一个确定的渗透试验器或者攻击者无法欺骗其攻击目标发出敏感信息，这种情况很少见。信息的有用度以及获取信息的难度取决于该组织的安全控制。如果你不将社会工程结合到评估库中，你就忽略了一个威胁载体，它可能明显地影响公司的风险漏洞。

　　仔细规划——许多情况危如累卵

　　在社会工程测试中，很容易就能突破你的限制：在电话交谈中将目标雇员排除在外；在网络钓鱼中过度询问一些个人问题；在物理安全测验中，走进一个禁止进入的区域。这就是为什么仔细规划对项目成功是至关重要的。

　　你在测试什么？

　　对于一个有用的社会工程测试而言，必须要明确定义目标。“获取敏感信息”通常是模糊不清的，并可能带来谴责、破坏感情和法律诉讼。考虑将目标锁定在组织在安全项目中做了定义的控件上。
比如：

• 安全意识说明解释了如何识别网络钓鱼诡计。测试多大比例的目标雇员会在你所发送的类似网络钓鱼邮件中点击链接。
• 问讯处培训材料概括了为丢失密码的访客重置密码的程序。当你模仿一个不能登录的同事时，测试问讯处工作人员是否遵守协议。
• 一些陌生人在入口处紧跟在某个雇员后面，雇员刷卡后他们也随之进入。安全策略警告员工不允许这些陌生人进入办公室。当他们开门的时候，你试着跟着进入，测试一下员工是如何反应的。
  没有特定的目标，虽然社会工程测试可能想象出一些风险事故，但是它不会提出可行的建议来完善该组织的安全状况。

　　研究并设计情节

　　你可以创造一些情节，帮助你实现目标，是否通过电子邮件、电话、邮政邮递、即时通讯或人工进行测试？如果你还没有理解其业务、行业术语、整个层次和社会结构，你就需要对这个组织进行研究。

　　然后你就需要像黑客一样思考问题，研究人们的心理倾向，比如：

• 人们希望免费获得一些东西：“您赢得了办公室奖品！点击这里获得您的礼物。”
• 人们同情那些身处困难之中的人：“请重新设置一下我的密码。如果我不及时刷工作卡，老板会杀了我！”
• 人们回报那些提供帮助的人：你帮别人捡起了掉在地上的纸张；他打开门让你进入。
• 你的情节应该详细指出测试对象是社会工程学中设计的个人还是团体、测试的时间、地点、以及说服策略。说明法律、合同承诺、策略和公司文化。另外，考虑出错的可能性，并确定终止和扩大测试的程序。

　　一些警告

　　要考虑到目标个体被欺骗以后的反应。如果你以后不得不与其一起工作，你可能失去的良好愿望，也可能因此付出代价。出于这个原因，尽管有警告，公司也可能会出错，通常选择非个人的电子邮件情节，来取代电话或亲自面对面的情节。

　　如果你的经理或客户，或者他们的经理没有正式批准一份关于情节的书面文件，你就极有可能陷入困境。如果你是一个顾问，在接受项目之前，咨询律师的看法，是非常明智的。

　　引导测试并分析结果

　　在测试过程中作记录。当与很多人交流时，你可能变得迷惑。尤其要注意那些会影响到你所测试的控件的指示器。这可能包括监控由网络钓鱼方式收集的数据，维护电话谈话的日志，或者拍摄你周围的物理空间。有了这些正确的指标，你可以估计以人为中心控件的效率，而传统评估方法很难测出该控件的效率。