La ingeniería social es la práctica del uso
de medios no técnicos, por lo general la comunicación a través del teléfono u
otro medio, para atacar un objetivo. La ingeniería social no puede sonar eficaz
y lo que esperamos demostrar en este artículo es que es extremadamente eficaz
como método de ataque y que las empresas deben tomar esta forma de ataque tan
seriamente como cualquier otro método de ataque según expertos de IICS una
empresa de seguridad de la información.
Hay dos fases principales de un ataque de ingeniería social (SE)
acuerdo a curso de seguridad de la información. La primera fase es la
reconnaissance phase, donde la SE reunirá información de inteligencia sobre su
objetivo. Esto les ayuda a infundir confianza en su objetivo de que la SE es quien
dice ser y el objetivo se confiara en la SE. La segunda fase es la fase de
ataque en el que la SE llamará al destino y comenzara el ataque.
RECONNAISSANCE –
OPEN SOURCE INTELLIGENCE (OSINT)
Durante la fase de reconnaissance, la SE reunirá toda la información
sobre su objetivo como sea posible. La siguiente es una lista de algunas de las
herramientas utilizadas por los expertos de International Institute of
Cyber Security iicybersecurity, una empresa de
seguridad de la información :
§ Google –
Buscar en Google la empresa, buscando en el directorio de empleados, buscar en
Google los nombres de los empleados y excavar de forma gradual saca una montaña
de información.
§ Maltego –
Maltego se hace por Paterva y es una poderosa herramienta para recopilar,
combinar y analizar OSINT sobre un objetivo. Es una excelente plataforma para
reunir y analizar OSINT según profesor de curso de seguridad de la información
§ Whois – Whois
te dirá quién es dueño de un dominio. Si una empresa está en la mira, el
administrador del dominio de la empresa frecuentemente aparece con su número de
teléfono o un número para el departamento de TI.
§ Twitter, Facebook, LinkedIn, FriendFinder y otros sitios sociales o sitios con
perfiles públicos pueden revelar una gran cantidad de conocimientos acerca de
un individuo o una empresa. Los empleados de la compañía pueden revelar
detalles acerca de la estructura de empresa, horarios, nombres de compañeros,
explican expertos de empresa de seguridad de la información.
§ Google – Esto
es lo primero que enseñan en un curso de seguridad de la información. Una
característica poco conocida de imágenes de Google es la capacidad de rastrear
una foto de perfil en una búsqueda de Google imágenes. Si usted puede encontrar
una foto de perfil pública para un individuo, trate de rastrear en búsqueda de
imágenes de Google.
§ PiPl.com – Este
servicio puede ser un poco atemorizante. Trate de buscar su propio nombre con o
sin su ubicación. A continuación, haga clic en el resultado de que es usted.
Usted se sorprenderá de la cantidad de datos manejados por pipl.com.
§ Shodan –
Shodan es un increíblemente potente motor de búsqueda de la red. Se va
alrededor de la indexación qué los servicios que están escuchando en los
puertos de red. Se puede proporcionar, por ejemplo, una lista de los routers
Cisco de escucha en un puerto en particular de rango de direcciones IP de una
empresa.
§ TinEye –
Acuerdo a curso de seguridad de la información es una búsqueda de la imagen
inversa que también es útil para buscar fotos de perfil que coincidan con una
foto existente. Revela perfiles de usuarios alrededor de la red.
§ Archive.org –
También se llama WayBackMachine, es una de herramientas favoritas de empresas
de seguridad de la información. Esto le permite ver las versiones anteriores de
una página web, a menudo se remonta a varios años. Esto puede proporcionar
nombres de los empleados anteriores que ya no está con la empresa, o la
inteligencia en las actualizaciones de sitio y los cambios.
§ Monster.com, GlassDoor, Indeedy otros sitios web relacionados con el empleo
pueden proporcionar una gran cantidad de información en sus descripciones de
trabajo. Usted puede aprender sobre qué hardware y software una empresa está
utilizando, qué nivel de autorización de seguridad de la información los
empleados tienen y más.
Estas son sólo algunas de las herramientas que los ingenieros
sociales OSINT utilizan para recopilar datos sobre un objetivo.
EXPLOTACIÓN – LOS
ATAQUES DE INGENIERO SOCIAL!
Aquí hay algunos de los tipos de OSINT, un ingeniero social
buscará y ilustran cómo se puede utilizar la información:
§ Los
nombres de los empleados: “Hola, ¿Puedo hablar con Bob Simmonds?”
§ Sus
nombres colega: “Hola Bob, esta es Mary de TI. Acabo de hablar por teléfono con
MattSmith “.
§ Lo que
sus colegas están haciendo: “Matt está enfermo hoy…”
§ Ubicación
de las mesas personales: “. … Pero estoy seguro de que sabes que ya que ustedes
comparten un cubículo”
§ Los
nuevos despliegues de tecnología en una empresa: “Yo quería saber cómo esa
nueva estación de trabajo está trabajando para usted.”
§ ¿Qué
tecnología se está utilizando: “Yo sé que Windows 10 no es el favorito de
todos, pero espero que la nueva versión de Office te está ayudando”
En este punto, usted está convencido de que podría solamente
estar hablando con un empleado de TI interno porque ya sabes mucho. Usted
probablemente va a compartir información libremente con esta persona menciona
experto de seguridad de la
información.
Como se ve, gastando tanto tiempo reuniendo OSINT en una empresa
antes de ponerse en contacto con ellos puede hacer un ataque mucho más eficaz.
Ataques de ingeniería social son muy eficaces porque los seres humanos (que
somos nosotros) suelen ser el eslabón más débil y más aprovechable en una red
segura. Es evidente la importancia de desarrollar políticas y procedimientos de
la organización con ayuda de expertos de empresa de seguridad de la información
y tomar curso de seguridad de la información para protegerse de este tipo de
ataque.
0 comments:
Post a Comment