Hola a todos, antes que nada este tema es de PROTECCIÓN, así que espero que por tratarse de Ingeniería Social no me lo borren el tema, ya que claro está que trata de la protección, otro punto que me gustaría que tomen en cuenta es que esto sirve desde robos de cuentas de todo tipo (msn, facebook, tarjetas de crédito), hasta empresas pequeñas y grandes, no por nada están ese tipo de consejos más abajo, ya que hay casos que se infiltran en empresas tal como cuentan las historias del libro de Kevin Mitnick (El Arte de la Intrusión) en casos reales. Por otro lado, este es un tema que no se lo toman muy en cuenta, y que es importantísimo, muchas personas se preguntan: ¿cómo me robaron la cuenta de msn? di a alguien mi contraseña por error? y situaciones de ese tipo, me gustaría que se tome más en cuenta el como protegerse de la Ingeniería Social ya que es una "herramienta" muy poderosa en el mundo del Hacking NO ÉTICO.
Protección contra la Ingeniería Social (Una de las técnicas más importantes en el hacking).
Hola a todos los usuarios del elhacker.net vengo a traerles este texto de Protección contra la Ingeniería Social, me animé a escribir este texto porque la ingeniería social es interesante en el mundo del hacking, y es una de las técnicas (o como quieran llamarlo) más importantes en el mundo del hacking NO ÉTICO, y es muy necesario protegerse de esta ingeniería, por lo cual les traigo este texto que lo hice con mi propias fuentes, es decir yo hice esto de lo que aprendí en libros, en experiencias, etc. solo el primer párrafo lo traje para que vieran lo que dice Brad Sagarín de este tema, ese párrafo lo saqué de el libro de Kevin Mitnick (El Arte de la Intrusión) que también me sirvió de inspiración, quiero que quede bien claro que todo esto lo hice yo, no lo saqué de ningún lugar ni copié y pegué, NO, digo esto porque no falta el que te critica y te dice lammer, más bien espero que nadie lo copie de aquí y lo postée como suyo en lugares como Taringa, o blogs, les pido por favor que no hagan eso … esto lo hice en mi trabajo, y luego lo traje a mi casa y lo pase a Word y corregí toda la ortografía, y se los posteo en el foro, también lo pasé a PDF. Este texto admito que no es la gran cosa, pero cuando uno pone de su esfuerzo por más pequeño que sea desea que sea reconocido como suyo.
Para Brad Sagarin: "No hay nada mágico en la ingeniería social. El ingeniero social emplea las mismas técnicas de persuasión que utilizamos todos los demás a diario: adquirimos normas, intentamos ganar credibilidad, exigimos obligaciones recíprocas, pero el ingeniero social aplica estas técnicas de una forma manipuladora, engañosa y muy poco ética, a menudo con efectos devastadores".
En todos los ataques de ingeniería social, el atacante sabe que mucho dice su apariencia, su forma de vestir, su forma de comportarse, la seguridad que uno provoca, etc. ellos saben que todo entra por los ojos, la apariencia engaña y ellos utilizan esas tácticas para completar el objetivo que hayan trazado.
No siempre se usan las mismas tácticas, depende de muchos factores el cómo saber actuar de los IngSoc (IngSoc=Ingenieros Sociales: así los llamaremos). Muchos hackers, en sus grandes hazañas y no está demás decir que en la mayoría de las historias reales de estos hackers utilizan siempre por lo menos en algún momento la IngSoc. Que quizás para muchos es la "herramienta" más importante para el hacking NO ÉTICO.
Hay muchas formas en las cuales se puede emplear la IngSoc. en sistemas, mediante una llamada (mediante llamada puede resultar más "fácil" que del modo físico, con físico nos referimos a aplicar la IngSoc. en un modo personal, cara a cara, lo cual puede ser más dificultoso, se necesita de más experiencia, más habilidad mental, mucha más seguridad, buena presencia, etc.), gente la aplica también en simples situaciones como la venta de celulares, robos de MSN, Facebook, Twitter, y en algunos casos no saben que están aplicando la IngSoc pero de hecho lo están haciendo. Incluso en este momento al escribir todo este texto en mi trabajo (donde no debería hacerlo) mí supervisor me pregunta qué es lo que escribo y que me concentre en mi trabajo, y simplemente mirándolo a los ojos y con seguridad le digo "es un trabajo para mi universidad, es urgente" y me responde que tenga cuidado en que no me vean los demás supervisores, ahí aplique en "pocas revoluciones" la IngSoc ya que ni siquiera voy a la universidad y el supervisor no se preocupó en decirme que cambie la fuente con la que escribí este texto para ver lo que escribía, ya que lo estaba haciendo con fuente Chiller con tamaño 10 en un Bloc de Notas reducido en una ventana del tamaño de una galleta para no levantar muchas sospechas ... Así de simple apliqué IngSoc y engañé a mi supervisor, pero no fue con intención de dañar sino de traerles este texto a ustedes.
Otro ejemplo es una de las historias del libro de uno de los legendarios hackers Kevin Mitnick que habla de como dos Phreakers, llaman a un hotel haciéndose pasar por los trabajadores de seguridad de software de ese hotel, preguntándole a la recepcionista el usuario y contraseña de el sistema del hotel, ella amablemente se cree el cuento y les da toda la información, ellos logran entrar al sistema pudiendo acceder a todos los datos de gente hospedada, datos financieros y claro que teniendo todo ese "oro" a su disposición, no dudaron en ir personalmente al hotel a reservar una suite de $500 sin pagar un solo centavo, dando datos falsos, y tener a su gusto mini bar entre otras cosas, engañando así con la poderosa "herramienta" de la IngSoc.
Si es personal o por llamada y pasa una situación en la que el IngSoc les ayuda en algo, y lo hace de manera desinteresada (según él) no se dejen llevar por eso, ellos ayudan con un fin en mente, es decir que si te ayudan en algo, tú te sentirás agradecido(a), y el IngSoc aprovecha y pide un favor, o una ayuda para el objetivo que tiene, la ayuda que dio no fue desinteresada en realidad sino significa abrir una ventana para su objetivo, la persona le diría que lo ayuda como gesto de agradecimiento y sin saber está permitiendo la entrada de un intruso en las instalaciones de la empresa o en el sistema de la empresa, por más que les haya ayudado pueden decir que “NO” con amabilidad claro está, como dice en el libro de Kevin, pueden decir “NO” pero usen palabras como “disculpe”, “lo siento”, lamentablemente nos cuesta mucho a la mayoría de las personas a decir “NO” a la gente, simplemente porque no queremos ser malcriados, por vergüenza, por timidez, o tantas razones más, pero deberíamos saber a que decir “No” y a que decir “Si”, pero si hacemos lo más correcto en el futuro nos ahorraremos grandes problemas.
Otro ejemplo es cuando puede que el IngSoc, haya conseguido una credencial de una forma u otra de la empresa, y personalmente trate de entrar a las instalaciones con la credencial de identificación ya que se toparía con guardias y para pasar de ellos necesita una credencial que lo identifique, si ustedes fueran IngSoc que harían? seguro voltearían la credencial para que la cara de la credencial donde se muestran los datos importantes de el “propietario” de la credencial no sean vistos por los guardias o personal de la empresa, y así pasar sin mayores inconvenientes, es por eso que se debe capacitar en especial al personal de seguridad, ya que al ver esta situación deben pedir a la persona que muestre la cara de la credencial, puede que si en realidad es un trabajador de la empresa se moleste por esta situación, pero el personal de seguridad solo cumple con su trabajo y pide disculpas al trabajador diciendo que es por seguridad, pero y si fuera un intruso? … las respuestas son claras.
**recomiendo el libro de Kevin Mitnick, "El Arte de la Intrusión", se ven casos como el que les cuento, y muchos otros en los cuales se emplea esta IngSoc, y al final de cada historia enseña el cómo protegerse del tema de cada historia de la que relata.
Consejos para protegerse:
*No dar por medio de llamadas nombres de usuario ni contraseñas, si les dice que es de la empresa verifiquen, pidan nombre, sección en que trabaja, pero no den información confidencial.
*Si es personalmente pidan identificación, aún si les da identificación y no reconocen a la persona pregunten a su superior antes de alguna información que desee obtener la persona, o si desea entrar a las instalaciones de la empresa, no se dejen llevar por su amabilidad, cortesía, capaciten al personal de seguridad en todos estos puntos y no dar información importante.
*en el caso de MSN, Facebook, Twitter, hi5, o cualquier cuenta, no den usuario ni contraseña absolutamente a nadie, es personal, ni a su novio, ni familiar, que no te "ablanden" con sus palabras, ni manipulaciones de ningún tipo, (el novio y/o el familiar tienen mucha influencia para obtener información importante), a menos que te ponga una pistola en la cabeza no des información sobre lo mencionado.
*en sus contraseñas no utilicen palabras "fáciles" o su año de nacimiento, ni el nombre de sus hijos, o padres, o del novio(a). Que sean combinación entre letras y números, si se permiten mayúsculas también, tampoco dejen el usuario y contraseña por defecto, cámbienla, mejor aún si la cambian periódicamente.
Aquí les dejo el enlace de donde esta publicado este tema como PDF.
http://www.scribd.com/full/43065687?access_key=key-2nurpi0ipgawiccqr3t3
Hecho por Diego (Seth)