Social engineering penetration testing is de praktijk van het proberen van typische social engineering scams op de werknemers van een bedrijf om de mate van kwetsbaarheid van de organisatie voor dat soort exploit vast te stellen.
Social engineering pentests zijn ontworpen om te testen of de werknemers zich houden aan het beveiligingsbeleid en de praktijken die door het management zijn gedefinieerd. Tests moeten een bedrijf informatie verschaffen over hoe gemakkelijk een indringer werknemers kan overtuigen om beveiligingsregels te overtreden of om gevoelige informatie te onthullen of toegang daartoe te verlenen. Het bedrijf zou ook een beter inzicht moeten krijgen in hoe succesvol hun beveiligingstraining is en hoe de organisatie er qua beveiliging voor staat in vergelijking met hun concurrenten.
Social engineering-tests kunnen worden uitgevoerd als onderdeel van uitgebreidere penetratietests (pentests). Net als bij methodes voor ethisch hacken, worden bij deze tests doorgaans de pogingen van echte indringers nagebootst.
Fysieke tests kunnen bijvoorbeeld inhouden dat een tester een beveiligd gebouw probeert binnen te komen op een moment dat veel medewerkers binnenkomen, misschien met een telefoon praat en meerdere voorwerpen bij zich heeft om te zien of iemand gewoon de deur openhoudt in plaats van zich te houden aan de goedgekeurde procedure om de deur achter zich te laten sluiten zodat iedereen die volgt een werknemerspas of -badge moet gebruiken om binnen te komen.
Phishing-exploits, een veelgebruikte social engineering-methode, worden vaak gebruikt om de kwetsbaarheid van medewerkers te testen. Testers kunnen een e-mail sturen die zogenaamd van iemand van het management komt, waarin de werknemer wordt gevraagd een onverwachte bijlage te openen, gevoelige informatie te verstrekken of een niet-goedgekeurde website te bezoeken.
Een tester kan werknemers bellen die zich voordoen als iemand van de IT, hen nieuwe wachtwoorden geven en hen vertellen hun huidige wachtwoorden te wijzigen in de nieuwe.
Zie de presentatie van Valerie Thomas over social engineering pentests: