sábado, 17 de marzo de 2018

Ingeniería social, algunas técnicas

La ingeniería social es algo que no se suele enseñar, es verdad que depende mucho de tus habilidades de engaño y de cómo de observador seas. Muchas veces es posible la ingeniería social gracias a pequeños detalles. Hoy os daré unos matices mientras sigo preparando la tercera parte de How somebody fucked my girlfriend...yes again.


La papelera, rebusca que encuentras

Esto no sé si es algo que haga mucha gente, pero yo por ejemplo lo hago. Yo rebusco por papeleras y contenedores de la empresa, ya que muchas veces se tiran documentos confidenciales o documentos donde a lo mejor hay un número de teléfono, direcciones de correo electrónico, nombres de empleados,etc.

Revisar esto es interesante, ya que si encuentras direcciones de correo, ya te pueden servir para, por ejemplo, ver si esas cuentas de correo han sido hackeadas.

Encima de las mesas se hace bien la penetración

No es lo que pensáis...o sí, pero yo me refiero a que muchos trabajadores dejan encima de su mesa un post-it con el usuario y contraseña de ese ordenador, documentos con DNIs, correos, nombres, números de teléfono,etc. Siempre es útil ojear encima de las mesas para que el test de penetración sea más completo.

I'm watching you

Esto mucha gente lo considera una tontería, pero ya os digo que no lo es. Vamos a suponer que hay trabajadores que, en algún momento de su jornada laboral, están perdiendo el tiempo {un suponer}. Puede que estén mirando un vídeo en Youtube. Lo normal es que estén viendo un vídeo que les guste, supongamos entonces, que hay un trabajador que está mirando un vídeo de Bob Marley, podemos suponer que le gusta Bob Marley. Nos podemos equivocar, pero la probabilidad es muy baja. Pues bien, si sabemos que le gusta Bob Marley, entonces podemos prepararle un backdoor dentro de una canción, una de Bob Marley ya que sabemos que le gusta, solamente nos queda esperar.

Por eso, aunque no estés haciendo nada malo, si ves que hay alguien detrás tuya, baja la pantalla de tu portátil o ten preparado, por ejemplo, un documento cualquiera que pondrás cuando alguien esté detrás tuya para así confundirlo si quiere saber lo que estás haciendo. Yo uso siempre el mismo, es un manual de usuario de Arduino, pero vosotros usáis el que queráis.

Pregunta

Muchas veces es muy efectivo, sobre todo cuando vas de simpático y dices "Oye, por motivos configura tu navegador de una forma relativamente segura". La gente que no sepa te dirá algo como "Y eso ¿Cómo se hace?". Tú, como eres simpático, le dirías "Hombre, eso depende del navegador, con cada navegador es de una forma, eso depende del que tú uses". Muy raro será que no te diga ahí, el navegador que esa persona usa. 

Saber el navegador que utiliza es útil, por ejemplo, Internet Explorer te suele permitir la descarga de cualquier Backdoor aún sin ningún encoder, pero esto Chrome y creo que Firefox, no lo permiten. Si sabes que utiliza Internet Explorer, ya sabes que no tienes que gastar mucha energía en pasarle un encoder, es recomendable, pero sabes que pasará casi al 100%.

Al igual que eso, puedes decir "Oye, soy del Departamento de Informática, he detectado que alguien ha intentado entrar en tu cuenta, dime tu contraseña y te la cambio que yo lo hago desde aquí más rápido". Aquí te la pueden o no dar, todo depende también de cuándo lo digas, si lo dices a las 14:59 y la gente sale a las 15:00, si metes prisas, lo mismo, por cansino, te la dan. La gente se quiere ir a casa rápidamente, pero también quieren irse sin que ocurran problemas para no tener que escuchar una bronca del jefe.

Estas han sido 4 técnicas muy usadas, no son las únicas pero se pueden conseguir muchos resultados. Después todo depende, si sabes lo que le gusta, a lo mejor le puedes enviar un correo con un supuesto sorteo donde le pidas dónde vive, su nombre, apellidos, DNI, correo,etc. Esto es darle vueltas a la cabeza, no es una receta que sigas a raja tabla y ya consigas hackear una organización.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...