Introduccion a la Ingenieria Social Hack.

Introduccion a la Ingenieria Social Hack.



La Ingenieria Social es el arte de aprovecharse de la ingenuidad o de la
buena fe de las personas. Aprovecha debilidades psicologicas que son muy
complejas de aprender y muy faciles de realizar.

Es una debilidad universal, ya que cada computadora es manejada en casi
todos los casos por una persona, esa persona no es un robot sino que tiene
sentinientos, y es aqui a donde queremos llegar, al sentimiento de una
persona. Todo usuario ha tirado papeles en el tacho de basura, ha respondido
a consultas sin saber quien era el emisor del interrogante, ha escrito su
password en algun lado. Todo eso que los usuarios hacen a menudo -y que tal
vez nosotros mismos hagamos- hace que las personas sean unos de los riesgos
mas importantes a la hora de hablar de seguridad informatica.

Los vendedores, aunque no lo creamos, emplean la ingenieria social, nos
quieren vender un seguro de vida y nos dicen: ¿Que pasaria si el dia de
mañana a usted le pasa algo? Jugando con la debilidad de golpes bajo, con
cosas triviales y palabras rapidas, los vendedores quieren conseguir algo de
nosotros. La diferencia entre ellos simplemente son los motivos y el
conocimiento.

Hay varios metodos que se pueden usar para lograr el objetivo. El primero de
ellos es estudiar a la victima. Luego, sabiendo el entorno, hay que ir
profundizando en el/los individuos que interesan para que actuen de
complices. A esta tecnica se la llama espiral, porque mientras mas sepamos
sobre el entorno, mas sabremos sobre cada persona, y cuales son sus
debilidades y fortalezas.
El otro metodo es directamente arriesgarse sin tener datos precisos, ya sea
haciendose pasar por alguien, pero el resultado tiene menos posibilidades
que el anterior.

Obiamente, cuanto mas ingorancia tenga la persona, mas facil sera hacerle
creer argumentos y objetivos propios. Igualente, con la experiencia se
llega a desafiar a grandes eruditos que caen por conocer los argumentos que
se le informan y no por querer conocer los objetivos.
Estos son algunos ejemplos de lo que llamamos ingenieria social.

- Un llamado a la casa de la persona, haciendose pasar por un empleado
de la empresa de tarjetas de credito y, por ejemplo, avisarle que alguien
quiso usar sus datos en una transaccion de Internet y debe verificar que la
tarjeta este en porder del dueño, indicando los datos sensibles y
pidiendo autorizacion para denegar la transaccion.

- Una voz de mujer que se comunica con el area de soporte, solicitando
que le cambien la clave porque la ha perdido.

- Un correo electronico con un cuerpo o asunto demagogio y llamativo,
como por ejemplo, si le gustan las montañas, vea el adjunto, sabiendo claro
esta, que nos gustan las montañas, o poniendo mensajes subjetivos como,
acordate de la reunion o nacio mi nena, en mails que fueron spoofeados por
direcciones conocidas.

Como atacantes, no tenemos que intentar persuadir a gente de clase alta o
que sabe del tema, sino a personas que no cumplen un cargo escencial,
acostumbradas a recibir ordenes o a no preguntar demasiado. Por ejemplo,
hace un tiempo, unos chicos llamaron al administrador de sistemas de una
empresa muy importande de Argentina y le dieron muchos argumentos muy
creibles sobre por que necesitaban la clave de una persona. El tema fue que
el administrador no les creyo y les dijo que iba a llamar a la policia y les
corto. Otro de los chicos que estaba ese dia lo llamo por telefono y le
dijo: "Hola, soy Jorge Perez y lo llamo de la Policia Federal. ¿Usted nos ha
llamado?". Esta vez el administrador cayo en la trampa: para hacer un acta
se necesitaban los datos de la cuenta del interesado por si pasaba algo con
ella, y el administrador sedio la informacion. Este ejemplo es un caso claro
de ingenieria social, porque muchas veces no funciona cuando alguien esta
demasiado lucido, sabe demasiado o directamente no se deja infuenciar. Pero
esa persona cambia si se lo llama cinco minutos antes de irse a su casa o
cuando se retira a almorzar y el atacante habla imperativamente, o, en este
caso, cuando los argumentos son validos pero el objetivo es diferente.

Como pudimos apreciar, hay muchisimas formas y, en realidad, la mente humana
parece muy compleja, pero las personas en el fondo son rutirarias y
esquematicas.
La mayoria de los empleados de seguridad de vigilancia son terciarios o
personal contratado al que le pagan muy poco. Son personas que trabajan todo
el dia y que cumplen ordenes, y, paradojicamente, son susceptibles a este
tipo de ataques mentales.
Muchas veces no tendran que hablar mucho porque se sabe que la victima esta
molesta con la empresa o directamente le gusta hablar, entonces, si lo
llaman diciendo que es de un noticiero importante no tiene problema en
contar cosas.
Uno de los maximos lideres de la ingenieria social es Kevin Mitnik, quien
luego de salir de la carcel dio una charla a la cual, por supuesto, acudio
la gente mas prestigiosa y mas importante de varias partes del mundo.
Obiamente, en aquella reunion no podia faltar el wireless, ya que todas esas
personas tienen Notebook y siempre revisan sus correos importantes en los
eventos. Mitnik no tuvo mejor idea que colocar un sniffer en su Palm con
conexion wireless y, luego, en la presentacion, comentar lo sucedido.
Mitnik puso wireless sin seguridad -es decir, sin sifrado- y tenia los datos
de las personas mas importantes del rubro. Ellos seguramente sabian las
debilidades del sistema de wireless, pero en ese momento su objetivo no era
analizar la seguridad, ni estar paranoios preguntando y verificando la
seguridad. Su objetivo no era estar atentos.

Citar


- Raul, soy de "pepito-card" y lo llamo para corroborar la compra de un
minicomponente por 1000 pesos con su tarjeta de credito.
- Hay un error, yo no hice ninguna compra.
- Puede ser que haya habido un error. No obstante necesito verificar que
usted tenga fisicamente la tarjeta y que no la haya perdido.
Por favor, indiqueme que le aparece delante de la tarjeta, el numero de
la misma y los tres ultimos digitos de atras.
- El numero es 1234-1234-1234-1234. El nombre es Raul O. Noscala. Y el
numero que aparece detras es 395.
- Le pido disculpas por el inconveniente y gracias por su coperacion.
- Ok. Menos mal. Adios


kevin mineck

Con este trabajo se quiere lograr que una vez finalizado su análisis, el lector tenga en claro el
concepto de Ingeniería Social, su objetivo, quiénes lo utilizan, dónde se emplea, quiénes son los
más vulnerables y sobre todo, de qué manera las nuevas amenazas como spam, phishing,
spyware, etc pueden resultar de gran ayuda para emplear Ingeniería Social.
Para ello, se introducirán algunos conceptos a nivel general de Ingeniería Social, luego se citarán
ejemplos de la vida cotidiana. Se describirán en detalle esos conceptos, sus características y sus
diferentes aplicaciones y objetivos, pero esta vez a nivel informático. Luego se enumerarán
ejemplos (algunos reales y otros no, donde se muestra el efecto producido por determinada
causa).
También se verá el rol importante (aunque muchas veces ignorado) del factor humano en cuanto a
su concientización y educación sobre la seguridad de los datos que maneja.
Además se describirán los diferentes tipos de ataques a los que el ser humano está expuesto (vía
sms, vía correo electrónico, vía telefónica, etc) y debe buscar la forma de estar preparado para
evitar estos ataques.

[Tienes que estar registrado y conectado para ver este vínculo]

.

Gracias compañero por tu aporte, abre los ojos para actuar con cuidado

estoy sorprendido tanto por el post como por la capacidad humana , somos increíble , bueno unos más que otros jajajajaja

es largo tu post pero ni senti porque me emociono jajaja excelente aporte amigo muy buena informacion

buen post amigo lo leei completito jejeje muy interesante gracias por publicar esta info. Saludos

Excelente informacion, y que hacer si directamente un hacker te dice que tienes 3 dias para respaldar tus archivos, ejemplo en facebook, de lo contrario se apoderara de el y te dejara en rediculo?

jeje me interesó el tema, es bueno leer un poco xD

Interesante todo lo que dice este post porque así te das cuenta de la capacidad de cada uno y por eso uno va creciendo cada dia gracias amigo.

Wow interesante el tema, a mi me han llegado un monton de correos de esos que son llamados "bote de miel" incluso a veces con nombres de mujeres que dicen cosas como "quiero conocerte" "en donde vives"... la técnica es: si no conoces el nombre o la direccion es mejor no abrir el correo y eliminarlo de una vez, muchas veces nos ponemos a pensar en cosas que no tienen sentido y caemos en la trampa, ya sea de publicistas o de cualquier otro user malintencionado. por la info.

Interesante este post amigo de hecho a mi me han mandado de esos mensajes

muy bueno el tema gracias

creo que sabes mucho sobre redes no se si solo le diste copiar y pergar pero tu deberías ayudar a denegar el acceso a los infiltrados xD.

Ala gran casi no lo lei todo, pero jumm mira nomas a quien tienes aii jajaj Kevin Mitnick es mejor hacker de todos los tiempos, burlo la seguridad de Nokia y de sony, y las computadoras mas seguras del FBI. Buen POST me gusto mucho.