Aprendiendo Técnicas Básicas de Ingeniería Social


El aprender las técnicas básicas de la ingeniería social "ENGAÑO" es un buen consejo para los buscadores de información. También los rastreadores (stalkers) deben conocerla. Los hackers necesitan una gran cantidad de ingeniería social y los crackers casi tanto como ellos.





Frecuentemente se gasta una gran cantidad de energía tratando de reunir informaciones usando todos los recursos de la red que uno pueda imaginar... y eso está bien, solo que algunas veces hay otro método más fácil y rápido. Al leer esto, encontrará que yo he comenzado otra forma , esto es, yo tengo algunas informaciones del "mundo real" y las utiliza para obtener otras del "mundo virtual", algunas de las cuales frecuentemente usted haya pasado sin ver.

Oh, si! después de leer varios ensayos de las páginas de fravia somos todos expertos crackeando aplicaciones, buscando en la web y rastreando enemigos, o no? Si queremos encontrar a alguien en la red, sabemos que tenemos un montón de herramientas para comenzar, como Dejanews, o los registros DNS. Pero ahora quiero mostrar una técnica poderosa, la cual es principalmente usada en emprendimientos de hacking, pero trabaja bien en casi cualquier lugar donde se la aplique. Ingeniería social quiere decir "engañar a la gente para que cuente lo que uno quiere saber, aún si ellos ya te dijeron que no, o que no quieren, o que no están autorizados para decirlo, etc.

LA TEORIA DEL 99%
----------------------------------

El aspecto más sorprendente es que funciona! La razón es más o menos como sigue: de los seis mil millones de personas que hay en el mundo, el 1% son seres inteligentes y el resto sigue ciegamente a un líder. No estoy diciendo que ellos no tengan cerebro. La frase anterior se aplica para cada aspecto de la vida por separado. Por ejemplo, yo no puedo pintar como Bilibin, ni podré hacerlo en toda mi vida; en este aspecto, yo resido del lado del 99%. Pero hablando de computadoras, conozco solamente a una persona que puede vencerme (en la vida "real", porque la red está llena de gente con gran talento), de modo que pienso estar del lado del 1%. Apuesto que esto es cierto para la mayoría de los lectores, desde el momento en que están leyendo un ensayo en la página de ECCE. Si no es así, estudie unos cuantos ensayos más y seguramente cambiará su estatus.

Que significa todo esto para nosotros? Es fácil de adivinar: si uno está entrenado en ciencias de la computación, inconscientemente tiende a pensar que cualquier cosa que sea fácil para uno lo es también para los demás. Bueno, NO ES ASI! Todo el conocimiento que uno ha construido durante varios años es un misterio para los demás. En la red, frecuentemente se encuentra gente experta y bien entrenada, debido a que es el lugar preciso en donde encontrarlos. En cualquier otra parte del mundo, son raros.

Y ahora la parte interesante: una vez elegida la víctima, el/ella seguramente está dentro del 99% de ciegos, y por lo tanto uno tiene una gran ventaja: sabe de lo que está hablando y la otra persona no.

Les daré un ejemplo que es simple y directo, pero soy algo haragán y es el primero que viene a mi mente porque es el último que hice. Como la historia completa es larga, sólo daré las partes relevantes.

Había una persona con la que intercambié algún email y de la que estaba seguro que escondía alguna información importante para mi. Estas son las cosas relevantes que conozco del tipo:

Residía en mi país, de modo que no existían barreras idiomáticas (esto es importantísimo: si uno no puede hablar su idioma MUY bien, se puede dar por perdido). El tenía una cuenta hotmail, así que yo conocía su nombre de login
El no era un gurú de las computadoras, estaba dentro del 99%. Y ahora qué? Bien, yo quería leer sus mails viejos y apostaba a que, como el 99% de la gente, el no lo borra después de leerlo. Debía convencerlo que me diera su dirección de email y como hace mucha gente, me lo dio sin demasiadas preocupaciones. Con un llamado a su compañía de teléfonos local, obtuve su número. Y aqui comienza la parte difícil: uno debe hacer el papel de un "empleado perfecto" del proveedor de servicios de Internet.

Encuentre un lugar tranquilo, quizás con un leve sonido a oficina en el fondo
Uno debe estar solo, sin que otras personas escuchen la llamada
Si piensa que la víctima tiene un identificador de llamadas, o sea, que puede saber desde qué número telefónico le están hablando, pida prestado un teléfono en cualquier otro lugar.

Respire profundo. Su voz debe sonar pulida y verse como de una persona habituada a las conversaciones telefónicas. Intente aprender escuchando a las telefonistas con las que habla.
Si usted es mujer y su víctima un hombre, tiene una ventaja psicológica adicional. Hable en tono feliz y él le responderá cualquier cosa que usted le pregunte.
Exhibiendo un gran conocimientos de sus datos personales, él llenará alegremente los huecos de información que usted necesita.

Levanté el teléfono y lo llamé a las 8:30 de la mañana.

-Buen día señor. Soy (insertar un nombre falso aquí) y deseo hablar con (inserte el nombre de la víctima aquí).

- Si, por favor, espere
....
-Hola, habla (nombre de la víctima)

-Buen día, señor. Soy un empleado de la agencia local de Hotmail - y no creo que Hotmail tenga "agencias locales"-. Siento mucho molestarlo a esta hora...

-Hum, Hotmail?, bien, estaba desayunando, pero no importa... por qué me llama?

-No se sorprenda. Lo localicé en base a la información que usted proporcionó en el momento de llenar el formulario para la creación de la cuenta.

-Ah, si, el formulario...

-Debo informarle que hemos tenido anoche una rotura en el array de discos fijos y estamos tratando de restaurar todas las cuentas de correo de los usuarios.

-Rotura de disco? Se perdió mi correo?

-No, señor, afortunadamente tenemos backup y podemos restaurarlo. Pero como somos simples empleados y no se nos permite ver mensajes de los usuarios, necesitamos su clave de acceso. De otro modo no podremos hacer nada por sus mensajes.-primer intento, posiblemente sin éxito.

-Mmmm, quiere mi clave?

-Si, sé cuando usted leyó en el formulario de suscripción que nosotros no deberíamos preguntarle a los usuarios sus claves. Pero eso fue escrito por el departamento legal y es lo jurídicamente necesario para obtener el permiso para abrir el negocio. Su nombre de usuario es (insertar aquí el nombre de usuario de la cuenta) no es cierto?. El departamento legal nos dio el nombre de usuario y teléfono pero, vivos como son, no nos dieron la clave. Vea, sin la clave nadie puede acceder a su correo, ni siquiera los empleados de Hotmail. Como nuestra misión es restaurar las cuentas, necesitamos acceder a ellas. Usted puede estar seguro que no usaremos su clave para ninguna otra cosa, es más, lo olvidaremos inmediatamente -sonriendo.

-Bueno, después de todo no es un gran secreto -también riendo- mi clave es xxxxxxxxx.

-Muy amable de su parte, señor. Restauraremos su cuenta en pocos minutos.

-De veras que no se perdió el correo, no?

-En absoluto, señor. Usted no debería experimentar problemas en el futuro, pero si los tiene, no dude en llamarnos. Usted encontrará los números del servicio técnico en nuestra página web

-Gracias, muchachos, ustedes son muy eficientes.

-Adiós, señor.


Y eso es todo. Como ve, no hay dificultad. En este caso todo fue fácil porque la víctima no hizo preguntas. Frecuentemente usted necesita una imaginación lista para replicar con argumentos convincentes. Pero recuerde que no necesita SER, basta con SIMULAR. Después de todo está dentro del 1%

--------------------------------------------------
Autor: _A&T

Traducción al castellano: whoami

Editado ligeramente por : eidan yoson



Otras noticias de interés:

Vulnerabilidades en Internet Explorer 6
Se han descubierto dos vulnerabilidades en Internet Explorer que pueden ser aprovechadas por atacantes para, potencialmente, revelar información sensible del sistema y ejecutar código HTA y comprometer un sistema. ...
Estandares de cifrado de datos
Existen muchos algoritmos de cifrado de datos. Y no todos están definidos por los estándares norteamericanos. Es cierto que el AES, DES, RSA y otros algoritmos de cifrado han copado el mercado, pero Europa y Japón tienen sus propios estándares, s...
Seguridad cibernética debe ser prioridad de política nacional
La comisionada del Instituto Federal de Acceso a la Información y Protección de Datos (IFAI), Sigrid Arzt, afirmó aquí que la seguridad cibernética debe asumirse como una prioridad de política nacional, ante el desafío que para cualquier autor...
Europa examina la seguridad de sus sistemas
Cyber Europe 2012 es un ejercicio de seguridad que ha puesto a prueba los sistemas de protección de las redes informáticas europeas. Un conjunto de expertos ha participado en el simulacro, en el que se han lanzado 1.200 ciberataques para comprobar ...
Microsoft cubrió ayer varias vulnerabilidades críticas en IE y DirectShow
En su actualización de seguridad de todos los meses (Patch Tuesday), ayer Microsoft emitió 10 boletines de seguridad para cubrir 34 vulnerabilidades diferentes en sus productos. Entre ellas se incluían agujeros crítico sen DirectShow y en el nave...
Nuevo malware afecta a Facebook
Es increíble que a estas alturas algunos usuarios no piensen antes de hacer click a alguna aplicación y/o enlace en la red social Facebook. ...
Hackean a expertos de seguridad en la víspera de Black Hat
En la víspera de la conferencia de seguridad Black Hat, hackers maliciosos hicieron público un archivo con 29.000 líneas de código que detalla ataques que han tomado el control de servidores y sitios web mantenidos por investigadores de seguridad...
En Dubai se dijo que sería Internet
Primero hablemos sobre la UIT, la cual es una institución especializada de la ONU (Organización Naciones Unidas), en la que entran los ciento noventa y tres miembros de la comunidad mundial. La UIT convocó la Conferencia Mundial de Telecomunicacio...
La industria del disco lleva a Kazaa al tribunal supremo
La decisión del tribunal podría convertir a Holanda en un paraíso para las compañías P2P. ...
Microsoft bloqueará los certificados de menos de 1024 bits
Microsoft actualiza sus políticas de seguridad PKI y bloqueará cualquier certificado que utilice claves RSA de cifrado menores a 1024 bits. Una vez más, se cura en salud frente al revés sufrido por TheFlame. Explicaremos qué significa exactament...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • aprendiendo
  • basicas
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • ingenieria
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • social
  • system
  • tecnicas
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra