Foro de elhacker.net

Foros Generales => Dudas Generales => Mensaje iniciado por: @XSStringManolo en 20 Julio 2019, 10:02 am



Título: Ingeniería social. (SE)
Publicado por: @XSStringManolo en 20 Julio 2019, 10:02 am
    
INGENIERÍA SOCIAL por String Manolo

  • Definición
  • Qué es?
  • Para qué sirve
  • Quién lo utiliza
  • Técnicas y ejemplos
  • Principales Motivaciones
  • Por qué deberías informarte


-Definicion
Existen múltiples definiciones, prácticamente una por cada autor. Todos la utilizamos y la hacemos nuestra, por lo que queremos dar nuestra visión y por lo tanto una definición que se ajuste a nuestro criterio.

-Qué es?
La ingeniería social es el arte de usar  nuestras capacidades para cumplir un objetivo a través de una persona o cualquier agrupación social. Véase  una empresa, una organización, una familia, un grupo de amigos, un empleado...

-Para qué sirve?
La ingeniería social sirve para ayudarnos en nuestros propósitos. Conseguir un trabajo, pedir un préstamo, una invitación a una fiesta, una cita, cambiar la imagen que los demás tienen de nosotros...

-Quien la utiliza?
La utilizan los niños llorando para mamar, un comercial para venderte un aspirador, un agente de la autoridad para forzar una confesión de un delincuente, un psicólogo para obtener información y poder hacer un diagnóstico, un cibercriminal para obtener tus datos bancarios, tu mujer para decidir que mueble vas a poner en el salón jeje.
En mayor o menor medida todos utilizamos la ingeniería social y todos somos víctimas de ella.

-Por qué deberías informarte?
Es una de las herramientas más comunes y frecuentes. Principalmente deberías informarte para que no sea utilizada en tu contra.


Desde la creación de internet los cibercriminales han desarrollado muchas técnicas de ingeniería social (algunas más sofisticadas y otras realmente sencillas) como herramientas para obtener acceso a equipos remotos y a información sensible; correos electrónicos, cuentas bancarias, perfiles en redes sociales, u obligarte/convencerte de hacer pagos al delincuente.

Las principales motivicaciones de estos criminales son:
  • Lucrarse económicamente
  • Obtener equipos y dispositivos electrónicos que puedan controlar remotamente
  • Intereses políticos, empresariales, personales o ideológicos
  • Venganza
  • Obtención de recursos como software, material pornográfico, escritos, pruebas de delitos...

Muchas veces con el fin de utilizarlos ilícitamente en pos de saciar sus inquietides o para su satisfación personal. Véanse el chantaje y la extorsión para conseguir favores de todo tipo, o la venta a terceros en el caso de que la víctima no ceda al chantaje.


Las técnicas son numerosas y muy diversas. Todo pasa por la información que expongamos o que sea de cualquier modo accesible a terceros e igual de importante es la información que no sabemos que existe y pueda ser usada en nuestra contra.




Ejemplos de ténicas más comunes y frecuentes:
Una de las más interesantes por su alta efectividad y de la que todos podemos ser víctimas es el llamado Trashing o Dumping Diver(buscar en la basura) que convinado con phising(correos electrónicos suplantando a una entidad) puede ser altamente peligroso para nuestra seguridad:
Tiras a la basura tus informes o citas médicas. Números de teléfono. Tickets de la compra. Es algo frecuente que todos hacemos alguna vez. O dejamos algo que se puede ver perfectamente desde una ventana con un telescopio.

Cualquier criminal podría vigilarte y obtener tu bolsa de basura de dentro contendor. Leer tu informe médico y llamarte por teléfono suplantando la identidad del centro de salud que figura en el documento:

Hola buenos días, Paco Martinez Perez? Llamaba para informsrle que la cita para realizar la resonancia magnética con motivo de su lesión lumbar a sido asignada el día 12 en el hospital Juan Gutierrez. Cómo? Seguro que no es correcto? No se preocupe. Debe ser un error informático. Tiene una dirección de correo electrónico para que pueda usted cotejar su historial médico con el sistema informático de salud? Vale, muchas gracias don Paco.

En el correo, suplantando el centro hospitalario se enviará un archivo malicioso que infecte el computador de don Paco adjunto a un informe médico creado a partir del que se obtuvo tras buscar en los desechos.



Otra técnica que utilizan se basa en colocar estratégicamente un teléfono móvil infectado con programas espía o un pen-drive cerca de la residencia de la víctima. El delincuente vigila a la víctima durante un breve periodo y aprende su rutina. Dónde aparca. A qué hora sale a trabajar. A que hora vuelve...

No sería extraño que la víctima se quedase con el teléfono móvil y se conectase a su router utilizando la clave del wi-fi. El atacante podría tirar la red fácilmente obteniendo la ip del router tras mandarse un ping a su servidor, obligando a la víctima a resetear el router y por lo tanto reseteando la contraseña de administración del router en el proceso. Dándole acceso inmediato e ilimato al router y consecuentemente a todos los sistemas conectados al router. Obtendría facilmente fotos, videos, correos, contraseñas, historiales, conversaciones, datos bancarios, contactos...

La más mínima información podría llevar a un ataque exitoso de ingienería social por parte del criminal.



Una de las técnicas más comunes realizadas por personas de todo tipo es el catfishing.
Esta técnica se basa en enamorar y manipular a una persona para "enamorarla" usando un perfil falso. Este tipo de perfiles suelen tener grandes dotes para la seducción. Por si eso no fuera suficiente, es frecuente el uso de fotos de algún modelo que encuentran por internet.
El objetivo principal de estos delincuentes es conseguir toda la información posible. Dirección, vínculos familiares, imágenes, audios y vídeos de caracter sexual lo más explícitos posibles, audios que averguencen a la víctima, confesiones de delitos, información sobre infidelidades, exparejas, etc.

Trás tener suficiente información el delincuente pasará a pedir favores económicos por una extrema necesidad: "Siento no haber podido hablarte esta semana. Estoy muy preocupado/a. Mi padre necesita un transplante de riñon y el único que se lo puede dar es mi hermano y no tiene dinero para el billete de avión. He estado moviéndome día y noche para conseguir el dinero. Intenté pedir préstamos, pero como la casa donde vivo nos la dejó mi madre en herencia a mi hermano y a mi, no la aceptan como aval para concerme el crédito sin su firma. Todo por 700 cochinos euros. Como si la vida de mi padre no valiese eso. Soy un/a hijo/a horrible. Si no bebiese alcohol de joven".

Como podemos ver, ese mensaje intenta tocar varias fibras sensibles y manipular a la víctima.
Vamos a analizarlo en profundidad, un mensaje que a priori puede parecer algo muy sencillo y una historia de la que se podría llegar incluso a desconfiar en algún momento. Pero en realidad tiene mucha carga emocional detrás y algo de psicología:

-Primero el criminal muestra una depresión y se dirige a la víctima sin un hola, ni un amor, ni cariño, como era frecuente. Mostrándole a la víctima que hasta que el problema se solucione la relación entre ellos no va a ser la misma. Menos contacto, menos afecto...

-El criminal muestra preocupación intentando buscar la empatía de la víctima.

-Después monta una historia falsa. Probablemente durante todo el proceso de manipulación, le irá mostrando antecedentes para hacer la historia totalmente veraz a los ojos de la víctima. Por ejemplo: "Hola amor, mira las fotos que me envió mi hermano." "Es en China, un lugar precioso, algún día iremos a visitarlo". "Mira esta foto con mi padre. Está hecho un toro, no se que haría sin él, es un hombre marabilloso, dile algo". "Dice que eres muy guapa y que está deseando conocerte". "Estoy deseando que pueda tener nietos jeje". Así se crea un vínculo afectivo entre la víctima y el falso padre para que la importancia sea mayor, teniéndolo ya en su mente idealozado como el abuelo de su futuro nieto.

-Toda la historia de la firma del hermano, y el aval de la casa es solo para reafirmar la historia y aumentar su credibilidad.

-La frase de "todo por 700 cochinos euros" es clave en la etapa final. Desvaloriza lo material influyendo en la perspectiva de la víctima y pensando para sí que en efecto, solo son 700 euros. No es nada en comparación con todo lo negativo de la situación. Abre la puerta pensamientos como: "Si se muere su padre por no prestarle tan solo 700 euros, me lo recordará durante toda la vida." "No quiero verlo/a así de triste". "Yo también me siento mal". Cómo vemos, cualquiera podría caer en una relación idílica de este tipo y ser estafados por un criminal.

Pero el problema no acaba aquí. Si la victima no accediese a ofrecerse psra pagar los 700 euros voluntariamente, el criminal se los pediría de la siguiente forma:
"Me dejas los 700 euros?" Pregunta directa, intentando esquivar el no y que la víctima ceda y se derrumbe ante la presión.

En caso de seguir la negativa se pasaría directamente al chantaje emocional:
"No pensé que fueras así". "Me alegro de saberlo ahora". "No entiendo por qué me haces daño"...

Si la victima no accede tras una agotadora insistencia y manipulación por todos los medios, el criminal podría dejarse de sutilezas y empezar a soltar la artillería que ha acumulado intentando dejar en shock a la víctima y causarle terror, miedo, verguenza...
"Ingrésame el dinero". "Tengo fotos íntimas tuyas y te prometo que se las mandaré a todo el mundo". "Sé dónde vives". "Lo sé todo sobre ti". "Todos sabrán como eres". "Todos sabrán que robastes en aquella tienda". "Todos sabrán donde vives". "En que habitación duermes". "Sé dónde trabajas y no van a querer a nadie dando tan mala imagen". "Toda tu familia verá lo que haces por la noches y en la cama de tus padres, das asco, ahora mismo lo envío todo".

Muy pocas víctimas denuncian en el momento por miedo y acaban siendo humilladas y cada vez más y más controladas.

Toda esta situación podría evitarse con algo tan simple como pedirle un vídeo al criminal con el pulgar hacia abajo. Así se confirmaría si es la misma persona de la fotos. En caso de no enviar el vídeo o no ser la misma persona que en las foros sería obvio que era un engaño desde el principio. Y en caso de que utilizase las fotos y vídeos de un conocido, sería fácil para la policía identificar al criminal.



Medidas para protegernos:
-Tener cuidado con nuestra información. Por ejemplo no cubriendo encuestas ni tests de persobalidad online, y demás aplicaciones. Limitar el acceso a nuestras redes sociales solo a amigos. Y no aceptar a nadie desconocido sin verificar previamente su identidad.

-Asegurarnos que con quien nos comunicamos es quien dice ser en todo momento.

-No utilizar dispositivos que nos encontremos mágicamente por ahí.

-Nadie regala dinero. Ponernos en todo momento en el lugar del ofertante para saber si nosotros haríamos algo así y con que fin.

-No creer todo lo que vemos, escuchamos o leemos a primera.

Los criminales parten con más experiencia, en necesario estar informados en Ingeniería Social para poder protegernos.[/list]