L’ingegneria sociale (più comune l’inglese social engineering) è una delle tattiche più utilizzate per sfruttare le vulnerabilità di una rete o di un sistema informatico. Il termine qualifica tutta una serie di meccanismi di manipolazione dell’utente attraverso l’interazione umana e, nello specifico, attraverso la costruzione di un rapporto di fiducia e confidenzialità tra l’aggressore e l’utente-vittima. Si tratta di una strategia in cui il malintenzionato, da solo o in gruppo, manipola l’utente al fine di carpire informazioni sensibili o far compiere alla vittima stessa azioni che siano tali da compromettere la sicurezza del sistema informatico nel mirino dell’aggressore. 

Le tattiche utilizzate sono varie; il phishing, l’impersonificazione, il vishing, lo spear phishing sono le più frequenti. Sono accomunate dallo sfruttamento intenzionale delle vulnerabilità umane per conseguire obiettivi illeciti, come il furto d’identità o password o denaro. 

Gli attacchi di ingegneria sociale sono molto più complessi da contrastare e da prevenire proprio perché si basano sulla psicologia, sui comportamenti e sul coinvolgimento delle emozioni umane.