Allgemein geht es beim Social Engineering darum, den Faktor "Mensch" als potentielle Schwachstelle zu untersuchen. Dabei können unterschiedliche Zielsetzungen eine Rolle spielen.

Die am häufigsten beauftragte Spielart von Social Engineering Tests ist das versenden von Phishing E-Mails. Die "Angreifer" versuchen dabei meist die Zielperson dazu zu bringen ihre Zugangsdaten in eine gefälschte Webmaske einzugeben (Credential-Phishing) oder sie dazu zu bewegen eine (simulierte) Schadsoftware auszuführen. Das Veranlassen von Zahlungen (Business E-Mail Fraud) oder andere für die betroffenen ungünstiger Handlungen werden im Rahmen von Penetrationstests eher selten verwendet.

Neben E-Mails können vergleichbare Tests auch über andere Kommunikationskanäle wie z.B. Telefon (Voice -> Vishing), Kurznachrichten (SMS -> Smishing Attack) oder ähnliche Dienste durchgeführt werden. Mit entsprechendem Aufwand lassen sich auch Videokonferenzen mit simulierten Gesichtern realer Gesprächspartner umsetzen. Im Zuge immer leichter verfügbarer KI-Modelle zur Sprach- und Videosimulation ist es vorstellbar, dass die Häufigkeit realer Angriffe hier zukünftig zunimmt.

Schließlich kann Social Engineering auch zur Prüfung der physischen Sicherheit eines Unternehmens eingesetzt werden. In diesem Fall versuchen die Tester unerkannt möglichst weit auf das Gelände bzw. in dei Gebäude des beauftragenden Unternehmens vorzudringen, um vorab vereinbarte Ziele zu erreichen (physischer Zugang zum internen Netzwerk, platzieren eines Gerätes in der IT-Infrastruktur, Zugang zu besonders sensiblen Räumen, z.B. Serverräume, Entwicklungsabteilung, Personal oder Geschäftsführungsbüro). Bei solchen Tests ist es unerlässlich, dass die Durchführenden einen direkten und stets erreichbaren Ansprechpartner im Unternehmen und ein entsprechendes Schriftstück erhalten, um im Falle der Entdeckung die Berechtigung ihrer Anwesenheit nachweisen zu können (Get-Out-Of-Jail-Card).

Der Fokus von Social Engineering kann also sehr unterschiedlich sein. In der Regel wird vor der Beauftragung ein eingehendes Gespräch über die zu erreichenden Ziele und die erlaubten und nicht erlaubten Methoden geführt, um die Vorgehensweise und Grenzen genau abzustimmen. 

Bei der Berichterstellung ist es ggf. nicht immer möglich die Beteiligten vollständig zu anonymisieren (z.B. lässt der Dienstplan Rückschlüsse auf die Person des Pförtners zu, der den Angreifer hereingelassen hat). Daher ist es wichtig sich vor der Beauftragung entsprechender Tests über mögliche Konsequenzen abzustimmen und einen ggf. etablierten Betriebsrat mit einzubinden. Personelle Konsequenzen aus den Testergebnissen sollten ausgeschlossen werden. Diese wären ohnehin eher kontraproduktiv, da die Personen, die auf den Test hereingefallen ist, in der Folge meist diejenige ist, die zukünftig das höchste Maß an Skepsis gegenüber vergleichbaren Situationen zeigt.