Bedrijven maken zich ernstig zorgen over online diefstal van klantgegevens, toch vergeten ze dat het vaak kinderlijk eenvoudig is om de informatie via de voordeur mee te nemen. Wie zich voordoet als een computerreparateur of auditor wordt vaak geen strobreed in de weg gelegd, aldus een Amerikaanse pentester die via social engineering aanvallen duizenden identiteiten wist te stelen. "Het wordt vergeten en over het hoofd gezien," aldus Joshua Perrymon.

Met zijn team verkleedt hij zich vaak als ambtenaar van een inspectiedienst. Met vervalste rijbewijzen en ID-kaarten komen ze dan op het drukst van de dag binnen. "In 98% van de gevallen vraagt iemand of ik hulp of iets anders nodig heb. Dan ga ik met die persoon zitten en vraag ze dertig vragen over hun interne beveiligingsprocedures, alarmen, etc."

De volgende stap is het rondlopen door het kantoor op zoek naar een lege werkplek. "In veel gevallen bevinden de klantgegevens zich op het bureau, dus neem ik ze mee. Mijn favoriete actie is het openen van een kast en zeven of acht mappen mee te nemen en die onder mijn clipboard te stoppen. We proberen altijd binnen zeven minuten weer buiten te staan."

Een andere keer stond Perrymon voor een datacenter met een grote doos van een leverancier. Een behulpzame medewerker van het datacenter opende de deur en liet hem binnen. "Ik liep naar binnen, opende de doos en sloot mijn apparatuur direct aan op de backbone van een grote ISP." Ondanks het gebruik van vervalste identiteitspapieren, hoeft de social engineer die nauwelijks te laten zien. "Wat we willen zien is of het een werknemer opvalt dat we geen echte badge hebben. Daarom maken we onze identiteiten niet perfect, zo dat ze het kunnen zien. Maar in negen van de tien keer vragen ze je niets."