Ingeniería Social | Robando información, algunos tips

La ingeniería social consiste en engañar a las personas, para que estas nos den información o realicen actos que necesitemos. Esto se puede llevar acabo con charlas, malware, publicidad y demás, pero también pidiendo la información directamente, casi diciéndole “Hola oye dame tu pass de facebook” y crean o no funciona.

“El tema más común que vemos en la investigación de las violaciones de datos hoy en día, es el uso de la ingeniería social para obligar al usuario a realizar una acción que facilita la infección de malware ” by. INTEL Security – Raj Samani

Pero que que hace que esta técnica sea tan efectiva, pues simplemente es por que aprovecha un bug, un fallo y ese es el ser humano, y aun mas si esta persona esta desinformada. A tal punto que se pueden conseguir contraseñas con un simple mensaje de texto o una llama. Muchas compañías que manejan información delicada, hacen pasar a sus empleados por exámenes y cursos de prevención de estafas o ingeniería social.

Para poder llevar acabo la Ing. Social, se debe contar con 3 factores que determinan la victoria o el fracaso.

• Facilidad de hablar.

Con una llamada se puede obtener mucha información, en estos casos debes de tener la tranquilidad, y la facilidad de hablar, sino echaras todo a perder, también una técnica muy útil, es decir una gran cantidad de información (puede que sea basura) que no le permita a la victima pensar y que simplemente actué.

• Crear escenarios creíbles.

Inventa historias, o problemas que tengan como solución o finalidad obtener información.

• Tener mucha confianza.

Gran parte de la Ing. Social es tener contacto directo con la victima, en ocasiones chats o llamadas, trata de que todo sea 100% creíble.

Ahora obtener información de una persona hoy en dia es vastante facil, gracias al mal uso de las redes sociales.

Las redes sociales (Facebook, Google+, Instagram, etc.) son un gran banco de información donde puedes obtener una gran cantidad de información, la cual esta mal administrada un error muy común de usuarios que creen estar “seguros”. En una red social como Facebook se puede obtener la siguiente información, de una persona siempre y cuando tenga una mal configuración o la victima la publicara.

– Lugar donde vive (país, estado, ciudad, pueblo)

– Trabajo (lugares donde trabaja o trabajo al igual que los puestos que tiene o tenia)

– Lugares que a visitado

– Amigos, familia y pareja

– Fotos (de ella, amigos, de su casa, de los lugares que visita, sus pertenencias, etc.)

– Numero de teléfono personal (Incluso comenten el error de publicarlo “Amigos mi nuevo teléfono personal, para que no intente contactar con el otro numero” también comentan en publicaciones para grupos de whatsapp)

– Su ultima ubicación

– Su vida personal (muchas personas publican su estado emocional, sus actividades durante el día, sus planes a futuro, sus compras, sus gustos, sus problemas, etc.)

Con la información de de facebook, y llevar acabo una platica con la victima nos ayudar a recabar mucha información sin que la victima se entere.

Intel Security revela algunas de las técnicas básicas de ingeniería social utilizada por los ciberdelincuentes y que debemos de tomar en cuenta para no ser victimas de una estafa:

• Reciprocidad. Cundo alguien proporciona algo, las personas se siente obligadas a devolver el favor.

• Necesidad. Las personas tienden a ceder cuando por ejemplo les llega un correo falso diciéndoles que tienen que ingresar a su cuenta online del banco o será deshabilitada en 24 horas.

• Gustos. Un hacker puede conquistar a una inocente victima a través del teléfono usando sus “encantos”.

• Autoridad. Las personas tienden a ceder sin preguntar nada cuando las peticiones vienen de “autoridades superiores”.

Ahora hablemos de ejemplos y tecnicas que puedes llevar acabo para recabar información, puedes practicar con tus amigos o familia y enseñarles que están haciendo mal para que no sean victimas a futuro.

Robando cuentas “Pregunta de seguridad”

A día de hoy esto creo que dejo de ser posible, pues algunas redes sociales han sustituido las preguntas de seguridad por un mensaje que se envía a un numero de teléfono.

Por ejemplo, cuando uno intenta restablecer la contraseña de un correo, se secciona la opción (si esta la tiene) “preguntas de seguridad” y por lo regular son cosas como nombres de la primer mascota, el de los padres o el maestro. Para burlar esto, solo se necesita tener una charla, tocar un tema que dependa de la pregunta.

En este caso, la pregunta de seguridad de una mujer gerente de un banco es “¿Cual fue el nombre de tu primer mascota?”, teniendo el nombre, podemos cambiar la contraseña y hacernos con toda la información de la cuenta, y de otras cuentas, con las que se registro utilizado este correo.

ATACANTE – Hola ¿Como estas?

VICTIMA – Bien y tu?

ATACANTE – Pues mal, tengo una mascota, pero se enfermo

VICTIMA – que mal, que le paso o que tiene?

ATACANTE – Pues no se, es mi primera mascota y pues, esta en el veterinarioVICTIMA – Descuida se pondrá bien

ATACANTE – Tu has tenido mascotas?

VICTIMA – Si, he tenido mascotas

ATACANTE – Enserio? cual fue tu primer mascota?

VICTIMA – Un perro Dalmata que me regalo mi papá en mi cumple años

ATACANTE – ooo que bien, me gustan los perros, como se llamaba?

VICTIMA – Doki AQUÍ TENEMOS EL PREMIO

Ahora un ejemplo de una profesional, Jessica Clark logro llevar acabo sus ataque de Ing. Social contra el personal de atención a clientes utilizando, cuantas falsas y un llanto de bebé cortesía de Youtube. (puede acceder a toda la información dando clic aquí Ing. Social Jessica Clark)

Aquí resumido por pasos:

Primer paso. Crear un perfil.

Comienza con una revisión de antecedentes del objetivo. Verifica antecedentes de la actividad de la víctima en medios sociales y de la información publica online. Con estos datos, un hackers experto en ingeniería social tiene una buena cantidad de información sobre la víctima.

Segundo paso. Suplantación de número telefónico.

En el siguiente paso, el hacker suplanta el número de teléfono de la víctima, haciendo una llamada a la compañía telefónica de la víctima. Al suplantar el número llama a un agente de atención al cliente. Este paso ayuda a convencer a la empresa que la persona que la llamada es legítima.

Tercer paso. Reproducir un video de un bebé llorando.

La astuta hacker reproduce de fondo un video de un bebé llorando para simular que está llamando desde un hogar angustiado. Una vez entabla conversación con el agente de atención al cliente, ella finge ser la esposa de la víctima y que está en peligro.

Cuarto paso. Conversaciones empáticas para obtener más información.

Bajo excusas y conversaciones empáticas, en tan solo 30 segundos consigue el correo electrónico de la víctima.Y como vino en copa, aquí el vídeo de cuando lo hizo.

Ahora unos consejos que yo creo podrian ayudarte.

Cuida lo que tiras a la basura. Nuestra costumbre es de lanzar las cosas como documentos al cesto de la basura, sin saber que es aquí donde la mayoría de veces inician su búsqueda las personas interesadas en obtener información valiosa que a futuro les servirá. Una buena práctica es mojar o romper en trozo muy pequeños todos los papeles que tiramos a la basura.

No brindes información a través de llamadas telefónicas. Otro método muy usado por los “ingenieros sociales” es el de llamar simulando ser de las empresas de servicios, soporte técnico o bancos, los cuales piden información como tu nombre de usuario o contraseña. Primero asegúrate que la llamada es del lugar de donde dice ser y lo más importante si la persona es quien dice ser.

Cuidado con tu e-mail. Muchos “ingenieros sociales” emplean métodos como enviarte un archivo adjunto en un e-mail que generalmente te conduce a algún sitio web falso. Otras manera también es enviarte un correo electrónico pidiendo que actualices tus dato del banco por ejemplo y lo que realmente sucede es que el sitio donde te redirecciona es falso y por lo tanto ahí captura tu información. Siempre antes de actualizar algún tipo de información a través de internet asegúrate de que esta realmente proviene de donde dice venir.

Y recuerda existe ni existirá algún dispositivo como un firewall o software como un antivirus que te proteja de un ataque de ingeniería social; eres tú el único que puede evitarlo, poniendo en práctica las acciones antes descritas