Social engineering é uma das formas, mas existem outras.
Desde pessoas que usam passwords incrivelmente básicas (BI, data de aniversário, alcunha) a pessoas que respondem literalmente ás perguntas de recuperação de password que certos sites, tal como a Hotmail, oferecem. Este ultima sendo a fonte de 70% de acesso a passwords de contas de Hotmail e outros afins.
Resumindo, e acrescentando com um certo toque apimentado para as pessoas terem bem a noção...
Não são eles que tem conhecimentos avançados ao ponto de acederem a bases de dados encriptadas... são apenas vocês que são parvos.
Desde usarem uma instância do Messenger ou, até mesmo, o WebMessenger num local publico a, basicamente, darem a vossa password a alguém, supostamente, de confiança, há um pouco de tudo.
Claro que existe a versão mais tecnica da coisa, o que não deixa ser fruto de algum tipo de incompetencia por parte de quem é roubada a password, o aceitarem um link/ficheiro do MSN sem sequer prestarem atenção, quanto mais terem um anti-virus minimamente actualizado e decente...
Há muito por onde se lhe pegar.
Mas, e volto a frisar, a maior parte das vezes que isso acontece, é por serem parvos...