¿En un pentest es común y/o legal emplear técnicas de ingeniería social basada en interacción directa? Es decir hacerse pasar por otra persona por medio de manipulación cara a cara, tirar pen drives por la empresa, hacer trashing, hacer llamadas telefónicas para sacar información etc... esto lo puede hacer un hacker etico como parte de una prueba de penetración o esto es solo cosa de Black hat hackers?
Buen día
Depende del pentest de los alcances pre establecidos para el mismo, enumero hay de caja blanca , negra y algunos casos de caja gris.
Donde tenes datos o no tenes nada...de ahí inicias.
Se puede pre establecer con el cliente las herramientas (trashing,spear phishing,phishing,vishing,ingenieria social,PLN,).
Igualmente las herramientas están...solo depende dejar en claro a través de un informe final confidencial del pentest para el cliente.
En la entrega confidencial del informe esta la diferencia entre un hacking etico de uno con otras intenciones.
Recuerdo un vector de ataque para un ensayo al arquero de boca Esteban Andrada.
Se opto por un ataque de spear phishing mas uno de vishing , un app maliciosa , con datos de ingeniería social recolectados en el proceso inicial.
Saludos.
Si hablamos de un pentest, el primer paso a su realización es el acuerdo, establecimiento de pautas, límites, alcance, etc. que se acordarán con el cliente. Eso estará dentro de un marco de legitimidad.
Ahora si te refieres a una intrusión sin consentimiento, los límites éticos estarán conforme a tu propia ética o moral.
Saludos
Gabriela
Todo va a depender de lo que se especifique en el contrato y las técnicas que te permita realizar la empresa, lo más normal es utilizar ingeniería social ya que conviene siempre mantener alerta a los empleados, y hacerlos caer en pishing aunque sea falso, suele ser una situación que ayuda mucho a concienciar xd.