Se me ha pedido que pruebe los agujeros de seguridad de una empresa. Creé una cuenta de correo electrónico que se parece a la dirección de su departamento de TI y todo el mundo está cumpliendo :) Solo les he pedido que me envíen algunas cosas simples como sus IP de WAN. Sin embargo, quiero ir un paso más allá, ¿quizás algún acceso de puerta trasera? o algunos archivos de su computadora? Nada malicioso, cosas de sombrero blanco, etc.
¿Qué me recomiendan en el próximo correo electrónico?
Primero que nada, lo que estás haciendo suena como un bolígrafo. prueba / prueba de seguridad. Es muy importante al hacer este tipo de prueba para asegurarse de que tiene un documento de alcance firmado por alguien con autoridad en la empresa que está realizando la prueba, ya que sin eso podría hacer algo con lo que la empresa no estaría contenta. Además, sin la autorización de la empresa, algunas acciones infringirán las leyes locales sobre delitos informáticos.
Suponiendo que tenga una autorización general para los ataques de estilo de "ingeniería social", dependerá de su objetivo.
Lea otras preguntas en las etiquetas social-engineering