Ingeniería Social: Como funciona?


¿Qué táctica es la que mejor funciona para un ingeniero social del engaño? ¿Actuar como una figura de autoridad y pedir a la víctima que responda a algunas preguntas y revele información confidencial? ¿O actuar como una persona simpática y confiable que comienza una conversación amigable, y simplemente necesita que la víctima le diga algunas cosas para ayudarla?






Esa fue la pregunta que el equipo detrás del sitio web social-engineer.org realizó. Ellos acaban de publicar los resultados de una prolongada encuesta –su realización tomó meses– que presentó dos escenarios diferentes sobre cómo un ingeniero social podría intentar obtener información de una víctima.

El primero mostraba una conversación agradable y cómo ésta podía ser utilizada por un ingeniero social malicioso. El ejemplo dado fue el de un ingeniero social que intenta que unos extraños se unan a él en una conversación muy personal, realizando poco esfuerzo. Vestido en forma muy casual, utilizó un accesorio con el que pensó que atraería a las personas hacia él: un pequeño aviso con un slogan muy gracioso. Al caminar, tomando la apariencia de un turista gracias a este accesorio, pudo entablar conversaciones con las personas.

“El hecho es que nos gusta tratar con personas que son como nosotros, pero nos gusta aún más tratar con personas a las que les GUSTAMOS”, sostuvo Christopher Hadnagy, fundador de social-engineer.org y autor de Social engineering: The art of human hacking.

La conversación agradable hace que una persona sienta que le gustas y, a su vez, que tú le gustes.

La segunda historia es la de un ingeniero social que emplea el principio de autoridad. Esta persona ingresa a la oficina con herramientas de TI y una tablilla con sujetapapeles en la que se ve que se encuentra muy ocupado. Luego dirigiéndose a la secretaria, alza la voz y dice “me enviaron para revisar su conectividad de red y no tengo tiempo porque tengo que hacer lo mismo en otros 25 nodos. Necesito que se identifique en su red con su contraseña mientras veo para confirmar que se puede conectar”.

“Esto funciona porque las personas tienen miedo de perder sus trabajos y no hay métodos para que un empleado rechace un pedido así sin algún grado de temor”, explica Hadnagy. “Otros métodos, como llevar estas tablillas, parecer ocupado o tener el control, todos éstos le dan a uno un aire de autoridad que pocas personas cuestionarían”.

Los dos escenarios fueron presentados con una tercera opción que ninguno de ellos usaría.

La conversación agradable resultó ser la ganadora entre los encuestados. Fue escogida por más de la mitad de los muchos miles que respondieron la encuesta, indicó Hadnagy.

“Nosotros pensábamos que la mayoría escogería la autoridad, pero, de hecho, concordamos en que la conversación agradable funciona en más casos que la autoridad”, sostuvo Hadnagy en una sinopsis de los resultados. “Una simple palabra o acción que puede hacer que uno sienta que te preocupas por él o ella, puede ayudar bastante a construir una comunicación, confianza y relación que hará que la persona quiera darle la información que busca”.

Cuando los resultados se desagregan por género, la conversación amigable aún se mantiene en el primer puesto entre hombres y mujeres, aunque la autoridad se encontraba muy atrás en el caso de los varones. Muchas más mujeres que hombres señalaron que consideraban que la autoridad era una poderosa técnica de ingeniería social.
Hadnagy afirma que los resultados de la encuesta refuerza la concepción de que los seres humanos son criaturas naturalmente confiables. Pero es esa actitud de confianza la que ha llevado a muchos a ser víctimas de hacking.

“No estamos diciendo que no confiemos en nadie, sino que pensemos en forma más crítica”, sostuvo Hadnagy. “Las solicitudes que se le hacen, las preguntas que se le hacen, ¿tienen sentido? ¿Es realmente necesario responder a estas preguntas? El pensamiento crítico puede ayudar. En segundo lugar, obtenga información. Esté al tanto de los vectores de ataque que se están utilizando y aprenda como son utilizados. Eso lo mantendrá alerta”.

Fuente:
Joan Goodchild, CSO (US)
http://cioperu.pe/



Otras noticias de interés:

buscar informacion
buenas buenas, la razon de este mensaje es para darle animos a todos a q manden programas hechos por ustedes con el código fuente para que así las personas se animen y entiendan la manera de como funcionan las cosas; lo cual despues de todo no es t...
Para Variar - Parche del parche para Windows Media Player
Y van dos. En apenas un mes Microsoft se ve forzada a distribuir por segunda vez un parche que tiene como misión rectificar una actualización anterior que se muestra defectuosa. En esta ocasión le toca el turno a su reproductor multimedia, Windows...
Ataque a gran escala en WordPress
Varios informes han permitido revelar la existencia de un ataque a gran escala contra blogs puestos en marcha con WordPress, y que por lo visto habían afectado inicialmente al servidor DreamHost para luego extenderse a otras empresas de hosting....
MS-Office no dará soporte a OOXML hasta el MS-Office 14
Parece sorprendente, pero así es: si ayer hablábamos del anuncio que ha confirmado la compatibilidad nativa con ODF, PDF y XPS en Office 2007 para dentro de un año, ahora nos enteramos de lo que no será soportado es el estándar ISO OOXML, que fu...
Vulnerabilidad en OpenSSH
Hace unos dias Hispasec informó de posibles fallas en OpenSSH. Se han publicado las dos vulnerabilidades que afectan a las versiones 2.9.9 hasta la 3.3 de OpenSSH. Ambas se encuentran en el manejo de las respuestas de desafío Challenge Responses...
Exploit de vulnerabilidad Mozilla Firefox 1.5 Beta 1 IDN Buffer Overflow
Créditos del exploit Berend-Jan Wever, dicho exploit ataca la vulnerabilidad IDN Buffer Overflow que afecta al Firefox 1.5, ya corregida en las versiones posteriores de este browser....
Están preparados los empresarios Venezolanos para la cultura del Software Libre?
En nuestro país amaneció de golpe, para los que estamos involucrados en el movimiento del software libre, Linux y Open Source ahora nos encontramos con un decreto 3390 que dictamina que una gran mayoría de las oficinas y...
Como averiguar la contraseña de Hotmail de nuestros amigos.
A continuación voy a explicar uno método fácil y que me parece muy efectivo, actualmente lo esta ofreciendo www.ontargetpage.tk esta basado en ingeniería social. ...
NOS UNIMOS AL DOLOR DE NUESTROS AMIGOS ESPAÑOLES
Hoy ha ocurrido un lamentable hecho en la ciudad de Madrid España, donde murieron más de 100 personas además de miles de heridos. El Xombra Team les da sus sinceras palabras de condolencias a todos los Españoles. Nosotros estam...
El 60% del Código de Windows Vista será reescrito
Una buena parte del código desarrollado para Windows Vista esta siendo reescrito por programadores procedentes de la división de Xbox e ingenieros de Intel....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • funciona
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • ingenieria
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • social
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra