Az alkalmazottak félrevezethetősége az egyik legsúlyosabb nem-technikai jellegű információbiztonsági kockázat a szervezetek életében. Ez természetesen igaz informatikai szempontból is, a hacker támadások jelentős hányada használ social engineering eszközöket is.
A sikeres social engineering támadás sokkal inkább művészet, mintsem tisztán tudományos megközelítés, éppen ezért nem célravezető a formális módszertanok használata ezen a területen – így megközelítésünket is ennek mentén alakítottuk ki. Leginkább a célok és az engedélyezett módszerek pontos meghatározására fókuszálunk, és hagyjuk, hogy e keretrendszeren belül a tesztelést végző kollégáink kreatívan érvényesíthessék képességeiket. Általános szabály azonban, hogy olyan módszereket nem használunk, amelyek emberi sérülést, vagy az eszközökben kárt okoznának.
Néhány példa a tesztelési módszerekre:
- Hamis email-ek vagy félrevezető telefonbeszélgetések során próbálunk felhasználói azonosító adatokat szerezni, vagy kártékony programokat futtatni rendszerhozzáférés megszerzése érdekében
- Tail-gating / piggybacking (jogosult belépők mögötti besurranás) módszerével zárt informatikai területekre való bejutás
- A biztonsági őrök és recepciósok szabálykövetésének és éberségének tesztelése
- Az alkalmazottak figyelmének és tettrekészségének tesztelése az épületben közlekedő idegen kapcsán
A social engineering tesztek kivitelezését mindig gondosan megtervezzük, és az ügyfél felelőseivel együtt figyelemmel kísérjük azok végrehajtását.