Professional Documents
Culture Documents
• Hackers / Pentesters
• Terroristas
• Criminales / Cibercriminales
• Empleados enojados
• Ladrones de identidad
• Gobiernos extranjeros / Agentes del gobierno extranjero
• Espías industriales / Agentes de espionaje industrial
• Recolectores de inteligencia empresarial
• Agentes de información / Investigadores privados
Como vemos son muchos los campos en los que se emplea la ingeniería social.
1_ Reconocimiento
2_ Recolección de información
3_ Relación de información
4_ Usando la información
• e-Mail: Los emails enviados pueden contener información interesante para los
usuarios y ser bastante llamativos como la “imaginación” lo permita.
SETOOLKIT
LINKS DEL PROJECTO
https://sourceforge.net/projects/setoolkit/
https://github.com/trustedsec/social-engineer-toolkit
SET viene instalado en muchas plataformas de seguridad informática, como Backtrack y Kali
Linux.
Entramos a Setoolkit y vemos nuestra dirección IP privada (esta demostración la haré a nivel
LAN)
--------
1) Social-Engineering Attacks Nos dará como resultado un segundo menú que a la línea del
primero es bastante explícito a la par que conciso.
Una vez que hemos hecho estos pasos, NO hay que cerrar la terminal que está
ejecutando el programa, porque está en espera de que alguien caiga y así obtener
las credenciales.
Ahora viene la parte más importante, “difícil” y que debemos sacar toda nuestra
creatividad (en el caso de ser un cibercriminal). Por lo que este proceso si se hace
en serio puede durar desde minutos, hasta días. En mi caso, me llevó minutos. Ya
que el atacante soy yo, y la víctima también soy yo. El atacante será mi cuenta de
protonmail y la víctima mi cuenta de Gmail... veremos qué tan anti-phishing es
Gmail según las noticias últimamente.
Obviamente quiero aclarar que, para ser más creíble, hay que crearse una cuenta
de Gmail o un dominio propio (en el caso de tomarse muy en serio de robar
datos). Por ejemplo: SoporteFacebook@gmail.com o GoogleSesion@gmail.com
Como esto es una demostración intentaré ser lo más conciso y simple posible.
-------------EJEMPLO DE ATAQUE---------------
Camuflamos la URL real en el texto para mostrar, para que la víctima al recibir el correo, no se
percate de lo que realmente sea. Aunque, una vez que entre, ahí cabe la posibilidad de que se
de cuenta que es una trampa. Pero, a día de hoy, hay gente poco capacitada al respecto y no
logra darse cuenta…
Una parte fundamental del phishing a la hora de hacer un ataque de ingeniería social, es
conocer mínimamente a la víctima. Es por eso (en este caso, yo ya me conozco jaja) que
busqué en su perfil de Facebook su foto de perfil actual para que parezca “más creíble” (esto
se puede hacer mejor, pero es una demostración y quiero que se entienda).
No está de más poner hora, ubicación con coordenadas y foto de Google maps, junto el
sistema operativo y navegador que se haya intentado acceder…
Recordemos que la ingeniería social es más fácil de llevar a cabo si se es amable con la
víctima.
En mi cuenta de Gmail recibí el correo electrónico tal y como yo lo diseñé. Por lo que Gmail no
ofreció ningún sistema de Anti-Phishing que tanto mencionaron. Esto es lo que vería la
víctima.
Colocamos nuestras credenciales en el caso de que no nos hayamos dado cuenta que
estamos siendo víctima de un cibercriminal al momento de hacer clic en “iniciar sesión”. Por lo
que, a partir de ese clic, ya no hay marcha atrás y estaremos recibiendo las credenciales de la
víctima.
Generalmente, acá las víctimas con conocimiento medio en informática se acaban de dar
cuenta que se comió un phishing, o simplemente un “error” en el login de Facebook.
Mientras que el atacante, recibe esto en la terminal donde se está ejecutando setoolkit; Las
credenciales.
Como nos hemos dado cuenta, la ingeniería social es una técnica no tan técnica.
Donde la creatividad y en casos suerte nos dará la posibilidad de obtener lo que
queremos.
• Los usuarios no necesitan tener acceso a todo tipo de archivos o ficheros ya que
no todos son necesarios para su trabajo habitual, por ello puede ser conveniente
por parte del administrador bloquear la entrada de archivos o ficheros con
extensiones “.exe”, “.vbs”, etc.
CONCLUSIONES
La ingeniería social no puede ser eliminada completamente, es un serio problema y es uno de
los más grandes en las organizaciones. Es un tema conocido en el ámbito de la seguridad,
pero que poco se habla en las organizaciones sobre su prevención.
La educación y capacitación, continua y dinámica, es el método más eficiente para prevenir
los ataques de IS (Ingeniería Social).