elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Los 10 CVE más críticos (peligrosos) de 2020


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Historia de ing Social
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Historia de ing Social  (Leído 2,119 veces)
engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Historia de ing Social
« en: 3 Julio 2015, 06:28 am »

Dejo una historia muy agradable que vi

Ingeniería Social en un Banco (parte 1)
A pedido de mi ahijado, continuo con otra anecdota de Ingeniería Social pero esta vez en un banco.

Durante un test de intrusion a un cliente, en particular un Banco, se nos solicito realizar diferentes pruebas de Ingeniería Social. Una de ellas, consistia en ingresar fisicamente al edificio central y tratar de llegar hasta las oficinas del Gerente.

Antes de diseñar el ataque, decidi verificar como eran los controles del lugar visitando al Jefe de Seguridad de la Información, con la excusa de mostrarle el avance del test de intrusion externo e interno que estábamos llevando a cabo. Podia haber elegido al Jefe de Tecnologia para mostrarle algún nuevo producto, al de RRHH para mostrarle un plan de capacitación para el personal…cualquier excusa y cualquier contacto dentro del edificio hubiera servido.

Al llegar al edificio, a las 8 am en punto, me encuentro con personal de seguridad fuertemente armado en la puerta que me detiene, y me redirige al edificio vecino en busca de una acreditación. Al ir al edificio vecino, me encuentro con que la entrada no era muy diferente al anterior, dos hombres armados me abren una puerta de vidrio, detrás de la cual había un pequeño mostrador con un señor registrando a los visitantes. Muy amablemente, le comente a este ultimo que venia a visitar al Jefe de Seguridad de la Informacion, y que tenia una reunion con el.   

El señor, me pidio mi identificacion y me dio una tarjeta de acceso.   Mientras estaba esperando, observe un detalle no menor, el hombre aun tenia puesto el abrigo, es decir que acaba de ingresar a su puesto de trabajo.

Con mi tarjeta en la mano, me dirigi al edificio original, al que debía ir, y al tratar de entrar, la misma persona de seguridad que al principio no me dejo entrar, me volvió a frenar, tomo mi tarjeta, abrió la puerta con ella y llamo a otra persona de seguridad que me acompaño en el ascensor hasta las oficinas.   

No puedo obviar contarles que al salir del ascensor no había ninguna oficina abierta, todas estaban cerradas con puertas y controles de acceso biometricos. En el pasillo solo podían verse algunas plantas y algunas impresoras de red, esas multifunción grandotas. Otro detalle importante, es que apenas se sale del ascensor, hay un cartel indicando que oficinas se encuentran en el piso, cuales a la derecha y cuales a la izquierda. A su vez, también observe las puertas de las salidas de emergencia, vecinas al ascensor, estaban abiertas (quizás porque muchos las usan para ir a fumar en esos lugares).

Finalmente, ingrese a la oficina del Jefe de Seguridad y me reuni con el. Mientras conversaba, note sobre su escritorio que tenia regalos de un proveedor, por lo que al salir investigue que relación tenia el Banco con esta empresa de servicios, y descubrí algo maravilloso: La empresa de servicios brinda outsourcing de Seguridad desde hace casi 4 años con el Banco.

Entonces, ahora si. A planificar el ataque.

Primero seleccionar quien seria el Ingeniero Social, para este caso donde son tantos guardias armados, la mejor opción fue elegir a una mujer… Converse con una de mis consultoras y la asesore sobre cada uno de los controles y como evadirlos:

Primero y principal, el personal de seguridad del edificio 2, entra a trabajar a las 8 am. . Pero que sucede si tenemos que entrar antes de ese horario?  Así que le pedi que se presente antes del horario, a las 7:30 am.   

Nuestra consultora se acerco y le indico a las personas armadas que debía ver al Jefe de Seguridad. El guardia pregunto de donde venia, para lo cual, la consultora de mi equipo saco una tarjeta impresa por nosotros el dia anterior, donde se podia leer su nombre y supuesto cargo, junto a los logos del proveedor que habíamos detectado…

Como el guardia de seguridad vio el logo conocido, le dijo:

“Mire, no la podemos registrar porque aun no llega mi compañero, pero igualmente pase por aquí…”

y abriendo la puerta la dejo entrar en el ascensor, donde el otro guardia esperaba. Este ultimo, la llevo hasta el piso del Jefe de Seguridad, y cuando estaba por bajar, nuestra consultora le dijo:

“…no se preocupe buen hombre, conozco el camino, vengo seguido…yo les golpeo la puerta.”

a lo que el guardia respondió sonriendo y permitiendole bajar del ascensor (definitivamente, fue una buena idea elegir una mujer para esta tarea).

Nuestra consultora primero recorrió el piso observando que había en cada impresora de red como le había indicado, y con su teléfono celular (una blackberry, tomo fotos de algunos documentos y otros los guardo en su cartera), obviamente se encontró con algunos documentos “poco importantes” : el mapa de red, el estándar de seguridad de los servidores Unix, etc etc…

Luego utilizo las puertas de las salidas de emergencia para moverse entre pisos, ya que como era de esperar, estaban abiertas…y así llego al piso indicado por un cartel como: “Oficinas del Directorio”, como creyó que era un buen lugar para quedarse, se quedo.

Su rol ahora, debía cambiar, por lo cual le indique que cuando hable con la secretaria del Gerente, se presente como personal de soporte del proveedor de servicios y que debíamos revisar su estación de trabajo (para ello presento otra tarjeta impresa por su nombre donde solo cambiaba el puesto en relación a la anterior). Nuestra consultora siguió al pie de la letra las indicaciones y la respuesta de la secretaria fue encantadora, le dejo su PC para que tome los datos necesarios, le permitió colocar un pendrive e instalar un programita “para hacer mas rápida la maquina” y finalmente, le ofreció abrirle la puerta de la oficina del Gerente y acceder a la PC con la clave del director que ella misma conocía, para solucionarle los problemas al jefe…

Podemos decir en este preciso punto: GameOver

Lo curioso de este caso, es que los controles era fuertes, pero se debilitaron ante una supuesta reunion fuera de horario, una tarjeta de presentación falsa (bueno, dos) y la amabilidad del Ingeniero Social. Tanto las armas de fuego, como las personas de seguridad, o hasta el mismo control biometrico dejaron de ser efectivos debido a la falta de concientización del personal.

fuente:https://holename.wordpress.com/2011/01/22/ingenieria-social-en-un-banco-parte-1/
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Randomize
Colaborador
***
Desconectado Desconectado

Mensajes: 20.599


Beautiful Day


Ver Perfil
Re: Historia de ing Social
« Respuesta #1 en: 3 Julio 2015, 06:43 am »

El problema de los bancos son las webcams, luego la gente dice muchas cosas.
En línea

Br1ant


Desconectado Desconectado

Mensajes: 791


Incluso la "nada" es un "algo"


Ver Perfil WWW
Re: Historia de ing Social
« Respuesta #2 en: 3 Julio 2015, 08:20 am »

Supongo que es también posible alterar las cámaras de seguridad, jejej.

Gracias por compartir engel lex, muy buen relato.
En línea

Namasté, criatura.
crazykenny


Desconectado Desconectado

Mensajes: 4.223



Ver Perfil WWW
Re: Historia de ing Social
« Respuesta #3 en: 3 Julio 2015, 21:11 pm »

Realmente interesante, y, bueno, digo lo mismo que gck; muchas gracias por compartir el articulo.

Muchas gracias por vuestra atencion.
Saludos.
En línea

A nivel personal, lo que me da mas miedo no son los planteamientos y acciones individuales, sino las realizadas en grupo, ya que estas ultimas pueden acabar con consecuencias especialmente nefastas para todos.
Se responsable, consecuente y da ejemplo.
https://informaticayotrostemas.blogspot.com/

Mi canal de Youtube:

https://www.youtube.com/@crazykenny
DarK_FirefoX


Desconectado Desconectado

Mensajes: 1.263


Be the change you wanna see in te world


Ver Perfil
Re: Historia de ing Social
« Respuesta #4 en: 6 Julio 2015, 07:11 am »

Recién tuve la oportunidad de leerlo completo, pero me pareció muy interesante. Gracias por compartirlo @engel lex

- Poder femenino sobre los hombres en su apogeo.

Salu2s
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines