Indetectables

¿En un pentest es común y/o legal emplear técnicas de ingeniería social basada en interacción directa? Es decir hacerse pasar por otra persona por medio de manipulación cara a cara, tirar pen drives por la empresa, hacer trashing, hacer llamadas telefónicas para sacar información etc... esto lo puede hacer un hacker etico como parte de una prueba de penetración o esto es solo cosa de Black hat hackers?

Si es uno hecho legalmente el scope se pacta en el contrato. Y si se te va la mano y haces algo fuera del scope.... esta mal visto y hasta hay casos de gente que termino denunciada.