर्जी एंड कॉमर्स कमेटी की सुनवाई के दौरान इंटरनेट पर व्यक्तिगत मोबाइल फोन रिकॉर्ड तक आसान पहुंच पर चिंता व्यक्त की। ऑन फोन रिकॉर्ड्स फॉर सेल: व्हाई आर नॉट फोन रेकॉर्ड्स फ्रॉम प्रेटेक्सटिंग? इलिनोइस एक ऑनलाइन रिकॉर्ड ब्रोकर पर मुकदमा करने वाला पहला राज्य बन गया जब अटॉर्नी जनरल लिसा मैडिगन ने फर्स्ट सोर्स इंफॉर्मेशन स्पेशलिस्ट्स, इंक. पर मुकदमा दायर किया। मैडिगन के कार्यालय की एक प्रवक्ता ने कहा. सूट की एक प्रति के अनुसार, फ्लोरिडा स्थित कंपनी कई वेब साइटों का संचालन करती है जो मोबाइल टेलीफोन रिकॉर्ड बेचती हैं। फ़्लोरिडा और मिसौरी के अटॉर्नी जनरल ने जल्दी से मैडिगन के नेतृत्व का अनुसरण किया, प्रथम स्रोत सूचना विशेषज्ञों के विरुद्ध और, मिसौरी के मामले में, एक अन्य रिकॉर्ड ब्रोकर - फ़र्स्ट डेटा सॉल्यूशंस, इंक. के विरुद्ध क्रमशः मुकदमा दायर किया।

T-Mobile, Verizon, और Cingular सहित कई वायरलेस प्रदाताओं ने रिकॉर्ड ब्रोकर्स के खिलाफ पहले के मुकदमे दायर किए, जिसमें Cingular ने फर्स्ट डेटा सॉल्यूशंस और फर्स्ट सोर्स इंफॉर्मेशन स्पेशलिस्ट्स के खिलाफ निषेधाज्ञा जीत ली। अमेरिकी सीनेटर चार्ल्स शूमर (डी-न्यूयॉर्क) ने फरवरी 2006 में अभ्यास को रोकने के उद्देश्य से कानून पेश किया। 2006 का उपभोक्ता टेलीफोन रिकॉर्ड संरक्षण अधिनियम मोबाइल फोन, लैंडलाइन और वौइस् ओवर इंटरनेट प्रोटोकॉल (वीओआईपी) ग्राहकों के रिकॉर्ड को चोरी करने और बेचने के लिए गुंडागर्दी आपराधिक कानून दंड बनाएगा।

हेवलेट पैकार्ड
हेवलेट पैकर्ड की पूर्व अध्यक्ष पेट्रीसिया सी. डन ने बताया कि एचपी बोर्ड ने एक निजी जांच कंपनी को यह पता लगाने के लिए नियुक्त किया कि बोर्ड के भीतर लीक के लिए कौन जिम्मेदार था। डन ने स्वीकार किया कि कंपनी ने बोर्ड के सदस्यों और पत्रकारों के टेलीफोन रिकॉर्ड मांगने के बहाने बहाने की प्रथा का इस्तेमाल किया। चेयरमैन डन ने बाद में इस अधिनियम के लिए माफी मांगी और बोर्ड के सदस्यों द्वारा वांछित होने पर बोर्ड से हटने की पेशकश की। संघीय कानून के विपरीत, कैलिफोर्निया कानून विशेष रूप से इस तरह के बहानेबाजी को प्रतिबंधित करता है। डन पर लगाए गए चार गुंडागर्दी के आरोपों को खारिज कर दिया गया।

निवारक उपाय
कुछ सावधानियां बरतने से सोशल इंजीनियरिंग धोखाधड़ी का शिकार होने का जोखिम कम हो जाता है। जो सावधानियां बरती जा सकती हैं वे इस प्रकार हैं:


 * उन प्रस्तावों से अवगत रहें जो सच होने के लिए बहुत अच्छे लगते हैं।
 * मल्टीफैक्टर ऑथेंटिकेशन का इस्तेमाल करें।
 * अज्ञात स्रोतों से अटैचमेंट पर क्लिक करने से बचें।
 * ईमेल, फोन या टेक्स्ट संदेशों के माध्यम से किसी को भी व्यक्तिगत या वित्तीय जानकारी (जैसे क्रेडिट कार्ड की जानकारी, सामाजिक सुरक्षा नंबर, या बैंक खाते की जानकारी) नहीं देना।
 * स्पैम छांटना सॉफ़्टवेयर का उपयोग।
 * ऐसे लोगों से दोस्ती करने से बचें जिन्हें आप असल जिंदगी में नहीं जानते।
 * बच्चों को किसी विश्वसनीय वयस्क से संपर्क करना सिखाएं यदि उन्हें इंटरनेट पर धमकाया जा रहा है (साइबर-धमकी) या ऑनलाइन किसी भी चीज से खतरा महसूस हो रहा है।
 * तत्काल निर्णय न लें, लेकिन जब भी संभव हो 5 मिनट का समय लें प्रस्तुत की गई जानकारी का मूल्यांकन करें।

यह भी देखें

 * (सीएसईपीएस)
 * एस, जो अक्सर समान रणनीति का उपयोग करते हैं (हालांकि आमतौर पर आपराधिक उद्देश्यों के लिए नहीं)
 * साइबर सुरक्षा जागरूकता
 * एस, जो अक्सर समान रणनीति का उपयोग करते हैं (हालांकि आमतौर पर आपराधिक उद्देश्यों के लिए नहीं)
 * साइबर सुरक्षा जागरूकता
 * एस, जो अक्सर समान रणनीति का उपयोग करते हैं (हालांकि आमतौर पर आपराधिक उद्देश्यों के लिए नहीं)
 * साइबर सुरक्षा जागरूकता
 * एस, जो अक्सर समान रणनीति का उपयोग करते हैं (हालांकि आमतौर पर आपराधिक उद्देश्यों के लिए नहीं)
 * साइबर सुरक्षा जागरूकता
 * एस, जो अक्सर समान रणनीति का उपयोग करते हैं (हालांकि आमतौर पर आपराधिक उद्देश्यों के लिए नहीं)
 * साइबर सुरक्षा जागरूकता
 * साइबर सुरक्षा जागरूकता
 * साइबर सुरक्षा जागरूकता
 * साइबर सुरक्षा जागरूकता
 * साइबर सुरक्षा जागरूकता
 * साइबर सुरक्षा जागरूकता
 * साइबर सुरक्षा जागरूकता
 * साइबर सुरक्षा जागरूकता
 * साइबर सुरक्षा जागरूकता

अग्रिम पठन

 * Boyington, Gregory. (1990). 'Baa Baa Black Sheep' Published by Gregory Boyington ISBN 0-553-26350-1
 * Harley, David. 1998 Re-Floating the Titanic: Dealing with Social Engineering Attacks EICAR Conference.
 * Laribee, Lena. June 2006 Development of methodical social engineering taxonomy project Master's Thesis, Naval Postgraduate School.
 * Leyden, John. 18 April 2003. Office workers give away passwords for a cheap pen. The Register. Retrieved 2004-09-09.
 * Long, Johnny. (2008). No Tech Hacking – A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing Published by Syngress Publishing Inc. ISBN 978-1-59749-215-7
 * Mann, Ian. (2008). Hacking the Human: Social Engineering Techniques and Security Countermeasures Published by Gower Publishing Ltd. ISBN 0-566-08773-1 or ISBN 978-0-566-08773-8
 * Mitnick, Kevin, Kasperavičius, Alexis. (2004). CSEPS Course Workbook. Mitnick Security Publishing.
 * Mitnick, Kevin, Simon, William L., Wozniak, Steve,. (2002). The Art of Deception: Controlling the Human Element of Security Published by Wiley. ISBN 0-471-23712-4 or ISBN 0-7645-4280-X
 * Hadnagy, Christopher, (2011) Social Engineering: The Art of Human Hacking Published by Wiley. ISBN 0-470-63953-9
 * N.J. Evans. (2009). "Information Technology Social Engineering: An Academic Definition and Study of Social Engineering-Analyzing the Human Firewall." Graduate Theses and Dissertations. 10709. https://lib.dr.iastate.edu/etd/10709
 * Z. Wang, L. Sun and H. Zhu. (2020) "Defining Social Engineering in Cybersecurity," in IEEE Access, vol. 8, pp. 85094-85115, doi: 10.1109/ACCESS.2020.2992807.

बाहरी संबंध

 * Social Engineering Fundamentals – Securityfocus.com. Retrieved 3 August 2009.
 * Should Social Engineering be a part of Penetration Testing? – Darknet.org.uk. Retrieved 3 August 2009.
 * "Protecting Consumers' Phone Records", Electronic Privacy Information Center US Committee on Commerce, Science, and Transportation. Retrieved 8 February 2006.
 * Plotkin, Hal. Memo to the Press: Pretexting is Already Illegal. Retrieved 9 September 2006.
 * Plotkin, Hal. Memo to the Press: Pretexting is Already Illegal. Retrieved 9 September 2006.