In che modo le gare INFOSEC si occupano di ingegneria sociale?

Non sono sicuro che tu capisca i tipi comuni di competizioni di sicurezza. La maggior parte di essi è specifica per i professionisti della sicurezza e non ha nulla a che fare con ciò che un utente non attento alla sicurezza farebbe.

Alcuni esempi: come sfruttare le vulnerabilità rare o difficili da trovare, collegare insieme diverse vulnerabilità, scrivere zero-giorni, identificare i sistemi da informazioni limitate ecc.

Simulare gli effetti degli utenti che cliccano casualmente sulle cose è per lo più irrilevante per quelle competizioni, e non è quello che considererei comunque l'ingegneria sociale.

Detto questo, alcune competizioni consentono l'ingegneria sociale come tecnica, fornendo punti per informazioni / trofei raccolti con mezzi non tecnici (mentire, imbrogliare, ottenere accesso fisico ecc.)

Il punto di quelle competizioni non è eseguire un attacco come se fosse reale dove puoi ingannare l'utente per dare via i dati, piuttosto è una competizione che mostra chi è la squadra più veloce che trova i dati specifici (bandiera) usando mezzi tecnici .

Ad esempio, guarda come se fosse un wargame online (hackthissite, hackthis ...) ma ha giocato in squadra.

Un particolare CTF a cui ho partecipato, Air Raid organizzato da ThinkSECURE, ha assegnato "ingegneria sociale" in due modi.

Il primo modo è fornire punti per ottenere i tag partecipanti di altre squadre. All'inizio della competizione ogni membro della squadra riceve un tag. Il tag è necessario quando si rivendicano punti dai maestri del gioco per completare determinate attività. Ottenere i tag delle altre squadre usando qualsiasi mezzo (oltre naturalmente a quello fisico), farà guadagnare alla tua squadra una discreta quantità di punti.

Il secondo modo è dare punti per catturare altre squadre infrangendo la regola del gioco. Ciò richiede alcune prove piuttosto forti, ma vale una buona quantità di punti se si segnala un altro team.