SET : usage encadré
Gouvernance des simulations, consentement, données synthétiques, mesure de sensibilisation et Social-Engineer Toolkit.
Outil
SET automatise des scénarios de social engineering pour des assessments autorisés. Ses fonctions peuvent générer des pages ou contenus sensibles ; elles doivent rester dans un lab ou une campagne approuvée.
Approche recommandée
- installation dans une VM isolée ;
- domaine et certificat de test ;
- page conçue par l’organisation ;
- aucune copie d’un vrai portail de connexion ;
- aucun payload ;
- aucune collecte de credentials ;
- logs minimaux ;
- suppression après campagne.
Laboratoire
Utilise une page affichant seulement : “Simulation réussie — aucune donnée n’a été collectée”, et un identifiant de campagne non personnel.
Ce qui n’est pas fourni
Le portail ne détaille pas la création de clones de sites, de credential harvesters, de pièces jointes malveillantes ou de payloads.
Debrief
Explique les signaux du scénario et améliore le processus : adresse externe, domaine similaire, urgence, demande inhabituelle, MFA fatigue ou validation téléphonique.