Ma non sono sempre le qualità dell’uomo ad essere al centro dei tentativi di manipolazione. Anche l’essere orgogliosi del proprio lavoro o dei propri successi può spingere lavoratori e dirigenti a vantarsi di informazioni sensibili, ad esempio durante una valutazione della soddisfazione dei clienti o un colloquio di lavoro. Spesso la tendenza ad evitare conflitti comporta che vengano eseguite azioni poco sicure contro ogni buon senso. Invece, la paura fa compiere azioni avventate, come ad esempio quella di fornire informazioni dettagliate sul router e sulla sua configurazione ad un presunto tecnico al telefono che paventa un pomeriggio senza Internet. Chiamate di questo tipo intimidiscono soprattutto i lavoratori con poche conoscenze informatiche perché sono piene di termini tecnici a loro sconosciuti. I “social hacker” si approfittano anche della paura dei superiori, infatti un tipico trucco è fingere un ordine di pagamento da parte del capo.
Per ingannare le loro vittime, i truffatori si fingono solitamente colleghi, superiori o candidati. Gli hacker si calano così nel ruolo di un impiegato del servizio che deve raccogliere informazioni sul grado di soddisfazione dei clienti o che deve condurre per conto di un istituto di ricerca un sondaggio del settore.
I così chiamati ingegneri sociali non si limitano necessariamente ad un unico contatto. È possibile anche chiedere alla vittima dopo un certo periodo alcuni piccoli favori o continuare a farsi risentire di tanto in tanto. Il tentativo di hacking vero e proprio avviene solo quando si è instaurato un certo rapporto di fiducia e l’hacker ha raccolto le informazioni necessarie per poter ingannare la vittima facilmente. Ma uno spionaggio di questo tipo presuppone una ricerca dispendiosa. Tra le possibili fonti di informazione rientrano, oltre alla pagina aziendale, i social network come Facebook o LinkedIn e alcuni criminali si spingono addirittura molto oltre con il “dumpster diving”, ricercando nel cestino della vittima documenti di lavoro buttati senza pensarci troppo.
L’ingegneria sociale per e-mail o per telefono è molto comune perché permette l’automatizzazione di questi attacchi con pochi accorgimenti tecnici. Il rischio di rivelare inavvertitamente segreti aziendali o dati di accesso esiste anche nei mezzi pubblici o in luoghi come bar, ristoranti o locali, quando più colleghi conversano in un’atmosfera rilassata sui numeri, i processi o i contatti dell’azienda. Anche i dipendenti che hanno conversazioni di lavoro al telefono discutono spesso di informazioni riservate alla luce del giorno e senza preoccuparsi di possibili ascoltatori.