Telepítheted a legerősebb és legdrágább, ipari szintű tűzfalat, képezheted az alkalmazottakat, hogy betartsák az elemi, biztonsági eljárásokat, és hogy használjanak erős jelszót, vagy akár a szerverszobát is lezárhatod, az sem fog megvédeni a social engineering támadásoktól. Mindenki tisztában van ezzel, aki részt vesz valamilyen szintű biztonsági tudatossági programban. Megtörténhet holnap, megtörténhet ma, de lehet, hogy már meg is történt. Egy most megjelent írásában az ismert fejlesztő és hacker DarkCoderSc (Jean-Pierre LESUEUR) leírja, hogy milyen könnyű volt social engineering módszerrel becsapni a Skype Support csoportot, hogy tetszőleges Skype fiókhoz hozzáférést szerezzen.

Az elmúlt időszakban számos betörésről kaptunk hírt: a Federal Reserve Bank, a The New York Times és még a Bush család is, hogy csak párat említsünk meg a sok esetből. Az ilyen esetek után milyen esélyeink vannak? Hogyan védhetjük meg magunkat? Mint bármilyen más esetben, az első lépés a védekezés és megelőzés felé az, hogy megértjük magát a fenyegetést. Egy számítógépes hálózat több mint a hardverek és a szoftverek összessége, mivel hozzá tartoznak az emberek is, akik hozzáférhetnek a hálózathoz. És ezzel már el is jutottunk minden rendszer legveszélyesebb sérülékenységéhez: a felhasználóhoz. Gyakran előfordul, hogy a bonyolult kódok írása helyett a betörő csak meggyőzi az egyik felhasználót arról, hogy kinyissa neki az ajtót, amin be tud sétálni. Ezt a módszert úgy nevezik, hogy social engineering. Egy tipikus csel, hogy a támadó megszemélyesít valakit - például egy vállalati technikust vagy valaki mást az irodából (akár valódi munkatárs nevét használva) - majd azzal az ürüggyel, hogy valamilyen ellenőrzést végez, meggyőzi a felhasználót, hogy megadja a jelszavát.

Bár az információ biztonsági iparban jelen lévő cégek többsége az összetett hardver eszközök használatát preferálja a veszélyek kivédése érdekében, a művészi szintre emelt hazugságok ellen ezek a védelmi módszerek mit sem érnek. A bűnözők által gyakran használt social engineering jelentette veszély minden alkalommal bekerül a hírekbe, de azok az esetek is, ahol nincs károkozási szándék. A közelmúltban a Savannah State University két diákja social engineering módszerrel jutott be a Super Bowl-ra, és a "kalandjaikról" videót is tettek közzé. Nyilvánvaló, hogy a világ legnagyobb sporteseményén a biztonsági szint megfelelő volt, mégis ki lehetett használni a rendszer gyenge pontjait.

A social engineering jelenti a legnagyobb veszélyt a vállalatokra. A ebben a támadási formában egy jogosultsággal rendelkező személyt a támadó rávesz arra, hogy megtévesztést követően átadja az információit, vagy lehetőséget ad arra, hogy illetéktelen személy beférkőzzön a rendszerbe. A Symantec jelentése szerint sok cég nem foglalkozik az ismert biztonsági hiányosságokkal, amelyek miatt fokozottabban ki  vannak téve a támadás veszélyének. A veszély pedig fokozódik, mert a social engineering támadást elkövetők folyamatosan változtatnak a módszereiken. A jelentés az oktatás és technológiai megoldás keverékét ajánlja a probléma megoldására.

A Check Point Software biztonságtechnikai cég tanulmánya rámutat, hogy a social engineering mára egy gyakori támadási formává vált és a hackerek előszeretettel használják a cégekhez való bejutáshoz. A felmérésben 850 informatikával és információbiztonsággal foglalkozó céget kérdeztek meg, a világ szinte minden tájáról. Az eredmények azt mutatják, hogy a cégek 48 százaléka esett már áldozatul social engineering támadásnak és az elmúlt két évben 25-nél is több támadási kísérletet tapasztaltak. A jelentés szerint egy átlagos social engineering támadás 25000-100000 dollár kárt okoz az adott cégnek incidensenként.

Egy felmérés kimutatta, hogy az angol cégek közel 42%-a esett már áldozatul social engineering-ből származó támadásnak és ebből fakadó kárnak, csak kevesebb mint 1/3-uk igyekszik tenni is ez ellen, és rendszeres felkészítést tartani munkatársainak.

Kis hozzáértéssel bárki könnyen találhat olyan céget, amelynek rendszere nem naprakész, szoftverei nincsenek frissítve vagy rendelkeznek javítatlan sérülékenységgel. Innentől már gyerekjáték. Csak küldjön egy hamis levelet a végfelhasználónak csatolmányban egy exploittal. A social engineering ez a formája könnyen kivitelezhető és általában működik. Gondoljunk csak az amerikai kormánynak is dolgozó kutatólabor, az Oak Rigde National Lab esetére, ahol a hamis levelet egy HR-es kolléga nyitotta meg. A leegyszerűbb megoldás, ha mondjuk küld egy levelet a cég vezérigazgatója vagy pénzügyi vezetője nevében a következő tárgyal: "Függőben lévő elbocsájtások 2011". 10 másodperc alatt dolgozók tucatja nyitják majd meg szabad utat adva ezzel az exploitoknak.