elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Como proteger una cartera - billetera de Bitcoin


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Protección contra la Ingeniería Social
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Protección contra la Ingeniería Social  (Leído 6,976 veces)
5eth

Desconectado Desconectado

Mensajes: 63



Ver Perfil
Protección contra la Ingeniería Social
« en: 18 Noviembre 2010, 15:46 pm »

Hola a todos, antes que nada este tema es de PROTECCIÓN, así que espero que por tratarse de Ingeniería Social no me lo borren el tema, ya que claro está que trata de la protección, otro punto que me gustaría que tomen en cuenta es que esto sirve desde robos de cuentas de todo tipo (msn, facebook, tarjetas de crédito), hasta empresas pequeñas y grandes, no por nada están ese tipo de consejos más abajo, ya que hay casos que se infiltran en empresas tal como cuentan las historias del libro de Kevin Mitnick (El Arte de la Intrusión) en casos reales. Por otro lado, este es un tema que no se lo toman muy en cuenta, y que es importantísimo, muchas personas se preguntan: ¿cómo me robaron la cuenta de msn? di a alguien mi contraseña por error? y situaciones de ese tipo, me gustaría que se tome más en cuenta el como protegerse de la Ingeniería Social ya que es una "herramienta" muy poderosa en el mundo del Hacking NO ÉTICO.


Protección contra la Ingeniería Social (Una de las técnicas más importantes en el hacking).


Hola a todos los usuarios del elhacker.net vengo a traerles este texto de Protección contra la Ingeniería Social, me animé a escribir este texto porque la ingeniería social es interesante en el mundo del hacking, y es una de las técnicas (o como quieran llamarlo) más importantes en el mundo del hacking NO ÉTICO, y es muy necesario protegerse de esta ingeniería, por lo cual les traigo este texto que lo hice con mi propias fuentes, es decir yo hice esto de lo que aprendí en libros, en experiencias, etc. solo el primer párrafo lo traje para que vieran lo que dice Brad Sagarín de este tema, ese párrafo lo saqué de el libro de Kevin Mitnick (El Arte de la Intrusión) que también me sirvió de inspiración, quiero que quede bien claro que todo esto lo hice yo, no lo saqué de ningún lugar ni copié y pegué, NO, digo esto porque no falta el que te critica y te dice lammer, más bien espero que nadie lo copie de aquí y lo postée como suyo en lugares como Taringa, o blogs, les pido por favor que no hagan eso …  esto lo hice en mi trabajo, y luego lo traje a mi casa y lo pase a Word y corregí toda la ortografía, y se los posteo en el foro, también lo pasé a PDF. Este texto admito que no es la gran cosa, pero cuando uno pone de su esfuerzo por más pequeño que sea desea que sea reconocido como suyo.

Para Brad Sagarin: "No hay nada mágico en la ingeniería social. El ingeniero social emplea las mismas técnicas de persuasión que utilizamos todos los demás a diario: adquirimos normas, intentamos ganar credibilidad, exigimos obligaciones recíprocas, pero el ingeniero social aplica estas técnicas de una forma manipuladora, engañosa y muy poco ética, a menudo con efectos devastadores".

En todos los ataques de ingeniería social, el atacante sabe que mucho dice su apariencia, su forma de vestir, su forma de comportarse, la seguridad que uno provoca, etc. ellos saben que todo entra por los ojos, la apariencia engaña y ellos utilizan esas tácticas para completar el objetivo que hayan trazado.

No siempre se usan las mismas tácticas, depende de muchos factores el cómo saber actuar de los IngSoc (IngSoc=Ingenieros Sociales: así los llamaremos). Muchos hackers, en sus grandes hazañas y no está demás decir que en la mayoría de las historias reales de estos hackers utilizan siempre por lo  menos en algún momento la IngSoc. Que quizás para muchos es la "herramienta" más importante para el hacking NO ÉTICO.

Hay muchas formas en las cuales se puede emplear la IngSoc. en sistemas, mediante una llamada (mediante llamada puede resultar más "fácil" que  del modo físico, con físico nos referimos a aplicar la IngSoc. en un modo personal, cara a cara, lo cual puede ser más dificultoso, se necesita de más experiencia, más habilidad mental, mucha más seguridad, buena presencia, etc.), gente la aplica también en simples situaciones como la venta de celulares, robos de MSN, Facebook, Twitter, y en algunos casos no saben que están aplicando la IngSoc pero de hecho lo están haciendo. Incluso en este momento al escribir todo este texto en mi trabajo (donde no debería hacerlo) mí supervisor me pregunta qué es lo que escribo y que me concentre en mi trabajo, y simplemente  mirándolo a los ojos y con seguridad le digo "es un trabajo para mi universidad, es urgente" y me responde que tenga cuidado en que no me vean los demás supervisores, ahí aplique en "pocas revoluciones" la IngSoc ya que ni siquiera voy a la universidad y el supervisor no se preocupó en decirme que cambie la fuente con la que escribí este texto para ver lo que escribía, ya que lo estaba haciendo con fuente Chiller con tamaño 10  en un Bloc de Notas reducido en una ventana del tamaño de una galleta para no levantar muchas sospechas ... Así de simple apliqué IngSoc y engañé a mi supervisor, pero no fue con intención de dañar sino de traerles este texto a ustedes.

Otro ejemplo es una de las historias del libro de uno de los legendarios hackers Kevin Mitnick que habla de como dos Phreakers, llaman a un hotel haciéndose pasar por los trabajadores de seguridad de software de ese hotel, preguntándole a la recepcionista  el usuario y contraseña de el sistema del hotel, ella amablemente se cree el cuento y les da toda la información, ellos logran entrar al sistema pudiendo acceder a todos los datos de gente hospedada, datos financieros y claro que teniendo todo ese "oro" a su disposición, no dudaron en ir personalmente al hotel a reservar una suite de $500 sin pagar un  solo centavo, dando datos falsos, y tener a su gusto mini bar entre otras cosas, engañando así con la poderosa "herramienta" de la IngSoc.

Si es personal o por llamada y pasa una situación en la que el IngSoc les ayuda en algo, y lo hace de manera desinteresada (según él)  no se dejen llevar por eso, ellos ayudan con un fin en mente, es decir que si te ayudan en algo, tú te sentirás agradecido(a), y el IngSoc aprovecha y pide un favor, o una ayuda para el objetivo que tiene, la ayuda que dio no fue desinteresada en realidad sino significa abrir una ventana para su objetivo, la persona le diría que lo ayuda como gesto de agradecimiento y sin saber está permitiendo la entrada de un intruso en las instalaciones de la empresa o en el sistema de la empresa, por más que les haya ayudado pueden decir que “NO” con amabilidad claro está, como dice en el libro de Kevin, pueden decir “NO” pero usen palabras como “disculpe”, “lo siento”, lamentablemente nos cuesta mucho a la mayoría de las personas a decir “NO” a la gente, simplemente porque no queremos ser malcriados, por vergüenza, por timidez, o tantas razones más, pero deberíamos saber a que decir “No” y a que decir “Si”, pero si hacemos lo más correcto en el futuro nos ahorraremos grandes problemas.

Otro ejemplo es cuando puede que el IngSoc, haya conseguido una credencial de una forma u otra de la empresa, y personalmente trate de entrar a las instalaciones con la credencial de identificación ya que se toparía con guardias y para pasar de ellos necesita una credencial que lo identifique, si ustedes fueran IngSoc que harían? seguro voltearían la credencial para que la cara de la credencial donde se muestran los datos importantes de el “propietario” de la credencial no sean vistos por los guardias o personal de la empresa, y así pasar sin mayores inconvenientes, es por eso que se debe capacitar en especial al personal de seguridad, ya que al ver esta situación deben pedir a la persona que muestre la cara de la credencial, puede que si en realidad es un trabajador de la empresa se moleste por esta situación, pero el personal de seguridad solo cumple con su trabajo y pide disculpas al trabajador diciendo que es por seguridad, pero y si fuera un intruso? … las respuestas son claras.

**recomiendo el libro de Kevin Mitnick, "El Arte de la Intrusión", se ven casos como el que les cuento, y muchos otros en los cuales se emplea esta IngSoc, y al final de cada historia enseña el cómo protegerse del tema de cada historia de la que relata.


Consejos para protegerse:

*No dar por medio de llamadas nombres de usuario ni contraseñas, si les dice que es de la empresa verifiquen, pidan nombre, sección en que trabaja, pero no den información confidencial.

*Si es personalmente pidan identificación, aún si les da identificación y no reconocen a la persona pregunten a su superior antes de alguna información que desee obtener la persona, o si desea entrar a las instalaciones de la empresa, no se dejen llevar por su amabilidad, cortesía, capaciten al personal de seguridad en todos estos puntos y no dar información importante.

*en el caso de MSN, Facebook, Twitter, hi5, o cualquier cuenta, no den usuario ni contraseña absolutamente a nadie, es personal, ni a su novio, ni familiar, que no te "ablanden" con sus palabras, ni manipulaciones de ningún tipo, (el novio y/o el familiar tienen mucha influencia para obtener información importante), a menos que te ponga una pistola en la cabeza no des información sobre lo mencionado.

*en sus contraseñas no utilicen palabras "fáciles" o su año de nacimiento, ni el nombre de sus hijos, o padres, o del novio(a). Que sean combinación entre letras y números, si se permiten mayúsculas también, tampoco dejen el usuario y contraseña por defecto, cámbienla, mejor aún si la cambian periódicamente.

Aquí les dejo el enlace de donde esta publicado este tema como PDF.

http://www.scribd.com/full/43065687?access_key=key-2nurpi0ipgawiccqr3t3


Hecho por Diego (Seth)


« Última modificación: 19 Noviembre 2010, 05:08 am por 5eth » En línea

█║▌│ █│║▌ ║││█║▌ │║║█║
Axus


Desconectado Desconectado

Mensajes: 1.936

Mas vale llegar tarde, que nunca llegar


Ver Perfil WWW
Re: Proteccion contra la Ingenieria Social
« Respuesta #1 en: 18 Noviembre 2010, 16:10 pm »

Muy bueno el texto. :P

Y me gusta los ejemplos que mencionas en el texto porque son ciertos y se utilizan mucho actualmente.

PD:Mandale un Mp a cualquiera de los Mod de esta sección para que lo añadan a el post de "Temas Frecuentes de esta sección".

Un saludo ;)


En línea

jdc


Desconectado Desconectado

Mensajes: 3.406


Ver Perfil WWW
Re: Proteccion contra la Ingenieria Social
« Respuesta #2 en: 18 Noviembre 2010, 16:11 pm »

Está entretenido el texto.
 
En resumen hay que usar la filosofía de House "todos mienten"
En línea

5eth

Desconectado Desconectado

Mensajes: 63



Ver Perfil
Re: Proteccion contra la Ingenieria Social
« Respuesta #3 en: 18 Noviembre 2010, 17:22 pm »

Gracias Axus, eso hare, le mandare un pv a uno de los Mod. y jdc si no me habia dado cuenta de eso, "todos mienten", tienes razon. Si alguien quiere seguir colaborando con este tema lo pueden hacer, seria interesante que colaboren con sus fuentes tambien ..  


salu2.


Edito: En el libro The Art of Deception tambien de Kevin Mitnick hay muchas mas informacion sobre la Ingeniera Social, si alguien tiene buen conocimiento de ingles puede leerlo ya que no hay en español ese libro, lo busque en español por cielo y tierra, incluso eh pensado en pagar a un traductor para que lo traduzca
« Última modificación: 18 Noviembre 2010, 20:28 pm por 5eth » En línea

█║▌│ █│║▌ ║││█║▌ │║║█║
APOKLIPTICO


Desconectado Desconectado

Mensajes: 3.871


Toys in the attic.


Ver Perfil
Re: Proteccion contra la Ingenieria Social
« Respuesta #4 en: 18 Noviembre 2010, 23:35 pm »

Yo tengo otro consejo: "Trust, is a weakness".
En línea

AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
Gabriela

Desconectado Desconectado

Mensajes: 195



Ver Perfil
Re: Proteccion contra la Ingenieria Social
« Respuesta #5 en: 19 Noviembre 2010, 01:07 am »

Me agradó la redacción, se lee natural y coloquial.

Jamás comento una falta de ortografía en el foro, ( yo hago varias) pero te leo contento con tu trabajo, y percibo que te has esforzado; por eso el comentario siguiente:  hay 3 o 4 tildes que faltan, si quieres corregirlos déjame un MP.

Los correctores ortográficos son una excelente herramienta y tú mismo dices que lo has empleado, sólo que hay palabras que según el significado o tiempo verbal pueden o no llevar tilde. Por supuesto que para nada desmerece tu trabajo, solo que noto tu preocupación para que quede lo mejor posible.

Gabriela.

En línea

Tú te enamoraste de mi valentía, yo me enamoré de tu oscuridad; tú aprendiste a vencer tus miedos, yo aprendí a no perderme en tu abismo.
5eth

Desconectado Desconectado

Mensajes: 63



Ver Perfil
Re: Proteccion contra la Ingenieria Social
« Respuesta #6 en: 19 Noviembre 2010, 01:11 am »

Asi es APOKLIPTICO el Ingeniero Social tomaria en cuenta cada de las debilidades de cada persona, y hay que tener en cuenta que estas personas evaluan cada uno de nuestros comportamientos, la confianza, la timidez, de absolutamente todo lo que puedan. como dije en el post: es un tema al que muy poca importancia le dan siendo una de las herramientas mas importantes en el mundo del hacking. Usted cree que un crackeador de contraseñas es pelgroso, cree que un Keylogger es peligroso ? cree que un troyano es peligroso ? un virus ? NO, el peligro es la MENTE del hacker NO ETICO, la Ingeniera Social es tres veces mas peligrosa que cualquiera de esas herramientas. Personalmente debo decir que este foro es muy pero muy bueno, ya que es "ETICO" a comparacion de muchos otros foros que son todo lo contrario, por eso repito que me gustaria que se toquen mas estos temas de Ingeniera Social, de esto se puede hacer montones de montones de libros, hay mucha informacion, y no es solo por gusto, sino que es muy necesario.

Salu2.

PD. Gracias Gabriela- , pues si utilize el corrector ortografico, de otra manera el post hubiera quedado un desastre, y si hay errores pues gracias por avisarmelos y asi mejoramos el Post, siempre hay que pensar en mejorar  ;)
En línea

█║▌│ █│║▌ ║││█║▌ │║║█║
cesarecf

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: Protección contra la Ingeniería Social
« Respuesta #7 en: 14 Marzo 2011, 23:35 pm »

Otra forma de ganarse a un objetivo, a veces es revelar las mismas intenciones y dejarles un "tarrito de miel" o simplemente mostrarse "revelado", incrementando el grado de confianza de la otra persona sobre uno porque "confias en él".

Claro está, si eso falla siempre ten un argumento disponible para salirte del lío del tarrito de miel, es preferible hacerlo para ganarse al otro "colocándose al descubierto".
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[encuesta] Ingenieria Social: Websort en Facebook
Foro Libre
PerroFlauta3000 3 4,291 Último mensaje 13 Enero 2011, 15:17 pm
por Wavrod
que es ingenieria social?
Dudas Generales
Zerstorer1943 7 6,200 Último mensaje 10 Abril 2011, 20:09 pm
por CloudswX
Ingenieria social?
Hacking
Puntoinfinito 4 4,325 Último mensaje 20 Marzo 2012, 08:34 am
por Puntoinfinito
Proteccion contra Clonacion de HDD
Software
larajlc89 1 2,327 Último mensaje 1 Abril 2022, 01:51 am
por Serapis
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines