In der Praxis werden einerseits häufig Positionen zusammengelegt, insbesondere wenn es sich um eine einzige, begrenzte Operation handelt. Im Falle von mehreren parallelen Operationen ist dies insoweit nicht sinnvoll, da ansonsten leicht der Überblick verloren gehen kann.
Auch wenn die Mehrzahl des Social Engineering von relativ kleinen, diskreten Teams durchgeführt wird, ist dies nicht zwingend. Im Falle von großen Operationen verwenden Hackergruppen wie Anonymous, organisierte Kriminalität oder staatliche Dienste parallel Dutzende bis hunderte von Teammitgliedern. Beispiele hierfür sind er Chinesische Geheimdienst, Nordkoreanische Dienste, Abteilungen der Hamas sowie südamerikanische Drogenkartelle. Ähnliches soll - wenn auch mit anderer Stoßrichtung – nach Aussagen ehemaliger Mitarbeiter für Teile der Belegschaft des Online-Dating-Portals Ashley Madison gelten.
Ashley Madison, ein in den USA ansässiger Webdienstleister für Partnersuche bei Seitensprüngen, war im Sommer 2015 in die Schlagzeilen geraten als eine Hackergruppe den gesamten Datenbestand der ca. 32 Millionen Mitglieder nach vorheriger Ankündigung online gestellt hat. Bei der Auswertung dieser Daten stellte sich heraus, dass zum einen Daten ehemaliger Mitglieder trotz Bezahlung einer entsprechenden Dienstleistung nicht gelöscht worden waren sowie zum Anderen, dass mehr als 90 % der Profile männlich waren. Die vorhandenen weiblichen Mitglieder waren nach den veröffentlichten Datensätzen in Masse keiner echten Person zuzuordnen sondern hatten Lockvogelcharakter. Diese Praxis deckte sich im Übrigen mit von ehemaligen Mitarbeitern geäußerter Kritik. Die Veröffentlichung löste sowohl eine Polemik bezüglich der Geschäftspraktiken als auch eine Hexenjagd auf Mitglieder aus in deren Verlauf es zu Erpressungsversuchern von Nutzern durch Dritte kam.
Chronik: Die größten Datendiebstähle
Der japanische Unterhaltungskonzern Sony meldet das illegale Ausspähen mehrerer Server. Betroffen sind 77 Millionen Nutzer, die sich auf der Plattform der Spielkonsole „Playstation“ registriert hatten.
Hacker erschleichen sich den Zugang zu Rechnern des Online-Bekleidungsshops Zappos und stehlen 24 Millionen Kundendaten. Zappos ist eine 100-prozentige Tochter des Web-Warenhauses Amazon.
Vodafone zeigt den Diebstahl von zwei Millionen Kundendaten in Deutschland an. Ein Hacker stahl von Rechnern des Mobilfunkkonzerns Namen, Adressen und Kontodaten.
Hacker dringen in Datenbanken des US-Softwareherstellers Adobe ein und stehlen Listen mit 152 Millionen Nutzerdaten. Sie konnten dabei auch die verschlüsselt gespeicherten Passwörter knacken.
In Datenbanken der US-Warenhauskette Target dringen Hacker ein und stehlen 110 Millionen Kundendaten, darunter knapp 40 Millionen Kredit- und EC-Kartendaten.
Die Datenbank des Online-Auktionshauses Ebay wird angezapft. Die Hacker, die über gestohlene Mitarbeiterzugänge eindrangen, kommen in den Besitz von 145 Millionen Daten inklusive Passwörter und weiteren persönlichen Daten.
Bei der US-Baumarktkette Home Depot knacken Hacker die Sicherheitsvorkehrungen von Zahlungssystemen. Die Kreditkartendaten von 56 Millionen Kunden werden ausspioniert.
Die US-Bank JP Morgan wird Opfer eines groß angelegten Cyberangriffs. Daten von 76 Millionen Privatkunden und sieben Millionen Firmenkunden fallen in die Hände von Hackern. Ausgespäht wurden Name, Adresse, Telefonnummer und E-Mail-Adresse.
Das Beispiel Online-Dating-Portal zeigt anschaulich auf, dass selbst vermeintlich harmlose Daten schnell zum Problem werden können, falls sie in die falschen Hände geraten. Wer ein Profil bei Xing, LinkedIn oder Facebook anlegt, verwendet tendenziell dieselben Informationen über sich wie ein Nutzer eines Online-Dating-Portals. Dennoch sind die Konsequenzen des Bekanntwerdens dieser Daten alles andere als identisch. Im ersteren Falle kann das wenig bis keine praktischen Konsequenzen haben. Im letzteren Falle kann bereits die Androhung der bloßen Veröffentlichung der Daten den Nutzer unter erheblichen Druck setzen und diesen zu einem bestimmten Verhalten zwingen.
Vorbereitung
In der ersten Phase werden die Grundlagen für eine erfolgreiche Operation gelegt. Hierzu nutzt die Operation Mittel und Techniken von OSINT und Knowledge Management: Durch Auswertung von bereits bekannten Informationen sowie durch das Datenschürfen (Data Mining) von Blogs, Nachrichtenseiten, Unternehmenswebseiten, Veröffentlichungen und sozialen Medien wird ermittelt, wo sich die gewünschten Informationen finden lassen.