INGENIERÍA SOCIAL

DEFINICIONES INGENIERIA SOCIAL:

       ·  La ingeniería social consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían.

                ·       Término usado entre crackers y samuráis para referirse a las  técnicas de violación que se sustentan en las debilidades de las personas más que en el software. El objetivo es engañar a la gente para que revele contraseñas u otra información que comprometa la seguridad del sistema objetivo.

OBJETIVOS  INGENIERIA SOCIAL:

Los objetivos básicos de la Ingeniería Social son los mismos  del “hacking” o “cracking” (dependiendo de quien lo haga) en general: ganar acceso no autorizado a los sistemas, redes o a la información para...

       ·       Cometer Fraude.

       ·      Entrometerse en las Redes.

       ·     Espionaje Industrial.

       ·     Robo de Identidad (de moda).

       ·      Irrumpir en los Sistemas o Redes.

Las típicas victimas de la ingeniería social son:

      ·     Empresas Telefónicas

      ·     Servicios de Helpdesk y CRM

      ·      Agencias e Instituciones Gubernamentales y Militares

      ·       Instituciones Financie Hospitales.

TECNICAS DE INGENIERIA SOCIAL:

     • El Sitio de Trabajo

     • La Basura

     • La Internet-Intranet

     • Fuera de la Oficina

EL TELEFONO:

Personificación Falsa y Persuasión

      ·     Tretas Engañosas: Amenazas, Confusiones Falsas.

      ·      Falsos Reportes de Problemas.

 Personificación Falsa en llamadas a HelpDesks y Sistemas CRM

      ·      Auto relleno  de Datos Personales

      ·      Robo de Contraseñas o Claves de Acceso

Telefónico:

      ·     Consulta de buzones de voz.

      ·       Uso fraudulento de líneas telefónicas.

      ·       Uso de Sistemas Internacionales de Voz sobre IP.

El sitio de trabajo:

Entrada a los sitios de trabajo

    ·      Acceso Físico no Autorizado

    ·     Tailgating

Oficina

      ·    “Shoulder Surfing” (ver por encima del hombro), Leer al revés.

      ·     Robar, fotografiar o copiar documentos sensibles.

      ·    Pasearse por los pasillos buscando oficinas abierta
          Intentos de ganar acceso al cuarto de PBX y/o servidores para:

      ·     Conseguir acceso a los sistemas,

      ·     Instalar analizadores de protocolo escondidos, sniffers o,

      ·    Remover o robar pequeños equipos con o sin datos.

LA BASURA:

         ·     “Dumpster Diving” o ¿Qué hay en nuestra basura?:

         ·       Listados Telefónicos.

         ·      Organigramas.

         ·      Memorandos Internos.

         ·      Manuales de Políticas de la Compañia.

         ·        Agendas en Papel de Ejecutivos con Eventos y Vacaciones.

         ·        Manuales de Sistemas.

         ·        Impresiones de Datos Sensibles y Confidenciales.

         ·     “Logins”, “Logons” y a veces... contraseñas.

         ·       Listados de Programas (código fuente).

         ·       Disquettes y Cintas.

         ·       Papel Membretado y Formatos Varios.

         ·       Hardware Obsoleto.

INTERNET O INTRANET

Si en algo es consistente un usuario es en repetir passwords.

 “Password Guessing”

            ·     Placa del Carro.

            ·     Nombre de la HIJA + 2005.

            ·    Fecha de nacimiento.

 Encuestas, Concursos, Falsas Actualizaciones de Datos.

Anexos con Troyanos, Exploits, Spyware, Software de Navegación remota y Screen Rendering.

                                              

FUERA DE LA OFICINA

Almuerzos “De Negocios” de Viernes, que terminan en volada de oficina y “Happy Hours”, con potenciales consecuencias desastrosas:

 · Sesiones de confesión de contraseñas, extensiones, direcciones de correo electrónico. Al otro día, la víctima no se acuerda.

Conexiones “de oficina a Oficina”:

 · Puedo leer mi e-mail desde aquí?
 · Eso está en la Intranet de la Empresa, pero (en tono jactancioso) yo puedo entrar desde          aquí.
 ·Lo que no sabe la victima es de la existencia de “Key Grabbers” 
 · Solución: One Time Passwords.