Il penetration test di ingegneria sociale è la pratica di tentare le tipiche truffe di ingegneria sociale sui dipendenti di un'azienda per accertare il livello di vulnerabilità dell'organizzazione a quel tipo di exploit.
Il test della penna di ingegneria sociale è progettato per testare l'aderenza dei dipendenti alle politiche e alle pratiche di sicurezza definite dalla direzione. I test dovrebbero fornire a un'azienda informazioni sulla facilità con cui un intruso potrebbe convincere i dipendenti a infrangere le regole di sicurezza o divulgare o fornire accesso a informazioni sensibili. L'azienda dovrebbe anche comprendere meglio il successo della propria formazione sulla sicurezza e come l'organizzazione si posiziona, dal punto di vista della sicurezza, rispetto ai suoi colleghi.
I test di ingegneria sociale possono essere condotti come parte di test di penetrazione più completi (test di penna). Come i metodi di hacking etico, i test stessi generalmente replicano i tipi di sforzi utilizzati dagli intrusi del mondo reale.
I test fisici, ad esempio, potrebbero coinvolgere un tester che cerca di entrare in un edificio protetto in un momento in cui molti dipendenti stanno entrando, magari parlando al telefono e portando più oggetti per vedere se qualcuno tiene la porta aperta invece di aderire alla procedura approvata di lasciare che la porta si chiuda dopo di loro, quindi qualsiasi persona che segue deve utilizzare una tessera o un badge per l'ingresso.
Gli exploit di phishing, un metodo comune di ingegneria sociale, vengono spesso utilizzati per testare la vulnerabilità dei dipendenti. I tester potrebbero inviare un'e-mail presumibilmente da qualcuno nella direzione chiedendo al dipendente di aprire un allegato imprevisto, fornire informazioni sensibili o visitare un sito Web non approvato.
Un tester potrebbe chiamare i dipendenti fingendo di essere qualcuno nell'IT, fornendo loro nuove password e dicendo loro di cambiare le loro password attuali con quelle nuove.
Guarda la presentazione di Valerie Thomas sul test della penna di ingegneria sociale: