Tema: Curso de EH (MODULO 5) INGENIERIA SOCIAL

Volví, luego de unos meses a full dando cursos en el exterior, seguiré con lo que me había propuesto.

Hoy hablaremos de la Ingeniería Social, lo cual lo primero que me trae a la cabeza, es compartirles un ejemplo:

" Hola, me llamo Bill, y soy el cadete la compañia BetaSoft, ante todo, yo era un programador común y corriente, programaba en Assembler, y hacia intros para juegos, trabajando en la empresa BetaSoft.

Un día, me di cuenta, que la recepcionista, pasaba llamadas a celulares sin siquiera comprobar quienes las solicitaba, el solo hecho de que se le prendiera la luz de un determinado interno, para ella era suficiente para darle permiso.

Entonces, como yo justo, tenia un negocio propio externo, que eran vender esas intros, pero por afuera, necesitaba utilizar llamar a clientes potenciales, y que mejor que llamarlos a celulares, dado que desde mi casa, el gasto seria muy grande.

Que es lo que hice......?, me fui a la oficina de la sección de marketing, cuando ya algunos se fueron a almorzar, entonces, como vi que no era necesario ninguna clave, únicamente levante el teléfono, llame a la recepcionista y le solicite salida para llamar a un celular "

Al ver, que fue muy fácil, trate de establecer una relación de confianza con la recepcionista, y lograr un ambiente propicio, para que en caso de necesitar hablar nuevamente, no habría problema alguno."

En este ejemplo, lo primero que podríamos pensar, es que la falla de seguridad no es de la recepcionista, sino de que no hubo un control asignado en las llamadas, ni siquiera una verificación posible de identidad, por lo que también uno podría aplicar "usurpación de identidad".

Podría darles miles de ejemplos, de ingeniería social, este es uno muy básico, otro podría ser, que mediante búsqueda de información, en internet, por ejemplo con "information gathering", podemos crearnos un perfil de una persona, adecuada para una conversación tanto indirecta como directa.

La diferencia que hay en una conversación directa, es que al tener enfrente a una persona objetivo, no podemos darnos el lujo de dudar, un ejemplo de esto, podría contarles, en un pentest que realizamos en un banco muy importante, uno de los consultores, se hizo pasar por un miembro de "Copias Ilegales" (utilizo este termino, para no decir la asociación), y mediante ese dato, logro introducirse en equipos críticos del banco, donde tranquilamente podría haber sacado información.

Generalmente, un ataque de ingeniería social, esta compuesto por varias etapas, a lo que también, existen varias maneras de realizarlo, un ataque por teléfono, por mail, por carta y hasta por fax, son los modos de llegada al mismo.

Como practico, les dejo de tarea, tratar de realizar alguno de estos, pero con familiares, haciéndose pasar por un técnico de telefonía, eléctrico, etc. y al finalizar rematarlo con un chiste.
Verán que la tasa de éxito, dependerá de como lo planeen, tomen en cuenta, datos importantes, forma posibles de ser detectados, y así podrán determinar que si quieren evitar ser atacados por este tipo de ataques, lo ideal seria tener una estructura armada de respuesta.


Siguiendo con el curso, tengo que aceptar que este modulo es uno de los mejores, aunque ud no lo crean.
Esta técnica fue utilizada bastante tiempo, y como todo avance tecnológico, también fue mejorando con el pasar del tiempo.

Quien no se acuerda del famoso mail: Quieres saber cual es la contraseña de Hotmail de tu novia/o??

Típico de personas desesperadas por saberlo, y en el mismo mail les ponían algo así:


--------------------------------------------------

Mandanos estos datos y tendrás respuesta rápida:

Mail de tu novia/o

Edad

Ciudad que habita

Contraseña que utilizas actualmente para configurar la cuenta de la victima con la misma

Casilla donde mandar la respuesta

--------------------------------------------------

CONTRASEÑA QUE UTILIZAS?????? jajajaja, que es esto por DIOS!!!!!!

Es increíble, lo mas probable es que piensen quien puede caer con esto, y lo mas inaudito de todo, es que mucha gente, demasiada, no quiero ni siquiera tener idea de la cantidad.

Técnicas que se juntan, como la ingeniería y el phishing, las cuales hoy es una de las mas utilizadas, para sacar datos de una cuenta bancaria y poder así realizar su propósito.

-------------------------------------------------------------------------

Hoy también se utilizan los famosos mails de bancos, los cuales juntan 2 técnicas muy utilizadas: ingeniería y phishing

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Sr. Cliente:

Este email es solamente para comunicarle, que su cuenta ha sido
vulnerada por otro usuario que no es usted. La empresa, ha tomado
las siguientes medidas de seguridad para evitar dichos problemas
futuros relacionados con la empresa, para solucionar el inconveniente
se le ha otorgado el siguiente link.

https://www.bancofrances.com.ar/tlal/jsp/ar/esp/home/soportendex.jsp

En caso contrario se tendrá que acercar a la sucursal mas cercana,
para la activación de su cuenta.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!

Mucha gente, no toma en cuenta la verdad sobre ese link, no miran donde realmente los redirigen, únicamente confían en que lo que ven es donde irán.

Es así??? NO!!!!!!!

OBSERVEN:

http://sofiaonlus.org/images/bbva/

Este es el destino final, la pregunta es, un banco tan prestigioso como el Francés, utiliza una web llamada sofiaonlus.org???

Millones de mails, llegan de distintos supuestos bancos, pidiendo desde cambios de passwords hasta habilitación de cuentas de regalo, y esto es lo que llama la atención a gente que no tiene una idea de estos ataques.

También nos llegan por SMS propagandas para que visitemos sitios, hasta envían cartas con un supuesto premio que hay que ingresar un código en una WEB.

Es complicado evitar esto, pero dar una idea a la gente que esta detrás de la PC, no hacerla experta en seguridad, pero si que tome los recaudos suficientes para que no haga click en cualquier lado, para que no de información critica a alguien detrás de un teléfono, para que no escriba sus datos personales en paginas dudosas.

Siempre digo que las empresas tienen que dar cursos de concientización sobre este tema, porque podemos tener la mejor seguridad interna, los últimos parches, el mejor antivirus, pero lo que todavía no existe, es el parche para la estupidez humana (me encanta decirlo, jeje)

Slds. y hasta el próximo modulo

ATENCION: este modulo no tendrá un post de practicas, por lo que el que desee, puede mandarme ejemplos escritos de pruebas que hayan realizado a mi mail, y chequeare las mismas.

MAIL: [email protected], ese es el mail para los trabajos prácticos e informes.