Gli attacchi di ingegneria sociale manipolano psicologicamente le persone per indurle a compiere azioni che non dovrebbero, come scaricare malware. Gli attacchi di phishing, che utilizzano e-mail o messaggi di testo fraudolenti per ingannare gli utenti, sono particolarmente comuni. Secondo l'X-Force Threat Intelligence Index, il phishing è un fattore in 41% delle infezioni da malware.

Le e-mail e i messaggi di phishing sono spesso realizzati in modo da sembrare provenienti da un marchio o da un individuo affidabile. In genere, per convincere gli utenti a compiere l'azione desiderata, fanno leva su emozioni forti come la paura ("Abbiamo trovato nove virus sul tuo telefono!"), l'avidità ("C'è un pagamento a tuo favore che ti aspetta!") o l'urgenza ("Affrettati, il tempo sta per scadere! Riscatta subito il tuo regalo, è gratis!"). Di solito, l'azione consiste nell'aprire un allegato e-mail dannoso o nel visitare un sito Web dannoso che installa il malware sul dispositivo.