Muchas organizaciones requerirán se pruebe la postura de seguridad, de una manera la cual se alinee con las ataques actuales. Los ataques de Ingeniería social y Spear-Phishing son ampliamente utilizados por muchos atacantes en la actualidad. Mientras la mayoría de los ataques exitosos utilizan pretextos como sexo, drogas, etc. algunos de estos pretextos podría no ser aceptable en el entorno de la organización. Consecuentemente se debe estar seguro de cualquier pretexto elegido sea aprobado por escrito antes de iniciar las pruebas.

Ingeniería Social

Es la manipulación sicológica de las personas, para realicen acciones o divulguen información confidencial. Un ejemplo de ingeniería social es utilizarlo en la función de “olvidar la contraseña”, para un sitio web en el cual se requiere hacer login. Un sistema inadecuadamente asegurado para la recuperación de contraseñas, puede ser utilizado para otorgar a un atacante malicioso acceso completo hacia la cuenta del usuario, mientras el usuario original perdería el acceso hacia su cuenta.

Spear Phishing

El Spear-Phishing involucra a un atacar directamente a una persona u organización específica, utilizando mensajes de correo electrónico a medida para “pescar”. En contraste con el Bulk-Pishing, en el Spear-Phishing los atacantes frecuentemente obtienen y utilizan información personal sobre aquellos a atacar, incrementando así la probabilidad de un ataque exitoso. El Spear-Phishing típicamente ataca ejecutivos u aquellos quienes trabajan en departamentos financieros, los cuales tienen acceso hacia datos y servicios financieros sensibles.

Fuentes:

http://www.pentest-standard.org/index.php/Pre-engagement#Define_Acceptab...
https://en.wikipedia.org/wiki/Social_engineering_(security)
https://en.wikipedia.org/wiki/Phishing#Spear_phishing