Testes de penetração de engenharia social é a prática de tentar esquemas típicos de engenharia social nos funcionários de uma empresa para verificar o nível de vulnerabilidade da organização a esse tipo de exploit.
Testes de engenharia social são projetados para testar a aderência dos funcionários às políticas e práticas de segurança definidas pela gerência. Os testes devem fornecer a uma empresa informações sobre como facilmente um intruso poderia convencer os funcionários a quebrar as regras de segurança ou divulgar ou fornecer acesso a informações sensíveis. A empresa também deve obter uma melhor compreensão do sucesso de seu treinamento de segurança e como a organização se empilha, em termos de segurança, em comparação com seus pares.
Testes de engenharia social podem ser conduzidos como parte de testes de penetração mais abrangentes (testes de caneta). Como os métodos de hacking ético, os próprios testes geralmente replicam os tipos de esforços que os intrusos do mundo real usam.
Testes físicos, por exemplo, podem envolver um testador tentando entrar em um prédio seguro em um momento em que muitos funcionários estão entrando, talvez falando em um telefone e carregando vários itens para ver se alguém simplesmente mantém a porta aberta ao invés de aderir ao procedimento aprovado de deixar a porta fechar depois deles, então qualquer pessoa seguindo deve usar um cartão ou crachá de funcionário para entrar.
Explorações de phishing, um método comum de engenharia social, são frequentemente usados para testar a vulnerabilidade dos funcionários. Os testadores podem enviar um e-mail supostamente de alguém da gerência pedindo ao funcionário para abrir um anexo inesperado, fornecer informações sensíveis ou visitar um site não aprovado.
Um testador pode ligar para os funcionários fingindo ser alguém da TI, fornecendo-lhes novas senhas e dizendo-lhes para mudar suas senhas atuais para as novas.
Ver a apresentação de Valerie Thomas sobre testes de canetas de engenharia social: