8.2.11

social engineering



Este tema me tiene fascinado hace tiempo. Social Engineering es el arte, talento o habilidad de hacer que las personas hagan lo que uno quiere. En otras palabras engañarlas sin que sospechen nada. Lo más gracioso es que la mayor parte del dinero que gastan las empresas en seguridad IT y no para entrenar a los usuarios del sistema. Esta es la vulnerabilidad más grande y la que se puede explotar usando algunas técnicas de social engineering.


Aquí un ejemplo clásico de un hack de este tipo. Un hacker llama a un centro de customer service de una empresa:


Hacker: Hola tengo un problema con mi servicio y quiero hablar con el supervisor

Representante: Si, no hay problema

Hacker: Una pregunta como se llama el supervisor de turno

Representante: Juan P

Con esta información el hacker cuelga y genera otra llamada.

Hacker: Hola le habla “Fulano de tal” y trabajo para SecureTech la compañia que hace auditorias de seguridad para su empresa, estoy tratando de contactar a Juan P pero no logro encontrar su teléfono directo, ¿usted puede transferirme?

Representate: Si, como no.

Juan P: Hola, Juan P

Hacker: Hola le habla “Fulano de tal” y trabajo para SecureTech la compañia que hace auditorias de seguridad para su empresa. Supongo que está pasando un día difícil

Juan P: Eh, no ¿ difícil porque?

Hacker: Bueno es que se calló el sistema hace un rato, deben tener un caos ahi.

Juan P: No, el sistema está funcionando perfectamente, todo el día

Hacker: No es posible estamos viendo desde acá que no funciona. Vamos a hacer una prueba puede hacer logout y login a ver si eso arregla este problema.

Juan P: Ok. Si todo bien

Hacker: Esto es muy extraño, creo que vamos a tener que hacer un restart del sistema pero eso puede tomar un par de horas. Puede tratar una vez mas de hacer logout y login.

Juan P: Si. Me deja entrar sin problemas.

Hacker: Wow esto es bien raro. Vamos a hacer algo dame tu username y password y yo trato desde acá a ver si tengo el mismo problema

Juan P: juanp y el password es XXXXX

Hacker: Ok. Deja tratar… Ah ok listo ya está arreglado. No deben tener problemas. Gracias

Juan P: Gracias, adiós.

Obviamente este es un ejemplo muy simple pero puedo jurar que es más efectivo de lo que uno piensa.

0 comments:

Publicar un comentario

Licencia Creative Commons