Primero que nada, lo que estás haciendo suena como un bolígrafo. prueba / prueba de seguridad. Es muy importante al hacer este tipo de prueba para asegurarse de que tiene un documento de alcance firmado por alguien con autoridad en la empresa que está realizando la prueba, ya que sin eso podría hacer algo con lo que la empresa no estaría contenta. Además, sin la autorización de la empresa, algunas acciones infringirán las leyes locales sobre delitos informáticos.
Suponiendo que tenga una autorización general para los ataques de estilo de "ingeniería social", dependerá de su objetivo.
- Pedirle a un usuario que abra un archivo que le dé acceso a la red interna sería una opción (usar algo como SET o Metasploit para generar la carga útil
- Pida a un usuario que proporcione su contraseña. De acuerdo con su alcance, si es exitoso, puede usar esto para acceder a sistemas de correo web para demostrar que los atacantes pueden obtener acceso no autorizado a la información de la compañía de esta manera.