Normale Social-Engineering-Versuche versetzen den Hacker immer in eine Situation, in der er sich Informationen von Mitarbeitern oder aus dem Web bzw. den Mülleimern selbst holen muss. Dies kann dazu führen, dass bei den Mitarbeitern Zweifel aufkommen, ob das Passwort hätte genannt werden sollen usw.

Deutlich trickreicher sind Reverse-Social-Engineering-Methoden, die darin enden, dass der Mitarbeiter dem Hacker die gewünschten Informationen freiwillig gibt.

Zum Beispiel könnte der Hacker einen Telefonanruf durchführen und sich als neuer Helpdesk-Mitarbeiter ausgeben - mit entsprechender Rufnummer. Beim Auftreten eines Problems würde der betroffene Mitarbeiter dann den Hacker um Hilfe bitten - dieser benötigt wiederum zur Lösung des Problems nur schnell einige Daten.

Für einen Hacker wird es keine Schwierigkeit sein, die Ursache des Problems zu beheben, da Sie davon ausgehen können, dass der Hacker für ein Problem im Netzwerk sorgen wird, um auch wirklich angerufen zu werden.

Fehlermeldung mit der Aufforderung, einen Supportmitarbeiter anzurufen

Idealerweise schafft der Hacker es, dem Benutzer beim Zugriff im Netzwerk oder in einer bestimmten Software eine entsprechende Fehlermeldung anzuzeigen. Der Rückruf erfolgt nun hier seitens des Benutzers, der dem vermeintlichen Supportmitarbeiter ohne Argwohn Auskunft über sensible Zugangsdaten gibt.

Der Vorteil aus der Sicht des Hackers ist beim Reverse Social Engineering, dass der Benutzer ihn kontaktiert, um die gewünschten Daten zu übermitteln, und dass diese Ereignisse weniger verdächtig sind und somit nicht so lange im Gedächtnis bleiben.

Der Nachteil für den Hacker ist, dass diese Methode eine deutlich längere Vorbereitungszeit, genauere Planung und möglicherweise auch schon einen Zugang zum Netzwerk oder zum Computer des Anwenders voraussetzt.