Está en la página 1de 257

EL ARTE DEL ENGAO

Controlar el elemento humano de la seguridad


KEVIN D. MITNICK
& William L. Simon
Prlogo de Steve Wozniak
Analizados por kineticstomp, revisado y ampliado por swift
Para Reba Vartanian, Shelly Jaffe, pollito Leventhal y Mitchell
Mitnick y para la tarde Alan Mitnick, Adam Mitnick y Jack Biello
Para Arynne, Victoria y David, Sheldon, Vincent y Elena.
Ingeniera social
Ingeniera social utiliza influencia y persuasin para engaar a las personas
por convencerlos de que el ingeniero social es alguien que no es
o por manipulacin. Como resultado, el ingeniero social es capaz de tomar
ventaja de las personas para obtener informacin con o sin el uso de
tecnologa.
Contenido
Prlogo
Prefacio
Introduccin
Parte 1 detrs de las escenas
Eslabn del captulo 1 seguridad ms dbil
Parte 2 el arte del atacante
Captulo 2, cuando no de informacin inocua
Captulo 3 el ataque directo: Pidiendo slo se
Captulo 4 fomento de la confianza
Captulo 5 \"Djame ayudarte\"
Captulo 6 \"Me puedes ayudar?\"
Captulo 7 sitios falsos y peligrosos archivos adjuntos
Captulo 8 utilizando la simpata, la culpabilidad y la intimidacin
Captulo 9 el aguijn inverso
Alerta de intruso parte 3
Captulo 10 ingrese en las instalaciones
Captulo 11 la combinacin de tecnologa y la ingeniera Social
Captulo 12 ataques contra el empleado de nivel de entrada
Captulo 13 contras inteligentes
Captulo 14 de espionaje Industrial
Parte 4 elevar la barra
Formacin y sensibilizacin de seguridad de informacin captulo 15
Captulo 16 recomienda las polticas corporativas de seguridad de informacin
Seguridad de un vistazo
Fuentes
Agradecimientos
Prlogo
Los seres humanos nacemos con una unidad interior para explorar la naturaleza de
nuestro
entorno. Como jvenes, fueron intensamente curiosos tanto Kevin Mitnick y
sobre el mundo y con ganas de demostrar a nosotros mismos. Fuimos galardonados c
on frecuencia en intenta aprender cosas nuevas, resolver acertijos y ganar en lo
s juegos. Pero al mismo
tiempo, el mundo nos ensea las reglas de comportamiento que limitado nuestro inte
rior nos
instar a hacia la exploracin libre. Para nuestros ms audaces cientficos y tecnolgico
s
empresarios, as como para personas como Kevin Mitnick, siguiendo este impulso int
erior
ofrece la mayor emocin, permitirnos realizar cosas que otros creen que no se pued
e
hacerse.
Kevin Mitnick es uno de las mejores personas que conozco. Le pido, y l dir

enrgicamente que sola hacer - ingeniera social


entrana estafar gente.
Pero Kevin ya no es un ingeniero social. Y aun cuando fue su motivacin
nunca fue a enriquecerse o daar a otros. Eso no quiere para decir que no
peligrosos y destructivos criminales por ah que utilizan la ingeniera social para
causar dao real. De hecho, eso es exactamente por eso Kevin escribi este libro - p
ara advertirle
acerca de ellos.
El arte del engao muestra cun vulnerables somos - Gobierno, negocios,
y cada uno de nosotros personalmente - a las intrusiones del ingeniero social. E
n este
era consciente de la seguridad, nos gastan enormes sumas en tecnologa para proteg
er nuestra
datos y redes informticas. Este libro seala lo fcil que es engaar a personas con inf
ormacin privilegiada
y eludir toda esta proteccin tecnolgica.
Si trabaja en la empresa o el Gobierno, este libro proporciona un camino poderos
o
Mapa para ayudarle a comprender cmo funcionan los ingenieros sociales y lo que pu
ede hacer para
frustrarles. Con historias de ficcin entretenida y reveladora,
Kevin y coautor Bill Simon dar vida a las tcnicas de lo social
Ingeniera inframundo. Despus de cada historia, ofrecen directrices prcticas para ay
udar a
prevenir las violaciones y amenazas a que estn descritos.
Seguridad tecnolgica deja lagunas importantes que las personas como Kevin nos pue
de ayudar
Cerrar. Lee este libro y finalmente puede darse cuenta que todos tenemos que rec
urrir a la
De Mitnick entre nosotros para orientacin.
Steve Wozniak
Prefacio
Algunos piratas informticos destruyen popular archivos o discos duros enteros; ll
amamos galletas
o vndalos. Algunos piratas informticos novato no te molestes en aprendizaje de la
tecnologa, sino simplemente
Descargar herramientas de hackers de irrumpir en los sistemas informticos; llamam
os script
kiddies. Los hackers ms experimentados con conocimientos de programacin desarrolla
n hacker
programas y publicarlos en la Web y a los sistemas de tabln de anuncios. Y, a con
tinuacin
son personas que no tienen ningn inters en la tecnologa, pero usan la computadora
simplemente como una herramienta para ayudarlos en robar dinero, bienes o servic
ios.
A pesar del mito creado por medio de Kevin Mitnick, yo no soy un hacker malinten
cionado.
Pero me estoy poniendo por delante de m.
SALIDA
Mi camino probablemente se estableci temprano en la vida. Yo era un nio despreocup
ado, pero aburrido.
Despus mi padre cuando yo tena tres aos, mi madre trabaj como camarera a
nos apoyan. A ver me luego - un slo nio ser criado por una madre que puso en
durante mucho tiempo, atosigar das puntualmente a veces errtico - habra sido ver un
jovencita en sus propio casi todas sus horas vigilia. Era mi niera.
Creci en una comunidad del Valle de San Fernando me dio la totalidad de Los
Angeles para explorar y por la edad de los doce que haba descubierto una manera d
e viajar gratis
en toda la zona de L.A. todo mayor. Me di cuenta un da mientras viajaba en el bus
que la seguridad de los traslados en autobs que haba comprado dependa del inusual p
atrn

de la perforadora de papel, que los controladores se utilizan para marcar el da;


tiempo y ruta en el
resguardos de transferencia. Me dijo un conductor amable, responder a mi pregunt
a cuidadosamente plantado,
Dnde comprar ese tipo especial de punch.
Las transferencias se supone que le permiten cambiar autobuses y continuar un vi
aje a su
destino, pero trabaj cmo utilizarlos para viajar a cualquier lugar que quera ir
de forma gratuita. Obtener transferencias en blanco fue un paseo por el Parque.
Los contenedores de basura en las terminales de autobs siempre estaban llenas de
libros slo-parcialmente de las transferencias que los controladores arroj lejos de
l final de los turnos. Con una almohadilla de
espacios en blanco y el puetazo, pude Marcar mis propias transferencias y viajar
a cualquier lugar que
Autobuses de L.A. fueron. En poco tiempo, pero todo haba memorizado los horarios
de autobuses de la
todo el sistema. (Esto fue un ejemplo temprano de mi memoria sorprendente para d
eterminados
tipos de informacin; An as, hoy, puedo recordar nmeros de telfono, contraseas, y
otros detalles aparentemente triviales como en mi infancia).
Otro inters personal que surgieron en una edad temprana fue mi fascinacin
realizar magia. Una vez que aprend cmo funcionaba un truco nuevo, sera prctica,
practicar y practicar algunos ms hasta que lo domina. En una medida, fue a travs d
e
magia que descubr el disfrute en adquirir conocimiento secreto.
Desde telfono vena de Hacker
Mi primer encuentro con lo que sera eventualmente aprendo llamar ingeniera social
surgi durante mis aos de secundaria cuando conoc a otro estudiante que fue
atrapados en un hobby llamado telfono phreakin. Telfono phreaking es un tipo de ha
cking
le permite explorar la red telefnica mediante la explotacin de los sistemas telefni
cos
y empleados de la compaa de telfono. Me mostr aseados trucos que poda hacer con una
telfono, como obtener cualquier informacin de la compaa telefnica en cualquier
el cliente y utilizando un nmero de prueba secreta para hacer llamadas de larga d
istancia gratis.
(En realidad era libre slo a nosotros. Descubr mucho ms tarde que no era una prueba
secreta
nmero en absoluto. Las llamadas fueron, de hecho, se facturan a MCI algunos pobre
s empresa
cuenta.)
Fue mi introduccin a la ingeniera social-mi jardn de infantes, por as decirlo. Mi
amigo y otro phreaker de telfono que conoc poco despus me deja escuchar que
cada uno hace las llamadas de pretexto a la compaa telefnica. He escuchado las cosa
s dijeron
les hizo sonar creble; Aprend sobre las oficinas de la empresa de telfono diferente
,
jerga y procedimientos. Pero que la \"formacin\" no dur mucho; no tuve que. Pronto
me
fue haciendo que todos en mi propia, aprendiendo como fui, haciendo incluso mejo
r que mi primera
profesores.
Se ha creado el curso de que mi vida seguira durante los prximos quince aos. En alt
o
escuela, uno de mis bromas favoritas de todos los tiempos fue obtener acceso no
autorizado a la
conmutador telefnico y cambiar la clase de servicio de un compaero por telfono phre
ak.
Cuando l intent hacer una llamada desde su casa, obtendra un mensaje dicindole que
depsito un centavo porque haba recibido el conmutador de la compaa de telfono de entr

ada
indic que estaba llamando desde un telfono pblico.
Me convert en absorbida en todo lo relacionado con telfonos, no slo de la electrnica
,
switches y equipos, sino tambin la organizacin empresarial, los procedimientos, y
la terminologa. Despus de un tiempo, probablemente saba ms sobre el sistema de telfon
o
que cualquier empleado solo. Y haba desarrollado mis habilidades de ingeniera soci
al para
el punto de que, a los diecisiete aos, fui capaz de hablar a la mayora empleados d
e telecomunicaciones en
casi nada, si yo estaba hablando con ellos en persona o por telfono.
Mi publicitada piratas carrera realmente comenzado cuando estaba en la escuela s
ecundaria.
Mientras que no puedo describir el detalle aqu, baste decir que uno de la conducc
in
fuerzas en mis primeros hacks era ser aceptada por los chicos en el grupo de pir
atas informticos.
Entonces usamos el hacker de plazo a una persona que pasaba gran parte de
tiempo de trastear con hardware y software, ya sea para desarrollar ms eficiente
programas o para omitir los pasos innecesarios y hacer el trabajo ms rpidamente. E
l
trmino se ha convertido en un peyorativo, llevando el significado de \"delincuent
e malicioso\".
En estas pginas utilizo el trmino de la manera que siempre he utilizado-en su ante
rior, ms
sentido benigno.
Despus de la escuela secundaria estudi equipos en el centro de aprendizaje del equ
ipo en Los
ngeles. Dentro de unos meses, manager del equipo de la escuela se dio cuenta de q
ue tena
vulnerabilidad encontrada en el sistema operativo y administrativo obtuvo lleno
privilegios en su minicomputadora de IBM. Los mejores expertos en informtica en s
us
personal docente no se ha podido averiguar cmo lo haba hecho. En lo que pudo haber
sido uno
de los primeros ejemplos de \"alquiler del hacker\", me dio una oferta que no po
da
rechazar: hacer un proyecto de honores para mejorar la seguridad del equipo de l
a escuela, o en la cara
suspensin para hackear el sistema. Por supuesto, he decidido hacer el proyecto de
honores,
y termin gradundose cum laude con honores.
Convertirse en un ingeniero Social
Algunas personas levantarse de la cama cada maana horrorizado su rutina diaria de
trabajo en
las minas de sal proverbiales. He tenido la suerte de disfrutar de mi trabajo. n
particular,
Usted no puede imaginar el desafo, la recompensa y el placer tuve el tiempo que p
as como un
investigador privado. Yo estuve afilando mis talentos en el arte de performance
llamado social
Ingeniera (sacar a la gente a hacer cosas que normalmente no hacen por un
extrao) y ser pagado por ello.
Para m no fue difcil convertirse en experto en ingeniera social. Mi padre
parte de la familia haba sido en el campo de ventas durante generaciones, por lo
que el arte de
influencia y persuasin podran haber sido un rasgo heredado. Cuando se combinan
ese rasgo con una inclinacin para engaar a las personas, tiene el perfil de un
tpico ingeniero social.

Se podra decir que hay dos especialidades dentro de la clasificacin de puestos del
estafador.
Alguien que estafas y trampas de gente de su dinero pertenece a una
Sub-Specialty, el grifter. Alguien que utiliza el engao, influencia, y
persuasin contra las empresas, generalmente dirigidas a su informacin, pertenece a
la
otro sub-specialty, el ingeniero social. Desde el momento de mi truco de traslad
os en autobs,
Cuando yo era demasiado joven para saber que no haba nada malo con lo que estaba
haciendo,
Haba comenzado a reconocer un talento para descubrir los secretos que no se supon
e que
tienen. Constru sobre ese talento mediante engao, conociendo la jerga y desarrollo
una habilidad de manipulacin.
Una forma he trabajado en el desarrollo de las habilidades de mi oficio, si pued
o llamarlo un oficio,
fue destacar algn dato realmente no importa y ver si me
alguien podra hablar en el otro extremo del telfono en proporcionar, slo para
mejorar mis habilidades. De la misma manera que sola practicar mis trucos de magi
a, practicado
pretexting. A travs de estos ensayos, pronto descubr que poda adquirir prcticamente
cualquier informacin que dirigido.
Como describ en su testimonio del Congreso ante senadores Lieberman y
Thompson aos:
He ganado acceso no autorizado a sistemas informticos en algunos de los ms grandes
corporaciones del planeta y han penetrado con xito algunos de los ms
sistemas informticos resistentes jams desarrollaron. He usado tanto tcnicos como no
medios
tcnicos para obtener el cdigo fuente para varios sistemas operativos y
dispositivos de telecomunicaciones para estudiar sus vulnerabilidades y su inter
ior
funcionamiento.
Toda esta actividad fue realmente satisfacer mi curiosidad; para ver qu poda hacer
;
y encontrar informacin secreta acerca de sistemas operativos, telfonos celulares,
y
cualquier otra cosa que despert mi curiosidad.
REFLEXIONES FINALES
He reconocido desde mi detencin que las acciones que tom fueron ilegales ya
compromiso de invasiones de privacidad.
Mis fechoras estaban motivados por la curiosidad. Quera saber como podra
sobre el funcionamiento de redes de telefona y los-y-entresijos de la seguridad i
nformtica. ME
pas de ser un nio que le encantaba realizar trucos de magia para convertirse en el
mundo
hacker ms notorio, temido por las corporaciones y el Gobierno. Como reflejan
volver a mi vida durante los ltimos 30 aos, admito que hice algunos extremadamente
pobres
decisiones, impulsadas por mi curiosidad, el deseo de aprender acerca de la tecn
ologa y la
necesidad de un buen reto intelectual.
Ahora soy una persona cambiada. Me estoy volviendo mi talento y los conocimiento
s
He reunido sobre tcticas de ingeniera social y la seguridad de informacin para ayud
ar a
Gobierno, empresas y particulares prevencin, detectan y responden a
amenazas de seguridad de la informacin.
Este libro es una forma ms que puedo utilizar mi experiencia para ayudar a otros
a evitar la
esfuerzos de los ladrones de informacin malintencionada del mundo. Creo que encon

trar el
historias agradables, reveladora y educativas.
Introduccin
Este libro contiene una gran cantidad de informacin sobre seguridad de la informa
cin y social
Ingeniera. Para ayudarle a encontrar su camino, aqu un rpido vistazo a cmo este libr
o es
organizado:
En la parte 1 te revelan el eslabn ms dbil de seguridad y mostrar por qu usted y su
empresa estn expuestos a ataques de ingeniera social.
En la parte 2 ver cmo los ingenieros sociales de juguete con su confianza, su dese
o de ser
til, su simpata y su credulidad humana para obtener lo que quieren.
Historias de ficcin de ataques tpicos demostrar que los ingenieros sociales pueden
llevar
muchos sombreros y muchas caras. Si crees que nunca ha encontrado uno, eres
probablemente equivocado. Reconocer un escenario que has experimentado en estos
historias y se preguntan si tuvieras un pincel con ingeniera social? Usted muy bie
n
podra. Pero una vez que haya ledo los captulos 2 a 9, sabrs cmo obtener el
mano superior cuando el ingeniero social siguiente trata de llamada.
Parte 3 es la parte del libro donde se ve cmo el ingeniero social aumenta la apue
sta,
en inventado historias que muestran cmo puede avanzar en sus instalaciones corpor
ativas, robar
el tipo de secreto que puede hacer o quebrar tu empresa y frustrar su alta tecno
loga
medidas de seguridad. Los escenarios en esta seccin le har consciente de las amena
zas
que van desde la venganza de simple empleado para el terrorismo ciberntico. Si us
ted valora la
informacin que mantiene su negocio funcionando y la privacidad de sus datos, uste
d
desea leer captulos 10 al 14 de principio a fin.
Es importante sealar que, salvo indicacin contraria, las ancdotas en este libro son
puramente ficticio.
En la parte 4 hablar la charla corporativa sobre cmo evitar el xito social
Ingeniera ataques contra su organizacin. Captulo 15 proporciona un modelo para un
exitoso programa de formacin en seguridad. Y captulo 16 slo puede guardar tu cuello
es
una poltica de seguridad completa que se puede personalizar para su organizacin y
implementar inmediatamente para proteger a su empresa y la informacin.
Por ltimo, he proporcionado una seguridad en una seccin de resumen, que incluye li
stas de comprobacin,
tablas y grficos que resumen la informacin clave que puede utilizar para ayudar a
su
empleados de frustrar un ataque de ingeniera social en el trabajo. Estas herramie
ntas tambin proporcionan
valiosa informacin que puede utilizar en la elaboracin de su propio programa de fo
rmacin en seguridad.
En todo el libro tambin encontrar varios elementos tiles: cuadros de Lingo
proporcionar definiciones de ingeniera social y terminologa hacker informtica;
Mensajes de Mitnick ofrecen breves palabras de sabidura para ayudar a reforzar su
seguridad
estrategia; y notas y barras laterales dan interesantes antecedentes adicionales
o
informacin.
Parte 1
Detrs de las escenas
Captulo 1

Eslabn de seguridad
Una empresa puede que haya adquirido las mejores tecnologas de seguridad que pued
e el dinero
comprar, formado su gente tan bien que ellos encierran todos sus secretos antes
de
casa por la noche y contratado guardias de construccin de la mejor empresa de seg
uridad en el
negocio.
Esa empresa es an totalmente Vulnerable.
Las personas pueden seguir todas seguridad mejor las prcticas recomendadas por lo
s expertos,
servilmente instalar cada producto de seguridad recomendada y estar completament
e alerta
acerca de la configuracin correcta del sistema y aplicar parches de seguridad.
Las personas siguen siendo completamente vulnerables.
EL FACTOR HUMANO
Testimonio ante el Congreso no hace mucho tiempo, explic de que a menudo pude obt
ener
las contraseas y otras piezas de informacin confidencial de las empresas por
fingiendo ser otra persona y acaba pidiendo.
Es natural que anhelan una sensacin de absoluta seguridad, llevando a muchas pers
onas a resolver
para un falso sentido de seguridad. Considerar el propietario responsable y amor
oso que
ha instalado un Medico, una cerradura de tambor conocida como pickproof, en su p
arte frontal
puerta para proteger a su esposa, sus hijos y su casa. Ahora es cmodo que l
ha hecho su familia mucho ms seguro contra intrusos. Pero qu pasa con el intruso Quin rompe una ventana, o grietas el cdigo para la apertura de la puerta de garaje?
Qu
instalacin de un sistema de seguridad slido? Mejor, pero todava ninguna garanta. Bloq
ueos de caros
o no, el dueo de casa sigue siendo vulnerable.
Por qu? Porque el factor humano es verdaderamente el eslabn ms dbil de seguridad.
Demasiado a menudo, la seguridad es slo una ilusin, una ilusin hecha a veces peor
Cuando la credulidad, ingenuidad o ignorancia entran en juego. Del mundo ms
respetado cientfico del siglo XX, Albert Einstein, es citado diciendo,
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements sobre el primero.\" Al final, los ataques de ingen
iera social pueden tener xito cuando las personas
son tontos o, ms comnmente, simplemente ignorantes sobre buenas prcticas de segurid
ad.
Con la misma actitud como nuestros propietarios conscientes de la seguridad, muc
ha informacin
profesionales de tecnologa (IT) tienen la idea errnea que ha realizado sus
empresas en gran medida inmunes a atacar porque ha implementado la seguridad estn
dar
productos - firewalls, sistemas de deteccin de intrusiones o autenticacin ms slida
tarjetas inteligentes dispositivos tales como tokens basados en tiempo o biomtric
os. Quien piense
que es resolver solo oferta verdadera seguridad de productos de seguridad. la il
usin de
seguridad. Se trata de vivir en un mundo de fantasa: ser inevitablemente, ms tarde
si
no antes, sufren un incidente de seguridad.
Como seal el consultor de seguridad Bruce Schneier lo pone, \"la seguridad no es u
n producto, es
un proceso\". Adems, la seguridad no es un problema de tecnologa, es un pueblo y
problema de gestin.
Como los desarrolladores inventan continuamente mejores tecnologas de seguridad,

lo que
cada vez ms difcil de explotar las vulnerabilidades tcnicas, los atacantes se conve
rtirn ms
y mucho ms para explotar el elemento humano. Craqueo del servidor de seguridad hu
mana es a menudo
fcil, no requiere de ninguna inversin ms all del costo de una llamada telefnica e imp
lica
riesgo mnimo.
UN CASO CLSICO DE ENGAO
Cul es la mayor amenaza para la seguridad de los activos de su empresa? Eso es fcil
: el
ingeniero social--un mago sin escrpulos que le viendo su mano izquierda
mientras que con su derecha roba tus secretos. Este personaje es a menudo tan am
igable, glib,
y obligar a que ests agradecido por haber encontrado en l.
Analicemos un ejemplo de ingeniera social. No mucha gente an hoy
Recuerde al joven llamado Stanley Mark Rifkin y su aventura poco
con la ahora extinta seguridad Pacfico Banco Nacional en Los ngeles. Cuentas de
variar su escapada, y Rifkin (como yo) nunca ha contado su propia historia, por
lo que la
a continuacin se basa en informes publicados.
Separacin de cdigo
Un da en 1978, Rifkin moseyed sobre seguridad Pacfico autorizado-personal Sala de transferencia nica, donde el personal enviados y recibidos que suman un t
otal de transferencias
varios millones de dlares cada da.
l estaba trabajando para una empresa bajo contrato para desarrollar un sistema de
copia de seguridad para en caso de que su equipo principal nunca baj de alambre
datos de la sala. Ese papel le dio
acceso a los procedimientos de transferencia, incluyendo cmo funcionarios del Ban
co dispuestos para transferencia para ser enviado. Haba aprendido ese banco ofici
ales que fueron autorizados para
orden de transferencias se dar un cdigo diario celosamente cada maana para
utilizar al llamar a la habitacin de alambre.
En la sala de alambre los secretarios s guardan la molestia de intentar memorizar
cdigo de cada da: el cdigo escrito en una hoja de papel y lo publicado donde
puede ver fcilmente. Este da especial de noviembre Rifkin tena un especfico
motivo de su visita. Quera obtener un vistazo a ese documento.
Al llegar a la sala de alambre, tom algunas notas sobre procedimientos operativos
,
supuestamente para asegurar el sistema de copia de seguridad sera malla correctam
ente con el
sistemas regulares. Mientras tanto, ley subrepticiamente el cdigo de seguridad de
la
publicado el deslizamiento del papel y lo memorizado. Unos minutos ms tarde camin.
Como l
dijo despus, sinti como si slo haba ganado la lotera.
Existe esta cuenta bancaria suiza...
Dejando la habitacin sobre 3 de la tarde, se dirigi directamente a la
telfono pblico en el lobby de mrmol del edificio, donde deposit una moneda y marcado
en la sala de transferencia bancaria. Luego cambi de sombreros, transformando a s
mismo de
Stanley Rifkin, asesor del Banco, en Mike Hansen, miembro de la Ribera
Departamento Internacional.
Segn una fuente, la conversacin fue algo as:
There was an error deserializing the object of type System.String. Encountered u
nexpected character contest el telfono.
Pide el nmero de oficina. Ese fue el procedimiento estndar, y fue
preparado: \"286\" l dijo.
Luego pidi la chica, \"Est bien, qu es el cdigo?\"

Rifkin ha dicho que su latido impulsados por adrenalina \"recogi su ritmo\" en es


te
punto. Suavemente, respondi \"4789.\" Luego se dirigi a dar instrucciones para
cableado \"diez millones de dlares - doscientos mil exactamente\" a la confianza
de Irving
Empresa en Nueva York, para el crdito del Banco Wozchod Handels de Zurich,
Suiza, donde ya haba establecido una cuenta.
La chica entonces dijo, \"est bien, tengo. Y ahora necesito el asentamiento inter
office
nmero\".
Rifkin estall en un sudor; se trata de una cuestin que no haba previsto, algo
haba escapado a travs de las grietas en su investigacin. Pero se las arregl para per
manecer en
carcter, actuado como si todo estaba bien y al instante respondi sin
falta un ritmo, \"Let me check; Llamar le derecha atrs.\" Una vez cambi de sombrero
s
volver a llamar a otro departamento en el Banco, esta vez alegando que un emplea
do
en la sala de transferencia bancaria. Obtuvo el nmero de asentamientos y llamado
la nia
Atrs.
Ella tom el nmero y dijo: \"Gracias\". (Dadas las circunstancias, su agradecimient
o
l tiene que ser considerada altamente irnico.)
Logro de cierre
Unos das ms tarde Rifkin vol a Suiza, recogi su efectivo y entregado
8 millones de dlares a una agencia rusa para un montn de diamantes. Vol hacia atrs,
pasando
a travs de aduanas de Estados Unidos con las piedras escondidas en un cinturn de d
inero. l haba tirado
el Banco ms grande atraco en la historia--y hacerlo sin usar un arma, incluso sin
una
equipo. Curiosamente, su alcaparra finalmente lo hizo en las pginas de la Guinnes
s
Libro de Records mundiales en la categora de \"fraude informtico ms grande.\"
Rifkin Stanley haba utilizado el arte del engao--las habilidades y tcnicas que son
hoy llama ingeniera social. Planificacin detallada y un buen regalo de gab es todo
lo
realmente tuvo.
Y eso es lo que este libro--acerca de las tcnicas de ingeniera social (en el que
realmente lo tuyo es experto) y cmo defenderse contra utilizados en su
empresa.
LA NATURALEZA DE LA AMENAZA
La historia de Rifkin aclara perfectamente cmo engaar a nuestro sentido de segurid
ad puede
ser. Incidentes como ste - muy bien, quizs no 10 millones de dlares heists, pero lo
s incidentes perjudiciales
No obstante - estn ocurriendo cada da. Puede estar perdiendo dinero ahora mismo, o
alguien puede estar robando nuevos planes de producto, y an no sabes. Si se
no ha sucedido ya a su empresa, no es una cuestin de si ocurrir,
pero cuando.
Una creciente preocupacin
El Instituto de seguridad del equipo, en su informe de 2001 sobre delitos informt
icos, inform
que el 85 por ciento de las organizaciones respondieron haba detectado seguridad
informtica
brechas en los doce meses anteriores. Que es un nmero asombroso: slo
quince de cada cien organizaciones responder fueron capaces de decir que ellos
no haba una brecha de seguridad durante el ao. Igualmente asombroso fue el
nmero de organizaciones que informaron que experimentaron prdidas financieras

debido a las violaciones de equipo: 64 por ciento. Haban tambin ms de la mitad de l


as organizaciones
sufri financieramente. En un solo ao.
Mis propias experiencias me llevan a creer que los nmeros en los informes como es
te son
un poco inflado. Soy sospechoso de la agenda del pueblo llevando a cabo la
encuesta. Pero eso no quiere para decir que el dao no es extenso; es. Quienes inc
umplan
para planificar un incidente de seguridad estn planeando para el fracaso.
Productos de seguridad comercial implementados en la mayora de las empresas estn e
ncaminados principalmente
proporcionando proteccin contra el intruso equipo aficionado, como los jvenes
conocidos como script kiddies. De hecho, estos piratas wannabe con descargado
software en su mayora son slo una molestia. Las mayores prdidas, las amenazas reale
s, vienen
desde los sofisticados intrusos con objetivos bien definidos que estn motivados p
or
ganancia financiera. Estas personas centrarse en un destino cada vez ms que, como
el
aficionados, intentando infiltrarse en sistemas tantas como sea posible. Mientra
s los aficionados
los intrusos equipo simplemente ir por cantidad, destino de los profesionales de
la informacin de
calidad y valor.
Tecnologas como dispositivos de autenticacin (para probar identidad), control de a
cceso
(para administrar el acceso a los archivos y recursos del sistema) y deteccin de
intrusiones
sistemas (el equivalente electrnico de alarmas antirrobo) son necesarios para una
empresa
programa de seguridad. Sin embargo, es hoy en da tpico para una empresa a gastar ms
dinero en
caf que implementar medidas para proteger la organizacin contra
ataques a la seguridad.
Igual la mente criminal no puede resistir la tentacin, es impulsada por la mente
de hacker a
encontrar formas de eludir la seguridad potente salvaguardias de tecnologa. Y en
muchos casos,
lo hacen por dirigidas a las personas que utilizan la tecnologa.
Prcticas engaosas
Hay un dicho popular que un equipo seguro es aqul que est apagado. Inteligente,
pero falsa: la pretexter simplemente alguien habla en entrar en la Oficina y
encender el equipo. Puede obtener un adversario que quiere su informacin
que, normalmente en cualquiera de varias formas diferentes. Es slo una cuestin de
tiempo, paciencia,
personalidad y persistencia. Es donde entra en juego el arte del engao.
Para derrotar a las medidas de seguridad, un atacante, un intruso o un ingeniero
social debe encontrar un
forma de engaar a un usuario de confianza para que revelen informacin o engaar a un
incauto
marcar en le da acceso. Cuando se engaa, empleados de confianza
influenciados, manipulados en revelar informacin confidencial o realizar
acciones que crea un agujero de seguridad para el atacante se deslice a travs de
ninguna tecnologa
en el mundo puede proteger un negocio. Al igual que a veces son capaces de cript
oanalistas
revelar el texto de un mensaje codificado por encontrar una debilidad que les pe
rmite
omitir la tecnologa de cifrado, los ingenieros sociales usar engao practicado en
sus empleados para omitir la tecnologa de seguridad.

ABUSO DE CONFIANZA
En la mayora de los casos, los ingenieros sociales exitosos tienen habilidades de
gente fuerte. Son
encantador, amable y fcil como--rasgos sociales necesarios para el establecimient
o rpidos
RapPort y confianza. Un experimentado ingeniero social es capaz de acceder a
informacin de prcticamente cualquier destino mediante el uso de las estrategias y
tcticas de su oficio.
Tecnlogos experimentados laboriosamente han desarrollado soluciones de seguridad
de la informacin
para minimizar los riesgos relacionados con el uso de computadoras, pero dej sin
resolverse
la vulnerabilidad ms importante, el factor humano. A pesar de nuestro intelecto,
nos
los seres humanos - t, yo y todos los dems - siguen siendo la amenaza ms grave a ca
da uno
seguridad de los dems.
Nuestro carcter nacional
No somos conscientes de la amenaza, especialmente en el mundo occidental. En los
Estados Unidos
La mayora de Estados, no estamos capacitados para sospechar uno del otro. Nos ens
ean
\"Amars a tu prjimo\" y tener confianza y fe en s. Considerar cmo
difcil que es para que las organizaciones de reloj de barrio para que la gente pa
ra bloquear su
Casas y automviles. Este tipo de vulnerabilidad obvio, y sin embargo, parece ser
ignorado por muchos de los que prefieren vivir en un mundo de ensueo - hasta que
se quemaron.
Sabemos que no todas las personas son amables y honestos, pero demasiado a menud
o vivimos como si fueron. Esta encantadora inocencia ha sido el tejido de la vid
a de los estadounidenses y
doloroso renunciar a ella. Como nacin hemos construido en nuestro concepto de lib
ertad que
los mejores lugares para vivir son aquellos donde los bloqueos y las claves son
las menos necesarias.
Mayora de la gente ve en el supuesto de que no va ser engaados por otros, basados
en la creencia de que la probabilidad de ser engaados es muy baja; el atacante,
comprender esta creencia comn, hace su peticin de sonido tan razonable que
no plantea ninguna sospecha, explotando todo el tiempo la confianza de la vctima.
Inocencia organizacional
Que la inocencia que es parte de nuestro carcter nacional fue evidente cuando cop
ia
equipos en primer lugar se estaban conectados remotamente. Recordemos que ARPANe
t (el
Agencia de proyectos de investigacin avanzada de defensa departamRenetdo), el
predecesor de la Internet, fue diseado como una forma de compartir la investigacin
informacin entre el Gobierno, la investigacin y las instituciones educativas. El o
bjetivo
era la libertad de informacin, as como tecnolgica adelanto. Muchos
instituciones educativas establecidas principios sistemas informticos con poca o
ninguna
seguridad. Uno seal libertario de software, Richard Stallman, incluso se neg a
Proteja su cuenta con una contrasea.
Pero con el Internet se utiliza para el comercio electrnico, los peligros de la db
il
seguridad en nuestro mundo por cable han cambiado drsticamente. Implementar ms
la tecnologa no va a resolver el problema de la seguridad humana.
Basta con mirar nuestros aeropuertos hoy. La seguridad se ha convertido en primo
rdial, sin embargo estamos por informes de los medios de viajeros que han sido c
apaces de burlar la seguridad y

llevar potencial pasados los puestos de control de armas. Cmo es esto posible dura
nte un tiempo
Cuando nuestros aeropuertos estn en estado de alerta? Estn fallando los detectores d
e metales? No.
El problema no est en las mquinas. El problema es el factor humano: la gente
manejar las mquinas. Funcionarios del aeropuerto pueden calcular las referencias
de la Guardia Nacional
instalar detectores de metales y sistemas de reconocimiento facial, pero educand
o a la vanguardia
personal de seguridad sobre cmo correctamente la pantalla a pasajeros es mucho ms
probable ayudar.
El mismo problema existe en Gobierno, negocio y educacin
instituciones en todo el mundo. A pesar de los esfuerzos de profesionales de la
seguridad,
informacin en todo el mundo sigue siendo vulnerable y continuar a ser visto como u
na madura
destino por atacantes con tcnicas de ingeniera social, hasta el eslabn ms dbil en el
cadena de seguridad, el vnculo humano, se ha fortalecido.
Ahora ms que nunca tenemos que aprender a dejar de ilusiones y convertirse en ms
consciente de las tcnicas que estn siendo utilizadas por aquellos que intentan ata
car la
confidencialidad, integridad y disponibilidad de nuestros sistemas informticos y
redes.
Nosotros hemos llegado a aceptar la necesidad de conduccin defensiva; es el momen
to de aceptar y aprender
la prctica de la informtica defensiva.
La amenaza de un allanamiento que viole su privacidad, su mente o su empresa
sistemas de informacin no parezca reales hasta que sucede. Para evitar una costos
a
dosis de realidad, que todos necesitan ser conscientes, educados, atentos y agre
siva
proteccin de nuestros activos de informacin, nuestra propia informacin personal y n
uestro
infraestructuras crticas de la nacin. Y debemos aplicar las precauciones hoy.
LOS TERRORISTAS Y ENGAO
Por supuesto, el engao no es una herramienta exclusiva del ingeniero social. Fsica
terrorismo hace la noticia ms importante, y nos hemos dado cuenta como nunca ante
s
que el mundo es un lugar peligroso. Despus de todo, la civilizacin es slo una chapa
delgada.
Infusin en los ataques contra Nueva York y Washington, D.C., en septiembre de 200
1
tristeza y miedo en los corazones de cada uno de nosotros - no slo los estadounid
enses, pero buenogente
de significado de todas las Naciones. Ahora nos estamos alert sobre el hecho de q
ue hay
terroristas obsesivos situados alrededor del mundo, bien - entrenados y espera l
anzar
nuevos ataques contra nosotros.
El esfuerzo intensificado recientemente por nuestro Gobierno ha aumentado los ni
veles de nuestro
conciencia de seguridad. Tenemos que estar alerta, en guardia contra todas las f
ormas de
terrorismo. Tenemos que comprender cmo los terroristas traicin crean falsos
identidades, asumen roles como estudiantes y vecinos y fundirse en la multitud.
Ellos ocultar sus verdaderas creencias mientras que trazan contra nosotros - pra
cticando trucos de
engao similar a aquellos que leer acerca en estas pginas.
Y mientras, a lo mejor de mi conocimiento, los terroristas han an no utilizado so
cial

Ingeniera ardides para infiltrarse en las empresas, plantas de tratamiento de agu


as, elctricas
instalaciones de generacin, o de otros componentes vitales de nuestra infraestruc
tura nacional, la
potencial est ah. Es demasiado fcil. La conciencia de seguridad y polticas de seguri
dad
que espero ser poner en marcha y aplicada por los directivos corporativos
debido a este libro saldr ninguno demasiado pronto.
SOBRE ESTE LIBRO
Seguridad corporativa es una cuestin de equilibrio. Hojas de seguridad muy poco s
u
empresa vulnerable, pero con un nfasis excesivo en la seguridad se obtiene en la
forma de
atendiendo a empresas, inhibe el crecimiento y la prosperidad de la empresa. El
desafo es lograr un equilibrio entre seguridad y productividad.
Otros libros sobre seguridad de la empresa se centran en la tecnologa de hardware
y software,
y no debidamente cubierta la amenaza ms grave de todos: engao humano. El
propsito de este libro, por el contrario, es para ayudarle a comprender cmo usted,
co se estn manipulando a los trabajadores y otras personas de su empresa y las barre
ras
pueden levantar para dejar de ser vctimas. El libro se centra principalmente en l
a tcnica
mtodos que utilizan los intrusos hostiles para robar informacin, poner en peligro
la integridad
de la informacin que se cree que es seguro pero no es., o destruir el trabajo de
la empresa
producto.
Mi tarea se hace ms difcil por una simple verdad: cada lector habr sido
manipulado por los grandes expertos de todos los tiempos en la ingeniera social sus padres.
Encontraron maneras para ayudarle - \"por tu propio bien\", hacer
lo pensaron mejores. Los padres se convierten en grandes narradores de la misma
manera que
social ingenieros desarrollar hbilmentemuy historias plausibles, razones, y
justificaciones para lograr sus objetivos. S, todos estbamos moldeadas por nuestro
s padres:
ingenieros sociales benevolentes (y a veces no tan benvolos).
Condicionada por esa formacin, nos hemos vuelto vulnerables a la manipulacin. Nos
vivira una vida difcil, si tuviramos que estar siempre en guardia, desconfa de
otros, cuestin que nosotros fusemos dpdo de alguien que intenta tomar
ventaja de nosotros. En un mundo perfecto sera implcitamente confiamos otros segur
os
que la gente que nos encontramos va a ser honesto y confiable. Pero hacemos
no vivimos en un mundo perfecto, y por eso tenemos que ejercer un nivel de vigil
ancia
repeler los esfuerzos engaosos de nuestros adversarios.
Las partes principales de este libro, partes 2 y 3, se componen de historias que
muestran
que los ingenieros sociales en accin. En estas secciones se podr leer sobre:
Qu telfono phreaks descubri hace aos: un ingenioso mtodo para obtener un
nmero de telfono estn ocultos de la compaa telefnica.
Diferentes mtodos utilizados por los atacantes para convencer incluso alerta, sos
pechoso
empleados para revelar sus contraseas y nombres de equipo.
Cmo un administrador de operaciones Centro cooper en permitiendo a un atacante
roban informacin de producto ms secreta de su empresa.
Los mtodos de un atacante que enga a una dama en la descarga de software
hace espas en cada pulsacin de tecla y los detalles de los correos electrnicos que

le.
Cmo investigadores privados obtener informacin acerca de su empresa y sobre TI
Personalmente, que prcticamente puedo garantizar enviar un escalofro por la columna
vertebral.
Se podra pensar como leen algunas de las historias en las partes 2 y 3 que no son
posible, que nadie podra realmente triunfar en getting away with las mentiras, su
cias
Trucos y de esquemas, inscritos en estas pginas. La realidad es que en cada caso,
estas historias representan eventos que pueden suceder; muchos de ellos estn ocur
riendo
cada da en algn lugar en el planeta, tal vez incluso a su negocio mientras lees es
to
libro.
El material en este libro ser una verdadera revelacin a la hora de proteger
su empresa, sino tambin personalmente desviar los avances de un ingeniero social
proteger la integridad de la informacin en su vida privada.
En la parte 4 de este libro que me cambio cursos. Mi objetivo aqu es para ayudarl
e a crear el
las polticas del negocio necesario y conciencia de capacitacin para minimizar las
posibilidades de
sus empleados nunca ser engaados por un ingeniero social. Comprensin de la
estrategias, mtodos y tcticas del ingeniero social ayudar a prepararte para
implementar controles razonables para salvaguardar sus activos de TI, sin menosc
abar su
productividad de la empresa.
En definitiva, he escrito este libro para elevar su conciencia sobre la amenaza
planteados por la ingeniera social y que le ayudarn a asegurarse de que su empresa
y su
empleados tienen menos probabilidades de ser explotados de esta manera.
O tal vez debo decir, es mucho menos probable que pueda ser aprovechada nunca ms.
Parte 2
El arte del atacante
Captulo 2
Cuando no est informacin inocua
Qu opinas mayora de la gente es la verdadera amenaza de ingenieros sociales? Lo que
debe
hacer que su guardia?
Si el objetivo es capturar algunos altamente valioso Premio--digamos, un compone
nte vital de la
la empresa capital intelectual - y tal vez lo que se necesita es, figuradamente,
slo un
bveda ms fuerte y guardias ms fuertemente armados. Verdad?
Pero en realidad penetrar la seguridad de la empresa a menudo comienza con el ma
lo
obtener algn dato o algn documento parece tan inocente,
tan cotidiana y sin importancia, que no vea la mayora de la gente en la organizac
in
razn para el elemento debe ser protegido y restringido
VALOR OCULTO DE LA INFORMACIN
Mucha de la informacin aparentemente inocua en posesin de una empresa es
apreciado
un atacante de ingeniera social porque puede desempear un papel vital en su esfuer
zo por
vestir a s mismo en un manto de credibilidad.
A lo largo de estas pginas, voy a mostrarle cmo los ingenieros sociales hagan lo q
ue
lo hacen por alquiler que \"testigo\" los ataques por s mismo--a veces presenta
la accin desde el punto de vista del pueblo siendo vctima, lo que le permite poner
en sus zapatos y medidor de cmo usted mismo (o tal vez de su
empleados o compaeros de trabajo) que han respondido. En muchos casos tambin tendrs

la experiencia de los mismos acontecimientos desde la perspectiva del ingeniero


social.
La primera historia mira una vulnerabilidad en el sector financiero.
CREDITCHEX
Durante mucho tiempo, los britnicos acondicionar con un sistema bancario muy tapa
da. Como un
ciudadano ordinario, verdadero, usted no poda caminar en frente a la calle y abri
r un banco
cuenta. No, el Banco no considera le acepte como cliente a menos que algunos
persona ya bien establecida como un cliente le proporcion una carta de
recomendacin.
Una diferencia, por supuesto, en el mundo de la banca aparentemente igualitaria
de
en la actualidad. Y nada ms en evidencia que nuestra moderna facilidad de hacer n
egocios
en Amrica amistoso, democrtica, donde casi nadie puede caminar en un banco y
fcilmente abrir una cuenta de cheques, derecho? Bueno, no exactamente. La verdad e
s que los bancos
comprensiblemente tienen una resistencia natural a abrir. una cuenta para alguie
n que
slo podra tener una historia de escribir cheques malas--que seran unos como bienven
idas
como una hoja de rap de los cargos de robo o malversacin de fondos del Banco. Por
lo tanto es una prctica en muchos bancos para obtener una rpida pulgares arriba o
abajo de pulgares sobre un posible nuevo
cliente.
Una de las principales empresas que bancos contratacin con esta informacin es una
traje llamaremos CreditChex. Ofrecen un valioso servicio a sus clientes, pero
como muchas empresas, tambin sin saberlo pueden proporcionar un servicio til para
saber
ingenieros sociales.
La primera llamada: Kim Andrews
Banco Nacional, se trata de Kim. Desea abrir una cuenta hoy en da?
Hola, Kim. Tengo una pregunta para usted. Ustedes utilizan CreditChex?
S.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements es un 'ID comerciante'?\"
Una pausa; ella pesaba la cuestin, pensando en lo que se trataba y
Si ella debe responder.
El llamador rpidamente continuado sin faltar un ritmo:
Porque, Kim, estoy trabajando en un libro. Se trata de Investigaciones privadas.
There was an error deserializing the object of type System.String. Encountered u
nexpected character ayudando a un escritor.
Por lo que se llama un ID comerciante, derecho?
Uh huh.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following Gracias por tu ayuda. Adis, Kim.\"
La segunda llamada: Chris Talbert
Banco Nacional, nuevas cuentas, se trata de Chris.
There was an error deserializing the object of type System.String. The token 'tr
ue' was expected CreditChex. Estamos haciendo una encuesta para mejorar nuestros
servicios. Puede me sobra un
par de minutos?\"
Alegr, y sali de la llamada:
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'S'.
sigui respondiendo a su cadena de preguntas.
Cuntos empleados en su sucursal de utilizan nuestro servicio?
Con qu frecuencia usted llamarnos con una investigacin?
Que de nuestros nmeros 800 hemos hemos asignado le para llamar a nosotros?

Nuestros representantes siempre han sido Corts?


Cmo es nuestro tiempo de respuesta?
Cunto tiempo llevas con el Banco?
Qu ID comerciante utiliza actualmente?
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following usted?\"
Si tuviera alguna sugerencia para mejorar nuestro servicio, lo que podra ser?
Y:
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements rama?\"
Estuvo de acuerdo, charlamos un poco, el llamador son y Chris volvi a trabajar.
La llamada tercera: Henry McKinsey
CreditChex, se trata de Henry McKinsey, cmo puedo ayudarle?
El llamador dijo que estaba en el Banco Nacional. Dio el ID comerciante adecuado
y
luego le dio el nombre y nmero de seguridad social de la persona que estaba busca
ndo
informacin sobre. Enrique pide la fecha de nacimiento, y el llamador dio demasiad
o.
Despus de unos momentos, Henry Lee el anuncio desde su pantalla de ordenador.
There was an error deserializing the object of type System.String. End element '
root' from namespace fondos suficientes - es el familiar bancario jerga para con
troles que se han escrito
cuando no hay suficiente dinero en la cuenta para cubrirlas.
Cualquier actividad desde entonces?
No hay actividades.
Ha habido alguna otra consulta?
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following Chicago.\" l tropez sobre el nombre del siguiente, las invers
iones mutuas de Schenectady,
y tuvo que explicarlo. \"Eso es en el estado de Nueva York\", aadi.
Investigador privado en el trabajo
Tres de esas llamadas fueron hechas por la misma persona: un investigador privad
o que veremos
llamar a Oscar Grace. Grace tuvo un nuevo cliente, una de sus primeras. Un polica
hasta unos pocos
meses antes, se encontr que algunos de este nuevo trabajo vinieron naturalmente,
pero algunos
ofrecen un reto a sus recursos e inventiva. Este uno se vino abajo
firmemente en la categora de desafo.
Angelo privado ojos de ficcin - la picas de Sam y el Philip Marlowes
-pasar mucho tiempo de noche horas sentado en autos esperando a coger un cnyuge i
nfiel.
PIs de la vida real lo mismo. Tambin hacen menos escrito acerca, pero no menos im
portante
tipo de espionaje para los cnyuges beligerantes, un mtodo que se inclina ms fuertem
ente en lo social
conocimientos de ingeniera que en combates fuera el aburrimiento de vigilias de t
iempo de la noche.
Nuevo cliente de Grace fue una seora que pareca como si ella tena una forma bastant
e cmoda
presupuesto de ropa y joyera. Ella entraba a su Oficina un da y toma asiento
en la silla de cuero, el nico que no tiene papeles amontonados en l. Ella se insta
l
su gran bolso de Gucci en su escritorio con el logotipo volvi a enfrentarse a l y
anunci que planeaba decirle a su marido que ella quera un divorcio, pero
admiti que \"slo es un problema muy poco.\"
Pareca que su maridito era un paso por delante. l ya haba sacado el dinero de
su cuenta de ahorros y una cantidad an mayor de su cuenta de corretaje. Ella
quera saber donde sus bienes haban sido squirreled lejos y su divorcio

abogado no ayuda en absoluto. Gracia conjetur que el abogado fue uno de los
Uptown, altos consejeros que no ensuciarse la manos sobre algo
como el dinero dnde desordenado.
Podra ayudar gracia?
Ella asegur que sera una brisa, citada una cuota, gastos facturados al costo, y
recogi un cheque para el primer pago.
Luego se enfrent a su problema. Qu haces si no has manejado nunca un pedazo de
trabajar como antes y bastante no sabe cmo localizar un
rastro de dinero? Avanzar por los pasos del beb. Aqu, es mg de acuerdo a nuestra fu
ente,
Historia de Grace.
Supe CreditChex y cmo los bancos utilizan el traje - mi ex esposa sola
trabajar en un banco. Pero no saba la jerga y procedimientos y tratando de pedir
mi
ex - sera una prdida de tiempo.
Paso 1: obtener la terminologa recta y averiguar cmo hacerlo la solicitud
suena como que s lo que estoy hablando. Llamado en el Banco, el primero joven
Dama, Kim, era sospechosa preguntado sobre cmo identifican a s mismos
Cuando telfono CreditChex. Ella vacil; no saba si me dijera.
Me echan atrs por? No un poco. De hecho, las dudas me dieron una pista importante,
una seal de que tena que suministrar una razn ella encontrara creble. Cuando trabaj en
el con
en ella, haciendo investigacin para un libro, alivi sus sospechas. Dices que eres
un autor o un escritor de la pelcula y todo el mundo se abre.
Ella tena otros conocimientos que habra ayudado - cosas como qu reforma
CreditChex requiere para identificar a la persona que est llamando acerca de qu in
formacin
puede pedir, y una grande, lo que fue Kim banco nmero ID comerciante. ME
estaba dispuesto a pedir a esas preguntas, pero su vacilacin enviado hasta la ban
dera roja. Ella
compr la historia de investigacin del libro, pero ya tena algunas sospechas odiosas
. Si
ella haba sido ms dispuesta derecho cierto, habra pedido a revelar ms detalles
acerca de sus procedimientos.
JERGA
MARCA: Vctima de una estafa.
QUEMAR la fuente: Un atacante se dice que han quemado la fuente cuando l
permite a una vctima a reconocer que ha producido un ataque. Una vez que la vctima
se convierte en consciente y notifica a otros empleados o administracin de la ten
tativa, se
se vuelve extremadamente difcil de explotar la misma fuente en futuros ataques.
Tienes que ir en instinto de tripa, escuchar cerca de la marca de lo que est dici
endo y cmo
ella est diciendo. Esta seora sonaba lo suficientemente inteligente como para camp
anas de alarma empezar Si preguntas demasiados inusuales. Y a pesar de que ella
no saba que me
fue o qu nmero estaba llamando, an en este
negocio de que nunca desea alguien poniendo la palabra que busque fuera
alguien llamar para obtener informacin sobre el negocio. Eso es porque no lo hace
Quiero quemar la fuente - quiz desee llamar misma Oficina volver otra vez.
Estoy siempre en el reloj de signos poco que me dan una lectura en forma coopera
tiva un
es la persona, en una escala que va desde \"sonido desea a una persona agradable
y creo
todo lo que est diciendo\"para\"llamar a los policas, alerta a la Guardia Nacional
, este tipo
hasta no sirve\".
Le a Kim como un poco de borde, as que llam simplemente a alguien a una rama difere
nte.
Mi segunda llamada con Chris, el truco de la encuesta jug como un encanto. La tcti

ca
aqu es para deslizar las preguntas importantes entre los inconsecuentes que son
se utiliza para crear una sensacin de credibilidad. Antes he bajado la pregunta a
cerca de la
Mercante ID nmero CreditChex, corri una prueba poco de ltimo minuto por pidiendo su
una pregunta personal acerca de cunto tiempo haba estado con el Banco.
Una pregunta personal es como una mina terrestre - algunas personas paso derecho
sobre l y nunca
aviso; para otras personas, sopla y les enva corriendo para seguridad. As que si m
e
pedir una pregunta personal y ella respuestas a la pregunta y el tono de su voz
no cambia, eso significa que probablemente no es escptica sobre la naturaleza de
la
solicitud. Puedo con seguridad pido las buscadas despus de la pregunta sin desper
tar le
sospechas y ella ser probablemente me dan la respuesta que estoy buscando.
Sabe una cosa ms que un buen PI: nunca terminar la conversacin despus de obtener el
informacin clave. Otro dos o tres preguntas, charla un poco y luego s bien
decir adis. Ms tarde, si la vctima recuerda nada de lo que le pregunte,
ser probablemente el ltimo par de preguntas. Normalmente se olvidar el resto.
As que Chris me dio su nmero de ID del comerciante y el nmero de telfono llaman a
realizar solicitudes. Habra sido ms feliz si me haba metido a algunas preguntas
acerca de cunta informacin puede obtener de CreditChex. Pero no fue mejor
para empujar mi suerte.
Es como tener un cheque en blanco a CreditChex. Ahora pude llamar y obtener
informacin cada vez que quera. Incluso no tuve que pagar por el servicio. Tal como
se
result, la rep CreditChex estaba feliz de compartir exactamente la informacin
quera: dos lugares marido de mi cliente haba solicitado recientemente para abrir u
na cuenta.
Hasta donde estaban los activos que su para ser ex esposa estaba buscando? Donde
otra cosa pero
en las instituciones bancarias en la lista el tipo de CreditChex?
Analizando el timo
Este ardid todo se bas en una de las tcticas fundamentales sociales
Ingeniera: acceso a la informacin que se trata de un empleado de la empresa como
inocua, cuando no lo es.
El primer empleado de Banco confirm la terminologa para describir la identificacin
nmero que se utiliza al llamar a CreditChex: el ID del comerciante. La segunda si
empre
el nmero de telfono para llamar a CreditChex y la pieza ms importante de la informa
cin,
nmero de ID del comerciante del Banco. Toda esta informacin apareci a la dependient
a que
inocuo. Despus de todo, el empleado de Banco pensaba que ella estaba hablando con
alguien de
Creditchex-as lo que podra ser el dao en revelar el nmero?
Todo esto sent las bases para la tercera convocatoria. Grace tena todo lo que nece
sitaba
al telfono CreditChex, pasar como representante de uno de sus bancos de clientes,
Nacional y simplemente pedir la informacin que fue despus.
Con tanta habilidad en robar informacin como un buen estafador tiene a robar su
dinero, Grace tena un talento para la lectura de las personas. Saba que el comn
tctica de enterrar las preguntas claves entre inocentes. Saba que un personal
pregunta probara a voluntad del segundo empleado cooperar, antes inocentemente
pidiendo el nmero de ID del comerciante.
Error del empleado primero confirmar la terminologa para el ID de CreditChex
nmero sera casi imposible para protegerse. La informacin es tan
ampliamente conocido en el sector bancario que parece ser poco importante - la
modelo muy de los inocuos. Pero el segundo empleado, Chris, no debera haber sido

tan dispuestos a responder preguntas sin comprobar positivamente que el llamador


era
realmente quien afirmaba ser. Ella debera, al menos, han tomado su nombre
y nmero y llamado de este modo, si cualquier pregunta surgi ms tarde, ella puede te
ner
mantiene un registro de qu nmero de telfono que haba utilizado la persona. En este c
aso, haciendo un
llame como hubiera hecho mucho ms difcil para el atacante
hacerse pasar por un representante de CreditChex.
MENSAJE DE MITNICK
Un ID del comerciante en esta situacin es anlogo a una contrasea. Si el personal de
l Banco
lo tratan como un PIN de ATM, podran apreciar la naturaleza sensible de la
informacin. Existe un cdigo interno o nmero de la organizacin que las personas
no tratar con suficiente atencin?
Mejor an, habra sido una llamada a CreditChex usando un banco de monja ya tena
registro - no es un nmero proporcionado por el llamador: para verificar la person
a realmente
trabaj all, y que la empresa realmente estaba haciendo un estudio de clientes. Ten
iendo en cuenta
los aspectos prcticos del mundo real y las presiones de tiempo que funcionan la m
ayora de la gente
bajo hoy, sin embargo, este tipo de llamada de telfono de verificacin es mucho esp
erar, salvo
Cuando un empleado es sospechoso que se est realizando algn tipo de ataque.
LA TRAMPA DE INGENIERO
Es ampliamente conocido que empresas de head hunter usan ingeniera social para co
ntratar
talento empresarial. Este es un ejemplo de cmo puede suceder.
A finales de 1990, una agencia de empleo no muy tica firmado un nuevo cliente, un
empresa busca ingenieros elctricos con experiencia en el telfono
industria. Honcho en el proyecto fue una dama dotada de una voz ronco y
manera sexy que ella haba aprendido a usar para desarrollar confianza inicial y r
elacin sobre
el telfono.
La dama decidi etapa una redada en un telfono celular servicio proveedor para ver
si ella
podra ubicar algunos ingenieros que podran verse tentados a cruzar la calle a un
competidor. Ella no poda llamar exactamente a la Junta de conmutador y decir \"Dja
me hablar
cualquiera con cinco aos de experiencia en ingeniera\". En su lugar, por razones q
ue
convertido en claro en un momento, comenz el asalto de talento buscando una pieza
de
informacin que pareca no tener ninguna sensibilidad en absoluto, informacin empresa
personas dan a casi nadie que pide.
La primera llamada: La recepcionista
El atacante, usando el nombre Didi Arenas, coloca una llamada a las oficinas cor
porativas de
el servicio de telfono celular. En parte, la conversacin fue as:
Recepcionista: Buenas tardes. Se trata de Marie, cmo puedo ayudarle?
Didi: Puede conectarme al departamento de transporte?
R: no estoy seguro que si tenemos uno, mirar en mi directorio. Quin est llamando?
D: es Didi.
R: Ests en el edificio, o...?
D: no, estoy fuera del edificio.
R: Didi que?
D: Didi Arenas. Tuve la extensin para el transporte, pero me olvid lo que era.
R: Un momento.
En este punto para disipar sospechas, Didi pidi a un casual, haciendo slo conversa

cin
pregunta para establecer que estaba en el \"interior\" familiarizado con
ubicaciones de la empresa.
D: qu edificio Ests en - Lakeview o lugar principal?
R: Principal lugar. (pausa) Es 805 555 6469.
Para proporcionar a s misma con una copia de seguridad en caso de no proporciona
la llamada al transporte
lo que ella estaba buscando, Didi dijo que ella tambin quera hablar con bienes race
s. El
recepcionista le dio ese nmero. Cuando Didi pide estar conectado a
el nmero de transporte, la recepcionista intent, pero la lnea estaba ocupada.
En ese momento Didi pidieron un tercer nmero de telfono, cuentas por cobrar,
ubicado en un centro corporativo en Austin, Texas. La recepcionista le pidi que e
spere
un momento y sali fuera de la lnea. Informar a la seguridad de que ella tena un sos
pechoso
llamada telefnica y pensamiento all era algo sospechoso pasa? En absoluto y Didi
no tienen menos poco de preocupacin. Ella estaba siendo un poco de una molestia,
pero a la
Recepcionista era parte de una jornada tpica. Despus de aproximadamente un minuto,
el
Recepcionista volvi sobre la lnea, que miraron hacia arriba el nmero de cuentas por
cobrar,
lo prob y poner Didi a travs.
La segunda llamada: Peggy
La siguiente conversacin fue as:
Peggy: Cuentas por cobrar, Peggy.
Didi: Hola, Peggy. Se trata de Didi, en Thousand Oaks.
P: Hola, Didi.
D: cmo ya haciendo?
P: muy bien.
Didi, a continuacin, utiliza un trmino familiar en el mundo corporativo que descri
be la carga
cdigo para la asignacin de gastos contra el presupuesto de una organizacin especfica
o
Grupo de trabajo:
D: excelente. Tengo una pregunta para usted. Cmo puedo saber el centro de coste pa
ra una
Departamento en particular?
P: usted tendra que obtener una suspensin de la analista de presupuesto para el de
partamento.
D: sabes quin sera el analista de presupuesto para
Thousand Oaks - sede? Estoy tratando de llenar un
formulario y no s el centro de coste adecuado.
P: Slo s cuando y ' All necesita un nmero de centro de costo, llamar a su presupues
to
analista.
D: tienes un centro de coste para su departamento hay en Texas?
P: tenemos nuestro propio centro de coste, pero no nos dan una lista completa de
ellos.
D: cuntos dgitos es el centro de coste? Por ejemplo, cul es su centro de coste?
P: bien, gusta, eres con 9WC o con la SAT?
Didi no tena ni idea qu departamentos o grupos de stos que se refiere, pero no lo h
izo
asunto. Ella contest:
D: 9WC.
P: entonces es usualmente cuatro dgitos. Quien dijo que fuiste con?
D: Sede--Thousand Oaks.
P: bien, aqu est uno de Thousand Oaks. Es la 1A5N, que como n en Nancy.
Slo colgando fuera mucho tiempo suficiente con alguien dispuesto a ser til, Didi h

aba
el costo del centro nmero necesitaba - uno de esos fragmentos de informacin que no
uno piensa en proteger porque parece que algo que no poda ser de cualquier
valor a un forastero.
La llamada tercera: Un nmero incorrecto ayudo
Paso de Didi sera parlay el nmero de centro de coste en algo real
valor usando como un chip de pquer.
Comenz llamando al departamento de bienes races, pretendiendo que ella haba alcanza
do un
nmero incorrecto. Empezando con un \"perdona que moleste, pero.... \"ella afirmab
a ella
un empleado que haba perdido su directorio de la empresa y pidi que fueron
se supone que llame para obtener una nueva copia. El hombre dice que la copia im
presa es obsoleta
ya estaba disponible en el sitio de intranet de la empresa.
Didi dijo que prefera usar una copia impresa, y el hombre le dijo a llamar
Publicaciones y luego, sin piden - tal vez slo para mantener el sexy Dama de sonar el telfono un poco ms - servicialmente busc el nmero y
le dio a ella.
La llamada cuarta: Bart en publicaciones
En publicaciones, habl con un hombre llamado Bart. Didi dijo que ella estaba de
Thousand Oaks y tuvieron un nuevo consultor que necesitaba una copia de la
Directorio de la empresa. Ella le dijo una copia impresa funcionara mejor para la
consultor, aunque era un poco anticuado. Bart le dijo que ella tendra que llenar
un formulario de pedido y enviar el formulario sobre l.
Didi dijo ella estaba fuera de forma y era una fiebre, y Bart sera un cario
y rellena el formulario para ella? Concuerda con demasiado entusiasmo, y
Didi le dio los detalles. Para la direccin del contratista ficticio, ella drawled
el nmero de los ingenieros sociales llaman una gota de correo, en este caso un ca
sillas de correo
Etc.-tipo de actividad comercial donde su empresa alquil cuadros para situaciones
igual a sta.
El anterior lingisticas ahora vinieron mano: habr un cargo por el costo
y envo del directorio. Bien - Didi dio el centro de coste de Thousand Oaks:
IA5N, que como n en Nancy.
Unos das ms tarde, cuando lleg el directorio corporativo, Didi encontrado fue e inc
luso
recompensa ms grande que ella esperaba: no slo muestran el nombre y telfono
los nmeros, pero tambin demostr que trabajaba para quien - la estructura corporativ
a de la
toda la organizacin.
La dama de la voz ronca estaba lista para comenzar a hacer su head-hunter, perso
nasincursiones
llamadas telefnicas. Ella haba estafado a la informacin que necesitaba para lanzar
le
RAID mediante el regalo de gab perfeccionado un polaco alto por cada ingeniero s
ocial especializada.
Ahora ella estaba lista para la recompensa.
JERGA
MAIL DROP: Trmino del ingeniero social para un buzn de alquiler, normalmente alqui
lado
bajo un nombre supuesto, que se utiliza para entregar documentos o paquetes de l
a
vctima ha sido engaado en enviar
MENSAJE DE MITNICK
Al igual que piezas de un rompecabezas, cada pieza de informacin puede ser irrele
vante por
s. Sin embargo, cuando las piezas se ponen juntos, emerge un panorama claro. En e
ste
Caso, la imagen de la Sierra de ingeniero social fue toda la estructura interna

de la
empresa.
Analizando el timo
En este ataque de ingeniera social, Didi iniciado por obtener nmeros de telfono par
a tres
departamentos de la compaa de destino. Esto fue fcil, porque los nmeros era
pidiendo no fueron ningn secreto, especialmente a los empleados. Un ingeniero soc
ial aprende a
sonido como un insider y Didi era experto en esto
juego. Uno de los nmeros de telfono que le llev a un nmero de centro de costo, luego
que ella
se utiliza para obtener una copia del directorio de empleados de la empresa.
Las principales herramientas que necesitaba: sonando amistosa, utilizando alguno
s jerga corporativa y,
con la ltima vctima, tirar un poco y bateo verbal de pestaa.
Y uno ms herramienta, un elemento esencial no fcilmente adquirida - la manipulador
a
habilidades del ingeniero social, refinado a travs de la extensa prctica y las no
escritas
lecciones de antao generaciones de hombres de confianza.
MS INFORMACIN DE \"INTIL\"
Adems de un nmero de centro de coste y las extensiones de telfono interno, qu otro
aparentemente intil informacin puede ser muy valioso a tu enemigo?.
Llamada de Peter Abel
There was an error deserializing the object of type System.String. The token 'tr
ue' was expected but found Tus entradas a San Francisco estn listos. Quieres a ent
regarlos, o hacer
desea recogerlo?\"
There was an error deserializing the object of type System.String. Encountered u
nexpected character Abels?\"
S, pero no tengo ningn acuerdo sobre los ADPIC proximamente.
There was an error deserializing the object of type System.String. The token 'tr
ue' was expected but found San Francisco?\"
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'P'.
conversacin amigable.
There was an error deserializing the object of type System.String. The token 'tr
ue' was expected arreglos bajo el nmero de empleado. Tal vez alguien utiliza mal
nmero. Cul es tu nmero de empleado?\"
Peter descifrar recita su nmero. Y por qu no? Va casi todos
formulario de personal rellena, mucha gente en la empresa tiene acceso a ella recursos humanos, nminas y, obviamente, la Agencia de viajes fuera. No se trata
un nmero de empleado como algn tipo de secreto. Qu diferencia hara?
La respuesta no es difcil de averiguar. Podran ser dos o tres piezas de informacin
basta para montar una representacin eficaz - el ingeniero social ocultacin
a s mismo en la identidad de otra persona. Conseguir el nombre del empleado, su t
elfono
nmero, su empleado nmero--y tal vez, de buena medida, su manager
nombre y telfono nmero--y una mitad - ingeniero social competente est equipado
con la mayora de lo que es probable que deba sonido autntico para el prximo objetiv
o
llamadas.
Si alguien que se dice fue de otro departamento en su compaa tuvo
llam ayer, dada una razn plausible y pidieron su nmero de empleado,
habra tenido alguna reticencia en drselo a l?
Y por cierto, cul es su nmero de seguridad social?
MENSAJE DE MITNICK
Es la Moraleja de la historia, no dar ninguna empresa personal o interna
informacin o identificadores a nadie, a menos que su voz es reconocible y
el solicitante tiene una necesidad de saber.

PREVENIR LA CON
Su empresa tiene la responsabilidad de hacer empleados conscientes de cmo un grav
e
error puede producirse de mal manejo de informacin no pblica. Un meditado
poltica de seguridad de la informacin, combinada con la debida educacin y capacitac
in, ser
aumentar considerablemente la conciencia de los empleados sobre el manejo adecua
do de las empresas
informacin del negocio. Una poltica de clasificacin de datos le ayudar a implementar
controles adecuadoscon respeto Pararevelacin de informacin. Sin datos
poltica de clasificacin, toda la informacin interna debe ser considerada confidenci
al,
a menos que se especifique lo contrario.
Siga estos pasos para proteger su empresa de la versin de aparentemente
informacin inocua:
El departamento de seguridad de la informacin que necesita para llevar a cabo la
formacin detallando los mtodos utilizados por los ingenieros sociales. Un mtodo, co
mo se describi anteriormente,
es obtener informacin aparentemente no confidencial y utilizarla como un chip de
pquer para ganar
confianza a corto plazo. Cada empleado debe ser consciente de que cuando una per
sona que llama
tiene conocimiento sobre identificadores internos, jerga y procedimientos de la
empresa que hace
de ninguna manera, forma o formulario autenticar el solicitante o autorizar a l o
ella
como una necesidad de saber. Un llamador podra ser un ex empleado o contratista c
on
la informacin privilegiada necesaria. En consecuencia, cada empresa tiene un
responsable de determinar el mtodo de autenticacin adecuado para utilizarse
Cuando los empleados interactan con personas que no reconocen en persona o a travs
de la
Telefnica.
La persona o personas con el papel y la responsabilidad de redactar una de datos
poltica de clasificacin debe examinar los tipos de datos que pueden utilizar para
obtener
acceso para empleados legtimos que parece inocuo, pero podra llevar a
informacin, sensible. Aunque nunca dara a los cdigos de acceso
su tarjeta de cajero automtico, le dira alguien qu servidor se usa para desarrollar
productos de software de la empresa? Esa informacin podra ser usada por una persona
fingiendo ser alguien que tiene acceso legtimo a la red corporativa?
A veces slo saber dentro de terminologa puede hacer el ingeniero social aparecen
autorizada y bien informados. El atacante se basa a menudo en este comn
idea errnea a engaando a sus vctimas en cumplimiento de las normas. Por ejemplo, un
ID comerciante es un identificador que la gente en el departamento de cuentas nu
evas de un
Banco casualmente utilizar cada da. Pero tal un identificador exactamente lo mism
o que un
contrasea. Si cada empleado comprende la naturaleza de este identificadorque
se utiliza para autenticar positivamente un solicitante--podra tratarlo con ms
respeto.
MENSAJE DE MITNICK
Como va el viejo adagio - paranoicos incluso reales probablemente tienen enemigo
s. Debemos
Supongamos que cada negocio tiene sus enemigos, tambin - los atacantes que se dir
igen a la red
infraestructura para comprometer secretos comerciales. No terminan siendo una es
tadstica sobre
delitos informticos - ya es hora para apuntalar las defensas necesarias por
implementar controles adecuados a travs de polticas de seguridad bien pensado fuer

a y
procedimientos.
Ninguna empresa - bien, muy pocos, al menos, dar los nmeros de telfono de discado
directo
de su Presidente CEO o Junta. Mayora de las empresas, sin embargo, no tiene preoc
upacin sobre
dar nmeros de telfono para la mayora de los departamentos y grupos de trabajo de la
,
Organizacin - especialmente a alguien que es, o parece ser, un empleado. A
respuesta posible: una poltica que prohbe dar telfono interno
nmero de empleados, contratistas, consultores y temps a los forasteros. Ms
lo importante es desarrollar un procedimiento paso a paso para identificar posit
ivamente si una
pidiendo nmeros de telfono que llama es realmente un empleado.
Cdigos de contabilidad para grupos de trabajo y departamentos, as como copias de l
a
directorio corporativo (si copia impresa, archivo de datos o telfono electrnico li
bro sobre la
Intranet) son blancos frecuentes de ingenieros sociales. Cada empresa necesita u
n escrito,
Karadzic poltica sobre la divulgacin de este tipo de informacin. Las salvaguardias
debe incluir el mantener un registro de auditora instancias de registros cuando s
ensibles
la informacin es divulgada a personas fuera de la empresa.
Informacin, como un nmero de empleado, por s mismo, no debe utilizarse como cualqui
era
tipo de autenticacin. Cada empleado debe estar formado para verificar no slo la
identidad del solicitante y el solicitante del necesita saber.
En su formacin en seguridad, considere la posibilidad de enseanza empleados este e
nfoque: siempre
una pregunta o pide un favor por un extrao, primero aprender a rechazar educadame
nte
hasta que la solicitud puede ser verificada. -Antes de ceder ante el deseo natur
al de ser
Sr. o Sra. tiles - siga las polticas de empresa y procedimientos con respecto a
verificacin y divulgacin de informacin no pblica. Este estilo puede ir en contra
nuestra tendencia natural a ayudar a los dems, pero un poco paranoia sana puede s
er necesario
para evitar ser dpdo prximo del ingeniero social.
Como han demostrado las historias en este captulo, aparentemente inocuo informacin
puede
ser la clave para los secretos ms preciados de su empresa.
Captulo 3
El ataque directo: Pidiendo slo se
Muchos ataques de ingeniera social son complejos, que implican una serie de pasos
y
saben elaborar planificacin, combinando una mezcla de manipulacin y tecnolgicoCmo.
Pero siempre me parece sorprendente que un hbil ingeniero social a menudo consigu
e su
objetivo con un ataque directo, simple y sencillo. Slo pidiendo abiertamente la
informacin puede ser todo lo que necesitan - como ver.
UN RAPIDITO MLAC
Quiere saber el nmero de telfono estn ocultos de alguien? Un ingeniero social puede
decirle
formas una docena (y encontrar algunos de ellos descritos en otras historias en
estas pginas), pero probablemente la hiptesis ms simple es aquella que utiliza un t
elfono nico
llamar, como esta.
Nmero, por favor

El atacante marc el telfono de empresa privada para el MLAC, la


Centro de asignacin de lnea mecanizada. A la mujer que respondieron, dijo:
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements frito en un incendio. Policias pensar algunos sobr
ante intent incendiar su casa para la
seguro. Me sali aqu solo intentando rewire este dos todo cienpar
terminal. Realmente pude utilizar alguna ayuda ahora. Qu instalaciones deben ser
trabajando en Main sur 6723?\"
En otras partes de la compaa telefnica, la persona que llama sabra inversa
informacin de bsqueda en el pub no nmeros (no publicado) se supone que dar
a slo a la compaa de telfonos autorizados MLAC se supone que slo conocer
empleados de la empresa. Y si bien nunca se dara informacin al pblico,
quien quisiera rechazar ayuda un poco a un hombre de empresa afrontar pesadosasi
gnacin
de destino?. Siente pena por l, ella ha tenido das malos en el trabajo
y ella te
doblar las reglas un poco para ayudar a un compaero empleado con un problema. Ell
a da
l el cable y pares y cada nmero de trabajo asignado a la direccin.
MENSAJE DE MITNICK
Es naturaleza humana para confiar en nuestro prjimo, especialmente cuando la soli
citud cumple la
prueba de ser razonable. Los ingenieros sociales usar este conocimiento para exp
lotar sus
las vctimas y para lograr sus objetivos.
Analizando el timo
Como observar repetidamente en estas historias, conocimiento de la jerga de la em
presa, y
de su estructura corporativa - en sus diferentes oficinas y departamentos lo que
cada uno hace y
informacin que cada uno tiene - es parte de la esencial bolsa de trucos de los ex
itosos
ingeniero social.
YOUNG MAN ON THE RUN
Un hombre denominaremos Frank Parsons haba estado huyendo durante aos, an buscados
por el
Gobierno Federal para ser parte de un grupo antiguerra clandestino en la dcada de
1960.
En los restaurantes se sent frente a la puerta y tena una forma de echar un vistaz
o sobre su
asumir cada de vez en cuando que otras personas encuentran desconcertante. Se tr
aslad
cada pocos aos.
En una de punto de Frank, aterriz en una ciudad no saber y establecer sobre caza
de trabajo. Para
alguien como Frank, con sus habilidades de equipo bien desarrollada (y social
habilidades de ingeniera, as como, incluso, aunque l nunca figuran los de un trabaj
o
aplicacin), encontrar un buen trabajo normalmente no era un problema. Excepto en
momentos cuando
la economa est muy apretada, personas con conocimientos de buen equipo tcnico
suelen encontrar sus talentos de alta demanda y tienen poco problema aterrizando
en
pagando oportunidad laboral en una g
sus pies. Frank encuentra rpidamente un pozo
ran
Centro de atencin a largo plazo, lujo cerca de donde viva.
Slo el billete, pens. Pero cuando comenz a andar su camino a travs de la
formularios de solicitud, lleg a un uh-AH: el empleador exige al solicitante
para proporcionar una copia de su rcord de historia criminal del Estado, que tuvo
que obtener

propio de la polica del Estado. La pila de documentos de empleo incluye un formul


ario para
solicitar este documento, y la forma tena una pequea caja para proporcionar una hu
ella digital.
A pesar de que ellos estaban pidiendo una impresin de slo el dedo ndice derecho, si
se
coincide su impresin con uno en base de datos del FBI, habra probablemente pronto
a trabajar
en el servicio de comida en un resort financiado por el Gobierno Federal.
Por otro lado, se produjo a Frank que quizs, slo quizs, podra seguir
capaz de llegar lejos con esto. Tal vez el Estado no enviar que las muestras de
huellas digitales
el FBI en absoluto. Cmo podra averiguar?
Cmo? Fue un ingeniero social--cmo crees descubri? Coloc un
llamada telefnica a la patrulla del Estado: \"Hola. Estamos haciendo un estudio d
el departamento de Estado
de la justicia. Nosotros estamos investigando los requisitos para implementar un
a nueva huella
sistema de identificacin. Puedo hablar all alguien que realmente conoce
lo que ests haciendo que quizs podra ayudarnos a?\"
Y cuando el experto local lleg en el telfono, Frank le pidi una serie de preguntas
acerca de lo que estaban utilizando los sistemas y las capacidades para buscar y
almacenar
datos de huellas digitales. Tuvo problemas de equipo? Ataron en el
Centro Nacional de informacin de crimen de bsqueda de huellas dactilares (NCIC) o
solo dentro de la
Estado? Fue bastante fcil para todos aprender a usar el equipo?
Astutamente, l furtivamente la pregunta clave en el resto.
La respuesta fue msica para sus odos: No no estaban atados en el NCIC, que slo
protegido contra el estado Penal informacin ndice (CII).
MITNICK MESSGAE
Experto informacin estafadores no tengan ningn reparo en sonar hasta federal, esta
tal, o
funcionarios del gobierno local para obtener informacin sobre los procedimientos
de aplicacin de Con esa informacin en la mano, puede ser capaz de sortear el ingen
iero social
comprobaciones de seguridad estndar de la empresa.
Eso era todo que Frank necesitaba saber. No tena ningn registro en ese Estado, por
lo que l
present su solicitud, fue contratado para el trabajo y nadie nunca apareci en
su escritorio un da con el saludo, \"estos seores son de FBI y
les gustara tener una pequea charla con usted.\"
Y, de acuerdo con l, demostr ser un empleado modelo.
EN LA MISMA PUERTA
A pesar del mito de la Oficina sin papeles, las empresas continan imprimir resmas
de papel cada da. Informacin de impresin de su empresa puede ser vulnerable,
incluso si utiliza precauciones de seguridad y acabar con ella confidencial.
Aqu es una historia que muestra cmo los ingenieros sociales podra obtener la mayora
documentos secretos.
Bucle alrededor de engao
Cada ao la compaa telefnica publica un volumen llamado el nmero de prueba
Directorio (o al menos solan, y porque estoy todava en libertad supervisada,
No voy a preguntar si todava lo hacen). Este documento fue muy apreciado por telfo
no
phreaks porque estaba repleto de una lista de todos los telfonos celosamente
nmeros utilizados por artesanos de la empresa, tcnicos, a otros para cosas como tr
onco
pruebas o controles de nmeros que siempre suena ocupado.
Uno de estos test nmeros, conocida en la jerga como un bucle alrededor, fue parti
cularmente

til. Phreaks telfono utilizado como una manera de encontrar otros phreaks de telfon
o para conversar sin costo alguno para ellos. Telfono phreaks tambin us una forma d
e crear un nmero de llamada de vuelta
para dar a, digamos, un banco. Un ingeniero social dira a alguien en el Banco el
nmero de telfono para llamar al llegar a su oficina. Cuando el Banco llamado de vu
elta a la prueba
nmero (bucle-alrededor) el telfono vena sera capaz de recibir la llamada, pero l
tena la proteccin de haber utilizado un nmero de telfono que no pudo se remonta
a l.
Un directorio de nmero de Test proporciona mucha informacin ordenada que podra util
izarse
por cualquier telfono hambriento de informacin, testosteroned, phreak. As que cuand
o el nuevo
directorios fueron publicados cada ao, eran codiciados por un montn de jvenes
cuya aficin estaba explorando la red telefnica.
MENSAJE DE MITNICK
Formacin en seguridad con respecto a la poltica de la empresa diseada para proteger
la informacin
debe ser para todos en la empresa, no cualquier empleado que tiene activos
acceso fsico o electrnico a la empresa de TI de activos.
Estafa de Stevie
Naturalmente, las empresas de telefona no hacen estos libros fciles de conseguir,
as que telfono
phreaks tiene que ser creativo para obtener uno. Cmo pueden hacer esto? Un joven a
nsioso
con una mente bent en adquirir el directorio podra promulgar un escenario como es
te.
Tarde de un da, una noche suave en el otoo del sur de California, un chico llamo
le Stevie telfonos un pequeo Telfono Oficina central, que es la empresa la
edificio desde el que ejecutan las lneas de telfono a todos los hogares y empresas
en el
rea de servicio establecidos.
Cuando el guardarrail en servicio responde a la llamada, Stevie anuncia que l es
de
la Divisin de la compaa telefnica que publica y distribuye impreso
materiales. \"Tenemos su nuevo directorio nmero de prueba\", dice. \"Pero para se
guridad
razones, no podemos entregamos la copia hasta que recogemos antiguo. Y la entreg
a
Guy retrasados. Si quieres deja tu copia justo fuera de su puerta, l puede
Swing por recoger tuyo, colocar uno nuevo y en su camino.\"
El guardarrail confiado parece pensar que suena razonable. Lo hace
tal y como pidi, apagando en la puerta del edificio su copia de la
Directorio, su portada claramente marcado en grandes letras rojas con la empresa
\"
CONFIDENCIAL - CUANDO YA NO ES NECESARIO ESTE DOCUMENTO
DEBE SER PURGADOS.\"
Stevie unidades por y mira cuidadosamente para detectar cualquier policias o com
paa de telfono
gente de seguridad que podra estar acechando detrs de rboles o mirando para l desde
coches aparcados. Nadie a la vista. Casualmente recoge el directorio codiciado y
unidades de distancia.
Aqu es slo un ejemplo ms de lo fcil que puede ser de un ingeniero social obtener
lo que quiere, siguiendo el principio simple de \"pregunte por ello.\"
ATAQUE CON GAS
Activos de la empresa no slo estn en riesgo en un escenario de ingeniera social. A
veces
es quienes una empresa son las vctimas.
Trabajo como empleado de servicio al cliente trae su cuota de frustraciones, su
cuota de

se re y su cuota de errores inocentes - algunos de los cuales pueden tener infeli


z
consecuencias para los clientes de la empresa.
Historia de Janie Acton
Janie Acton haba dotacin un cubculo como un cliente servicio rep f ciudad natal
Energa elctrica, en Washington, D.C., para poco ms de tres aos. Ella fue
considerado como uno de los empleados mejores, conscientes e inteligentes
Fue cuando esta una llamada particular lleg en la semana de Thanksgiving. El llam
ador, dijo,
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following Secretaria en las oficinas ejecutivas que funciona para uno
de los vice presidentes, y
ella est pidiendo informacin y no puedo utilizar mi ordenador recib un correo elect
rnico
de esta chica que dice 'ILOVEYOU.' y cuando abr los recursos humanos
el archivo adjunto, no poda usar mi mquina ms. Un virus. Me pille un
virus estpido. De todas formas, podra buscar alguna informacin de cliente para m?\"
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'J'.
S.
There was an error deserializing the object of type System.String. Encountered u
nexpected character Aqu el atacante llamado en la informacin de su investigacin ava
nce para hacer
el propio sonido autntico. Haba aprendido que l quera era
almacenados en algo llamado el sistema de informacin de facturacin de clientes, y
tena
descubri cmo empleados contemplados para el sistema. Pregunt, \"puede aparezca un
cuenta el CBIS?\"
S, cul es el nmero de cuenta.?
No tengo el nmero; Te necesito para traerlo hasta por su nombre.
Est bien, cul es el nombre?
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'H'.
Vale, lo tengo.
Gran. Es la cuenta actual?
Uh huh, es actual.
There was an error deserializing the object of type System.String. Encountered u
nexpected character Tienes un lpiz?
Listo para escribir.
Cuenta nmero BAZ6573NR27Q.
Lee el nmero nuevo y luego dijo, \"Y cul es la direccin de servicio?\"
Ella le dio la direccin.
Y cul es el telfono?
Janie descifrar Lee esa informacin, demasiado.
El llamador le agradeci, dijo adis y colg. Janie pas a la siguiente
llamada, nunca pensando en otra cosa.
Proyecto de investigacin de arte de Sealy
Sealy de arte haba dado un trabajo como editor independiente para pequeas editoria
les
Cuando se encontr con l podra ganar ms dinero haciendo investigacin para escritores y
empresas. l pronto averiguado que la tarifa que podra cobrar subi
Cmo cerrar la asignacin lo llev a la lnea a veces borrosa la proporcin
entre el legal y el ilegal. Sin nunca saberlo, sin duda alguna vez
dndole un nombre, Art fue un ingeniero social, utilizando tcnicas conocidas a todo
s
corredor de informacin. Result tener un talento nativo para el negocio
averiguar por s mismo tcnicas que la mayora de los ingenieros sociales tuvo que apr
ender de
otros. Despus de un tiempo, cruz la lnea sin la pospuesta menos de culpabilidad.
Un hombre contact conmigo que estaba escribiendo un libro sobre el gabinete en el

Nixon
aos y fue en busca de un investigador que se pudo obtener el interior primicia en
William E. Simon, quien haba sido Secretario del Tesoro de Nixon. Sr. Simon haba
muri, pero el autor tena el nombre de una mujer que haba sido en su personal. Fue
bastante seguro que ella todava viva en D.C., pero no haba podido obtener una direc
cin. Ella
no tena un telfono a su nombre, o al menos ninguno que se enumeran. Por lo que de
Cuando me llam. Yo le dije, claro, no hay problema.
Este es el tipo de trabajo generalmente puede traer en una llamada telefnica o do
s, si usted
S lo que ests haciendo. Cada empresa de servicios pblicos locales se cuentan genera
lmente con
para regalar la informacin. Por supuesto, tienes a BS un poco. Pero lo que tiene
un
Little white mentira ahora y despus - derecho?
Me gusta utilizar un enfoque diferente cada vez, slo para mantener las cosas inte
resantes. \"Esto
es Fulano en las oficinas ejecutivas\"siempre ha trabajado bien para m. Por lo ta
nto tiene \"I ' ve
tiene alguien en la lnea de su cargo de Vicepresidente alguien\"que trabaj
Esta vez, demasiado.
MENSAJE DE MITNICK
Nunca piensa en todos los ataques de ingeniera social deben ser elaborados ardide
s de tan complejos
que son probables a ser reconocido antes de que pueda completarse. Algunos son e
nataques
y-out, huelga y desaparecen, muy simples que son no ms..., bueno,
slo solicitarlo.
Tienes que tipo de desarrollar el instinto del ingeniero social, hacerse una ide
a de cmo
Cooperativa la persona en el otro extremo va a estar con ustedes. Esta vez me
toc con una dama agradable y til. En una sola llamada telefnica, tuve la direccin
y nmero de telfono. Misin cumplida.
Analizando el timo
Ciertamente Janie saba que la informacin del cliente es sensible. Ella sera
nunca discutir cuenta de un cliente a otro cliente, o dar
informacin privada al pblico.
Pero, naturalmente, para la persona que llama desde dentro de la empresa, aplica
n reglas diferentes. Para compaero empleado es todo acerca de ser un jugador de e
quipo y ayudando a cada otro obtener el
trabajo realizado. El hombre de facturacin podra se buscaron los detalles a s mismo
si su
equipo hubiera sido abajo con un virus, y ella estaba contenta de poder ayudar a
una cotrabajador.
Arte construido gradualmente a la informacin clave que l estaba realmente despus, p
idiendo
preguntas en el camino las cosas realmente necesit, tales como la
nmero de cuenta. Pero al mismo tiempo, la cuenta nmero informacin
proporciona un respaldo: si el empleado se haba convertido en sospechoso, llamara
unti esmegpuondo
y una mejor oportunidad de xito, porque conociendo la cuenta nmero
le hara sonido ms autntico a la dependienta siguiente lleg.
Nunca se ocurri Janie que alguien realmente podra mentir sobre algunos
cosa como esta, que la llamada no puede ser realmente desde el departamento de f
acturacin
todos. Por supuesto, la culpa no encuentran a los pies de Janie. Ella no era ver
sada en la
la regla sobre asegurndose de que usted sabe que usted est hablando antes de exami
nar
informacin en el archivo del cliente. Nunca nadie haba dicho sobre el peligro de u

n
llamada telefnica como el de arte. No era en la poltica de la empresa, no era part
e
de su formacin, y nunca haba mencionado su supervisor.
PREVENIR LA CON
Un punto para incluir en su formacin en seguridad: slo porque sabe un llamador o v
isitante
los nombres de algunas personas en la empresa, o conoce algunas de la jerga corp
orativa
o procedimientos, no significa que l es quien dice ser. Y definitivamente no
establecer le alguien autorizado para dar informacin interna o el acceso a
su sistema informtico o red.
Necesidades de formacin de seguridad destacar: en caso de duda, verificar, compro
bar, verificar.
En pocas anteriores, el acceso a la informacin dentro de una empresa fue una marca
de rango y
privilegio. Los trabajadores avivado los hornos, corri las mquinas, ha escrito las
letras, y
present los informes. El capataz o jefe les dijo qu hacer, cundo y cmo. Se
fue el capataz o jefe que saba cmo muchos widgets cada trabajador debe ser
producir un cambio, cuntos y en qu colores y tamaos de la fbrica es necesaria
para activar esta semana, la prxima semana y a finales de mes.
Los trabajadores manejan mquinas y herramientas y materiales y jefes manejadas
informacin. Los trabajadores necesarios slo la informacin especfica de sus puestos d
e trabajo especficos.
La imagen es un poco diferente hoy, no? Muchos trabajadores de la fbrica utilizan
algunos
formulario de equipo o mquina impulsada por el equipo. Una gran parte de la fuerz
a de trabajo,
informacin crtica se empuja hacia abajo a los escritorios de los usuarios para que
pueda cumplir con
la responsabilidad de hacer su trabajo. En el entorno actual, casi
todo lo hacen empleados implica el manejo de la informacin.
Es por eso la poltica de seguridad de una empresa debe ser distribuido toda la em
presa,
independientemente de la posicin. Todo el mundo debe entender que no es slo de los
jefes y
ejecutivos que tienen la informacin de que un atacante podra ser despus. Hoy,
los trabajadores en todos los niveles, incluso aquellos que no usar una computad
ora, son susceptibles dirigidos. El recin contratado representante en el grupo de
servicio al cliente puede ser slo los dbiles
enlace que rompe un ingeniero social para lograr su objetivo.
Formacin en seguridad y polticas de seguridad corporativas necesitan reforzar
enlace.
Captulo 4
Fomento de la confianza
Algunas de estas historias podran llevarle a pensar que creo que todos en el nego
cio
es un completo idiota, listo, incluso ganas, regalan cada secreto en su
posesin. El ingeniero social sabe no es verdad. Por qu la ingeniera social
ataques tanto xito? No es porque las personas son estpidas o falta de sentido comn.
Pero, como seres humanos todos somos vulnerables a ser engaados porque la gente p
uede
ha extraviado su confianza si manipulado en ciertas maneras.
El ingeniero social anticipa sospecha y resistencia, y siempre est dispuesto
para activar la desconfianza en confianza. Un buen ingeniero social planea su at
aque como un ajedrez
juego, anticipando las preguntas podra pedir su destino para que l pueda estar lis
to con el
respuestas adecuadas.

Una de sus tcnicas comunes implica construir un sentimiento de confianza por part
e de
sus vctimas. Cmo hace un estafador que le confa en l? Confa en m, l puede.
CONFIANZA: LA CLAVE DEL ENGAO
Ms un ingeniero social puede hacer que su contacto parece negocio como de costumb
re, la
ms l disipa sospecha. Cuando las personas no tienen una razn para sospechar, tiene
fcil para un ingeniero social ganar su confianza.
Una vez que tiene su confianza, se baja el puente levadizo y la puerta del casti
llo iniciada
abrir por lo que puede entrar y tomar toda la informacin que quiere.
NOTA
Puede que observe que me refiero a los ingenieros sociales, telfono phreaks y con
juego
operadores como \"l\" a travs de la mayora de estas historias. Esto no es chauvinis
mo; es simplemente
refleja la verdad que la mayora de los profesionales en estos campos son hombres.
Pero aunque hay
no muchas mujeres ingenieros sociales, el nmero est creciendo. Hay suficiente
mujeres ingenieros sociales por ah que usted no debera bajar su guardia slo
porque se oye la voz de la mujer. De hecho, los ingenieros sociales femeninos ti
enen una
clara ventaja porque pueden utilizar su sexualidad para obtener cooperacin.
Encontrar un pequeo nmero de los llamados sexo suave representado en estas pginas
La primera llamada: Andrea Lopez
Andrea Lopez contest el telfono en la tienda de alquiler de video donde trabajaba,
y en un momento estaba sonriendo: siempre es un placer cuando un cliente tiene l
a
problemas para decir que l est feliz acerca del servicio. Este llamador dijo que h
aba tenido una muy
buena experiencia con la tienda y l queran enviar el administrador de un
Carta sobre ella.
Pregunt por el nombre del administrador y la direccin de correo, y ella le dijo qu
e era
Tommy Allison y le dio la direccin. Como l se acerca para colgar, tuvo
otra idea y dijo: \"podra escribir en su sede de la empresa, tambin.
Cul es su nmero de tienda?\" Ella le dio esa informacin. Dijo
Gracias, aadi algo agradable sobre cmo ayuda haba sido y dijo
Adis.
There was an error deserializing the object of type System.String. Encountered u
nexpected character 's'.
lindo sera si gente haca ms a menudo.\"
La segunda llamada: Ginny
Gracias por llamar a Video Studio. Se trata de Ginny, cmo puedo ayudarle?
There was an error deserializing the object of type System.String. The token 'tr
ue' was expected but found cada semana, ms o menos. \"Es Tommy Allison, Gerente d
el Parque forestal, tienda 863. Nos
tiene un cliente aqu que quiere alquilar 5 Rocky y estamos todos de copias.
Puede usted comprobar en qu tienes?\"
Ella volvi en la lnea despus de unos momentos y dijo: \"s, tenemos
tres copias\".
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements ayuda de nuestra tienda, acabo de llamar y pregunt
ar por Tommy. Alegrar hacer todo posible
para usted.\"
Tres o cuatro veces durante el prximo par de semanas, Ginny recibi llamadas de Tom
my
para obtener ayuda acerca de una cosa u otra. Eran aparentemente legtimas peticio
nes, y
siempre fue muy amable sin sonar como estaba tratando de llegar a

su. Fue un poco chatty en el camino, as como - \"te enteraste el grande


fuego en Oak Park? Manojo de calles cerradas por all\"y similares. Las llamadas fu
eron
un poco descanso de la rutina del da y Ginny siempre alegr or desde
l.
Un da Tommy llamado sonda subrayado. Pregunt, \"chicos llevan
tiene problemas con sus equipos?\"
There was an error deserializing the object of type System.String. Encountered u
nexpected character There was an error deserializing the object of type System.S
tring. Unexpected end of file. Following reparador dice que todo parte de la ciu
dad perder sus telfonos e Internet
conexin hasta consiguen esto fijo. \"
Oh, no. Fue herido el hombre?
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements un cliente suyo aqu que quiere alquilar el Padrino
II y no tiene su
tarjeta con l. Puede comprobar su informacin para m?\"
S, seguro.
Tommy dio nombre y direccin del cliente, y Ginny lo encontr en el
equipo. Ella dio a Tommy el nmero de cuenta.
There was an error deserializing the object of type System.String. Encountered u
nexpected character Nada que mostrar.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following base de datos ms tarde cuando los equipos volver. Y l quiere
poner
este cargo en la tarjeta Visa usa en tu tienda, y l no lo tiene con l.
Qu es la tarjeta nmero y fecha de vencimiento?\"
Le dio a l, junto con la fecha de caducidad. Tommy dijo: \"Hey, gracias por
la ayuda. Hablar con usted pronto,\"y colgado arriba.
Historia de Doyle Lonnegan
Lonnegan no es un joven que desea encontrar esperando al abrir
la puerta delantera. Un hombre de la coleccin una sola vez por deudas de juegos m
alas, l sigue
un favor ocasional, si no ponerlo fuera mucho. En este caso, fue
ofrece un paquete considerable de dinero en efectivo por poco ms de hacer algunas
llamadas telefnicas una tienda de video. Suena bastante fcil. Es slo que saba que n
inguno de sus \"clientes\"
Cmo ejecutar este con; que necesitaban a alguien con el talento de Lonnegan y sab
erCmo.
Personas no escriben cheques para cubrir sus apuestas cuando son mala suerte o e
stpido en el
Mesa de pker. Todo el mundo lo sabe. Por qu mantuvo estos amigos mos
jugando con un truco que no tiene verde fuera de la tabla? No preguntar. Tal vez
son un poco de luz en el departamento de IQ. Pero son amigos mos--lo que puede
hacer?
Este chico no tena el dinero, por lo que tomaron una verificacin. Pido! Debe de co
ndujo
l a un cajero, es lo que debe de hacer. Pero no, una verificacin. Para
$3.230.
Naturalmente, rebot. Qu cabra esperar? As que me llamen; puedo ayudar?
No cierro puertas en los nudillos de las personas ms. Adems, hay mejores maneras
hoy en da. Les dije, 30 por ciento de Comisin, que quisiera ver qu poda hacer. Por l
o tanto se
me da su nombre y direccin, y subir en el equipo para ver lo que tiene el
videoclub ms cercano a l. Yo no estaba en un gran apuro. Llamadas a acogedora hast
a cuatro telefnicas
el Gerente de la tienda y luego, bingo, I've got nmero de tarjeta Visa de trampos
o.
Otro amigo mo es propietario de un bar de topless. Cincuenta de los Bucks, puso p

oker de guy
dinero a travs de un encargado de Visa desde la barra. Explico el truco que a su
esposa. Cree que l podra intentar contar Visa no es su cargo? Se equivoca. l
sabe que sabemos quien es. Y si pudimos conseguir su nmero de Visa, l te figura no
s
se puede obtener mucho ms aparte. Sin preocupaciones en este sentido.
Analizando el timo
Llamadas iniciales de Tommy a Ginny eran simplemente construir confianza. Cuando
lleg el momento para
el ataque, ella dejarla guardia Tommy abajo y aceptado para que l
afirm que, el administrador en otra tienda de la cadena.
Y por qu no ella aceptarlo--ella ya lo saba. Slo le haba conocido
por telfono, por supuesto, pero haban establecido una amistad de negocios que
es la base para la confianza. Una vez ella lo haba aceptado como una figura de au
toridad, un administrador
en la misma empresa, se haba establecida la confianza y el resto fue un paseo en
la
Parque.
MENSAJE DE MITNICK
La tcnica de picadura de confianza es uno de lo social ms eficaz
tcticas de ingeniera. Tienes que pensar si realmente sabes la persona eres
hablando. En algunos casos raros, la persona no sea quien dice ser.
En consecuencia, todos tenemos que aprender a observar, pensar y cuestionar la a
utoridad.
VARIACIN SOBRE UN TEMA: CAPTURA DE TARJETA
Construir un sentido de confianza no necesariamente exige una serie de llamadas
telefnicas con
la vctima, como sugiere el artculo anterior. Recuerdo un incidente que fue testigo
de
en cinco minutos fue todo que lo llev.
Sorpresa, pap
Una vez me sent en una mesa en un restaurante con Enrique y su padre. En el curso
de
conversacin, Henry rega a su padre para dar su nmero de tarjeta de crdito como si
se tratara de su nmero de telfono. \"Seguro, tienes que darle el nmero de su tarjet
a cuando usted
\"comprar algo, dijo. \"Pero dando a un almacn que archivos tu nmero en su
Records - es tonto real.\"
El nico lugar que hago en Video de estudio,\"Sr. Conklin dijo, la misma denominac
in
cadena de tiendas de vdeo. \"Pero voy en mi factura de Visa cada mes. Si ha inici
ado
ejecucin de gastos, que lo s.
\"Seguro, dijo Henry,\"pero una vez que tengan su nmero, es muy fcil para alguien
que
roban\"
Te refieres a un empleado torcido\".
No, nadie - no slo un empleado. \"
\"Est hablando a travs de su sombrero, dijo el Sr. Conklin.
Puedo llamar ahora y que me diga su nmero de Visa,\"Henry disparo
Atrs.
No, no, \"dijo su padre.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements la tabla\".
Sr. Conklin pareca apretado alrededor de los ojos, la mirada de alguien sintindose
seguro de
S, pero no querer mostrarlo. \"Digo que no sabes que est hablando
acerca de,\"l corteza, sacar su billetera y bofetadas billete de cincuenta dlares
en la
tabla. \"Si puedes hacer lo que dices, que

tuyo.
There was an error deserializing the object of type System.String. Encountered u
nexpected character Sac su telfono celular, pregunt qu rama us y llam a su padre
Asistencia de directorio para el nmero de telfono, as como el nmero de la tienda en
cerca de Sherman Oaks.
Entonces llam a la tienda de Sherman Oaks. Con prcticamente el mismo enfoque
se describe en el artculo anterior, rpidamente obtuvo el nombre del administrador
y la tienda
nmero.
Entonces llam a la tienda donde su padre tena una cuenta. l sac el viejo
suplantar la-administrador de truco, segn su propia y dando el nombre del adminis
trador
el nmero de almacn que slo haba obtenido. Luego utiliz el mismo truco: There wTaus an
error deserializing equipos trabajando bien? Nuestra han estado arriba y abajo\"
. Escuchaba su respuesta
y luego dijo, \"pues mira, yo tengo uno de sus clientes aqu que quiere alquilar
un video, pero nuestros equipos estn ahora hacia abajo. Te necesito para buscar e
l
cliente cuenta y asegrese de que l es un cliente en su rama. \"
Henry le dio el nombre de su padre. A continuacin, utilizando slo una ligera varia
cin en
tcnica, hizo la solicitud para leer la informacin de la cuenta: direccin,
nmero de telfono y fecha de que la cuenta fue abierta. Y entonces dijo: \"Hey, esc
ucha,
Estoy levantando de una larga lnea de clientes aqu. Cul es el nmero de tarjeta de crdi
to y
fecha de caducidad?\"
Henry celebr el telfono celular a su oreja con una mano mientras que escribi sobre
un
servilleta de papel con la otra. Como termin la llamada, l desliz la servilleta en
frente a su padre, quien Mir con la boca abierta de suspensin. El pobrecito a
pareca totalmente sorprendido, como si slo hubiera salido todo su sistema de caobn
afjoianzael
drenaje.
Analizando el timo
Pensar en su propia actitud cuando alguien que no conoces te pide para
algo. Si un extrao cutre llega a tu puerta, no es probable que le
en; Si un extrao llega a su puerta bien vestidos, zapatos brill, cabello perfecto,
con forma amable y una sonrisa, es probable que sea mucho menos sospechosos. Tal
vez
realmente es Jason desde las pelculas de viernes 13, pero que ests dispuesto a com
enzar
confiar en esa persona mientras l se ve normal y no tiene un cuchillo
su mano.
Lo que es menos obvio es que juzgamos personas por telfono de la misma manera. Ha
ce
Este sonido de persona como l est tratando de venderme algo? l es amable y
saliente o presiento algn tipo de hostilidad o presin? l o ella tiene el
discurso de una persona educada? Nosotros juzgar estas cosas y tal vez una docena
a los dems
inconscientemente, en un instante, a menudo en los primeros momentos de la conve
rsacin.
MENSAJE DE MITNICK
Es naturaleza humana pensar que es poco probable que usted est siendo engaado en c
ualquier particular
transaccin, por lo menos hasta que haya alguna razn para creer lo contrario. Nos p
esan
los riesgos y, a continuacin, la mayor parte del tiempo, dar a la gente el benefi
cio de la duda. Es decir
el comportamiento natural de gente civilizada..., por lo menos civilizadas perso

nas que nunca han


sido estafado, manipulado o engaado por una gran cantidad de dinero.
Como los nios nuestros padres nos ensearon no a confiar en extraos. Quizs nos deberam
os todos escuchen
Este principio milenario en el trabajo de hoy.
En el trabajo, gente que pide de nosotros todo el tiempo. Tienes una direccin de c
orreo electrnico
para este chico? Dnde est la versin ms reciente de la lista de clientes? Quien tiene l
a
subcontratista en esta parte del proyecto? Por favor, enve la actualizacin ms recien
te del proyecto.
Necesito la nueva versin del cdigo fuente.
Y adivinen qu: a veces son personas que hacen esas peticiones su
personalmente no s, gente que trabaja por parte de la empresa, o
afirman que lo hacen. Pero si la informacin que dan, se retira, y parecen ser
en el saber (\"Marianne dijo...\";\"Es en el servidor de K-16... \"; \"... revis
in 26 de
los nuevo producto planes\"), extendemos nuestro crculo de confianza para incluir
en ellos, y
alegremente darles lo que est pidiendo.
Sin duda, nos podemos tropezar un poco, preguntarnos \"por qu alguien el
Planta de Dallas necesita ver los nuevos planes de producto?\"o\"podra duele nada
dar el nombre del servidor es\"? As que pedimos otra pregunta o dos. Si la
respuestas aparecen razonables y forma de la persona es tranquilizador, dejamos
abajo
nuestra guardia, retorno a nuestra inclinacin natural a confiar en nuestro colega
hombre o mujer, y
hacer (con razn) lo que nos estamos les pide que hagan.
Y no creo que por un momento que el atacante slo tendr como objetivo las personas
' ho utilizar
sistemas de informticos de la empresa. Qu pasa con el to en la sala de correo? \"Vas
a hacer
me un favor rpido? Colocar esto en la valija de correo intra empresa?\" El correo
empleado de la sala sabe que contiene un disco con un programita especial para l
a
Secretario del CEO? Ahora ese atacante obtiene su propia copia personal del CEO
Correo electrnico. WoW! Puede realmente ocurre en su empresa? La respuesta es,
absolutamente.
EL CELULAR DE UNO CIENTO
Muchas personas miran a su alrededor hasta la); encontrar un mejor trato; los in
genieros sociales no mirar
para un mejor trato, encuentran una manera de hacer un trato mejor. Por ejemplo,
a veces un
empresa lanza una campaa de marketing que es por lo que difcilmente puede llevar a
pasarlo
arriba, mientras que el ingeniero social analiza la oferta y se pregunta cmo pued
e endulzar
el acuerdo.
No hace mucho tiempo, una empresa inalmbrica nacional tuvo una importante promocin
en marcha
ofreciendo un flamante telfono para un cntimo cuando te registrado en uno de sus
planes de llamadas.
Como muchas personas han descubierto demasiado tarde, hay una buena muchas pregu
ntas una
comprador prudente debe preguntar antes de inscribirse en un plan de llamadas de
celular
Si el servicio es analgico, digital o una combinacin; el nmero de en cualquier mome
nto
minutos que se puede utilizar en un mes; Si se incluyen tarifas de itinerancia..
y,

y sucesivamente. Especialmente importante comprender desde el principio es el trm


ino del contrato compromiso--cuntos meses o aos tendr que comprometerse a?
Imagen de un ingeniero social en Filadelfia que se siente atrada por un modelo de
telfono barato
ofrecidos por una compaa de telfono celular en suscripcin, pero odia el llamado plan
que
va con l. No es un problema. Esta es una forma que podra manejar la situacin.
La primera llamada: Ted
En primer lugar, el ingeniero social marca una cadena de tiendas de electrnica en
Occidente Girard.
Ciudad de electrones. Esta es Ted.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements acerca de un telfono celular. Dijo que sera llamarlo
cuando me decid por el plan que buscaba,
y me olvid de su nombre. Quin es el chico que trabaja en ese departamento en la noc
he
cambio?
Hay ms de uno. Fue William?
There was an error deserializing the object of type System.String. Encountered u
nexpected character '\"'.
flaco.\"
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following Hadley. H--UNA--D--L--E--Y.
S, eso suena bien. Cuando l va a estar?
No s su agenda esta semana, pero el pueblo de noche viene en unas cinco.
Buena. Lo probar esta noche, entonces. Gracias, Ted.
La segunda llamada: Katie
La siguiente llamada es una tienda de la misma cadena en North Broad Street.
Hola, ciudad de electrones. Katie hablando, cmo puedo yo ayudarte?
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following hoy en da?\"
Algo lento, qu pasa?
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following conocer el uno que me refiero?\"
Derecho. He vendido un par de esos la semana pasada.
Todava tiene algunos de los telfonos que van con ese plan?
Tengo una pila de ellos.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following l hasta en el contrato. Revis el inventario maldito y no tene
mos ninguna
telfonos de izquierda. Estoy tan avergonzada. Me pueden hacer un favor? Lo envo le
sobre a
tu tienda para recoger un telfono. Le Vendemos el telfono para un cntimo y escribir
l hasta un recibo? Y supone que me llaman una vez lo tiene el telfono
puede hablar le a travs de cmo el programa de TI\".
S, seguro. Le enviara ms.
Esta bien. Su nombre es Ted. Ted Yancy.
Cuando el chico que se llama a s mismo Ted Yancy se muestra en la
Tienda de North Broad St., Katie redacta una factura y le vende
el telfono celular de un cntimo, tal como ella haba pedida al hacer
por su \"trabajador co\". Ella cay el con anzuelo, line, y sedal.
Cuando es el momento de pagar, el cliente no tiene ningn centavos en su bolsillo,
de tan l
alcanza en el plato pequeo de peniques al mostrador del cajero, toma uno, y
le da a la nia en el registro. Llega el telfono sin pagar siquiera una
ciento para ella.
A continuacin, es libre para ir a otra empresa inalmbrica que utiliza el mismo mod
elo de
telfono y seleccionar cualquier plan de servicio que le gusta. Preferiblemente un
o en un mes a mes

base, sin ningn compromiso requerido.


Analizando el timo
Su natural para las personas a tener un mayor grado de aceptacin para cualquier p
ersona que
pretende ser un empleado de sus compaero, y quien sabe procedimientos de la empre
sa, d lingo.
El ingeniero social en esta historia aprovech por encontrar los detalles
de una promocin, identificndose como una empresa
empleado y pidiendo un favor de otra sucursal. Esto sucede
entre ramas de tiendas y servicios en una empresa, la gente
estn fsicamente separados y lidiar con compaeros de trabajo tienen realmente nunca
conoci el da y da.
PIRATERA EN LA FEDS
Personas a menudo no se detenga a pensar acerca de qu materiales est haciendo su o
rganizacin
disponible en la Web. Para mi show semanal sobre KFI Talk Radio en Los Angeles,
el productor hizo una bsqueda en lnea y encontr una copia de un manual de instrucci
ones para
acceso a la base de datos del Centro Nacional de informacin de la delincuencia. Ms
tarde se encontr con
el manual NCIC real s en lnea, un documento confidencial que da todos los
instrucciones para recuperar la informacin de base de datos nacional de crimen de
l FBI.
El manual es un manual para los organismos encargados de hacer cumplir la ley qu
e da el formato
y cdigos para recuperar informacin sobre delincuentes y delitos de la nacional
base de datos. Pueden buscar en la misma base de datos para agencias de todo el
pas
informacin para ayudar a resolver crmenes en su propia jurisdiccin. El manual conti
ene
los cdigos utilizados en la base de datos para la designacin de todo, desde difere
ntes tipos de
Tatuajes, para cascos de barcos diferentes, a denominaciones de dinero robado y
bonos.
Cualquier persona con acceso al manual puede buscar la sintaxis y los comandos p
ara
extraer informacin de la base de datos nacional. A continuacin, siguiendo las inst
rucciones de
la Gua de procedimientos, con un poco nerviosas, nadie puede extraer informacin de
la
base de datos. El manual tambin ofrece nmeros de telfono para pedir apoyo en utiliz
ando el
sistema. Puede haber manuales similares en su empresa ofrece cdigos de producto
o cdigos para recuperar informacin confidencial.
El FBI casi ciertamente nunca ha descubierto que su manual confidencial y
instrucciones de procedimiento estn disponibles para cualquier persona en lnea, y
no creo que sean
muy contentos si saban. Una copia fue publicada por un Gobierno
Departamento en Oregn, el otro por una agencia policial en Texas. Por qu? En
cada caso, alguien probablemente consideraba la informacin sin valor y
registrarlo, no poda hacer ningn dao. Tal vez alguien publicado en su intranet slo
como una conveniencia a sus propios empleados, nunca darse cuenta de que se hizo
la
informacin disponible para todos en Internet que tiene acceso a una buena bsqueda
motor como Google - incluyendo el justo-llanura-curioso, la CP wannabe, el
hacker y el jefe de la delincuencia organizada.
Aprovechando el sistema
El principio de utilizar esa informacin para engaar a alguien en el Gobierno o una
configuracin de negocios es la misma: porque un ingeniero social sabe cmo tener ac
ceso a

bases de datos especficas o aplicaciones, o sabe los nombres de equipo de la empr


esa
servidores o similares, gana credibilidad. Credibilidad lleva a confiar. Una vez
social
Ingeniero tiene esos cdigos, obtener la informacin que necesita
es un proceso fcil. En este ejemplo, puede comenzar por llamar a un empleado en u
n local
Oficina de teletipo de polica del Estado y una pregunta acerca de uno de los cdigo
s en la
manual - por ejemplo, el cdigo de la ofensa. Podra decir algo como, \"cuando lo ha
go
una investigacin OFF en el NCIC, estoy recibiendo un \"sistema est inactivo ' erro
r. Eres
obtener lo mismo cuando haces un OFF? Usted probarlo para m?\" O
tal vez dira que estaba tratando de buscar una wpf - polica habla de una persona b
uscada
archivo.
El empleado de teletipo en el otro extremo del telfono sera recoger el taco
que el llamador estaba familiarizado con los procedimientos operativos y los com
andos para
consulta la base de datos NCIC. Quien mas que alguien capacitado en utilizando N
CIC
Quisiera saber estos procedimientos?
Despus de que el empleado ha confirmado que su sistema est funcionando muy bien, l
a conversacin
puede pasar algo como esto:
There was an error deserializing the object of type System.String. Encountered u
nexpected character Necesito hacer un comando OFF Reardon, Martin. DOB 10118\/66
.
There was an error deserializing the object of type System.String. Encountered u
nexpected character '('.
nmero de seguridad social como la sosh.)
700-14-7435.
Despus de mirar para el anuncio, ella podra volver con algo parecido,
Tiene un 2602.
El atacante slo tendra que mirar el NCIC en lnea para buscar el significado de
el nmero: el hombre tiene un caso de estafa en su registro.
Analizando el timo
Un ingeniero social logrado no parar durante un minuto para reflexionar sobre ma
neras de
irrumpir en la base de datos NCIC. Por qu debera l, cuando una simple llamada a su l
ocal
la polica de departamento y algunos hablar suave as suena convincente como una
informacin privilegiada, es todo lo que se tarda en obtener la informacin que quier
e? Y la prxima vez, llama a una agencia de polica diferente y utiliza el mismo pre
texto.
JERGA
SOSH: Argot de aplicacin de ley para un nmero de seguridad social
Usted podra preguntarse, no es riesgoso para llamar a un departamento de polica de
la estacin del alguacil, una Oficina de la patrulla de carreteras? No el atacante
corre un gran riesgo?
La respuesta es no... y por una razn especfica. Como la gente en hacer cumplir ley
-miento,
las personas en las fuerzas armadas, han arraigado en ellos desde el primer da en
la Academia un
respeto de rango. Como el ingeniero social est hacindose pasar por un sargento o
Teniente--un rango superior de la persona est hablando - ser la vctima
regir esa leccin well-learned que dice que no cuestionar las personas
en una posicin de autoridad sobre usted. Rango, en otras palabras, tiene sus priv
ilegios, en

particular el privilegio de no ser desmentidos por personas de rango inferior.


Pero no creo que la aplicacin de la ley y los militares son los nicos lugares dond
e esto
el respeto de rango puede ser aprovechada por el ingeniero social. A menudo los
ingenieros sociales
utilizar la autoridad o rango en la jerarqua corporativa como un arma en sus ataq
ues contra
las empresas - como un nmero de las historias de estas pginas demuestran.
PREVENIR LA CON
Cules son algunos pasos que su organizacin puede tomar para reducir la probabilidad
de que
los ingenieros sociales aprovechar para confiar en el instinto natural de sus emp
leados
las personas? Aqu tiene algunas sugerencias.
Proteger a sus clientes
En esta era electrnica, muchas empresas que venden al consumidor mantn las tarjeta
s de crdito
en el archivo. Hay razones para ello: el cliente ahorra la molestia de tener que
proporcionar la informacin de tarjeta de crdito cada vez que visita la tienda o el
sitio Web para
realizar una compra. Sin embargo, la prctica debe ser desalentada.
Si debe mantener los nmeros de tarjeta de crdito en archivo, ese proceso debe ser
acompaado por las disposiciones de seguridad que van ms all de cifrado o mediante e
l acceso
control. Los empleados necesitan estar capacitados para reconocer estafas de ing
eniera social como
los que en este captulo. Ese empleado de compaero que nunca has conocido en person
a pero
no puede ser que se ha convertido en un amigo de Telefnica que pretende ser. l
no se puede tener la \"necesidad de conocer\" informacin confidencial de clientes
de acceso,
porque l no realmente funcionen para la empresa en absoluto.
MENSAJE DE MITNICK
Todos deben ser conscientes del modus operandi del ingeniero social: reunir como
mucha informacin sobre el destino de lo posible y utilizar esa informacin para obt
ener
confianza como un insider. A continuacin, ir a la yugular!
Confianza sabiamente
No es slo las personas que tienen acceso a informacin confidencial claramente - el
ingenieros de software, la gente en r
defensivo contra las intrusiones. Casi todos los miembros de su organizacin neces
itan capacitacin
para proteger a la empresa de espas industriales y ladrones de informacin.
Sentando las bases para ello debe comenzar con un estudio de toda la empresa
los activos de informacin, mirando por separado cada sensible, crtica, o valioso,
y preguntando qu mtodos un atacante podra utilizar para comprometer los activos
mediante el uso de tcticas de ingeniera social. Caso de capacitacin para las person
as que
han confiado en el acceso a dicha informacin debe disearse alrededor de las respue
stas a
estas preguntas.
Cuando alguien que no conozco personalmente pide alguna informacin o material,
o le pide que realice alguna tarea en el equipo, tiene sus empleados preguntar
s algunos. preguntas. Si dio esta informacin a mi peor enemigo, podra
se utiliza para herir a m o a mi empresa? Entender completamente el potencial
efecto de los comandos que me pide para entrar en mi ordenador?
No queremos ir por la vida siendo sospechoso de cada nueva persona
encuentro. An ms confianza estamos, ms probable que la prxima social
Ingeniero en llegar a la ciudad ser capaz de engaarnos en renunciar a nuestra empr
esa

informacin propietaria.
Lo que pertenece en la Intranet?
Partes de la intranet pueden estar abiertas al mundo exterior, otras partes rest
riccin a
empleados. Cuidado de cmo est su empresa en la toma de informacin seguro
no est publicado sea accesible al pblico pretende protegerlo de? Cuando
es la ltima vez que alguien en su organizacin comprueba para ver si cualquier sens
ible
informacin sobre la intranet de su empresa sin darse cuenta se hicieron disponibl
e
a travs de las reas de acceso pblico del sitio Web?
Si su empresa ha implementado servidores proxy como intermediarios para proteger
la
empresa frente a amenazas de seguridad electrnica, han sido esos servidores compr
ueba
recientemente para asegurarse que estn configurados correctamente?
De hecho, nadie nunca comprob la seguridad de la intranet?
Captulo 5
Permtame ayudarle
Estamos todos agradecidos cuando nos estamos plagadas por un problema y alguien
con la
conocimiento, habilidad y voluntad viene ofreciendo a nosotros echar una mano. E
l
ingeniero social entiende y sabe cmo sacar provecho de ella.
Tambin sabe cmo plantear un problema para usted..., entonces te hacen agradecido c
uando l
resuelve el problema... y finalmente jugar en su gratitud para extraer algunas
informacin o un pequeo favor de usted que dejar su empresa (o tal vez
ustedes, individualmente) mucho peor para el encuentro. Y es no posible que nunc
a
saben que has perdido algo de valor. Aqu hay algunas formas tpicas que social
paso de ingenieros para \"ayudar\".
LA INTERRUPCIN DE LA RED
Da y hora: el lunes, 12 de febrero, 15:25
Lugar: Oficinas de construccin naval de estribor
La primera llamada: Tom Delay
Tom DeLay, tenedura de libros.
There was an error deserializing the object of type System.String. Unexpected en
d of file. solucionar un problema de red del equipo. Sabes si hay alguien en tu
Grupo ha estado teniendo problemas para mantenerse en lnea?\"
UH, no que i know de.
Y no tienes ningn problema usted mismo.
No, parece bien.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements importante nos avisa inmediatamente si pierde la c
onexin de red.\"
No suena bien. Cree que puede pasar?
Esperamos que no, pero llamaremos si, derecho?
Mejor creerlo.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following problema para usted...\"
Apuesta sera.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements Usted puede llegarme directamente si es necesario\
".
Sera genial. Adelante.
Es 555 867 5309.
555 867 5309. Entiendo. Oye, gracias. Cul era su nombre de nuevo?
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements conectado a. Echa un vistazo en tu equipo y ver si

hay una pegatina


en algn lugar dice algo as como \"Nmero de puerto\".
There was anN eorr, onro d veeseor inaaldizai ncgo mthoe eosboje. c\"t of type S
ystem.String. Unexpected end of file. Following Vale, entonces en el fondo del e
quipo, puede usted reconocer el cable de red.
S.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following enchufado.\"
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements cierre lo suficiente como para leerlo. Est bien - d
ice puerto 6 guin 47.\"
Bueno - es lo que tenamos le abajo como, simplemente haciendo seguro.
La segunda llamada: El chico de TI
Dos das ms tarde, una llamada vino a travs de operaciones de red de la misma empres
a
Centro.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following solucionar un problema de cableado. Te necesito para desact
ivar el puerto 6 47.\"
El chico de TI dijo que se hara en pocos minutos y para hacerles saber
cuando estaba listo para tenerlo activado.
La llamada tercera: Cmo obtener ayuda del enemigo
Aproximadamente una hora ms tarde, el chico que se llama a s mismo Eddie Martin fu
e comprando Circuit City cuando son su telfono celular. Comprueba el ID del llamad
or, vio que la llamada fue
de la empresa de construccin naval y se apresur a un lugar tranquilo antes de cont
estar.
Help Desk, Eddie.
Ah, bueno, Eddie. Tienes un eco, dnde ests?
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following There was an error deserializing the object of type System.
String. Unexpected end of file. Following me llam el otro da? Mi conexin de red baj j
usto como lo dijiste
podra y estoy un poco de pnico aqu.\"
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following cuidado de al final del da. Que bien?\"
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements para m?\"
Presionado cmo ests?
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements en media hora?\"
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following y ver si puedo abordarlo para usted.
Bueno, realmente aprecio que, Eddie.
La llamada cuarta: Gotcha!
Cuarenta y cinco minutos ms tarde...
Tom? Es Eddie. Seguir adelante y probar la conexin de red.
Despus de un par de momentos:
Ah, bueno, est trabajando. Eso es simplemente genial.
Bueno, contento que pude tener cuidado de para usted.
S, muchas gracias.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements algunos programas que oughta ejecutando. Eche un p
ar de minutos\".
Ahora no es el mejor momento.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following problema pasa\".
Bueno... Si es tan solo unos minutos.
Aqu es lo que haces...
Eddie tom entonces Tom a travs de los pasos de descargar una pequea aplicacin de un

Sitio Web. Despus haba descargado el programa, Eddie dijo Tom al hacer doble clic
en
. Trat, pero inform:
No est funcionando. No est haciendo nada.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following de la misma, podemos tratar otra vez.\" Y habl a Tom a travs
de los pasos de
eliminar el programa para que no se pudo recuperar.
Tiempo total transcurrido, doce minutos.
Historia del atacante
Bobby Wallace siempre pens que era ridculo cuando recogi un buen
asignacin como ste y su cliente pussyfooted alrededor de la treta, pero
pregunta obvia de por qu queran la informacin. En este caso slo poda
pensar en dos razones. Quizs representaban algn traje que estaba interesado en
compra la empresa de destino, Starboard naval y quera saber lo que
tipo de forma financiera estaban realmente en - especialmente todas las cosas de
l destino
que desee mantener oculto de un comprador potencial. O tal vez representaban
el dinero era de inversores que pensaban que haba algo sospechoso acerca de la fo
rma
ser manejados y quera averiguar si algunos de los ejecutivos tenan un caso
de mano en la cookie-jar.
Y tal vez su cliente tambin quera decirle que la verdadera razn porque, si
Bobby saba cmo valiosa la informacin era, probablemente desee ms dinero
para hacer el trabajo.
Hay muchas maneras de crack en los archivos ms secretos de la empresa. Bobby pas u
n
unos das dndole vueltas las opciones y haciendo un poco comprobar todo antes de qu
e l
se decidi por un plan. Se radic en que pidieron un enfoque especialmente
le gustaba, donde el objetivo est configurado para que el atacante le pide ayuda.
Para empezar, Bobby recogi un celular de $39.95 en una tienda de conveniencia. l
realiz una llamada al hombre haba elegido como su destino, pasar a s mismo como
desde la empresa Atencin y configurar las cosas para que el hombre llamara de Bob
by
telfono celular cualquier momento encontr un problema con su conexin de red.
Dej una pausa de dos das para no ser demasiado obvio y luego hizo una llamada a
el centro de operaciones de red (NOC) de la empresa. Afirm que tena problemasTiro un problema para Tom, el destino y pidi tener red de Tom
conexin desactivada. Bobby saba que esto era la parte ms complicada del conjunto
Escapada - en muchas empresas, la labor de personas de mesa de ayuda estrechamen
te con el NOC;
de hecho, saba que la mesa de ayuda es a menudo parte de la organizacin de TI. Per
o el
indiferente NOC guy habl con consideran a la llamada de rutina, no ped la
nombre de la persona de mesa de ayuda que supuestamente estaba trabajando en la
creacin de redes
problema y acordados para desactivar el puerto de red de destino. Cuando haya te
rminado, Tom sera
totalmente aislados de la intranet de la empresa, no se puede recuperar archivos
desde el
servidor de archivos de intercambio con sus compaeros, Descargar su correo electrn
ico, o incluso enviar pgina de datos a la impresora. En el mundo de hoy, es como
vivir en una cueva.
Como Bobby se esperaba, no mucho antes de su telfono celular son. Por supuesto que
hizo
el propio sonido deseosos de ayudar a este pobre \"compaero empleado\" en apuros.
Entonces l
llamado el NOC y tuvo el hombre de la conexin de red tuvo que volver. Por ltimo,
llam al hombre y lo manipul nuevamente, esta vez hacindole sentir

culpable por haber dicho que no despus Bobby le haba hecho un favor. Tom accedi a l
a solicitud
que descargar una pieza de software en su equipo.
Por supuesto, accedi a no exactamente lo que pareca. El software que
Tom le dijo que mantendra su conexin de red de bajando, fue realmente un
Caballo de Troya, una aplicacin de software que hizo para el equipo de Tom lo que
la
engao original se hizo para los troyanos: trajo el enemigo dentro del campamento.
Tom
inform que nada ocurri cuando l hizo doble clic sobre el icono del software; el
hecho fue que, por diseo, l no poda ver nada sucede, aunque la
pequea aplicacin fue instalar un programa secreto que permitira el infiltrado
encubierta acceso a equipo de Tom.
Con el software que se ejecuta, Bobby se prest con control completo sobre
Equipo de Tom, un acuerdo conocido como un shell de comandos remotos. Cuando
Bobby accede a equipo de Tom, l podra buscar archivos de contabilidad
podra ser de su inters y copiarlos. Luego, en su tiempo libre, l podra examinarlas p
ara
la informacin que dara a sus clientes lo que estaban buscando.
JERGA
CABALLO de Troya: Un programa que contiene cdigo malicioso o daino, diseado para
daar el equipo o los archivos de la vctima, u obtener informacin de la vctima
equipo o red. Algunos troyanos estn diseados para ocultar dentro de la computadora
sistema operativo y espa en cada pulsacin de tecla o accin, o aceptar instrucciones
sobre
una conexin de red para realizar alguna funcin, todo esto sin la vctima siendo
consciente de su presencia.
Y no era todo. Podra volver en cualquier momento para buscar a travs del correo el
ectrnico
mensajes y notas privadas de ejecutivos de la compaa, un texto de bsqueda
palabras podra revelar cualquier cositas interesantes de informacin.
Tarde en la noche que estaf a su destino en instalar el caballo de Troya
software, Bobby lanz el telfono mvil en un contenedor de basura. Por supuesto tuvo
cuidado
para borrar la memoria primero y extraiga la batera antes de l, arroj el ltimo
lo que quera era alguien que llame al nmero del telfono celular por error y
tiene el timbre de inicio de telfono!
Analizando el timo
El atacante gira una web para convencer el destino que tiene un problema que, de
hecho,
realmente no existe - o, como en este caso, un problema que no ha sucedido an, pe
ro
que el atacante sabe suceder porque l va a causar. l entonces
se presenta a s mismo como la pQeursionn a puede proporclioan arsolucin.
La instalacin de este tipo de ataque es particularmente jugosa para el atacante:
Debido a la semilla plantada por adelantado, cuando el destino descubre que tien
e
un problema, l mismo hace la llamada telefnica para pedir ayuda. El atacante
slo se sienta y espera a que el telfono suena, una tctica conocida cariosamente en e
l mercado
como ingeniera social inversa. Un atacante puede hacer que el destino le llaman
Gana credibilidad instantnea: si hacer una llamada a alguien creo que est en la me
sa de ayuda,
No voy a empezar pidindole que probar su identidad. Es entonces cuando el atacant
e
ha hecho.
JERGA
SHELL de comando remoto: Una interfaz no grfica que acepta texto
base de comandos para realizar ciertas funciones o ejecutar programas. Un atacan
te que

aprovecha las vulnerabilidades tcnicas o es capaz de instalar un programa caballo


de Troya en
el equipo de vctimas puede ser capaz de obtener acceso remoto a un shell de coman
dos
Ingeniera SOCIAL inversa: Un ataque de ingeniera social en la que la
atacante configura una situacin donde la vctima encuentra con un problema y contac
tos
el atacante para obtener ayuda. Otra forma de ingeniera social inversa convierte
las tablas
sobre el atacante. El destino reconoce el ataque y utiliza psicolgico
principios de influencia para extraer tanta informacin como sea posible de la
atacante que puede salvaguardar el negocio haba concentrado en activos.
MENSAJE DE MITNICK
Si un extrao no es un favor, y le pide un favor, no corresponder sin
pensar cuidadosamente sobre lo que l est pidiendo.
En una estafa como esta, intenta elegir un destino que es probable que el ingeni
ero social
tienen un limitado conocimiento de computadoras. Cuanto ms sabe, ms probable que
l obtendr sospechoso o figura simplemente fuera que l est siendo manipulada. Lo que
me
llaman a veces el trabajador desafiado por el equipo, que tiene menos conocimien
to
sobre tecnologa y procedimientos, es ms probable que cumplir. l es ms
probable que caen de una artimaa como \"Slo Descargar este pequeo programa,\" porqu
e l no tiene ningn
idea de los posibles daos que puede infligir un programa de software. Adems, hay
una posibilidad mucho ms pequea a comprender el valor de la informacin sobre la
red de informtica que est poniendo en riesgo.
UN POCO DE AYUDA PARA LA NUEVA GAL
Nuevos empleados son un destino maduro para los atacantes. Sin embargo, no saben
muchas personas
no saben los procedimientos o el correcto e incorrecto de la empresa. Y, en el
nombre de hacer una buena primera impresin, estn ansiosos por mostrar cmo cooperati
va y
rpida respuesta pueden ser.
Andrea til
Recursos humanos, Andrea Calhoun.
Andrea, Hola, esto es Alex, con la seguridad de la empresa.
S?
Cmo ests haciendo hoy?
Esta bien. Qu le puedo ayudar?
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following a algunas personas a probarlo la ronda. Quiero obtener el n
ombre y nmero de telfono
de las nuevas contrataciones el mes pasado. Me puedes ayudar con eso?\"
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following Cul es su extensin?
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements cuando estoy en mi Oficina, probablemente despus de
cuatro\".
Cuando Alex llama acerca de 4:30, Andrea tena la lista listo y le lee los nombres
y extensiones.
Un mensaje para Romero
Rosemary Morgan estaba encantada con su nuevo trabajo. Nunca haba trabajado para
una
revista antes y fue encontrar a la gente mucho ms amigable que ella esperaba, un
sorpresa debido a la incesante presin de la mayora del personal fue siempre bajo
para obtener otro tema terminado antes del plazo mensual. La llamada que recibi
un jueves por la maana volvi a confirmar esa impresin de amabilidad.
Es Rosemary Morgan?

S.
Hola, Romero. Bill Jorday, esto es con el grupo de seguridad de la informacin.
S?
Nadie de nuestro Departamento ha examinado las mejores prcticas de seguridad con u
sted?
No creo.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following en desde fuera de la empresa. Eso es porque no queremos nin
guna responsabilidad para
uso sin licencia del software. Y para evitar cualquier problema con el software
que podra
tiene un virus o un gusano\".
Esta bien.
Son conscientes de nuestras polticas de correo electrnico?
Lol
There was an error deserializing the object of type System.String. Encountered u
nexpected character '\"'.
Iniciar sesin bajo el nombre de usuario Rosemary?
No, es subrayado R Morgan.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements abrir cualquier archivo adjunto de correo electrnic
o que no est esperando. Obtener lotes de virus y gusanos
Enviado alrededor y vienen en los correos electrnicos que parecen ser de gente qu
e conoces. As que si
usted recibe un correo electrnico con un archivo adjunto que no estaban esperando
que debe siempre
Compruebe que la persona que aparece como remitente realmente le ha enviado el m
ensaje. Le
comprender?\"
S, he escuchado acerca de eso.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following Cundo ltima cambias tu contrasea?\"
Slo he estado aqu tres semanas; Sigo usando el uno que primero establecer.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following seguro que las personas estn utilizando contraseas que no son
demasiado fciles de adivinar. Est contrasea que est formada por letras y nmeros?\"
Lol
Tenemos que arreglar eso. Qu contrasea est usando ahora?\"
Es nombre de mi hija - Annette.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements basado en informacin familiar. Bueno, vamos a ver..
., que podra hacer lo mismo que hago.
Est bien utilizar lo que est utilizando ahora como la primera parte de la contrasea
, pero luego
cada vez que se modifique, agregue un nmero para el mes actual.\"
As que si hice eso ahora, para marzo, se utilizan tres, o AH-tres.
Depende de usted. Que estara ms cmodo con?
Supongo que Annette-tres.
Bellas. Desea que le muestre cmo hacer el cambio?
No, yo s cmo.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements en el equipo y es importantes mantenerlo actualiza
do. Usted no debe nunca
desactivar la actualizacin automtica, incluso si el equipo se ralentiza cada vez e
n un
al mismo tiempo. Okay?\"
Seguro.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following por lo tanto puede llamarnos si tienes problemas al equipo?
\"

Ella no. Le dio el nmero, ella escribi cuidadosamente y se volvi


para trabajar, una vez ms, se complace en lo bien cuidado de ella senta.
Analizando el timo
Esta historia refuerza un tema subyacente que encontrar a lo largo de este libro:
la
informacin ms comn que un ingeniero social quiere de un empleado,
independientemente de su objetivo final, es las credenciales de autenticacin del
destino. Con un
nombre y contrasea de cuenta en la mano de un nico empleado en el rea derecha del
la compaa, el atacante tiene lo que necesita acceder al interior y encontrar lo qu
e
informacin que es despus. Esta informacin es como encontrar las claves de la
Reino; con ellos en la mano, puede moverse libremente alrededor del paisaje corp
orativo
y encontrar el tesoro que se busca.
MENSAJE DE MITNICK
Antes de que nuevos empleados pueden acceder a los sistemas informticos de empres
a,
deben ser entrenados para seguir buenas prcticas de seguridad, especialmente las
polticas sobre
Nunca revele sus contraseas.
NO SEGURO COMO CREES
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following slo llanura negligente.\" Mucha gente estara de acuerdo con e
sa afirmacin. Y el
mundo sera un lugar mejor si la vida fuera tan obvio y tan simple. La verdad es
que incluso aquellas empresas que hacen un esfuerzo por protegen confidencial
informacin puede estar en grave peligro.
Aqu es una historia que ilustra una vez ms cmo las empresas engaar a s mismos cada
da en pensando en sus prcticas de seguridad, diseados por experimentados, competent
es,
profesionales, no puede eludirse.
Historia de Steve Cramer
No fue un gran csped, no uno de esos pliegos costosa clasificados. Obtuvo no
envidia. Y sin duda no era lo suficientemente grande como para darle una excusa
para comprar un sitabajo
mower, que estaba bien, porque l no habra utilizado uno de todas formas. Steve
disfrut de cortar el csped con un cortacspedes de mano porque tom ms tiempo y la
quehacer proporciona una conveniente excusa para centrarse en sus propios pensam
ientos en lugar de
escuchando a Anna contndole historias de la gente en el banco donde ella
trabajado o explicando recados para l. Las odiaba listas de miel-do que
se haba convertido en parte integrante de su fin de semana. Aunque brill su mente
que 12 Pete aos era joder listo para unirse al equipo de natacin. Ahora tendra que estar e
n
prctica o un encuentro cada sbado por lo que no quedas atascado con las tareas del
sbado.
Algunas personas podran pensar trabajo de Steve disear nuevos dispositivos para Ge
miniMed
Productos mdicos fue aburrido; Steve saba que l era salvar vidas. Steve pens
a s mismo como estar en una lnea creativa del trabajo. Artista, compositor, ingeni
ero - en
Vista de Steve corren el mismo tipo de desafo que hizo: crearon
algo que nadie haba hecho antes. Y su ms reciente, un Intrigantemente inteligente
nuevo tipo de stent de corazn, sera su logro enorgullezco an.
Era casi de 11:30 este sbado particular y Steve estaba molesto porque
haba casi termin cortando el csped y no haba hecho ningn progreso real en
averiguar cmo reducir el requerimiento de energa en el corazn de stent, el ltimo
hurdle restante. Un problema perfecto a mull sobre siega, pero ninguna solucin

haba llegado.
Anna apareci en la puerta, sus cabellos cubiertos en el pauelo rojo vaquero paisle
y ella
siempre llevaba al polvo. \"Llamada telefnica\", grit a l. \"Alguien de
trabajo.\"
There was an error deserializing the object of type System.String. Encountered u
nexpected character Ralph algo. Creo.
Ralph? Steve no poda recordar a nadie en GeminiMed llamado Ralph quien
podra llamar a un fin de semana. Pero Anna probablemente tena el nombre equivocado
.
There was an error deserializing the object of type System.String. Encountered u
nexpected character Anna obtener desde un nombre hispano a Ralph, preguntaba Ste
ve.
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'T'.
Pensamos que tal vez un gusano, y tenemos que limpiar las unidades y restaurar d
e copia de seguridad.
Deberamos poder tener funcionando por los archivos El mircoles o
Jueves. Si tenemos suerte.\"
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'S'.
encima. Cmo podran estas personas ser tan estpido? Realmente piensan que pudo
administrar sin acceso a sus archivos de fin de semana todos y la mayor parte de
la prxima semana? \"Voy a sentarse en mi casa terminal en slo dos horas y voy a ne
cesitar
acceso a Mis archivos. Yo hago esto claro?\"
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements Dio hasta mi fin de semana para venir y trabajar e
n ello y no es divertido tener
todo el mundo hablo para obtener cabreado me.\"
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following hecho esta tarde. Qu parte de esto no entiendes?\"
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'R'.
Qu decimos que tendrs tus archivos por el martes?
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'S'.
iba a llamar si l no poda conseguir su punto a travs del crneo grueso de este chico.
There was an error deserializing the object of type System.String. Encountered u
nexpected character molestia. \"Djame ver qu puedo hacer para que pueda ir. Utilic
e la RM22
servidor correcto?\"
RM22 y el GM16. Ambos.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following y la contrasea.\"
UH AH, Steve pens. Lo que est sucediendo aqu? Por qu l necesitara mi contrasea?
Por qu pedira de todas las personas, pues?
There was an error deserializing the object of type System.String. Encountered u
nexpected character '\"'.
Perez. Mira, te digo lo que, cuando fueron contratados, hubo una forma que tenas
que
Llene los datos para obtener su cuenta de usuario, y tenas que poner una contrasea
. He podido
Buscar y mostrar que tenemos en archivo aqu. Okay?\"
Steve ver que durante unos instantes, luego acordado. Colg con creciente
impaciencia mientras que Ramn fue para recuperar documentos de un archivador. Fin
almente
en el telfono, Steve poda orle arrastrndose a travs de una pila de documentos.
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'R'.

Steve pens. Es el nombre de su madre, y de hecho a veces haba utilizado como


una contrasea. l podra muy bien han presentado su contrasea al rellenar
con sus papeles de nuevo empleado.
There was an error deserializing the object of type System.String. Encountered u
nexpected character There was an error deserializing the object of type System.S
tring. Unexpected end oufs ofile. Following elements el acceso directo y obtener
copia de sus archivos con prisa, te re vas a tener a Ayuda me
aqu.\"
Mi ID es s, d, subrayado, cramer--c-r-a-m-e-r. La contrasea es 'pelcano 1.'
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'R'.
horas.\"
Steve termin el csped, almorz y por el tiempo que obtuvo su equipo encontr
que de hecho haban restauradas sus archivos. Complacido consigo mismo para manejo
que tio tan enrgicamente, y espera Anna haba odo cmo asertiva
l fue. Sera bueno darle el chico o su jefe un attaboy, pero l saba que
fue una de esas cosas que l nunca conseguira a hacerlo.
Historia de Craig Cogburne
Craig Cogburne haba sido un vendedor de una empresa de alta tecnologa y hecho bien
en
. Despus de un tiempo comenz a darse cuenta de que tena una habilidad para la lectu
ra de comprender que la persona era resistente y reconociendo
algunos debilidad o vulnerabilidad que hizo fcil cerrar la venta. Comenz a
pensar en otras formas de usar este talento, y la ruta eventualmente lo llev a un
a
campo mucho ms lucrativo: espionaje corporativo.
Esta fue una asignacin de caliente. No buscar que me lleve mucho tiempo y vale la
pena
suficiente para pagar un viaje a Hawaii. O tal vez Tahit.
El chico que me contrat, l no me diga al cliente, por supuesto, pero lo imagin que
algunas empresa que quera ponerse al da con la competencia en un rpido, grande,
salto fcil. Todo lo tengo que hacer es conseguir los diseos y productoEsspecificac
iones para un nuevo
Gadget llamado un stent de corazn, independientemente que fue. La empresa se llam
aba
GeminiMed. Nunca odo hablar de ella, pero fue un traje de Fortune 500 con oficina
s en la mitad
una docena de lugares - que hace el trabajo ms fcil que una pequea empresa donde
hay una oportunidad justa del chico que est hablando sabe al tio est reclamando se
r
y sabe que no eres l. Esto, como pilotos dicen acerca de una colisin en el aire, p
uede arruinar
todo el da.
Mi cliente me envi un fax, un poco de revista de algn mdico que dice GeminiMed
estaba trabajando en un stent con un radical nuevo diseo y seran llamados el algo
IO0. For crying out loud, algn reportero ya ha hecho un buen pedazo de la
Misin para m. Tuve una cosa necesitaba incluso antes de que me empec a, el nuevo
nombre del producto.
Primer problema: obtener los nombres de las personas en la empresa que trabajaba
en el algo-100
o que necesite ver los diseos. Por lo que he llamado al operador de panel de cont
rol y dijo, \"me
prometi una de las personas en su grupo de ingeniera que sera ponerse en contacto c
on l
y no recuerdo su apellido, pero su nombre comenz con una S.\" Y ella
dijo: \"tenemos un arquero Scott y un Sam Davidson\". Tom un tiro largo. \"Que
uno trabaja en el grupo de STH100?\" Ella no saba, as que eleg slo Scott Archer
al azar, y ella son su telfono.
Cuando contest, dije, \"bueno, esto es Mike, en la sala de correo. Tenemos un

FedEx aqu que es para el equipo del proyecto corazn algo Stent-100. Cualquier idea
que
debe ir a\"? Me dio el nombre del lder del proyecto, Jerry Mendel. Yo incluso
lo llev a buscar el nmero de telfono para m.
Llam. Mendel no estaba all, pero su mensaje de correo de voz dijo que estara de vac
aciones
hasta el siglo XIII, lo que significaba que tena otra semana para esquiar o lo qu
e sea,
y cualquiera que necesita algo entretanto debe llamar a Michelle en
9137. Muy til, estas personas. Muy til.
Colg y llamada a Michelle, le recibi en el telfono y dijo, \"este es Bill
Thomas. Jerry me dijo que debo llamarle cuando tuve el preparado especificacioqn
uees l
quera que los chicos en su equipo para revisar. Trabaja en el corazn stent, derech
o?\"
Dijo que eran.
Ahora estbamos tratando la parte sudorosa de la estafa. Si comenz a sonar
sospechosa, estaba listo para jugar la Carta sobre cmo slo intentaba
hacer un favor que Jerry me haba pedido. Dije, \"sistema que ests en?\"
El sistema?
Qu servidores de computadora utiliza su grupo?
There was an error deserializing the object of type System.String. Encountered u
nexpected character 's'.
y fue una pieza de informacin que pude obtener de ella sin hacerla
sospechosas. Que le suavizado para el siguiente bit, hecho tan casualmente como
pude
administrar. \"Jerry dijo que podra darme una lista de direcciones de correo elec
trnico para las personas equipo de desarrollo,\"dijo y haba celebrado mi aliento.
Seguro. La lista de distribucin es demasiado larga para leer, puedo yo lo le por c
orreo electrnico?
Perdn. Sera cualquier direccin de correo electrnico que no terminaron en GeminiMed.c
om
una enorme bandera roja. \"Qu fax a m?\" He dicho.
No tena ningn problema con ello.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements usted en un bit,\"dijo y colg.
Ahora, podra pensar estaba saddled con un pegajoso problema aqu, pero es slo
otro truco de rutina del comercio. Esper un rato para que mi voz no suena
familiar a la recepcionista, y luego la llam y dijo: \"Hola, es Bill Thomas, nues
tro fax
mquina no funciona aqu, puedo tener un fax enviado al equipo?\" Dijo
seguro y me dio el nmero.
Luego simplemente caminar en y recoger el fax, correcto? Por supuesto que no. Pri
mera regla: nunca
visita los locales a menos que usted debe absolutamente. Tienen un tiempo duro
te identificar si eres slo una voz en el telfono. Y si no se identifican
usted, ellos no pueden detener le. Es difcil poner esposas alrededor de una voz.
As que llam a
la recepcionista despus de un rato y le pregunt, lleg mi fax? \"S\",
ella dijo.
There was an error deserializing the object of type System.String. End element '
root' from namespace enviarla para m?\" Estuvo de acuerdo. Y por qu no--cmo podra cua
lquier recepcionista
espera reconocer datos confidenciales? Mientras ella envi el fax a la
There was an error deserializing the object of type System.String. End element '
root' from namespace '' expected. me uno con el signo por delante \"Faxes enviad
os\/Rcvd.\" Se supona que mi fax
llegar antes de que lo hice, y como se esperaba, estaba all esperndome cuando cami
naba en.
Seis pginas en $1.75. Para un proyecto de ley de $10 y cambio, tuve toda la lista

del grupo de
nombres y direcciones de correo electrnico.
Obtener dentro de
Est bien, as que tuve por ahora habl con tres o cuatro personas diferentes en slo un
as horas
y ya era un gigante paso a obtener dentro de equipos de la empresa.
Pero necesitara un par ms piezas antes de se casa.
Nmero uno fue el nmero de telfono para marcar en el servidor de ingeniera desde
fuera. Llam a GeminiMed otra vez y pidieron que el operador de panel de control
Departamento y pidi que el chico que contest a alguien que pudiera darme
alguna ayuda de equipo. Me pas, y pongo en un acto de confusin
y tipo de estpida sobre todo tcnica. \"Estoy en casa, slo compr un nuevo
porttil ya que deba configurarlo o puedo llamar desde fuera. \"
El procedimiento era obvio pero pacientemente le dejo me habla a travs de l hasta
que consigui
al nmero de telfono de acceso telefnico. Me dio el nmero como si fuera simplemente o
tro
rutina pieza de informacin. Entonces le hice esperar mientras lo prob. Perfecto.
As que ya me haba pasado el obstculo de la conexin a la red. Marcado en y
encontrados que fueron configurados con un servidor de terminal server que dejara
un llamador conectarse cualquier equipo de su red interna. Despus de un montn de
intentos me tropec
del alguien equipo que tena una cuenta de invitado con no se requiere contrasea. A
lgunos
sistemas operativos, cuando instal por primera vez, dirigir al usuario a configur
ar un ID y
contrasea, pero tambin proporcionar una cuenta de invitado. El usuario se supone p
ara establecer su
propia contrasea para la cuenta de invitado o desactivarlo, pero la mayora de la g
ente no sabe
sobre esto, o simplemente no se moleste. Probablemente slo fue establecido este s
istema y el
propietario no hubiera molestado a deshabilitar la cuenta invitado.
JERGA
PASSWOPRD HASH: Una cadena de galimatas que resulta del procesamiento de una
contrasea a travs de un proceso de cifrado unidireccional. El proceso es supuestam
ente
irreversible; es decir, su considera que no es posible reconstruir la contrasea
desde el hash
Gracias a la cuenta de invitado, ahora tuve acceso a una computadora, que result
que se est ejecutando una versin anterior del sistema operativo UNIX. En UNIX, el
sistema operativo mantiene un archivo de contrasea que el cifrado de con lluvias
contraseas de todo el mundo autorizado a acceder a ese equipo. El archivo de cont
raseas
contiene el hash unidireccional (es decir, una forma de cifrado que es irreversi
ble) de
contrasea de cada usuario. Con un sentido nico hash una contrasea actual como, diga
mos,
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'w'.
UNIX podra convertir a trece caracteres alfanumricos.
Cuando Billy Bob abajo el Saln quiere transferir archivos a un equipo, l ha
necesario para identificarse proporcionando un nombre de usuario y una contrasea.
El sistema
programa que\"comprueba su autorizacin cifra la contrasea entra y luego
compara el resultado con la contrasea cifrada (hash) contenido en el
archivo de contraseas; Si los dos coinciden, ha dado acceso.
Porque las contraseas en el archivo estaban cifradas, hizo el propio archivo
disponible para cualquier usuario sobre la teora de que no hay ninguna manera con
ocida para descifrar contraseas. Que es una carcajada - he descargado el archivo,

tuvo un ataque de diccionario sobre ella


(consulte el captulo 12 para obtener ms informacin acerca de este mtodo) y encontr qu
e uno de los el equipo de desarrollo, de un chico llamado Steven Cramer, tiene a
ctualmente una cuenta
en el equipo con la contrasea \"Janice.\" Slo en la oportunidad, trat de entrar
su cuenta con esa contrasea en uno de los servidores de desarrollo; Si tuviera
trabaj, se habra guardado me algn tiempo y un poco riesgo. No lo hizo.
Eso significaba que tendra que engaar al tio me dice su nombre de usuario y contra
sea.
Por eso, yo esperara hasta el fin de semana. 70 Ya sabes el resto. El sbado me
llamado Cramer y le cruzaron una artimaa sobre un gusano y los servidores
tener que restaurar desde la copia de seguridad para superar sus sospechas.
Qu pasa con la historia, le dije, uno sobre anuncio una contrasea cuando llen
con sus papeles de empleado? Estaba contando sobre l no recordar que nunca haba
sucedi. Un nuevo empleado rellena as muchas formas que, aos ms tarde, que
recuerda? Y de todos modos, si haba ponch con l, todava tena esa larga lista de
otros nombres.
Con su nombre de usuario y contrasea, me met en el servidor, pescan alrededor de u
n pequeo
mientras y, a continuacin, encuentra los archivos de diseo para algo-100. No estab
a exactamente seguro
cules eran la clave, por lo que simplemente transferir todos los archivos a un de
scenso muerto, un FTP sitio en China, donde podra almacenarse sin nadie recibiend
o sospechosas. Permiten
el cliente ordene a travs de la basura y encontrar lo que quiere.
JERGA
DROP DEAD un lugar para dejar informacin donde es improbable que se encuentran po
r
otros. En el mundo de los espas tradicionales, esto puede estar detrs de una piedr
a suelta en una
pared; en el mundo de los hackers de computadora, es comnmente un sitio de Intern
et un
pas remoto.
Analizando el timo
Para el hombre que estamos llamando Craig Cogburne, o alguien como l igualmente c
ualificados en
las Artes larcenous-pero-no-siempre-ilegal de la ingeniera social, el desafo
presentado aqu fue casi de rutina. Su objetivo era buscar y descargar archivos
almacenados en un equipo corporativo seguro, protegido por un cortafuegos y todo
s los habituales
tecnologas de seguridad.
La mayor parte de su obra fue tan fcil como la captura de agua de lluvia en un ba
rril. Comenz
hacindose pasar por alguien de la sala de correo y proporciona una mayor sensacin
de
urgencia diciendo que era un paquete de FedEx a la espera de ser entregado. Esto
engao producido el nombre del lder del equipo de la ingeniera de corazn-stent
Grupo, que estaba de vacaciones, pero - conveniente para cualquier ingeniero soc
ial tratando de
robar informacin - servicialmente haba abandonado el nombre y nmero de telfono de su
Asistente. Llamndola, Craig desactivadas las sospechas diciendo que estaba
respondiendo a una solicitud del lder del equipo. Con el lder del equipo fuera de
la ciudad,
Michelle no tena ninguna forma de comprobar su afirmacin. Ella acept como la verdad
y no tena
problema proporcionando una lista de personas en el grupo - por Craig, necesaria
y altamente
apreciado conjunto de informacin.
Ella incluso no llegar sospechosa cuando Craig quera la lista enviada por fax en
lugar de

por correo electrnico, normalmente es ms conveniente en ambos extremos. Por qu fue e


lla tan crdulos?
Como muchos empleados, quera que su jefe para volver al pueblo y encontrar tuvo
obstruida un llamador que estaba intentando hacer algo que el jefe le haba pedido
para. Adems, el llamador dijo que el jefe no slo autoriz la peticin, pero
pidieron su ayuda. Una vez ms, aqu es un ejemplo de alguien mostrando la
fuerte deseo de ser un jugador de equipo, que hace que las personas ms susceptibl
es a
engao.
Craig evita el riesgo de entrar fsicamente en el edificio simplemente por tener l
a
Fax enviado a la recepcionista, sabiendo que es probable que sea til. Recepcionis
tas
Despus de todo, son, generalmente elegidos por su personalidad encantadora y su c
apacidad de
hacer una buena impresin. Hacer pequeos favores como recibir un fax y enviarlo
por viene con el territorio de la recepcionista, un hecho que Craig fue capaz de
tomar
ventaja de. Lo que ella estaba terminando que pas a ser la informacin que podra
han planteado alarmas con nadie conoce el valor de la informacin - pero
Cmo podra la recepcionista espera saber qu informacin es benigna y
que tengan en cuenta?
Con un estilo diferente de manipulacin, Craig actuaba confundido y ingenuo
convencer el tio en operaciones de equipo para proporcionarle el acceso telefnico
nmero en servidor terminal de la empresa, el hardware utilizado como una conexin
apuntan a otros sistemas informticos dentro de la red interna.
MENSAJE DE MITNICK
La primera prioridad en el trabajo es realizar el trabajo. Bajo esa presin,
prcticas de seguridad a menudo segundo lugar y son pasados por alto o ignoradas.
Social
los ingenieros confan en esto cuando practicar su oficio.
Craig fue capaz de conectar fcilmente probando una contrasea predeterminada que nu
nca haba sido
cambiado, una de las brechas abiertas, evidentes que existen a lo largo de mucho
s internos
redes que confan en la seguridad del cortafuegos. De hecho, las contraseas predete
rminadas para muchos
sistemas operativos, enrutadores y otros tipos de productos, incluyendo PBX, son
disposicin en lnea. Cualquier ingeniero social, hacker o espionaje industrial, as c
omo
la llanura simplemente curiosa, puede encontrar la lista en http:\/\/www.phenoel
it.de\/dpl\/dpl.html.
(Es absolutamente increble cmo fcil el Internet hace que la vida para quien sepa
Dnde buscar. Y ya sabes, tambin.)
Cogburne realmente consigui convencer un cauteloso, sospechoso hombre
(\"Qu dijo que era su apellido? Quin es su supervisor?\") divulgar su
nombre de usuario y contrasea para que l pudiera acceder a los servidores utilcioz
aradzosn p-sotre nlat
equipo de desarrollo. Esto fue como dejar Craig con una puerta abierta para exam
inar la
la mayor parte de la empresa estrechamente vigilado secretos y descarga los plan
es para el nuevo
producto.
Qu sucede si Steve Cramer haba seguido a sospechar sobre convocatoria de Craig? Era
poco probable que l hara cualquier cosa acerca de los informes de sus sospechas ha
sta que mostr
en el trabajo el lunes por la maana, que habra sido demasiado tarde Para prevenir
el
ataque.
Una de las claves para la ltima parte de la estratagema: Craig al principio hizo

sonido
displicente y desinteresados en preocupaciones de Steve, entonces ha cambiado su
meloda y
sonaba como si estaba tratando de ayudar para que Steve podra hacer su trabajo. L
a mayora de los
tiempo, si la vctima cree que intenta ayudarlo o le hacen algunos tipo de
favor, l parte con informacin confidencial que han de lo contrario
protegido cuidadosamente.
PREVENIR LA CON
Uno de los ms poderosos trucos del ingeniero social consiste en convertir las tab
las.
Eso es lo que ha visto en este captulo. El ingeniero social crea el problema,
y luego mgicamente resuelve el problema, engaando a la vctima en proporcionar
acceso a la compaa del vigilado ms secretos. Caeran sus empleados para ello
tipo de artimaa? Te ha molestado a redactar y distribuir las reglas de seguridad e
specficas que
podra ayudar a prevenirlo?
Educar, educar y educar...
Hay una vieja historia sobre un visitante de Nueva York que se detiene a una hom
bre en la calle
y pregunta, \"Cmo obtengo al Carnegie Hall?\" El hombre responde, \"prctica, prctica
,
prctica.\" Todo el mundo es as ingeniera vulnerable social que ataca un
la compaa slo eficaz de defensa es educar y capacitar a la gente, dndoles
la prctica que necesitan para detectar un ingeniero social. Y, a continuacin, segu
ir recordando a personas
sobre una base consistente de lo aprendido en el entrenamiento, pero son todos d
emasiado apto para
olvidar.
Todos los miembros de la organizacin deben ser entrenados para ejercer un grado a
propiado de
sospecha y precaucin cuando contactada por alguien, que l o ella no personalmente
saber, especialmente cuando alguien est pidiendo algn tipo de acceso a un
equipo o red. Es naturaleza humana querer confiar en otros, pero como la
Japoneses dicen que el negocio es la guerra. Su empresa no puede permitirse baja
r su guardia.
Directiva de seguridad corporativa debe definir claramente apropiado e inapropia
do
comportamiento.
La seguridad no es nica. Personal de negocios suelen tener diferentes roles
y responsabilidades y cada posicin tiene asociados a las vulnerabilidades. All
debe ser un nivel bsico de capacitacin que todos en la empresa es necesario para
completa, y, a continuacin, debe tambin ser capacitados de acuerdo a su perfil de
trabajo a
adherirse a ciertos procedimientos que reduzcan la posibilidad de que se convier
tan en
parte del problema. Personas que trabajan con informacin confidencial o se coloca
n en
posiciones de confianza deben recibir entrenamiento especializado adicional.
Mantener segura la informacin confidencial
Cuando se acerc gente por un extrao que se ofrece a ayudar, como se ve en las hist
orias
en este captulo, tienen que recurrir a la poltica de seguridad de la empresa que s
e adapta
segn corresponda a las necesidades del negocio, el tamao y la cultura de su empres
a.
NOTA
Personalmente, no creo que cualquier empresa debe permitir cualquier intercambio
de contraseas.
Su mucho ms fcil establecer una regla dura que prohbe personal nunca compartir o

intercambio de contraseas confidenciales. Su ms seguro, demasiado. Pero cada empre


sa debe evaluar
sus propia cultura y problemas de seguridad en esta eleccin
Nunca cooperar con un desconocido que le pide a buscar informacin, escriba
comandos desconocidos en un equipo, hacer cambios en la configuracin de software
o ms potencialmente desastrosa de todos - abrir un archivo adjunto de correo electrn
ico o Descargar
software de marcada. Cualquier programa de software - incluso uno que parece no
hacer nada
-no se puede ser tan inocente como parece ser.
Hay ciertos procedimientos que, sin importar qu bueno nuestro entrenamiento, tend
emos a
crecen descuidada acerca con el tiempo. Entonces nos olvidamos de que el entrena
miento en tiempo de crisis,
slo cuando lo necesitamos. Uno pensara que no da su nombre de cuenta y
contrasea es algo que casi todo el mundo sabe (o debera saber) y
apenas necesita ser dijo: es simple sentido comn. Pero de hecho, cada empleado
debe ser recordado con frecuencia que dar el nombre de cuenta y contrasea
su equipo de oficina, su equipo domstico o incluso la mquina de franqueo de la
Sala de correo es equivalente a repartir el nmero PIN de su tarjeta de cajero aut
omtico.
En ocasiones, muy ocasionalmente - hay una circunstancia muy vlida cuando ha
es necesario, incluso importantes, dar a alguien ms confidencial
informacin. Por esa razn, no es conveniente hacer una regla absoluta sobre
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'S'.
sobre las circunstancias bajo las cuales un empleado puede dar su contrasea
y - lo ms importante--quin est autorizado para solicitar la informacin.
Considere la fuente
En la mayora de las organizaciones, la norma debe ser que cualquier informacin que
posiblemente pueda
causar dao a la empresa o a a. compaero empleado puede darse slo a
alguien que se conoce de forma presencial, o cuya voz es tan familiar que
te lo reconoce sin lugar a dudas.
En situaciones de alta seguridad, las solicitudes slo deben concederse son
entrega en persona o con una forma fuerte de autenticacin--por ejemplo, dos
separar los elementos tales como un secreto compartido y un token de tiempo.
Deben designar los procedimientos de clasificacin de datos que no se proporciona
informacin
de una parte de la organizacin participan con trabajo sensible a cualquier person
a no
personalmente conocido o prestacin para de alguna manera.
NOTA
Increblemente, incluso buscar el nombre y nmero de telfono de la persona que llama
en la
base de datos de empleados de la compaa y llamndolo atrs no es una garanta absoluta
los ingenieros sociales conocer formas de plantacin de nombres en una base de dat
os corporativa redirigir llamadas telefnicas.
Entonces, Cmo manejas una sonda legtima solicitud de informacin del
otro empleado de la empresa, tales como la lista de nombres y direcciones de cor
reo electrnico de
personas de su grupo? De hecho, cmo usted sensibilizar para que como un elemento
Esto, que es claramente menos valiosa que, dicen, una hoja de especificaciones p
ara un producto en
desarrollo, se reconoce como algo slo para uso interno? Una parte importante de
la solucin: designar empleados en cada departamento que se encargar de todo
solicitudes de informacin ser enviado fuera del grupo. Una seguridad avanzadaprog
rama
de formacin, a continuacin, debe proporcionar para hacer estos empleados designado

s
consciente de los procedimientos de verificacin especial deben seguir.
Nadie olvida
Nadie puede rattle rpidamente fuera de la identidad de las organizaciones dentro
de su empresa
necesitan un alto grado de proteccin contra ataques malintencionados. Pero a menu
do
pasar por alto otros lugares que son menos obvios, pero altamente vulnerables. E
n uno de estos
historias, la solicitud de un fax ser enviado a un nmero de telfono dentro de la e
mpresa
pareca inocente y suficientemente segura, todava el atacante aprovech esta
seguridad Laguna. La leccin aqu: todos de secretarios y
auxiliares administrativos a los ejecutivos de la empresa y las necesidades de l
os administradores de alto nivel tienen entrenamiento especial de seguridad por
lo que pueden ser alerta para estos tipos de trucos.
Y no te olvides de guardia de la puerta delantera: recepcionistas, demasiado, a
menudo son primos
objetivos para los ingenieros sociales y tambin debe hacerse consciente de la eng
aosa
tcnicas utilizadas por algunos visitantes y llamadores.
Seguridad de la empresa debe establecer un nico punto de contacto como una especi
e de central
Clearinghouse para empleados que piensan que puedan haber sido el destino de una
social
Ingeniera treta. Tener un solo lugar a incidentes de seguridad informe proporcion
ar
un sistema eficaz de alerta temprana que querida cuando una coordinada
ataque est en marcha, por lo que cualquier dao puede ser controlado de inmediato.
Captulo 6
Me puedes ayudar?
He visto cmo los ingenieros sociales engaar a la gente ofreciendo a ayudar.Otro
enfoque favorito vuelve a las tablas: manipula el ingeniero social pretendiendo
l necesita la otra persona para ayudarlo. Podemos simpatizar con la gente en un
apuro y el enfoque resulta efectivo una y otra vez en lo que permite una
ingeniero social para alcanzar su objetivo.
LA SALIDA DE TOWNER
Una historia en el captulo 3 mostr cmo un atacante puede hablar a una vctima para qu
e revelen sus
nmero de empleados. ste utiliza un enfoque diferente para lograr el mismo
resultado y, a continuacin, muestra cmo el atacante puede hacer uso de ese
Mantenerse al da con los Joneses
En Silicon Valley hay cierta empresa global que ser annima. El
oficinas de ventas dispersas y otras instalaciones del campo alrededor de la wor
ldare todos
conectado a la sede de la empresa sobre una WAN, una red de rea amplia. El
intruso, un tipo inteligente, eth0 llamado Brian Atterby, saba que era casi siemp
re
ms fcil dividir una red en uno de los sitios remotos donde la seguridad es
prcticamente garantizado a ser ms laxas que en la sede.
El intruso telefone a la Oficina de Chicago y pidi hablar con el seor Jones.
La recepcionista pregunt si saba el nombre del Sr. Jones; contest,
There was an error deserializing the object of type System.String. Encountered u
nexpected character Tres. Departamento que l sera en?
Dijo, \"Si me lees los nombres, tal vez voy reconocerlo.\" Por lo que hizo:
Barry, Joseph y Gordon.
There was an error deserializing the object of type System.String. Encountered u
nexpected Departamento?\"
Desarrollo de negocios.
Bellas. Puede conectarme, por favor?

Ella pone la llamada a travs de. Cuando Jones respondi, el atacante dijo: \"Seor.
Jones? Hola, esto es Tony en nmina. Slo ponemos a travs de su solicitud Tu
cheque depositado directamente a su cuenta de ahorro y crdito\".
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following no an tienen una cuenta en una cooperativa de crdito\".
Ah, joder, lo ya puse a travs de.
Jones fue poco ms de un disgusto en la idea de que podra ser su sueldo
va a la cuenta de otra persona, y l estaba empezando a pensar el chico en el
otro extremo del telfono debe ser un poco lento. Antes de que incluso podra respon
der, el
atacante dijo: \"veo mejor lo sucedido. Se introducen cambios de nmina por
nmero de empleados. Cul es tu nmero de empleado?\"
Jones dio el nmero. El llamador dijo, \"No, tienes razn, no era la solicitud de
usted, entonces.\" Llegan ms estpido cada ao, pens Jones.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements obtendr su prximo cheque bien,\"el chico dice tranqu
ilizadora.
Un viaje de negocios
No mucho despus, el administrador del sistema en las ventas la empresa Austin, Te
xas,
Oficina recibi una llamada telefnica. \"Esto es Joseph Jones,\" anunci el llamador.
\"Estoy en
Desarrollo de negocios corporativos. Estar en a, para la semana, en el Driskill
Hotel. Me gustara que me fije con una cuenta temporal por lo que puedo acceder a
mi
correo sin hacer una llamada de larga distancia\".
There was an error deserializing the object of type System.String. The token 'tr
ue' was expected but found dijo. El falso Jones dio el nmero y sali, tiene usted a
lguna alta velocidad\"
nmeros de acceso telefnico.
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'A'.
Joe. Dgame, cul es tu nmero de edificio? \" El atacante haba hecho su
deberes y tena la respuesta listo
MENSAJE DE MITNICK
No confe en salvaguardias de red y servidores de seguridad para proteger su infor
macin. Mirar
a su punto ms vulnerable. Generalmente encontrar que la vulnerabilidad reside en s
u
personas.
There was an error deserializing the object of type System.String. The token 'tr
ue' was expected but found Fue tan simple como eso. El administrador del sistema
ha verificado el nombre Joseph Jones, el
Departamento y el nmero de empleados y \"Joe\" haban dado la respuesta correcta a
la cuestin de la prueba. \"Su nombre de usuario va a ser la misma que su empresa,
jbjones,\", dijo el administrador del sistema\"y le doy una contrasea inicial de
\"changeme.\" \"
Analizando el timo
Con un par de llamadas telefnicas y quince minutos de tiempo, el atacante haba gan
ado
acceso a la red de rea amplia de la empresa. Se trata de una empresa que, al igua
l que muchos,
tena lo que me refiero a como seguridad de caramelo, despus de una descripcin utili
z por primera Investigadores de los laboratorios, Steve Bellovin y Steven Cheswic
k. Describieron como
seguridad como \"un duro crujiente shell con un centro frecuentemente masticable
\" - como una m
La capa exterior, el cortafuegos, argumentaron Bellovin y Cheswick, no es sufici
ente
proteccin, porque una vez que un intruso puedo eludirlo interno

sistemas informticos tienen seguridad suave y masticable. La mayora de las veces,


son
insuficientemente protegidos.
Esta historia se ajusta a la definicin. Con un nmero telefnico y una cuenta, el ata
cante
incluso no tiene que preocuparse tratando de derrotar a un servidor de seguridad
de Internet y, una vez fcilmente pudo poner en peligro la mayora de los sistemas
de la red interna.
A travs de mis fuentes, entiendo este ardid exacta fue trabajado en uno de los
fabricantes de software de la computadora ms grandes del mundo. Uno pensara que el
los administradores de sistemas en una empresa estara capacitados para detectar e
ste tipo de
Ruse. Pero en mi experiencia, nadie est completamente seguro si es un ingeniero s
ocial
inteligente y suficientemente persuasivo.
JERGA
Trmino CANDY seguridad a acuado por Bellovin y Cheswick de Bell Labs para
describir un escenario de seguridad en el permetro exterior, tales como cortafueg
os, es fuerte,
pero la infraestructura detrs de l es dbil. El trmino se refiere a m
tiene un centro blando y duro caparazn exterior.
JERGA
SPEAKEASY seguridad que se basa en saber cuando deseen
es informacin y el uso de una palabra o nombre para tener acceso a esa informacin
o
sistema informtico.
SEGURIDAD DE SPEAKEASY
En los viejos tiempos de Tabernas - los clubes nocturnos de la poca de la prohibi
cin en su llamada
gin baera flua--un cliente aspirante obtuvo admisin por aparecer en la
puerta y golpeando. Despus de unos momentos, un pequeo colgajo en la puerta le swi
ng
abierto y un duro, de intimidar a cara sera pares fuera. Si el visitante fue en e
l
sabe, l hablara con el nombre de algn patrn frecuente del lugar (\"Joe enviado
\"fue bastante a menudo), con lo cual el gorila dentro que desenganchar la puert
a
y dejarlo.
El truco real radica en saber la ubicacin de la speakeasy porque la puerta estaba
sin marcar, y los propietarios no salir exactamente seales de nen para marcar su
presencia. En su mayor parte, slo aparece en el lugar correcto fue sobre todo lo
llev a obtener. El mismo grado de custodia, infelizmente, practica ampliamente en
el mundo corporativo, proporcionando un nivel de proteccin no que llame a speakea
sy
seguridad.
Lo vi en el cine
Aqu es una ilustracin de una pelcula favorita que muchos recordarn. En
Tres das del Cndor el personaje central, Turner (interpretado por Robert
Redford), trabaja para una empresa pequea investigacin contratada por la CIA. Un da
l
regresa de un almuerzo a encontrar que todos los trabajadores de sus co han sido
asesinados
hacia abajo. Dej a averiguar lo que ha hecho y por qu, sabiendo todo el tiempo
que buscan los chicos malos, quienquiera que sean, para l.
A finales de la historia, Turner logra obtener al nmero de telfono de uno de los c
hicos malos.
Pero quin es esta persona, y cmo puede Turner pin abajo su ubicacin? l est de enhorabu
ena:
El guionista, David Rayfiel, felizmente ha dado Turner un fondo que
incluye la capacitacin como un liniero de telfono con el Army Signal Corps, hacien

do
l conoce de tcnicas y prcticas de la compaa telefnica. Con
nmero de telfono del chico malo en mano, Turner sabe exactamente qu hacer. En
guin, la escena dice as:
TURNER vuelve a conectar y grifera otro nmero.
ANILLO! ANILLO! A continuacin:
VOZ de (filtro la mujer) CNA, Sra. Coleman hablando.
TURNER (en la prueba de conjunto)
Se trata de Harold Thomas, Sra. Coleman. Servicio al cliente.
CNA en 202-555-7389, por favor.
MUJER s voz (filtro) un momento, por favor. (casi a la vez)
Leonard Atwood, 765 MacKensie Lane, Chevy Chase, Maryland.
Ignorando el hecho de que el guionista errneamente utiliza un rea de Washington, D
.C.,
cdigo para una direccin de Maryland, puede usted detectar lo que acaba de ocurrir a
qu?
Turner, debido a su formacin como un liniero de telfono, saba qu nmero marcado
para llegar a una Oficina de la compaa de telfono llamada CNA, el nombre del client
e y
Oficina de direccin. CNA est configurado para la convenienciai ndestaladores y otr
os
personal de la empresa de telfonos autorizados. Un instalador podra llamar CNA y d
ar
ellos un nmero de telfono. El CNA empleado wouldrespond proporcionando el nombre d
e
la persona en que el telfono pertenece a la direccin andhis.
Engaando a la compaa telefnica
En el mundo real, el nmero de telfono para el CNA es un secreto celosamente.
Aunque las compaas telefnicas finalmente y en estos das son menos
generoso sobre entregando informacin tan fcilmente, al tiempo oper
en una variacin de seguridad speakeasy que llaman a profesionales de la segurisde
agduridad
a travs de la oscuridad. Presume que quien llama CNA y saba el
jerga adecuada (\"servicio al cliente. CNA en 555-1234, por favor, por ejemplo)
era un
persona autorizada para disponer de la informacin.
JERGA
SEGURIDAD a travs de la oscuridad un mtodo ineficaz de equipo
seguridad que se basa en el mantenimiento de secreto de los detalles de cmo funci
ona el sistema
(protocolos, algoritmos y sistemas internos). Depende de la seguridad por oscuri
dad
la falsa suposicin de que nadie fuera de un grupo de confianza de la gente ser cap
az de
burlar el sistema.
MITNICK MESSGAE
Seguridad a travs de la oscuridad no tiene ningn efecto el bloqueo social
ataques de ingeniera. Cada sistema informtico en el mundo tiene al menos un humano
utilizarlo. Por lo tanto, si el atacante es capaz de manipular a las personas qu
e utilizan los sistemas,
la oscuridad del sistema es irrelevante.
No haba necesidad para verificar o no identificar a s mismo, necesidad de dar un e
mpleado
nmero, sin necesidad de una contrasea que se ha cambiado diariamente. Si supieras
el nmero
a la llamada y le sonaba autnticos, entonces usted debe tener derecho a la inform
acin.
No era una suposicin muy slida por parte de la compaa telefnica. Sus
slo el esfuerzo en seguridad fue cambiar el nmero de telfono peridicamente l, en
menos una vez al ao. An as, el nmero actual en cualquier momento fue muy

ampliamente conocido entre telfono phreaks, que encantado en el aprovechamiento d


e este
fuente conveniente de informacin y compartir los mtodos-a--it con sus
phreaks compaeros. El CN' truco de mesa fue una de las primeras cosas que aprend c
uando me
fue a la aficin de telfono phreaking como un adolescente.
En todo el mundo de los negocios y el Gobierno, la seguridad de speakeasy. sigue
siendo
prevalente. Es probable que sobre jerga, personas y departamentos de su empresa.
A veces les a que: a veces un nmero de telfono interno es basta.
EL ADMINISTRADOR DE EQUIPO DESCUIDADO
Aunque muchos empleados en las organizaciones son negligentes, despreocupados o
inconscientes
peligros de seguridad, que esperara alguien con el administrador del ttulo en el e
quipo
Centro de una empresa de Fortune 500 para estar completamente informados sobre m
ejores
prcticas de seguridad, correctas?
No se espera que un administrador de equipo Centro - alguien que es parte de su
Departamento de tecnologa de la informacin de la empresa - a la vctima de la cada a
una simplista y
la ingeniera social evidente con juego. Especialmente no el ingeniero social es a
penas
ms de un nio, apenas de su adolescencia. Pero a veces pueden ser sus expectativas
equivocado.
Ajuste
Hace aos era un pasatiempo entretenido para muchas personas a mantener un radio s
intonizado a la
la polica local o bomberos frecuencias, escuchando los ocasionales altamente
encargado de las conversaciones acerca de un robo de banco en progreso, un edifi
cio de oficinas en
incendio, o una persecucin de alta velocidad como el evento desplegado. Las frecu
encias de radio utilizadas Ley de agencias y departamentos de bomberos sola estar
disponible en los libros en
la librera de la esquina; hoy est siempre en anuncios en la Web y desde un
libro en que se puede comprar en las frecuencias de Radio Shack, Condado, estado
local y,
algunos casos, incluso federales organismos.
Por supuesto, no slo los curiosos que estaban escuchando. Ladrones robando una ti
enda
en medio de la noche pudo sintonizar para escuchar si estaba siendo un coche de
polica
envi a la ubicacin. Traficantes de drogas podran mantener un control sobre las acti
vidades de la
agentes de la Agencia de aplicacin de drogas locales. Un pirmano podra mejorar su e
nfermedad
placer por la iluminacin de un incendio y luego escuchando todo el trfico de radio
mientras
bomberos lucharon sacarlo.
En los ltimos aos avances en informtica han hecho posible
cifrar los mensajes de voz. Como ingenieros encontraron formas de cram ms
potencia en un solo microchip informtica, comenzaron a construir pequeas, cifrada
Radios para la aplicacin de la ley que impidi que los malos y los curiosos escucha
ndo
en.
Danny el interceptor
Un escner entusiasta y experto hacker llamaremos Danny decidi ver si l
no se pudo encontrar una manera de conseguir sus manos sobre el software de encr
iptacin supersecreta cdigo fuente - de uno de los principales fabricantes de siste
mas de radio seguro. Fue

con la esperanza de un estudio del cdigo le permitira aprender a escuchar sobre de


recho
aplicacin y posiblemente tambin uso de la tecnologa por lo incluso los ms poderosos
agencias de Gobierno seran difcil seguir sus conversaciones con su
amigos.
Dannys del mundo sombro de los piratas informticos pertenecen a una categora especi
al
que cae en algn lugar entre la mera curiosidad pero-totalmente - benigno y la
peligroso. Dannys tienen el conocimiento del experto, combinada con la
travieso hacker del deseo de entrar en sistemas y redes para la
desafo intelectual y por el placer de obtener informacin sobre cmo la tecnologa
obras. Pero su ruptura electrnico- y - entrando acrobacias son slo eso--acrobacias
.
Estas personas, estos piratas benignas, entrar ilegalmente en sitios por pura di
versin y
euforia de demostrar que pueden hacerlo. No roban nada, no hacen
cualquier dinero de sus hazaas; ellos no destruir todos los archivos, interrumpir
cualquier red
conexiones, o bloquear cualquier sistema informtico. El mero hecho de estar all,
atrapando copias de archivos y correos electrnicos para contraseas a espaldas de l
a bsqueda
administradores Curity y red, ajustes de las narices de los responsables
mantener a los intrusos como ellos. El plantearnos es una gran parte de la
satisfaccin.
En consonancia con este perfil, nuestro Danny quera examinar los detalles de su d
estino
la compaa ms celosamente producto solo para satisfacer su propia grabacin curiosidad
y para admirar las innovaciones inteligentes el fabricante podra haber llegado
con.
Los diseos de producto eran, ni que decir tiene, cuidadosamente guardados secreto
s, como
preciosos y protegido como cosa en posesin de la empresa. Danny
lo saba. Y importaba un poco. Despus de todo, fue sin nombre, slo algunos grandes
empresa.
Pero cmo obtener el cdigo fuente del software? Como result, agarrando la corona
joyas de Secure Communications Group la empresa demostr para ser demasiado fcil,
a pesar de que la compaa fue uno de los que utilizan la autenticacin de dos factore
s,
un acuerdo en virtud del cual las personas deben utilizar independiente no uno s
ino dos
identificadores para probar su identidad.
Aqu hay un ejemplo que probablemente ya est familiarizado con. Cuando su renovacin
llega la tarjeta de crdito, se le pedir que la empresa emisora para hacerles saber
por telfono
que la tarjeta est en posesin de los clientes previsto y no alguien que
robaron la envolvente desde el correo. Las instrucciones con la tarjeta de estos
das
generalmente digo para llamar desde casa. Cuando llame, software en la tarjeta d
e crdito
empresa analiza la ANI, la identificacin automtica de nmero, que es
proporcionada por el conmutador telefnico de peaje - llamadas gratis el crdito de
la tarjeta de empresa
est pagando.
Un equipo de la compaa de tarjeta de crdito utiliza el nmero de llamada del partido
siempre
la ANI, y partidos nmero contra base de datos de la empresa
tarjetahabientes. Por el momento el empleado viene de la lnea, su muestra
informacin de la base de datos dando detalles acerca del cliente. Por lo que el e
mpleado
ya sabe que la llamada viene desde la casa de un cliente; es una forma de

autenticacin.
JERGA
El uso de dos tipos diferentes de autenticacin de dos factores de
autenticacin para verificar la identidad. Por ejemplo, una persona puede tener qu
e identificar
el propio llamando desde una determinada ubicacin identificable y conocer una con
trasea.
El empleado, a continuacin, escoge un elemento de la informacin que aparece acerca
de usted - la a menudo el nmero de seguro social, fecha de nacimiento, o nombre
de soltera de la madre - y pide
que para este dato. Si da la respuesta correcta, es un segundo
forma de autenticacin - basada en la informacin que debe conocer.
En la empresa de fabricacin de los sistemas de radio seguro en nuestra historia,
cada
empleado con acceso informtico tuvo su nombre habitual de cuenta y contrasea, pero
Adems se presta con un pequeo dispositivo electrnico llamado Secure ID. Se trata de
lo que ha llamado un token de tiempo. Estos dispositivos vienen en dos tipos: un
o es sobre
la mitad del tamao de una tarjeta de crdito pero un poco ms grueso; otra es pequeo s
uficiente que
personas simplemente adjunta a sus llaveros.
Derivado del mundo de la criptografa, este gadget en particular tiene un pequeo
ventana que muestra una serie de seis dgitos. Cada sesenta segundos, la pantalla
cambia para mostrar un nmero de seis dgitos diferente. Cuando se necesita una pers
ona autorizada
para acceder a la red desde fuera del sitio, ella debe identificar a s misma como
un autorizado
usuario escribiendo su PIN secreto y los dgitos que aparece en su dispositivo tok
en.
Una vez verificado por el sistema interno, autentica con su cuenta
nombre y contrasea.
El joven hacker Danny para obtener el cdigo fuente que tan codiciado, habra
han comprometer no slo algunos empleados nombre de cuenta y contrasea (no
mucho de un reto para el experimentado ingeniero social) pero tambin alrededor de
la
token de tiempo.
Derrotando a la autenticacin de dos factores de un token de tiempo combinado con
un
del usuario secreto PIN cdigo suena un desafo de misin imposible.
Pero para los ingenieros sociales, el desafo es similar al convirti en un jugador
de pker
Quin tiene ms que la habitual habilidad en la lectura de sus oponentes. Con un poco
de suerte,
cuando l se sienta en una mesa sabe que es probable que marchan con un montn de gr
ande
de dinero de otras personas.
Asalto a la fortaleza
Danny comenz haciendo sus deberes. Mucho tiempo antes haba logrado poner
piezas suficientemente juntos a hacerse pasar por un empleado real. Tena un emple
ado
nombre, departamento, nmero de telfono y nmero de empleado, as como la
del administrador nombre y nmero de telfono.
Ahora era la calma antes de la tormenta. Literalmente. Pasando por el plan que h
aba trabajado
Danny necesita algo ms antes de que l podra dar el siguiente paso, y fue
algo no tena control sobre: necesitaba una tormenta de nieve. Danny necesita un
poca ayuda de la madre naturaleza en forma de clima tan malo que mantendra
trabajadores de entrar en la Oficina. En el invierno en Dakota del Sur, donde el
la fbrica en cuestin se encontraba, alguien esperando el mal tiempo lo hizo
no hay mucho que esperar. El viernes por la noche, lleg una tormenta. Lo que come

nz como
nieve convirti rpidamente a la lluvia helada que, por la maana, las carreteras esta
ban recubiertas
con un ingenioso, peligrosa capa de hielo. Para Danny, esta era una oportunidad
perfecta.
Telefone a la planta, pidi sala para los informticos y alcanz uno de los
abejas obreras de la misma, un operador de equipo que l mismo anunci como Roger
Kowalski.
Dando el nombre del empleado real haba obtenido, Danny dijo, \"este es Bob
Billings. Trabajo en el grupo de comunicacin segura. Ahora estoy en casa y
Yo no puedo conducir en debido a la tormenta. Y el problema es que necesito acce
der a mi
estacin de trabajo y el servidor de casa y me dej mi ID segura en mi escritorio. P
uede
ir a buscar para m? O puede alguien? Y, a continuacin, lee mi cdigo cuando me
necesidad de obtener? Porque mi equipo tiene una fecha lmite crtica y no hay manera
que pueda
hacer mi trabajo. Y no hay forma puedo llegar a la Oficina--las carreteras son m
ucho
demasiado peligroso mi camino.
El operador del equipo, dijo, \"No puedo dejar el centro de cmputo\". Danny salt
derecha: \"tiene una identificacin segura de ti mismo?.\"
There was an error deserializing the object of type System.String. Encountered u
nexpected character operadores en caso de emergencia\".
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'D'.
en la red, puede me dejas prestado su ID segura? Slo hasta que est seguro
unidad \".
There was an error deserializing the object of type System.String. Encountered u
nexpected character There was an error deserializing the object of type System.S
tring. Unexpected end of file. Following Para Ed Trenton.
Ah, s, lo conozco.
Cuando l est obligado a afrontar duras trineos, hace un buen ingeniero social
ms de la cantidad habitual de investigacin. \"Estoy en el segundo piso\", Danny fu
e
a. \"Junto a Roy Tucker.\"
Saba que ese nombre. Danny volvi a trabajar en l. \"Sera mucho
ms fcil ir a mi escritorio y recuperar mi ID segura para m.\"
Danny estaba bastante seguro que el chico no comprara en esto. En primer lugar, s
era
no quiere dejar en la mitad de su turno para ir conociendo a corredores y hasta
escaleras a alguna parte distante del edificio. Tambin l deseara no tener que
Paw a travs de la mesa de alguien, violando el espacio personal de alguien. No, s
e
fue una apuesta segura que l no quiere hacerlo.
Kowalski no quera decir que no a un chico que necesitaba ayuda, pero no lo hizo
queremos decir s y tener problemas, tampoco. As que l superaba la decisin: vas a ten
er
pedirle a mi jefe. Colgar en\". Puso el telfono hacia abajo, y Danny poda orle
recoger otro telfono, poner en la llamada y explicar la solicitud. Luego hizo Kow
alski
Algo inexplicable: l realmente avalado por el hombre utilizando el nombre de Bob
Billings. \"S que le\", dijo su manager. \"Trabaja para Ed Trenton. Podemos
le permiten utilizar el ID segura en el centro del equipo ' Danny, sosteniendo a
la
telfono, se asombr al escuchar este apoyo extraordinario e inesperado para su
causa. l no poda creer sus odos o su suerte.
Despus de un par de momentos, Kowalski volvi sobre la lnea y dijo, \"mi
el administrador quiere hablar con usted mismo,\"y le dio el hombre nombre y cel
ular

nmero de telfono.
Danny llamado el administrador y atraves toda la historia una vez ms,
agregar detalles sobre el proyecto estaba trabajando o y por qu su equipo de prod
ucto
necesarios para cumplir un plazo crtico. \"Sera ms fcil si alguien slo va y
\"recupera mi tarjeta, dijo. \"No creo el escritorio est bloqueado, debe existir
en
mi superior izquierdo cajn.\"
There was an error deserializing the object of type System.String. Encountered u
nexpected character 's'.
uno en el centro de cmputo. Te voy a decir los chicos de turno que cuando llames,
debe leer en el cdigo de acceso aleatorio para usted\", y le dio el PIN
nmero para usar con ella.
Para el fin de semana entero, cada vez que Danny quera entrar en la empresa
sistema informtico, slo tuvo que llamar al centro de cmputo y pedirles que leer
frente a los seis dgitos que aparece en el smbolo (token) Secure ID.
Un trabajo interior
Una vez fue dentro de sistema informtico de la empresa, entonces qu? Cmo sera
Danny encontrar su camino hacia el servidor con el software que quera? l ya haba
preparado para esto.
Muchos usuarios de computadoras estn familiarizados con los grupos de noticias, e
se amplios boletines electrnicos donde las personas pueden publicar preguntas que
otras personas
responder o encontrar compaeros virtuales que comparten un inters en la msica, comp
utadoras, o
cualquiera de los cientos de otros temas.
Lo que pocas personas se dan cuenta de cuando registre cualquier mensaje en un s
itio de grupo de noticias su mensaje permanece en lnea y disponible durante aos. G
oogle, por ejemplo, ahora
mantiene un archivo de siete cien millones de mensajes, algunos datan de
veinte aos! Danny comenzado dirigindose a la direccin Web
http:\/\/Groups.google.com.
Como buscar trminos, Danny entr \"comunicaciones de radio de cifrado\" y la
nombre de la empresa y se encuentra un aos de mensajes sobre el tema desde una
empleado. Es un registro que se hizo cuando la compaa fue la primera
desarrollo del producto, probablemente mucho antes de que los departamentos de p
olica y federal
organismos examin la trepada de seales de radio.
El mensaje contiene la firma del remitente, dando no slo el nombre del hombre,
Prensa de Scott, pero su nmero de telfono e incluso el nombre de su grupo de traba
jo, la
Secure Communications Group.
Danny cogi el telfono y marca el nmero. Me pareci un disparo largo-estara l sigue trabajando en la misma organizacin aos despus? Estara en
trabajar en tal un fin de semana tormentoso? Son el telfono una vez, dos veces, tre
s veces, y
Entonces vino una voz en la lnea. \"Esto es Scott\", dijo.
Afirmando ser de la empresa del departamento de TI, Danny manipulado (en prensa
una de las formas ahora familiares de captulos anteriores) para que revelen la
nombres de los servidores que se utiliz para el trabajo de desarrollo. Estos fuer
on los servidores que
podra esperarse que mantenga el cdigo fuente que contiene el propiedad cifrado
algoritmo y firmware usado en productos de la empresa radio seguro.
Danny estaba moviendo ms cerca y ms cerca, y fue construyendo su emocin. Fue
anticipando la fiebre, el gran alto siempre sinti cuando sucedi en
podra lograr algo que saba que slo un nmero muy limitado de personas.
An as, no era casa libre todava. Para el resto del fin de semana sera capaz de entra
r en
red de la empresa siempre que quera, gracias a esa cooperativa
Administrador de centro del equipo. Y saba que quera acceder a los servidores. Per

o
cuando l marca en, iniciado sesin en terminal server no le permitira
conectarse a los sistemas de desarrollo del grupo de comunicacin segura. All debe
un firewall interno o enrutador proteger los sistemas informticos de se ha
Grupo. Tendra que encontrar otra manera de.
El siguiente paso tuvo nervio: Danny llamado de vuelta a Kowalski en equipo
Operaciones y complained \"mi servidor no me deja conectar,\" y dijo que
chico, \"necesito que me configurado con una cuenta en uno de los equipos en su
Departamento por lo que puedo usar Telnet para conectar con mi sistema.\"
El director ya haba aprobado divulgar el cdigo de acceso se muestra en la
segn tiempo testigo, por lo que esta nueva solicitud no parece razonable. Configu
rar Kowalski
una cuenta temporal y la contrasea en uno de los equipos del centro de operacin,
y le dijo a Danny para \"volver a llamarme cuando no necesita ms y voy a quitar
It\".
Una vez ingresado en la cuenta temporal, Danny fue capaz de conectarse a travs de
la
red de sistemas informticos de asegurar las comunicaciones del grupo. Despus de un
a hora
bsqueda en lnea para una vulnerabilidad tcnica que le dara acceso a un
servidor de desarrollo principal, golpear el bote. Al parecer el sistema o red
administrador no era vigilante en mantenerse al da con las ltimas noticias sobre f
allos de seguridad
en el sistema operativo que permite el acceso remoto. Pero Danny.
Dentro de poco tiempo haba localizado los archivos de cdigo fuente que fue despus d
e
transferirlos de forma remota a un sitio de comercio electrnico que ofrece espaci
o de almacenamiento gratuito.
En este sitio, incluso si nunca fueron descubiertos los archivos, no seran nunca
se remonta
volver a l.
Tuvo un paso final antes de la firma: el proceso metdico de borrar su
pistas. Termin antes de que el show de Jay Leno haba ido fuera del aire durante la
noche.
Danny figur esta haba sido una obra de muy buen fin de semana. Y l nunca haba
tuve que poner l mismo personalmente en peligro. Fue una emocin intoxicante, inclu
so mejor que
snowboard o paracaidismo.
Danny lleg ebrio esa noche, no en whisky, gin, cerveza o sake, sino en su sentido
de
poder y logro cerrar como vierte a travs de los archivos que haba robado,
en el software de radio esquivo, muy secreto.
Analizando el timo
Como en el artculo anterior, esta treta funcionaba slo porque los empleados de una
empresa
era todo demasiado dispuestos a aceptar a su valor nominal que llama realmente f
ue el empleado
pretenden ser. Ese afn de ayudar a un trabajador de co con un problema es, por el
una mano, parte de lo que grasas las ruedas de la industria y parte de lo que ha
ce el
empleados de algunas compaas ms agradables trabajar con que los empleados de
otros. Pero por otro lado, esta utilidad puede ser una vulnerabilidad mayor que
un
ingeniero social intentar explotar.
Un poco de manipulacin utiliza Danny estaba delicioso: cuando hizo la solicitud
que alguien Obtenga su ID segura desde su escritorio, l deca que quera
alguien para \"recuperar\" para l. Recuperacin es un comando que le das a tu perro
. Nadie
quiere ser contada a buscar algo. Con esa palabra, Danny hizo todo el
solucin ms cierta que denegar la solicitud y algunos otro aceptados

en cambio, que era exactamente lo que quera.


El operador del centro de cmputo, \"Kowalski, fue tomada por Danny soltando el
nombres de personas Kowalski ocurrido saber. Pero por qu habra de Kowalski
Manager - un Gerente de TI, nada menos - permitir algunos accesos es ajeno a la
empresa
red interna? Simplemente porque la convocatoria de ayuda puede ser un potente, co
nvincente
herramienta en el arsenal del ingeniero social.
MENSAJE DE MITNICK
Esta historia va a mostrar que segn tiempo smbolos y formas similares de
autenticacin no son una defensa contra el astuto ingeniero social. La nica
defensa es un empleado de conciencia que sigue las directivas de seguridad y
entiende cmo otros maliciosamente pueden influir en su comportamiento.
Podra algo as como nunca ocurrir en su empresa? Lo tiene ya?
PREVENIR LA CON
Parece ser un elemento repetido a menudo en estas historias que organiza un atac
ante
para conectarse a una red de equipo desde fuera de la empresa, sin la persona
que le ayuda a tomar medidas suficientes para comprobar que el llamador es realm
ente un
empleado y derecho al acceso. Por qu volver a este tema tan a menudo?
Porque realmente es un factor de tantos ataques de ingeniera social. Para lo soci
al
Ingeniero, es la forma ms fcil de alcanzar su meta. Por qu debera gastar un atacante
horas tratando de romper, cuando l puede hacerlo en su lugar con una simple llamad
a de telfono?
Uno de los mtodos ms eficaces para el ingeniero social para llevar a cabo esto tip
o
de ataque es la simple estratagema de pretender necesitar ayuda - un enfoque fre
cuentemente
utilizado por los atacantes. No quieres dejar de ser til a sus empleados
co trabajadores o clientes, por lo que necesita armarlas con verificacin especfica
procedimientos para utilizar con nadie hace una solicitud para el acceso de equi
po o
informacin confidencial. De este modo pueden ser tiles a aquellos que merecen ser
ayud, pero al mismo tiempo proteger los activos de informacin de la organizacin y
sistemas informticos.
Procedimientos de seguridad de la empresa deben precisar con detalle qu tipo de v
erificacin
mecanismos deben utilizarse en diversas circunstancias. Captulo 17 proporciona un
detallada lista de procedimientos, pero aqu hay algunas pautas a tener en cuenta:
Es una buena manera de verificar la identidad de una persona hace una solicitud
llamar a la
nmero de telfono que aparece en el directorio de la empresa para esa persona. Si l
a persona
hace la solicitud es realmente un atacante, la llamada de verificacin que cualqui
era le permiten
hablar con la persona real en el telfono mientras el impostor est en suspenso, o p
odr
llegar a correo de voz del empleado, por lo que se puede escuchar el sonido de s
u voz,
y comparar a thespeech del atacante.
Si se utilizan nmeros de empleados en su empresa para verificar la identidad, a c
ontinuacin, los
nmeros deben tratarse como informacin confidencial, cuidadosamente vigilado y no
entregado a los extraos. Lo mismo vale para todo tipo de identificadores internos
,
como los nmeros de telfono interno, departamentales de identificadores de facturac
in e incluso
direcciones de correo electrnico.

Capacitacin corporativa debe llamar la atencin de todos a la prctica comn de


aceptando desconocido personas como empleados legtimos sobre los motivos
sonido autorizada o bien informado. Slo porque alguien sabe de una empresa
prctica o utiliza terminologa interna no es ninguna razn para suponer que su identi
dad
no necesita ser verificado en otras formas.
Oficiales de seguridad y los administradores del sistema no deben limitar su enf
oque para que
son slo la alerta de seguridad preocupados por cmo todo el mundo est siendo. Ellos
tambin
Debemos asegurarnos de que ellos mismos estn siguiendo las mismas normas, procedi
mientos, y
prcticas.
Contraseas y similares no deben, por supuesto, nunca ser compartidas, pero la rest
riccin
contra compartir es an ms importante con tokens basado en el tiempo y otros seguro
s
formas de autenticacin. Debe ser un asunto de comn sentido compartir cualquier
de estos elementos viola el punto de haber instalado la empresa la
sistemas. Compartir significa que no puede haber ninguna responsabilidad. Si un
incidente de seguridad
se lleva a cabo o algo va mal, no podr determinar que la
es la parte responsable.
Como reitero a lo largo de este libro, los empleados necesitan estar familiariza
dos con social
Ingeniera estrategias y mtodos para analizar cuidadosamente las solicitudes que se
reciben.
Considere el uso de rol como parte estndar de capacitacin en seguridad, por lo que
empleados pueden llegar a una mejor comprensin de cmo funciona el ingeniero social
.
Captulo 7
Sitios falsos y peligrosos archivos adjuntos
Hay un viejo dicho que nunca obtener algo a cambio de nada,
An as, la estratagema de ofrecer algo gratis sigue siendo un gran empate para ambo
s
legtimo (\"pero esperar--all es ms! Llame ahora mismo y te tiramos en un conjunto d
e
cuchillos y un popcorn popper!\") y no-tan - legtima (\"compra un acre de
Pantanal en Florida y obtener un segundo acre libre!\") empresas.
Y la mayora de nosotros estamos tan ansiosos por obtener algo gratis que podemos
ser distrados de
pensar claramente sobre la oferta o la promesa.
Sabemos que la advertencia familiar, \"si el comprador tenga cuidado\", pero es
hora de escuchar otra
Advertencia: cuidado con los adjuntos de correo electrnico come-on y el software
libre. El experto
atacante usar casi cualquier medio para entrar en la red corporativa, incluyendo
apelando a nuestro deseo natural de obtener un regalo. A continuacin presentamos
algunos ejemplos.
NO TE GUSTA UN LIBRE (EN BLANCO)?\"
Igual que los virus han sido una maldicin para la humanidad y mdicos desde el
comienzo del tiempo, as el denominado virus informtico representa una maldicin simi
lar
para los usuarios de la tecnologa. Los virus de computadora que obtenga la mayora
de la atencin y
terminan en el centro de atencin, no casualmente, hacer ms dao. Estos son los
producto de vndalos de equipo.
Novatos del equipo convirtieron malintencionados, vndalos equipo esforzarse por m
ostrar cmo
son inteligentes. A veces sus actos son como un rito de iniciacin, significado Pa

ra
impresionar a los piratas informticos ms antiguos y con ms experiencia. Estas perso
nas estn crear un gusano o virus pretende infligir dao. Si su trabajo destruye arc
hivos,
destruye todos discos duros y s los correos electrnicos que miles de personas inoc
entes,
vndalos hojaldre con orgullo en su realizacin. Si el virus causa suficiente caos
que peridicos escriban sobre ello y las noticias de red emisiones advierten
tanto mejor.
Mucho se ha escrito acerca de vndalos y sus virus; libros, software
ofrecer proteccin y se han creado programas y empresas todos
no tratar aqu las defensas contra los ataques de sus tcnicos. Nuestro inters en
el momento es menor en los actos destructivos de los vndalos que en el ms especfico
esfuerzos de su primo lejano, el ingeniero social.
Lleg en el correo electrnico
Probablemente reciba correos electrnicos no solicitados cada da que llevan publici
dad
mensajes o una libre oferta algo-o-otros que usted necesita ni desea. Le
conocer el tipo. Prometen asesoramiento, descuentos en equipos,
televisores, cmaras, vitaminas o viajes, ofrece tarjetas de crdito no necesita un
dispositivo que le permitir recibir canales de televisin de pago libres, formas de
mejorar
su salud o su vida sexual y as.
Pero cada vez que en un tiempo una oferta aparece en su buzn de correo electrnico
para
algo que llama la atencin. Tal vez es un juego libre, una oferta de fotos de
su estrella favorita, un programa de calendario gratis o compartir barato\"bisut
era que
Proteja su equipo contra virus. Cualquiera que sea la oferta, el correo electrnic
o le dirige
para descargar el archivo con las golosinas que el mensaje ha convencido a proba
r.
O tal vez reciba un mensaje con un asunto que Lee Don, te echo de menos \"
o \"Anna, por qu usted no ha escrito me,\" o \"de Hola, Tim, aqu la sexy foto I
prometi \". Esto no poda ser correo publicitario no deseado, piensa, porque tiene
su propio nombre y sonidos tan personales. As se abre el archivo adjunto para ver
la foto o leer el mensaje.
Todas estas acciones--descarga software usted aprendi acerca de un
correo electrnico, haga clic en un vnculo que le lleva a un sitio que no ha odo hab
lar de la publicidad
antes, realmente no sabes--estn abriendo un archivo adjunto de alguien
invitaciones a problemas. Sin duda, la mayor parte del tiempo lo que obtienes es
exactamente lo que
esperados, o en el peor de los casos algo decepcionante u ofensivo, pero inofens
ivo. Pero
a veces lo que se consigue es obra de un vndalo.
Envo cdigo malintencionado en el equipo es slo una pequea parte del ataque. El
atacante debe persuadir a descargar el archivo adjunto para el ataque
tener xito.
NOTA
Conocer un tipo de programa en el equipo metro como una rata, o remoto
Troyano de acceso, da el atacante pleno acceso al equipo, como si estuviera
sentado en su teclado.
Las formas ms dainas de cdigo malicioso - gusanos con nombres como amor
Carta, SirCam y Anna Kournikiva, por nombrar algunos - han confiado en lo social
Ingeniera tcnicas de engao y aprovechando nuestro deseo de llegar
algo para que nada ser distribuida. El gusano llega como un archivo adjunto
un correo electrnico que ofrece algo tentador, tales como informacin confidencial,
libre
pornografa, o - una artimaa muy inteligente - un mensaje diciendo que el archivo a

djunto es el
recibo algn elemento costoso que supuestamente orden. Este ltimo truco te lleva
para abrir el archivo adjunto por temor a su tarjeta de crdito ha sido acusada de
un elemento le
no orden.
Es asombroso cuntas personas entran por estos trucos; incluso despus de que se le
dijo y
dijo una vez ms sobre los peligros de la apertura de archivos adjuntos de correo
electrnico, conciencia peligro se desvanece con el tiempo, cada uno de nosotros d
ejando vulnerables.
Deteccin de Software malintencionado
Otro tipo de malware - abreviatura de software malintencionado - pone un program
a en
el equipo que opera sin su conocimiento o consentimiento, o realiza una
tarea sin su conocimiento. Malware puede parecer bastante inocente, incluso pued
e ser un
Documento de Word o presentacin de PowerPoint o cualquier programa que tiene macr
o
funcionalidad, pero secretamente se instalar un programa no autorizado. Por ejemp
lo,
malware puede ser una versin del caballo de Troya que se hablaba en el captulo 6.
Vez
Este software est instalado en el equipo, se puede alimentar cada pulsacin de tecl
a que se escribe
volver al atacante, incluyendo todas las contraseas y nmeros de tarjeta de crdito.
Hay otros dos tipos de software malintencionado que puede ser chocante.
Uno puede alimentar el atacante cada palabra que hablas dentro del alcance del e
quipo
micrfono, incluso cuando crees que el micrfono est desactivada. Peor, si usted
tiene una cmara Web conectada al equipo, un atacante con una variacin de este
tcnica puede ser capaz de capturar todo lo que se lleva a cabo en frente de su
terminal, incluso cuando piensas que la cmara est apagada, da o noche.
JERGA
Argot de MALWARE para software malintencionado, un programa de ordenador, tales
como virus,
gusano o troyano, que realiza tareas perjudiciales.
MENSAJE DE MITNICK
Cuidado con los frikis teniendo regalos, de lo contrario su empresa podra soporta
r la misma
suerte que la ciudad de Troya. En caso de duda, para evitar una infeccin, use pro
teccin.
Un hacker con sentido del humor malicioso podra intentar plantar un pequeo program
a
diseado para ser malvadamente molesto en el equipo. Por ejemplo, puede hacer
la bandeja de la unidad de CD mantener estallido abierto, o el archivo que se es
t trabajando en minimizar. O que podra provocar un archivo de audio reproducir un
grito a todo volumen en el
media de la noche. Ninguno de estos es muy divertido cuando intentas dormir o
realizar trabajo.., pero al menos no hacen ningn dao duradero.
MENSAJE DE UN AMIGO
Los escenarios pueden obtener y lo que es peor, a pesar de sus precauciones. Ima
ginar: Tienes
decidi no correr ningn riesgo. Ya no se descargar todos los archivos excepto
desde sitios seguros que usted conozca y confe, como SecurityFocus.com o
Ya no hace clic en vnculos de correo electrnico de Amazon.com.
de fuentes desconocidas. No ms adjuntos abiertos en cualquier correo que usted
no esperaban. Y comprobar la pgina del navegador para asegurarse de que existe un
smbolo de sitio seguro en todos los sitios que visita para transacciones de comer
cio electrnico o
intercambio de informacin confidencial.

Y entonces un da recibe un correo electrnico de un amigo o una empresa que lleva a


sociado
un archivo adjunto. No poda ser nada daino si se trata de alguien
saben bien, no? Sobre todo porque se sabe quin culpar si tu
datos del equipo fueron daados.
Abrir el archivo adjunto, y... BOOM! Slo consigui golpear con un gusano o un troya
no
Caballo. Por qu alguien que sabe hara esto a usted? Porque algunas cosas son
no como aparecen. Has ledo acerca de esto: el gusano que obtiene a alguien
equipo y correos electrnicos a s mismo a todos en la libreta de direcciones de esa
persona. Cada
de esas personas recibe un correo electrnico de alguien que conoce y confa y cada
uno de
los correos electrnicos contiene el gusano, que se propaga como las ondas de conf
ianza
desde una piedra arrojada en un estanque todava.
La razn de que esta tcnica es tan efectiva es la que sigue la teora de matar a dos
pjaros de un tiro: la capacidad de propagarse a otras vctimas desprevenidas, y
el aspecto que se origin de una persona de confianza.
MENSAJE DE MITNICK
Hombre ha inventado muchas cosas maravillosas que han cambiado el mundo y nuestr
o
modo de vida. Pero para cada buen uso de la tecnologa, si un equipo,
telfono o Internet, alguien siempre encontrar una forma de abusar de su o
sus propios fines.
Es una triste realidad en el estado actual de la tecnologa que puede recibir un c
orreo electrnico
de alguien cercano a usted y an tienen que saber si es seguro abrir.
VARIACIONES SOBRE UN TEMA
En esta era de Internet, hay un tipo de fraude que involucra le misdirecting
un sitio Web es no lo que esperaba. Esto sucede regularmente, y tarda un
variedad de formas. En este ejemplo, se basa en una real estafa perpetrada en
el Internet es representante.
Feliz Navidad...
Un ex vendedor de seguros llamado a Edgar recibi un correo electrnico de un da de
PayPal, una empresa que ofrece una forma rpida y cmoda de hacer en lnea
pagos. Este tipo de servicio resulta especialmente til cuando una persona en una
parte del
el pas (o el mundo, de eso se trata) est comprando un elemento de un individuo
no lo sabe. Gastos de tarjeta de crdito del comprador de PayPal y transfiere el d
inero
directamente a la cuenta del vendedor. Como un coleccionista de antigedad vidrio
frascos Edgar hicieron de negocios a travs de la empresa de subastas on-line eBay
. A menudo, us PayPal
a veces varias veces por semana. As que Edgar estaba interesado cuando recibi un
en la temporada de vacaciones de 2001 que parecan ser de PayPal, ofrecindole un co
rreo electrnico
una recompensa para actualizar su cuenta de PayPal. Lea el mensaje:
Fiestas felices valoran al cliente de PayPal;
Cuando se aproxima el ao nuevo y como todos nosotros Preprate avanzar en un ao,
PayPal le gustara darle un crdito de $5 a tu cuenta!
Todo lo que tienes que hacer para reclamar que tu regalo de $5 de nosotros es ac
tualizar la informacin nuestro sitio seguro de Pay Pal antes del 1 de 2en0e0r2o.,
Un ao trae muchos cambios, por
actualizar su informacin con nosotros permitir para que nosotros seguir proporcion
ando
usted y nuestro servicio de cliente con excelente servicio y mientras tanto,
mantener nuestros registros rectos!
Para actualizar su informacin ahora y recibir $5 en tu cuenta PayPal
al instante, haga clic en este enlace:

http:\/\/www, paypal-segura. com\/cgi bin


Gracias por usar PayPal.com y ayudarnos a crecer para ser el ms grande de nuestro
tipo! Sinceramente desendoles un muy \"Feliz Navidad y feliz ao nuevo\"
Equipo de PayPal
Una nota acerca de los sitios Web E.commerce
Probablemente sepa quienes son reacios a comprar productos en lnea, incluso desde
nombre de marca empresas como Amazon y eBay o los sitios Web de Old Navy,
Destino, o Nike. En cierto modo, son derecho a sospechar. Si utiliza el navegado
r
hoy el estndar de cifrado de 128 bits, la informacin que enve a cualquiera seguro
sitio sale del equipo cifrado. Estos datos podran ser descifrados con
un gran esfuerzo, pero probablemente no es rompible en una cantidad razonable de
tiempo,
salvo quizs por la Agencia Nacional de seguridad (y la NSA, hasta 98 como
sabemos, no ha mostrado ningn inters en robar nmeros de tarjetas de crdito de Amrica
los ciudadanos o intentar averiguar quin est ordenando cintas sexys o kinky
ropa interior).
Estos archivos cifrados en realidad podan ser divididos por cualquier persona con
el tiempo y
recursos. Pero realmente, qu tonto ira a todo ese esfuerzo para robar una tarjeta
de crdito
nmero cuando muchas empresas de comercio electrnico a cometer el error de almacena
r todos sus
informacin financiera del cliente sin encriptar en sus bases de datos? Peor an, un
nmero
de empresas de comercio electrnico utilice un determinado software de base de dat
os SQL mal
compuesto el problema: han nunca cambi la sistema por defecto
contrasea del administrador del programa. Cuando tomaron el software de la
cuadro, la contrasea es \"nula\", y hoy es todava \"null\". Por lo tanto el conten
ido de la
base de datos estn disponibles para cualquier persona en quien decide intentar co
nectarse a Internet
el servidor de base de datos. Estos sitios estn bajo ataque todo el tiempo y hace
de la informacin
obtener robado, sin que nadie ser ms prudente,
Por otro lado, la misma gente que no compre en Internet porque son
miedo de tener su informacin de tarjeta de crdito robada a no tener ningn problema
de compra
con esa misma tarjeta de crdito en una tienda de ladrillo y mortero, o pagando pa
ra el almuerzo,
Cena, o bebidas con la tarjeta
incluso en un back street bar o restaurante no toman a su madre. Crdito
recibos de tarjeta robadas estos lugares todo el tiempo o pescaban de papeleras
en el callejn. Y cualquier empleado sin escrpulos o camarero puede anotar su nombr
e
y informacin de la tarjeta, o utilizar un gadget disponible en Internet, un pasar
de tarjeta
dispositivo que almacena los datos de cualquier tarjeta de crdito pasa a travs de l
, para su posterior recuperacin.
Hay algunos riesgos de compras en lnea, pero es probablemente tan segura como com
pras
en un almacn de ladrillos y mortero. Y las empresas de tarjetas de crdito ofrecen
el mismo
proteccin al utilizar su tarjeta en lnea--si obtener cargos fraudulentos a
la cuenta, slo eres responsable de los primeros $50.
As en mi opinin, miedo de compras en lnea es slo otro extraviado
preocuparse.
Edgar no observe alguno de los varios signos reveladores que algo estaba mal
con este correo electrnico (por ejemplo, el punto y coma despus de la lnea de salud

o y el
texto ilegible sobre \"nuestro servicio de cliente con excelente servicio\"). l
clic en el enlace, entr la informacin solicitada - nombre, direccin, telfono
crdito y nmero de la tarjeta de informacin - y se sentaron. volver a esperar a los
cinco dlares
crdito aparezca en su prxima factura de tarjeta de crdito. Lo que se mostr en cambio
fue una lista
de las cargas para los elementos nunca compr.
Analizando el timo
Edgar se tom por una estafa de Internet comunes. Es una estafa que viene
en una variedad de formas. Uno de ellos (detalladas en el captulo 9) implica un i
nicio de sesin de seuelo
pantalla creada por el atacante que parece idntico a lo real. La diferencia
es que la falsa pantalla no da acceso al sistema informtico que el usuario
est tratando de alcanzar, pero en su lugar se alimenta su nombre de usuario y con
trasea para el hacker.
Edgar haba tomado una estafa en la que los ladrones haban registrado un sitio Web
con el nombre \"paypal-secure.com\"-que suena como si debera haber sido un
pgina segura en el sitio de PayPal legtimo, pero no est. Cuando entr
informacin en este sitio, los atacantes tiene justo lo que queran.
MENSAJE DE MITNICK
Aunque no infalible (seguridad no es), cuando visita un sitio que pide
informacin se considera privada, asegrese siempre de que la conexin es
autenticacin y cifrado. Y an ms importante, hacer no automticamente
Haga clic en s en cualquier cuadro de dilogo que puede indicar un problema de segu
ridad, como un invlido,
certificado digital ha caducado o ha sido revocado.
VARIACIONES SOBRE LA VARIACIN
Cuntas otras formas existen para engaar a los usuarios de computadoras a un falso
Sitio Web donde ofrecen informacin confidencial? No supongo que nadie
tiene una respuesta vlida, precisa, sino que \"mucha y mucho\" le servir el propsit
o.
El eslabn perdido
Un truco aparece regularmente: enviar un correo electrnico que ofrece una tentado
ra razn para
visita un sitio y proporciona un vnculo para ir directamente a ella. Excepto que
el enlace no
llevarle al sitio piensas que vas a, porque el vnculo slo
se asemeja a un enlace de ese sitio. Aqu es otro examen-circular que realmente se
ha utilizado
en Internet, otra vez caracterizadas por uso indebido del nombre PayPal:
www. PayPai. com
Un vistazo rpido, esto se ve como si dice PayPal. Incluso si la vctima advierte, l
puede pensar que es slo un ligero defecto en el texto que hace la \"I\" de la mir
ada de Pal como un
There was an error deserializing the object of type System.String. Encountered u
nexpected character www. PayPal. com
utiliza el nmero 1 en lugar de una letra minscula L? Hay bastante gente que
Aceptar errores ortogrficos y otra distraccin para hacer este Gambito continuament
e
popular con bandidos de la tarjeta de crdito. Cuando la gente va al sitio falso,
parece
el sitio esperaban ir a, y entran alegremente su tarjeta de crdito
informacin. Para configurar uno de estos sustos, un atacante slo necesita registra
r la
nombre de dominio falso, enviar sus correos electrnicos y espere ventosas mostrar
, listo
al ser engaado.
A mediados de 2002, recib un correo electrnico, al parecer era parte de una masa d
e correo

marcada como de \"Ebay@ebay.com\". El mensaje se muestra en la figura 8.1.


Figura 8.1. El enlace en este o cualquier otro correo electrnico debe utilizarse
con precaucin.
---------------------------------------------------------------------------------------------------------------MSG: eBay Estimado usuario,
Se ha vuelto muy notable que otra parte ha sido corromper a eBay
cuenta y ha violado nuestra poltica de usuario acuerdo figuran:
4. Pujar y comprar
Ests obligado a completar la transaccin con el vendedor si compra un
elemento a travs de uno de nuestro precio fijo formatos o es mejor postor descrit
o
a continuacin. Si eres el mejor postor al final de la subasta (reunin de la
la puja mnima aplicable o requisitos de reserva) y su oferta es aceptada por la
vendedor, ests obligado a completar la transaccin con el vendedor, o el
transaccin est prohibido por ley o por el presente acuerdo.
Ha recibido este aviso de eBay porque ha llegado a nuestra atencin que su
cuenta corriente ha provocado interrupciones con otros usuarios de eBay y eBay
requiere verificacin inmediata de su cuenta. Por favor, compruebe su cuenta o
la cuenta puede ser deshabilitada. Haga clic aqu para verificar tu cuentahttp:\/\
/
error ebay.tripod.com
Marcas y marcas registradas designadas son propiedad de sus respectivos dueos,
eBay y el logotipo de eBay son marcas comerciales de eBay Inc.
------------------------------------------------------------------------------------------------------------------Las vctimas que ha hecho clic en el vnculo pas a una pgina Web que pareca muy parecid
o
una pgina de eBay. De hecho, la pgina fue bien diseada, con un logotipo de eBay autn
tico,
y \"Examinar\", \"Vender\" y otros enlaces de navegacin que, al hacer clic, tomar
on al visitante
el sitio de eBay reales. Tambin hubo un logotipo de seguridad en la esquina infer
ior derecha. Para
disuadir a la vctima ms experimentada, el diseador utiliz incluso codificacin HTML pa
ra mscara
donde se ha enviado la informacin proporcionados por el usuario.
Es un excelente ejemplo de una ingeniera social malintencionado de basados en com
putadoras
ataque. An as, no era sin varios fallos.
El mensaje de correo electrnico no fue bien escrito; en particular, el prrafo que
comienza
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'i'.
bulos nunca contratan un profesional para editar su copia, y muestra siempre). T
ambin,
cualquiera que estaba prestando mucha atencin se hubiera convertido en sospechoso
sobre
eBay pidiendo informacin de PayPal del visitante; no hay ninguna razn eBay sera
pida a un cliente esta informacin privada con una empresa diferente.
Y alguien conocedor de Internet probablemente sera reconocer que la
hipervnculo conecta no al dominio de eBay pero para tripod.com, que es un servici
o gratuito
Servicio de alojamiento Web. Esto fue un regalo muerto que el correo electrnico n
o es legtimo.
An as, apuesto a que mucha gente entr su informacin, incluyendo una tarjeta de crdito
nmero, en esta pgina.
NOTA

Por qu personas pueden registrar engaosa o se los nombres de dominio?.


Debido a que bajo la actual ley y poltica on-line, cualquier persona puede regist
rar cualquier nombre de sitio
que ' ya no est en uso.
Las empresas intentan luchar contra este uso de direcciones de imitacin, pero con
sideran que lo que estn contra. General Motors present demanda contra una empresar
egistrados
f**kgeneralmotors.com (pero sin los asteriscos) y seal que la direccin URL
Sitio Web de General Motor. GM perdida.
Estar alerta
Como usuarios individuales de Internet, todos tenemos que estar alerta, haciendo
un consciente
decisin sobre cuando est bien introducir informacin personal, contraseas, cuentas
nmeros, pasadores y similares.
Cuntas personas conoces que podra decirte si un particular Internet
pgina ests mirando cumple los requisitos de una pgina segura? Cuntos
empleados en su empresa saben qu buscar?
Todos los que usan la Internet deben saber que a menudo sobre el pequeo smbolo
en algn lugar aparece en una pgina Web y se ve como un dibujo de un candado. Ellos
debe saber que cuando se cierra el hasp, el sitio ha sido certificado como
segura. Cuando el hasp est abierto o falta el icono de candado, el sitio Web no e
s
autenticado como autntica, y cualquier informacin transmitida es la clara--es deci
r,
sin cifrar.
Sin embargo, un atacante consigue comprometer privilegios administrativos en un
equipo de empresa puede ser capaz de modificar o parche para el cdigo del sistema
operativo
cambiar la percepcin del usuario de lo que realmente est sucediendo. Por ejemplo,
la
instrucciones de programacin en el software del explorador que indican un sitio W
eb
certificado digital es vlido puede modificarse para omitir la comprobacin. O el si
stema
podran ser modificadas con algo llamado un kit de raz, instalar uno o ms atrs
puertas a nivel de sistema operativo, que son ms difciles de detectar.
Una conexin segura autentica el sitio como autntica y cifra el
informacin que se comunica, por lo que un atacante no puede hacer uso de cualquie
r informacin que
es interceptado. Puedes confiar en cualquier sitio Web, incluso uno que utiliza
un seguro
conexin? No, porque el propietario del sitio puede no ser vigilante sobre la aplic
acin de todos los
parches de seguridad necesarios, o obligando a los usuarios o administradores re
speten bueno
prcticas de la contrasea. As que usted no puede asumir que cualquier sitio supuesta
mente seguro invulnerable a los ataques.
JERGA
PUERTA de atrs un punto de entrada encubierta que proporciona una forma secreta e
n un usuario
equipo que es desconocido para el usuario. Tambin usado por los programadores, mi
entras que el desarrollo
un software programar para que pueden ir en el programa para solucionar problema
s
Secure HTTP (hypertext transfer protocol) o SSL (secure sockets layer) proporcio
na
un mecanismo automtico que utiliza certificados digitales no slo para cifrar
informacin que se enva al sitio distante, sino tambin para proporcionar autenticacin
(una
garanta de que se est comunicando con el autntico sitio Web). Sin embargo, esto

mecanismo de proteccin no funciona para los usuarios que no prestar atencin a


Si el nombre del sitio aparece en la barra de direccin es de hecho la direccin cor
recta del
el sitio que estn intentando acceder.
Otro problema de seguridad, mayormente ignorada, aparece como un mensaje de adve
rtencia que dice
algo as como \"este sitio no es seguro o el certificado de seguridad ha caducado.
Hacer
desea ir al sitio de todos modos?\" Muchos usuarios de Internet no entienden la
mensaje, y cuando aparece, simplemente haga clic en OK o s y continuar con
su trabajo, consciente de que pueden estar en arenas movedizas. Advertencia: en
un sitio
no utilicen un protocolo seguro, nunca debe escribir cualquier confidencial
informacin como su direccin o nmero de telfono, tarjeta de crdito o cuenta bancaria
nmeros, o cualquier cosa que desee mantener en privado.
Thomas Jefferson dijo mantener nuestra libertad necesaria \"vigilancia eterna.\"
Mantener la privacidad y la seguridad en una sociedad que utiliza informacin como
moneda
no requiere menos.
Convertirse en experto en Virus
Una nota especial sobre software antivirus: es esencial para la intranet corpora
tiva, pero
Tambin es esencial para cada empleado que utiliza un equipo. Ms all de simplemente
tener anti
el software antivirus instalado en sus equipos, los usuarios obviamente necesita
n tener la
software de encendido (que mucha gente no gusta porque inevitablemente retrasa
abajo algunas funciones de equipo).
Con antivirus software all es otro procedimiento importante para mantener
mente, as: mantener definiciones de virus actualizadas. A menos que su empresa es
configurar para distribuir software o actualizaciones a travs de la red para cada
usuario, cada
cada usuario debe asumir la responsabilidad de descargar el ltimo conjunto de vir
us
definiciones por su propia cuenta. Mi recomendacin personal es que todo el mundo
establece la
preferencias de software de virus para que se actualicen automticamente nuevas de
finiciones de virus
Todos los das.
JERGA
SECURE SOCKETS LAYER un protocolo desarrollado por Netscape que proporciona
autenticacin de cliente y servidor en una comunicacin segura en la
Internet.
En pocas palabras, eres vulnerable a menos que las definiciones de virus se actu
alizan peridicamente.
Y aun as, todava no est completamente a salvo de virus o gusanos que los anti
las compaas de software de virus an no conocen o no ha publicado an una
archivo de patrn de deteccin para.
Todos los empleados con privilegios de acceso remoto desde sus ordenadores portti
les o casa
equipos que han actualizado el software antivirus y un firewall personal en los
mquinas como mnimo. Un atacante sofisticado a mirar el panorama para
buscar el eslabn ms dbil, y es donde l va a atacar. Recordando a las personas con
equipos remotos con regularidad sobre la necesidad de personal firewalls y actua
lizado,
software Active virus es una responsabilidad, porque no puede esperar
trabajadores individuales, administradores, personal de ventas y otros alejados
de una TI
Departamento recordarn los peligros de dejar sus equipos desprotegidos.
Ms all de estos pasos, recomiendo encarecidamente el uso de los menos comunes, per

o no menos
paquetes de software importante, esa guardia contra ataques de troyanos, llamado
s
software de Anti-Trojan. En el momento de escribir este artculo, dos de las ms con
ocidas
los programas son The Cleaner (www.moosoft.com) y barrido de defensa troyano
(www.diamondcs.com.au).
Por ltimo, lo que es probablemente el mensaje ms importante de la seguridad de tod
os para
las empresas que no buscar correos electrnicos peligrosos en el gateway de la emp
resa: desde
todos tendemos a ser olvidadizo o negligente sobre cosas que parecen perifricas a
obtener nuestros trabajos, los empleados necesitan recordar una y otra vez, en
diferentes maneras, no abrir archivos adjuntos de correo electrnico a menos que e
stn seguros de que
la fuente es una persona u organizacin que pueden confiar. Y tambin las necesidade
s de administracin
para recordar a los empleados que deben utilizar Trojan y software active virus
software que proporciona proteccin valiosa contra el aparentemente fiable
correo electrnico que puede contener una carga destructiva.
Captulo 8
Mediante la simpata, la culpabilidad y la intimidacin
Como se explica en el captulo 15, un ingeniero social utiliza la psicologa de la i
nfluencia
conducir su destino para cumplir con su solicitud. Ingenieros sociales son muy a
ptas
desarrollar una artimaa estimula las emociones, como miedo, excitacin o culpabilid
ad.
Hacen esto mediante el uso de disparadores psicolgicos--mecanismos automticos que
conducen
personas para responder a las solicitudes sin un anlisis profundo de todos los di
sponibles
informacin.
Todos queremos evitar situaciones difciles para nosotros y para otros. Sobre esta
base
impulso positivo, el atacante puede jugar en la simpata de una persona, hacer que
su vctima
se sienten culpables, o utilizar la intimidacin como un arma.
Aqu hay algunas lecciones de la escuela de postgrado en tcticas populares que jueg
an en el
emociones.
UNA VISITA AL ESTUDIO
Has notado alguna vez cmo algunas personas pueden caminar a la guardia en la puer
ta
decir, un saln de hotel donde algunos reunin, fiesta privada o lanzamiento de libr
o
funcin est en marcha y slo a pie pasado esa persona sin ser preguntado por su
billete o pase?
De la misma manera, un ingeniero social puede hablar en lugares que usted
no habra credo posible - como el siguiente relato sobre la industria del cine
aclara.
La llamada telefnica
Oficina de Ron Hillyard, se trata de Dorothy.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following Desarrollo de animacin en el personal de Brian Glassman. Gen
te segura haces cosas
diferentes aqu\".
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements Hacer por usted?\"
There was an error deserializing the object of type System.String. Unexpected en

d of file. Following elements por la tarde para una sesin de tono y no sabe que e
stoy que de hablar sobre
cada vez le en el lote. La gente aqu en la Oficina de Brian es muy agradable pero
Odio a seguir molestando, cmo lo hago, cmo hacer que. Es como yo solo
comenz la secundaria y no puede encontrar mi camino al bao. Ustedes saben lo que
significa?\"
Dorothy se ri.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following obtener Lauren, decirle a que Dorothy dice que ella debe te
ner buena
cuidado de ustedes\".
Gracias, Dorothy. Y si no se encuentra la sala de la de hombres, puedo llamarte
atrs!
Sonre juntos sobre la idea y colg.
Historia de David Harold
Me encanta el cine y cuando me mud a Los Angeles, pens que llegara a
todo tipo de personas se renen en el negocio del cine y me llevaba a lo largo de
Para
las partes y que me durante almuerzo en los estudios. Bueno, estuve all durante u
n ao, me
fue pasando a veintisis aos de edad, y el ms cercano consegu iba en el
Gira de estudios Universal con toda la gente bonita de Phoenix y Cleveland.
As que finalmente que lo consigui al punto donde pens, si ellos no me invitan, te i
nvito
yo mismo. Que es lo que hice.
He comprado una copia de los Angeles Times y lea la columna de entretenimiento
hace un par de das y escribi los nombres de algunos productores en diferentes
estudios. Decid que sera tratar de golpear primero en uno de los grandes estudios.
As que llam a la
panel de control y pidi a la Oficina de este productor ya haba ledo acerca de la
papel. La Secretaria que respondi sonaba el tipo maternal, as que pens
haba conseguido suerte; Si algn joven que estaba all esperando que ella sera
descubierto, ella probablemente no me habra dado la hora del da.
Pero esta Dorothy, ella sonaba como alguien que tuviera en un gatito callejero,
alguien que podra sentir pena por el chico nuevo que estaba sintiendo un poco abr
umado
en el nuevo puesto de trabajo. Y seguro que tengo slo el toque justo con ella. No
es todos los das le
intentar engaar a alguien y te dan ms que le pidieron. Fuera de
lstima, ella no slo me dio el nombre de una de las personas en seguridad, pero dij
o
debe decirle a la seora que Dorothy quera ayudarme.
Por supuesto haba planeado usar nombre de Dorothy de todos modos. Esto hizo an mej
or.
Lauren abri bien y nunca siquiera molestado para buscar el nombre dio a
ver si realmente era la base de datos del empleado.
Cuando condujo hasta la puerta de esa tarde, no slo tena mi nombre el
lista de visitantes, incluso tuvieron un espacio de estacionamiento para m. Tuve
un almuerzo tardo Comisario y vag el lote hasta el final del da. Incluso colado en
un
par de sonido etapas y visto pelculas de tiro ellos. No dejar hasta 7
o ' Clock. Fue uno de mis das ms emocionantes jams.
Analizando el timo
Todo el mundo fue una vez un nuevo empleado. Todos tenemos recuerdos de lo que p
rimero
da era como, sobre todo cuando ramos jvenes y sin experiencia. Cuando un nuevo
empleado pide ayuda, puede esperar que muchas personas--especialmente bsico
personas--se recuerdan sus propios sentimientos de new kid on the block y salir
de
su manera de echar una mano. El ingeniero social lo sabe y entiende

puede utilizarlo para jugar en las simpatas de sus vctimas.


Ponemos demasiado fcil para los forasteros estafar a su manera en nuestra empresa
plantas y oficinas. Incluso con guardias en las entradas y los procedimientos de
inicio de sesin para
quien no es un empleado alguno de varias variaciones en el ardid utilizado
Esta historia permitir un intruso obtener tarjeta de visitante y caminar derecho
en. Y
Si su empresa requiere que los visitantes ser acompaado? Es una buena regla, pero
es
slo efectivo si sus empleados son verdaderamente conciencia acerca de detener a a
lguien
con o sin tarjeta de un visitante que se encuentra en su propia y le cuestionan.
Y
entonces, si las respuestas no son satisfactorias, sus empleados tienen que esta
r dispuestos a
Pngase en contacto con seguridad.
Hacindolo demasiado fcil para los extranjeros a hablar a su manera en sus instalac
iones pone en peligro
informacin confidencial de su empresa. En el clima actual, con la amenaza de
ataques terroristas que se cierne sobre nuestra sociedad, es algo ms que informac
in que
podra estar en peligro.
HGALO AHORA
No todos los que usan tcticas de ingeniera social estn un brillante ingeniero socia
l.
Alguien con conocimientos de un interno de una empresa determinada puede activar
peligroso. El riesgo es an mayor para cualquier empresa que posee en sus archivos
y
bases de datos cualquier informacin personal acerca de sus empleados, que, por su
puesto, la mayora
las empresas hacen.
Cuando los trabajadores no educados o entrenados para reconocer los ataques de i
ngeniera social,
gente decidida como la dama jilted en la siguiente historia puede hacer cosas
personas ms honestas parece imposibles.
Historia de Doug
Cosas no haban ido tan bien con Linda de todas formas, y yo saba que en cuanto
Conoc a Erin que ella fue para m. Linda es, as, un poco... bueno, algo no
exactamente inestable pero ella especie de puede ir en el extremo profundo cuand
o ella se molesta.
Le dije a su como suaves como pude que tena que salir, y ayud a su paquete y
incluso dejarla tomar un par de los CDs de Queensryche que fuese mia de verdad.
Tan pronto
como que se haba ido me fui a la ferretera de un nuevo bloqueo de Medico poner el
puerta de frente y ponerlo en esa misma noche. A la maana siguiente me llama el t
elfono
la compaa y haba cambiar mi telfono nmero y de hecho indito.
Que me dejaron libre a perseguir a Erin.
Historia de Linda
Yo estaba dispuesto a dejar, de todas formas, slo no decidi cundo. Pero a nadie le
gusta sentirse
rechazado. As que era slo una cuestin de, qu podra hacer para hacerle saber qu imbcil
fue?
No tarda mucho en averiguar. Tiene que haber otra chica, de lo contrario l
no de me envi embalaje con tanta prisa. As que sera justo esperar un poco y luego i
niciar
llamndole la tarde. Ustedes saben, todo el tiempo menos desearan
a llamarse.
Esper hasta el prximo fin de semana y llamado alrededor de 11 en la noche del sbado
.

Slo haba cambiado su nmero de telfono. Y el nuevo nmero fue oculta. Que
slo muestra qu clase de SOB el chico era.
No era tan grande de un revs. Empec hurgaba entre los papeles que haba
logr llevar a casa justo antes de que dej mi trabajo en la compaa telefnica. Y all
fue--haba guardado un billete de reparacin de una vez cuando hubo un problema con
el
lnea telefnica de Doug y la impresin de la lista
el cable y el par de su telfono. Ver, puede cambiar su nmero de telfono todos
desea, pero todava tiene el mismo par de cables de cobre desde su
casa a la compaa telefnica Oficina de conmutacin, llalma adCoentral
Oficina o CO. El conjunto de cables de cobre desde todas las casas y apartamento
s es
identificados por estos nmeros, llamados el cable y el par. Y si sabes Cmo
la compaa telefnica hace cosas, que hago, sabiendo el cable del destino y es par
todo lo que necesita saber el nmero de telfono.
Tena una lista de todos los COs de la ciudad, con sus direcciones y telfonos
nmeros. Busqu el nmero de CO en el barrio donde ME
Sola vivir con Doug jerk y se llama, pero, naturalmente, nadie estaba all.
Dnde est el guardarrail cuando realmente lo necesita? Me llevo todos sobre veinte
segundos para idear un plan. Comenz a llamar alrededor a otro COs y
finalmente encuentra a un chico. Pero fue a millas de distancia y fue probablesm
enetnatedo all
con los pies arriba. Saba que no quiere hacer lo que necesitaba. Yo estaba dispue
sto con
mi plan.
There was an error deserializing the object of type System.String. End element '
root'p farroam u nnamespace '' unidad de paramdico ha disminuido. Tenemos un tcnic
o de campo tratando de restaurar
servicio, pero l no se encuentra el problema. Necesitamos que a la unidad sobre l
a
Webster CO inmediatamente y ver si tenemos que salir de la Oficina central de to
no de marcado.
Y entonces yo le dije, ' te llamar cuando llegue all, \"porque por supuesto ME
no poda tenerlo llamando al centro de reparacin y preguntando por m.
Yo saba que l no quiere abandonar la comodidad de la Oficina central de paquete
y vaya raspar hielo frente a su parabrisas y la unidad a travs de la para soborno
s por la noche. Pero
fue una emergencia, por lo que l no poda decir exactamente que estaba demasiado oc
upado.
Cuando llegu a l cuarenta y cinco minutos ms tarde en el Webster CO, le dije Para
comprobar cable 29 par demillonesde y l caminaban a la llama y comprueban y dijer
on,
S, hubo tono de marcado. Que por supuesto ya saba.
As, entonces que me dijo, \"Est bien, necesito hacer un LV,\" que significa lnea de
verificacin,
que se le peda para identificar el nmero de telfono. Lo hace marcado un
nmero especial que Lee atrs el nmero llam desde. l no saber
nada acerca de si es un nmero no cotizado o es justbeen cambiado, por lo que hizo
lo ped y me escuch el nmero que se anuncian en conjunto de prueba de su liniero.
Hermosa. Todo esto haba trabajado como un encanto.
Yo le dije, \"Bueno, el problema debe estar fuera en el campo,\" como ya saba el,
, umber
todo junto. Yo le agradeci y le dijo que sera seguir trabajando en l y dijo bueno
noche.
MENSAJE DE MITNICK
Una vez que un ingeniero social sabe cmo funcionan las cosas dentro de la empresa
de destino, se
se convierte en fciles de usar ese conocimiento para desarrollar la relacin con le
gtimo
empleados. Las empresas deben prepararse para ataques de ingeniera social de

empleados actuales o anteriores que pueden tener un hacha para moler. Antecedent
es
puede ser til para desestimar las perspectivas que pueden tener una propensin haci
a esta
tipo de comportamiento. Pero en la mayora de los casos, estas personas ser extrema
damente difciles
detectar. La salvaguardia slo razonable en estos casos es aplicar y auditora
procedimientos de verificacin de identidad, incluyendo la situacin laboral de la p
ersona, previa
a divulgar cualquier informacin a cualquier persona no personalmente sabe que an c
on el
empresa.
Tanto para Doug y tratando de esconder de m detrs de un nmero no cotizado.
La diversin estaba a punto de comenzar.
Analizando el timo
La joven dama en esta historia fue capaz de obtener la informacin que quera llevar
cabo su venganza porque ella tena dentro de conocimiento: los nmeros de telfono,
procedimientos y la jerga de la compaa telefnica. Con ella no logr slo
averiguar un nmero de telfono nuevo, estn ocultos, pero fue capaz de hacerlo en med
io de un
noche invernal, enviando a un guardarrail telfono persiguiendo a travs de la ciuda
d para ella.
SR. BIGG QUIERE ESTO
Una forma de intimidacin--popular en gran medida popular y altamente eficaz
porque es tan simple--se basa en que influyen en el comportamiento humano median
te el uso de la autoridad.
Slo el nombre del asistente en la Oficina del CEO puede ser valioso. Privada
investigadores y cazadores de cabeza incluso hacen esto todo el tiempo. Te llama
n la
operador de panel de control y decir quieren estar conectado a la Oficina del CE
O.
Cuando el Secretario o respuestas de asistente Ejecutiva, te dicen que tienen un
documento o paquete para el CEO o si enva un archivo adjunto de correo electrnico,
imprimirlo? O otro te preguntan, cul es el nmero de fax? Y por cierto,
Cmo te llamas?
A continuacin, llaman a la siguiente persona y decir, \"Jeannie en la Oficina del
Sr. Bigg me dijo que
llamarle para que me pueda ayudar con algo.\"
La tcnica se denomina name-dropping, y generalmente es usado como un mtodo para
rpidamente establecer rapport por influir en el destino de creer que el atacante
conectado con alguien en autoridad. Es ms probable que hacer un favor un destino
alguien que conoce a alguien que sabe.
Si el atacante tiene sus ojos en informacin altamente confidencial, podr utilizar
esta
tipo de enfoque para agitar emociones tiles en la vctima, como el temor de contrae
r
problemas con sus superiores. Este es un ejemplo.
Historia de Scott
Scott Abrams.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following y l es ms que un poco infeliz. Dice que envi una nota hace die
z das
personas fueron obtener copias de todos su investigacin de penetracin de mercado a
nosotros para
anlisis. Nunca tuvimos algo.\"
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following Qu departamento Ests en?\"
There was an error deserializing the object of type System.String. Encountered u
nexpected character '\"'.
Estoy solo en mi camino a una reunin. Permtanme obtener su nmero de telfono

y... \"
El atacante ahora sonado a verdaderamente frustrado: \"es que lo que
t quieres que diga el Sr. Biggley?! Escucha, l espera que nuestro anlisis por la maa
na
maana y nos tienen que trabajar con l esta noche. Ahora, quieres que le diga
no poda hacerlo porque no podamos recibimos el informe de usted, o desea contar
lo que usted mismo?. \"
Un enojado CEO puede arruinar su semana. El objetivo es probable que decida que
quiz esto
es algo que mejor cuidan antes l entra en esa reunin. Otra vez
el ingeniero social ha presionado el botn derecho para obtener la respuesta que q
uera.
Analizando el timo
El ardid de intimidacin con referencia a la autoridad funciona especialmente bien
si la
otra persona est en un nivel bastante bajo en la empresa. El uso de un importante
nombre de la persona no slo supera reticencia normal o sospecha, pero a menudo
hace que la persona deseoso de agradar; es el instinto natural de querer ser til
multiplica cuando piensas que la persona que est ayudando es importante o
influyente.
Sin embargo, el ingeniero social sabe que lo mejor es cuando se ejecuta este par
ticular
engao a utilizar el nombre de una persona a un nivel superior del jefe de la pers
ona.
Y este Gambito es complicado utilizar dentro de una organizacin pequea: el atacant
e no
desea que su vctima haciendo una oportunidad de comentar el VP de marketing. \"En
viaron el
tenas ese chico me llaman, de plan de marketing de producto\"demasiado fcilmente p
uede producir un
respuesta de \"Qu plan de marketing? Qu chico?\" Y que podra conducir a la
descubrimiento de que la empresa ha sido victimizada.
MENSAJE DE MITNICKS
Intimidacin puede crear un miedo del castigo, que influyen en la gente a cooperar
.
Intimidacin puede plantear tambin el temor de la vergenza o de ser descalificado
de esa nueva promocin.
Deben ser capacitados que es no slo aceptable sino esperado desafo
autoridad cuando la seguridad est en juego. Formacin de seguridad de informacin deb
e incluir
enseanza personas cmo desafiar la autoridad de formas orientado al cliente, sin
daar las relaciones. Adems, esta expectativa debe apoyarse en la
arriba a abajo. Si un empleado no va a ser copia de seguridad para personas exig
entes
independientemente de su condicin, la reaccin normal es parar desafiante--slo el
lo contrario de lo que desea.
QU SABE LA ADMINISTRACIN DE SEGURIDAD SOCIAL
LE
Nos gusta pensar que los organismos gubernamentales con les nos tenga la informa
cin
bloqueado con seguridad lejos de personas sin una autntica necesidad de saber. La
realidad es
que incluso el Gobierno federal no es tan inmune a la penetracin como nos gustara
imaginar.
Puede llamada de Linn
Lugar: Oficina regional de la administracin de Seguridad Social
Tiempo: 1 0:1 8 de la maana el jueves por la maana
Tres mod. Esto es posible Linn Wang.
La voz en el otro extremo del telfono sonaba apologtico, casi tmido.
There was an error deserializing the object of type System.String. Unexpected en

d of file. Following elements llamar 'Mayo'?


There was an error deserializing the object of type System.String. Encountered u
nexpected character There was an error deserializing the object of type System.S
tring. Unexpected end of file. Following el equipo an y ahora tiene un proyecto p
rioritario y l est usando minas.
Somos el Gobierno de los Estados Unidos, para cryin'en voz alta, y dicen
no tienen suficiente dinero en el presupuesto para comprar un equipo para este c
hico a utilizar.
Y ahora piensa que mi jefe estoy quedando atrs y no quiere escuchar las excusas,
sabes?\"
S lo que quiere decir, todos los derechos.
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'h'.
el sistema informtico para buscar informacin sobre los contribuyentes.
Sin duda, es necesario what'cha?
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following 04\/07\/69.\" (Alphadent significa que la bsqueda de equipo
para una cuenta
alfabticamente por contribuyente nombre, ms identificado por fecha de nacimiento.)
Despus de una breve pausa, pregunta:
Qu necesita saber?
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'h'.
abreviatura para el nmero de seguridad social. Ella leerlo fuera.
Est bien, te necesito hacer una numident en ese nmero de cuenta,
dijo que el llamador.
Fue una peticin de ella leer los datos bsicos del contribuyente y puede Linn
respondi dando lugar del contribuyente de nacimiento, apellido de soltera de la m
adre, y
nombre del padre. El llamador escuch pacientemente mientras ella tambin le dio el
mes y
ao que se emiti la tarjeta y que fue emitido por la Oficina del distrito.
A continuacin pidi un DEQY. (Pronunciado \"DECK-wee\", es corto
para \"consulta detallada ganancias.\")
La solicitud DEQY trajo la respuesta, \"de qu ao?\"
El llamador respondi, \"Ao 2001\".
Puede Linn dijo, \"el monto era de $190.286, el ordenante fue MicroTech Johnson\
".
Los otros salarios?
No.
There was an error deserializing the object of type System.String. Encountered u
nexpected character Luego intent organizar a llaman cuando necesita informacin y n
o poda
llegar a su equipo, utilizando nuevamente el truco favorito de los ingenieros so
ciales de siempre
tratando de establecer una conexin de modo que l puede seguir volviendo a la misma
persona, evitando la molestia de tener que encontrar una marca nueva cada vez.
There was an error deserializing the object of type System.String. Encountered u
nexpected character 's'.
boda. Cualquier otro momento, ella hara lo que pudiera.
Cuando ella pone el telfono hacia abajo, puede Linn sinti bien que haba sido capaz
de ofrecer
un poco de ayuda a un funcionario apreciado compaero.
Historia de Keith Carter
Para juzgar de las pelculas y de delincuencia ms vendida novelas, un privado
investigador es corto sobre tica y mucho conocimiento de cmo obtener los hechos ju
gosos
en las personas. Hacen esto mediante mtodos completamente ilegales, mientras que
apenas
gestin evitar obtener detenido. La verdad, por supuesto, es que la mayora PIs

empresas totalmente legtimas. Dado que muchos de ellos empezaron su vida laboral
como
juramento agentes del orden, saben perfectamente lo que es legal y lo
no es y ms no son tentados a cruzar la lnea.
Sin embargo, hay excepciones. De hecho caben algunas Pis - ms que unos pocos - el
molde de los chicos en las historias de crimen. Estos chicos son conocidos en el
comercio como
agentes de informacin, un trmino amable para personas que estn dispuestos a romper
las reglas.
Saben que pueden obtener cualquier asignacin de hecho mucho ms rpido y mucho
ms fcil si sacan algunos accesos directos. Que estos accesos directos resultan ser
potenciales
delitos que se les podran aterrizar tras las rejas durante unos pocos aos no parec
e disuadir a
los ms inescrupulosos.
Mientras tanto el lujo PIs--quienes trabajan fuera de una suite de Oficina de lu
jo en un
Alquiler de gran parte de la ciudad--no hacer este tipo de trabajo ellos mismos.
Simplemente contratan
algunos corredores de informacin para hacer por ellos.
El chico que llamaremos Keith Carter era el tipo de ojo privado no comprometido
por
tica.
Fue un caso tpico de \"Donde esconde el dinero?\" O a veces tiene
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'S'.
sabe donde su marido haba escondido su dinero (aunque, por qu una mujer con
dinero nunca se casa con un chico sin fue un acertijo Keith Carter pregunta ahor
a
y, a continuacin, pero nunca haba encontrado una buena respuesta para).
En este caso el esposo, cuyo nombre era Joe Johnson, fue el mantenimiento de una
la
dinero en hielo. \"Era un chico muy inteligente que haba comenzado una empresa de
alta tecnologa
con diez mil dlares que tomados de la familia de su esposa y construido en un
firma de cien - millones de dlares. De acuerdo con su abogado de divorcio, haba he
cho un
impresionante trabajo de ocultar sus bienes y el abogado quera un resumen complet
o.
Keith figur que su punto de partida sera la administracin de la Seguridad Social,
dirigidas a sus archivos sobre Johnson, lo cual estara llena de gran utilidad
informacin para una situacin como sta. Armados con sus informaciones, Keith podra pr
etender
el destino y los bancos, las empresas de corretaje y instituciones extraterritor
iales para contar
l todo.
Fue su primera llamada telefnica a una Oficina de distrito local, utilizando el m
ismo 800 nmero que
utiliza cualquier miembro del pblico, el nmero que aparece en la libreta de telfono
s local. Cuando
un empleado entr en la lnea, Keith pidi estar conectado a alguien en reclamaciones.
Espera otro y luego una voz. Ahora Keith desplazado engranajes; \"Hola,\" comenz.
\"Esto es
Gregory Adams, Oficina del distrito de 329. Escucha, estoy tratando de llegar a
un ajustador de reclamaciones
que controles de cuenta de una nmero termina en 6363, y el nmero que tengo va a
una mquina de fax\".
There was an error deserializing the object of type System.String. The token 'tr
ue' was expected but found A continuacin llam Mod 2. Cuando Linn puede responder,
cambi de sombreros y fui

a travs de la rutina de ser desde la Oficina del Inspector General y la


problema sobre alguien ms tener que utilizar su equipo. Ella le dio la
informacin que estaba buscando y decidieron hacer lo que ella poda cuando l
necesita ayuda en el futuro.
Analizando el timo
Lo que hizo este planteamiento eficaz fue la obra de la simpata del empleado con
la historia acerca de que otra persona use su equipo y \"mi jefe no est contento
con
Me\". Personas no mostrar sus emociones en el trabajo muy a menudo; cuando lo ha
cen, puede
rollo derecho sobre otra persona ordinaria defensas contra la ingeniera social
ataques. La estratagema emocional de \"estoy en problemas, no me puedes ayudar?\
" fue todo lo
llev a ganar el da.
Inseguridad social
Increblemente, la administracin de la Seguridad Social ha enviado una copia de su
entera
Manual de operaciones del programa en la Web, atiborrada con informacin til
para su pueblo, pero tambin increblemente valiosos sociales ingenieros. Contiene
abreviaturas, jerga e instrucciones de cmo solicitar lo que desee, como
se describe en esta historia.
Desea obtener ms informacin acerca de la administracin de Seguridad Social interna?
Simplemente busca en Google o escriba a la siguiente direccin en su navegador:
http:\/\/Policy.SSA.gov\/poms.nsf\/. A menos que la Agencia ya ha ledo esta histo
ria y
eliminado el manual cuando leas esto, encontrar las instrucciones on-line que
incluso dar informacin detallada sobre los datos que se puede otorgar a un emplea
do de SSA
la comunidad de aplicacin de la ley. En trminos prcticos, esa comunidad incluye cua
lquier
ingeniero social que puede convencer a un empleado de SSA que l es de una aplicac
in de la ley
Organizacin. El atacante no podra haber sido exitoso en la obtencin de este
informacin de uno de los secretarios que maneja llamadas telefnicas de la general
pblico. El tipo de ataque Keith utiliza slo funciona cuando la persona en la
el extremo receptor de la llamada es alguien cuyo nmero de telfono no est disponibl
e para la
deben ser pblico, y que por lo tanto, tiene la expectativa de que nadie llama
alguien en el interior--otro ejemplo de seguridad speakeasy'. Los elementos
ayud a este ataque al trabajo incluye:
Conocer el nmero de telfono para el Mod.
Conocer la terminologa que utilizaban--numident, alphadent y DEQY.
Pretendiendo ser de la Oficina del Inspector General, que cada federal
empleado de Gobierno sabe como una agencia de investigacin de todo el Gobierno co
n
amplios poderes. Esto da al atacante un aura de autoridad.
Una Pilota interesante: los ingenieros sociales parecen saber cmo hacer solicitud
es
por lo que casi nadie nunca piensa, \"por qu llaman me ' - aun cuando
Lgicamente; habra hecho ms sentido si la llamada se haba ido a algn otro
persona en algn departamento completamente diferente. Tal vez simplemente ofrece
como una
romper la monotona de la rutina diaria para ayudar a la persona que llama que la
vctima
descuentos parece inusual forma de la llamada.
Finalmente, el atacante en este incidente, no satisfecho con la obtencin de la in
formacin slo
para el caso que nos ocupa, querido establecer un contacto podra llamar el regula
rmente. l
de lo contrario podra haber sido capaz de utilizar una tctica comn para el ataque d

e simpata-There was an error deserializing the object of type System.String. Encountered u


nexpected character teclado puede sustituirse en un da.
Por lo tanto utiliz la historia acerca de alguien que otra persona use su equipo,
que poda
cadena razonablemente por semanas: \"Yep, pens que iba a tener su propio equipo
lleg ayer, pero uno en y otro chico tirado algn tipo de acuerdo y lo
en su lugar. As que este joker es todava aparezca en mi cubculo.\" Y as sucesivament
e.
Pobre me, necesito ayuda. Funciona como un encanto.
UNA SIMPLE LLAMADA
Uno de los obstculos principales del atacante es hacer su peticin razonable de son
ido
algo tpico de pide que vienen hasta en la jornada de trabajo de la vctima, algo
que no ponen a la vctima fuera demasiado. Como con un montn de otras cosas en la v
ida,
haciendo una solicitud suena lgico puede ser un desafo, que un da, pero la prxima, p
uede
ser un pedazo de pastel.
Llamada Mary H
Fecha y hora: el lunes, 23 de noviembre, 7:49
Lugar: Mauersby
A la mayora de la gente, trabajos de contabilidad es nmero crunching y recuento de
frijol,
generalmente visto como unos tan agradable como tener un canal de raz. Afortunada
mente,
no todo el mundo ve el trabajo de este modo. Mary Harris, por ejemplo, encontr su
trabajo
como un contable senior absorbente, parte de la razn fue uno de los ms
empleados de contabilidad dedicados a ella
empresa.
Sobre este particular lunes, Mary lleg temprano para obtener una ventaja en lo qu
e ella
espera a ser un da largo y se sorprendi al encontrar su timbre de telfono. Ella
recog y dio su nombre.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following soporte tcnico para su empresa. Hemos iniciado un par de que
jas durante el fin de semana
de las personas que tienen problemas con los equipos all. Pens que poda
solucionar problemas antes de que todo el mundo entra en trabajo esta maana. Tiene
cualquier problema con el equipo o la conexin a la red?\"
Ella le dijo que no saba an. Ella encendida su equipo y mientras era
arranque, explic lo que quera hacer.
There was an error deserializing the object of type System.String. End element '
root' from namespace las pulsaciones de tecla que escribe, y queremos seguro van
a travs de la red
correctamente. As que cada vez que escriba un trazo, quiero que me diga lo que es
, y I'll
ver si la misma letra o nmero es aparecer aqu. Okay?\"
Con visiones de pesadilla de su equipo no funciona y un da frustrante de no
ser capaz de hacer cualquier trabajo, ella estaba ms que feliz con la ayuda de es
te hombre
su. Despus de unos momentos, ella le dijo: \"tengo la pantalla de inicio de sesin,
y voy a
Escriba en mi ID. Yo estoy escribiendo ahora--M...A...R....Y...F.\"
There was an error deserializing the object of type System.String. Encountered u
nexpected character contrasea pero no me digas lo que es. Nadie no diga nunca su
contrasea, ni soporte tcnico. Slo voy a ver asteriscos aqu--es tu contrasea
protegido por lo que no puedo ver it ': nada de esto era cierto, pero tena sentid
o a Mara. Y

luego dijo, \"Djame saber una vez que el equipo ha puesto en marcha\".
Cuando dijo que se estaba ejecutando, tuvo su abierto dos de sus aplicaciones y
ella
inform que lanzaron \"bien\".
Mary se siente aliviada al ver que todo pareca estar funcionando normalmente. Pet
er
dijo: \"me alegro que pude hacer seguro que podrs utilizar tu equipo est bien. Y
\"escuchar, aadi,\" acaba de instalar una actualizacin que permiten a la gente a ca
mbiar sus
contraseas. Estara dispuesto a tomar un par de minutos conmigo, por lo que puede
ver si conseguimos que funcione bien?
Fue agradecido por la ayuda que haba dado y fcilmente de acuerdo. Peter habl
ella a travs de los pasos del lanzamiento de la aplicacin que permite al usuario c
ambiar
contraseas, un elemento estndar del sistema operativo Windows 2000. \"Go
por delante e introduzca su contrasea, \"le dijo. \"Pero no olvide decir que fuer
a
fuerte.\"
Cuando ella haba hecho eso, Pedro dijo, \"slo para esta prueba rpida, cuando le pre
gunta por su
nueva contrasea, escriba 'test123'. A continuacin, escriba de nuevo en la casilla
de verificacin, y
Haga clic en entrar.\"
Le camin a travs del proceso de desconexin del servidor. l tuvo su
esperar un par de minutos y, a continuacin, conectar de nuevo, esta vez intentand
o iniciar sesin con ella
nueva contrasea. Funcion como un encanto, Pedro pareca muy complacido y le habl
a travs de cambiar a su contrasea original o elegir uno nuevo--una vez
ms le advirti de no decir la contrasea en voz alta.
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'P'.
Si ningn problema, simplemente llame aqu en Arbuckle. Estoy generalmente en
proyectos especiales pero alguien que pueden ayudarle a respuestas\". Ella le ag
radeci a
y dijeron adis.
Historia de Peter
La palabra haba metido sobre Peter--un nmero de personas en su
Comunidad que haba ido a la escuela con l haba odo que convirti en algn tipo
de un genio de la computadora que a menudo puede encontrar informacin til que otra
s personas
no se pudo obtener. Cuando Alice Conrad le vino a pedir un favor, dijo no al pri
ncipio.
Por qu debera l ayudar? Cuando l se top con ella una vez e intent pedir una fecha, ell
haba rechaz fra.
Pero su negativa a ayudar no pareca le sorprende. Dijo que ella no pensaba que er
a
algo que poda hacer de todos modos. Fue como un desafo, porque por supuesto
estaba seguro que poda. Y que fue cmo lleg a
de acuerdo.
Alice haba ofrecida un contrato para algn trabajo de consultora para un marketing
empresa, pero los trminos del contrato no parecan muy bueno. Antes de que ella reg
res a
piden un mejor trato, ella quera saber qu trminos otros consultores en
sus contratos.
Se trata de cmo Peter narra la historia.
No digo que Alice pero baj de la gente que me quiere hacer algo
no creo que pudiera, cuando supe que sera fcil. Bueno, no fcil, exactamente, no
A esta hora. Sera necesario un poco de hacerlo. Pero que estaba bien.
Podra mostrar su qu inteligente trataba realmente.
Un poco despus 7:30 el lunes por la maana, llam a las oficinas de la empresa de mar

keting y
obtuvo al recepcionista, dijo que estaba con la empresa que maneja su pensin
planes y necesita hablar con alguien en contabilidad. Advirti si alguno de los
Contabilidad personas an no haban llegado? Ella dijo: \"creo que vi a Mary vienen e
n unos pocos
hace minutos, voy a tratar le para usted.\"
Cuando Mara recogi el telfono, le dije mi pequea historia sobre el equipo
problemas, que fue diseado para darle el nerviosismo por lo que estara encantado d
e cooperar.
Tan pronto como le haba hablado a travs de cambiar su contrasea, yo entonces rpidame
nte registran
en el sistema con la misma contrasea temporal haba pedido a utilizar,
test123.
Aqu es donde la maestra viene--he instalado un pequeo programa que
me permiti acceso sistema informtico de la empresa, siempre he querido, utilizando
un
contrasea secreta de mi propia. Despus colgaron con Mary, fue mi primer paso para
borrar
la auditora camino por lo que nadie sabra incluso haba estado en su sistema. Era
fcil. Despus de elevar mis privilegios de sistema, fui capaz de descargar un libre
programa llamado clearlogs que encontr en un seguridad - relacionados sitio Web e
n
www.ntsecurity.nu.
Tiempo para el trabajo real. Corr a buscar los documentos con el contrato de pala
bra\"
el nombre de archivo y los archivos descargados. Entonces busqu ms y lleg
la veta madre--el directorio que contiene todos los pagos de consultor informes.
As que me
juntar todos los archivos de contrato y una lista de pagos.
Alice podra poros a travs de los contratos y ver cunto estaban pagando otros
consultores. Dejarla hacer el donkeywork de exageradas a travs de todos esos arch
ivos. Tuve
hacer lo que me pregunta.
Desde los discos puse los datos, imprimido por lo que algunos de los archivos
ella pudo mostrar la evidencia. Hizo conocerme y comprar la cena. Usted debe
han visto su rostro cuando ella thumbed a travs de la pila de documentos. \"No wa
y\", ella
dijo. \"No way\".
No traigo los discos. Eran el cebo. Dijo que ella tendra que venir
para obtenerlos, esperando quizs ella quiere mostrar su gratitud por el favor
le hice.
MENSAJE DE MITNICK
Es increble lo fcil que es para que un ingeniero social para que la gente a hacer
cosas basadas
sobre cmo estructura la solicitud. La premisa es desencadenar una respuesta automt
ica
basado en principios psicolgicos y dependen de la toma del pueblo de atajos menta
les
Cuando perciben el llamador como aliado.
Analizando el timo
Llamada a la empresa de marketing de Peter representa la forma ms bsica de
ingeniera social--un intento simple que necesitan poca preparacin, trabaj en el
primer intento y tom slo unos minutos para que.
An mejor, Mary, la vctima no tena ninguna razn para pensar que cualquier tipo de tru
co o treta
haba desempeado en ella, ninguna razn para presentar una denuncia o plantear un ruc
kus.
El esquema funcion a travs del uso de Peter de tres tcticas de ingeniera social. Pri
mero
obtuvo cooperacin inicial de Mary generando miedo--hacerla pensar que ella

equipo no sea utilizable. Luego tom el tiempo para tenerla a abrir dos de ella
aplicaciones as que ella podra ser segura estaban trabajando muy bien, fortalecimi
ento de la
relacin entre los dos de ellos, un sentido de ser aliados. Finalmente, consigui qu
e le
mayor cooperacin para la parte esencial de su tarea jugando con su agradecimiento
por la ayuda que haba proporcionado en asegurarse de que su equipo estaba bien.
Dicindole ella no debera nunca revele su contrasea, no debe revelar incluso
l, Peter hizo un trabajo exhaustivo pero sutil de convencerla de que le preocupab
a
sobre la seguridad de los archivos de su empresa. Esto aumenta la confianza que l
debe ser legtimo, porque l era proteger a ella y la empresa.
LA POLICA RAID
Imagen esta escena: el Gobierno ha estado tratando de poner una trampa para un h
ombre llamado
Arturo Snchez, quien ha estado distribuyendo pelculas gratis por Internet. El
Estudios de Hollywood dicen que est violando sus derechos de autor, dice que l est
tratando de
empujar a reconocer un mercado inevitable por lo que podr empezar a hacer algo
acerca de hacer nuevas pelculas disponibles para su descarga. (Correctamente) seal
a
Esto podra ser una enorme fuente de ingresos para los estudios que parecen ser
ignorando completamente.
Buscar orden, por favor
Casa tarde una noche, l comprueba las ventanas de su apartamento desde
a travs de la calle y los avisos de las luces estn apagados, aunque siempre deja u
no
en cuando l sale.
l libras y golpea en la puerta de un vecino, hasta que el hombre despierta y apre
nde
hubo de hecho una redada policial en el edificio. Pero hicieron los vecinos
quedarse abajo, y l an no seguro qu apartamento que entraron. l slo
sabe dejaron llevar algunas cosas pesadas, slo ellos estaban envueltos arriba y l
no poda decir lo que eran. Y no tener a nadie en esposas.
Arturo comprueba su apartamento. La mala noticia es que existe un documento de l
a polica
que requieren que llame de inmediato y solicitar una cita para una entrevista
dentro de tres das. La peor noticia es que sus equipos estn desaparecidos.
Arturo se desvanece en la noche, va a quedar con un amigo. Pero la incertidumbre
Roe en l. Cunto s la polica? Han ellos atrapados con l en
por ltimo, pero le dej una oportunidad de huir? O esto es acerca de algo ms completo
,
algo que puede aclarar sin tener que salir de la ciudad?
Antes de leer sobre, pararse a pensar por un momento: se puede imaginar cualquie
r forma le
puede averiguar lo que la polica sabe sobre usted? Suponiendo que no tienes ningun
a
hacer contactos polticos o amigos en el departamento de polica o la Fiscala s,
te imaginas que hay alguna forma de que usted, como un ciudadano cualquiera, pod
ra conseguir esto
informacin? O puede que incluso alguien con conocimientos de ingeniera social?
Timos de la polica
Arturo satisfecha su necesidad de saber como esta:, obtuvo el telfono
nmero de un almacn cercano de copia, llam y pidieron su nmero de fax.
Entonces llam a la Fiscala y pidieron registros. Cuando tena
conectado con la Oficina de registros, present a s mismo como un investigador con
Condado de Lake y dijo que necesitaba hablar con el empleado que archivos activo
s
mandamientos.
There was an error deserializing the object of type System.String. The token 'tr

ue' was expected but found sospechoso anoche y yo estoy intentando localizar la
declaracin jurada.\"
There was an error deserializing the object of type System.String. Encountered u
nexpected character Dio su direccin, y ella sonaba casi emocionada. \"Oh, s,\" ell
a barbotear, \"me
saber que uno. \"El autor Caper.'\"
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'h'.
Ah, lo tengo aqu.
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'h'.
Servicio en este caso si yo quince minutos. He sido tan despistado ltimamente, sa
l
el archivo en su casa y me no voy nunca hacerla ida y vuelta en el tiempo. Pude
obtener copias
de usted?\"
Seguro, no hay problema. Voy a hacer copias; puede venir justo encima y recogerl
o.
There was an error deserializing the object of type System.String. Encountered u
nexpected character posible usted podra fax les a m?\"
Que cre un pequeo problema, pero no insuperables. \"No tenemos un fax
aqu en registros,\"dijo. \"Pero tienen uno abajo en la Oficina del empleado
ellos podran permitirme usar.\"
Dijo, \"Djame llamar a Oficina del empleado y configurarlo\".
La dama en la Oficina del Secretario dice que alegrara a cuidar de l pero quera
saber \"Quin va a pagar?\" Necesitaba un cdigo contable.
There was an error deserializing the object of type System.String. Encountered u
nexpected character Entonces llam a la Oficina del DA, nuevamente se identific com
o oficial de polica y
simplemente pide al recepcionista, \"Qu es el cdigo contable para oficina del DA?\"
Sin dudarlo, le dijo.
Llamar a volver a la Oficina del empleado para proporcionar el nmero de cuentas l
e dio el
excusa para manipular la dama un poco ms: le habl a caminar
arriba para obtener copias de los documentos a ser enviado por fax.
NOTA
Cmo sabe un ingeniero social los detalles de operacin tantos: polica
departamentos, oficinas de fiscales, prcticas de compaa de telfono, la organizacin de
especfico las empresas se encuecnatrmanp osentil en sus ataques, tales como
telecomunicaciones y equipos? Porque es su negocio para averiguar. Esto
el conocimiento es un stock de ingenieros sociales en el comercio porque la info
rmacin puede ayudar l en sus esfuerzos por engaar.
Cubriendo sus huellas
Arturo todava tena un par de pasos a seguir. Siempre existe la posibilidad
que alguien huele algo sospechoso, y podra llegar a la tienda de copia
para encontrar una pareja de detectives, vestida casualmente y tratando de busca
r ocupado hasta
alguien apareci pidiendo ese fax particular. Esper un rato y luego
devolver la llamada Oficina de empleado para verificar que la seora haba enviado e
l fax. Muy bien hasta Llam a otro almacn de copia de la misma cadena a travs de la
ciudad y utiliza el ardid
acerca de cmo fue \"complacido con su manejo de un trabajo y desea escribir la
Administrador de una carta de felicitacin, cul es su nombre?\" Con esa pieza esenci
al
de la informacin, llamada la primera tienda de copia nuevamente y dijo que quera h
ablar con
el administrador. Cuando el hombre recogi el telfono, Arturo dijo: \"Hola, esto es
Edward
en tienda 628 de Hartfield. Mi jefe, Anna, me dijo que le llamemos. Tenemos un
cliente que es todo molesto--alguien le dio el nmero de fax de la tienda equivoca

da.
Aqu est esperando un fax importante, slo el nmero le dieron es para tu
tienda.\" El Gerente se comprometi a tener uno de su pueblo busque el fax y envia
rlo
a la tienda inmediatamente de Hartfield.
Arturo ya estaba esperando en la segunda tienda cuando el fax lleg all. Vez
lo tena en la mano, llamado de vuelta a la Oficina del empleado para decirle a la
s seora gracias, y
\"No es necesario traer esas copias espalda arriba, slo puede tirarlos
lejos ahora.\" Entonces llam el administrador en la primera tienda y le dijo, tam
bin,
tirar su copia del fax. De esta manera sera cualquier registro de lo que
haba tenido lugar, en caso de que alguien ms tarde llegaron alrededor de preguntas
.
Los ingenieros sociales saber que nunca puede ser demasiado cuidadoso.
Dispuestas de esta manera, Arturo incluso no tiene que pagar en la primera tiend
a de copia
para recibir el fax y enviando nuevamente a la segunda tienda. Y si se
result que la polica aparezco en la primera tienda, Arturo ya sera
tiene su fax y durante mucho tiempo se ha ido por el momento podra organizar a la
gente la
segunda ubicacin.
El final de la historia: la declaracin jurada y orden demostraron que tena la poli
ca bien
pruebas documentadas de actividades de copia de la pelcula de Arturo. Eso fue lo
que
es necesario saber. Antes de la medianoche, l haba cruzado la lnea de Estado. Artur
o fue en el
camino a una nueva vida, con una nueva identidad, lista empezar de nuevo en algn
otro
en su campaa.
Analizando el timo
Las personas que trabajan en cualquier Oficina del distrito, en cualquier lugar,
se encuentran en constante
Pngase en contacto con oficiales de polica--respondiendo a preguntas, hacer
arreglos, teniendo mensajes. Nadie suficientemente orgulloso para llamar y prete
nden ser un
oficial de polica, sheriff adjunto, o lo que es probable que se adoptar en su pala
bra.
A menos que sea evidente que l no conoce la terminologa, o si est nervioso y
tropiezos en sus palabras, o de alguna otra manera no suena autntico, l puede
incluso no pedir una sola pregunta para verificar su reclamacin. Eso es exactament
e lo que
sucedi aqu, con dos diferentes
trabajadores.
MENSAJE DE MITNICK
La verdad del asunto es que nadie es inmune a ser engaado por un bien social
ingeniero. Debido a que el ritmo de vida normal, no siempre tomamos el tiempo
decisiones reflexivos, incluso sobre cuestiones que son importantes para nosotro
s. Complicado
situaciones, falta de tiempo, el estado emocional o fatiga mental puede fcilmente
distraernos.
As que tomamos un atajo mental, tomar nuestras decisiones sin analizar la
informacin cuidadosamente y completamente, un proceso mental conocido como automti
co
responder. Esto es cierto incluso para la aplicacin de la ley federal, estatal y
local
funcionarios. Somos todos humanos.
Obtencin de un cdigo de carga necesaria fue manejada con una sola llamada de telfon
o. A continuacin

Arturo jug la Carta de simpata con la historia acerca de \"una reunin con el secret
o
Servicio en quince minutos, he sido chiflado y dej en casa el archivo. \" Ella
Naturalmente sinti lstima por l y sali de su manera de ayudar.
A continuacin, utilizando no uno, sino dos tiendas de copia, Arturo hizo extra se
guro cuando
fue a recoger el fax. Una variacin de esto que hace an ms el fax
difcil hacer un seguimiento: en lugar de tener el documento enviado a otro almacn
de copia, el
atacante puede dar lo que parece ser un nmero de fax, pero realmente es una direc
cin en un
servicio de Internet que recibir un fax para usted y reenviar automticamente a grat
uito
tu direccin de correo electrnico. De este modo se puede descargar directamente al
atacante
equipo y l nunca tiene que mostrar su cara cualquier sitio donde alguien podra ms t
arde
poder identificarlo. Y la direccin de correo electrnico y nmero de fax electrnico pu
eden ser
abandonado tan pronto como ha cumplido la misin.
CONVERTIR LAS TABLAS
Un joven llamo Michael Parker fue una de esas personas que averiguado un
poco tarde que el los puestos de trabajo van principalmente a personas con ttulos
universitarios. l
tuvo la oportunidad de asistir a una universidad local en una beca parcial ms edu
cacin
prstamos, pero significaba trabajar noches y fines de semana para pagar su alquil
er, comida, gas, y
seguro de automvil. Michael, quien siempre le gustaba encontrar atajos, quiz se pe
ns
fue otra forma, uno que paga ms rpido y con menos esfuerzo. Porque tena
sido aprendiendo acerca de equipos desde el momento en que lleg a jugar con uno a
diez aos
y qued fascinado con averiguar cmo funcionaban, decidi ver si l
podra \"crear\" su propia acelerado licenciatura en Ciencias de la computacin.
Graduarse--sin honores
l pudo haber roto en los sistemas informticos de la Universidad estatal, se encuen
tra el
registro de alguien que se haba graduado con una bonita B + o a la media, copiada
s la
grabar, poner su nombre en ella y aadi que los registros de ese ao
clase graduanda. Pensar esto, de alguna manera sentirse incmodo acerca de la idea
,
se dio cuenta que debe haber otros registros de un estudiante despus de haber sid
o el campus-registros de pago de matrcula, la Oficina de vivienda y quin sabe qu ms. Crear
slo el registro de cursos y grados deja demasiadas lagunas.
Conspirar, sintiendo su camino, lleg a lo que podra llegar a su
gol de ver si la escuela tena un graduado con el mismo nombre que el suyo, que ha
ba
obtuvo un ttulo de ciencia de equipo en cualquier momento durante un perodo adecua
do de aos. Si
as, podra simplemente poner abajo el nmero de seguridad social de los otros Michael
Parker en
formularios de solicitud de empleo; cualquier empresa que comprueba el nombre y
social
seguridad nmero con la Universidad que se dijo que, s, tena la
grado reclamada. (No sera evidente para la mayora de la gente pero era obvio que l
e
que l podra poner un nmero de seguridad social en la aplicacin de trabajo y entonces

, si
contratado, poner su propio nmero real sobre las formas de nuevo empleado. Mayora
de las empresas
nunca pensara comprobar si un nuevo empleado haba utilizado un nmero diferente
anteriormente en el proceso de contratacin.)
Registro de problemas
Cmo encontrar a un Michael Parker en los registros de la Universidad? Pas sobre ell
a como
esto:
Ir a la biblioteca principal en el campus de la Universidad, se sent en un equipo
terminal, levant en Internet y acceder a la pgina Web de la Universidad. l entonces
llamado Oficina del Secretario. Con la persona que respondi, viaj a travs de una
las rutinas de la ingeniera social familiar por ahora: \"estoy llamando desde el
Centro de cmputo, estamos haciendo algunos cambios a la configuracin de red y
nosotros queremos asegurarnos de que no
interrumpir su acceso. Servidor que conecta a?\"
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following informacin.
La respuesta, admin.rnu.edu, le dio el nombre del equipo donde estudiante
los registros se almacenan. Esta fue la primera pieza del rompecabezas: ahora co
noca su
equipo de destino.
JERGA
TERMINAL tonta un terminal que no contiene su propio microprocesador.
Terminales tontas slo pueden aceptar comandos simples y mostrar caracteres de tex
to
y los nmeros.
l ha escrito la URL en el equipo y no obtuve respuesta--como se esperaba, hubo
un cortafuegos bloqueando el acceso. As que corri un programa para ver si se puede
conectar a cualquiera
de los servicios que se ejecutan en el equipo y encontr un puerto abierto con un
Telnet
servicio en ejecucin, que permite a una computadora para conectarse remotamente a
otro
equipo y acceder a ella como si directamente conectado con una terminal tonta. T
odos le
tendra que obtener acceso sera la contrasea e ID de usuario estndar.
Hizo otra llamada a la Oficina del Secretario, este tiempo escuchando cuidadosam
ente para hacer
seguro que l estaba hablando con una persona diferente. Obtuvo a una dama, y nuev
amente afirm
ser de centro de cmputo de la Universidad. Fueron instalando una nueva produccin
sistema de registros administrativos, le dijo. Como un favor, le gustara a conect
ar
el nuevo sistema, an en modo de prueba, para ver si ella poda acceder estudiante a
cadmico
registros bien. l le dio la direccin IP para conectar y hablado le a travs de la
proceso.
De hecho, la direccin IP llev el equipo Michael estaba sentado en el
Biblioteca del campus. Mediante el mismo proceso descrito en el captulo 8, l haba c
reado un
simulador de inicio de sesin--una seuelo signo en la pantalla--buscando al igual q
ue el uno acostumbrados a ver cuando va en el sistema de registros de los estudi
antes. \"No es
\"trabajando, le dijo. \"Mantiene diciendo ' Inicio de sesin incorrecto.
Por ahora el simulador de inicio de sesin haba alimentado las pulsaciones de su no
mbre de cuenta contrasea para Michael s terminal; Misin cumplida. Le dijo, \"Oh, a
lgunos de

las cuentas an no se han sealado ms an en este equipo. Me deja configurar tu


cuenta y me voy contactarle.\" Cuidado con Atando cabos sueltos, como cualquiera
experto ingeniero social debe ser, hara un punto de telfono ms tarde a
decir que no funcionaba el sistema de ensayo derecho todava, y si fue bien con el
la,
se llaman volver a ella o de otra gente cuando haba averiguado
Cul fue la causa del problema.
El Secretario til
Ahora Michael saba qu sistema informtico que necesitaba para acceder, y tuvo un
ID y contrasea del usuario. Pero l qu comandos sera necesario a fin de buscar el
archivos para obtener informacin sobre Ciencias de la computacin gradan con el nomb
re correcto fecha de graduacin? La base de datos del estudiante sera una propiedad,
creada en
campus para satisfacer las necesidades especficas de la Universidad y el Secretar
io
Oficina y tendra una forma nica de acceso a la informacin en la base de datos.
Primer paso en esta ltima valla de compensacin: averiguar quin poda guiar le a travs
de la
Misterios de buscar en la base de datos del estudiante. Llam a la Secretara de
nuevamente, esta vez llegando a una persona diferente. Fue desde la Oficina del
Decano
de ingeniera, dijo a la seora, y pregunt, \"que supone que piden
rues ayuda cuando tenemos problemas para acceder a la estudiante acadmico.
Minutos ms tarde estaba en el telfono con el administrador de base de datos de la
Universidad,
tirando de la ley de simpata: \"yo soy Mark vendedores, en la Oficina del Secreta
rio. Te apetece
teniendo lstima sobre un chico nuevo? Siento que estar llamando usted pero estn tod
os en una reunin por la tarde y no hay nadie alrededor que me ayude. Necesito rec
uperar una lista de todos
graduados con un grado de ciencia de computadora, entre 1990 y 2000. Necesitan
al final del da y si no tenerlo, no puedo tener este trabajo por mucho tiempo. Le
dispuesto a ayudar a un chico en apuros\"? Ayudar a la gente fue parte de lo que
esta
Administrador de base de datos, lo que fue paciente adicional como hablaba paso
de Michael por hicieron
paso a travs del proceso.
Por el momento que colg, Michael haba descargado toda la lista de equipo
titulados en Ciencias para esos aos. Dentro de unos minutos l haba ejecutar una bsqu
eda,
encuentran a dos Michael Parkers, elegido uno de ellos y obtuvo social de guy
nmero de la seguridad, as como otra informacin pertinente que se almacenan en la ba
se de datos.
Slo se haba convertido en \"Michael Parker, Licenciatura en Ciencias de la computa
cin, graduado con
honores, 1998.\" En este caso, el \"B.S.\" proceda nicamente.
Analizando el timo
Este ataque utiliza una treta no he hablado antes: el atacante pidiendo la
Administrador de base de datos de la organizacin le caminar los pasos de ejecucin
no saba cmo hacer un proceso de equipo. Un potente y eficaz
pasando de las tablas, esto es el equivalente de pedir el propietario de una tie
nda para ayudar a
llevas un cuadro que contiene elementos que slo haya sustrado sus estanteras fuera
a su
coche.
MENSAJE DE MITNICK
Los usuarios de computadoras son a veces desorientados acerca de las amenazas y
vulnerabilidades
asociado de ingeniera social que existe en nuestro mundo de la tecnologa. Ellos
tener acceso a la informacin, pero falta el conocimiento detallado de lo que podra

resultar
para ser una amenaza para la seguridad. Un ingeniero social tendr como objetivo a
un empleado que comprensin de cmo valiosa la informacin que se busca es, por lo qu
e es el destino
ms probable a solicitud del extrao.
PREVENIR LA CON
Simpata, la culpabilidad y la intimidacin son tres disparadores psicolgicos muy pop
ulares
utilizado por el ingeniero social y estas historias han demostrado las tcticas en
accin. Pero qu puede hacer para evitar estos tipos de ataques de tu empresa?
Proteccin de datos
Algunas historias en este captulo hacer hincapi en el peligro de enviar un archivo
a alguien
no sabes, aun cuando esa persona es (o parece ser) un empleado y la
se enva archivo internamente, con un equipo de direccin o impuestos de correo elec
trnico dentro empresa.
Poltica de seguridad de la empresa debe ser muy especfico sobre las salvaguardias
para
entrega de datos valiosos a nadie personalmente no conoce al remitente. Exigente
procedimientos deben establecerse para transferir archivos con informacin confide
ncial.
Cuando la solicitud es de alguien conocido no personalmente, deben haber clara
pasos a seguir para su verificacin, con diferentes niveles de autenticacin dependi
endo de
la sensibilidad de la informacin.
Aqu estn algunas tcnicas a tener en cuenta:
Establecer la necesidad de saber (que pueden requerir autorizacin de la
propietario de informacin designado).
Mantener un registro personal o departamental de estas transacciones.
Mantener una lista de personas que han sido especialmente capacitadas en los pro
cedimientos y
que son de confianza para autorizar el envo de informacin confidencial. Slo requier
en
estas personas se puede enviar informacin a cualquier persona fuera del grupo de
trabajo.
Si se realiza una solicitud de los datos por escrito (correo electrnico, fax o co
rreo) complementarias
medidas de seguridad para verificar que la solicitud procede realmente de la per
sona que aparece
al provenir.
Acerca de contraseas
Todos los empleados que son capaces de acceder a cualquier informacin confidencia
l--y hoy que
significa prcticamente cada trabajador que utiliza un equipo--necesitan entender
actos simples como cambiar su contrasea, incluso durante unos instantes, pueden c
onducir a una
infraccin de seguridad importantes.
Necesidades de formacin de seguridad cubrir el tema de las contraseas, y que tiene
que centrarse en
sobre cundo y cmo cambiar la contrasea, lo que constituye un aceptable
contrasea y los peligros de dejar que alguien ms se involucren en el proceso.
La formacin debe transmitir a todos los empleados que deben ser especialmente
sospechoso de cualquier solicitud implica sus contraseas.
En la superficie parece ser un simple mensaje para transmitir a los empleados. T
iene
no, porque apreciar esta idea requiere que los empleados entender cmo un simple
actan como cambio de contrasea puede conducir a un compromiso de seguridad. Puede
indicar un
nio \"Look both ways antes de cruzar la calle,\" pero hasta que el nio comprenda
por qu es importante, que usted est confiando en la obediencia ciega. Y normas que

requeran ciego
obediencia son normalmente ignorado u olvidado.
NOTA
Las contraseas son esos centro de ataques de ingeniera social que dedicamos un
separar la seccin el tema en el captulo 16, donde encontrar especficos
polticas recomendadas en la administracin de contraseas.
Un punto Central de informes
Su poltica de seguridad debe proporcionar una persona o un grupo designado como u
na central
para informes de actividades sospechosas que parecen ser intenta infiltrarse en
el punto
su organizacin. Todos los empleados necesitan saber a quin llamar en cualquier mom
ento se sospecha
un intento de intrusin electrnica o fsica. El nmero de telfono del lugar a
hacer estos informes siempre debe cerrar a mano para que empleados no tengan que
cavar
pues si se convierten en sospechosos que est produciendo un ataque.
Proteja su red
Los empleados necesitan entender que es el nombre de un equipo servidor o red
informacin no trivial, sino puede dar a un atacante conocimientos esenciales que
le ayuda a ganar confianza o busque la ubicacin de la informacin que desea.
En particular, personas como administradores de base de datos que trabajan con s
oftware
pertenecen a esta categora de personas con experiencia en tecnologa, y que necesit
an para
operan bajo reglas especiales y muy restrictivas sobre la verificacin de la ident
idad de
personas que les piden informacin o asesoramiento.
Personas que ofrecen regularmente cualquiera. tipo de necesidad de ayuda de equi
po a ser capacitados
en qu tipo de solicitudes deben ser las banderas rojas, sugiriendo que el llamado
r puede ser
el intento de un ataque de ingeniera social.
Cabe sealar, sin embargo, desde la perspectiva del administrador de bases de dato
s
en la ltima historia en este captulo, el llamador cumplieron los criterios para se
r legtimo: l
estaba llamando desde en el campus, y obviamente estaba en un sitio que requiere
un
nombre de cuenta y contrasea. Esto slo hace claro una vez ms la importancia de
tener procedimientos estandarizados para verificar la identidad de alguien que s
olicita
informacin, especialmente en un caso como este donde el llamador estaba pidiendo
ayuda en
obtener acceso a los registros confidenciales.
Todo de este Consejo va doble para colegios y universidades. No es una noticia q
ue
equipo de hacking es un pasatiempo favorito para muchos de los estudiantes unive
rsitarios, y debera
tambin no ser ninguna sorpresa estudiante registros--y a veces facultad, as como-son un blanco tentador. Este abuso es tan galopante que algunas corporaciones re
almente
considerar campus un ambiente hostil y crear reglas de cortafuegos que bloquean
acceso de las instituciones educativas con direcciones que terminan en. edu.
El largo y corto de l es que todos los registros de estudiantes y personal de cua
lquier tipo
debe considerarse como principales blancos de ataque y deben ser bien protegidos
como
informacin confidencial.
Consejos de formacin

Mayora de los ataques de ingeniera social es ridculamente fcil para defenderse... pa


ra
quien lo que busca sabe.
Desde la perspectiva empresarial, existe una necesidad fundamental para la buena
formacin.
Pero tambin hay una necesidad de algo ms: una variedad de formas para recordar
lo que han aprendido.
Utilizar pantallas de bienvenida que aparecen cuando se enciende el ordenador de
l usuario, con una
mensaje de seguridad diferentes cada da. El mensaje debe ser diseado para que se
no desaparecer automticamente, pero requiere que el usuario haga clic en algunos t
ipos de
reconocimiento de que ha ledo.
Otro enfoque que recomiendo es iniciar una serie de avisos de seguridad. Frecuen
tes
mensajes de aviso son importantes; un programa de sensibilizacin debe ser constan
te y
interminable. En la entrega de contenido, los avisos no deben ser redactada en l
a misma
en cada instancia. Los estudios han demostrado que estos mensajes son ms efectiva
mente
recibido cuando varan en redaccin o cuando se utiliza en diferentes ejemplos.
Un mtodo excelente es usar extractos cortos en el boletn de la empresa. Esto
no debe ser una columna completa sobre el tema, aunque sera una columna de seguri
dad
Sin duda ser valiosa. En su lugar, insertar una dos o tres-columna-todo el diseo,
algo as como un pequeo mostrar anuncios en su peridico local. En cada nmero de la
Boletn, presentar un nuevo aviso de seguridad de esta manera corta, captura de at
encin.
Captulo 9
El aguijn inverso
El aguijn, mencionado en otra parte en este libro (y en mi opinin, probablemente e
l mejor
pelcula que s se han hecho acerca de una operacin con), expone su complicado traza
do en
detalle fascinante. La operacin en la pelcula es una representacin exacta de cmo
timadores superiores ejecutan \"el alambre,\" uno de los tres tipos de principal
es estafas que se denomina
There was an error deserializing the object of type System.String. End element '
root' from namespace barriendo en una gran cantidad de dinero en una sola noche,
no hay ningn libro de texto mejor.
Pero los inconvenientes tradicionales, cualquiera que sea su truco particular, e
jecutar segn un
patrn. A veces un ardid se trabaj en la direccin opuesta, que se llama un
invertir sting. Esto es un giro interesante en el que el atacante configura la s
ituacin
para que la vctima pide el atacante para obtener ayuda, o un trabajador co ha hec
ho un
solicitud, que responde al atacante.
Cmo funciona esto? Vas a averiguar.
JERGA
REVERSO picar una estafa en la que la persona siendo atacada pide el atacante
para obtener ayuda
EL ARTE DE LA PERSUASIN AMISTOSA
Cuando la persona promedio evoca la imagen de un hacker de computadora, lo que
Normalmente viene a la mente es la imagen uncomplimentary de un solitario, intro
vertida
Nerd cuyo mejor amigo es su equipo y que tiene dificultades para llevar a cabo u
n
conversacin, excepto por mensajera instantnea. El ingeniero social, que a menudo ha

habilidades de hacker, tambin tiene el don de gentes en el extremo opuesto del es


pectro--bien
desarrollar habilidades para utilizar y manipular a la gente que le permita su m
anera de hablar
en obtener informacin de maneras usted nunca hubiera credo posible.
Llamador de Angela
Lugar: Rama Valle, Banco Federal Industrial.
Hora: 11:27
Angela Wisnowski respondi una llamada telefnica de un hombre que dijo que estaba c
asi
para recibir una considerable herencia y l queran informacin sobre los diferentes t
ipos
de cuentas de ahorro, certificados de depsito y cualquier otras inversiones ella
podran sugerir que sera seguro, pero ganar inters decente. Ella
explic que hay varias opciones y pregunt si le gustara venir
y sentarse con ella para discutir sobre ellos. Sala en un viaje tan pronto como l
a
dinero lleg, l dijo y haba mucho de arreglos para hacer. As empez
sugerir algunas de las posibilidades y dndole detalles de los tipos de inters,
Qu sucede si vende un CD pronto, y as sucesivamente, al intentar fijar abajo su
metas de inversin.
Ella pareca estar haciendo progresos cuando dijo, \"Oh, lo siento, tengo que toma
r esto
otra llamada. A qu hora puedo terminar esta conversacin con ustedes por lo que pued
o hacer algunos
las decisiones? Cuando sale para el almuerzo?\" Ella le dijo 12:30 y dijo que int
entara
para volver a llamar antes de entonces o al da siguiente.
Llamador de Louis
Los bancos grandes usan cdigos de seguridad interna que cambian cada da. Cuando al
guien
de informacin de las necesidades de una rama de otra rama, demuestra que ha titul
ado
la informacin, demostrando que sabe cdigo del da. Para un agregado
grado de flexibilidad y seguridad, algunos grandes bancos emiten mltiples cdigos
da. En un traje de costa oeste llamar Industrial Banco Federal, cada empleado encu
entra
una lista de cinco cdigos para el da, identificado como A E, en su equipo
cada maana.
Lugar: mismo.
Hora: 12:48 '.M., el mismo da.
Louis Halpburn no creo nada de ella cuando en esa tarde, lleg una llamada de un
Llame al igual que otros que maneja regularmente varias veces por semana.
\"Hola,\" dijo el llamador. \"Esto es Neil Webster. Estoy llamando desde la rama
3182
Boston. Angela Wisnowski, favor.\"
Ella est en el almuerzo. Puedo ayudar?
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following clientes\".
El llamador sonaba como l haba haba tenido un mal da.
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'h'.
pila de ellos hacer, es casi 4 aqu y estoy supone estar fuera de esto
lugar para ir a una cita mdica en media hora\".
La manipulacin--dando todas las razones por qu la otra persona debe sentir pena
para l--era parte del ablandamiento de la marca. Continu, \"quien llev
mensaje de telfono, el nmero de fax es ilegible. Es la 213-algo. Qu tiene el
resto?\"
Louis le dio el nmero de fax, y el llamador dijo, \"bien, gracias.
Antes de que yo puedo fax esto, necesito pedirle cdigo B.\"

There was an error deserializing the object of type System.String. Encountered u


nexpected character obtendra el mensaje.
Esto es bueno, pens el llamador. Es tan genial cuando personas no caen en la prim
era
empujn suave. Si, no resisten un poco, el trabajo es demasiado fcil y podra empezar
a recibir
perezoso.
A Luis, dijo, \"tengo un gestor de rama que slo est paranoico sobre
obtener verificacin antes de enviar nada fuera, es todo. Pero escucha, si no lo h
ace
nos necesita para enviar por fax la informacin, es bueno. No hace falta verificar
.\"
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'L'.
atrs.\"
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following identificar esto como una solicitud legtima por darme el cdig
o. Si no estoy a enfermos
maana llamar le entonces.\"
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements Voy a contar ella trat de enviarlo pero no dio el cd
igo, vale?\"
Luis renunci bajo presin. Un suspiro audible de molestia lleg volando
su camino hacia abajo de la lnea telefnica.
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'h'.
quieres?\"
There was an error deserializing the object of type System.String. The token 'tr
ue' was expected Poner la llamada en espera y luego en un poco recogido la lnea o
tra vez. \"Es la 3184.\"
No es el cdigo correcto.
S es--B 3184.
No digo B, dije e.
Oh, maldita. Espera un momento.
Otra pausa mientras miraba nuevamente los cdigos.
E es 9697.
9697--derecho. Voy a tener el fax en el camino. Vale?
Seguro. Gracias.
Llamada de Walter
Banco Federal industrial, se trata de Walter.
There was an error deserializing the object of type System.String. The token 'tr
ue' was expected but found necesario para extraer la tarjeta de una sig en una c
uenta de cliente y me por fax\". La tarjeta de sig,
o tarjeta de firma, tiene algo ms que la firma del cliente tambin tiene
identificar la informacin, elementos conocidos como el nmero de seguridad social,
fecha de
nacimiento, apellido de soltera de la madre y a veces incluso el nmero de licenci
a de conducir. Muy
til para un ingeniero social.
Sure thing. Qu es cdigo C?
There was an error deserializing the object of type System.String. The token 'tr
ue' was expected but found B y e y recuerdo aquellos. Me preguntan una de las pe
rsonas.\"
Est bien, lo que tiene E?
E es 9697.
Unos minutos ms tarde, Walter por fax la tarjeta sig lo solicitado.
Llamada de Donna platija
Hola, esto es el Sr. Anselmo.
Cmo puedo yo ayudarle hoy?
There was an error deserializing the object of type System.String. Unexpected en

d of file. Following elements se han acreditado todava?\"


Usted es un cliente del Banco?
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following escribi.\"
El nmero es 800-555-nuestro.
Est bien, gracias.
Cuento de Vince Capelli
Hijo de un polica de la calle de Spokane, Vince saba desde una edad temprana que n
o era
van a pasar su vida esclavista largas horas y arriesgar su cuello para mnimo
salario. Sus dos principales objetivos en la vida se convirti en salir de Spokane
y entrar en
negocios por s mismo. Las risas de sus homies a travs de secundaria slo
le dispararon hasta ms--pensaban era hilarante que l fue tan roto en
no iniciar su propio negocio pero tena idea qu negocio podra ser.
Secretamente Vince saba que tenan razn. Lo nico que fue bueno estaba jugando
Catcher en el equipo de bisbol de escuela secundaria. Pero no lo suficientemente
bueno como para beca universitaria, ninguna manera suficientemente buena para el
bisbol profesional. Y qu
negocio fue l va a poder iniciar?
Una cosa que los chicos en grupo de Vince nunca bastante averiguados: nada
uno de ellos tuvo---un nuevo cuchillo navaja, un ingeniosa par de guantes clidos,
una sexys
nueva novia si Vince, haba admirado antes durante mucho tiempo el tema era suyo. l
no roba
o colar a espaldas de nadie; no tena a. El chico que tena que
renunciar voluntariamente, y entonces pregunto despus de lo ocurrido. Incluso
pidiendo Vince no habra metido usted en cualquier lugar: no saba l mismo.
Personas simplemente parecen dejarle tener lo que quera.
Vince Capelli fue un ingeniero social desde una edad temprana, a pesar de que l n
unca haba
escuchado el trmino.
Sus amigos detuvo rindose una vez que todos tenan diplomas de escuela secundaria e
n la mano.
Mientras que los otros semicongelados alrededor de la ciudad en busca de empleos
donde no tienes que
decir \"Do you want fries con eso?\" Pap de Vince le enviado a hablar con un viej
o CP
PAL que haba abandonado la fuerza para iniciar su propio negocio de investigacin p
rivada en San
Francisco. Rpidamente haba descubierto talento de Vince para el trabajo y lo llev.
Eso fue hace seis aos. Odiaba la parte sobre la obtencin de las mercancas infiel
los cnyuges, que implicaba arqueadas mitigar horas de sesin y viendo, pero sinti
continuamente desafiado por asignaciones desenterrar informacin de activos para a
bogados
intentando averiguar si algn miserable rgido fue lo suficientemente rico como para
ser digno de demandar.
Estas asignaciones le dieron un montn de posibilidades para utilizar su ingenio.
Como el tiempo tuvo que investigar las cuentas bancarias de un chico llamado Joe
Markowitz. Joe haba trabajado quizs un negocio turbio en un nico amigo suyo,
que amigo ahora quera saber, si l demand, era Markowitz vaciar suficiente que
el amigo podra obtener su espalda de dinero?
Primer paso de Vince sera averiguar al menos uno, pero preferiblemente dos, de la
cdigos de seguridad del Banco para el da. Que suena como un reto casi imposible:
Lo que en tierra inducira un empleado de banco para cubrir un tranquilizador en s
u propio
sistema de seguridad? Pregntese--si quera hacer esto, tendra alguna idea
de cmo hacerlo?
Para gente como Vince, es demasiado fcil.
Personas confan en TI si conoces el interior jerga de su trabajo y su empresa. Ti

ene
como muestra pertenece a su crculo ntimo. Es como un apretn de manos secreto.
Gran parte de no era necesario para un trabajo como ste. Definitivamente no es ci
ruga cerebral. Todos necesario para empezar era un nmero de sucursales. Cuando mar
can el Beacon Street
Oficina en Buffalo, el chico que respondi sonaba como un cajero.
There was an error deserializing the object of type System.String. End element '
root' from namespace hacia abajo. \"Cul es el nmero de sucursales all?\"
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements estpido porque justo haba marcado el nmero de telfono,
no me? \"Nmero de sucursal\".
There was an error deserializing the object of type System.String. Encountered u
nexpected character Porque no es informacin confidencial, est escrito en apenas al
rededor de cada pedazo de papel
utilizan.
Paso dos, llame a la sucursal donde mi destino hizo su banca, obtener el nombre
de uno
de su gente y Averige cundo sera la persona fuera para el almuerzo. Angela.
Sale a las 12:30. Hasta ahora, bien.
Paso tres, devolver la llamada a la misma rama durante almuerzo de Angela, de de
cir que me
llamando desde el nmero de sucursal tal-y-tal en Boston, Angela necesita esto
informacin por fax, gimme un cdigo para el da. Esta es la parte difcil; es donde el
goma cumple el camino. Si estaba haciendo hasta una prueba ser un ingeniero soci
al, pondra
algo como esto, donde la vctima obtiene sospechoso--por buena razn-y sigues palo all hasta que se le rompe y obtener la informacin
necesidad. No puede hacerlo por recitar las lneas de un guin o una rutina de apren
dizaje
lleg a ser capaz de leer su vctima, captura su estado de nimo, le jugar como un pez
de inicio
donde dej escapar una pequea lnea y tambores, dejar salir y tambores. Hasta que le
llegue
la red y el flop le en el barco, splat!
As lo y tuvo uno de los cdigos para el da. Un gran paso. Con la mayora
los bancos, uno es todo que utilizan, por lo que habra sido huir de casa. Banco I
ndustrial de la Federal
utiliza cinco, por lo que slo uno de cada cinco es probabilidades de largo. Con d
os de los cinco, tuve
tienen una mejor oportunidad de obtener mediante el siguiente acto de este drama
poco. ME
encanta esa parte de \"no decir b deca e.\" Cuando funciona, es hermosa. Y se
trabaja la mayor parte del tiempo.
Conseguir un tercero hubiera sido an mejor. He logrado obtener
tres en una sola llamada--\"B\", \"D\" y \"E\" sonido tanto tanto que te llevars
malinterpreta nuevamente. Pero tienes que estar hablando con alguien que tiene u
n
pushover real. Este hombre no estaba. Me gustara ir con dos.
Los cdigos del da sera mi trump para obtener la tarjeta de firma. He llamado y el c
hico
pide un codigo. C quiere y yo slo tenemos b y e. Pero no es el final de la
Mundial. Consigui permanecer fresco en un momento como este, sonido seguro, mante
ner en
va Real suave, jugu lo con el sobre, \"alguien est usando mi
equipo, me preguntan uno de estos otros.\"
Estamos todos los empleados de la misma empresa, estamos todos en este conjunto,
hacen fcil
en el hombre--es lo que est esperando que la vctima est pensando en un momento como
este.
Y toc lo justo por la secuencia de comandos. Tom una de las opciones que me ofreci

eron, dio
l la respuesta correcta, envi el fax de la tarjeta de firma.
Casi casa. Una llamada ms me dio el nmero 800 que utilizan los clientes para la
automatizado de servicio donde una voz electrnica le lee a la informacin
piden. De la tarjeta de sig, tena todos los nmeros de cuenta de mi destino y su PI
N
nmero, porque ese banco utiliza los primeros cinco o cuatro ltimos dgitos de lo soc
ial
nmero de la seguridad. De la pluma en la mano, llam a los 800 nmero y tras unos min
utos de
apretar botones, tena el ltimo saldo en cuatro cuentas de guy y slo
buena medida, su ms reciente depsitos y retiros en cada uno.
Todo lo que haba pedido mi cliente y mucho ms. Siempre me gusta darle un poco extr
a
buena medida. Mantener a los clientes satisfechos. Despus de todo, el negocio es
lo que mantiene
una operacin que va derecho?
Analizando el timo
La clave de todo este episodio fue obtener los cdigos de ese da y a
hacer que el atacante, Vince, utiliza varias tcnicas diferentes.
Comenz con un poco arm-twisting verbal cuando Louis demostr reacio a dar
l un cdigo. Luis tena razn sospechar--los cdigos estn diseados para utilizarse en
la direccin opuesta. Saba que en el flujo normal de las cosas, el desconocido
llamador podra estar dndole un cdigo de seguridad. Este fue el momento crtico para
Vince, l depender que dependa el xito completo de su esfuerzo.
Ante la sospecha de Louis, Vince simplemente sentado lo con manipulacin, utilizan
do
un llamamiento a la solidaridad (\"ir al mdico\") y la presin (\"tengo una pila de
do, su casi 4\") y la manipulacin (\" decirle no darme la
cdigo\"). Inteligentemente, Vince no hace realmente una amenaza, l slo una implcita:
Si usted
no me dan el cdigo de seguridad, no enviar la informacin del cliente que su
necesita trabajador co, y te voy a decir ella habra enviarlo pero usted no cooper
ar.
An as, vamos a no ser demasiado apresurada en culpar a Louis. Despus de todo, la pe
rsona en el telfono
saba (o al menos parecen saber) trabajador co Angela haba solicitado un fax.
El llamador saba acerca de los cdigos de seguridad y saba que fueron identificados
por carta
designacin. El llamador, dijo su gerente de sucursal requiere para una mayor
seguridad. Realmente no parece ninguna razn para no darle la verificacin se
estaba pidiendo.
Luis no est solo. Empleados del Banco entregar cdigos de seguridad para los ingeni
eros sociales
Todos los das. Increble pero cierto.
Hay una lnea en la arena donde tcnicas del investigador privado deja de ser
legal y ser de comienzo ilegal. Vince se qued legal cuando obtuvo la rama
nmero. Incluso permaneci legal cuando l estaf a Louis para que le den dos de las
cdigos de seguridad del da. Cruz la lnea cuando tena informacin confidencial
un cliente del Banco por fax a l.
Pero para Vince y su empleador, es un crimen de bajo riesgo. Cuando roba dinero
o
mercancas, alguien notar que ha pasado. Cuando roba informacin, la mayora de los
tiempo que nadie notar porque la informacin es todava en su poder.
MENSAJE DE MITNICK
Cdigos de seguridad verbal son equivalentes a las contraseas en la prestacin de un
cmodo y
medio fiable de proteccin de datos. Pero los empleados deben estar bien informada
s
los trucos que utilizan los ingenieros sociales, y no darle las llaves a la

Reino.
POLICIAS COMO DUPES
Un sombro investigador privado o ingeniero social, hay frecuentes ocasiones
cuando sera til saber el nmero de licencia del alguien conductor--por ejemplo,
Si desea asumir la identidad de otra persona para obtener informacin
sobre sus saldos bancarios.
Levantamiento de la billetera de la persona o asomndose sobre su hombro en un opo
rtuno
momento, averiguar el nmero de licencia del conductor debe ser casi imposible.
Pero para alguien con conocimientos incluso modesta ingeniera social, es apenas u
n desafo.
Un ingeniero social particular--Eric Mantini, llamar a l, es necesario obtener del
conductor
nmeros de registro de licencia y el vehculo sobre una base regular. Eric figur fue
aumenta innecesariamente su riesgo para llamar al departamento de vehculos automo
tores
(DMV) y pasar por el mismo ardid otra vez cada vez que necesitaba
informacin. Se pregunta si no hay alguna manera de simplificar la
proceso.
Probablemente nadie haba pensado nunca de antes, pero l descubri una manera
para obtener la informacin en un abrir y cerrar, cada vez que quera. Lo hizo toman
do
ventajas de un servicio proporcionado por departamento de automotores del su est
ado.
Muchos Estado DMV (o lo que puede llamarse el departamento en su estado)
otra manera privilegiada informacin sobre ciudadanos disponibles para las empresa
s de seguros,
investigadores privados y algunos otros grupos que tiene la legislatura del Esta
do
considera el derecho a compartir por el bien del comercio y la sociedad en gener
al.
El DMV, por supuesto, tiene limitaciones apropiadas que sern los tipos de datos
entregado. La industria de seguros puede obtener ciertos tipos de informacin de l
a
archivos, pero no en otros. Un conjunto diferente de limitaciones se aplica al P
Is y as sucesivamente.
Para los funcionarios encargados de hacer cumplir la ley, generalmente se aplica
una regla diferente: suministrar cualquier informacin en los registros a cualqui
er funcionario de paz jurada que correctamente
identifica a s mismo. En el estado de Eric viva en, fue la identificacin requiere u
n
Cdigo de solicitante expedida por el DMV, junto con conducir carnet del oficial d
e
nmero. El empleado DMV que compruebe siempre haciendo coincidir el oficial
nombre contra el nmero de licencia de su conductor y una otra pieza de informacinnormalmente la fecha de nacimiento--antes de dar cualquier informacin.
Qu ingeniero social Eric quera hacer era nada menos que ocultar a s mismo en el
identidad de un oficial de la ley. Cmo lograron? Mediante la ejecucin de un
invertir sting en los policias!
Eric Sting
Primera llamada informacin de Telefnica y pidieron el nmero de telfono de DMV
con sede en el Capitolio. Se le dio el nmero 503555-5000; que, de
curso, es el nmero de llamadas del pblico en general. Entonces llam un cercano
estacin del alguacil y pidieron teletipo--la oficina donde las comunicaciones son
enviados a y recibido de otros organismos de represin de la delincuencia nacional
la ley
base de datos, rdenes locales y as sucesivamente. Cuando lleg el teletipo, dijo que
se
buscando el nmero de telfono para la aplicacin de la ley a utilizar al llamar al DM

V
cuartel general del Estado.
There was an error deserializing the object of type System.String. The token 'tr
ue' was expected but found There was an error deserializing the object of type S
ystem.String. Encountered unexpected character 'h'.
y en parte un nmero que extrae del aire; Sin duda el especial conjunto de oficina
DMV
hasta la aplicacin de la ley de tomar llamadas sera en el mismo cdigo de rea como el
nmero
gtyen cabo para el pblico a la convocatoria y fue casi como seguro que los prximos
tres
dgitos, el prefijo, sera la misma. as. Lo nico que realmente necesitaba saber era
los cuatro ltimos.
Sala de teletipo del alguacil no recibe llamadas del pblico. Y ya el llamador
tena la mayor parte de la serie. Obviamente fue legtimo.
There was an error deserializing the object of type System.String. The token 'tr
ue' was expected but As que Eric tena ahora el nmero de telfono especial para agente
s del orden llamar
el DMV. Pero slo el uno nmero no era suficiente para satisfacerle; la Oficina sera
tiene un buen muchos ms que la lnea de telfono nico, y Eric necesitaba saber cmo
muchas lneas hubo y el nmero de telfono de cada uno.
El conmutador
Para llevar a cabo su plan, que necesitaba para acceder al telfono conmutador
maneja las lneas de telfono de aplicacin de la ley en el DMV. Llam el Estado
Telecomunicaciones Departamento y l afirmaba desde Nortel, el
fabricante del DMS-100, uno de los comerciales ms utilizados
conmutadores telefnicos. Dijo, \"puede usted por favor transferirme a uno del con
mutador
tcnicos que trabaja en el DMS-100?\"
Cuando lleg el tcnico, afirm que con la tcnica de Nortel
Centro de soporte de asistencia en Texas y explic que estaban creando un
base de datos master para actualizar todos los conmutadores con las ltimas actual
izaciones de software. todos no hacerse remotamente--necesidad de ningn tcnico de
conmutador para participar. Pero ellos
es necesario el nmero de acceso telefnico al conmutador para que pueda realizar la
s actualizaciones
directamente desde el centro de soporte.
Sonaba totalmente plausible, y el tcnico dio a Eric el nmero de telfono.
Ahora l podra marcar directamente en uno de los conmutadores telefnicos del Estado.
Para defenderse de los intrusos externos, interruptores comerciales de este tipo
son
protegido con contrasea, al igual que cada red informtica corporativa. Cualquier b
uen social
Ingeniero con un fondo de telfono phreaking sabe que los conmutadores Nortel prop
orcionan
un nombre de cuenta predeterminado para actualizaciones de software: NTAS (la ab
reviatura de Nortel
Asistencia tcnica; no muy sutil). Pero qu pasa con una contrasea? Eric
marcado en varias ocasiones, cada vez que se trata de una de las obvias y utiliz
ados
Opciones. Ingresar el mismo nombre de cuenta, NTAS, funcion. Ninguno hizo
There was an error deserializing the object of type System.String. End element '
root' from namespace Luego trat de \"Actualizar\"... y fue en. Tpico. Con un evide
nte, fcilmente
contrasea acertada es slo muy ligeramente mejor que no tener a todos contrasea.
Ayuda a estar al da en su campo; Eric probablemente saba tanto sobre
conmutador y cmo programar y solucionar como el tcnico. Una vez que fue
capaz de acceder al conmutador como un usuario autorizado, l podra obtener el cont
rol total sobre
las lneas telefnicas que fueron su objetivo. Desde su ordenador, pregunt el conmuta

dor
el nmero de telfono le haba dado para llamadas de aplicacin de ley a la DMV,
555-6127. Encontr que hubo 19 otras lneas de telfono en el mismo
Departamento. Obviamente ellos manejan un alto volumen de llamadas.
Para cada llamada entrante, el conmutador fue programado para \"cazar\" a travs d
e los veinte
lneas hasta que encontr uno que no estaba ocupado.
Eligi la nmero 18 de la lnea en la secuencia y el cdigo que agrega
transferencia a esa lnea de llamada. El nmero de desvo de llamadas, ingres en el telf
ono
nmero de su telfono celular nuevo, barato, prepago, el tipo que traficantes de dro
gas son tan
aficionado porque son lo suficientemente baratas tirar a la basura despus de que
el trabajo es largo.
Con desvo de llamadas activado ahora en la lnea 18, tan pronto como la Oficina
tiene bastante ocupado para tener diecisiete llamadas en curso, la siguiente lla
mada a entrar
que no suene en la Oficina DMV, pero en su lugar se remitira a la celda de Eric
telfono. Atrs se sent y esper.
Una llamada al DMV
Poco antes de 8 de la maana, son el telfono mvil. Esta parte fue la mejor,
las ms deliciosas. Aqu fue Eric, el ingeniero social, hablando con un policia, alg
uien
con la autoridad para venir y arrestarlo, o conseguir una orden de allanamiento
y realizar una
RAID para reunir pruebas contra l.
Y no solo CP llamara, pero una cadena de ellos, uno tras otro. En uno
ocasin, Eric estaba sentado en un restaurante almorzando con amigos, envo de una l
lamada
cada cinco minutos o menos, escribir la informacin en una servilleta de papel med
iante un
Pluma prestada. Todava descubre este hilarante.
Pero hablando a los policas no perturba un buen ingeniero social en lo ms mnimo. En
hecho, la emocin de engaar a estos organismos de represin probablemente agregado a
Disfrute de Eric s de la ley.
Segn Eric, las llamadas fueron algo parecido a esto:
DMV, puedo yo ayudarlo?
Se trata de Detective Andrew Cole.
Hola, detective. Qu puedo hacer por usted hoy?
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'h'.
familiares en aplicacin de la ley para pedir una foto--til, por ejemplo, cuando lo
s oficiales
van a salir a arrestar a un sospechoso y quieren saber lo que parece.
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'E'.
su agencia?\"
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'A'.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following Cul es el nmero de licencia de su conductor. \"Cul es tu fecha d
e nacimiento\"
El llamador dara su informacin de identificacin personal. Eric ira
a travs de algn pretexto de verificar la informacin y luego dicen que el llamador
la informacin de identificacin ha sido confirmada y pedir los detalles de lo que
el llamador quera averiguar del DMV. l se pretende empezar a buscar el
nombre, con el llamador capaz de or el clic de las teclas y luego decir algo
as, \"Oh, joder, mi equipo solo baj de nuevo. Lo sentimos, detectivems,i
equipo ha estado en un abrir y cerrar, toda la semana. Le importara llamar a volve
r y

obtener otro empleado para ayudarle?\"


De esta manera terminara la llamada atando los cabos sueltos sin despertar ningun
a sospecha
acerca de por qu l no fue capaz de ayudar al oficial con su solicitud. Mientras ta
nto Eric
tena una identidad robada--detalles podra utilizar para obtener DMV confidencial
informacin cada vez que necesitaba.
Despus de tomar llamadas durante unas horas y obtener decenas de cdigos de solicit
ante, Eric
marcado en el switch y desactiva el reenvo de llamadas.
Durante meses despus de l llevara sobre las asignaciones de jobbed que le
empresas legtimas de PI que queran saber cmo le estaba poniendo su informacin.
Cada vez que necesitaba, l podra marcar en el conmutador, activar el reenvo de llam
adas,
y reunir otra pila de credenciales de la polica.
Analizando el timo
Vamos a ejecutar una reproduccin en los ardides que Eric tirado sobre una serie d
e personas para hacer trabajo de engao. En el primer paso exitoso, obtuvo a adjun
to del alguacil en un teletipo
Sala para dar un nmero de telfono DMV confidencial a un completo extrao,
aceptar al hombre como un adjunto sin solicitar cualquier verificacin.
A continuacin, alguien en el departamento de estado de telecomunicaciones hizo lo
mismo, aceptando
Reclamacin de Eric que estaba con un fabricante de equipo, y proporcionar el
extrao con un nmero de telfono para marcar en el telfono conmutador servir la
DMV.
Eric fue capaz de meterse en el conmutador en gran medida debido a la dbil seguri
dad
prcticas por parte de los fabricantes de switches en con el mismo nombre de cuent
a
en todos los conmutadores. Ese descuido hizo un paseo en el Parque para lo socia
l
Ingeniero de adivinar la contrasea, sabiendo que una vez ms que cambiar tcnicos, slo
como casi todos los dems, elegir contraseas que sern una cincha para ellos
Recuerde.
Con acceso al conmutador, configurar reenvo de llamadas de uno de los telfono DMV
lneas para la aplicacin de la ley a su propio telfono celular.
Y entonces, tapadora y parte ms flagrante, estaf a un cumplimiento de la ley
oficial tras otro para que revelen no slo su solicitante cdigos pero sus propias
informacin de identificacin personal, dando a Eric la posibilidad de les suplantar
a.
Si bien hubo conocimiento sin duda tcnica que saque este truco,
no han trabajado sin la ayuda de una serie de personas que no tenan clue
estaban hablando a un impostor.
Esta historia fue otra ilustracin del fenmeno de por qu no preguntan
There was an error deserializing the object of type System.String. Encountered u
nexpected character Adjunto del Sheriff no saba--o, en este caso, un extrao a s mis
mo pasando como
Adjunto del alguacil--en lugar de lo que sugiere que obtenga la informacin de un
compaero
adjunto o su propio Sargento? Una vez ms, la nica respuesta que puedo ofrecer es qu
e la gente
rara vez esta pregunta. No se produce les pedir? No quieren sonido
desafiante e intil? Tal vez. Cualquier explicacin slo sera
suposiciones. Pero los ingenieros sociales no importa por qu; slo les importa el h
echo de este pequeo
es fcil obtener informacin que de lo contrario podra ser un reto para obtener.
MENSAJE DE MITNICK
Si tienes un telfono conmutador en sus instalaciones de la empresa, lo que sera la
persona

en hacer cargo si recibi una llamada del proveedor, pidiendo el nmero telefnico?
Y por cierto, esa persona nunca cambi la contrasea por defecto para la
conmutador? Es una palabra fcil de adivinar que se encuentra en cualquier diccionar
io de esa contrasea?
PREVENIR LA CON
Un cdigo de seguridad, debidamente utilizado, agrega una valiosa capa de proteccin
. Una seguridad
cdigo mal utilizado puede ser peor que ninguno en absoluto porque da la ilusin
de seguridad donde realmente no existe. Qu buena es cdigos si sus empleados
no mantenerlos. secreto?
Cualquier empresa con una necesidad de cdigos de seguridad verbal necesita precis
ar claramente para
sus empleados cuando y cmo se utilizan los cdigos. Adecuadamente capacitados, el c
arcter de
la primera historia en este captulo no habra tenido que confiar en sus instintos,
fcilmente
superar, cuando se le pregunt a dar un cdigo de seguridad a un extrao. l sinti que l
no debe pedirse esta informacin en las circunstancias, pero carece de un
claro la poltica de seguridad--y buen sentido comn--dio fcilmente.
Procedimientos de seguridad tambin deben establecer pasos a seguir cuando los cam
pos de un empleado
una solicitud inadecuada para un cdigo de seguridad. Todos los empleados deben es
tar capacitados para
informar inmediatamente de cualquier solicitud de credenciales de autenticacin, c
omo un diario
cdigo o contrasea, que se hizo en circunstancias sospechosas. Tambin debe informar
Cuando un intento de verificar la identidad de un solicitante no retira.
Por lo menos, el empleado debe registrar el nombre del autor de la llamada, nmero
de telfono,
y oficina o departamento y luego colgar. Antes de llamar a volver l debe comproba
r
que la organizacin tenga un empleado de ese nombre y que la llamada
nmero de telfono de espalda coincide con el nmero de telfono en lnea o impresos
Directorio de la empresa. La mayor parte del tiempo, esta sencilla tctica ser todo
lo que necesitan para
Compruebe que el llamador es quien dice que es.
Verificacin se vuelve un poco ms complicado cuando la empresa tiene un telfono publ
icado
directorio en lugar de una versin on-line. Se contrataron a personas; licencia de
personas; personas
cambiar de telfono, departamentos y puestos de trabajo. El directorio de la copia
impresa es ya
actualizado el da despus de que ha publicado, incluso antes de ser distribuidos. I
ncluso endirectorios
de lnea siempre no se puede confiar, porque los ingenieros sociales saben cmo
modificarlos. Si un empleado no puede verificar el nmero de telfono de independien
te
fuente, ella debe ser instruida para verificar por otros medios, tales como
ponerse en contacto con el administrador del empleado.
Parte 3
Alerta de intruso
Captulo 10
Ingrese en las instalaciones
Por qu es tan fcil para un forastero a asumir la identidad de un empleado de la emp
resa
y llevar a una representacin tan convincente que incluso las personas que son alt
amente
consciente de la seguridad se toman? Por qu es tan fcil engaando a personas que puede
n
ser plenamente consciente de los procedimientos de seguridad, sospechosos de per

sonas que no lo hacen saber y proteccin de los intereses de su empresa?


Reflexionar sobre estas preguntas como usted leer las historias en este captulo.
EL GUARDIA DE SEGURIDAD AVERGONZADO
Fecha: el martes 17 de octubre, 2:16
Lugar: La fbrica en las afueras de Tucson, Skywatcher Aviation, Inc.
Arizona.
Historia de la Guardia de seguridad
Escuchar sus tacones de cuero haga clic en contra el suelo en los salones de la
casi desierta
planta hizo Leroy Greene sentir mucho mejor que pasar las horas de la noche de s
u
ver en frente de los monitores de vdeo en la Oficina de seguridad. All no era
incluso no permite que nada mirar en las pantallas, leer una revista o su
Biblia de cuero enlazado. Slo haba que sentarse all mirando la muestra de que an
imgenes donde nada jams movida.
Pero caminar los pasillos, al menos fue estirando sus piernas y cuando l
recordado a tirar de sus brazos y hombros en el pie, le consigui un poco
ejercicio, demasiado. Aunque no realmente contar mucho ejercicio para un hombre
que
haba jugado el tackle derecho en el equipo de ftbol de secundaria campen All-City.
An as,
pensaba que un trabajo es un trabajo.
Gir la esquina suroeste y comenz a lo largo de la galera con vistas a la mitadplant
a
de produccin de millas de largo. l Mir hacia abajo y vio a dos personas caminando p
asado
la lnea de copters parcialmente construidos. La pareja se detuvo y parece estar a
puntando cosas
fuera mutuamente. Una extraa visin en este momento de la noche. ' Mejor comprobar,
\"pens.
Leroy encabezada por una escalera que le proporcionara al piso de la lnea de produ
ccin
detrs de la pareja, y no sienten su enfoque hasta que intervino junto a.
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'h'.
mantener su voz suave en momentos como ste; saba que el mero tamao de l podra
parece amenazante.
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'o'.
desde la Oficina de Marketing en empresas en Phoenix. Estoy en la ciudad para re
uniones y
quera mostrar mi amigo aqu cmo del ms grande el mundo helicpteros obtener construidos
. \"
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'L'.
parecan. El to de Marketing espera apenas la alta escuela, otro
tena el pelo hasta los hombros y mir sobre quince aos.
Alcanz el uno con el corte de pelo en su bolsillo para su insignia, entonces come
nzado a
acaricia todos los bolsillos. Leroy fue de repente comienzo a tener una mala sen
sacin sobre
esto. \"Joder\", dijo el chico. \"Debe has dejado en el coche. Puedo conseguirlo
--tomar solo me diez
minutos para salir al estacionamiento y espalda\".
Leroy tuvo su almohadilla fuera de este tiempo. \"Lo que dira que su nombre era,
Sor que pregunt,
y anot cuidadosamente la respuesta. A continuacin, les pidi ir con l a la
Oficina de seguridad. En el ascensor hasta el tercer piso, Tom charlamos acerca
de haber sido
con la empresa por slo seis meses y espera que l no iba a llegar en cualquier

problemas para esto.


En la sala de control de seguridad, los dos otros en la noche desplazan con Lero
y
se le uni en cuestionamiento al par. Stilton le dio su nmero de telfono y dijo
su jefe fue Judy Underwood y dio su nmero de telfono y la
informacin todos retirados en el equipo. Leroy tom la seguridad otras dos
gente de un lado y se habl sobre qu hacer. Nadie quera sacar este mal;
los tres acordaron mejor llaman a jefe de guy aunque significara despertar
ella en medio de la noche.
Leroy llamado Sra. Underwood a s mismo, explic que l era y ella tena una
El Sr. Tom Stilton trabajando para ella? Ella sonaba como ella era mitad todava do
rmida.
There was an error deserializing the object of type System.String. Encountered u
nexpected character There was an error deserializing the object of type System.S
tring. Unexpected end of file. Following elements Gafete.\"
Sra. Underwood dijo, \"Djame hablar con l\".
Stilton en el telfono y dijo, \"Judy, siento realmente estos chicos despertar
que hasta en la mitad de la noche. Espero que no te vas a
mantenga esta contra m.\"
l escuch y luego dijo: \"fue simplemente que tena que estar aqu en la maana
de todas formas, para esa reunin en el nuevo comunicado de prensa. De todos modos
, obtendr el correo sobre el trato de Thompson? Tenemos que cumplir con Jim hasta
el lunes por la maana nos
no pierda esto. Y todava tengo almuerzo con ustedes el martes, justo?\"
Escuchado un poco ms y dijo adis y colg.
Pille Leroy sorpresa; haba pensado que conseguira el telfono vuelve as la dama
podra decirle que todo estaba bien. Se pregunt si tal vez l debera llamar le
una vez ms y preguntar, pero pens mejor. l ya haba molestado a ella una vez en el
media de la noche; Si l llam una segunda vez, tal vez ella podra obtener molesta y
quejarse a su jefe. \"Por qu hacer olas?\" pens.
Est bien si muestro a mi amigo el resto de la lnea de produccin? Stilton pidi Leroy
Desea que venga, mantener un ojo en nosotros?
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'L'.
Seguridad saber si necesita estar en el piso de la planta despus de horas--es la
regla.\"
Te recuerdo que, Leroy, \"Stilton dijo. Y se marcharon.
Haban pasado apenas diez minutos antes de que son el telfono en la Oficina de segur
idad.
Sra. Underwood fue en la lnea. \"Quin era ese chico?\" ella quera conocer. Ella
dice ella mantuvo tratando de hacer preguntas, pero l slo mantuvo hablando acerca
de tener
almuerzo con ella y ella no sabe quien es el infierno.
Los chicos de seguridad llamados el vestbulo y la guardia en la puerta para el es
tacionamiento.
Ambos informaron que los dos jvenes haban dejado unos minutos antes.
La historia posterior, Leroy siempre termin diciendo: \"Lordy, jefe chew
Yo por un lado y por el otro. He tenido suerte que todava tengo un trabajo\".
Historia de Joe Harper
Solo para ver lo que l podra llegar lejos con diecisiete aos Joe Harper haba sido
furtivamente en edificios de ms de un ao, a veces durante el da,
a veces por la noche. El hijo de un msico y una camarera cctel, tanto trabajo
el turno de noche, Joe tena demasiado tiempo por l mismo. Su historia de ese mismo
incidente
arroja luz instructiva sobre cmo sucedi todo.
Tengo este amigo Kenny, quien piensa que quiere ser un piloto de helicptero. Preg
unt
me pude meterlo en la fbrica de Skywatcher para ver la lnea de produccin donde
hacen los helicpteros. l sabe que he metido en otros lugares antes. Es un
a ver si puede caer en lugares que no se supone que adrenalina.

Pero simplemente no entras en un edificio de la fbrica u oficina. Llegu a pensar


hacer un montn de planificacin y hacer un pleno reconocimiento en el destino. Comp
ruebe el
pgina Web de la compaa de telfono, nombres y ttulos y estructura jerrquica
nmeros. Leer recortes de prensa y artculos en revistas. Investigacin meticulosa es
mi
marca propia de precaucin, por lo que pude hablar con alguien que me desafi, con c
omo
mucho conocimiento como cualquier empleado.
Hasta dnde empezar? Primero busqu en Internet para ver donde la compaa tena
oficinas y vio que era la sede corporativa en Phoenix. Perfecto. Llam y
pedido de comercializacin; cada compaa tiene un departamento de marketing. Una dama
respondi, y dijo que estaba con grficos de lpiz azul y queramos ver si nos
poda interesar en el uso de nuestros servicios y que sera hablar. Ella dijo
sera Tom Stilton. Ped su nmero de telfono y dijo que no daba
que informacin pero ella podra ponerme a travs. La llamada son en el correo de voz,
y su mensaje, dijo, \"Esto es Tom Stilton en grficos, extensin 3147, por favor
dejar un mensaje\". Seguro--no dan a las extensiones, pero este chico deja su
en su correo de voz. As fue genial. Ahora tena un nombre y una extensin.
Otra llamada, volver a la misma oficina. \"Hola, estaba buscando Tom Stilton. l e
s
no en. Me gustara pedirle a su jefe una pregunta rpida.\" El jefe fue, tambin, sino
por la
tiempo que estaba terminado, que yo saba el nombre del jefe. Y haba ido muy bien s
u extensin
el nmero de su correo de voz, demasiado.
Podra probablemente conseguir nos pasado la Guardia vestbulo con sin sudar, pero h
e impulsado por
planta y yo pensaba que record una valla alrededor del estacionamiento. Una valla
significa un
Guardia que le comprueba cuando se intenta impulsar en. Y por la noche, podra ser
escribir nmeros de licencia, demasiado, as que tendra que comprar un viejo matrcula
en una pulga
mercado.
Pero primero tendra que obtener el nmero de telfono en la choza del guardia. Esper u
n poco por lo que Tengo el mismo operador cuando marcado en, ella no reconoce mi
voz.
Despus de un poco llam y dijo, \"tenemos una denuncia que el telfono en la cresta
Choza de guardia de carretera ha reportado problemas intermitentes--son sigue te
niendo
problemas?\" Ella dice que no saba pero me conectara.
El hombre respondido, \"puerta de Ridge Road, Ryan se trata.\" Dije, \"Hola, Rya
n, se trata de Ben.
Tenan problemas con sus telfonos all?\" Es simplemente una seguridad mal pagados
Guardia pero supongo que tena cierta formacin porque enseguida dijo: \"Ben quien-Cul es su apellido?\" Slo conserv derecha como si no hubiese incluso le escuch.
Alguien report un problema anteriormente.
Pude or lo mantiene lejos el telfono y llamar, \"Hey, Bruce, Roger,
hubo un problema con este telfono. Se volvi y dijo, \"No, no
problemas que conocemos\".
Cuntas lneas de telfono tiene all?
Se haba olvidado de mi nombre. \"Dos\", dijo. \"Que ests en ahora?\"
3140.
Gotcha! \"Y est trabajando bien\"?
Me parece.
Est bien, dijo. Escucha, Tom, si tienes algn problema de telfono, slo comunquese con
nosotros
Telecom cualquier momento. Estamos aqu para ayudar\".
Mi compaero y yo decidimos visitar la planta de la noche siguiente. Tarde esa tar
de

Llam a la cabina de guardia, utilizando el nombre del chico de Marketing. Dije, \


"Hola, esto es
Tom Stilton en grficos. Estamos en un plazo de accidente y tengo un par de chicos
conduce a la ciudad para ayudar. Probablemente no estar aqu hasta uno o dos en el
por la maana. Seguirn en entonces?\"
l estaba feliz de decir que no, baj a la medianoche.
Dije, \"bueno, slo dejo una nota para el siguiente tio, vale? Cuando aparecen dos
chicos
y decir que han venido a ver Tom Stilton, slo onda em en--vale?\"
S, dijo que estaba bien. Tom mi nombre, departamento y extensin
nmero y dijo que tener cuidado de ella.
Nos condujo hasta la puerta un poco despus de dos, dio el nombre de Tom Stilton y
un sueo
Guardia slo seal la puerta debemos ir y dnde debo aparcar.
Cuando caminamos hacia el edificio, hubo otra estacin de la guardia en el vestbulo
,
con el habitual libro de inicios de sesin nocturna. Dijo el guardia tena un inform
e que
necesario para estar listo en la maana, y esta amiga ma quera ver el
planta. \"Est loco por helicpteros,\" dije \"piensa que quiere aprender a piloto
uno\". Me pregunt por mi insignia. Lleg en un bolsillo, y luego palmaditas alreded
or y
dice que debo haber dejado en coche; Voy a ir a conseguirlo. Dije, \"Te llevar un
os diez minutos\".
Dijo, no importa, est bien, simplemente identifcate.
Caminando por esa lnea de produccin--lo que un gas. Hasta ese tronco de rbol de un
Leroy
se nos detuvo.
En la Oficina de seguridad, pens que se vera alguien que realmente no pertenecen
nervioso y asustado. Cuando las cosas se ponen apretadas, solo empiezo a sonar c
omo soy realmente
al vapor. Como soy realmente quien deca ser y es molesto no creen
Me.
Cuando comenzaron a hablar quizs debera llamar a la seora dijo que era mi
Jefe y fui para obtener su nmero de telfono del equipo, estaba all
pensamiento, el \"Buen momento para hacer una pausa para ti\". Pero hubo ese est
acionamiento
puerta--incluso si conseguimos salir del edificio, iba a cerrar la puerta y lo n
o haramos nunca
divisar.
Cuando llama a la dama que fue jefe de Stilton y luego me dio el telfono, Leroy
la dama comenz a gritar a m \"Que es esto, quin eres!\" y me qued solo
hablando como estbamos teniendo una conversacin agradable y luego colg.
Cunto tiempo tarda en encontrar a alguien que te puede dar un telfono de empresa
nmero en medio de la noche? Pens que tenamos menos de quince minutos para
salir de all antes de esa dama estaba sonando la Oficina de seguridad y poniendo
un error
en sus odos.
Nos sali de all lo ms rpido posible sin mirar como tenamos prisa.
Seguro que alegr cuando el chico en la puerta slo agit nosotros a travs de.
Analizando el timo
Cabe sealar que en el incidente real esta historia se basa, los intrusos
en realidad eran adolescentes. La intrusin fue una alondra, solo para ver si podra
n obtener
distancia con l. Pero si era tan fcil para un par de adolescentes, hubiera sido in
cluso
ms fcil para los ladrones adultos, espas industriales o terroristas.
Cmo tres oficiales de seguridad experimentados permiten un par de intrusos slo cam
inar
distancia? Y no cualquier intruso, pero una pareja tan joven que cualquier person

a razonable
debe haber sido muy sospechoso?
Leroy fue apropiadamente sospechoso, en un principio. Fue correcto en llevarlos
a la
Oficina de seguridad y en cuestionamiento el chico que se llama a s mismo Tom Sti
lton y
comprobacin de los nombres y nmeros de telfono que dio. Era cierto en
hacer la llamada al supervisor.
Pero al final fue llevado por aire del joven de confianza y
indignacin. No es el comportamiento que cabe esperar de un ladrn o un intruso--slo
un empleado real habra actuado ese camino... o lo asumi. Leroy debe
han sido entrenados para contar con identificacin slida, no de percepciones.
Por qu no l ms sospechoso cuando el joven colg el telfono sin
lo entrega vuelve para que Leroy pudieron escuchar la confirmacin directa de Judy
Underwood y recibir su garanta de que el nio tena una razn de ser en el
planta tan tarde en la noche?
Leroy fue acogido por una artimaa tan audaz que debera haber sido evidente. Pero
considerar el momento desde su perspectiva: un graduado de escuela secundaria, p
reocupado por
su trabajo, incierto si l podra tener problemas para molestar a una empresa
administrador por segunda vez en medio de la noche. Si haba sido en su
zapatos, habra hecho la llamada de seguimiento?
Pero por supuesto, una segunda llamada telefnica fue la nica accin. Qu otra cosa
podra haber hecho el guardia de seguridad?
Incluso antes de colocar la llamada telefnica, l podra han pedido tanto a la par de
mostrar
algn tipo de identificacin de la imagen; llevaron a la planta, por lo que al menos
uno de
ellos deben tener una licencia de conducir. El hecho de que originalmente dieron
falsos
nombres habra sido obvios (un profesional habra llegado
equipado con identificacin falsa, pero estos adolescentes no han tomado esa preca
ucin). En cualquier
caso, Leroy debe han examinado sus credenciales de identificacin y escrito
la informacin. Si ambos insistieron que no tenan ninguna identificacin, l debe
entonces ellos han caminado o el coche para recuperar el gafete de la empresa \"
Tom
Stilton\"afirm que haba dejado all.
MENSAJE DE MITNICK
Gente manipuladora suelen tener personalidades muy atractivos. Son tpicamente
articular bastante y rpido en sus pies. Los ingenieros sociales tambin estn especia
lizados en
los procesos de pensamiento de distraccin popular que cooperan. Pensar que cualqu
ier
una persona no es vulnerable a esta manipulacin es subestimar
la habilidad y el instinto asesino del ingeniero social.
Por otro lado, un buen ingeniero social, nunca subestima a su adversario.
Tras la llamada telefnica, una de las personas de seguridad debera haberse quedado
con el
par hasta que abandonaron el edificio. Y, a continuacin, les camin hacia su auto y
escrito
el nmero de la placa de la licencia. Si l hubiera sido lo suficientemente atento,
tendra
seal que hizo la placa (el uno que el atacante haba comprado en un mercadillo)
no tienen una pegatina de registro vlida - y que debera haber sido motivo suficien
te para
detienen a la pareja para una mayor investigacin.
RECOLECCIN URBANA
Recoleccin urbana es un trmino que describe el manoseo a travs de la basura del des
tino en

bsqueda de informacin valiosa. La cantidad de informacin que puede obtener informac


in acerca de un
el objetivo es asombroso.
Mayora de la gente no mucho pensar en lo que est descartando en casa: telfono
facturas, declaraciones de tarjeta de crdito, botellas de prescripcin mdica, extrac
tos bancarios, trabajomateriales
relacionados y mucho ms.
En el trabajo, deben hacerse conscientes de que la gente mira a travs de basura p
ara empleados
obtener informacin que puede beneficiarlos.
Durante mis aos de secundaria, sola ir excavando a travs de la basura detrs de la
telfono local empresa edificios--a menudo solos pero ocasionalmente con amigos qu
e
comparten un inters en conocer ms acerca de la compaa telefnica. Una vez que
se convirti en un buzo experimentado de basurero, aprender algunos trucos, como p
or ejemplo cmo hacer
esfuerzos especiales para evitar las bolsas de los baos y la necesidad de llevar
guantes.
Recoleccin urbana no es agradable, pero la recompensa fue extraordinaria--interna
la compaa de guas telefnicas, manuales de equipo, listas de empleados, descartadas
impresiones mostrando cmo se programa el equipo de conmutacin y ms--todo all por
la toma.
Yo sera programar visitas para noches cuando se publica nuevos manuales, porque l
a
contenedores de basura tendra mucho de los viejos son ignoradas arrojadas a la ba
sura. Y
Me gustara ir otras veces impar, buscando cualquier notas, cartas, informes etc.
adelante, podran ofrecer algunas interesantes joyas de informacin.
Al llegar quisiera encontrar algunas cajas de cartn, les Tire y dejar de lado. Si
alguien me desafi, que pas ahora y entonces, yo dira que fue un amigo
mover y yo solo estaba buscando cuadros que le ayude a paquete. La Guardia nunca
observado todos los documentos que me haba puesto en los cuadros para llevar a ca
sa. En algunos casos, Dime a perderse, por lo que slo sera hacia otra oficina cent
ral compaa de telfono.
JERGA
BASURERO conducir atravesando la basura de la empresa (a menudo en un
Basurero fuera y vulnerable) para encontrar informacin desechado que bien propio
tiene valor, o proporciona una herramienta para usar en un ataque de ingeniera so
cial, como interna
nmeros de telfono o de ttulos
No s lo que es hoy, pero atrs entonces fue fcil decirle que bolsas
puede contener algo de inters. La basura de cafetera y barreduras de piso
estaban sueltos en las grandes bolsas, mientras que las papeleras Oficina estaba
n forrados con
bolsas de basura desechable blanco, que la tripulacin de limpieza podra levantar a
uno por uno
ajuste y una corbata alrededor.
Una vez, mientras busca con unos amigos, llegamos con unas hojas de
papel rasgado con la mano. Y no slo rasgadas hasta: alguien haba ido a la molestia
de
extraer las hojas en trozos pequeos, todos cmodamente echado en un solo cincoBolsa de basura de galn. Tomamos la bolsa a una tienda local de donut, vuelca las
piezas fuera de
una tabla y comenz montaje ellos uno por uno.
Estbamos todos puzzle-hacedores, por lo que esto ofrece el estimulante desafo de u
n gigante
rompecabezas... pero result tener ms que una recompensa infantil. Cuando haya term
inado,
habamos mont la lista de nombre y contrasea de cuenta completa para uno de los
sistemas de equipo crtico de la compaa.

Eran nuestros ataques buceo contenedor vale la pena el riesgo y el esfuerzo? Te a


puesto
fueron. Incluso ms de lo que parece, porque el riesgo es cero. Es cierto, a conti
nuacin,
y hoy todava cierto: como no va violar, discutido a travs de alguien
de otra basura es 100 por ciento legal.
Por supuesto, los hackers y phreaks de telfono no son los nicos con sus jefes en
latas de basura. Departamentos de polica alrededor de la pata del pas a travs de la
basura con regularidad,
y un desfile de gente de dons de la Mafia a los sobornadores menores han sido co
ndenados
basado en parte en pruebas reunidas desde su basura. Agencias de inteligencia,
incluyendo nuestros propios, han recurrido a este mtodo durante aos.
Puede ser una tctica demasiado baja abajo para James Bond--pelcula asistentes pref
ieren mucho
verlo outfoxing el villano y ropa de cama una belleza que permanente hasta su
rodillas en la basura. Espas de la vida real son menos partiendo cuando algo de v
alor
puede ser tapada entre las cscaras de pltano y caf motivos, los peridicos y
listas de supermercado. Especialmente si la recopilacin de la informacin no ponerl
os en dao
forma.
Caja de basura
Las corporaciones jugar el juego de buceo de basurero, demasiado. Peridicos tuvie
ron un da de campo
Junio de 2000, informes que Oracle Corporation (cuyo CEO, Larry Ellison, es
probablemente, la nacin ms de marcadas enemigo de Microsoft) ha contratado una inv
estigacin
empresa que haba sido atrapado con las manos en el tarro de cookie. Parece el
los investigadores querido basura desde un traje cabildeo soportadas por Microso
ft, ley, pero
no quieren que el riesgo de obtener atrapados. Segn informes de prensa, la
empresa de investigacin enviado a una mujer que ofreca a los conserjes $60 a dejar
la han
la basura de la ley. Transform hacia abajo. Ella fue volver la prxima noche, uppin
g la
ofrecen $500 para los limpiadores y $200 para el supervisor.
Los conserjes transform hacia abajo y, a continuacin, transform.
Destacado periodista on-line Declan McCullah, tomando una hoja de literatura, ti
tulado
su historia de Wired News en el episodio, \"'Twas Oracle que espi en MS.\" Tiempo
revista, clavando Ellison de Oracle, titul su artculo simplemente \"Peeping Larry\
".
Analizando el timo
Basado en mi propia experiencia y la experiencia de Oracle, cabra preguntarse
por qu nadie molestar a tomar el riesgo de robar la basura de alguien.
La respuesta, creo, es que el riesgo es nulo y los beneficios pueden ser sustanc
iales.
Vale, quizs tratando de sobornar a los conserjes aumenta la posibilidad de consec
uencias,
pero para quien est dispuesto a ensuciarse un poco, sobornos no son necesarias.
Para un ingeniero social, recoleccin urbana tiene sus ventajas. l puede conseguir
suficiente
informacin para orientar su asalto contra la compaa de destino, incluyendo notas,
reunin de agendas, cartas y similares que revelar nombres, departamentos, ttulos,
telfono
nmeros y las asignaciones del proyecto. Basura puede producir organizativa de la
empresa
grficos, informacin sobre la estructura corporativa, horarios de viaje y as sucesiv
amente. Todos

esos detalles pueden parecer triviales para adentro, pero pueden ser muy valioso
s
informacin para un atacante.
Mark Joseph Edwards, en su libro Internet Security con Windows NT, habla
acerca de los \"informes todos descartados debido a errores tipogrficos, las cont
raseas escritas en trozos documento, 'mientras estaba en' mensajes con nmeros de t
elfono, carpetas de archivo completo
con documentos an en ellos, disquetes y cintas que no eran borradas o destruidas-todo lo cual podra ayudar a un intruso aspirante. \"
El escritor va a pedir \"Y quines son esas personas en su tripulacin de limpieza?
Has decidido que no la tripulacin limpieza [podr] entrar en el equipo
la sala, pero no olvides las otras latas de basura. Si los organismos federales
consideran necesario
Fondo controles sobre las personas que tienen acceso a sus papeleras y
Trituradoras, probablemente debera as.\"
MENSAJE DE MITNICK
Tu basura puede ser el tesoro de su enemigo. No damos mucha consideracin a
los materiales que descartamos en nuestras vidas personales, as que por qu deberamos
creemos personas
tiene una actitud diferente en el lugar de trabajo? Todo se trata de educar a la
fuerza de trabajo sobre el peligro (personas sin escrpulos cavando de valiosos
informacin) y la vulnerabilidad (informacin confidencial no se destruyen o
correctamente borrada).
EL JEFE HUMILLADO
Nadie pens nada al respecto cuando Harlan Fortis lleg a trabajar el lunes
por la maana como es habitual en el departamento de carreteras del condado y dijo
que l haba abandonado prisa y olvidado su insignia. El guardia de seguridad vio a
Harlan en
y va a salir cada da de la semana durante los dos aos que haba estado trabajando al
l. Ella
signo lo hizo para un temporal insignia del empleado, le dio a l, y l sali
su camino.
No fue sino hasta dos das despus que todos infierno comenz rompiendo sueltos. El
historia se extendi por todo el departamento como reguero de plvora. Mitad de la g
ente que
escuchado que no poda ser cierto. Del resto, nadie pareca saber si
rer fuerte o sentir lstima por el pobre alma.
Despus de todo, George Adamson fue una persona compasiva, la cabeza mejor y tipo
de departamento haban tenido nunca. l no merece tener esto suceda a l.
Suponiendo que la historia era verdad, por supuesto.
El problema comenz cuando George llama Harlan en su Oficina de la tarde de un vie
rnes
y le dijo, tan suavemente como pudo, que vienen Harlan lunes informar
a un nuevo trabajo. Con el departamento de servicios de saneamiento. A Harlan, e
sto no era como estar
despedido. Fue peor; fue humillante. l no iba a llevarlo acostado.
Esa misma noche l mismo sentado en su porche a ver la vuelta enlazado
trfico. Por fin vio al chico de barrio llamado David que todo el mundo
llamado \"The War Games Kid\" pasando su ciclomotor en el camino a casa de alto
escuela. Se detuvo a David, le dio un cdigo rojo Mountain Dew haba comprado
especialmente para el propsito y le ofreci un trato: el ms reciente jugador de vide
ojuegos
y seis juegos a cambio de alguna ayuda de equipo y una promesa de mantener su
cerrar la boca.
Despus Harlan explic el proyecto - sin dar ninguna de la puesta en peligro
detalles--David acordado. Describi lo que l quera Harlan hacer. Fue a
comprar un mdem, entrar en la Oficina, encontrar a del alguien equipo donde haba u
n
conector de telfono cerca de repuesto y conecte el mdem. Deje el mdem bajo el
escritorio donde nadie pueda verlo. Luego vino la parte riesgosa. Harlan

tuvo que sentarse en el equipo, instale un paquete de software de acceso remoto


y obtener
se ejecuta. Cualquier momento podra aparecer el hombre que trabajaba en la Oficin
a, o
alguien podra caminar y verlo en la Oficina de otra persona. Fue tan tenso
que l pudo apenas leer las instrucciones el kid haba escrito para l.
Pero l consigui hacer y se desliz fuera del edificio sin ser notado.
Plantar la bomba
David se detuvo despus de la cena esa noche. Los dos se sentaron a de Harlan
equipo y dentro en pocos minutos el chico haba marcado en el mdem,
obtuvo acceso y la mquina de lleg George Adamson. No muy difcil, desde
George nunca tuvo tiempo para cautelares cosas como cambiar
contraseas y siempre estaba pidiendo esta persona o que descargar o enviar por co
rreo electrnico un archivo
para l. En el tiempo, todos en la Oficina saban su contrasea. Un poco de caza
activado el archivo llamado BudgetSlides2002.ppt, que el muchacho descargado
en equipo de Harlan. Harlan dijo entonces el kid a ir a casa y venir
Atrs en un par de horas.
Cuando David volvi, Harlan le pidi volver a conectar con la carretera
Sistema informtico de departamento y colocar el mismo archivo espalda donde tenan
pareci, sobrescribir la versin anterior. Harlan mostraron a David el video
jugador del juego y prometi que si las cosas iban bien, l tendra al da siguiente.
George sorprendente
No crees que hay algo sonando tan aburrido como audiencias de presupuesto
sera de mucho inters para nadie, pero la sala de reunin del condado
Consejo estaba abarrotada, llena de periodistas, representantes de inters especia
l
grupos, los miembros del pblico y an dos tripulaciones de noticias de televisin.
George siempre resultaba mucho en juego para l en estas sesiones. El condado
Consejo celebr las cadenas del bolso, y a menos que George podra poner en unconvin
cente
presentacin, las carreteras podra ser reducido presupuesto. A continuactiodno el mu
ndo sera
empezar a quejarse de baches y semforos pegadas y peligroso
intersecciones y culpar a l y la vida sera capaz de avaro para el conjunto
ao prximo. Pero cuando se present esa noche, se encontraba un sentimiento
seguros. Haba trabajado seis semanas en esta presentacin y la presentacin de PowerP
oint
visuales, que haba tratado su esposa, su pueblo de personal superior, y algunos
respetados amigos. Todos estuvieron de acuerdo fue su mejor presentacin nunca.
Las tres primeras imgenes de PowerPoint jugaron bien. Para un cambio, cada Consej
o
miembros estaba prestando atencin. l estaba haciendo eficazmente sus puntos.
Y, a continuacin, a la vez todo comenz fallando. Fue la cuarta imagen
se supone que una foto hermosa al atardecer de la nueva extensin de carretera abi
erta
ao pasado. En su lugar fue algo ms, algo muy embarazoso. A
Fotografa de una revista como Penthouse o Hustler. Poda or el
audiencia entiendo como apresuradamente golpear el botn en su computadora porttil
para pasar a la imagen.
Este fue el peor. Una cosa no quedaba a la imaginacin.
Todava estaba tratando de haga clic en otra imagen cuando alguien en la audiencia
sac el enchufe de alimentacin del proyector mientras que el Presidente golpeaba ru
idosamente con
su gavel y grit por encima el barullo que se suspendi la reunin.
Analizando el timo
Utilizando la experiencia de un hacker adolescente, un empleado disgustado logr a
cceder a la
equipo del jefe de su departamento, descargar un importante PowerPoint
presentacin y reemplazar algunas de las diapositivas con imgenes determinadas caus

ar grave
vergenza. Luego puso la presentacin en equipo del hombre.
Con el mdem conectado a un jack y conectado a uno de la Oficina
equipos, el joven hacker fue capaz de marcar desde el exterior. El chico haba fij
ado
hasta el software de acceso remoto de antemano para que, una vez conectado a la
equipo, l tendra acceso completo a cada archivo almacenado en todo el sistema.
Ya el equipo estaba conectado a la red de la organizacin y l ya
saba que el jefe de nombre de usuario y contrasea, puede obtener acceso fcilmente a
l jefe
archivos.
Incluyendo el tiempo para analizar en las imgenes de la revista, haba tomado el es
fuerzo de todo
slo unas pocas horas. Fue el dao resultante a la reputacin de un hombre bueno y ms a
ll
imaginando.
MENSAJE DE MITNICK
La mayora de los empleados que son transferidos, despedido, o dejar ir en un
reduccin nunca son un problema. Sin embargo slo tarda uno para hacer una empresa
comprender demasiado tarde qu medidas han tomado para prevenir desastres.
Experiencia y las estadsticas han mostrado claramente que la mayor amenaza para l
a
empresa es desde adentro. Resulta que las personas que tienen un conocimiento nti
mo de
donde reside la informacin valiosa y dnde golpear a la compaa para causar
ms dao.
EL SOLICITANTE DE LA PROMOCIN
Tarde en la maana de un da de otoo agradable, Peter Milton camin en el lobby
de las oficinas regionales de Denver del Honorable de autopartes, piezas naciona
les
mayorista para el recambio de automvil. Esper en la recepcin mientras
la joven dama firm en un visitante, dio indicaciones a un llamador y tratadas
con el hombre de UPS, todo ms o menos al mismo tiempo.
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'P'.
tiempo para ayudarlo. Ella sonri, obviamente complacido haba notado. Fue desde
Marketing en la Oficina de Dallas, le dije y dijo que Mike Talbott de
Las ventas de Atlanta iba a ser reunirse con l. \"Tenemos un cliente a visitar
juntos esta tarde \", explic. Slo esperar aqu en el lobby.\"
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'S'.
escuchar lo que vena. \"Si pude ir a la Universidad, que es lo que tendra\", dijo.
Me encantara trabajar en Marketing.
l sonri de nuevo. \"Kaila,\" dijo, leyendo su nombre fuera el signo en el contador
,
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements ms de Marketing. Eso fue hace tres aos, y ahora ella
es un asistente
Director de marketing, haciendo dos veces lo que tena.\"
Kaila pareca iluso. Aadi, \"Se puede utilizar un ordenador?\" \"Seguro,\" ella
dijo.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements Ella techado. \"Para eso sera incluso paso a Dallas
.\"
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'h'.
pero voy a ver lo que puedo hacer.\"
Ella pens que este buen hombre en el traje y corbata y con la prolijamente recort
ados,
Well-combed cabello podra hacer una gran diferencia en su vida laboral.

Pete se sent en el vestbulo, abri su porttil y comenz a obtener algn trabajo


hecho. Despus de diez o quince minutos, l intervino hasta el contador. \"Escucha,\
" l
dijo, \"parece que Mike ha sido celebrado. Hay una sala de conferencias donde me
poda sentarse y comprobar mis correos electrnicos mientras estoy esperando?\"
Kaila llam el hombre quien coordin la programacin de sala de Conferencia y
arreglada para que Pete usar uno que no era reservado. Siguiendo un patrn recogi
de las empresas de Silicon Valley (Apple probablemente fue el primero en hacerlo
) algunos de
las salas de conferencias fueron nombradas con personajes de dibujos animados, o
tros despus de restaurante
cadenas o estrellas de cine o hroes de cmic. Se le dijo que busque la Minnie
Sala de ratn. Ella lo hizo firmar y le dio instrucciones para encontrar Minnie
Ratn.
Encuentra la sala, que se asentaron en y haba conectado a su ordenador porttil al
puerto Ethernet.
Todava tienes la imagen?
Derecho--el intruso haba conectado a la red detrs del firewall corporativo.
Historia de Anthony
Supongo que podra llamar a Anthony Lake un empresario perezoso. O tal vez \"dobla
dos\" viene
ms estrecha.
En lugar de trabajar para otras personas, haba decidido que quera ir a trabajar pa
ra
a s mismo; Quera abrir una tienda, donde l podra estar en un solo lugar todo el da y
no
tienen que correr todo el campo. Slo quera tener un negocio que l
podra ser tan seguro como sea posible que l poda hacer dinero en.
Qu tipo de tienda? No tarda mucho en averiguar. Saba acerca de cmo reparar
coches, por lo que el almacn de piezas de un auto.
Y cmo construir una garanta de xito? La respuesta lleg a l en un
Flash: convencer mayorista de auto partes Honorable autopartes para venderlo a t
odos los
mercanca que necesitaba en su costo.
Naturalmente no hacen esto con mucho gusto. Pero Anthony saba cmo estafar a person
as,
su amigo Mickey saba de irrumpir en los ordenadores de otras personas, y
Juntos trabajaron un plan inteligente.
Ese da de otoo convincentemente pas a s mismo como un empleado llamado Peter
Milton y l haban estafado su camino dentro de las oficinas de autopartes Honorable
y
ya se haba conectado su porttil a su red. Hasta ahora, as que fue bueno, pero que
slo el primer paso. Lo que todava tena que hacer no sera fcil, especialmente desde
Anthony fij a s mismo un lmite de tiempo de quince minutos--ya y figur
que el riesgo del descubrimiento sera demasiado alto.
MENSAJE DE MITNICK
Capacitar a la gente a no juzgar un libro nicamente por su portada--slo porque alg
uien
es bien vestido y atento no debera ser ms creble.
En una anterior llamada pretexting como una persona de apoyo de su equipo
proveedor, haba puesto en un acto de canto y baile. \"La empresa ha adquirido una
plan de apoyo de dos aos y nos estamos ponindole en la base de datos por lo que po
demos saber
cuando ha salido un programa de software que se utiliza con un parche o un nuevo
versin actualizada. Por eso necesito que me diga qu aplicaciones utiliza.\"
La respuesta que le dio una lista de programas y un amigo contador identificaron
la
uno llamado MAS 90 como destino--el programa que mantendra su lista de
proveedores y las condiciones de descuento y pago para cada uno.
Con ese conocimiento clave, luego utiliz un programa de software para identifiy,\

"todos los
sede de trabajo en la red, y no llevarlo mucho para encontrar la correcta
servidor utilizado por el departamento de contabilidad. Desde el arsenal de herr
amientas hacker
su porttil, lanz un programa y utiliza para identificar todos los autorizados
usuarios en el servidor de destino. Con otro, corri, a continuacin, una lista de u
sados
las contraseas, como \"en blanco\" y \"password\" s. \"Contrasea\" trabajada. No
hay sorpresa. Personas slo pierden toda creatividad a la hora de elegir
contraseas.
Slo seis minutos pasados y el juego termin la mitad. Fue en.
Otro tres minutos para agregar muy cuidadosamente su nueva empresa, direccin, telf
ono
nombre de contacto y nmero a la lista de clientes. Y despus de la entrada decisiva
,
el nico que podra hacer toda la diferencia, la entrada que dice todos los elemento
s deban ser
vendi a l en un 1 por ciento ms costo Honorable autopartes.
En poco menos de diez minutos, que fue realizado. Dej de suficiente tiempo para i
ndicar Kaila
Gracias, fue a travs de comprobar su correo electrnico. Y lleg a Mike Talbot,
cambio de planes, estaba en el camino a una reunin en la Oficina de un cliente. Y
l
no olvidar le recomendaba para ese trabajo en Marketing, tampoco.
Analizando el timo
El intruso que se llama a s mismo Peter Milton utiliza dos subversin psicolgica
tcnicas--uno planeado, el otro improvisado por el improviso por el momento.
l vestido como un trabajador de la administracin ganar buen dinero. Traje y corbat
a, cabello
cuidadosamente el estilo--estas parecen pequeos detalles, pero hacen una impresin.
ME
descubierto este yo mismo, sin darse cuenta. En poco tiempo como programador en
GTE
California--una compaa de telfono importantes ya no en existencia--he descubierto q
ue
Si me lleg en un da sin una insignia, prolijamente vestidos pero casual--decir, de
portes camiseta,
telfonos y estibadores--sera detenido y cuestionado. Dnde est su distintivo, que son
te, donde trabajas? Otro da podra llegar, an sin una insignia pero en un
traje y corbata, mirando muy corporativa. Usara una variacin de la milenaria
Piggybacking tcnica, mezcla con una multitud de personas que caminan en un
edificio o una entrada segura. Gustara acoplar en algunas personas mientras se ac
ercaban a
la entrada principal y paseo en charla con la multitud como si yo era uno de ell
os. ME
andaba pasado e incluso si los guardias notado que era menos de la insignia, no
me molesta porque no me pareca gestin y estuve con personas que fueron
luciendo distintivos.
De esta experiencia, reconoc como predecible el comportamiento de seguridad
guardias es. Como el resto de nosotros, estaban haciendo juicios basados en apar
iciones-una grave vulnerabilidad que los ingenieros sociales aprender a aprovechar.
Arma psicolgica segundo del atacante entr en juego cuando se dio cuenta de la
inusual esfuerzo que estaba haciendo el recepcionista. Manejar varias cosas a la
vez,
ella no consigue agarrara pero administrado para que todos se sientan tuvieron s
u plena atencin.
Esto tuvo como la marca de alguien interesado en tomar la delantera, para demost
rar
ella misma. Y, a continuacin, cuando reclam a trabajar en el departamento de Marke

ting, l
vigiladas para ver su reaccin, buscando pistas indicar si est estableciendo un
relacin con ella. l fue. Para el atacante, esto agrega hasta alguien poda
manipular a travs de una promesa de intentar ayudarla a pasar a un mejor trabajo.
(De
claro, si ella hubiera dicho que quera entrar en el departamento de contabilidad,
l
habra demandado que l tena contactos para llegar a ella un trabajo all, en su lugar.
)
Los intrusos tambin son aficionados de otra arma psicolgica utilizada en esta hist
oria:
fomento de la confianza con un ataque de dos etapas. Primero us esa conversacin ch
atty acerca de
el trabajo en la comercializacin, y utiliz tambin \"nombre colocar\"--dando el nomb
re de
otro empleado--una persona real, por cierto, justo como el nombre de l utilizado
era el nombre de un empleado real.
l podra han seguido la conversacin de apertura enseguida con una solicitud de
entrar en una sala de conferencias. Pero en su lugar se sent un rato y fingi
trabajo, supuestamente a la espera de su socio, otra manera de atenuar cualquier
posible
sospechas debido a que un intruso no colgar. l no cuelgan de
muy larga, sin embargo; los ingenieros sociales saben mejor que la estancia en l
a escena de la
delincuencia ya que es necesario.
MENSAJE DE MITNICK
Permitir que a un extrao en un rea donde l puede conectar un porttil en el corporati
vo
red aumenta el riesgo de un incidente de seguridad. Es perfectamente razonable p
ara un
empleado, especialmente uno desde fuera del sitio, para consultar su correo elec
trnico desde una
Sala de conferencias, pero a menos que el visitante se estableci como un empleado
de confianza o la
red es segmentado para evitar conexiones no autorizadas, esto puede ser el dbil
enlace que permite que los archivos de la empresa a estar en peligro.
Slo para el registro: por las leyes en los libros en el momento de este escrito,
Anthony
no se haba cometido un delito cuando entr en el vestbulo. No haba cometido un
delincuencia cuando us el nombre de un empleado real. No haba cometido un delito
cuando habl de su camino en la sala de conferencias. No haba cometido un delito
Cuando conectado a la red de la empresa y busca el destino
equipo.
No hasta que realmente rompi el sistema del equipo l romper la ley.
ESPIONAJE SOBRE KEVIN
Cuando yo trabajaba en un pequeo negocio, hace muchos aos empec a notar que
cada vez que entr en la Oficina que compart con el tres equipo
personas formado por el departamento de TI, esta un chico particular (Joe, llama
r le
aqu) sera alternar rpidamente la pantalla de su ordenador en una ventana diferente.
ME
inmediatamente reconocido como sospechosos. Cuando sucedi dos veces ms el
mismo da, estaba seguro de que algo pasaba que yo debo conocer. Qu
fue este chico hasta que l no quera ver?
Equipo de Joe actu como un terminal para acceder a minicomputadoras de la empresa
, as que me
instalado un programa de monitoreo en el sombrero de minicomputadora VAX me perm
itido espiar
en lo que estaba haciendo. El programa ha actuado como si estaba buscando una cma
ra de TV sobre su

hombro, que me muestre exactamente lo que estaba viendo en su computadora.


Mi escritorio fue junto a Joe; Cumpl a mi monitor lo mejor pudo en parte a
enmascarar su punto de vista, pero podra haber Mir en cualquier momento y se dio c
uMenEta de
espiaba a l. No es un problema; fue demasiado cautivado en lo que fue
haciendo notar.
Lo que vi hizo que mi mandbula soltar. Mir, fascinado, como el bastardo llamado ar
riba
Mis datos de nminas. l fue buscar mi sueldo! Slo haba estado all unos pocos
meses en el momento y adivinado Joe no poda reposar la idea que yo podra
han hecho ms de lo que fue.
Unos minutos ms tarde vi que l estaba descargando herramientas hacker utilizadas p
or menos
experimentado los hackers que no saben lo suficiente sobre programacin para elabo
rar el
herramientas para s mismos. Joe estaba despistado y no tena idea que uno de Americ
an
los hackers ms experimentados estaba sentado junto a l. Pens que era divertido.
Ya tena la informacin acerca de mi salario; por lo tanto es demasiado tarde detene
rlo.
Adems, tener acceso a cualquier empleado con el equipo en el IRS o la Seguridad S
ocial
Administracin puede buscar su salario. Seguro que no quera mi mano por la punta
informan lo que descubr lo que era hasta. Fue mi principal objetivo en el momento
mantener un perfil bajo y un buen ingeniero social no anuncia su
habilidades y conocimientos. Siempre desea personas le subestima, no veo
usted como una amenaza.
As que dejarlo ir y se ri a m mismo que Joe pens que saba algn secreto
yo, cuando era al revs: yo tena la mano superior por saber lo que
haba sido hasta.
En el tiempo he descubierto que tres de mis compaeros de trabajo en el grupo de T
I divertido
ellos mismos consultando el salario de este o ese Secretario lindo o (para
la uno chica en el grupo) buscando neat chico que haban manchado. Y estaban todos
averiguar el salario y bonos de nadie en la empresa eran curiosos
incluidos los directivos.
Analizando el timo
Esta historia ilustra un problema interesante. Eran accesibles a los archivos de
nmina
las personas que tenan la responsabilidad de mantener el equipo de la empresa
sistemas. Por lo que todo se trata de una cuestin personal: decidir quin puede con
fiar.
En algunos casos, personal de TI puede resultar irresistible a snoop alrededor.
Y tienen
la capacidad para hacerlo porque tienen privilegios que les permita sortear el a
cceso
controles en esos archivos.
Sera una salvaguardia auditar el acceso a archivos especialmente sensibles,
como la nmina. Por supuesto, cualquier persona que tenga los privilegios necesari
os podra deshabilitar
auditora o posiblemente eliminar todas las entradas que apuntan hacia ellos, pero
cada uno
paso adicional lleva ms esfuerzo para ocultar por parte de un empleado sin escrpul
os.
PREVENIR LA CON
De manoseo a travs de su basura para timar a un guardia de seguridad o recepcioni
sta, social
ingenieros fsicamente pueden invadir su espacio corporativo. Pero alegrar or
que existen medidas preventivas que puede tomar.
Proteccin despus de horas

Se debe exigir a todos los empleados que llegan para trabajar sin sus insignias
parada en la Oficina de recepcin o seguridad de lobby para obtener una acreditacin
temporal para el da.
El incidente en la primera historia de este captulo podra haber llegado a un muy d
iferente
conclusin si los guardias de seguridad de la empresa ha tenido un conjunto especfi
co de pasos a
seguir cuando se enfrentan a nadie sin la insignia de empleados requeridos.
Para empresas o reas dentro de una empresa donde la seguridad no es un alto nivel
preocupacin, puede no ser importante insistir en que cada persona tiene un distin
tivo visible
en todo momento. Pero en las empresas con zonas sensibles, este debera ser un estn
dar
requisito, cumplir rgidamente. Empleados deben ser entrenados y motivados para
hay personas que no tienen un distintivo y empleados de alto nivel de desafo
se ense a aceptar esos desafos sin causar vergenza a la persona
que se les detiene.
Poltica de la empresa, debe informar a los empleados de las penas para aquellos q
ue
sistemticamente no llevar sus insignias; las sanciones pueden incluir enviar la
empleado de hogar para el da sin pagar, o una notacin en su archivo personal. Algu
nos
empresas de instituir una serie de penas progresivamente ms severas que pueden
incluir notifica el problema al administrador de la persona y, a continuacin, emi
tir una formal
advertencia.
Adems, donde hay informacin confidencial para proteger, la empresa debe:
establecer procedimientos para autorizar a personas que necesiten para visitar d
urante no empresariales
horas. Una solucin: exigir que se hagan los arreglos a travs de empresas
seguridad o algn otro grupo designado. Este grupo sera verificar rutinariamente el
identidad de cualquier empleado llamando a organizar un perodo visita mediante un
a llamada a la
supervisor de la persona o algn otro mtodo razonablemente seguro.
Tratamiento de la basura con respeto
La historia de buceo de recoleccin excavadas en los potenciales inadecuados de tu
Papelera corporativa.
Las ocho claves de sabidura con respecto a la basura:
Clasificar toda la informacin confidencial segn el grado de sensibilidad.
Establecer procedimientos de toda la empresa para descartar informacin confidenci
al.
Insisten en que toda la informacin confidencial a descartarse en primer lugar se
destruyen y proporcionar
de una manera segura para deshacerse de informacin importante sobre trozos de pap
el demasiado
pequeo para la destruccin. Trituradoras no deben ser el tipo de presupuesto low-en
d, que su vez
con tiras de papel que un atacante decidido, dado la suficiente paciencia, puede
volver a montar. En cambio, deben ser del tipo llamado Cruz-trituradoras, o aque
llos que
procesar la salida en pulpa intil.
Proporcionar una manera para representar inutilizable o borrar completamente equ
ipo multimedia-disquetes, discos Zip, CDs y DVDs utilizados para almacenar archivos, cintas ext
rables,
antiguos discos duros y otros soportes informticos--antes de que se descartan. Re
cuerde
eliminar archivos que no realmente eliminarlos; an pueden ser recuperados--como
Ejecutivos de Enron y muchos otros han aprendido a su consternacin. Simplemente c
olocando

los soportes informticos en la basura estn una invitacin a su basurero amistoso loc
al
buzo. (Vase captulo 16 de directrices especficas sobre la disposicin de medios y dis
positivos).
Mantener un nivel adecuado de control sobre la seleccin de personas en su
limpieza de tripulaciones, utilizando el fondo comprueba si procede.
Recordar a los empleados peridicamente para reflexionar sobre la naturaleza de lo
s materiales son
tirando a la basura.
Bloquear los contenedores de basura.
Utilizar contenedores de disposicin separada para materiales sensibles y el contr
ato para tener la
materiales resueltas por una empresa de servidumbre que se especializa en este t
rabajo.
Diciendo adis a los empleados
Se ha sealado anteriormente en estas pginas sobre la necesidad de ironclad
procedimientos cuando un empleado saliente ha tenido acceso a informacin confiden
cial,
contraseas, nmeros de acceso telefnico y similares. Los procedimientos de seguridad
que deba
proporcionan una forma para realizar un seguimiento de quin tiene autorizacin para
diversos sistemas. ser difcil de mantener un ingeniero social determinado resbal
e pasado su seguridad
barreras, pero no hacerlo fcil para un ex-empleado.
Otro paso fcilmente pasar por alto: cuando un empleado que estaba autorizado a
recuperar las cintas de backup de hojas de almacenamiento, debe llamar a una polt
ica escrita para empresa de almacenamiento de informacin que se le notifique inme
diatamente para quitar su lista de autorizacin.
Captulo 16 de este libro proporciona informacin .detailed sobre este tema vital, p
ero
ser til enumerar aqu algunas de las disposiciones de seguridad clave que deberan est
ar en
lugar, como se destaca en esta historia:
Una lista completa y exhaustiva de los pasos a seguir tras la salida de un
empleado, con disposiciones especiales para los trabajadores que tenan acceso a l
os datos confidenciales.
Una poltica de terminacin de equipo del empleado acceso inmediato--preferiblemente
antes de que la persona ha dejado incluso el edificio.
Un procedimiento para recuperar el gafete de la persona, as como las claves o ele
ctrnicos
dispositivos de acceso.
Disposiciones que requieren guardias de seguridad ver foto ID antes de admitir a
cualquiera
empleados que no tienen su pase de seguridad, y para comprobar el nombre
contra una lista para comprobar que la persona an es empleada por la organizacin.
Algunos pasos ms parecer excesiva o demasiado caros para algunas empresas, pero
son adecuados a los dems. Entre estos seguridad ms estrictas las medidas son:
Acreditaciones electrnicos combinados con escneres en entradas; cada empleado
robaba su insignia mediante el analizador electrnico una instantnea
determinacin de que la persona sigue siendo un empleado actual y derecho a entrar
en el
edificio. (Sin embargo, tenga en cuenta que guardias de seguridad an deben ser en
trenados para estar alerta para piggybacking--una persona no autorizada que se d
esliza por la estela de un
empleado legtimo).
Un requisito que todos los empleados del mismo grupo de trabajo como la persona
que abandone
(especialmente si la persona es ser despedida) cambiar sus contraseas. (Hace este
parecer
extremo? Muchos aos despus de mi breve tiempo trabajando en General telfono, me

aprend que la gente de seguridad Pacific Bell, cuando escucharon telfono General
haba contratado me, \"rod en el suelo de risa\". Pero en General telfono
crdito cuando se dieron cuenta que tenan un reputado hacker trabajando para ellos
despus de
me despidi, entonces se exige que se cambie las contraseas para todos en el
empresa!)
No desea que sus instalaciones para sentirse como crceles, pero al mismo tiempo n
ecesita
defender contra el hombre que fue despedido ayer pero es intencin volver hoy de h
acerlo
daos.
No se olvide nadie
Las polticas de seguridadp asatire ndpeonr altoel nivel de entratdrabajador, la g
ente le gusta
recepcionistas que no manejan informacin corporativa confidencial. Hemos visto
en otros lugares que los recepcionistas son un objetivo prctico para los atacante
s y la historia de la
robo en la empresa de piezas de auto proporciona otro ejemplo: una persona amist
osa,
vestido como un profesional, que pretende ser un empleado de la compaa de otro
instalacin puede no ser lo que parece. Recepcionistas deben ser capacitados sobre
pidiendo educadamente ID compaa cuando sea apropiado y las necesidades de capacita
cin que
no slo para la recepcionista principal sino tambin para todos los que se asienta c
omo un alivio a la
recepcin durante la hora del almuerzo o pausas.
Para los visitantes de fuera de la empresa, la poltica debe exigir que una identi
ficacin con foto
se muestra y la informacin registrada. No es difcil conseguir ID falso, pero por l
o menos
exigentes ID dificulta grado pre-texto, uno para el atacante.
En algunas empresas, tiene sentido seguir una poltica que requiere que los visita
ntes ser
acompaado desde el lobby y de reunin en reunin. Procedimientos, es necesario
la escolta que claro al entregar al visitante su primera cita
Esta persona ha entrado en el edificio como empleado, o no empleados. Por qu es
este importante? Porque, como hemos visto en anteriores
historias, un atacante a menudo pasar l mismo un disfraz a la primera persona
se encontr y como alguien a la siguiente. Es demasiado fcil para un atacante mostr
ar
hasta en el vestbulo, convencer al recepcionista que tiene una cita con, digamos,
un
ingeniero.., luego de ser escoltado a la Oficina del ingeniero donde afirma ser
un rep
de una empresa que quiere vender algn producto a la empresa.. y luego, despus de
la reunin con el ingeniero, l tiene libre acceso a moverse el edificio.
Antes de admitir a un empleado fuera del sitio a los locales, procedimientos ade
cuados debe
seguirse para comprobar que la persona es verdaderamente un empleado; recepcioni
stas y
guardias deben ser conscientes de los mtodos utilizados por los atacantes a prete
xto la identidad de un
empleado para obtener acceso a los edificios de la empresa.
Por qu proteger contra el atacante contras su camino dentro del edificio
y logra conectar su porttil en un puerto de red detrs del firewall corporativo?
Dada la tecnologa actual, esto es un reto: salas de conferencias, salas de formac
in,
y reas similares no deben abandonar la red puertos no seguras, pero deben protege
r
ellos con firewalls o routers. Pero mejor proteccin vendra desde el uso de

un mtodo seguro para autenticar a los usuarios que se conectan a la red.


Asegurarla!
Una palabra a los sabios: en su propia empresa, probablemente sabe cada trabajad
or o
puede averiguar en momentos cunto estn ganando, cunto tarda el CEO
casa, y quin los est usando el jet corporativo para ir de vacaciones de esqu.
Es posible incluso en algunas empresas de TI personas o contable a
aumentar sus propios salarios, hacer pagos a un proveedor falso, quitar negativa
clasificacin de los registros de HR y as sucesivamente. A veces es slo el miedo a o
btener atrapados
que les mantiene honesto.., y luego un da a lo largo viene alguien cuya avaricia
Deshonestidad nativo hace l (ella) ignorar el riesgo y tomar cualquiera que sea s
u
piensa que puede salirse con.
Las soluciones son, por supuesto. Archivos confidenciales pueden protegerse medi
ante la instalacin controles de acceso adecuado para que slo las personas autoriza
das pueden abrirlos. Algunos
los sistemas operativos tienen controles de auditora que pueden ser configurados
para mantener un registro determinados eventos, como cada persona que intenta ac
ceder a un archivo protegido,
independientemente de si es o no el intento tiene xito.
Si su empresa ha entendido esta cuestin y ha implementado un acceso adecuado
controles y auditoras que protege archivos confidenciales--est tomando medidas efi
caces
la direccin correcta.
Captulo 11
La combinacin de tecnologa y la ingeniera Social
Un ingeniero social vive por su habilidad para manipular a la gente a hacer cosa
s
le ayudara a lograr su objetivo, pero el xito a menudo tambin requiere un elevado
grado de
conocimientos y habilidades con sistemas informticos y sistemas telefnicos.
Aqu es una muestra de estafas tpicas de ingeniera social donde jug tecnologa
un papel importante.
BARRAS DETRS DE HACKING
Cules son algunas de las instalaciones ms seguras, puede pensar, protegidos contra
robo, si fsica, telecomunicaciones, o por medios electrnicos en la naturaleza? Fuer
te
Knox? Seguro. La Casa Blanca? Absolutamente. NORAD, el aire de Amrica del Norte
Instalacin de defensa enterrado profundo bajo una montaa? Definitivamente.
Por qu las crceles federales y centros de detencin? Deben ser aproximadamente tan se
guras
como cualquier lugar en el pas, correcto? Gente rara vez escapar, y cuando lo hace
n, ellos
normalmente se encuentran atrapados en poco tiempo. Se podra pensar que sera una i
nstalacin federal
ser invulnerable a ataques de ingeniera social. Pero sera errneo--hay
no hay tal cosa como la seguridad infalible, en cualquier lugar.
Hace unos pocos aos, un par de timadores (estafadores profesionales) se top con un
problema. Se
result que haban levantado un paquete grande de dinero en efectivo de un juez loca
l. La pareja haba
Estado en problemas con la ley y desactivar a travs de los aos, pero esta vez la f
ederal
las autoridades tomaron un inters. Ellos nabbed uno de los timadores, Charles Gon
dorff,
y lo arroj en un centro penitenciario cerca de San Diego. El magistrado federal
le orden detenidos como riesgo de vuelo y un peligro para la comunidad.
Su pal Johnny Hooker saba que Charlie iba a necesitar a un abogado de la defensa.
Pero donde iba el dinero provienen? la mayora de timadores, su dinero haba

ido siempre buena ropa, apetece cam y las damas tan rpido como lleg.
Johnny larely tenido suficiente para vivir.
El dinero para un buen abogado tendra que provienen de otra estafa en ejecucin.
Johnny no estaba hasta hacerlo en este propio. Siempre haba sido Charlie Gondorff
los cerebros detrs de sus contras. Pero Johnny no se atreven visitar el centro de
detencin
pregunta a Charlie qu hacer, no cuando los federales saban haba dos hombres implica
dos
en la estafa y estaban tan ansiosos por poner sus manos sobre la otra. Especialm
ente
ya puede visitar la nica familia. lo que significaba que tendra que mostrar identi
ficacin falsa
y la pretensin de ser un miembro de la familia. Intentando usar ID falso en una p
risin federal no
suenan como una idea inteligente.
No, tendra que ponerse en contacto con Gondorff alguna otra manera.
No sera fcil. No se permite que ningn recluso en cualquier instalacin federal, estat
al o local
recibir llamadas telefnicas. Un signo publicado por cada telfono recluso en un fed
eral
Centro de detencin dice algo como, \"este anuncio es asesorar al usuario que todo
s
las conversaciones de este telfono estn sujetos a vigilancia. y el uso de la
telfono constituye el consentimiento a la supervisin. Con funcionarios del Gobiern
o
escuchar sus llamadas telefnicas mientras comete
un crimen tiene una forma de ampliar sus planes de vacaciones financiadas por el
Gobierno Federal.
Johnny saba, sin embargo, que ciertas llamadas telefnicas no fueron supervisados:
llamadas
entre un prisionero y su abogado, protegidos por la Constitucin como clientecomun
icaciones
de la Procuradura, por ejemplo. De hecho, las instalaciones donGdoendorff
fue retenido tena telfonos conectados directamente al pblico federal
Defensora. Recoger uno de esos telfonos y una conexin directa
se realiza el telfono correspondiente en la DOP. Las llamadas de empresa
Este servicio Direct Connect. Las autoridades a asuman que el servicio es
seguro y invulnerable a manipulaciones porque saliente
llamadas slo pueden ir a la DOP, y las llamadas entrantes estn bloqueadas. Incluso
si alguien
de alguna manera pudieron averiguar el nmero de telfono, los telfonosestn programado
s
en el conmutador de compaa de telfono como negar a terminaqr,ue es un torpe
trmino de compaa de telfono de servicio donde no se permiten las llamadas entrantes.
Desde cualquier grifter decente hasta la mitad es versado en el arte del engao, J
ohnny
figur tena que ser una forma de resolver este problema. Desde la interior, Gondorf
f
ya haba intentado recoger uno de los telfonos de DOP y diciendo: \"este es Tom, en
el centro de reparacin de compaa de telfono.
JERGA
DIRECT CONNECT trmino de compaa de telfono de una lnea de telfono que va directamente
a
un nmero especfico cuando recogi
DENEGAR RESCINDIR un servicio de compaa de telfono opcin cuando de conmutacin
equipos se establece que no se puede recibir llamadas entrantes a un nmero de telf
ono
Nos quedamos una prueba de esta lnea y necesita intentar marcar nueve y luego cer
ocero.\"
Los nueve habra accede a una lnea exterior, el cero a cero sera entonces

han llegado a un operador de larga distancia. No funcion la persona respondiendo


a la
telfono en el PDO ya fue cadera a ese truco.
Johnny estaba teniendo xito mejor. Rpidamente descubri que hubo diez
unidades de vivienda en el centro de detencin, cada uno con una lnea de telfono de
conexin directa a
la Defensora Pblica. Johnny encontr algunos obstculos, pero como un
ingeniero social, fue capaz de pensar su manera alrededor de estos molestos trop
ezar
bloques. Qu unidad fue Gondorff en? Cul fue el nmero de telfono para el
servicios en dicha unidad de vivienda de conexin directa? Y cmo l inicialmente obten
dra un
mensaje a Gondorff sin l ser interceptados por funcionarios de prisiones?
Lo que puede parecer imposible para la gente promedio, como obtener el secreto
telfono nmeros localizadas en instituciones federales, es muy a menudo no ms de una
pocos telfono llamadas fuera de un estafador. Despus de un par de noches lanzando
y torneado
un plan de intercambio de ideas, Johnny despert una mormng con todo lo establecid
o
en su mente, en cinco pasos.
En primer lugar, encontrara fuera de los nmeros de telfono para esos diez conexin di
recta telfonos la DOP.
Tendra los diez cambi de manera que los telfonos permitira las llamadas entrantes.
Encontrara fuera Gondorff fue en qu unidad de vivienda.
Entonces l sera averiguar qu nmero de telfono fue a esa unidad.
Finalmente, l tuviera con Gondorff cuando a esperar su llamada, sin la
Gobierno sospechando algo.
Pieza una \"tarta, pens.
Llamando a Ma Bell...
Johnny comenz llamando a la Oficina de negocios de compaa de telfono bajo el pretext
o de
de la administracin de servicios generales, la agenc responsable
compra de bienes y servicios para el Gobierno federal.
Dijo que estaba trabajando en un pedido de adquisicin de servicios adicionales y
necesita saber la informacin de facturacin para los servicios de conexin directa ac
tualmente
en uso, incluyendo el costo de nmeros y mensual de telfono de trabajo en el San
Diego Centro de detencin. Estaba feliz de la seora Ayuda.
Slo para asegurarse, intent marcar en una de esas lneas y fue contestada por el
audichron tpico de grabacin, \"esta lnea ha sido desconectada o ya no est en
servicio \" que saba que careca de tipo pero en su lugar, significa que la lnea
fue programado para bloquear las llamadas entrantes, tal como se esperaba.
Saba de su extenso conocimiento de operaciones de la compaa de telfono y
procedimientos que necesitaba para llegar a un departamento llamado la recienteC
sambio
Centro de autorizacin de memoria o RCMAC (que siempre me pregunto quien
conforman estos nombres!). Comenz llamando a la compaa telefnica Negocio
Oficina, dijo que estaba en reparacin y necesita saber el nmero de la RCMAC
maneja el rea de servicio para el cdigo de rea y prefijo dio, que fue
sirvi fuera de la misma oficina central para todos los de lneas telefnicas en la de
tencin
Centro. Era una solicitud de rutina, el tipo previsto a los tcnicos en el campo
necesitados de asistencia, y el empleado no dud en darle el
nmero.
Llamado RCMAC, dio un nombre falso y nuevamente dijo que estaba en reparacin
Tena la seora que respondi uno de los nmeros de telfono que tena acceso a
estaf a fuera de la Oficina de negocios algunas llamadas anteriormente; Cuando el
la tena hasta Johnny
pregunt, \"es el nmero establecido para negar la terminacin?
There was an error deserializing the object of type System.String. Encountered u

nexpected character There was an error deserializing the object of type System.S
tring. Encountered unexpected character 'J'.
There was an error deserializing the object of type System.String. UnexpecteCd de
nigdo of foile. Following quitar el denegar terminar caracterstica, vale?\" Hubo u
na pausa como ella comprobada
otro sistema para comprobar que se haba colocado un pedido de servicio a
autorizar el cambio. Ella dijo, \"que nmero se supone que es restringido para
saliente llamadasslo. Hay ninguna orden de servicio para un cambio\".
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following representante de cuentas regulares que maneja a este client
e fue casa enfermos y olvid que
alguien cuidar de la orden por ella. Por supuesto es ahora el cliente hasta
armas sobre l\".
Despus de una pausa momentnea, mientras que la dama reflexionaba sobre esta peticin
, que sera
fuera de lo comn y en contra de procedimientos operativos estndar, dijo, \"Okay\".
Poda or su escritura, entrando en el cambio. Y unos segundos ms tarde, fue
hecho.
El hielo haba sido roto, una especie de colusin entre ellos. Lectura
actitud y disposicin para ayudar a la mujer, Johnny no dude en hacerlo
todos. Dijo, \"tienes unos minutos ms para ayudarme?\"
There was an error deserializing the object of type System.String. Encountered u
nexpected character There was an error deserializing the object of type System.S
tring. Unexpected end of file. Following mismo problema. Leer a los nmeros, por lo
que puede asegurarse de que no est listo
para denegar terminar--est bien?\" Ella dijo que estaba bien.
Unos minutos ms tarde, todas las lneas de telfono diez haban sido \"fijo\" para acep
tar entrante
llamadas.
Buscar Gondorff
A continuacin, averiguar qu unidad de vivienda fue Gondorff. Esta es la informacin
que el
personas que dirigen centros de detencin y crceles definitivamente no desean que l
os forasteros a
saber. Una vez ms Johnny tuvieron que confiar en sus habilidades de ingeniera soci
al.
Coloc una llamada a una prisin federal en otra ciudad--llam a Miami,
pero cualquiera hubiera trabajado--y afirm que estaba llamando desde la detencin
Centro de Nueva York. Pidi hablar con alguien que trabaj en la Oficina
Equipo de Centinela, el sistema informtico que contiene informacin sobre cada
prisionero recluido en un centro de mesa de prisiones en todo el pas.
Cuando esa persona en el telfono, Johnny pone en su acento de Brooklyn. \"Hola\"
dijo. \"Esto es Thomas en el FDC en Nueva York. Mantiene nuestra conexin a Centin
ela
bajando, puede encontrar la ubicacin de un prisionero para m, creo que esta preso
puede ser en la institucin\"y le dio el nombre de Gondorff y su registro
nmero.
There was an error deserializing the object of type System.String. The token 'tr
ue' was expected Centro Penitenciario de San Diego\".
Johnny fingi ser sorprendidos. \"San Diego! Se supona que transferirse
a Miami en puente areo del Mariscal la semana pasada! Estamos hablando el mismo t
io-Qu es DOB del to?\"
03\/12\/60,\"el hombre lee desde su pantalla.
S, es el mismo chico. Qu unidad de vivienda est en?
There was an error deserializing the object of type System.String. The token 'tr
ue' was expected but found Aunque no hay ninguna razn concebible por qu un emplead
o de la crcel en
Nueva York necesitara saber esto.
Johnny ahora tena los telfonos activados para llamadas entrantes y saba que

unidad de vivienda fue Gondorff. A continuacin, averiguar qu nmero de telfono conect


ado a
unidad del Norte diez.
Este fue un poco difcil. Johnny haba llamado uno de los nmeros. Saba que la
desactivar el timbre del telfono; nadie sabra que estaba sonando. Por lo tanto l
sentado leyendo Europa de Fodor} Gua de viajes de grandes ciudades. mientras escu
cha la
constante sonar el altavoz hasta que finalmente alguien recogi. El recluso
en el otro extremo sera, por supuesto, tratar de llegar a su abogado de oficio.
Johnny se prepar con la respuesta esperada. \"Defensora Pblica,\" l
anunciado.
Cuando el hombre le pregunt a su abogado, Johnny dijo, \"voy a ver si est disponib
le, lo que
unidad de vivienda ests llamando desde?\" l apunt hacia abajo de la respuesta del h
ombre, hace clic en suspenso, volvi despus de un minuto y dijo: \"l est en corte, va
s a tener que
volver a llamar ms tarde\"y colg.
Haba pasado la mayor parte de una maana, pero podra haber sido peor; su cuarto
intento resultado para ser de diez Norte. As ahora, Johnny saba el nmero de telfono
al telfono PDO de unidad de vivienda de Gondorff.
Sincronizar sus relojes
Ahora llegar un mensaje a travs de Gondorff en cuando a recoger la lnea telefnica
los reclusos que conecta directamente a la Defensora Pblica. ]' era ms fcil
de lo que podra sonar.
Johnny llamado el centro de detencin utilizando su voz suena oficial, identificad
o
a s mismo como un empleado y pidi ser transferido al norte de diez. La llamada fue
corregir a travs de. Cuando el oficial correccional se recogi, estaf a Johnny
l mediante la abreviatura del insider para recepcin y aprobacin de la gestin, la uni
dad que
procesos nuevos reclusos y los salientes fuera: \"este es Tyson en r
dijo. \"Necesito hablar con el recluso Gondorff. Tenemos alguna propiedad de su
que tenemos
para enviar y necesitamos una direccin donde quiere recibirlo. Se le podra llamar
la
telfono para m?\"
Johnny poda or la Guardia gritando en la sala de da. Despus de una impaciente
varios minutos, una voz familiar lleg a la lnea.
Johnny le dijo, \"no decir nada hasta que explique lo que se trata\". Explic
el pretexto para Johnny podra sonar como l estaba discutiendo dnde su propiedad
debe enviarse. Johnny entonces dijo, \"si se puede llegar a defensor pblico
telfono en uno esta tarde, no responden. Si no, entonces dices una vez que usted
puede estar all.\" Gondorff no responder. Johnny sali, \"bien. Estar all en uno
o ' Clock. Llamo luego. Recoger el telfono.
Si empieza a sonar a la Oficina de defensores pblicos, flash el gancho conmutador
cada
veinte segundos. Seguiremos intentando hasta que me escuchas en el otro extremo.
\"
En 1, Gondorff recogi el telfono y Johnny estaba all esperando
l. Tuvieron una conversacin chatty, agradable, calmada, conduciendo a una serie de
llamadas similares a plan de la estafa que planteara el dinero para pagar legal d
el Gondorff
honorarios--todos libres de la vigilancia del Gobierno.
Analizando el timo
Este episodio ofrece un buen ejemplo de cmo puede hacer un ingeniero social el
aparentemente imposible pasar por la muerte de varias personas, cada uno haciend
o
algo que, por s mismo, parece intrascendente. En realidad, cada accin proporciona
una pequea pieza del rompecabezas hasta que se complete la con.
El primer empleado de compaa de telfono pensaba que ella estaba dando informacin a

alguien de la Oficina de Contabilidad General del Gobierno federal.


El prximo empleado de compaa de telfono saba que ella no pretende para cambiar la cla
se
de servicio telefnico sin una orden de servicio, pero ayud el hombre amable
de todos modos. Esto hizo posible realizar llamadas a travs de diez todos del pbli
co
lneas de telfono del Defensor en el centro de detencin.
Para el hombre en el centro de detencin en Miami, la peticin para ayudar a alguien
en
otra instalacin federal con un problema del equipo parece perfectamente razonable
.
Y aunque no me pareca ningn motivo gustara saber la
unidad de vivienda, por qu no responder a la pregunta?
Y la Guardia Norte diez que crean que el llamador era realmente desde dentro
las mismas instalaciones, llamando en misin oficial? Era un perfectamente razonabl
e
solicitud, por lo que llam al recluso Gondorff al telfono. No hay gran cosa.
Una serie de historias bien planificadas que suman para completar el aguijn.
LA DESCARGA RPIDA
Diez aos despus de que haban terminado la escuela de derecho, Ned Racine vio a sus
compaeros viven en casas Niza con csped frontal, pertenecientes a clubes de campo,
jugar al golf
una o dos veces por semana, mientras l todava era tratando casos de penny previa p
ara el tipo de
personas que nunca tuvieron suficiente dinero para pagar su factura. Celos puede
n ser una nasty
compaero. Finalmente un da, Ned estaba harto.
El un buen cliente que tuvo alguna vez fue una pequea pero muy exitosa firma de c
ontabilidad
especializado en fusiones y adquisiciones. No utilizaron a Ned por mucho tiempo,
slo
tiempo suficiente para l para darse cuenta de que estaban involucrados en ofertas
que, una vez que lleguen peridicos, afectara el precio de las acciones de uno o d
os cotizan
empresas. Penny previa, las existencias de tabln de anuncios, pero de alguna mane
ra que fue incluso
mejor--un pequeo salto en el precio podra representar una gran porcentaje de ganan
cia en un
inversin. Si slo poda acceder a sus archivos y averiguar cules eran
trabajando en...
Saba que un hombre que conoca a un hombre que era prudente sobre cosas no exactame
nte en el
incorporar. El hombre escuch el plan, se dispararon hasta y accedi a ayudar a. Par
a un
suele cobra una tarifa menor que l, contra un porcentaje del mercado de valores d
e Ned
matar, el hombre dio a Ned instrucciones sobre qu hacer. l tambin le dio una mano
pequeo dispositivo a usar, algo nuevo en el mercado.
Durante unos das en una fila Ned mantiene vigilancia en el estacionamiento de la
pequea empresa
Parque donde la contabilidad de la empresa tena sus oficinas sin pretensiones, co
mo escaparate.
Mayora de la gente deja entre 5:30 y 6. 7, El lote estaba vaco. La tripulacin de li
mpieza
se present alrededor de 7:30. Perfecto.
La noche siguiente en pocos minutos antes de 8, Ned aparcado en la calle
desde el estacionamiento. Como se esperaba, el lote estaba vaco salvo por el camin
de
la empresa de servicios de conserjera. Ned pone su oreja a la puerta y escuch el v
aco

ejecutar limpiador. l golpe a la puerta muy fuerte y se mantuvo all esperando en


su traje y corbata, sosteniendo su maletn bien. No hay respuesta, pero l fue pacie
nte.
Una vez ms lo noque. Finalmente apareci un hombre de la tripulacin de limpieza. \"Ho
la,\" Ned
grit a travs de la puerta de vidrio, mostrando la tarjeta de presentacin de uno de
los socios
que haba recogido algn tiempo antes. \"Bloquean las llaves de mi en mi coche y nec
esito
para llegar a mi escritorio\".
El hombre desbloquea la puerta, bloque nuevamente detrs de Ned y luego baj la
corredor encender luces para que Ned poda ver donde iba. Y por qu no--le
estaba siendo amable con una de las personas que ayudaron a poner comida en su m
esa. O lo
tenan toda la razn a pensar.
MENSAJE DE MITNICK
Espas industriales e intrusos de equipo a veces har una entrada fsica en
los negocios especficas. En lugar de utilizar una palanca para romper, ingeniero
social
utiliza el arte del engao para influir en la persona al otro lado de la puerta
abierto para l.
Ned se sent en el equipo de uno de los socios y haba convertido. Mientras se
estaba empezando, instal el dispositivo pequeo le haba dado en el puerto USB
del equipo, un gadget lo suficientemente pequeo para llevar en un llavero, an capa
z de mantener
ms de 120 megabytes de datos. Conectado a la red con el nombre de usuario
y la contrasea del Secretario del socio, que fueron escritos cmodamente abajo
en una nota Post-it pegados a la pantalla. En menos de cinco minutos, haba Ned
Descargar cada archivo de hoja de clculo y documentos almacenado en la estacin de
trabajo y
desde el socio de directorio de red y fue en su camino a casa.
DINERO FCIL
Cuando me introdujo a los equipos en la escuela secundaria, tuvimos que conectar
a travs de
un mdem a una minicomputadora de DEC PDP 11 central en el centro de Los ngeles
que comparten todas las escuelas secundarias en los ngeles. El sistema operativo
en el equipo
se llamaba RSTS\/E, y era el sistema operativo que aprend a trabajar con.
En ese momento, en 1981, DEC patrocin una conferencia anual para los usuarios del
producto,
y un ao le que la Conferencia iba a celebrarse en L.A. Un popular
revista para usuarios de este sistema operativo a un anuncio sobre un nuevo
producto de seguridad, bloqueo-11. Se promueve el producto con un anuncio inteli
gente
campaa que dijo algo como, \"es 3:30.M. y Johnny por la calle
encuentra tu nmero telefnico, intente 555-0336, sobre su 336th. Es y ests fuera.
Obtener bloqueo-11\". El producto, el anuncio sugerido, era a prueba de piratas
informticos. Y fue
va a ser expuesto en la Conferencia.
Estaba ansioso por ver el producto por m mismo. Un compaero de escuela secundaria
y amigo, Vinny,
mi pareja hacking durante varios aos, quien ms tarde se convirti en un informante f
ederal
contra m, compartir mi inters en el nuevo producto de DEC y me anim a ir
a la Conferencia con l.
Efectivo en la lnea
Llegamos a encontrar un gran zumbido ya va alrededor de la multitud en la Feria
acerca de bloqueo-11. Parece que los desarrolladores apuesta dinero en efectivo
en la lnea en un
apuesto que nadie podra irrumpir en sus productos. Sonaba como un reto que pudier

a
no resistir.
Nos dirigi directamente a la cabina de bloqueo-11 y encontr que tripulada por tres
chicos
Quines eran los desarrolladores del producto; Les reconoc y reconocieron
me--incluso como un adolescente, que ya tena una reputacin como hacker y phreaker
porque
de una gran historia el LA Times haba quedado sobre mi primer pincel juvenil con
el
autoridades. El artculo inform que haba hablado mi camino en un telfono de Pacfico
edificio en medio de la noche y andaba fuera con manuales de equipo, derecha
bajo la nariz de su guardia de seguridad. (Parece que los tiempos queran ejecutar
un
historia sensacionalista y sirvieron a sus propsitos a publicar mi nombre; porque
me
todava era un juvenil, el artculo violaba la costumbre, si no el derecho de retenc
in
los nombres de los menores acusaron de irregularidades.)
Cuando Vinny y camin, ir creado cierto inters en ambos lados. Hubo
un inters de su lado porque me reconocieron como el hacker haban ledo
sobre y estaban un poco sorprendidos al verme. Se cre un inters por nuestra parte
porque cada uno de los tres promotores estaba de pie all con una factura de $100
pegado
de su insignia de la feria. El dinero del premio para alguien que poda derrotar a
sus
sistema sera el conjunto $300--que sonaba como un montn de dinero a un par de
adolescentes. Difcilmente podramos esperar para empezar a trabajar.
LOCK-11 fue diseado en un principio establecido que se bas en dos niveles de
seguridad. Un usuario tiene que tener un ID y una contrasea vlidos como de costumb
re, pero adems
que ID y contrasea slo funcionara cuando entr desde terminales autorizados,
un enfoque llamado seguridad basada en el terminal. Para derrotar el sistema, se
ra un hacker
no slo necesitan tener conocimiento de un ID de cuenta y contrasea, pero tambin
hay que introducir esa informacin desde la terminal correcta. El mtodo fue bien
establecido, y los inventores de bloqueo-11 estaban convencidos de mantendra el m
al
chicos de fuera. Decidimos que bamos a ensearles una leccin y ganar tres
cien bucks para arrancar.
Un chico saba quien era considerado un gur RSTS\/E ya nos haba golpeado el
stand. Aos antes de que haba sido uno de los chicos que tenan me desafi a romper
en el equipo de desarrollo interno de DEC, tras lo cual sus colaboradores haban
me convirti. Desde esos das se haba convertido en un respetado programador. Nos
descubr que haba intentado derrotar el programa de seguridad de bloqueo-11 no much
o
antes de que nos llegaron, pero no pudo. El incidente dio a los desarrolladores
mayor confianza que su producto es realmente seguro.
JERGA
Seguridad basada en la TERMINAL basado en parte en la identificacin
de la terminal de computadora en particular se utiliza; Este mtodo de seguridad e
ra
especialmente popular con mainframes de IBM.
El concurso fue un reto sencillo: usted entrar, ganar los bucks. A
truco de buena publicidad..., a menos que alguien fue capaz de avergonzarles y t
omar la
dinero. Estaban tan seguros de su producto que eran an lo suficientemente audaces
tener un listado publicado en el stand de los nmeros de cuenta y
contraseas correspondientes a algunas cuentas en el sistema. Y no slo regular
cuentas de usuario, pero todas las cuentas con privilegios.
Que fue realmente menos atrevida de lo que suena: en este tipo de configuracin, y

o saba, cada uno


terminal se conecta a un puerto en el propio equipo. No es ciencia espacial para
figura que haba fijado hasta las cinco terminales en la sala por lo que un visita
nte
podra registrar slo como un usuario sin privilegios--es decir, fueron posibles slo
a inicios de sesin
cuentas sin privilegios de administrador del sistema. Pareca como si slo hubiera
dos vas: o bien omitir el software de seguridad en total--exactamente lo que el
LOCK-11 fue diseado para prevenir; o de alguna manera obtener todo el software de
una forma
que los desarrolladores no haban imaginado.
Tomando el reto
Vinny y me alej y habl sobre el reto, y surgi con un
Plan de. Vag alrededor inocentemente, mantener un ojo en el stand de una
distancia. Al medioda, cuando la multitud se estrecharon a, toman los tres desarr
olladores
ventaja de la ruptura y despeg juntos para conseguir algo de comer, dejando
detrs de una mujer que podra haber sido la esposa o novia de uno de ellos. Nos
sauntered espalda ms y me distrajo la mujer, charlando arriba acerca de esto y
que, \"cunto tiempo ha estado con la empresa?\"Qu otros productos
su empresa tiene en el mercado?\"y as sucesivamente.
Mientras tanto Vinny, fuera de su vista, haba ido a trabajar, haciendo uso de una
habilidad
l y yo habamos desarrollado. Adems de la fascinacin de dividir en equipos,
y mi propio inters en la magia, nos habamos ambos ha intrigado por aprender cmo
abrir cerraduras. Como un chico joven, haba rastreado los estantes de un metro
librera en el Valle de San Fernando que tenan volmenes sobre recoleccin de bloqueos,
obtener
de las esposas, crear identidades falsas--todo tipo de cosas que no era un nio
se supone que para conocer.
Vinny, como yo, haba practicado lock picking hasta que estuvimos bastante bien co
n cualquiera
bloqueo de ferretera mediocres. Hubo un tiempo cuando recib una patada fuera
de bromas con bloqueos, como alguien que estaba utilizando dos bloqueos para man
chas
proteccin adicional, recogiendo los bloqueos y poner-anillo atrs en los lugares op
uestos,
que sera baffle y frustrar el propietario cuando trat de abrir cada uno de ellos c
on el
tecla incorrecta.
En la sala de exposiciones, siguiera mantener la joven distrado mientras Vinny,
cuclillas hacia abajo en la parte trasera de la cabina por lo que no poda beseen,
escogi el bloqueo
el gabinete que albergaba su minicomputadora PDP-11 y las terminaciones de cable
.
Llamar al gabinete bloqueado era casi una broma. Se fue asegurado con qu cerrajer
os
Consulte como un bloqueo de oblea, notoriamente fcil de elegir, incluso para afic
ionados, bastante torpe
selectores de bloqueo como nosotros.
Tom Vinny todos de aproximadamente un minuto para abrir la cerradura. Dentro del
gabinete encontr
justo lo que habamos previsto: la franja de puertos para conectar los terminales
de usuario, y
un puerto para lo que ha llamado la consola terminal. Este fue el terminal utili
zado por el
operador de equipo o administrador del sistema para controlar todos los equipos.
Vinny
conectado el cable que conduce desde el puerto de consola en uno de los terminal
es el

Mostrar piso.
Eso significaba que este uno terminal ahora fue reconocido como una consola de t
erminal. Me sent
abajo en la mquina recabled y conectado mediante una contrasea los desarrolladores
haban
siempre tan audaz. Porque el software de bloqueo-11 ahora que he identificado
se registro en desde un terminal autorizado, me dio acceso, y estaba
conectado con privilegios de administrador del sistema. He aplicado el sistema o
perativo
cambiando por lo que desde cualquiera de los terminales en el piso, podra ser cap
az de
Inicie sesin como un usuario con privilegios.
Una vez que se instal mi parche secreta, Vinny volvi a trabajar a desconectar el
Terminal cable conectarlo en donde haba sido originalmente. A continuacin, tom
el bloqueo una vez ms, esta vez para sujetar la puerta gabinete cerrado.
Hice una lista para saber cules son los archivos en el equipo, de directorios bus
cando
el programa de bloqueo-11 y los archivos asociados y tropez en algo he encontrado
impactante: un directorio que no debera haber estado en esta mquina. Los desarroll
adores
haba sido tan confiado, para algunos su software era invencible,
no haba molestado en quitar el cdigo fuente de su nuevo producto. Mover a la
terminal adyacente de copia impresa, empec a impresin a partes del cdigo fuente
en las continuas hojas del papel de rayas verde equipo utilizado en los
das.
Vinny slo apenas haba terminado la recoleccin el candado cerrado y reincorpor me cua
ndo
los chicos regresaron de almuerzo. Ellos me encontraron sentado en el golpeteo d
e equipo
las claves mientras la impresora continuada Batan lejos. \"What'cha haciendo, Ke
vin?\"
uno de ellos pregunt.
There was an error deserializing the object of type System.String. End element '
root' from namespace curso. Hasta que mir la impresora y vio que realmente u, com
o las celosamente
cdigo protegido para su producto.
No creen que es posible que estaba registrado como un usuario con privilegios.
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'o'.
apareci en la pantalla confirma mi reclamo. El tio huele a su frente, como
Vinny dijo, \"trescientos dlares, por favor.\"
MENSAJE DE MITNICK
Aqu hay otro ejemplo de gente inteligente que subestimar al enemigo. Qu
--est usted tan seguro sobre garantas de seguridad de la compaa que lo hara
apuesta $300 contra un atacante rompiendo? A veces la forma alrededor de un
dispositivo de seguridad tecnolgica no es el que espera.
Pagaron. Vinny y camin alrededor de la planta de feria para el resto de la
da con los billetes de cien dlares pegados en nuestras insignias de Conferencia. T
odo el mundo
quien vio los billetes saba lo representaban.
Por supuesto, Vinny y yo no habamos derrotado su software y si el equipo de desar
rolladores
haba pensado establecer mejores normas para el concurso, o haba utilizado un bloqu
eo realmente seguro, haba visto a su equipo ms cuidadosamente, no habra sufrido el
humillacin de ese da--humillacin a manos de un par de adolescentes.
Me enter ms tarde que el equipo de desarrolladores tuvo que parar por un banco par
a obtener dinero:
los billetes de cien dlares representan todo el dinero de gasto que haban trado
con ellos.
EL DICCIONARIO COMO UNA HERRAMIENTA DE ATAQUE

Cuando alguien obtiene su contrasea, es capaz de invadir el sistema. En la mayora


circunstancias, ni siquiera saben que nada malo ha sucedido.
Un joven atacante llamar Ivan Peters tena un objetivo de recuperar el cdigo fuente
de
un nuevo juego electrnico. No tena ningn problema en entrar en zona amplia de la em
presa
la red, porque un amigo hacker de su ya haba comprometido uno de los
servidores de Web de la empresa. Despus de encontrar una vulnerabilidad de un-pat
ched en la Web
software de servidor, su compaero slo haba cado de su silla cuando se dio cuenta de
se ha establecido el sistema como un host con base dual, lo que significaba que
tena una entrada
punto de la red interna. .
Pero una vez que Ivan estaba conectado, luego se enfrent a un reto que era como e
star dentro de
el Museo del Louvre y con la esperanza de encontrar a la Mona Lisa. Sin un plano
de planta, usted podra
vagar durante semanas. La empresa fue global, con cientos de oficinas y
miles de servidores, y exactamente no proporcionan un ndice de
sistemas de desarrollo o de los servicios de un gua turstico le dirigir a la derec
ha.
En lugar de utilizar un enfoque tcnico a buscar qu servidor necesitaba
destino, Ivan utiliza un enfoque de ingeniera social. Coloc llamadas basadas en
mtodos similares a los descritos en otras partes de este libro. En primer lugar,
llamndola
soporte tcnico, afirm que un empleado de la empresa disponer de una interfaz
problema de un producto que se estaba diseando su grupo. y frecuentes para el nmer
o de telfono
el lder del proyecto para el equipo de desarrollo de juegos.
Entonces llam el nombre que le haba dado, hacindose pasar por un chico de la misma.
\"Ms esta noche,\"dijo,\"est intercambiando un enrutador y asegrese de que la gent
e
el equipo no pierda conectividad al servidor. As que tenemos que saber que
servidores tu equipo utiliza.\" La red se est actualizando todo el tiempo. Y
dando el nombre del servidor no duele nada de todas formas, ahora lo hara?
Puesto que era protegido por contrasea, slo tener el nombre no poda ayudar alguien
romper. Por lo que el hombre dio el atacante el nombre del servidor. Incluso no
se molestan en llamar
el hombre vuelve a verificar su historia o escribir su nombre y nmero de telfono. l
slo le dio el nombre de los servidores, ATM5 y ATM6.
El ataque de contrasea
En este punto, Ivan cambi a un enfoque tcnico para obtener la autenticacin
informacin. El primer paso con ataques ms tcnicos en los sistemas que proporcionan
capacidad de acceso remoto es identificar una cuenta con una contrasea dbil, que
proporciona un punto de entrada inicial del sistema.
Cuando un atacante intenta utilizar herramientas de hacking para identificar de
forma remota
las contraseas, el esfuerzo puede exigirle a permanecer conectado a la empresa
red durante horas en un momento. Claramente lo hace por su cuenta y riesgo: cuan
to ms tiempo permanece
conectado, mayor es el riesgo de deteccin y obtener atrapados.
Como un paso preliminar, Ivan hara una enumeracin, que revela detalles sobre
un sistema de destino. Una vez ms la Internet convenientemente proporciona softwa
re para el
objetivo (en http:\/\/ntsleuth.0catch.com; el personaje antes de \"captura\" es
un cero).
Ivan encontr varios pblicamente disponibles herramientas de hacking en la Web que
automatizada
el proceso de enumeracin, evitando la necesidad de hacerlo a mano, que llevara
ya y por lo tanto corren un riesgo mayor. Sabiendo que la organizacin principalme

nte implementado
Servidores basados en Windows, descargado una copia de NBTEnum, un NetBIOS (bsico
utilidad de enumeracin de Input\/output system). Ingres a la direccin IP (Protocolo
Internet)
direccin del servidor ATM5 y comenz ejecutando el programa. La enumeracin
herramienta fue capaz de identificar varias cuentas que existan en el servidor.
JERGA
Un proceso de enumeracin que revela el servicio habilitado en el destino
una lista de nombres de cuentas de los usuarios, la plataforma de sistema operat
ivo y sistema
que tengan acceso al sistema.
Una vez que las cuentas existentes haban sido identificadas, tena la misma herrami
enta de enumeracin
la capacidad de lanzar un ataque de diccionario contra el sistema informtico. Un
diccionario
ataque es algo que muchos amigos de seguridad del equipo y los intrusos son
ntimamente familiarizado con, pero que la mayora de la gente probablemente estar so
rprendida al
aprender es posible. Este ataque est dirigido a descubrir la contrasea de cada usu
ario
en el sistema mediante el uso de las palabras utilizadas.
Somos todos vagos acerca de algunas cosas, pero nunca deja de sorprenderme que c
uando
personas eligen sus contraseas, su creatividad e imaginacin parecen
desaparecen. La mayora de nosotros desea una contrasea que nos da proteccin, pero q
ue est en el
mismo tiempo fcil de recordar, que generalmente significa algo estrechamente rela
cionado
para nosotros. Nuestras iniciales, segundo nombre, apodo, nombre del cnyuge, canc
in favorita, pelcula,
o brew, por ejemplo. El nombre de la calle vivimos o la ciudad que vivimos,
el tipo de coche que conducimos, el pueblo frente a la playa nos gusta permanece
r en Hawaii, o
esa secuencia favorita con la mejor pesca de trucha alrededor. Reconocer el patrn
aqu? Estos son principalmente los nombres personales, nombres de lugar o palabras
del diccionario. ataque de diccionario corre a travs de palabras de uso comn en un
muy rpido ritmo, intentando cada uno una contrasea en una o ms cuentas de usuario.
Ivn corri el ataque de diccionario en tres fases. Para el primero, us una lista sim
ple
de unos 800 de las contraseas ms comunes; la lista incluye secreto, trabajo, y
contrasea. Tambin el programa permutated el diccionario de palabras para tratar de
cada palabra
con un dgito anexado o anexar el nmero del mes actual. El
programa probado cada intento contra todas las cuentas de usuario que haban sido
identificado. Sin suerte.
Para el siguiente intento, Ivn pas al motor de bsqueda de Google y escribe, \"intro
ducir listas
diccionarios\"y se encuentran miles de sitios con introducir listas extensas y
diccionarios de ingls y varios idiomas extranjeros. Descargaron toda una
Diccionario ingls electrnico. Luego mejorado esto descargando un nmero de
palabra listas que encontr con Google. Ivan eligi el sitio en
www.outpost9.com\/files\/WordLists.html.
Este sitio le permiti Descargar (todo esto para libre) una seleccin de archivos
incluyendo los nombres de familia, dado namek, nombres del Congreso y palabras d
el actor.
nombres, palabras y nombres de la Biblia.
Otro de los muchos sitios que ofrecen listas de palabras realmente se presta a t
ravs de Oxford
Universidad, ftp:\/\/ftp.ox.ac.uk\/pub\/wordlists.
Otros sitios ofrecen listas con los nombres de personajes de dibujos animados, p

alabras usadas en
Shakespeare, en la Odisea, Tolkien y la serie Star Trek, as como en
Ciencia y religin y as. (Una empresa on-line vende una lista que contenga
4,4 millones de palabras y nombres por slo $20.) Puede establecer el programa de
ataque para probar
los anagramas del diccionario de palabras, as como--otro mtodo favorito que
muchos usuarios de computadoras que aumenta su seguridad.
Ms rpido de lo que usted piensa
Una vez Ivn haba decidido qu lista de palabras a utilizar y comenz el ataque, el sof
tware
corri en piloto automtico. l fue capaz de dirigir su atencin a otras cosas. Y aqu est
el
parte increble: uno pensara que dicho ataque permitira el hacker tomar un
Alarma de RIP van Winkle y el software todava habra progresado poco
cuando despert. De hecho, dependiendo de la plataforma de ataque, la seguridad
configuracin del sistema y la conectividad de red, cada palabra en ingls
Diccionario increblemente, puede intentarse en menos de treinta minutos!
Mientras se ejecuta este ataque, Ivn comenz a otro equipo que ejecute un similar
ataque en el otro servidor utilizado por el grupo de desarrollo, ATM6. Veinte
minutos ms tarde, el software de ataque haba hecho lo que los usuarios ms confiados
como para
Creo que es imposible: haba roto una contrasea, revela que uno de los usuarios tena
elige la contrasea \"Frodo,\" uno de los Hobbits en el libro el seor de la
Anillos.
Con esta contrasea en mano, Ivn fue capaz de conectarse con el servidor de ATM6 me
diante
la cuenta del usuario.
Hubo buenas y malas noticias para nuestro atacante. La buena noticia fue que el
cuenta l agrietado tena privilegios de administrador, que seran fundamentales para
la
paso siguiente. La mala noticia fue que el cdigo fuente para el juego en cualquie
r lugar
a encontrarse. Debe ser, despus de todo, en la otra mquina, el ATM5, que
ya saba que era resistente a un ataque de diccionario. Pero Ivn no era renunciar sl
o
todava; todava tena algunos trucos ms para probar.
En algunos sistemas operativos Windows y UNIX, hashes de contrasea (cifradas
contraseas) son abiertamente disponibles para cualquier persona que tenga acceso
a la computadora son
almacenados en. El razonamiento es que las contraseas cifradas no pueden ser rota
s y
por lo tanto, no necesitan ser protegidos. La teora est equivocada. Utiliza otra h
erramienta
llamado pwdump3, tambin disponible en Internet, fue capaz de extraer la
hashes de contrasea de la ATM6 de la mquina y descargarlos.
Un archivo tpico de hashes de contrasea tiene este aspecto:
Administrador:
500:95E4321A38AD8D6AB75EOC8D76954A50:2E48927AO
BO4F3BFB341E26F6D6E9A97:::
akasper:
1110:5A8D7E9E3C3954F642C5C736306CBFEF:393CE7F90A8357
F157873D72D0490821:::
Digger: 1111:5D15COD58DD216C525AD3B83FA6627C7 :
17AD564144308B4 2B8403DOIAE256558:::
ellgan:
1112:2017D4A5D8D1383EFF17365FAFIFFE89:O7AEC950C22CBB9
C2C734EB89320DB13:::
tabeck: 1115:9F5890B3FECCAB7EAAD3B435B51404EE:
1FO115A72844721 2FCO5EID2D820B35B:::
vkantar :

1116:81A6A5DO35596E7DAAD3B435B51404EE:B933D36DD12258
946FCC7BD153F1CD6E:::
vwallwick: 1119: 25904EC665BA30F4449AF42E1054F192:15B2B7953FB6
32907455D2706A432469:::
mmcdonald: 1121:A4AEDO98D29A3217AAD3B435B51404EE:
E40670F936B7 9C2ED522F5ECA9398A27:::
kworkman: 1141:C5C598AF45768635AAD3B435B51404EE:
DEC8E827A1212 73EFO84CDBF5FD1925C:::
Con los algoritmos hash ahora descarga en su equipo, Ivan utiliza otra herramien
ta que
realiza un sabor diferente de ataque contrasea conocida como fuerza bruta. Este t
ipo
ataque trata de cada combinacin de caracteres alfanumricos y ms especial
smbolos.
Ivan utiliza una utilidad de software llamada L0phtcrack3 (pronunciado loft-crac
k; disponible
en www.atstake.com; otra fuente para algunas herramientas de recuperacin de contr
asea excelente
es www.elcomsoft.com). Los administradores de sistemas utilizan L0pht-crack3 aud
itora dbil
contraseas; los atacantes utilizan para descifrar contraseas. La funcin de fuerza b
ruta en LC3
trata de contraseas con combinaciones de letras, nmeros y smbolos ms
incluyendo! @ #$ % ^
caracteres. (Nota, sin embargo, que si se utilizan los caracteres no imprimibles
, ser LC3
no se ha podido descubrir la contrasea)
El programa cuenta con una velocidad casi increble, que puede llegar a tan alto c
omo 2.8
millones intenta un segundo en una mquina con un procesador de 1 GHz. Incluso con
este
velocidad, y si el administrador del sistema haya configurado el funcionamiento
de Windows
sistema correctamente (deshabilitar el uso de hashes LANMAN), rompiendo una cont
rasea
todava se puede tomar una cantidad excesiva de tiempo.
JERGA
ATAQUE de fuerza bruta a contrasea deteccin estrategia trata cada
combinaciones posibles de caracteres alfanumricos y smbolos especiales.
Para motivo el atacante a menudo descargas los algoritmos hash y ejecuta el ataq
ue a su
o otra mquina, en lugar de permanecer en lnea en la red de la empresa de destino
y riesgo de deteccin.
Para Ivn, la espera no fue tanto tiempo. Varias horas ms tarde el programa present
ado
l con las contraseas para cada uno de los miembros del equipo de desarrollo. Pero
estos
fueron las contraseas de los usuarios en el equipo de ATM6, y l ya saba la
cdigo de juego que fue despus no era en este servidor.
Qu ocurre ahora? l todava no haba sido capaz de obtener una contrasea de una cuenta el
Mquina de ATM5. Utilizando su mentalidad hacker, comprender los hbitos de segurida
d deficiente
de usuarios tpicos, l ocup uno de los miembros del equipo podra han elegido el mismo
contrasea para ambos equipos.
De hecho, eso es exactamente lo que encontr. Uno de los miembros del equipo estab
a utilizando el
contrasea \"recibe\" en ATM5 y ATM6.
La puerta haba oscilado abierta para Ivan a cazar alrededor hasta que encontr la
fue despus de los programas. Una vez que encuentra el rbol de cdigo fuente y alegre
mente

descargado, tom un paso ms tpico de galletas de sistema: cambi


la contrasea de una cuenta inactiva que tiene derechos de administrador, solo por
si acaso l
quera obtener una versin actualizada del software en algn momento en el futuro.
Analizando el timo
En este ataque que llama sobre vulnerabilidades tcnicas y basada en las personas,
la
atacante comenz con una llamada telefnica de pretexto para obtener los nombres de
host y ubicacin
los servidores de desarrollo que se celebr la informacin propietaria.
Luego us una utilidad de software para identificar los nombres de usuario de cuen
ta vlido para todo el que tena una cuenta en el servidor de desarrollo. A continua
cin dirigi dos sucesivas
ataques de contrasea, incluyendo un ataque de diccionario, que busca comnmente
utiliza contraseas por tratar todas las palabras en un diccionario de ingls, a vec
es
aumentada por varias listas de palabras que contengan nombres, lugares y element
os de especial
inters.
Porque tanto comerciales como dominio pblico herramientas hacking pueden obteners
e por
cualquier persona para cualquier propsito que tienen en mente, es ms importante qu
e
estar vigilantes en la proteccin de su red y sistemas informticos de empresa
infraestructura.
La magnitud de esta amenaza no puede ser subestimada. Segn el equipo
La revista World, un anlisis basado en Nueva York Oppenheimer fondos llev a una
sorprendente descubrimiento. Vicepresidente de seguridad de la red y desastres d
e la empresa
Recuperacin tuvo un ataque de contrasea contra los empleados de su empresa mediant
e uno de
los paquetes de software estndar. La revista inform en tres minutos
logr descifrar las contraseas de 800 empleados.
MENSAJE DE MITNICK
En la terminologa del juego monopolio, si utiliza una palabra de diccionario para
su
contrasea: ir directamente a la crcel. No pasan Go, no cobrar $200. Tienes que
ensear a sus empleados cmo elegir contraseas que verdaderamente protegen sus activo
s.
PREVENIR LA CON
Ataques de ingeniera social pueden llegar a ser incluso ms destructivo cuando el a
tacante
agrega un elemento de tecnologa. Prevenir este tipo de ataque normalmente implica
adopcin de medidas en los niveles tcnicos y humanos.
Slo decir que No
En la primera historia del captulo, el empleado RCMAC de compaa de telfono no debe
han quitado el denegar terminar el estado de las lneas de diez telfono cuando no h
ay servicio
orden exista autorizando el cambio. No es suficiente para los empleados conocer e
l
las polticas de seguridad y procedimientos; los empleados deben comprender cun imp
ortante
estas polticas son para la empresa en la prevencin de daos.
Las polticas de seguridad deben desalentar la desviacin del procedimiento a travs d
e un sistema de
recompensas y consecuencias. Naturalmente, las polticas deben ser realistas, no a
empleados para llevar a cabo pasos tan onerosos que suelen ser ignorados.
Tambin, un programa de concienciacin de seguridad necesita convencer a los emplead
os a que, mientras importante para completar las asignaciones de trabajo en form
a oportuna, teniendo un acceso directo

elude la seguridad adecuados procedimientos pueden ser perjudiciales para la emp


resa y co
trabajadores.
La misma cautela debe estar presente al proporcionar informacin a un extrao en
el telfono. No importa cmo persuasiva la persona presenta a s mismo,
independientemente del Estado o la antigedad en la empresa, la persona absolutame
nte no
debe disponerse de informacin siempre que no se designa como pblicamente hasta
se ha verificado positivamente la identidad del llamador. Si esta poltica ha sido
estrictamente
observado, el esquema de ingeniera social en esta historia hubiera fracasado y
nunca habra sido capaz de planificar un nuevo susto con detenido Federal Gondorff
su pal Johnny.
Este uno punto es tan importante que le reitero a lo largo de este libro: verifi
car,
verificar, comprobar. Cualquier solicitud no se hizo en persona nunca debe acept
arse sin
verificar la identidad del solicitante--perodo.
Limpieza
Para cualquier empresa que no tiene guardias de seguridad alrededor del reloj, e
l esquema
un desafo en el que un atacante obtiene acceso a una oficina despus de horas.
Limpieza de personas generalmente tratar con respeto quien aparece con
la empresa y parece legtima. Despus de todo, se trata de alguien que pudo obtener
ellos en problemas o despedidos. Por esa razn, limpieza de tripulaciones, ya sea
interno o
contrat a una agencia externa, debe ser capacitado en materia de seguridad fsica.
Trabajo de conserjera exactamente no requiere una educacin universitaria, o inclus
o la capacidad de
habla a ingls, y la formacin habitual, si los hubiere, implica cuestiones conexas
no son de seguridad
tales como qu tipo de limpieza producto para diferentes tareas. Generalmente esto
s
personas no reciben una instruccin como, \"si alguien te pide que dejarlos despus
de
horas, necesita ver su compaa de tarjeta de identificacin, y, a continuacin, llame a
la limpieza
Oficina de la empresa, explicar la situacin y esperar autorizacin.\"
Una organizacin necesita para planificar una situacin como la de este captulo antes
de
pasa y capacitar personas en consecuencia. En mi experiencia personal, he encont
rado
que ms, si no todos, las empresas del sector privado son muy laxas en esta rea de
la fsica
seguridad. Podra intentar abordar el problema desde el otro extremo, poniendo el
carga a sus empleados de la empresa. Una empresa sin guardia de 24 horas
servicio debe decirle a sus empleados que para obtener horario, son llevar sus
propias claves o tarjetas de acceso electrnico y debe ponen nunca la gente de lim
pieza
la posicin de decidir quin est bien admitir. Decirle a la empresa conserjera
que su pueblo debe ser entrenado siempre que nadie es ser admitido en su
locales por ellos en cualquier momento. Esta es una regla simple: no abrir la pu
erta para
cualquiera. En su caso, esto podra poner a escribir como una condicin del contrato
con la empresa de limpieza.
Tambin, cuadrillas de lidmebpeienz aestar capacitados sobrePiggybacking tcnicas
(personas no autorizadas tras una persona autorizada en una entrada segura).
Tambin debe estar capacitados no para permitir que otra persona que siga en el
edificio slo porque la persona parece podran ser un empleado.
Seguimiento cada ahora y despus--digamos, tres o cuatro veces al ao--por la puesta

en escena un
evaluacin de vulnerabilidad o de prueba de penetracin. Que alguien apareciera en l
a puerta
Cuando la tripulacin limpieza es en el trabajo y trata de hablar su camino hacia
el edificio.
En lugar de utilizar a sus propios empleados, se puede contratar una empresa que
se especializa en este
tipo de pruebas de penetracin.
Pasarlo: Proteger sus contraseas
Ms organizaciones se estn volviendo cada vez ms atentos a cumplir
polticas de seguridad a travs de medios tcnicos--por ejemplo, configurar el funcion
amiento
sistema para aplicar directivas de contrasea y limitar el nmero de inicio de sesin
no vlido
intentos que pueden realizarse antes de bloquear la cuenta. De hecho, Microsoft
Plataformas de negocio de Windows generalmente tienen esta funcin integrada. An as,
Reconociendo los clientes cmo fcilmente molesto son las funciones que requieren ex
tra
esfuerzo, los productos se entregan normalmente con caractersticas de seguridad d
esactivadas. Tiene
realmente sobre el tiempo que dejen de fabricantes de software ofrece productos
con
caractersticas de seguridad deshabilitadas de forma predeterminada, cuando debera
ser al revs. (I
sospechoso que voy averiguar esto pronto.)
Por supuesto, la poltica de seguridad corporativa debe mandato los administradore
s de sistemas
aplicar directivas de seguridad a travs de medios tcnicos, siempre que sea posible
, con el objetivo
de no confiar en los seres humanos falibles ms que necesario. No es un-brainer qu
e
cuando es limitar el nmero de intentos de inicio de sesin no vlidas sucesivas a un
determinado
cuenta, por ejemplo, hacer la vida de un atacante considerablemente ms difcil.
Cada organizacin enfrenta a ese difcil equilibrio entre seguridad fuerte y
productividad de los empleados, lo que lleva a algunos empleados que ignore las
polticas de seguridad,
no aceptar lo esencial son estas salvaguardas para proteger la integridad de
informacin corporativa confidencial.
Si las polticas de la empresa dejan algunos temas un-addressed, los empleados pue
den utilizar la
camino de menor resistencia y no cualquier accin es ms conveniente y hace
su trabajo ms fcil. Algunos empleados pueden se resisten al cambio y abiertamente
desconocer bueno
hbitos de seguridad. Puede que haya encontrado a un empleado as, que sigue
las reglas sobre la longitud de la contrasea y complejidad, pero, a continuacin, e
scribe la
contrasea en una nota Post-it y desafiante pega a su monitor.
Una parte vital de la proteccin de su organizacin es el uso del disco duro para de
scubrir
contraseas, combinado con la configuracin de seguridad fuerte en su tecnologa.
Para una explicacin detallada de las directivas de contrasea recomendadas, consult
e el captulo 16.
Captulo 12
Ataques contra el empleado de nivel de entrada
Como muchas de las historias aqu demuestran, a menudo dirige el ingeniero social
especializado
personal de nivel inferior en la jerarqua organizativa. Puede ser fcil
manipular estas personas para que revelen informacin aparentemente inocua que la
atacante utiliza para avanzar un paso ms para obtener ms confidenciales de la empr

esa
informacin.
Un atacante objetivos a bsicos empleados porque normalmente ignoran
el valor de informacin especfica de la compaa o de los posibles resultados de determ
inados
acciones. Tambin, tienden a ser fcilmente influenciados por algunas de las ms comun
es
enfoques de ingeniera social--un llamador que invoca la autoridad; una persona qu
e
parece amable y simptico; una persona que parece conocer gente en el
empresa que se sabe que la vctima; es una peticin que reclama el atacante
urgente; o la inferencia de que la vctima obtenga algn tipo de favor o
reconocimiento.
Aqu hay algunas ilustraciones del ataque a los empleados de nivel inferior en acc
in.
EL GUARDIA DE SEGURIDAD TIL
Estafadores esperan encontrar una persona que es voraz porque son ellos los ms
probabilidades de caer en un juego con. Los ingenieros sociales, cuando a alguie
n como un
miembros de una tripulacin de saneamiento o un guardia de seguridad, la esperanza
de encontrar a cordial, amable y confianza de los dems. Ellos son los ms suscepti
bles de ser
dispuestos a ayudar. Eso es justo lo que el atacante tena en mente en el siguient
e relato.
Vista de Elliot
Fecha y hora: 3:26 el martes por la maana en febrero de 1998.
Ubicacin: Facilidad Marchand Microsystems, Nashua, Nueva Hampshire
Elliot Staley saba que l no supone abandonar su estacin cuando l no estaba en su
rondas programadas. Pero fue la mitad de la noche, para llorar en voz alta y l
no haba visto a una sola persona ya haba venido de turno. Y era casi la hora
hacer sus rondas de todos modos. El pobrecito el telfono sonaba como l realmente
necesitaba ayuda. Y hace que una persona sienta bien cuando se puede hacer algo
bueno
alguien.
Historia de Bill
Bill Goodrock tenan un objetivo simple, uno se haba celebrado a, inalterada desde
los aos
doce: a jubilarse por edad veinticuatro, nunca tocar un centavo de su Fondo Fidu
ciario.
Para mostrar a su padre, el banquero todopoderoso e implacable, que podra ser un
xito en solitario.
Slo dos aos izquierda y se la por ahora perfectamente claro no har su fortuna en
los prximos 24 meses por ser un empresario brillante y no hacerlo
por ser un fuerte inversor. Una vez se pregunt acerca de robar bancos con una pis
tola pero
eso es slo el material de ficcin--el riesgo-beneficio
equilibrio es tan psima. En su lugar imagina haciendo un Rifkin--robar un banco
electrnicamente. La ltima Ley de tiempo en Europa con la familia, abri un banco
cuenta en Mnaco con 100 francos. Todava tiene slo 100 francos, pero l tiene un
plan que podra ayudarle a llegar a siete dgitos a toda prisa. Incluso ocho si es
suerte.
Novia de Bill Anne-marie trabaj en m
mientras espera en sus oficinas hasta que ella sali de una reunin de la tarde, dio
a
curiosidad y conectado a su porttil en un puerto Ethernet en la sala de conferenc
ias
estaba usando. S!--se encontraba en su red interna, conectado dentro del Banco
red.., detrs del firewall corporativo. Le dio una idea.
Combinaron su talento con un compaero que conoca a una joven llamada Julia, una
candidato de doctorado ciencia brillante equipo haciendo una pasanta en Marchand

Microsystems. Julia pareca una gran fuente de informacin privilegiada esencial.


Le dijeron que estaban escribiendo un guin para una pelcula y realmente crea
ellos. Ella pens que era divertido que conforman una historia con ellos y darles
todo el
detalles acerca de cmo realmente podra traer a la alcaparra haban descrito. Ella
pensaba la idea era brillante, realmente y mantuvo les persuadida acerca de darl
e
una pantalla de crdito, demasiado.
Advirtieron ella acerca de cmo a menudo ideas de guin consigue robados y hizo su j
uro
ella nunca dira cualquiera.
Adecuadamente entrenado por Julia, Bill hizo la parte riesgosa a s mismo y nunca
dudaron de l
podra ponerlo.
Llam por la tarde y logr averiguar que el supervisor de la noche de la
fuerza de seguridad era un hombre llamado a Isaas Adams. A las 9:30 de esa noche
llam a la
construccin y habl con la guardia en el mostrador de seguridad lobby. Mi historia
fue todo
basado en la urgencia y yo mismo hice sonar un poco de pnico. \"Tengo coche
problemas y yo no podemos llegar a las instalaciones,\"dije. \"Tengo esta emerge
ncia y yo realmente
necesito su ayuda. He intentado llamar al supervisor de guardia, Isaas, pero de l
no en casa.
Puede simplemente me haces este favor una, realmente podra apreciarla? \"
Las habitaciones en ese gran centro fueron cada uno etiquetadas con un cdigo de p
arada de correo por l la parada de correo del laboratorio de computacin y le pregu
nt si saba dnde era.
Dijo que s y decidieron ir all para m. Dijo que le tomara unos pocos
minutos para llegar a la habitacin, y dijo que podra llamarlo en el laboratorio, d
ando la excusa
que yo estaba usando la nica lnea de telfono disponible para m y yo estaba usando pa
ra marcar en
la red para intentar solucionar el problema.
Ya estaba all esperando por el momento llama y yo le dije dnde
encontrar la consola que me interesaba, buscando uno con una bandera de papel de
lectura
There was an error deserializing the object of type System.String. End element '
root' from namespace sistema operativo que la empresa comercializa. Cuando dijo
que haba encontrado, me
saba con certeza que Julia haba estado alimentando nos buena informacin y mi corazn
omiti una paliza. Le tuve que pulsa la tecla Intro un par de veces, y lo dijo
imprime un signo. Que me dijo que el equipo ha iniciado la sesin como root, el
cuenta de superusuario con todos los privilegios de sistema. Fue un mecangrafo hu
nt-and-peck y
tiene todo en un sudor cuando trat de hablar le mi comando siguiente,
que era ms que un poco complicado:
Eco ' fix: x: 0:0:: \/: \/ bin\/sh' >> \/ etc\/passwd
Finalmente obtuvo derecho, y ahora nos habamos previsto una cuenta con una correc
cin de nombre. Y
a continuacin, le tuve que escribir
Eco ' arreglar:: 10300:0:0' 55\/etc\/shadow
Esto establece la contrasea cifrada, que va entre los dos puntos dobles.
Poner nada entre esos dos puntos significaba que la cuenta tendra un valor null
contrasea. Tan slo esos dos comandos fue todos tardamos para anexar la revisin de l
a cuenta
para el archivo de contraseas, con una contrasea nula. Lo mejor de todo, tendra la
cuenta de la
mismos privilegios que un superusuario.
Lo siguiente le tuve que hacer fue introducir un comando de directorio recursiva

que
imprime una larga lista de nombres de archivo. Luego lo hizo alimentar el papel
hacia adelante, lo desgarro
apagado y llevarlo con l vuelve a su escritorio de guardia porque \"puedo te nece
sito leer
me algo de ella ms adelante.\"
La belleza de esto es que l no tena idea que haba creado una nueva cuenta. Y yo
lo hizo imprimir el directorio listado de nombres de archivo porque necesitaba p
ara asegurarse
los comandos que escribi anteriormente dejara a la sala de informtica con l. Que
manera el administrador del sistema o el operador no mancha nada el siguiente
maana que estara alerta que se haba producido una violacin de seguridad.
Ahora estaba configurado con una cuenta y una contrasea con privilegios completos
. Un poco antes
medianoche he marcado en y seguido las instrucciones que cuidadosamente, Julia h
aba escrito hasta
There was an error deserializing the object of type System.String. End element '
root' from namespace que contiene la copia maestra del cdigo fuente para la nueva
versin de la
software de sistema operativo de la empresa.
He subido un parche que Julia haba escrito, que dijo por ltima vez una rutina en u
no
de las bibliotecas del sistema operativo. En efecto, dicha revisin creara una encu
bierta
puerta trasera podra permitir el acceso remoto en el sistema con una contrasea sec
reta.
NOTA
El tipo de puerta trasera utilizado aqu no cambia el inicio de sesin del sistema o
perativo
programa propio, ms bien, una funcin especfica dentro de la biblioteca dinmica
utilizado por el inicio de sesin es reemplazado programa para crear el punto de e
ntrada secreta. En tpica
ataques, equipo intrusos a menudo reemplazar o revisin del programa de inicio de
sesin, pero
los administradores del sistema fuerte pueden detectar el cambio por comparacin c
on la versin
enviado en medios como el cd, o por otros mtodos de distribucin.
He seguido atentamente las instrucciones que ella haba escrito para m, primero ins
talar
el parche, luego tomar medidas que eliminan la cuenta de correccin y actualizan t
odos auditora
registra por lo que no habra ningn rastro de mis actividades, efectivamente borrad
o de registros.
Pronto la empresa comenzara la nueva actualizacin del sistema operativo para de en
vo
sus clientes: instituciones financieras de todo el mundo. Y cada copia se
enviado fuera incluira la puerta trasera haba colocado en la distribucin principal
antes de se ha enviado, permitirme tener acceso a cualquier sistema informtico de
cada banco
y la casa de corretaje que instala la actualizacin.
JERGA
PARCHE tradicionalmente un pedazo de cdigo que, cuando se coloca en un archivo ej
ecutable
programa, corrige un problema.
Por supuesto, yo no estaba muy domstica libre--an habra que hacer. Todava tendra
para acceder a la red interna de cada institucin financiera que quera
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'T'.
transferencias y instalar el software de vigilancia para conocer los detalles de
sus operaciones

y exactamente cmo transferir fondos.


Todo eso lo pude hacer largas distancias. Desde un equipo situado en cualquier l
ugar. Decir,
con vistas a una playa de arena. Tahit, aqu vengo.
La Guardia de la llamada, le agradeci su ayuda y le dijo que poda seguir adelante
y tira la copia impresa.
Analizando el timo
El guardia de seguridad tena instrucciones sobre sus funciones, pero incluso prof
undo, bieninstrucciones
pensadas no pueden anticipar cada situacin posible. Nadie haba dicho
el dao que puede hacerse escribiendo unas cuantas pulsaciones de teclas en un equ
ipo para l un
persona que pens que era un empleado de la empresa.
Con la colaboracin de la Guardia, fue relativamente fcil acceder a un
crticos del sistema que almacena al patrn de distribucin, a pesar de que era
detrs de la puerta bloqueada de un laboratorio seguro. La Guardia, por supuesto,
tena llaves para
puertas todo bloqueadas.
Incluso un empleado bsicamente honesto (o, en este caso, el candidato de doctorad
o y
Becario de la empresa, Julia) a veces puede ser sobornado o engaado para que reve
len
informacin de vital importancia para un ataque de ingeniera social, tales como dnde
el equipo de destino se encuentra--y la clave para el xito de este ataque--cuando iban a construir la nueva versin del software para su distribucin.
Esto es importante, ya que un cambio de este tipo que se hizo demasiado pronto t
iene una mayor probabilidad
de ser detectado o ser anulado si el sistema operativo es reconstruido a partir
de un limpio
fuente.
Capturar el detalle de tener la Guardia retomar la impresin al lobby
escritorio y despus destruirlo? Este fue un paso importante. Cuando el equipo
operadores llegaron a trabajar la prxima jornada, el atacante no quera encontrar
Este abrumadoras pruebas en el terminal de copia impresa o notarlo en la basura.
Dando
la Guardia una excusa plausible para tomar la impresin con l evita ese riesgo.
MENSAJE DE MITNICK
Cuando el intruso de equipo no puede obtener acceso fsico a un sistema informtico
o
red a s mismo, l intentar manipular a otra persona a hacer por l. En
casos donde es necesario para el plan, con la vctima como un proxy de acceso fsico
es incluso mejor que hacerlo l mismo, porque el atacante supone mucho menos riesg
o
de deteccin y aprensin.
EL PARCHE DE EMERGENCIA
Uno pensara que un chico de soporte tcnico podra comprender los peligros de dar
el acceso a la red de equipo a un forastero. Pero cuando ese forastero es una in
teligente
ingeniero social hacindose pasar como un proveedor de software til, los resultados
podran no
ser lo que esperas.
Una llamada de ayuda
El llamador quera saber quin est a cargo de equipos hay? y el
operador telefnico lo puso a travs para el tipo de soporte tcnico, Paul Ahearn.
El llamador identific como \"Edward, con SeerWare, el proveedor de la base de dat
os.
Aparentemente un montn de nuestros clientes no recibe el correo electrnico sobre n
uestra emergencia
actualizacin, por lo que nosotros estamos llamando a unos pocos para una verifica
cin de control de calidad un problema al instalar el parche. Ha instalado la actu

alizacin todava?\"
Paul dijo que estaba seguro de que l no haba visto nada parecido.
Edward said, \"bueno, podra provocar intermitente prdida catastrfica de datos, por
lo que nos
recomendamos que obtenga instalado tan pronto como sea posible\". S, eso era algo
Sin duda quera hacer, dijo Paul. \"Est bien\", respondi el llamador. \"Podemos envi
ar
es una cinta o CD con el parche, y quiero decirles, es realmente crtico--dos
las empresas ya perdieron varios das de datos. Lo que realmente debera obtener est
o
instalado en cuanto llegue, antes de que suceda a su empresa\".
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'P'.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements lo desea, podemos tener nuestro centro de soporte
al cliente instalar, de manera remota.
Podemos telefnico o utilizar Telnet para conectar al sistema, si usted puede apoy
ar
\"que.
There was an error deserializing the object of type System.String. Encountered u
nexpected character respondi. \"Si se puede utilizar SSH, que estara bien,\" dijo,
nombrar un producto
Proporciona transferencias de archivos de forma segura.
S. Contamos con SSH. Cul es la direccin IP?
Paul le dio la direccin IP, y cuando se le pregunt Andrew, \"y qu nombre de usuario
y
contrasea puedo utilizar, \"Paul le dio, as.
Analizando el timo
Por supuesto, esa llamada telefnica realmente podra haber llegado desde la base de
datos
fabricante. Pero, a continuacin, la historia no pertenece a este libro.
El ingeniero social aqu influy a la vctima creando una sensacin de temor que
datos crticos podran perderse y ofrecieron una solucin inmediata que podra resolver
el problema.
Tambin, cuando un ingeniero social dirige alguien que conoce el valor de la
informacin, tiene que venir con argumentos muy convincentes y persuasivas
para dar acceso remoto. A veces tiene que agregar el elemento de urgencia tan
la vctima es distrada por la necesidad de apresurarse y cumple antes de que l ha te
nido una
oportunidad de reflexionar mucho sobre la solicitud.
LA NUEVA CHICA
Qu tipo de informacin en archivos de la empresa un atacante podra obtener
acceso a? A veces puede ser algo que no creo que sea necesario para proteger
En absoluto.
Llamada de Sarah
Recursos humanos, se trata de Sarah.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following utilizar para entrar en el estacionamiento y elevadores? Bue
no, tuvimos un problema y
es necesario reprogramar las tarjetas para las nuevas contrataciones en los ltimo
s quince das\".
Por lo tanto necesita sus nombres?
Y sus nmeros de telfono.
Puedo comprobar nuestra nueva lista de alquiler y le devuelva la llamada. Cul es t
u nmero de telfono?
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following hora?\"
AH. Esta bien.
Cuando llam, dijo:
There was an error deserializing the object of type System.String. Unexpected en

d of file. Following ese nuevo VP, el Sr. Underwood.\"


Y los nmeros de telfono?
There waBs iaenn ,e erlr oSr . dUensedreirawliozoindg e sth 6e9 o73b.j eAcnt noa
f Mtyypret lSe yest 2e1m2.7S.t\"ring. Unexpected end of file. Following There wa
s an error deserializing the object of type System.String. The token 'true' was
expected but Llamada de Anna
Finanzas, Anna hablando.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following Editor de la Divisin de negocios. No creo que hemos introduc
ido. Bienvenido
a la empresa\".
Oh, gracias.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements de su tiempo\".
Claro. Qu necesita?
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following Lol
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following en pocos minutos. Cuando llegas a la Oficina, debers presion
ar el forward
botn en el telfono para que mi llamada no vaya directamente a mi correo de voz.\"
Est bien, estoy en mi camino ahora.
Diez minutos ms tarde ella estaba en su oficina, haba cancelado su reenvo de llamad
a y fue
espera cuando son el telfono. Le dijo a sentarse en la computadora y el lanzamient
o
Internet Explorer. Cuando se ejecuta le dijo a escribir en una direccin:
www.geocities.com\/Ron-INSEN\/Manuscript.doc.exe.
Aparece un cuadro de dilogo, y l le dijo que haga clic en abrir. El equipo pareca
comenzar a descargar el manuscrito, y luego la pantalla en blanco. Cuando ella
inform de que algo pareca estar equivocado, l respondi, \"Oh, no. No es nuevo. Has
tenido un problema con la descarga del sitio Web cada cierto tiempo pero
pensaba que estaba arreglado. Bueno, est bien, no te preocupes, yo te consigo el
archivo de otra manera Entonces l le pide que reinicie su equipo, por lo que poda
estar seguro de que sera puesta en marcha
correctamente el problema slo tuvo. Le habl a travs de los pasos para
al reiniciar.
Cuando el equipo estaba funcionando nuevamente correctamente, le agradeci caluros
amente y colgado
y Anna regres al departamento de finanzas para finalizar la tarea haba sido
trabajando.
Historia de Kurt Dillon
Editores de Millard Fenton fue entusiasta acerca del nuevo autor eran slo
para inscribirse, el ex CEO de una compaa de Fortune 500 que haba un
historia fascinante que contar. Alguien haba conducido al hombre a un gestor de n
egocios para
manejo de sus negociaciones. El Gerente de negocios no quera admitir que saba zip
acerca del contrato de edicin, por lo que contrat un viejo amigo que le ayude a fi
gura qu
necesitaba saber. El viejo amigo, lamentablemente, no fue una muy buena eleccin.
Kurt Dillon utiliza lo que podramos llamar mtodos inusuales en su investigacin, mtod
os
no es completamente tico.
Kurt suscrito a un sitio libre en Geocities, en nombre de Ron Vittaro, y
cargar un programa de software espa en el nuevo sitio. Cambi el nombre de la
Programa para manuscript.doc.exe, por lo que el nombre parece ser una palabra
el documento y no levantar sospechas. De hecho, esto incluso mejor que Kurt haba
trabajado
previsto; porque el Vittaro real nunca haba cambiado un valor predeterminado en s
u

Sistema operativo Windows llamado \"Ocultar extensiones de archivo para tipos de


archivo conocidos\".
Debido a esa configuracin realmente se muestra el archivo con el nombre
Manuscript.doc.
Entonces tena un amigo dama llamar a Secretario del Vittaro. Tras el entrenamient
o de Dillon,
ella dijo: \"yo soy el asistente ejecutivo Paul Spadone, Presidente de Ultimate
Libreras, en Toronto. Sr. Vittaro conoci un tiempo atrs, mi jefe en una feria del l
ibro y
le pidi que llame para discutir un proyecto que podran hacer juntos. Sr. Spadone e
s en
la carretera mucho, por lo que dijo que debo saber al Sr. Vittaro estar en la Ofi
cina.\"
Por el momento que los dos haban terminado comparando los horarios, la amiga de l
a seora haba
informacin suficiente para proporcionar el atacante con una lista de fechas al Sr
. Vittaro
sera en la Oficina. Lo que significaba que tambin saba cuando sera Vittaro de
la Oficina. No requiri mucha conversacin adicional para saber Vittaro
Secretario tomara ventaja de su ausencia en un poco de esqu. Para un
corto espacio de tiempo, ambos estaran fuera de la Oficina. Perfecto.
JERGA
Software espa especializado utilizado para vigilar secretamente un equipo de obje
tivos
actividades. Un formulario utilizado para realizar un seguimiento de los sitios
visitados por compradores de lnea pueden adaptarse a sus hbitos de navegacin. La ot
ra forma es
anlogo a un wiretap, excepto que el dispositivo de destino es un equipo. El softw
are
captura las actividades del usuario, incluidas contraseas y pulsaciones de teclas
escritos,
correo electrnico, conversaciones de chat, mensajera instantnea, todos los sitios w
eb visitados, imgenes de la pantalla.
JERGA
INSTALACIN silenciosa un mtodo de instalacin de una aplicacin de software sin la
usuario o equipo operador, siendo consciente de que esta accin lleva a cabo.
El primer da que se supone que se ha ido solo a coloc una llamada urgente de prete
xto
Asegrese y una recepcionista dijo que \"el Sr. Vittaro no est en la Oficina y
tampoco lo es su Secretario. Ninguno de ellos se espera que cualquier momento ho
y o maana
o al da siguiente.
Fue su primer intento en ganarse a un empleado junior a tomar parte en su plan
exitosa, y ella no pareca parpadear un ojo al que se le dijo a ayudarle por
descarga un \"manuscrito\", que fue realmente popular comercialmente
programa de spyware disponibles que el atacante haba modificado para realizar una
instalacin silenciosa.
Mediante este mtodo, la instalacin sera no detectada por cualquiaerntivirus
software. Por alguna extraa razn, los fabricantes de antivirus no mercado
productos que detectan spyware disponible comercialmente.
Inmediatamente despus de que la joven haba cargado el software de Vittaro
equipo, Kurt volvi hasta los Geocities sitio y sustituye el archivo doc.exe
con un manuscrito del libro encontr en Internet. En caso de que alguien tropez en
la treta y regres al sitio para investigar lo que haba sucedido, todos ellos
Buscar sera un manuscrito del libro inocuo, aficionada, un-publishable.
Una vez que el programa haba sido instalado y reiniciado el equipo, que fue estab
lecida para
inmediatamente convertido en activo. Ron Vittaro volvera a la ciudad en un pocos
das,
comenzar a trabajar, y el software espa comenzara a reenviar todas las pulsaciones

que ha escrito
en su equipo, incluyendo todos los correos electrnicos salientes y capturas de pa
ntalla mostrando lo aparece en su pantalla en ese momento. Todos se enviara a reg
ular
intervalos a un proveedor de servicio de correo gratuito en Ucrania.
Dentro de pocos das despus de regresar del Vittaro, Kurt fue arado a travs de los a
rchivos de registro
acumulando en su buzn ucraniano y antes de mucho tiempo haba localizado confidenci
al
mensajes de correo electrnico que indicaron simplemente cunto Millard-Fenton publi
cacin estaba dispuesto hacer un trato con el autor. Armado con ese conocimiento,
fue fcil para el
agente del autor para negociar trminos mucho mejores que originalmente ofrecido,
sin nunca
correr el riesgo de perder por completo el trato. Que, por supuesto, signific un
mayor
Comisin para el agente.
Analizando el timo
En esta treta, el atacante hizo su xito ms probable eligiendo un nuevo empleado
para actuar como apoderado, contando en su ser ms dispuestos a cooperar y ser un
jugador de equipo y siendo menos probabilidades de tener conocimiento de la empr
esa, su gente,
y buenas prcticas de seguridad que podran frustrar el intento.
Porque Kurt fue pretexting como vice Presidente en su conversacin con Anna, una
empleado en finanzas, saba que sera muy poco probable que ella sera la pregunta
su autoridad. Por el contrario, ella puede entretener el pensamiento que ayuda a
un VP
podra ganar su favor.
Y el proceso caminaba Anna por que tuvo el efecto de la instalacin
el software espa apareci inocuo en su cara. Anna no tena ni idea que ella aparentem
ente
acciones inocentes fij un atacante obtenga valiosa informacin que podra ser de hast
a
utilizado contra los intereses de la empresa.
Y por qu l elija Reenviar mensaje del VP a una cuenta de correo electrnico
en Ucrania? Por varias razones, un destino lejano hace seguimiento o tomando
accin contra un atacante mucho menos probable. Estos tipos de delitos son general
mente
considerado de baja prioridad en pases as, donde la polica tiende a mantener la
ver que cometer un delito por Internet no es un delito digno de mencin. Para
ello, mediante correo electrnico cae en pases que no estn probable que cooperen con
Aplicacin de la ley de U.S. es una estrategia atractiva.
PREVENIR LA CON
Un ingeniero social siempre preferirn a un empleado que es poco probable que
reconocer que hay algo sospechoso sobre sus peticiones. Hace su trabajo
no slo ms fcil, pero tambin menos arriesgada, como ilustran las historias en este ca
ptulo.
MENSAJE DE MITNICK
Preguntar a un compaero de trabajo o subordinada a hacer un favor es una prctica c
omn. Social
los ingenieros saben cmo explotar el deseo natural de la gente para ayudar y ser
un equipo
jugador. El atacante explota este rasgo humano positivo para engaar incautos
empleados en la realizacin de acciones que le avance hacia su objetivo. Tiene
importante comprender este simple concepto, por lo que ser ms probable que
reconocer cuando otra persona est intentando manipular le.
Engaando a los incautos
Yo he subrayado anteriormente la necesidad de capacitar empleados fondo suficien
te que les
nunca permitir que se habl en la realizacin de las instrucciones de un

extrao. Todos los empleados tambin necesitan comprender el peligro de llevar a cab
o un
solicitud para realizar cualquier accin en el equipo de otra persona. Poltica de l
a empresa debe
prohibir esto excepto cuando especficamente aprobados por un administrador. Permi
tidos
situaciones incluyen:
Cuando la solicitud se realiza por una persona conocida, con la peticin hecha
cara a cara, o por telfono cuando usted reconoce inequvocamente el
voz del llamador.
Cuando verifique la identidad del solicitante mediante positivamente aprobados
procedimientos.
Cuando la accin es autorizada por un supervisor u otra persona de autoridad que e
s
personalmente familiarizado con el solicitante.
Empleados deben ser entrenados no para ayudar a personas que no conocer personal
mente, incluso
Si la persona que hace la solicitud pretende ser un ejecutivo. Una vez las poltic
as de seguridad
relativas a la verificacin han puesto en su lugar, debe apoyar la gestin
empleados en el cumplimiento de estas polticas, incluso si esto significa que un
empleado
los desafos de un miembro del personal ejecutivo que est pidiendo a los empleados
a
eludir una poltica de seguridad.
Cada empresa tambin debe tener polticas y procedimientos empleados de gua
para responder a las solicitudes para realizar cualquier accin con equipos o rela
cionadas con la informtica
equipos. En la historia de la empresa editorial, el ingeniero social
dirigido a un empleado nuevo que no haba sido entrenado en seguridad de la inform
acin
polticas y procedimientos. Para evitar este tipo de ataque, cada existentes y nue
vas
empleado debe saber seguir una regla simple: no utilice cualquier sistema informt
ico
para realizar una accin solicitada por un extrao. Perodo.
Hay que recordar que cualquier empleado que tiene acceso fsico o electrnico a un
equipo o un elemento de equipo relacionado con es vulnerable a ser
manipulado para tomar alguna accin malintencionada en nombre de un atacante.
Empleados y sobre todo el personal de TI, necesita comprender que lo que permite
una
forastero para acceder a sus redes informticas es como dar tu banco
nmero de cuenta para un telemarketing o dar su nmero de tarjeta de llamada de telfo
no a
un extrao en la crcel. Empleados deben prestar atencin cuidadosa a si llevando
una solicitud puede conducir a la divulgacin de informacin confidencial o la puest
a en peligro
del sistema informtico corporativo.
Personal de TI debe ser tambin en su guardia contra los llamadores desconocidos p
osando como proveedores.
En general, una empresa debe tener en cuenta que determinadas personas designada
s como la
contactos para cada proveedor de tecnologa, con una poltica en lugar de que otros
empleados
no responder a las solicitudes de proveedor de informacin o cambios a cualquier
equipos de telfono o equipo. De este modo, las personas designadas en
familiarizado con el personal del proveedor que llame o visite y es menos propen
sos a ser
engaado por un impostor. Si un proveedor llama incluso cuando la empresa no tiene
un contrato de soporte, que tambin debera despertar sospechas.

Todos los miembros de la organizacin deben ser consciente de la seguridad de la i


nformacin
las amenazas y vulnerabilidades. Tenga en cuenta que deben tener guardias de seg
uridad y similares
no slo formacin en seguridad, pero la formacin en seguridad de la informacin, as como
. Porque
guardias de seguridad con frecuencia tener acceso fsico a toda la instalacin, debe
n ser
capaces de reconocer los tipos de ataques de ingeniera social que pueden ser usad
os contra
ellos.
Cuidado con el Spyware
Spyware comercial fue usado principalmente por los padres para supervisar lo que
sus
los nios estaban haciendo en Internet y por los empleadores, supuestamente para d
eterminar
los empleados fueron saben fuera por navegar por Internet. Un uso ms grave
fue detectar posibles robos de activos de informacin o espionaje industrial.
Los desarrolladores del mercado su espa, ofreciendo como una herramienta para pro
teger a los nios,
Cuando en realidad su verdadero mercado es gente que quiere espiar a alguien. Ho
y en da,
la venta de software espa est impulsada en gran medida por el deseo de la gente pa
ra saber si sus
cnyuge o pareja est engaando sobre ellos.
Poco antes comenz a escribir la historia de spyware en este libro, la persona que
recibe correo electrnico para m (porque estoy prohibido utilizar Internet) encontr
un spam
mensaje de correo electrnico publicitarios de un grupo de productos de software e
spa. Uno de los artculos fue descrito como este:
FAVORITO! DEBE TENER:
Este potente programa de vigilancia y espionaje secreto captura todas las pulsac
iones y
el tiempo y el ttulo de todas las ventanas activas en un archivo de texto, mientr
as se ejecuta oculto en la
Fondo. Registros pueden ser cifrados y enva automticamente un correo electrnico esp
ecificado
direccin, o grabada en el disco duro. Acceso al programa es contrasea
protegidos y se pueden ocultar en el men CTRL + ALT + SUPR.
Utilcelo para supervisar las URLs mecanografiadas, chat sesiones, correos electrni
cos y muchas otras contraseas).
Instalar sin deteccin en cualquier PC y los registros de correo usted mismo!
Brecha antivirus?
Software antivirus no detecta spyware comercial, tratando con ello la
software como no malicioso aunque la intencin es espiar a otras personas. As, los
equivalente de equipo de escuchas telefnicas pasa desapercibido, creando el riesg
o de que cada uno de
nosotros podramos estar bajo vigilancia ilegal en cualquier momento. Por supuesto
, el antivirus
los fabricantes de software pueden argumentar que el spyware puede utilizarse pa
ra legitimar
fines y por lo tanto no deben ser tratados como malicioso. Pero los desarrollado
res de
algunas herramientas utilizadas por la comunidad hacker, que ahora estn siendo li
bremente
distribuido o vendido como software relacionados con la seguridad, sin embargo s
e tratan como
cdigo malicioso. Hay un doble rasero aqu, y me quedo preguntando por qu.
Otro elemento que ofreci en el mismo correo electrnico prometi capturar capturas de
pantalla de la

equipo del usuario, al igual que tener una cmara de video mirando sobre su hombro
. Algunos
de estos software productos incluso no requieren acceso fsico a la vctima
equipo. Slo instalar y configurar la aplicacin de forma remota, y tiene un
wiretap equipo instantnea! El FBI debe amar la tecnologa.
Con spyware tan fcilmente disponible, su empresa necesita establecer dos niveles
de proteccin. Debe instalar software de deteccin de software espa como SpyCop
(disponible en www.spycop.com) en todas las estaciones de trabajo, y es necesari
o
que los empleados inician anlisis peridicos. Adems, debe entrenar a los empleados
contra el peligro de ser engaados en Descargar un programa o abrir un
archivo adjunto de correo electrnico que podra instalar software malintencionado.
Adems de evitar el software espa se instale mientras que un empleado es
lejos de su escritorio para un coffee break, almuerzo, o una reunin, una poltica q
ue exigen
que todos los empleados de bloquear sus sistemas informticos con una contrasea de
protector de pantalla mtodo similar ser sustancialmente mitigar el riesgo de una p
ersona no autorizada
ser capaz de acceder a equipo de un trabajador. No se hundan en la persona
cubculo u oficina podrn acceder a sus archivos, leer su correo electrnico, o
instalar spyware u otro software malintencionado. Los recursos necesarios para p
ermitir
la contrasea del protector de pantalla son nulas y el beneficio de la proteccin de
empleados
estaciones de trabajo es sustancial. El anlisis de costo-beneficio en esta circun
stancia debe
no ser un-brainer.
Captulo 13
Contras inteligentes
Por ahora ha descubierto a que cuando un extrao convocatorias con una solicitud s
ensibles
informacin o algo que podra ser de utilidad para un atacante, la persona
recibir la llamada debe capacitarse para obtener el nmero de telfono del llamador
y volver a llamar
para comprobar que la persona es realmente quien dice ser--un empleado de la emp
resa, o
un empleado de un asociado de negocios o un representante de soporte tcnico de un
a
de sus proveedores, por ejemplo.
Incluso cuando una empresa tiene un procedimiento establecido que los empleados
siguen
cuidadosamente para verificar los llamadores, los atacantes sofisticados son tod
ava capaces de utilizar nmero de trucos para engaar a sus vctimas hacindoles creer qu
e son quienes dicen
a ser. Seguridad incluso empleados conscientes pueden ser engaados por mtodos tale
s como la
siguiente.
EL IDENTIFICADOR DE LLAMADAS ENGAOSAS
Quien nunca ha recibido una llamada en un telfono celular ha observado la funcin
conocido como identificador de llamada--esa pantalla familiar que muestra el nmer
o de telfono de la
llamador. En un ambiente de negocios, ofrece la ventaja de permitir a un trabaja
dor para decirle a
un vistazo si la llamada llegando es de un empleado de compaero o de fuera
la empresa.
Hace muchos aos algunos phreakers ambicioso telfono introducido a la
maravillas del identificador de llamadas antes de que la compaa telefnica le permit
i incluso ofrecen servicio al pblico. Tuvieron un gran tiempo maldita gente fuera
respondiendo a la
telfono y saludo a la llama por su nombre antes de que dijeron una palabra.

Justo cuando pensaba que era seguro, la prctica de la verificacin de identidad por
confiar
lo que ves--lo que aparece en el llamador Mostrar ID--es exactamente lo que el a
tacante
puede ser con.
Llamada de telfono de Linda
Da y hora: el martes, 23 de julio, 15:12
Lugar\". Las oficinas del departamento de finanzas, Starbeat de aviacin
Telfono de Linda Hill son igual que ella fue en medio de escribir una nota a ella
Jefe. Ella mir a su identificador de llamadas, que mostr que la llamada era de la
Oficina corporativa en Nueva York, pero de alguien llamado Victor Martin--no un
ella reconoci el nombre.
Ella pens en dejar la llamada roll over a correo de voz para que no rompan la
corriente de pensamiento en el memo. Pero la curiosidad lo mejor de ella. Recogi
el telfono y el llamador se present y dijo que estaba de PR, y
trabajo sobre algunos materiales para el CEO. \"l est en su camino a Boston para r
euniones
con algunos de nuestros banqueros. Necesita la finanzas de primera lnea para la a
ctual
trimestre,\"dijo. \"Y algo ms. Tambin necesita las proyecciones financieras en
el proyecto Apache,\"aadi Victor, utilizando el nombre de cdigo para un producto qu
e se
ser una de las versiones principales de la empresa en la primavera.
Ella pidi su direccin de correo electrnico, pero dijo que l estaba teniendo una rece
pcin de problema
correo electrnico que soporte tcnico estaba trabajando, as que podra ella fax en su l
ugar? Ella dijo
estara bien, y le ofreci la extensin de telfono interno con su mquina de fax.
Unos minutos ms tarde envi el fax.
Pero Victor no funcion para el departamento de PR. De hecho, an no ha funcionado p
ara
la empresa.
Historia de Jack
Jack Dawkins haba comenzado su carrera profesional a temprana edad como una carte
rista
trabajo juegos en el Yankee Stadium, en plataformas de metro atestado y entre
la noche multitud de turistas de Times Square. Demostr tan gil e ingenioso
que l podra tener un reloj de pulsera de hombre sin que l supiera. Pero en su
torpe adolescencia haba crecido torpe y capturado. En la sala de menores,
Jack aprendi un nuevo oficio con un menor riesgo de obtener nabbed.
Su asignacin actual llamado por l obtener y ganancias trimestrales de una empresa
informacin declaracin y flujo de efectivo, antes de que los datos se presentaron c
on los valores
y Exchange Commission (SEC) y hecho pblico. Su cliente era un dentista que
no quiso explicar por qu quera la informacin. A Jack precaucin del hombre
fue risible. Haba visto todo antes--el chico probablemente ha tenido un problema
de juego,
o bien una novia cara su esposa no haba enteraron todava. O quizs l
slo haba sido fanfarronear a su esposa sobre cmo inteligente fue en el mercado de v
alores;
ahora haba perdido un paquete y quera hacer una gran inversin en una cosa de seguro
por
sabiendo que forma la empresa cotizacin iba a ir cuando ellos
anunci sus resultados trimestrales.
Personas se sorprenden al descubrir cmo poco tiempo tarda una reflexin social
ingeniero para averiguar una forma de manejar una situacin no se enfrenta nunca a
ntes. Por
el tiempo Jack llegar a casa de su encuentro con el dentista, ya haba formado
un plan. Su amigo Charles Bates trabaj para una empresa de importacin de Panda, qu
e

tena su propio conmutador telefnico o PBX.


En trminos familiares para personas con conocimientos sobre sistemas telefnicos PB
X fue
conectado a un servicio de telefona digital conocido como un T1, configurado como
principal
Tipo interfaz RDSI (red digital de servicios integrados) o ISDN PRI. Lo que esta
quera decir era cada vez se coloc un anuncio de Panda, instalacin y otra llamada
procesamiento de informacin sali por un canal de datos a la empresa de telefona
conmutador; la informacin incluye la llamada Partido nmero, que (a menos que
bloqueado) es entregado en el dispositivo de ID de llamada en el extremo recepto
r.
Amigo de Jack saba cmo programar el conmutador, la persona que recibe el llamada
vera en su identificador de llamadas, no el nmero de telfono real en la Oficina de
Panda, pero
cualquier nmero de telfono haba programado en el conmutador. Este truco funciona
debido a que las compaas telefnicas locales no molestan para validar el nmero de lla
mada
recibido del cliente contra los nmeros de telfono reales que es el cliente
a pagar.
Todos necesitan Jack Dawkins fue acceso a cualquier servicio de telfono tal. Feli
zmente su
amigo y compaero ocasional en delincuencia, Charles Bates, alegr siempre prestar u
n
tender la mano por un precio nominal. En esta ocasin, Jack y Charles temporalment
e
reprogramado el conmutador telefnico de la empresa por lo se llama desde un deter
minado
lnea telefnica ubicada en las instalaciones de Panda podra suplantar Victor Martin
nmero de telfono interno, realizando la llamada parecen provenir de dentro
Aviacin de Starbeat.
La idea de que puede hacerse su identificador de llamadas para mostrar a cualqui
er nmero que desee es conocido que rara vez se cuestiona. En este caso, Linda est
aba feliz por fax la
solicita informacin para el chico pens era de PR
Cuando Jack colg, Charles reprogramado el conmutador telefnico de su empresa,
restaurar el telfono a la configuracin original.
Analizando el timo
Algunas compaas no quieren clientes o proveedores para saber el telfono
nmero de sus empleados. Por ejemplo, Ford puede decidir que llama desde su
Centro de soporte al cliente debe mostrar el nmero 800 para el centro y un nombre
como \"Apoyo Ford,\" en lugar del nmero de telfono de marcado directo real de cada
soporte
representante de realizar una llamada. Microsoft puede dar a sus empleados la
opcin de decir a la gente su nmero de telfono, en lugar de tener todos llaman
poder vistazo su identificador de llamadas y saber su extensin. De esta manera la
empresa es capaz de mantener la confidencialidad de los nmeros internos.
Pero esta misma capacidad de reprogramacin proporciona una tctica til para la
bromista, coleccionista de bill, telemarketer y, por supuesto, el ingeniero soci
al.
VARIACIN: ES EL PRESIDENTE DE LOS ESTADOS UNIDOS
LLAMAR A
Como co-anfitrin de un programa de radio en Los Angeles llamado \"Darkside de Int
ernet\" en
KFI Talk Radio, he trabajado bajo la direccin del programa de la estacin. David, u
no de los
ms comprometidos y gente trabajadora que he conocido, es muy difcil llegar a
por telfono porque est tan ocupado. Es uno de aquellos que no contesta una
llamar a menos que se ve desde el identificador de llamadas que es alguien que n
ecesita hablar con.
Cuando l, sera telfono porque tengo bloqueo de llamadas a mi celular, no poda

dicen que estaba llamando y no recoger la llamada. Podra rodar voz


correo y fueron muy frustrante para m.
Habl sobre qu hacer acerca de esto con un amigo que es el cofundador
de una empresa inmobiliaria proporciona espacio de oficina para empresas de alta
tecnologa. Juntos
propusimos un plan. Tuvo acceso a telfono de Meridian de su compaa
cambiar, que le da la posibilidad de programar el llamada nmero de partido, como
se describe en el artculo anterior. Cada vez que necesitaba llegar a la Directora
del programa
y no poda recibir una llamada, le pido a mi amigo a programar cualquier nmero de
mi eleccin aparecer en el ID del llamador. A veces tengo que le realice la llamad
a
mirar como si vena desde Asistente de la Oficina de David, o a veces desde la
holding que posee la estacin.
Pero mi favorito era programacin la llamada a aparecer desde la casa de David
nmero de telfono, siempre recogi. H1 dan el crdito de chico, aunque.
Siempre tena un buen sentido del humor sobre l cuando l sera recoger el telfono y
descubrir que haba engaado le nuevamente. La mejor partwas que luego permanecera en
el
lnea de tiempo suficiente para averiguar lo que quera y resolver lo que era la cue
stin.
Cuando demostr este pequeo truco en el Show de Art Bell, falsifica mi ID de llamad
a
para mostrar el nombre y el nmero de la sede de Los ngeles, del FBI. Arte
estaba bastante sorprendido sobre todo el asunto y me amonest para hacerlo
algo ilegal. Pero seal a l que es perfectamente legal, como ha
no un intento de cometer un fraude. Despus del programa recib varios cientos
correos electrnicos pidindome que explicar cmo lo haba hecho. Ya sabes.
Esta es la herramienta perfecta para construir credibilidad para el ingeniero so
cial. Si, por ejemplo,
durante la etapa de investigacin del ciclo de ataque de ingeniera social, fue desc
ubierto
que el destino de identificador de llamadas, el atacante podra suplantar su propi
o nmero como
ser una empresa de confianza o empleado. Un coleccionista de factura puede hacer
su o sus
llamadas parecen provenir de su lugar de negocio.
Pero detener y pensar en las consecuencias. Un intruso de equipo puede llamar a
Casa afirmando que desde el departamento de TI de su empresa. La persona en la
lnea necesita urgentemente la contrasea para restaurar los archivos de un fallo de
l servidor. O la
Identificador de llamadas muestra el nombre y el nmero de tu banco o casa de corr
etaje burstil,
la chica bonita sonda slo necesita verificar sus nmeros de cuenta y su
nombre de soltera de la madre. Buena medida, ella tambin necesita verificar su AT
M
PIN debido a algn problema de sistema. Una operacin de boiler-room del mercado de
valores puede
hacer sus llamadas parecen provenir de Merrill Lynch o Citibank. Alguien a
robar su identidad podra llamar, al parecer de Visa y convencerlo de que le diga
tu nmero de tarjeta Visa. Un chico con un rencor podra llamar y dicen ser de la
IRS o el FBI.
Si tiene acceso a un sistema de telfono conectado a un PRI, adems de un poco de
conocimientos de programacin que probablemente usted puede adquirir con el provee
dor de sistema
Sitio Web, puede utilizar esta tctica para jugar trucos cool en tus amigos. Saber
cualquiera con aspiraciones polticas exageradas? Se puede programar la remisin
nmero 202 456-1414 y su identificador de llamada mostrar el nombre de \"blanco
CASA\".
l pensar que est recibiendo una llamada del Presidente!

La Moraleja de la historia es simple: Caller ID no es de confianza, excepto cuan


do se
se utiliza para identificar llamadas internas. En el trabajo y en casa, todo el
mundo necesita
conocer el truco de ID del llamador y reconocer que el nombre o nmero de telfono
se muestra en un llamador Mostrar ID nunca se puede confiar para verificacin de i
dentidad.
MENSAJE DE MITNICK
La prxima vez que reciba una llamada y tu identificador de llamadas muestra es a
partir de su querido viejo
mam, nunca se sabe--podra ser de un ingeniero social de antiguo poco dulce.
EL EMPLEADO INVISIBLE
Shirley Cutlass ha encontrado una manera nueva y emocionante para hacer dinero rp
ido. Ya no ms
poniendo largas horas en la sal de minas. Ella ha unido a los cientos de otros f
raudes
artistas involucrados en el crimen de la dcada. Ella es un ladrn de identidad.
Hoy ella ha fijado su mira en obtener informacin confidencial de la
Departamento de servicio al cliente de una compaa de tarjeta de crdito. Despus de ha
cer el tipo habitual
de deberes, ella llama a la compaa de destino y le dice al operador de panel de co
ntrol
quin responde que le gustara estar conectado con el departamento de Telecom.
Llegar a Telecom, pregunta para el administrador de correo de voz.
Usando la informacin recopilada desde su investigacin, explica que su nombre es
norma Todd de la Oficina de Cleveland. Mediante un ardid que debe ahora ser
familiar, dice que ella podr viajar a sede durante una semana,
y ella necesitar un buzn de voz all por lo que ella no tiene que hacer a larga dist
ancia
llama para comprobar sus mensajes de correo de voz. No es necesario un telfono fsi
co
al respecto, ella dice, slo un buzn de voz. Dice l a cuidar de ella, llamaremos
su espalda cuando ha configurado para darle la informacin necesita.
Con una voz seductora, ella dice \"estoy en mi camino a una reunin, puedo llamar
te vuelve
en una hora.
Cuando ella llama a volver, dice que est todo listo y le da la informacin--ella
nmero de extensin y una contrasea temporal. Le pregunta si sabe cmo
cambiar la contrasea de correo de voz, y ella le permite le habla a travs de los p
asos,
Aunque ella sabe por lo menos tan bien como lo hace.
There was an error deserializing the object of type System.String. Encountered u
nexpected character 's'.
mensajes?\" l le da el nmero.
Shirley telfonos en cambia la contrasea y graba su nuevo saludo saliente.
Ataques de Shirley
Hasta el momento todo est una fcil instalacin. Ella ahora est lista para usar el art
e del engao.
Ella llama el departamento de servicio al cliente de la empresa. \"Estoy con col
ecciones,
en \"la Oficina de Cleveland, dice y luego se lanza en una variacin en el porexcu
sa
ahora familiar. \"Mi equipo se fijarn mediante asistencia tcnica y
necesito su ayuda, buscar esta informacin\". Y ella va a proporcionar la
nombre y fecha de nacimiento de la persona cuya identidad es intencin de robar. A
continuacin
ella muestra la informacin que ella quiere: direccin, nombre de soltera de la madr
e, nmero de tarjeta,
lmite de crdito, crdito disponible y el historial de pago. \"Me llaman volver en es
te nmero\"

ella dice, dando el nmero de extensin interno que Administrador de correo de voz
creado para ella. \"Y si no estoy disponible, slo deja la informacin en mi voz
correo.\"
Ella mantiene ocupada con recados para el resto de la maana y luego le comprueba
correo de voz esa tarde. Es all, todo lo que ella peda. Antes de colgar
Shirley borra el mensaje saliente; sera imprudente dejar una grabacin
de su voz detrs.
E identificar el robo, el crimen de ms rpido crecimiento en Amrica, el delito de \"
a\" de la
nuevo siglo, va a tener otra vctima. Shirley utiliza la tarjeta de crdito y
informacin de identidad slo obtuvo y comienza la ejecucin de gastos en el
tarjeta de la vctima.
Analizando el timo
En esta treta, el atacante primero engaado a administrador de correo de voz de la
compaa en
creyendo que era un empleado, lo que establecera una voz temporal
buzn de correo. Si l se molest en comprobar en todo, l que habra encontrado el nombre
y
nmero de telfono que dio coincide los listados de los empleados corporativos
base de datos.
El resto era simplemente una cuestin de dar una excusa razonable acerca de un equ
ipo
problema, pidiendo la informacin deseada y solicitando que la respuesta
izquierda en correo de voz. Y por qu cualquier empleado sera reacio a compartir
informacin con un compaero de trabajo? Ya era el nmero de telfono proporcionada Shirl
ey
claramente una extensin interna, no haba razn para cualquier sospecha.
MENSAJE DE MITNICK
Intente llamar a su propio correo de voz de vez en cuando; Si escucha un mensaje
saliente
no es suyo, puede haber encontrado slo su primer ingeniero social.
EL SECRETARIO TIL
Cracker Robert Jorday haba sido regularmente irrumpir en las obras de red de equi
po
de una empresa global, Rudolfo envo, Inc. La empresa finalmente reconocida
que alguien era piratera en su servidor de terminal server, una, que a travs de es
e servidor
el usuario puede conectarse a cualquier sistema informtico de la empresa. Para sa
lvaguardar la
red corporativa, la empresa decide, requiere una contrasea de acceso telefnico en
cada
servidor de Terminal server.
Robert llamado el centro de operaciones de red hacindose pasar por un abogado con
la
Departamento legal y dijo que estaba teniendo problemas para conectarse a la red
. El
Administrador de la red alcanz explic que haba habido algunas recientes
problemas de seguridad, por lo que todos los usuarios de acceso telefnico seran ne
cesario obtener contrasea de su administrador. Robert pregunta qu mtodo estaba sien
do utilizado para
comunicar la contrasea cada mes a los gerentes y cmo l podra obtenerlo.
La respuesta, result, que era la contrasea para el mes prximo
envi un memo a travs de la Oficina, correo a cada gerente de la empresa.
Hizo las cosas fciles. Robert hizo una pequea investigacin, llamado la compaa slo desp
us
el primero del mes y lleg a la Secretaria de un gerente que le dio
nombre como Janet. Dijo, \"Janet, Hola. Esto es Randy Goldstein en investigacin y
Desarrollo. S que probablemente tengo el abono con la contrasea de este mes para
iniciar sesin en el servidor terminal server desde fuera de la empresa, pero no p
uedo encontrarlo

en cualquier lugar. Hizo llegar su abono, mes? \"


S, ella dijo, ella llegaron a conseguirlo.
Pregunt si ella sera fax a l, y ella acept. Ella dio el fax
nmero de la recepcionista del vestbulo en un edificio diferente en el campus de la
empresa,
donde ya haba hecho arreglos para los faxes que se celebrar para l y sera
luego disponer el fax de contrasea que se debe reenviar. Esta vez, sin embargo, R
obert
utiliza un mtodo diferente de reenvo de fax. Dio a la recepcionista de un nmero de
fax
fue a un servicio de fax en lnea. Cuando este servicio recibe un fax, el
sistema automatizado enva a la direccin de correo electrnico del suscriptor.
Lleg la nueva contrasea en el descenso muertos de correo electrnico que Robert conf
igurado en un servicio de correo electrnico en China. Era seguro que si alguna ve
z se remonta el fax, el
Investigador podra extraer de su cabello, tratando de obtener la cooperacin del ch
ino
los funcionarios, que saba, eran ms que un poco reacio a ser tiles en materia
As. Lo mejor de todo, nunca tuvo que aparecer fsicamente en la ubicacin del fax
mquina.
MENSAJE DE MITNICK
El ingeniero social especializado es muy inteligente influir en otras personas a
hacer favores
para l. Recepcin de un fax y reenviarla a otra ubicacin aparecen lo
inofensivo que es muy fcil convencer a un recepcionista o a alguien de acuerdo
para hacerlo. Cuando alguien pide un favor relacionadas con la informacin, si no
lo hace
conocerlo o no se puede verificar su identidad, slo decir que no.
CORTE DE TRFICO
Probablemente todos los que nunca se le ha dado un billete de exceso de velocida
d ha daydreamed
acerca de alguna manera de ganar a lo. No por ir a la escuela de trfico, o simple
mente pagando la
fino, o teniendo la oportunidad de intentar convencer al juez sobre algn tecnicis
mo
como cunto ha sido desde el coche de polica fue velocmetro o la pistola de radar
marcada. No, el escenario ms dulce podra ser batiendo el billete incluso la
sistema.
El timo
Aunque no recomendara probar este mtodo de golpear (como un ticket de trfico
el refrn, no intentes esto en casa), esto es un buen ejemplo de cmo el arte
de engao puede utilizarse para ayudar a la ingeniera social.
Llamemos a este violater de trfico Paul Durea.
Primeros pasos
LAPD, Divisin Hollenbeck.
Hola, me gustara hablar con el Control de la citacin.
Soy empleado del citacin.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements al citado a oficial sobre un caso\".
Est bien, qu oficial?
Tienes Kendall oficial en su divisin?
Cul es su nmero de serie?
21349.
S. Cuando lo necesite?
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following caso y decirle a que la Corte qu das trabajarn para nosotros. H
ay cualquier da siguiente
mes oficial Kendall no estar disponible?\"
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following das de entrenamiento en los 8 y 16.\"

Gracias. Eso es todo lo que necesito derecho ahora. Te llamar cuando se establece
la fecha de corte.
Tribunal Municipal, mostrador de empleado
Paul: \"me gustara programar una fecha de corte de este billete de trfico.\"
Empleado: \"Okay. Les puedo dar el 26 del mes que viene.\"
Bueno, me gustara programar una Plea.
Desea una Plea en un ticket de trfico?
S.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following elements te gustara?\"
Por la tarde.
There was an error deserializing the object of type System.String. Encountered u
nexpected character all\".
Tribunal Municipal, Sala 6
Fecha: Jueves, 13:45
Empleado: \"Sr. Durea, por favor acercarse al Banco.\"
Juez: \"Sr. Durea, entiende usted los derechos que han sido explicados
esta tarde?\"
Paul: \"s, su Seora.
Juez: \"desea aprovechar la oportunidad para asistir a la escuela de trfico? Su c
aso
va ser despedidos tras la finalizacin con xito de un curso de ocho horas. Has
Comprueba tu registro y cumplen actualmente. \"
Paul: \"No, su honor. Solicito respetuosamente que se establezca el caso para el
juicio. Uno
lo ms, su honor, podr viajar fuera del pas, pero estoy disponible en
la octava o novena. Sera posible establecer mi caso para juicio en cualquiera de l
os
das? Maana me voy en un viaje de negocios para Europa, y vuelvo en cuatro
semanas.\"
Juez: \"muy bien. Juicio est fijado para el 8 de junio, 8:30, sala cuatro.\"
Paul: \"gracias, su Seora\".
Municipal Corte, sala cuatro
Paul lleg temprano en la Corte el 8 de septiembre. Cuando el juez lleg en, el empl
eado le dio
una lista de los casos para que los oficiales no haban aparecido. El juez cit la
los acusados, incluyendo a Paul y les dijeron que sus casos fueron despedidos.
Analizando el timo
Cuando un funcionario escribe un billete, firma con su nombre y su nmero de placa
(o cualquiera que sea su nmero personal se llama en su organismo). Encontrar su e
stacin es un
pedazo de pastel. Una llamada a la asistencia de directorio con el nombre de la
aplicacin de la ley
Agencia que se muestra en la cita (highway patrol, Sheriff del condado o lo que
sea) es
suficiente para conseguir un pie en la puerta. Una vez que el organismo se pone
en contacto, pueden consultar llama al nmero de telfono correcto para el empleado
de citacin sirviendo el
zona geogrfica donde se hizo la parada de trfico.
Funcionarios encargados de hacer cumplir la ley son citados por apariciones de c
orte con regularidad;
viene con el territorio. Cuando un fiscal o un abogado de defensa necesita un
oficial a testificar, si l sabe cmo funciona el sistema, comprueba primero para as
egurarse de
el oficial estar disponible. Es fcil de hacer; slo tarda una llamada a la citacin
empleado de esa Agencia.
Por lo general en esas conversaciones, el abogado pide si el oficial en cuestin s
er
disponible en tal y tal fecha. Para este ardid, Paul necesitaba un poco de tacto
; tena

ofrecer una razn plausible de por qu el empleado debe decirle lo que remonta el of
icial
no estara disponible.
Cuando se fue primero a la Corte edificio, por qu no Paul simplemente dijo el
empleado de la Corte qu fecha quera? Fcil--de lo que entiendo, corte de trfico
empleados en la mayora de los lugares no permitan a los miembros del pblico selecc
ionar las fechas de fecha el empleado sugiere no funciona para la persona, ella
te ofrecen una alternativa o
dos, pero eso es como ella se doblan. Por otro lado, quien est dispuesto a
tomar el tiempo extra de mostrar una Plea es probable que tenga mejor suerte.
Paul saba que tena derecho a pedir una Plea. Y l saba que los jueces son
a menudo dispuestos a acoger una solicitud para una fecha especfica. Pregunt cuida
dosamente para
fechas que coincidieron con los das de entrenamiento de oficiales, sabiendo que e
n su estado,
entrenamiento de oficiales prevalece sobre una aparicin en la Corte de trfico.
MENSAJE DE MITNICK
La mente humana es una creacin maravillosa. Es interesante cmo imaginativa nota
personas pueden desarrollar formas engaosas para obtener lo que quieren o salir d
e
una situacin pegajosa. Tienes que utilizar la misma creatividad e imaginacin para
salvaguardar la informacin y sistemas informticos en los sectores pblico y privado.
Por lo tanto,
la gente, al elaborar las polticas de seguridad de su empresa--ser creativo y pen
sar
fuera de la caja.
Y en la Corte de trfico, cuando el funcionario no mostrar--caso despedido. No
multas. Ninguna escuela de trfico. Sin puntos. Y, lo mejor de todos, no hay regis
tro de una ofensa de trfico!
Mi conjetura es que algunos polica funcionarios, oficiales de la Corte, abogados
de distrito y el
como leer esta historia y agitar sus cabezas porque saben que Esto
ardid funciona. Pero agitando sus cabezas es todo lo que voy hacer. Nada va a ca
mbiar. Me gustara
estar dispuesto a apostar por l. Como el personaje Cosmo dice en la pelcula de 199
2, zapatillas,
There was an error deserializing the object of type System.String. End element '
root' from namespace para obtener informacin.
Como organismos encargados de hacer cumplir la ley estn dispuestos a dar informac
in sobre un
programacin oficial para prcticamente cualquier persona que llama, la capacidad de
salir de trfico
entradas siempre van a existir. Tienes huecos similares en su empresa o
procedimientos de la organizacin que un ingeniero social inteligente puede aprove
char para
obtener informacin que prefiere no tienen?
VENGANZA DE SAMANTHA
Samantha Gregson estaba enfadado.
Ella haba trabajado arduamente por su ttulo universitario en negocios y apiladas e
n un montn de
prstamos estudiantiles para hacerlo. Siempre ha estado en el que la batera de un tt
ulo universitario
fue cmo tienes una carrera en lugar de un trabajo, cmo has obtenido los bucks gran
des. Y
luego se gradu y no pudo encontrar un trabajo decente en cualquier lugar.
Satisfecho de cmo haba sido obtener la oferta de fabricacin Lambeck. Seguro,
fue humillante para aceptar un puesto secretarial, pero el Sr. Cartright dijo cmo
deseoso de que iban a tenerla, y tomando el trabajo secretarial se puso la
tintas cuando abri la siguiente posicin no administrativa.
Dos meses ms tarde escuch que uno de los directores de producto junior de Cartrigh

t fue
dejando. Ella apenas pudo dormir esa noche, imaginando a s misma en el quinto pis
o, en
una oficina con una puerta, asistir a reuniones y toma de decisiones.
A la maana siguiente ella fue lo primero que vea el Sr. Cartright. Dijo que ella
senta
necesitaba aprender ms acerca de la industria antes de que ella estaba lista para
ser un profesional
posicin. Y luego salieron y contrat a un aficionado desde fuera de la empresa
que saba menos acerca de la industria que ella hizo.
Se trataba entonces que comenz a amanecer sobre ella: la empresa tena un montn de
las mujeres, pero eran casi todos los secretarios. No van a darle un
trabajo de administracin. Nunca.
Amortizacin
Ella tard casi una semana para averiguar cmo ella iba a pagarles atrs.
Aproximadamente un mes antes un chico de una revista de comercio de industria ha
ba intentado golpear
ella cuando lleg para el lanzamiento de nuevo producto. Unas semanas ms tarde llam
hasta en el trabajo y le dijo si ella le enviara alguna informacin anticipada la
Producto cobra 273, le enviara sus flores, y si era informacin realmente caliente
que
utiliz en la revista, que hara un viaje especial en de Chicago solo para llevarla
fuera a cenar.
Ella haba estado en la Oficina del joven Sr. Johannson un da poco despus de que cua
ndo l
iniciado una sesin en la red corporativa. Sin pensar, ella haba visto sus dedos
(hombro surf, esto se llama a veces). Haba entrado como su \"marty63\"
contrasea.
Su plan estaba empezando a reunirse. Hubo un memo record
escribir no mucho despus lleg a la empresa. Ella encontr una copia de los archivos
y
ha escrito una nueva versin, utilizando el lenguaje de la original. Lee su versin:
PARA: C. Pelton, Dpto. de TI
DE: L. Cartright, desarrollo
Martin Johansson estar trabajando con un equipo de proyectos especiales en mi dep
artamento.
Autorizo a tener acceso a los servidores utilizados por la ingeniera
Grupo. Perfil de seguridad del Sr. Johansson es actualizarse a concederle la mis
ma
los derechos de acceso como un desarrollador de producto.
Louis Cartright
JERGA
HOMBRO Surf el acto de ver una persona escriba en su equipo
teclado para detectar y robar su contrasea u otra informacin de usuario.
Cuando la mayora todo el mundo se fue al medioda, ella corta firma del Sr. Cartrig
ht de
el memo original, pegado en su nueva versin y ensuciado Wite-Out alrededor
los bordes. Hizo una copia del resultado y luego hizo una copia de la copia. Le
apenas se poda ver los bordes alrededor de la firma. Ella envi el fax de la
mquina \"cerca de la Oficina del Sr. Cartright.
Tres das ms tarde, ella se qued despus de horas y esper hasta que todo el mundo queda
r. Caminaba
en la Oficina de Johannson y intentada iniciar sesin en la red con su nombre de u
suario y
la contrasea, marry63. Funcion.
En minutos haban localizado los archivos de especificacin de producto para el 273
Cobra, y
descargado en un disco Zip.
El disco fue segura en su bolso mientras caminaba en la brisa fresca de la noche
a

el lote de estacionamiento. En su camino a la reportera sera esa noche.


Analizando el timo
Un empleado disgustado, una bsqueda a travs de los archivos, un Wite de cortar-peg
ar-y rpidoOperacin, copiando un poco de creativo y un fax. Y, voila!--ella tiene acceso a
Especificaciones de producto y marketing confidenciales.
Y unos das ms tarde, un periodista de revista de comercio tiene una cuchara grande
con las especificaciones
y planes de un nuevo producto caliente que estar en manos de la revista de market
ing
los suscriptores a lo largo de los meses de la industria de antemano el producto
liberan.
Empresas de competidor tendr varios meses head start en el desarrollo
productos equivalentes y tener sus campaas publicitarias listos para socavar la C
obra
273.
Naturalmente, la revista nunca dir donde consiguieron el scoop.
PREVENIR LA CON
Cuando se le pregunt sobre cualquier informacin valiosa, sensible o crtico que podra
ser de
beneficiar a un competidor o cualquier otra persona, empleados deben ser conscie
ntes de que mediante llamada
ID como una forma de verificar la identidad de una llamada externa no es aceptab
le.
Deben utilizarse otros medios de verificacin, como la comprobacin con el
supervisor de la persona que la solicitud fue adecuada y que el usuario tiene
autorizacin para recibir la informacin.
El proceso de verificacin requiere un acto de equilibrio que cada empresa debe de
finir
por s mismo: seguridad frente a la productividad. Qu prioridad va a ser asignado a
hacer cumplir las medidas de seguridad? Sern empleados resistentes a seguridad sig
uiente
procedimientos, y inclusoles para eludir completar su trabajo
responsabilidades? Entienden por qu la seguridad es importante para los empleados
del
empresa y ellos mismos? Estas preguntas deben ser respondidas para desarrollar un
poltica de seguridad basada en la cultura corporativa y las necesidades del negoc
io.
Mayora de la gente inevitablemente ve todo aquello que interfiere con su trabajo
de conseguir
como una molestia y pueden burlar las medidas de seguridad que parecen ser una
prdida de tiempo. Motivar a los empleados a hacer parte de la seguridad de su cot
idiano
responsabilidades a travs de la educacin y la sensibilizacin es clave.
Aunque nunca se debe utilizar como medio de autenticacin para el servicio de ID d
e llamada
llamadas de voz desde fuera de la empresa, otro mtodo llamado nmero automtico
puede de identificacin (ANI). Este servicio se presta cuando una empresa se suscr
ibe a
huir de peaje servicios donde la compaa paga por las llamadas entrantes y es confi
able
para la identificacin. A diferencia de identificador de llamadas, no utilice el c
onmutador de la compaa cualquier informacin que se enve desde un cliente al proporci
onar el nmero de llamada.
La transmitida por ANI es el nmero de facturacin asignado a la llamada
Partido.
Tenga en cuenta que varios fabricantes de mdem han agregado una funcin de ID de ll
amada en su
productos, proteger la red corporativa, permitiendo slo llamadas de acceso remoto
de un nmero de telfono de ofpreauthorized de lista. Caller ID mdems son un

medios aceptables de autenticacin en un entorno de baja seguridad, pero como debe


ser claro por ahora, identificador de llamada la simulacin es una tcnica relativam
ente fcil para el equipo
los intrusos y por lo que no se debe confiar en para probar la identidad del lla
mador o
ubicacin en un entorno de alta seguridad.
Para abordar el caso de robo de identidad, como en la historia de engaar a un
administrador para crear un buzn de voz en el sistema telefnico corporativo, hacer
la un
poltica que todo telfono servicio, todos los buzones de voz y todas las entradas a
la empresa
Directorio, tanto en forma impresa y en lnea, debe solicitarse por escrito, en un
formulario
el objetivo previsto. Gestor del empleado debe firmar la solicitud, y
el administrador de correo de voz debe comprobar la firma.
Directiva de seguridad corporativa es necesario ese nuevo equipo cuentas o aumen
ta
en access se conceden derechos slo despus de una verificacin positiva de la persona
que
la peticin, como una devolucin de llamada para el administrador del sistema o admi
nistrador o de su su designatario, en el nmero telefnico que aparece en la compaa de
impresin o on-line
directorio. Si la empresa utiliza el correo electrnico seguro donde los empleados
pueden firmar digitalmente
mensajes, este mtodo de verificacin alternativa tambin puede ser aceptable.
Hay que recordar que todos los empleados, independientemente de si tiene acceso
a la empresa
sistemas informticos, puede ser engaado por un ingeniero social. Todos deben ser
incluido en la formacin de la conciencia de seguridad. Auxiliares administrativos
, recepcionistas,
operadores de telefona y guardias de seguridad debe hacerse conocer los tipos de
ataque de ingeniera social ms probabilidad de ser dirigida contra ellos para que l
o harn
estar mejor preparada para defenderse de esos ataques.
Captulo 14
Espionaje industrial
La amenaza de informacin los ataques contra el Gobierno, las empresas, y
sistemas de la Universidad est bien establecida. Casi todos los das, los medios de
comunicacin informa virus informticos, denegacin de servicio, o el robo de informa
cin de tarjeta de crdito de
un sitio Web de comercio electrnico.
Leemos sobre los casos de espionaje industrial, como Borland acusando a Symantec
de robar secretos comerciales, Cadence Design Systems presentar un traje el robo
de carga
de cdigo fuente por un competidor. Muchos empresarios leen estas historias y
Creo que nunca podra suceder en su empresa.
Est sucediendo cada da.
VARIACIN SOBRE UN ESQUEMA
El ardid que se describe en el siguiente relato probablemente ha sido sacando mu
chas veces,
Aunque suena como algo sacado de una pelcula de Hollywood como el
Informacin privilegiada, o desde las pginas de una novela de John Grisham.
Accin de clase
Imagino que es una demanda masiva de accin de scallavsaeje contra la mayor
compaa farmacutica, Pharmomedic. La demanda afirma que saban que uno de
su droga muy popular tuvo un efecto devastador de lado, pero que no sera
haba sido evidente hasta un paciente de la medicacin durante aos. La demanda alega
que
tuvieron resultados de varios estudios de investigacin que revel este peligro, per
o

suprimi la evidencia y nunca entreg lo que la FDA segn sea necesario.


(\"Billy\") de William Chaney, el abogado del registro en la cabecera de la nuev
a
Bufete de York que presentaron la demanda de accin de clase, tiene deposiciones d
e dos
Pharmomedic mdicos apoyando la reclamacin. Pero ambos se retiran, tampoco tiene ni
nguna
archivos o documentacin y tampoco hara un testimonio fuerte y convincente.
Billy sabe que es en terreno inestable. A menos que puede obtener una copia de u
no de los
informes, o algunos memo interno o la comunicacin entre los ejecutivos de la empr
esa,
su caso todo caer en pedazos.
Por lo que contrata a una empresa que us antes: Andreeson y sus hijos, investigad
ores privados.
Billy no sabe cmo Pete y su gente obtener las cosas que hacen y no
quiero saber. Lo nico que sabe es que Pete Andreeson un buen investigador.
Andreeson, un trabajo como ste es lo que l llama un negro bolsa de trabajo. El pri
mero
regla es que las firmas de abogados y empresas que contratan nunca aprenden cmo o
btiene su
informacin para que tengan siempre la negacin completa, plausible. Si alguien
va a tener sus pies empujadas en agua hirviendo, va a ser Pete y para
lo que colecciona las tasas sobre los grandes empleos, cifras vale la pena el ri
esgo. Adems, l
incluso gente inteligente obtiene esa satisfaccin personal.
Si los documentos que Chaney quiere encontrar realmente existieron y no han sido
destruidos, van a estar en algn lugar en los archivos de Pharmomedic. Pero encont
rarlos en
los archivos masivos de una gran empresa sera una tarea ingente. Por otro lado
Supongamos que han entregado copias a su bufete, Jenkins y Petry? Si la
Abogados de defensa conocan esos documentos existen y no entregarlos como parte
el proceso de descubrimiento, entonces han violado canon de la abogaca de
tica y violaron la ley. En el libro de Pete, hace cualquier ataque justo
juego.
Ataque de Pete
Pete obtiene un par de su pueblo que se inici en la investigacin y dentro de los da
s l sabe
Qu empresa Jenkins y Petty se utiliza para almacenar los backups fuera del sitio.
Y l
sabe que la compaa de almacenamiento mantiene una lista de los nombres de las pers
onas que la
Bufete ha autorizado a recoger las cintas de almacenamiento de informacin. Tambin
sabe que cada de
estas personas tiene su propia contrasea. Pete manda dos de su pueblo a una
negro bolsa de trabajo.
Los hombres frente a la cerradura utilizando un bloqueo elegir arma orden en el s
itio Web
www.southord.com. dentro de varios minutos que caer en las oficinas de la
la empresa de almacenamiento alrededor de 3 una noche y arrancar un PC. Que sonre
n cuando ven
el logotipo de Windows 98 ya que se trata de un pedazo de pastel. Windows 98
no requiere ningn tipo de autenticacin. Despus de abit de bsqueda, busque un
Base de datos de Microsoft Access con los nombres de las personas autorizadas po
r cada uno de los
clientes de empresa de almacenamiento para recoger las cintas. Agregan un nombre
falso para el
lista de autorizacin de Jenkins y Petry, un nombre que coincida con uno en un con
ductor falso
ya ha obtenido la licencia de uno de los hombres. Podra haber roto el

bloqueado el rea de almacenamiento e intent localizar las cintas de su cliente quera


? Seguro--pero
a continuacin, los clientes de la compaa, incluyendo la firma de abogados, tendra si
n duda
se ha informado de la infraccin. Y los atacantes habra perdido una ventaja:
Profesionales siempre como para dejar una abertura de acceso en el futuro, deben
la necesidad de
surgen.
Siguiendo una prctica estndar de los espas industriales para mantener algo en la es
palda
bolsillo para uso futuro, por si acaso, tambin hicieron una copia de los archivos
que contiene la
lista de autorizacin en un disquete. Ninguno de ellos tena alguna idea de cmo podra
nunca ser til, pero es slo uno de esos \"estamos aqu, nos podramos tan bien\"
cosas que cada vez resulta para ser valiosa.
Al da siguiente, uno de los mismos hombres llamada la compaa de almacenamiento de i
nformacin, haba agregado a la lista de autorizacin y dio la contrasea correspondient
e. l
pregunta para todas las cintas de Jenkins y Petry fecha dentro del mes pasado y
dijeron que
un servicio de mensajera vendra por recoger el paquete. Por media tarde,
Andreeson tena las cintas. Su pueblo restaurado todos los datos a su propio equip
o
sistema listo para buscar al ocio. Andreeson qued muy satisfecho de que el despac
ho de abogados,
como la mayora de las otra empresas no molestar cifrado de sus datos de backup.
Las cintas fueron entregadas a la empresa de almacenamiento de informacin al da si
guiente y nadie
era el ms sabio.
MENSAJE DE MITNICK
Informacin valiosa que debe ser protegido sin importar lo que la forma que adopte
o donde se
se encuentra. Lista de clientes de una organizacin tiene el mismo valor si en
formulario de impresos o un archivo electrnico en su oficina o en una caja de alm
acenamiento de ingenieros siempre prefieren los ms fciles de sortear, menos defend
ieron el punto de ataque.
Instalaciones de almacenamiento de copia de seguridad fuera del sitio de la empr
esa es visto deteccin o obtener atrapados. Cada organizacin que almacena cualquier
valiosa, sensible,
o datos crticos con terceros deben cifrar sus datos para proteger su
confidencialidad.
Analizando el timo
Debido a la laxitud seguridad fsica, los malos eran fcilmente capaces de forzar la
cerradura de
la empresa de almacenamiento de informacin, acceder a la computadora y modificar
la
base de datos que contiene la lista de personas autorizadas a tener acceso al al
macenamiento de informacin
unidad. Agregar un nombre a la lista permite las impostores obtener el equipo
las cintas de backup eran despus, sin tener que entrar en la unidad de almacenami
ento de la empresa.
Porque la mayora de las empresas no cifra los datos de copia de seguridad, la inf
ormacin era suya
para la toma.
Este incidente se proporciona un ejemplo ms de cmo los vendedores de la empresa no
precauciones de seguridad razonables en ejercicio pueden hacerlo fcil para un ata
cante
poner en peligro los activos de informacin de sus clientes.
EL NUEVO SOCIO DE NEGOCIO
Los ingenieros sociales tienen una gran ventaja sobre estafadores y timadores y

la
ventaja es la distancia. Un grifter le puede engaar slo por estar en su presencia,
lo que le permite dar una buena descripcin de l despus o incluso llamar a los polic
ias si
capturar el ardid suficiente antelacin.
Los ingenieros sociales normalmente evitar ese riesgo como a la peste. A veces,
sin embargo,
el riesgo es necesaria y justificada por la recompensa potencial.
Historia de Jessica
Jessica Andover estaba sintiendo muy bien acerca de cmo obtener un trabajo con un
fraude robtica
empresa. Sin duda, era slo una puesta en marcha y no podan pagar mucho, pero fue
pequeos, las personas eran amistosas, y exista la emocin de saber que le
las opciones sobre acciones slo podra resulto que su rico. Vale, tal vez no es un
millonario
como la empresa fundadores sera, pero es lo suficientemente ricas.
Que fue cmo sucedi que Rick Daggot consigui una brillante sonrisa cuando l
Entr en el vestbulo este martes por la maana en agosto. En su cara - buscando
traje (Armani) y su pesado oro-reloj (un Rolex Presidente), con su
Corte de pelo inmaculado, tuvo ese mismo aire varonil, segura de s misma que haba
impulsado a todos
el loco de las nias cuando Jessica estaba en la escuela secundaria.
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'h'.
Sonrisa de Jessica desapareci. \"Larry?\", dijo. \"Larry de vacaciones toda la se
mana.\" \"Tengo
una cita con l en 1. Slo vol en de Louisville para satisfacer
con \"l, dijo Rick, atrajo a su Palm, volvi, y le mostr.
Ella Mir y dio un pequeo batido de su cabeza. \"XX\", dijo. \"Esa es la
prxima semana.\" Tom la palmtop de vuelta y lo mir. \"Oh, no!\" l gimi. \"ME
no puede creer lo que un error estpido que hice\".
There was an error deserializing the object of type System.String. Encountered u
nexpected character 's'.
l.
Mientras que hizo la llamada telefnica, Rick le confes que l y Larry haban arreglado
para
establecer una alianza estratgica de comercializacin. Empresa de Rick estaba produ
ciendo productos para
la fabricacin y la lnea de montaje, elementos que se complementan perfectamente
su nuevo producto, el C2Alpha. Productos de Rick y la C2Alpha juntos sera
hacer una solucin slida que abrira mercados industriales importantes para ambos
empresas.
Cuando Jessica haba terminado de hacer su reserva en un vuelo por la tarde tarde,
Rick
dijo, \"Bueno, al menos yo pude hablar con Steve si ste est disponible\". Pero Ste
ve, el
empresa de VP y cofundador, estaba tambin fuera de la Oficina.
Rick, ser muy amistosa a Jessica y coquetear un poco, slo entonces sugiri, como
mientras estaba all y no era su casa de vuelo hasta el final de la tarde, que le
gustara
tomar algunas de las personas claves para almorzar. Y agreg, \"incluyendo, por su
puesto-hay alguien que puede llenar para usted a medioda.
Vaciados en la idea de ser incluido, pregunt Jessica, \"quien desea
vienen?\" Se aprovechado nuevamente su palmtop y nombrado unos pocos--dos ingeni
eros
de r
proyecto. Rick sugerido ella decirles acerca de su relacin con la empresa,
y que tena como introducir a s mismo a ellos. Nombrado el mejor restaurante de
la zona, un lugar donde Jessica haba siempre quera ir y dice que se reserva el

tabla a s mismo, de 12:30 y llamara a volver ms tarde en la maana para asegurarse de


todo estaba listo.
Cuando se reunieron en el restaurante--cuatro de ellos adems de Jessica su tabla
no estaba listo todava, por lo que se asentaron en el bar, y Rick dej en claro que
las bebidas y
almuerzo eran sobre l. Rick era un hombre con estilo y clase, el tipo de persona
que
te hace sentir cmodo desde el principio, del mismo modo que se siente con
alguien que has conocido durante aos. Siempre pareca saber slo lo correcto
decir, tuvo un comentario animado o algo gracioso cuando la conversacin
se qued y te hizo sentir bien acaba de ser alrededor de l.
Comparti slo suficientes detalles acerca de los productos de la propia empresa que
podan
enVision el conjunto solucin que pareca tan animado acerca de marketing. Nombrado
varias compaas de Fortune 500 que su empresa ya venda, hasta todo el mundo
en la mesa comenz a imagen de su producto, convirtindose en un xito desde el da en e
l
primeras unidades rod fuera de la fbrica.
A continuacin, Rick camin a Brian, uno de los ingenieros. Mientras los dems charlam
os
entre ellos, Rick comparti algunas ideas privadamente con Brian y lo llev
cabo acerca de las caractersticas nicas de la C2Alpha y configurarlo aparte de nad
a
la competencia tuvo. Descubri sobre un par de caractersticas que la empresa fue
menospreciando a Brian estaba orgulloso de y pensaba realmente \"limpio\".
Rick trabaj su camino a lo largo de la lnea, charlando tranquilamente con cada uno
. La comercializacin
chico estaba feliz por la oportunidad de hablar acerca de la fecha de puesta en
marcha y planes de marketing.
Y el contador de bean sac un envolvente de su bolsillo y escribi detalles
del material y los costes de fabricacin, precio y mrgenes esperados, y
Qu tipo de acuerdo estaba tratando de averiguar con cada uno de los vendedores, qu
e
mencionadas por su nombre.
Por el momento su mesa estaba listo, Rick haba intercambiado ideas con todo el mu
ndo y
haba ganado admiradores a lo largo de la lnea. Al final de la comida, cada uno de
ellos sacudi
manos con Rick en activar y le dio gracias. Rick tarjetas intercambiadas con
cada y menciona de pasada a Brian, el ingeniero, que quera tener un
largo debate como Larry volvi.
Al da siguiente Brian recogi su telfono para encontrar que el llamador era Rick,
Quin dijo que l slo haba terminado hablando con Larry. Podr venirvolver sobre
El lunes a trabajar en algunos de los detalles con l,\"dijo Rick\"y quiere
me la velocidad de su producto. Dijo que se deben enviar por correo electrnico lo
s ltimos diseos
y especificaciones para l. l podr escoger las piezas que l me quiere y reenviarlos
a m\".
El ingeniero dijo que estara bien. Bueno, respondi Rick. Continu, \"Larry
quera saber que l est teniendo un problema recuperar su correo electrnico. En lugar
de
enviar las cosas a su cuenta regular, arregl con el negocio del hotel
Centro para configurar una cuenta de correo de Yahoo para l. Dice que debe enviar
los archivos
a larryrobotics@yahoo.com\".
El siguiente lunes por la maana, cuando Larry entraba a la Oficina en busca
bronceado y relajado, Jessica fue preparada y con ganas de gush sobre Rick. \"Lo
que un
tipazo. Tom un montn de nosotros a la incluso me comida,\". Larry pareca confundido
.

Rick? Quin Diablos es Rick?


There was an error deserializing the object of type System.String. Encountered u
nexpected character '\"'.
There was an error deserializing the object of type System.String. Encountered u
nexpected character '\"'.
conocer cualquier Rick...\"
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following derecho?\"
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following que estn haciendo. Y todo el mundo que estaba en ese almuerz
o. Incluso le\".
Se sentaron alrededor de una mesa en un Estado de nimo sombro, apenas hablando. La
rry caminaba
se sent y dijo, \"no s alguien llamado Rick. No tengo una nueva
socio de negocios que he sido mantener secreto de todos ustedes. Que tendra
pensamiento era evidente. Si hay un bromista prctico, en medio de nosotros, yo qu
era hablar
hasta ahora.\"
No un sonido. La habitacin pareca estar creciendo ms oscuro momento por momento.
Finalmente habla de Brian. \"Por qu no dices algo cuando te envi
ese correo electrnico con las especificaciones del producto y cdigo fuente?\"
Qu correo electrnico?
Brian reforzadas. \"Oh... mierda!\"
Cliff, el otro ingeniero, repicaron pulg \"nos dio todas las tarjetas de negocio
s. Slo necesitamos
para llamarlo y ver lo que va la campana\".
Brian sac su palmtop, llamado una entrada y scooted el dispositivo
en la tabla a Larry. Todava esperando contra esperanza, todos miraron como si
Hechizada mientras que Larry marcado. Despus de un momento, apualado el altavoz
botn y todos escucharon una seal de ocupado. Despus de probar el nmero varias veces
durante un perodo de veinte minutos, un frustrado Larry marcado el operador para
pedir
una interrupcin de emergencia.
Unos instantes ms tarde, el operador volvi sobre la lnea. Ella dijo en una
tono desafiante, \"Sir, donde obtendr este nmero?\" Larry le dijo que era en
la tarjeta de presentacin de un hombre que necesitaba urgentemente en contacto co
n. El operador, dijo, \"lo siento. Es un telfono de prueba de empresa. Siempre su
ena ocupado.\"
Larry comenz a hacer una lista de informacin que haba sido compartida con Rick. El
imagen no era bastante.
Dos policas detectives llegaron y tomaron un informe. Despus de escuchar la histor
ia,
seal que ningn crimen de Estado han cometido; no haba nada que pudiera
hacer. Aconsejaron Larry ponerse en contacto con el FBI, ya que tienen jurisdicc
in sobre
los delitos de comercio interestatal. Cuando el ingeniero le preguntaron a Rick
Daggot
para reenviar los resultados de la prueba por tergiversar a s mismo, puede haber
cometido un
delito federal, pero Rick tendra que hablar con el FBI para averiguar.
Tres meses que ms tarde Larry fue en su cocina leyendo la maana documento
Desayuno y casi se derrama su caf. La cosa haba sido dreading desde l
primero haba odo sobre Rick haba hecho realidad, su peor pesadilla. All estaba en
blanco y negro, en la portada de la seccin de negocios: una empresa que nunca lo
hara
escuchado estaba anunciando el lanzamiento de un nuevo producto que sonaba exact
amente igual
el C2Alpha su compaa haba estado desarrollando durante los ltimos dos aos.
A travs del engao, estas personas le haban golpeado al mercado. Su sueo fue destruid
a.

Pierde millones de dlares invertidos en investigacin y desarrollo. Y l


probablemente no se ha podido demostrar una sola cosa contra ellos.
Historia de Sammy Sanford
Lo suficientemente inteligente como para estar ganando un gran sueldo en un trab
ajo legtimo, pero torcido prefieren ganarse la vida como un estafador, Sammy Sanf
ord haba hecho muy bien
a s mismo. En el tiempo lleg a la atencin de un espa que haba sido forzado a principi
os
retiro debido a un problema de beber; amargado y vengativo, el hombre haba
encontr una manera de vender los talentos que el Gobierno lo haba convertido en un
experto en.
Siempre en busca de personas que podra utilizar, haba manchado a Sammy el primero
tiempo que se conocieron. Sammy haba encontrado fcil y muy rentable, a cambiar su
foco
de levantar dinero para levantar secretos de empresa.
Mayora de la gente no tendra las agallas para hacer lo que hago. Tratar de engaar a
las personas sobre telfono o por Internet y nadie nunca llegue a verte. Pero nin
gn bien con
el hombre, el tipo anticuado, cara a cara (y hay muchas de ellas an
alrededor, ms de lo que pensara) puede usted mirar a los ojos, decirte un whopper,
y llegar a creerlo. He conocido un fiscal o dos que piensan que de
Penal. Creo que es un talento.
Pero usted no puede ir caminando en ciega, tienes cosas de tamao primero. Una cal
le con,
puede tomar la temperatura de un hombre con un poco de conversacin amigable y par
de
sugerencias cuidadosamente redactadas. Obtener las respuestas adecuadas y Bingo!
--ha empaquetado
una paloma.
Un trabajo de la empresa es ms parecido a lo que llamamos una gran estafa. Tienes
el programa de instalacin Cules son sus botones, averiguar lo que quieren. Lo que
necesitan. Plan de un
ataque. Ser paciente, hacer sus deberes. Averiguar el papel que vas a jugar
y aprender de sus lneas. Y no caminar en la puerta hasta que est listo.
Pas mejor que tres semanas conseguir acelerar para ste. El cliente dio
me una sesin de dos das en lo que debo decir \"mi\" empresa hizo y cmo
describir por qu iba a ser esa una buena conjunta comercializacin Alianza.
A continuacin, tengo suerte. Llam a la empresa y dijo que yo era de una firma de c
apital riesgo
estbamos interesados en establecer una reunin y qued malabarismo horarios a
encontrar un momento cuando todos nuestros socios estara disponibles en algn momen
to en los prximos
par de meses, y fue all cualquier ranura de tiempo debo evitar, cualquier perodo c
uando
Larry no iba a ser en la ciudad? Y ella dijo: s, que no tena ningn tiempo
en los dos aos desde que iniciaron la empresa pero su esposa se lo arrastr
en unas vacaciones de golf la primera semana de agosto.
Fue de slo dos semanas. Yo poda esperar.
Mientras tanto una industria revista me dio el nombre de compaa de PR la empresa.
ME
dijo que me ha gustado mucho la cantidad de espacio que estaban recibiendo para
su empresa de robtica
cliente y yo quera hablar con quien era manejar esa cuenta sobre manejo
mi empresa. Result para ser una enrgica joven que le gustaba la idea de ella
podra ser capaz de poner en una cuenta nueva. Durante un almuerzo caro con una be
bida ms
que realmente quera, ella hizo su mejor para convencerme de que eran AH, tan buen
os
comprender los problemas del cliente y encontrar las soluciones adecuadas de PR.
Jugu

difcil de convencer. Necesitaba algunos detalles. Con un poco de insistencia, por


el momento la
placas fueron siendo despejados ella me haba dicho ms sobre el nuevo producto y la
problemas de la empresa que yo podran haber esperado.
La cosa fue como un reloj. La historia acerca de ser tan avergonzado que el
reunin fue la semana que viene, pero tambin podra satisfacer el equipo mientras est
oy aqu, el
recepcionista se trag todo. Incluso senta perdn para m en la negociacin. El
almuerzo retroceder me todos $150. Con la punta. Y tuve lo que necesitaba. Telfon
o
nmeros, ttulos de trabajo y uno muy clave chico que crea que era quien dijo que yo
era.
Brian tena me engae, lo reconozco. Pareca como el tipo de chico que sera simplemente
por correo me nada ped. Pero l sonaba como l fue frenando un poco cuando me
trajo el tema. Vale la pena esperar lo inesperado. Esa cuenta de correo electrnic
o en
Nombre de Larry, lo tena en mi bolsillo por si acaso. La gente de seguridad de Ya
hoo
probablemente todava sentado all esperando alguien utilizar la cuenta de nuevo tan
le puede rastrear. Tendrn una larga espera. La seora gorda ha cantado. Estoy fuera
de
otro proyecto.
Analizando el timo
Cualquier persona que trabaja en un cara a cara con tiene que ocultar a s mismo e
n un aspecto que le hacen aceptable para la marca. l mismo voy a poner juntos una
forma de aparecer en
la pista de carreras, otro que aparezca en un abrevadero local, todava otro para
un
barra de lujo en un hotel de lujo.
Es la misma forma con el espionaje industrial. Un ataque puede pedir un traje y
corbata
y un maletn costoso si el espionaje es hacindose pasar por un ejecutivo de una est
ablecidos
firma, un consultor o un representante de ventas. En otro trabajo, tratando de p
asar como un software
Ingeniero, una persona tcnica o alguien de la sala de correo, la ropa, la
uniforme--la mirada toda sera diferente.
Para infiltrarse en la empresa, l saba que el hombre que se llama a s mismo Rick Da
ggot
haba para proyectar una imagen de confianza y competencia, respaldados por un exh
austivo
conocimiento del producto y la industria de la empresa.
No mucha dificultad poniendo sus manos sobre la informacin que necesitaba de ante
mano.
Ide un ardid fcil para averiguar cundo el CEO sera lejos. Un pequeo
desafo, pero todava no muy dura, era averiguar detalles suficientes sobre la
proyecto que l podra sonar \"en el interior\" sobre lo que estaban haciendo. A men
udo
Esta informacin se conoce a varios proveedores de la empresa, as como los inversor
es,
los capitalistas de riesgo que han abordado acerca de recaudar dinero, su banque
ro, y
su bufete. El atacante tiene que tener cuidado, aunque: encontrar a alguien que
lo ver
parte con conocimiento de informacin privilegiada puede ser complicadas, pero int
entaba dos o tres fuentes hasta alguien que puede ser exprimido para informacin c
orre el riesgo de que la gente va
capturar el juego. De este modo encuentra en peligro. El Rick Daggots la necesid
ad del mundo
Escoja con cuidado y pisan cada ruta de informacin slo una vez.

El almuerzo fue otra propuesta pegajosa. En primer lugar, existe el problema de


organizar cosas as tendra slo unos minutos con cada persona, de
odo de los dems. Dijo Jessica 12:30, pero reserv la mesa a 13, en un
lujo, tipo de cuenta de gastos del restaurante. Esperaba que significara que sera
tienen que tener bebidas en el bar, que es exactamente lo que sucedi. Un perfecto
oportunidad de moverse y charlar con cada individuo.
Todava, hay tantas maneras de que un error--una respuesta equivocada o un descuid
o
observacin podra revelar Rick ser un impostor. Slo un supremamente confiado y astut
o
espionaje industrial se atreven tendra una oportunidad de exponer a s mismo de est
e modo. Pero los aos
de trabajo las calles como una confianza hombre haba construido habilidades de Ri
ck y dado
l la confianza de que, aunque hizo un lapsus, sera capaz de cubrir bien
suficiente para calmar las sospechas. Este fue el ms difcil, ms peligrosa
tiempo de toda la operacin y el jbilo que sinti poner fuera un aguijn como este
le hizo darse cuenta por qu l no tena que conducir coches rpidos o paracaidismo o en
gaar a su
esposa--obtuvo un montn de emocin simplemente haciendo su trabajo. Cuntas personas,
l
se pregunta, podra decir tanto?
MENSAJE DE MITNICK
Mientras que la mayora de los ataques de ingeniera social se produce sobre el telfo
no o el correo Suponga que un atacante negrita nunca aparecern en persona en su n
egocio. En la mayora
casos, el impostor utiliza algn tipo de ingeniera social para obtener acceso a un
edificio despus de falsificacin de una insignia de empleado usando un comnmente dis
ponibles
programa de software como Photoshop.
Qu pasa con las tarjetas de negocios con la compaa telefnica prueba lnea? La televisin
Mostrar The Rockford Files, que fue una serie acerca de un investigador privado,
ilustra una tcnica inteligente y un poco de humor. Rockford (interpretado por el
actor
James Garner) tena una mquina de impresin de tarjetas porttil en su coche, que l
utilizado para imprimir una tarjeta adecuada sea cual sea la ocasin peda. Estos
das, un ingeniero social puede obtener tarjetas impresas en una hora en cualquier
copia
almacenar o imprimir en una impresora lser.
NOTA
John Le Carre, autor de The Spy Who Came en el fro, un espa perfecto,
y muchos otros libros notables, que creci como el hijo de un pulido, participacin
permanente puede hombre. Le Carre fue golpeado como una jovencita para descubrir
, con xito
como su padre era en engaar a otros, tambin fue crdulo, una vctima ms de una vez
a otro con hombre o mujer. Que slo viene a demostrar que todo el mundo corre el r
iesgo de
adoptando un ingeniero social, incluso otro ingeniero social.
Qu lleva a un grupo de hombres inteligentes y las mujeres a aceptar a un impostor?
Tenemos el tamao situacin por instinto e intelecto. Si la historia aade arriba--es
el intelecto
parte--y un estafador consigue proyectar una imagen creble, estamos dispuestos ge
neralmente
para bajar la guardia. Es la imagen creble que separa una con xito
hombre o ingeniero social de uno que rpidamente terrenos tras las rejas.
Pregntese: seguro que soy yo que no caera nunca para una historia como la de Rick?
Si
Usted puede estar seguro que no, pregntese si alguna vez alguien ha puesto nada
ms sobre usted. Si la respuesta a esta segunda pregunta es afirmativa, es probabl
emente la correcta

respuesta a la primera pregunta, as.


LEAPFROG
Un desafo: el siguiente relato no implican espionaje industrial. Como usted
leer, ver si se puede entender por qu he decidido ponerlo en este captulo!
Harry Tardy atrs viva en su casa, y fue amargo. Los Marines haban
pareca un gran escape hasta l lavado de boot camp. Ahora tena
regres a la ciudad natal de odiaba, estaba tomando cursos de informtica en el loca
l
community college\"y buscando una forma de huelga en el mundo.
Finalmente consigui un plan. Sobre cervezas con un chico en una de sus clases, ha
ba sido
quejndose de su instructor, un sarcstico sabemos todo y juntos se
cocinado un plan perverso para grabar el tio: agarra el cdigo fuente de un
popular asistente personal digital (PDA) y envi al instructor
equipo y asegrese de dejar un rastro, por lo que la empresa podra pensar la
instructor era el malo.
El nuevo amigo, Karl Alexander, dijo que \"saba algunos trucos\" y dira
Harry cmo llevar esta. Obtener rido lejos con ella.
Haciendo sus deberes
Una pequea investigacin inicial mostr Harry que el producto ha sido diseado en el
Centro de desarrollo ubicado en la sede del fabricante de PDA extranjero.
Pero tambin fue un r
sealado, porque el intento de trabajar tiene que haber alguna compaa
instalaciones en los Estados Unidos que tambin necesita acceso al cdigo fuente.
En ese momento Harry estaba listo para llamar al centro de desarrollo de ultrama
r. Aqu es
Cuando lleg una peticin de simpata, el \"Oh, querida, estoy en problemas, necesito
ayuda,
por favor, por favor, aydame.\" Naturalmente, el motivo fue un poco ms sutil que e
so. Karl
escribi en una secuencia de comandos, pero Harry sonaba completamente falso trata
ndo de leerlo. En
final, practic con Karl para decirnos lo que necesitaba en una conversacin
tono.
Lo que Harry finalmente dijo, con Karl sentado a su lado, pas algo parecido a est
o:
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following todo departamento. Hemos tenido que instalar el sistema ope
rativo nuevo y cuando
fuimos a restaurar de copia de seguridad, ninguna de las copias de seguridad fue
bueno. Adivina quien
iba a estar revisando la integridad de las copias de seguridad? Tuyo realmente. P
or eso estoy
obtener grit a mi jefe, y gestin es en armas que hemos perdido el
datos. Mira, necesito tener la revisin ms reciente del rbol de cdigo fuente tan rpida
como
Puedes. Necesito a gzip el cdigo fuente y enviar a m.\"
En este punto Karl l garabate una nota, y Harry le dijo al hombre en el otro extre
mo
del telfono que l slo quera transferir el archivo internamente, a Minneapolis
R
estaba claro que slo se haba pedido para enviar el archivo a otra parte de la
empresa, su mente estaba a gusto--lo que podra ser malo?
JERGA
GZIP a archivos en un nico archivo comprimido mediante una utilidad de Linux GNU.
Acord gzip y enviarlo. Paso a paso, con Karl en su codo, Harry habl
all el hombre a travs de introduccin sobre el procedimiento para comprimir la enorm
e
cdigo fuente en un archivo nico, compacto. Tambin le dio un nombre de archivo para
utilizar en

el archivo comprimido, \"DatosNuevos\", explicando que este nombre evitara cualqu


ier
confusin con sus viejos archivos daados.
Karl tuvo que explicar el siguiente paso dos veces antes de que Harry lo consigu
i, pero fue fundamental el jueguito de leapfrog Karl haba soado. Harry fue a llamar
a r
Minneapolis y alguien diga que \"quiero enviar un archivo a usted y luego me
desea enviar algn otro sitio para m \", por supuesto todos vestidos con
razones que haran todo suenan plausibles. Lo que confunde Harry fue esto: l
iba a decir \"Me voy a enviarle un archivo,\" cuando no iba a ser
Harry enviar el archivo a todos. Tuvo que hacer el chico estaba hablando con en
el
R
realmente va a recibir es el archivo de cdigo fuente propietaria desde Europa. \"
Por qu
le cuento viene de m cuando realmente es procedentes de ultramar?\"
Harry quera saber.
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following l slo est haciendo un favor a un compaero empleado aqu en los Es
tados Unidos, obteniendo un archivo usted y luego reenviarlo slo para usted.
Harry finalmente entendido. Llam a la r
recepcionista para conectarlo con el centro de cmputo, donde pidi hablar con un
operador de equipo. Un chico entr en la lnea que sonaba tan joven como Harry
a s mismo. Harry lo salud, explic que estaba llamando desde el Chicago
fabricacin de divisin de la empresa y que tena este archivo haba estado tratando
enviar a uno de sus socios trabajando en un proyecto con ellos, pero, dijo, \"no
s has
tengo este problema de enrutador y no llegue a su red. Me gustara transferir el a
rchivo a
usted, y despus de recibirla, voy telfono te lo puedo guiarte a travs de
transferencia a equipo de compaero.
Hasta ahora, bien. Harry luego pidi al joven si su equipo centro
tena una cuenta FTP annima, una instalacin que permite transferir archivos en
y de un directorio donde no es necesaria ninguna contrasea. S, un FTP annimo
estaba disponible, y le dio a Harry la direccin de protocolo de Internet (IP) int
erna para
llegar a l.
JERGA
Programa FTP annimo que proporciona acceso a un equipo remoto incluso
Aunque no tienes una cuenta utilizando el Protocolo de transferencia de archivos
(FTP).
Aunque puede acceder sin contrasea, generalmente usuario - FTP annimo
derechos de acceso a determinadas carpetas estn restringidos.
Con esa informacin en mano, Harry llamado el centro de desarrollo
extranjero. Ya estaba listo el archivo comprimido, y Harry le dio las instruccio
nes
para transferir el archivo al sitio FTP annimo. En menos de cinco minutos, el
archivo de cdigo fuente comprimida fue enviado al kid en la r
Configuracin de la vctima
A mitad de camino a la meta. Ahora Harry y Karl tuvieron que esperar para asegur
arse de que el archivo llegaron antes de continuar. Durante la espera, caminaron
a travs de la sala a la
escritorio del instructor y cuidaba de dos otras medidas necesarias. En primer l
ugar establecieron un
servidor FTP annimo en su mquina, que servira como un destino para
el archivo en la ltima etapa de su plan.
El segundo paso proporciona una solucin para un problema complicado lo contrario.
Claramente que
no poda decirle a su hombre en la r
decir, warren@rms.ca.edu. El dominio \".edu\" sera un regalo muerto, desde

cualquier chico despierta medio equipo reconocera como la direccin de una escuela,
inmediatamente soplando toda la operacin. Para evitar esto, se fueron en Windows
el equipo del instructor y busc una direccin IP de la mquina,
dara como direccin de envo del archivo.
Por aquel entonces era tiempo para volver a llamar al operador del equipo en la
r
lo consigui en el telfono y dijo, \"simplemente transferir el archivo que habl con
usted
acerca de. Puede comprobar que se recibi\"
S, haba llegado. Harry luego le ped que intente reenviarlo y le dio el
Direccin IP. Permaneci en el telfono, mientras que el joven hizo la conexin
comenz a transmitir el archivo y miraron con grandes muecas de en toda la
el espacio como la luz del disco duro del equipo del instructor blinked y
Blinked--ocupado recibiendo la descarga.
Harry intercambiaron un par de comentarios con el tio acerca de cmo tal vez un da
equipos y perifricos seran ms fiables, le agradecieron y dijo
Adis.
Los dos copi el archivo desde la mquina del instructor en un par de discos Zip, un
o
para cada uno de ellos, tan podran mirarlo ms tarde, como el robo de una pintura d
e un
Museo que puede disfrutar pero no se atreven a mostrar a sus amigos. Excepto,
en este caso, era ms como haban tomado un duplicado original de la pintura,
y el Museo todava tena su propia original.
Karl entonces habl Harry a travs de los pasos de quitar el servidor FTP de la
de instructor mquina y borrar la auditora camino por lo que no habra ninguna eviden
cia de
lo que haban hecho--el archivo robado, izquierdo donde se encuentra fcilmente.
Como paso final, que exponen una seccin del cdigo fuente en Usenet directamente de
sde
equipo del instructor. Slo una seccin, por lo que no hacen ningn dao gran
a la empresa, pero deja claras pistas directamente hacia el instructor. l sera
tienen algunos difcil explicar que hacer.
Analizando el timo
Aunque le cost la combinacin de una serie de elementos para hacer esta escapada
trabajo, no habra podido sin algunas habilidades ful playacting de apelacin
por simpata y ayuda: estoy recibiendo grit a mi jefe y administracin est en
armas y as sucesivamente. Que, combinado con una punta explicacin de cmo el hombre
en
el otro extremo del telfono podra ayudar a resolver el problema, resultado para se
r un
con poderosamente convincente. Trabaj aqu y ha trabajado en muchas otras ocasiones
.
El segundo elemento fundamental: el hombre que entiende el valor del archivo fue
pedido enviar a una direccin dentro de la empresa.
Y la tercera pieza del rompecabezas: el operador del equipo pudieron ver que el
archivo
haba sido trasladado a l desde dentro de la empresa. Que slo podra significar--o
por lo que pareca--que el hombre que envi a l pudo l haber enviado a la
destino final si slo haba trabajado su conexin de red externa. Qu
posiblemente podra ser malo le ayuda mediante el envo de l?
Pero por qu tener el archivo comprimido le asigna un nombre diferente? Aparentemen
te
un elemento pequeo, pero importante. El atacante no poda permitirse tomar una opor
tunidad
del archivo que llegan con un nombre que lo identifique como cdigo fuente, o rela
cionadas con
el producto. Una solicitud para enviar un archivo con un nombre que fuera de la
empresa
podra haber parti de alarma. Tener el archivo re-etiquetados con un nombre inocuo

fue crucial. Como elaborado por los atacantes, el segundo joven no tena
reparo en enviar el archivo fuera de la empresa; un archivo con un nombre como n
uevo
datos, no dar ninguna pista sobre la verdadera naturaleza de la informacin, difcil
mente hara
lo sospechoso.
MITNICK MESSGAE
La regla subyacente que cada empleado debe haber plantado firmemente en su
cerebro: excepto con la aprobacin de la administracin, no transferir archivos a pe
rsonas que no
conocer personalmente, incluso si el destino parece estar dentro de su empresa
red interna.
Finalmente, usted averigua lo que est haciendo esta historia en un captulo sobre i
ndustrial
espionaje? Si no, aqu est la respuesta: lo que hicieron estos dos estudiantes como
un malintencionado
broma podra fcilmente haber hecho por un espa industrial profesional,
quizs en el pago de un competidor, o quiz en la paga de un gobierno extranjero.
De cualquier manera, el dao podra haber sido devastador para la empresa, severamen
te
erosionando las ventas de su nuevo producto, una vez alcanzado el producto compe
titivo el
mercado.
Con qu facilidad el mismo tipo de ataque se pudo realizar contra su empresa?
PREVENIR LA CON
Espionaje industrial, que ha sido durante mucho tiempo un desafo para las empresa
s, tiene ahora
convertido en el pan y la mantequilla de espas tradicionales que han centrado sus
esfuerzos en
obtencin de secretos de la compaa por un precio, ahora que ha terminado la guerra f
ra. Extranjeros
los gobiernos y las empresas estn usando ahora espas industriales autnomos para rob
ar
informacin. Las empresas nacionales tambin contratan agentes de informacin que cruz
an el
lnea en sus esfuerzos para obtener inteligencia competitiva. En muchos casos son
ex espas militares convirtieron corredores de informacin industrial que tienen los
conocimientos previos y experiencia para explotar fcilmente las organizaciones, e
specialmente
aquellos que no han podido implementar salvaguardas para proteger su informacin y
educar a su pueblo.
Seguridad fuera del sitio
Lo que podra haber ayudado a la compaa que tuvo problemas con su ex situ
instalacin de almacenamiento? El peligro aqu podra haberse evitado si la compaa haba
se han cifrado de sus datos. S, el cifrado requiere tiempo extra y los gastos, pe
ro
vale el esfuerzo. Archivos cifrados deben ser spot-checked con regularidad para
ser
seguro que el cifrado y descifrado est funcionando sin problemas.
Siempre existe el peligro de que se perdern las claves de cifrado o que la nica
persona que sabe las claves se activar por un autobs. Pero el nivel de molestia pu
ede ser
minimizado y quien almacena informacin confidencial fuera del sitio con un
empresa comercial y no es el no uso de cifrado, disclpeme por ser contundente, un
a
idiota. Es como caminar por la calle en un barrio malo con veinte dlares
facturas pegado de su bolsillo, esencialmente pidiendo ser robados.
Dejando copia donde alguien poda caminar con l es un defecto comn
en seguridad. Hace varios aos, estaba empleado en una empresa que podra haber hech
o

mejores esfuerzos para proteger la informacin del cliente. Personal de la operacin


dejado a la empresa
cintas de backup fuera de la puerta de sala de equipo bloqueado por un mensajero
recoger
cada da. Nadie podra haber baj con las cintas de backup, que contena
todos de la firma word-processed documentos en texto sin cifrar. Si los datos de
copia de seguridad
cifrado, prdida del material es una molestia; Si no est cifrada--bueno, puede
enVision el impacto sobre su empresa mejor que yo.
La necesidad de las empresas ms grandes para almacenarlos confiable es prcticament
e un determinado.
Pero los procedimientos de seguridad de su empresa necesitan incluir una investi
gacin de su
empresa de almacenamiento de informacin para ver cmo conciencia son acerca de su p
ropia seguridad
las polticas y prcticas. Si no estn tan dedicados como su propia empresa, todos sus
los esfuerzos de seguridad pueden ser socavados.
Las pequeas empresas tienen una buena opcin alternativa para backup: enviar la nue
va y
cambiar archivos cada noche a una de las empresas que ofrecen almacenamiento en
lnea. Una vez ms,
es esencial que los datos se cifran. De lo contrario, la informacin est disponible
no slo a un empleado doblado en la empresa de almacenamiento de informacin, pero a
cada intruso de que puede romper los sistemas informticos de almacenamiento en ln
ea companys o red.
Y por supuesto, cuando se configura un sistema de encriptacin para proteger la se
guridad de
los archivos de copia de seguridad, tambin debe establecer un procedimiento altam
ente seguro para almacenar las claves de cifrado o las frases que se desbloquee.
Claves secretas que se utiliza para cifrar
datos deben almacenarse en una caja fuerte o caja fuerte. Necesita prctica empres
a estndar
prever la posibilidad de que el empleado en el manejo de estos datos podra repent
inamente
dejar, morir o tomar otro trabajo. Siempre debe haber al menos dos personas que
conocer el lugar de almacenamiento de informacin y los procedimientos de cifrado
y descifrado, as como polticas de cmo y cundo son claves para cambiarse. Las polticas
tambin deben exigir
que las claves de cifrado cambiarse inmediatamente a la salida de cualquier
empleados que tienen acceso a ellos.
Que es eso?
El ejemplo en este captulo de un ingenioso estafador que utiliza el encanto para
obtener empleados
compartir informacin refuerza la importancia de la verificacin de identidad. El
solicitud de cdigo de origen reenva a un sitio FTP tambin apunta a la
importancia de conocer a su solicitante.
En el captulo 16 encontrar polticas especficas para verificar la identidad de cualqu
ier
desconocido que se hace una solicitud de informacin o una solicitud que alguna ac
cin
tomado. Hemos hablado de la necesidad de verificacin en todo el libro; en
Captulo 16 obtendr informacin especfica de cmo debe hacerse.
Parte 4
Elevar el nivel
Captulo 15
Formacin y sensibilizacin de seguridad de informacin
Un ingeniero social ha recibido la asignacin de obtencin de los planes para su
nuevo producto caliente fecha de estreno en dos meses.
Qu va a detenerlo?
El cortafuegos? No.

Dispositivos de autenticacin fuerte? No. Sistemas de deteccin de intrusiones? No. Cif


rado?
Lol
Acceso limitado a los nmeros de telfono para mdems de acceso telefnico? Lol
Cdigo nombres de servidores que hacen difcil para un forastero a determinar que
servidor puede contener los planes de producto? Lol
La verdad es que no hay ninguna tecnologa en el mundo que puede evitar una social
Ingeniera de ataque.
SEGURIDAD A TRAVS DE TECNOLOGA, CAPACITACIN, Y
PROCEDIMIENTOS
Las empresas que realizan pruebas de penetracin de seguridad un informe que sus i
ntentos de
entrar en el equipo cliente de empresa son sistemas por mtodos de ingeniera social
casi 100 por ciento exitosa. Tecnologas de seguridad pueden hacer estos tipos de
ataques ms difciles eliminando personas desde la toma de decisiones.
Sin embargo la forma slo verdaderamente eficaz para mitigar la amenaza de la inge
niera social
es mediante el uso de las tecnologas de seguridad combinadas con las polticas de s
eguridad que
establecer reglas de comportamiento del empleado y adecuada educacin y formacin
para los empleados.
Hay slo una forma de mantener sus planes de producto seguro y que es por tener un
capacitado y consciente y una fuerza de trabajo concienzudo. Esto implica la for
macin en el
polticas y procedimientos, sino tambin--y probablemente an ms importante--un curso
programa de sensibilizacin. Algunas autoridades recomiendan que 40 por ciento de
la empresa
presupuesto global de seguridad orientarse a la formacin de la conciencia.
El primer paso es hacer que todos en la empresa sabe que sin escrpulos
personas existen que utilizar engao para manipularlos psicolgicamente.
Empleados deben ser educados acerca de qu informacin necesita ser protegida, y
Cmo protegerla. Una vez las personas tienen una mejor comprensin de cmo se pueden
manipulados, estn en una posicin mucho mejor para reconocer que es un ataque
en marcha.
Conciencia de seguridad tambin significa educar a todos los miembros de la empres
a en el
las polticas de seguridad y procedimientos de la empresa. Como se explica en el c
aptulo 17, polticas
son las normas necesarias para orientar el comportamiento de los empleados para
proteger la informacin sistemas e informacin confidencial.
En este captulo y el siguiente proporcionan un plan de seguridad que podra ahorrar
desde los ataques costosos. Si no tienes empleados capacitados y alertas tras bi
en
procedimientos pensados, no es una cuestin de si, pero cuando pierdes valiosos
informacin a un ingeniero social. No esperen que suceda antes de un ataque
establecimiento de estas polticas: podra ser devastador para su negocio y su
bienestar de los trabajadores.
COMPRENDER CMO LOS ATACANTES APROVECHAN DE
NATURALEZA HUMANA
Para desarrollar un programa de capacitacin exitoso, tienes que entender por qu la
s personas son
vulnerables a ataques en primer lugar. Mediante la identificacin de estas tendenc
ias en su
formacin--por ejemplo, por llamar la atencin sobre ellos en discusiones de rol-Usted puede ayudar a sus empleados a entender por qu nos podemos todos ser manipu
lados por
ingenieros sociales.
Manipulacin ha sido estudiado por los cientficos sociales durante al menos cincuen
ta aos. Robert
B. Cialdini, escrito en Scientific American (febrero de 2001), resumi esta

investigacin, presentando seis \"bsicas tendencias de la naturaleza humana\" que p


articipan en
un intento de obtener el cumplimiento de una solicitud.
Estas seis tendencias son aquellas que dependen de los ingenieros sociales (cons
cientemente o, ms
a menudo, inconscientemente) en sus intentos de manipular.
Autoridad
Las personas tienen una tendencia a cumplir cuando se realiza una solicitud por
una persona en
autoridad. Como hemos comentado en otros lugares en estas pginas, una persona pue
de ser convencida cumplir con una peticin si cree que el solicitante es una perso
na de autoridad
o una persona que est autorizada para realizar dicha solicitud.
En su libro influencia, Dr. Cialdini escribe de un estudio en tres Midwestern
hospitales en que veintids separar estaciones de enfermeras fueron contactados po
r un llamador
que pretenden ser un mdico del hospital y dio instrucciones para administrar una
medicamentos recetados a un paciente en la sala. Las enfermeras que recibieron e
stos
instrucciones no saba el llamador. An no saban si era
realmente un mdico (que no era). Recibieron las instrucciones para la prescripcin
por
Telefnica, que era una violacin de la poltica de hospital. La droga a que se les di
jo
administrar no estaba autorizado para su uso en los barrios y la dosis que les d
ijeron
para administrar fue dos veces la dosis diaria mxima y as podra tener
en peligro la vida del paciente. Sin embargo, en el 95 por ciento de los casos,
Cialdini
se inform, \"la enfermera procedi a obtener la dosis necesaria del ward
Gabinete de medicina y estaba en su camino para administrar al paciente \"antes
de ser
interceptado por un observador y dijo del experimento.
Ejemplos de ataques: un ingeniero social intenta ocultar a s mismo en el manto
autoridad diciendo que l est con el departamento de TI, o que l es un
Ejecutivo u obras para un ejecutivo en la empresa.
Gusto
La gente tiene la tendencia a cumplir cuando la persona hace una solicitud ha si
do
poder establecerse como agradable, o tener intereses similares, creencias, y
actitudes como la vctima.
Ejemplos de ataques: a travs de la conversacin, el atacante logra aprender un
pasatiempo o inters de la vctima y reclama un inters y entusiasmo por la
misma aficin o inters. O l puede aspirar a ser el mismo Estado o escolar, o
tener objetivos similares. El ingeniero social intentar imitar el
comportamientos de su destino para crear la apariencia de similitud.
Reciprocidad
Automticamente podemos cumplir con una peticin cuando hemos recibido o
prometi algo de valor. El regalo puede ser un elemento material, o Consejo, o ayu
da.
Cuando alguien ha hecho algo para TI, sientes una inclinacin a
corresponder. Esta fuerte tendencia a corresponder existe incluso en situaciones
donde
la persona que recibe el regalo no ha pedido. Una de las formas ms eficaces
influenciar a la gente a hacer de nosotros un \"favor\" (cumplir con la peticin)
est dando algn regalo
asistencia de r que constituye una obligacin subyacente.
Miembros de la secta religiosa Hare Krishna fueron muy efectivos para influir en
personas a donar a su causa, primero dndoles un libro o una flor como un regalo.
Si

el receptor trat de devolver el regalo, el dador negara remarcando, \"es nuestro


regalo para usted\". Este comportamiento principio de reciprocidad fue utilizado
por los Krishnas
aumentar sustancialmente las donaciones.
Ejemplos de ataques: un empleado recibe una llamada de una persona que identific
a
a s mismo como desde el departamento de TI. El llamador explica que algunas empre
sa
los equipos han sido infectados con un virus nuevo no reconocido por el antiviru
s
software que puede destruir todos los archivos en un equipo y ofrece para hablar
de la persona
a travs de algunas medidas para evitar problemas. Despus de esto, el llamador soli
cita la
persona para probar una utilidad de software que slo se ha actualizado recienteme
nte para permitir
usuarios cambien las contraseas. El empleado es reacio a negarse, porque la perso
na que llama
slo se ha proporcionado la ayuda que supuestamente proteger al usuario de un virus
. l
reciproca por cumplir con la peticin del llamador.
Consistencia
La gente tiene la tendencia a cumplir despus de haber hecho un compromiso pblico o
respaldo a una causa. Una vez que hemos prometido que haremos algo, no lo hacemo
s
desea que aparezca poco fiables o indeseables y tienden a seguir a travs de
fin de ser coherentes con nuestra declaracin o promesa.
Ejemplo de ataque: el atacante pone en contacto con un empleado relativamente nu
evo y informa
de acuerdo a acatar ciertas polticas de seguridad y procedimientos como una
condicin de ser permitido el uso de sistemas de informacin de la empresa. Despus de
discutir
unas prcticas de seguridad, el llamador solicita al usuario su contrasea \"para ve
rificar
cumplimiento\"poltica sobre cmo elegir una contrasea difcil de adivinar. Una vez el
usuario
revela para que su contrasea, el llamador hace una recomendacin construir futuro
contraseas de tal manera que el atacante ser capaz de adivinar. La vctima
cumple debido a su acuerdo previo a acatar las polticas de la empresa y su
Suponiendo que el llamador simplemente es verificar su cumplimiento.
Validacin social
La gente tiene la tendencia a cumplir cuando hacerlo as parece estar en consonanc
ia con
lo que otros estn haciendo. La accin de los dems es aceptada como validacin de que l
a
comportamiento en cuestin es la accin correcta y adecuada.
Ejemplos de ataques: el llamador dice que est realizando una encuesta y otros nom
bres
personas en el departamento que afirma ya han cooperado con l. El
vctima, creyendo que la cooperacin de otros valida la autenticidad de la
solicitud, se compromete a participar. El llamador entonces pide una serie de pr
eguntas, entre
que son preguntas que atraer a la vctima a revelar su nombre de usuario del equip
o
y la contrasea.
Escasez
La gente tiene la tendencia a cumplir cuando se cree que es el objeto buscado
en definitiva suministro y otros compiten por ella, o que est disponible slo para
un
corto periodo de tiempo.

Ejemplo de ataque: el atacante enva mensajes de correo electrnico afirmando que la


s primeras 500 personas
para inscribirse en el nuevo sitio Web de la empresa ganar entradas gratis para u
n nuevo
pelcula. Cuando un empleado desprevenido se registra en el sitio, se pregunt a
proporcionar a su empresa direccin de correo electrnico y una contrasea. Muchas per
sonas,
motivado por conveniencia, tienen la propensin a utilizar la misma o similar
contrasea en cada sistema que utilizan. Aprovechando esto, la
atacante intenta comprometer el objetivo de trabajo y equipo domstico
sistemas con el nombre de usuario y la contrasea que se han introducido en la Web
proceso de registro del sitio.
CREAR PROGRAMAS DE CAPACITACIN Y SENSIBILIZACIN
Publicar un panfleto de la poltica de seguridad de informacin o dirigir a los empl
eados un
pgina de intranet que detalla las polticas de seguridad ser no, por s mismo, mitigar
el riesgo.
Todos los negocios no slo deben definir las reglas con polticas escritas, pero deb
e
hacer el mayor esfuerzo para dirigir a todos los que trabajan con informacin corp
orativa o
sistemas informticos para aprender y seguir las reglas. Adems, debe asegurarse de
que todo el mundo entiende la razn detrs de cada poltica para que las personas no
eludir la regla como una cuestin de conveniencia. De lo contrario, la ignorancia
ser siempre
ser excusa del trabajador y la vulnerabilidad precisa que los ingenieros sociale
s
explotar.
El objetivo central de cualquier programa de concienciacin de seguridad es influe
nciar a la gente a
para cambiar su comportamiento y actitudes, motivar a cada empleado que desee
chip en y hacer su parte para proteger los activos de informacin de la organizacin
. Un gran
motivacin en este caso es explicar cmo su participacin beneficiar no slo a
la empresa, pero tambin los empleados individuales. Dado que la empresa retiene
cierta informacin privada sobre cada trabajador, cuando empleados hagan su parte
para
proteger informacin o sistemas de informacin, son realmente proteger sus propios
informacin, demasiado.
Un programa de formacin de seguridad requiere un apoyo sustancial. Necesita el es
fuerzo de capacitacin
para llegar a cada persona que tiene acceso a informacin confidencial o corporati
vo
sistemas informticos, debe ser constante y debe ser revisada continuamente para a
ctualizar
personal sobre las nuevas amenazas y vulnerabilidades. Los empleados deben ver e
se senior
Administracin est plenamente comprometida con el programa. Ese compromiso debe ser
real,
no slo un memo ratificada \"damos nuestras bendiciones\". Y el programa debe
apoyarse con recursos suficientes para desarrollar, comunicar, probar y
medir el xito.
Objetivos
La orientacin bsica que debe tenerse en cuenta durante el desarrollo de un
programa de formacin y sensibilizacin de seguridad de informacin es que el programa
necesita
centrarse en la sensibilizacin de todos los empleados que su empresa podra ser
bajo ataque en cualquier momento. Deben aprender que cada empleado desempea un pa
pel en
defensa contra cualquier intento de obtener la entrada a los sistemas informticos

o a robar
datos confidenciales.
Porque muchos aspectos de la seguridad de la informacin implican tecnologa, result
a demasiado fcil
para que los empleados a pensar que se trata el problema de firewalls y otros
tecnologas de seguridad. Debe ser un objetivo primordial de la formacin crear conc
iencia en
cada empleado que son necesaria para proteger la seguridad general de la lnea del
frente
la organizacin.
Formacin en seguridad debe tener un objetivo mucho mayor que simplemente impartir
reglas. El diseador del programa de capacitacin debe reconocer la fuerte tentacin d
e la
parte de los empleados, bajo la presin de obtener sus trabajos, para pasar por al
to o ignorar
sus responsabilidades de seguridad. Conocimientos acerca de las tcticas de ingeni
era social
y cmo defenderse de los ataques es importante, pero slo ser de valor si
el entrenamiento est diseado para centrarse fuertemente en motivar empleados para
utilizar el
conocimiento.
La empresa puede contar el programa como su objetivo final si todo el mundo
completar la formacin es completamente convencido y motivado por una bsica
concepto: la seguridad de la informacin es parte de su trabajo.
Los empleados deben llegar a apreciar y aceptar que la amenaza social
ataques de ingeniera es real y que una grave prdida de sensible corporativa
informacin podra poner en peligro la empresa, as como su propio personal
informacin y puestos de trabajo. En un sentido, siendo descuidada sobre seguridad
de la informacin trabajo es equivalente a ser descuidado con el nmero PIN de ATM
o tarjeta de crdito.
Esto puede ser una analoga convincente para generar entusiasmo para las prcticas d
e seguridad.
Establecer el programa de capacitacin y sensibilizacin
La persona encargada de disear el programa de seguridad de la informacin que neces
ita para
reconocer que no es un proyecto de \"talla nica\". Por el contrario, las necesida
des de capacitacin para
ser desarrollada para satisfacer las necesidades especficas de grupos distintos d
entro
la empresa. Mientras que muchas de las polticas de seguridad descritas en el captu
lo 16 se aplican
a todos los empleados a travs de la Junta, muchos otros son nicos. En una mayora mni
ma,
las empresas necesitan programas de capacitacin adaptados a estos grupos distinto
s:
directores; Personal de TI; usuarios de computadoras; personal no tcnico; adminis
trativo
asistentes; recepcionistas; y guardias de seguridad. (Vase el fracaso de las polti
cas
asignacin de trabajo en el captulo 16.)
Desde obligar al personal de seguridad industrial de una empresa no son normalme
nte
espera a ser equipo competente y, excepto quizs en forma muy limitada, lo
no entrar en contacto con equipos de la empresa, no son generalmente considerado
s
al disear la formacin de este tipo. Sin embargo, los ingenieros sociales pueden en
gaar
guardias de seguridad u otros en que les permita en un edificio o una oficina, o
en
realizando una accin que se traduce en una intrusin de equipo. Mientras que los mi

embros de la
fuerza de guardia, sin duda, no es necesario la formacin completa del personal qu
e operan o utilizar
equipos, sin embargo, no debern ser pasados por alto en la conciencia de segurida
d
programa.
Dentro del mundo empresarial hay probablemente pocos temas sobre los cuales todo
s
los empleados necesitan ser educados que son simultneamente como importante y
inherentemente mitigar como seguridad. El mejor diseado capacitacin de seguridad d
e informacin
programas deben informar tanto capturar la atencin y el entusiasmo de la
estudiantes.
El objetivo debera ser hacer conciencia de la informacin de seguridad y capacitacin
un
experiencia interactiva y atractiva. Podran incluir tcnicas demostrando
mtodos de ingeniera social a travs del rol; revisin de informes de los medios de
recientes ataques a otros menos afortunados negocios y discutir las maneras de l
a
las empresas podran haber impedido la prdida; o mostrando una seguridad video que
entretenido y educativo al mismo tiempo. Hay varios de seguridad
empresas de conciencia que mercado videos y materiales relacionados.
NOTA
Para aquellas empresas que no tienen los recursos para desarrollar un programa e
ncasa,
existen varias empresas de capacitacin que ofrecen formacin de conciencia de segur
idad
servicios. Ferias como Secure World Expo (www.secureworldexpo.com)
estn reuniendo lugares para estas empresas
Las historias de este libro proporcionan abundante material para explicar los mto
dos y
tcticas de ingeniera social, para crear conciencia de la amenaza y para demostrar
las vulnerabilidades en el comportamiento humano. Considere el uso de sus escena
rios como base
para las actividades de rol. Las historias tambin ofrecen oportunidades coloridos
de lively
debate sobre cmo las vctimas podan han respondido diferente para evitar la
ataques de ser exitoso.
Un desarrollador de curso hbil y hbiles instructores encontrarn un montn de desafos,
pero
tambin muchas oportunidades, para mantener vivo el tiempo de aula y, en el
proceso, motivar a la gente a formar parte de la solucin.
Estructura de la formacin
Debe elaborarse un programa de formacin de conciencia de seguridad bsica que todos
los empleados deben asistir a la. Nuevos empleados deben asistir a
la capacitacin como parte de su adoctrinamiento inicial. No recomiendo que ningn e
mpleado
proporcionar acceso de equipo hasta que ha asistido a una toma de conciencia de
seguridad bsica
perodo de sesiones.
Para esta toma de conciencia inicial y capacitacin, sugiero que una sesin centra l
o suficiente como para atencin y short suficientemente que se recordarn los mensaj
es importantes.
Mientras que la cantidad de material para ser cubiertos sin duda justifica ms for
macin, la
importancia de la sensibilizacin y motivacin junto con una razonable
nmero de mensajes esenciales en mi opinin supera cualquier nocin de medio da o
sesiones de da completo que dejan gente adormecida con demasiada informacin.
El nfasis de estas sesiones debe ser en transmitir un reconocimiento de la
dao que se puede hacer a la sociedad y a los empleados individualmente, a menos q

ue todos
empleados seguir hbitos de trabajo de seguridad. Ms importante que conocer
prcticas de seguridad especfico es la motivacin que lleva a los empleados a aceptar
responsabilidad personal de seguridad.
En situaciones donde algunos empleados fcilmente no pueden asistir a la sesiones
de aula, el
empresa debe considerar el desarrollo de sensibilizacin mediante otras formas de
instruccin, como vdeos, formacin por ordenador, cursos en lnea, o escrito
materiales.
Despus de la sesin inicial de entrenamiento corto, sesiones ms largas deben disearse
para
capacitar a los empleados acerca de las vulnerabilidades especficas y atacar tcnic
as relativas a
su posicin en la empresa. Entrenamiento debe al menos una vez
un ao. La naturaleza de la amenaza y los mtodos utilizados para explotar las perso
nas nunca soncambiando,
por lo que el contenido del programa debe mantenerse actualizado. Por otra parte
,
conciencia y lucidez mental de las personas disminuyan con el tiempo, por lo que
debe repetirse la formacin
a intervalos razonables para reforzar los principios de seguridad. Aqu nuevamente
el nfasis
tiene que ser tan convencidos de la importancia de los empleados de mantener
las polticas de seguridad y motivados a adherirse a ellos, como en exponer amenaz
as especficas
y mtodos de ingeniera social.
Los administradores deben permitir tiempo razonable para sus subordinados a fami
liarizarse
con las polticas de seguridad y procedimientos y a participar en la toma de conci
encia de seguridad
programa. Empleados no deben esperarse para estudiar las polticas de seguridad o
asistir a
clases de seguridad en su propio tiempo. Nuevos empleados deben ser dado tiempo
suficiente para
revisar las polticas de seguridad y prcticas de seguridad publicadas antes al comi
enzo su
responsabilidades de trabajo.
Empleados que cambian de posicin dentro de la organizacin a un trabajo que implica
acceso a sistemas de informacin o equipo sensibles, por supuesto, debe
necesario para completar un programa de formacin de seguridad adaptadas a su nuev
o
responsabilidades. Por ejemplo, cuando un operador de la computadora se vuelve u
n sistemas
Administrador o una recepcionista se convierte en un auxiliar administrativo, nu
eva formacin
es necesario.
Contenido del curso de formacin
Cuando se reduce a sus fundamentos, todos los ataques de ingeniera social tienen
el mismo
elemento comn: engao. La vctima es llevada a creer que el atacante es un
compaero empleado o alguna otra persona que est autorizado a acceder sensibles
informacin, o est autorizado a dar la vctima instrucciones que implican tomar
acciones en un equipo o equipos informticos. Casi todos estos
ataques podran ser frustrados si el empleado destino simplemente sigue dos pasos:
Verificar la identidad de la persona que hace la solicitud: es la persona que re
aliza la
solicitar realmente quien dice ser?
Verificar si la persona est autorizada: la persona tiene la necesidad de saber,
o de lo contrario est autorizado para realizar esta solicitud?
NOTA

Porque la formacin y sensibilizacin de seguridad nunca son perfectas, utilizar seg


uridad
tecnologas siempre que sea posible crear un sistema de defensa en profundidad. Es
to
significa que la medida de seguridad es proporcionada por la tecnologa en lugar d
e por
empleados individuales, por ejemplo, cuando el sistema operativo est configurado
para
evitar que descarga el software desde Internet, o elegir un
Resumen, fcilmente adivinar la contrasea.
Si las sesiones de formacin de conciencia podran cambiar el comportamiento de modo
que cada siempre sera coherente acerca de cmo probar cualquier peticin contra esto
s criterios, la
riesgo asociado con los ataques de ingeniera social se reducir drsticamente.
Un programa de capacitacin que aborda y conciencia de seguridad de informacin prcti
ca
aspectos humanos de comportamiento y la ingeniera social deben incluir lo siguien
te:
Una descripcin de cmo los atacantes utilizan tcnicas de ingeniera social para engaar
a personas.
Los mtodos utilizados por los ingenieros sociales para lograr sus objetivos.
Cmo reconocer un ataque posible de ingeniera social.
El procedimiento para tramitar una solicitud sospechosa.
Donde reportar intentos de ingeniera social o ataques con xito.
La importancia de desafiar a quien realiza una solicitud sospechosa,
independientemente de la posicin de la persona reclamada o importancia.
El hecho de que debera no implcitamente confan otros sin verificacin adecuada,
a pesar de que su impulso es dar a otros el beneficio de la duda.
La importancia de verificar la identidad y la autoridad de cualquier persona que
realiza un
solicitud de informacin o accin. (Ver \"verificacin y autorizacin
Procedimientos,\"captulo 16, formas de verificar identidad.)
Procedimientos para proteger la informacin confidencial, incluyendo familiaridad
con cualquiera
sistema de clasificacin de datos.
La ubicacin de la empresa seguridad polticas y procedimientos y sus
importancia a la proteccin de la informacin y sistemas de informacin corporativos.
Un resumen de las polticas de seguridad de claves y una explicacin de su significa
do. Para
ejemplo, cada empleado debe recibir instrucciones en cmo idear una difcil-acontras
ea
de adivinar.
La obligacin de todos los empleados para cumplir con las polticas y la
consecuencias en caso de incumplimiento.
Ingeniera social por definicin implica a algn tipo de interaccin humana. Un
atacante utilizar con mucha frecuencia una variedad de mtodos de comunicacin y
tecnologas para intentar lograr su objetivo. Por esta razn, un bienprograma
de sensibilizacin redondeado debe intentar cubrir algunos o todos los siguientes:
Polticas de seguridad relacionados con contraseas de correo de voz y equipo.
El procedimiento para revelar informacin confidencial o materiales.
Poltica de uso de correo electrnico, incluidas las salvaguardias para evitar ataqu
es malintencionados
incluyendo virus, gusanos y caballos de Troya.
Requisitos de seguridad fsica, como llevar una insignia.
La responsabilidad a las personas de desafo en los locales que no llevaba un
Insignia.
Mejores prcticas de seguridad de uso de correo de voz.
Cmo determinar la clasificacin de la informacin y las salvaguardias adecuadas para
proteccin de informacin confidencial.
Eliminacin adecuada de documentos sensibles y soportes informticos que contienen,

o
en cualquier momento en el pasado figuran, material confidencial.
Tambin, si la empresa planea utilizar penetracin pruebas para determinar la
eficacia de las defensas contra ataques de ingeniera social, que debe ser una adv
ertencia
dado empleados puestos sobre aviso de esta prctica. Que los empleados sepan en
algn tiempo pueden recibir una llamada telefnica o otra comunicacin utilizando un
tcnicas del atacante como parte de una prueba. Utilizar los resultados de esas pr
uebas no
castigar, bur para definir la necesidad de capacitacin adicional en algunas zonas
.
Encontrar detalles sobre todos los elementos mencionados en el captulo 16.
PRUEBAS
Su empresa puede que desee probar a empleados en su dominio de la informacin
presentado en la formacin de conciencia de seguridad, antes de permitir que el si
stema informtico
acceso. Si disea pruebas para ser dados en lnea, software de diseo de evaluacin de m
uchos
los programas permiten analizar fcilmente los resultados para determinar las reas
de la
formacin deben fortalecerse.
Su empresa tambin puede considerar proporcionar un certificado que acredite que e
l
finalizacin de la formacin en seguridad como un motivador de recompensa y empleado
.
Como una parte rutinaria de completar el programa, se recomienda que cada
empleado solicitar a firmar un acuerdo para acatar las polticas de seguridad y
principios ensean en el programa. La investigacin sugiere que una persona que hace
la
compromiso de firmar un acuerdo de este tipo es ms probable que hacer un esfuerzo
para
acatar los procedimientos.
SENSIBILIZACIN CONTINUA
Mayora de las personas es consciente de que aprender, incluso sobre asuntos impor
tantes, tiende a desaparecer
a menos que reforzado peridicamente. Debido a la importancia de mantener empleado
s
marcha sobre el tema de la defensa contra ataques de ingeniera social, una
programa de sensibilizacin continua es vital.
Es un mtodo para mantener la seguridad en la vanguardia de empleado pensando hace
r
seguridad de la informacin especfica de una trabajo responsable de cada persona en
el
empresa. Esto anima a los empleados a reconocer su papel crucial en la
seguridad general de la empresa. De lo contrario, existe una fuerte tendencia a
sentir que
seguridad \"no es mi trabajo\".
Si bien la responsabilidad general de un programa de seguridad de la informacin e
s normalmente
asignada a una persona en el departamento de seguridad o la tecnologa de la infor
macin
Departamento de desarrollo de un programa de sensibilizacin de seguridad de infor
macin es
probablemente mejor estructurado como un proyecto conjunto con el departamento d
e formacin.
El programa de sensibilizacin continua debe ser creativo y utilizar cada disponib
le
canal para comunicar mensajes de seguridad de manera que es memorable para que
empleados se recuerda constantemente sobre los hbitos de buena seguridad. Mtodos d
ebe

utilizar todos los tradicionales canales, adems de tantos otros no tradicionales


como la gente
asignados desarrollar e implementar el programa puede imaginar. Como con la trad
icional
publicidad, humor y el ingenio ayudan. Variando la redaccin de mensajes mantiene
ellos se conviertan en tan familiar que se ignoran.
La lista de posibilidades para un programa de sensibilizacin continua puede inclu
ir:
Proporcionar copias de este libro a todos los empleados.
Incluyendo elementos informativos en el boletn de la empresa: artculos, en caja
avisos (preferiblemente cortos, recibiendo atencin elementos), o dibujos animados
, por ejemplo.
Publicar una foto de los empleados de seguridad del mes.
Colgando carteles en las reas de empleado.
Publicar avisos de tabln de anuncios.
Proporcionar gabinetes impresos en sobres de nmina.
Envo de recordatorios por correo electrnico.
Uso de protectores de pantalla relacionados con la seguridad.
Transmitiendo anuncios de recordatorio de seguridad a travs del sistema de correo
de voz.
Impresin de pegatinas de telfono con mensajes tales como \"es su llamador que dice
que es?'!
Configuracin de recordatorio de mensajes que aparecen en el equipo al iniciar la
sesin, tal
como \"si va a enviar informacin confidencial por correo electrnico, cifrarlo.\"
Incluye el conocimiento de la seguridad como un elemento estndar de informes de r
endimiento del empleado
y exmenes anuales.
Proporcionar seguridad recordatorios de conciencia en la intranet, tal vez utili
zando dibujos animados o
humor, o de alguna otra manera atraer empleados para leerlos.
Utilizando un tablero de visualizacin de mensajes electrnicos en la cafetera, con u
na frecuencia
cambiar el aviso de seguridad.
Distribucin de volantes o folletos.
Y creo que los trucos, como galletas de la fortuna gratis en la cafetera, cada
que contenga un aviso de seguridad en lugar de una fortuna.
La amenaza es constante; los avisos deben ser constantes as.
QU ES EN ELLA PARA M?\"
Adems de conciencia de seguridad y programas de capacitacin, recomiendo encarecida
mente una
programa de recompensas de Karadzic y activa. Debe reconocer los empleados
que han detectado y evitado un ataque de intento de ingeniera social, o en
alguna otra manera contribuido significativamente al xito de la informacin
programa de seguridad. La existencia del programa de recompensa debe hacerse con
ocer a
deben ser empleados en todas las sesiones de toma de conciencia de seguridad y v
iolaciones de seguridad
amplia difusin en toda la organizacin.
Al otro lado de la moneda, las personas deben hacerse conscientes de las consecu
encias de
no acatar las polticas de seguridad de informacin, ya sea por descuido o
resistencia. Aunque todos hacemos errores, repetidas violaciones de seguridad
no deben tolerarse procedimientos.
Captulo 16
Recomiendan las polticas corporativas de seguridad de informacin
Nueve de cada diez grandes corporaciones y agencias del Gobierno han sido
atacado por los intrusos del equipo, a juzgar por los resultados de una encuesta
realizada
por el FBI y la Associated Press inform en abril de 2002. Curiosamente, el

estudio hall que slo una empresa en tres inform o pblicamente


reconoce cualquier ataque. Esa reticencia a revelar su victimizacin hace
sentido. Para evitar la prdida de confianza de los clientes y para prevenir nuevo
s ataques por
intrusos que aprender que una empresa puede ser vulnerable, la mayora de las empr
esas no
informar pblicamente de incidentes de seguridad del equipo.
Parece que no existen estadsticas sobre los ataques de ingeniera social y si hay
fueron, que los nmeros seran altamente confiables; en la mayora de los casos una co
mpaa nunca
sabe cuando un ingeniero social tiene informacin \"robado\", por lo que muchos at
aques ir
desapercibido y no declarada.
Contramedidas eficaces se pueden poner en su lugar contra la mayora de los tipos
de social
ataques de ingeniera. Pero vamos a afrontar la realidad aqu--a menos que todos los
miembros de la empresa
entiende que la seguridad es importante y hace su negocio saber
y adherirse a las polticas de seguridad de la empresa, ataques sern la ingeniera so
cial
siempre presentan un grave riesgo para la empresa.
De hecho, como se realizan mejoras si me las armas tecnolgicas contra la segurida
d
infracciones, el enfoque de la ingeniera social al uso de personas para acceder a
propietarios
informacin de la empresa o penetrar casi ciertamente la voluntad de la red corpor
ativa
ser significativamente ms frecuentes y atractivo para los ladrones de informacin.
Un
espionaje industrial, naturalmente, intentar lograr su objetivo utilizando el
el mtodo ms fcil y el uno con el menor riesgo de deteccin. Como un asunto de
hecho, una empresa que ha protegido a sus sistemas informticos y red
implementar el estado de las tecnologas de seguridad posteriormente puede estar ms
expuestos
de los atacantes que utilizan la ingeniera social estrategias, mtodos y tcticas par
a
alcanzar sus objetivos.
Este captulo presenta polticas especficas diseadas para minimizar el riesgo de la em
presa
con respecto a los ataques de ingeniera social. Las polticas frente a los ataques
que son
basado no estrictamente en explotar las vulnerabilidades de la tcnicas. Ellos inv
olucran el uso de algunos
tipo de pretexto o ardid para engaar a un empleado de confianza en el suministro
de informacin
o realizando una accin que da el acceso del autor al negocio sensible
informacin o a los sistemas informticos de empresas y redes.
QU ES UNA POLTICA DE SEGURIDAD?
Polticas de seguridad son instrucciones claras que proporcionan las directrices p
ara el empleado
comportamiento para salvaguardar la informacin y son un edificio fundamental bloq
ue
desarrollo de controles efectivos para contrarrestar las amenazas de seguridad p
otenciales. Estas polticas
son incluso ms importantes a la hora de prevenir y detectar social
ataques de ingeniera.
Controles de seguridad eficaces son ejecutados por la capacitacin de los empleado
s con bienprocedimientos
y polticas documentadas. Sin embargo, es importante tener en cuenta
las polticas de seguridad, incluso si religiosamente seguido por todos los emplea

dos, no son
garantizado evitar que cada ataque de ingeniera social. Por el contrario, el obje
tivo razonable
es siempre mitigar el riesgo a un nivel aceptable.
Las polticas que se presentan aqu incluyen medidas que, si bien no es estrictament
e enfocado
problemas de ingeniera social, no obstante pertenecer aqu porque tratan
tcnicas utilizadas en ataques de ingeniera social. Por ejemplo, las polticas
acerca de cmo abrir los adjuntos de correo electrnico--que podran instalar el troya
no malicioso
software que permite al atacante apoderarse de ordenador de la vctima--direccin un
mtodo utilizado frecuentemente por los intrusos del equipo.
Pasos para desarrollar un programa
Un programa de seguridad de informacin integral usualmente comienza con un riesgo
evaluacin encaminadas a determinar:
Qu activos de informacin de la empresa necesitan ser protegidos?
Qu amenazas especficas existen contra estos activos?
Qu dao podra deberse a la empresa si estas amenazas potenciales
materializar?
Es el principal objetivo de la evaluacin del riesgo priorizar la informacin que es
tn activos
necesitan garantas inmediatos, y si de instituir salvaguardias voluntad ser costo
eficaz
basada en un anlisis de costo-beneficio. En pocas palabras, lo que van a ser acti
vos
protegidos en primer lugar, y cunto dinero debe gastar para proteger estos activos
?
Es esencial que el directivo Inscrbete y apoyar firmemente la necesidad
de desarrollo de las polticas de seguridad y un programa de seguridad de la infor
macin. Como con cualquier
otro programa corporativo, si es un programa de seguridad para tener xito, debe d
e gestin
hacer ms que simplemente proporcionar un respaldo, debe demostrar un compromiso
por ejemplo personal. Los empleados necesitan ser conscientes de que la administ
racin fuertemente
se adhiere a la creencia de que la seguridad de la informacin es vital para la em
presa
operacin, que la proteccin de informacin de negocios de la empresa es esencial para
la
permanecer en el negocio de la compaa, y que puede depender de trabajo de cada emp
leado la
xito del programa.
La persona asignada al proyecto de directivas de seguridad de informacin debe com
prender
que las polticas deben ser escritas en un estilo libre de jerga tcnica y fcilmente
se entiende por la tcnica empleada. Tambin es importante que el documento
dejar claro por qu cada poltica es importante; de lo contrario pueden ignorar empl
eados
algunas polticas como una prdida de tiempo. El escritor de la poltica debe crear un
documento
presenta las polticas y un documento separado para los procedimientos, porque las
polticas
probablemente cambiar mucho menos frecuencia que los procedimientos especficos uti
lizados para
aplicarlas.
Adems, el escritor de la poltica debe ser consciente de las formas en que la segur
idad
tecnologas pueden utilizarse para aplicar prcticas de seguridad de buena informacin
. Para
ejemplo, la mayora de los sistemas operativos hacen posible requieren que el usua

rio las contraseas


ajustarse a determinadas especificaciones tales como longitud. En algunas empres
as, una poltica
prohibir a los usuarios descargar programas puede ser controlado va local o
configuracin de directiva global dentro del sistema operativo. Es necesario para
las polticas
uso de la tecnologa de seguridad siempre rentable para quitar basados en humanos
toma de decisiones.
Empleados deben ser advertidos de las consecuencias por no cumplir con
las polticas de seguridad y procedimientos. Un conjunto de consecuencias apropiad
as para violar
las polticas deben desarrollarse y ampliamente publicitadas. Tambin, un programa d
e recompensas
debe crearse para empleados que demuestren buenas prcticas de seguridad o que
reconocer y reportar un incidente de seguridad. Cuando un empleado es recompensa
do por
frustrando una brecha de seguridad, debe ser difundido ampliamente en toda la em
presa,
por ejemplo, en un artculo publicado en el boletn de la empresa.
Uno de los objetivos de un programa de concienciacin de seguridad es comunicar la
importancia de
las polticas de seguridad y los daos que pueden derivarse del incumplimiento de di
chas normas.
Dada la naturaleza humana, empleados que, a veces, ignorar o eludir las polticas
que
aparecen injustificada o demasiado lento. Es una responsabilidad de gestin
asegurar que los empleados entiendan la importancia de las polticas y son
motivados a cumplir, en lugar de tratarlos como obstculos a eludirse.
Es importante sealar que las polticas de seguridad de la informacin no pueden ser e
scritas en piedra.
Como empresa necesita cambiar, como nuevas tecnologas de seguridad llegan al merc
ado y como
vulnerabilidades de seguridad evolucionan, las polticas deben modificarse o compl
etarse.
Un proceso de revisin peridica y actualizacin debe ponerse en el lugar. Hacer la
polticas de seguridad corporativas y procedimientos disponibles a travs de la intr
anet corporativa o
mantener esas polticas en una carpeta pblica. Esto incrementa la probabilidad
que esas polticas y procedimientos se revisar con mayor frecuencia y proporciona
un mtodo conveniente para los empleados a encontrar rpidamente la respuesta a cual
quier
seguridad de la informacin relacionada con la pregunta.
Por ltimo, pruebas de penetracin peridicas y evaluaciones de la vulnerabilidad medi
ante social
Ingeniera de mtodos y tcticas que deben realizarse para exponer cualquier debilidad
en
capacitacin o falta de adherencia a las polticas de empresa y procedimientos. Ante
s de utilizar
cualquier tcticas engaosas pruebas de penetracin, los empleados se deben poner en a
viso que
dichas pruebas pueden ocurrir de vez en cuando.
Cmo utilizar estas polticas
Las polticas detalladas presentadas en este captulo representan slo un subconjunto
de la
las polticas de seguridad de la informacin, que creo que son necesarias para mitig
ar los riesgos de seguridad.
En consecuencia, las polticas incluidas aqu no deben considerarse como una
lista completa de las polticas de seguridad de la informacin. Por el contrario, so
n la base para
creacin de un cuerpo amplio de las polticas de seguridad adecuadas a la especfica

necesidades de su empresa.
Escritores de la poltica de una organizacin tendr que elegir las polticas que son
apropiado basado en entorno nico de su empresa y objetivos de negocios.
Cada organizacin, tener requisitos de seguridad distintos basados en negocios
necesidades, requisitos legales, cultura organizacional y los sistemas de inform
acin
utilizado por la empresa, tendr lo que necesita de las polticas que se presentan,
y
omitir el resto.
Tambin hay opciones sobre cmo estrictas polticas estar en cada uno
categora. Una empresa ms pequea ubicada en un centro nico donde la mayora de los empl
eados
S uno con el otro no tiene que preocuparse mucho por un atacante llamar
en el telfono y pretendiendo ser un empleado (aunque por supuesto un impostor
puede enmascararse como un proveedor). Tambin, a pesar de los riesgos mayores, un
a empresa
enmarcado alrededor de un casual, relajada cultura corporativa tal vez desee ado
ptar slo una
subconjunto limitado de polticas recomendadas para satisfacer sus objetivos de se
guridad.
CLASIFICACIN DE DATOS
Una poltica de clasificacin de datos es fundamental a la proteccin de una organizac
in
conjuntos de categoras para que regulen el sensible y activos de informacin
informacin. Esta Directiva establece un marco para la proteccin corporativa
informacin por concienciar a todos los empleados del nivel de sensibilidad de cad
a uno
pieza de informacin.
Funcionamiento sin una poltica de clasificacin de datos--el statu quo en casi todo
s
las empresas hoy en da--deja la mayora de estas decisiones en manos del individuo
trabajadores. Naturalmente, las decisiones empleado en gran medida se basan en f
actores subjetivos,
en lugar de en el valor de la informacin, sensibilidad y criticidad. La informacin
es
tambin lanzado debido a que los empleados son ignorantes de la posibilidad de que
en la respuesta
a solicitud de la informacin, pueden ser puesta en manos de un
atacante.
La poltica de clasificacin de datos establece directrices para la clasificacin de v
aliosos
informacin en uno de varios niveles. Con cada artculo asignado una clasificacin,
empleados pueden seguir una serie de procedimientos de manipulacin de datos que p
roteger a la empresa
desde la liberacin inadvertida o descuidada de informacin confidencial. Estos proc
edimientos
mitigar la posibilidad de que los empleados se sern engaados para que revelen sus
sensibles
informacin a personas no autorizadas.
Todos los empleados deben ser entrenados sobre la poltica de clasificacin de datos
corporativos,
los que normalmente no usan equipos o comunicaciones corporativas incluidos
sistemas. Porque todos los miembros de la fuerza de trabajo corporativo--incluye
ndo la
limpieza de la tripulacin, guardias del edificio y personal de la sala de la copi
a, as como consultores,
contratistas y pasantes incluso--pueden tener acceso a informacin confidencial, n
adie
podra ser el blanco de un ataque.
Administracin deber asignar un propietario de la informacin que ser responsable de c

ualquier
informacin que est actualmente en uso en la empresa. Entre otras cosas, la
Propietario de la informacin es responsable de la proteccin de los activos de info
rmacin.
Normalmente, el propietario decide qu nivel de clasificacin para asignar basndose e
n la
necesidad de proteger la informacin, evalan peridicamente el nivel de clasificacin
asignado y decide si los cambios son necesarios. Propietario de la informacin pue
de
tambin delegar la responsabilidad de proteger los datos a un custodio o designata
rio.
Categoras de clasificacin. y definiciones
Informacin debe estar separado en distintos niveles de clasificacin basada en su
sensibilidad. Una vez que se configura un sistema de clasificacin particular, es
demasiado caro y
proceso lento para reclasificar la informacin en categoras nuevas. En nuestro
ejemplo de una directiva que escog cuatro niveles de clasificacin, que es apropiad
o para la mayora
empresas de tamao mediana a grandes. Dependiendo del nmero y tipos de sensible
informacin, negocio puede elegir agregar ms categoras a mayor control
tipos especficos de informacin. En las empresas ms pequeas, una clasificacin de tres
niveles
esquema puede ser suficiente. Recuerde: cuanto ms compleja la clasificacin
esquema, el gasto ms a la organizacin en la capacitacin de los empleados y
aplicar el sistema.
Confidencial. Esta categora de informacin es la ms sensible. Confidencial
informacin est destinada nicamente dentro de la organizacin. En la mayora de los caso
s, se
slo debe ser compartida con un nmero muy limitado de personas con absoluta
necesidad de saber. La naturaleza de la informacin confidencial es tal que cualqu
ier
divulgacin no autorizada podra afectar seriamente la empresa, sus accionistas, sus
asociados de negocios y sus clientes. Elementos de informacin confidencial
generalmente caen en una de estas categoras:
Informacin sobre secretos comerciales, cdigo fuente propietaria, tcnicas o
especificaciones funcionales o informacin del producto que puede ser de ventaja a
un
competidor.
Informacin financiera y de marketing no est disponible al pblico.
Cualquier otra informacin que es vital para el funcionamiento de la empresa como
futuro
estrategias de negocio.
Privada. Esta categora abarca informacin de carcter personal que pretende
para uso slo dentro de la organizacin. Cualquier divulgacin no autorizada de privad
o
informacin podra afectar seriamente empleados, o la empresa si obtenida por cualqu
iera
personas no autorizadas (especialmente los ingenieros sociales). Elementos de in
formacin privada
sera incluir historial mdico empleado, beneficios para la salud, cuenta bancaria
informacin, historia de salario o cualquier otra informacin de identificacin person
al que es
no de registro pblico.
NOTA
La categora interna de informacin a menudo se denomina sensibles de seguridad
personal. Tengo que usar interna porque el trmino en s mismo explica la ideada
audiencia. He utilizado el trmino sensible no como una clasificacin de seguridad,
sino como un
mtodo conveniente de referirse a la informacin interna, confidencial y privado;
dicho de otra manera, sensible se refiere a cualquier informacin de la empresa qu

e no es
especficamente designado como pblico.
Interna. Esta categora de informacin puede proporcionarse libremente a cualquier p
ersona
empleados de la organizacin. Normalmente, no autorizado, divulgacin de interna
informacin no pretende provocar graves perjuicios a la empresa, su
accionistas, sus socios de negocios, sus clientes o sus empleados. Sin embargo,
las personas adeptas en tcnicas de ingeniera social pueden utilizar esta informacin
para enmascararse
como un empleado autorizado, contratista o proveedor para engaar incautos
personal en proporcionar informacin ms confidencial que dara como resultado
acceso no autorizado a sistemas informticos corporativos.
Debe firmarse un acuerdo de confidencialidad antes informacin interna puede ser
cedidos a terceros, como los empleados de las empresas de proveedores, trabajo d
e contratista,
las empresas asociadas y as sucesivamente. Informacin interna generalmente incluye
nada utilizado
el curso de la actividad diaria que no debe liberarse a los forasteros, tales
organigramas corporativos, nmeros de red de marcado telefnico, sistema interno
nombres, procedimientos de acceso remoto, cdigos de centro de costos y as sucesiva
mente.
Pblico. Informacin especficamente designado para el lanzamiento al pblico. Esto
tipo de informacin se puede distribuir libremente a nadie, como comunicados de pr
ensa,
informacin de contacto de soporte al cliente, o catlogos de productos. Tenga en cu
enta que informacin no especficamente designada como pblico debe tratarse como sens
ibles
informacin.
Terminologa de datos clasificados
Basado en su clasificacin, datos deberan distribuirse a determinadas categoras de
personas. Una serie de polticas en este captulo se refieren a la informacin que
una persona sin verificar. A los efectos de estas polticas, es una persona sin ve
rificar
alguien a quien no conoce personalmente el empleado para ser un empleado activo
o b un empleado con el rango adecuado para tener acceso a la informacin, o que
no ha sido avalado por un tercero de confianza.
A los efectos de estas polticas, una persona de confianza es una persona que haya
cumplido con
cara a cara que le es conocido como un empleado de la empresa, cliente, o
Consultor de la empresa con el rango adecuado para tener acceso a la informacin.
A
Persona tambin podra ser un empleado de una empresa tener un establecido de confia
nza
relacin con su empresa (por ejemplo, un cliente, proveedor, o estratgica
socio de negocios que ha firmado un acuerdo de no divulgacin).
En tercero dar fe, una persona de confianza proporciona verificacin de una person
a
empleo o el Estado y la autoridad de la persona a solicitar informacin o una
accin. Nota que en algunos casos, estas polticas requieren para comprobar que el
Persona todava es empleado por la empresa antes de responder a una solicitud de c
onfianza
para obtener informacin o accin por alguien a quien han avalado.
Una cuenta con privilegios es un equipo o en otra cuenta que requieren permiso d
e acceso
ms all de la cuenta de usuario bsica, como una cuenta de administrador de sistemas.
Empleados con cuentas con privilegios suelen tengan la capacidad de modificar us
uario
privilegios o realizar funciones del sistema.
Un buzn departamental general es un buzn de voz respondido con un genrico
mensaje para el departamento. Un buzn de correo se utiliza para proteger los nomb

res y
extensiones de telfono de los empleados que trabajan en un departamento en partic
ular.
PROCEDIMIENTOS DE VERIFICACIN Y AUTORIZACIN
Ladrones de informacin suelen utilizan tcticas engaosas para acceder u obtener
informacin comercial confidencial hacindose pasar como empleados legtimos, por
contratistas, proveedores o socios comerciales. Para mantener la informacin efect
iva
seguridad, un empleado recibe una solicitud para realizar una accin o proporciona
r
informacin confidencial positivamente debe identificar el llamador y verificar su
autoridad
previo a la concesin de una solicitud.
Los procedimientos recomendados en este captulo estn diseados para ayudar a una
empleado que recibe una peticin a travs de cualquier mtodo de comunicacin tales como
telfono, correo electrnico o fax para determinar si la solicitud y la persona que
realiza
son legtimos.
Solicitudes de una persona de confianza
Puede requerir una peticin de informacin o accin de una persona de confianza:
Verificacin de que la empresa emplea activamente o que tiene una relacin con el
persona cuando esa relacin es una condicin de acceso a esta categora de
informacin. Esto es para evitar terminados empleados, proveedores, contratistas,
y
otros que ya no estn asociados con la compaa de disfrazada de
personal activo.
Comprobacin de que la persona tiene una necesidad de saber, y est autorizado a ten
er acceso
a la informacin o para solicitar la accin.
Solicitudes de una persona sin verificar
Cuando se realiza una solicitud por una persona sin verificar, una verificacin ra
zonable
proceso debe implementarse para identificar positivamente a la persona que efecta
la solicitud
autorizado para recibir la informacin solicitada, especialmente cuando la solicit
ud de
ninguna manera involucra computadoras o equipos informticos. Este proceso es la
control fundamental para prevenir los ataques exitosos ingeniera social: si estos
procedimientos de verificacin, reducir considerablemente exitosa
ataques de ingeniera social.
Es importante que no hagas el proceso tan engorroso que es costoprohibitivo,
o que los empleados ignoran.
Como se detalla a continuacin, el proceso de verificacin consta de tres pasos:
Verificar que la persona es quien dice ser.
Determinar que el solicitante es empleado actualmente o comparte una necesidad d
e saber
relacin con la empresa.
Determinar que la persona est autorizada para recibir la informacin especfica o a
Convocatoria para la accin solicitada.
Paso 1: Verificacin de identidad
Continuacin se muestran los pasos recomendados para la verificacin orednen de
eficacia: cuanto mayor sea el nmero, ms eficaz el mtodo. Tambin
incluido con cada elemento es una statemen.t sobre la debilidad de ese particula
r
mtodo y la forma en que un ingeniero social puede vencer o burlar la
mtodo para engaar a un empleado.
1. Identificador de llamada (suponiendo que esta caracterstica est incluida en el
telfono de sistema). Desde la pantalla de ID del llamador, determinar si la llama
da es desde dentro
o fuera de la empresa y muestra el nombre o nmero de telfono

coincide con la identidad proporcionada por el llamador.


Debilidad: Informacin de ID del llamador externo puede ser refutada por cualquier
a con acceso
a un conmutador PBX o telfono conectado al servicio telefnico digital.
2. Devolucin de llamada. Buscar en el directorio de la empresa solicitante y devo
lver la llamada a la
extensin lista para comprobar therequester es un empleado.
Debilidad: Un atacante con conocimientos suficientes puede llamada reenvo una emp
resa
extensin de modo que, cuando el empleado coloca la llamada de verificacin a la lis
ta
nmero de telfono, la llamada se transfiere al nmero de telfono fuera del atacante.
3. Dar fe. Verifica una persona de confianza que da fe de la identidad del solic
itante
el solicitante.
Debilidad: Los atacantes con un pretexto son frecuentemente capaces de convencer
a otro
empleado de su identidad y conseguir ese empleado para atestiguar para ellos.
4. Secreto compartido. Un secreto compartido de toda la empresa, tales como apas
sword o
cdigo diario.
Debilidad.\" Si mucha gente conoce el secreto compartido, puede ser fcil para un
atacante
para aprenderlo.
5. Supervisor y administrador de empleado. Telfono del employee'simmediate
supervisor y solicitud de verificacin.
Debilidad: Si el solicitante ha proporcionado el nmero de telfono para llegar a su
o
su manager, llega a la persona del empleado cuando llamando el nmero no puede
el Gerente real pero puede, de hecho, ser cmplice del atacante.
6. Proteger el correo electrnico. Solicitar un mensaje firmado digitalmente.
Debilidad: Si un atacante ya ha comprometido equipo del empleado y
instalado un registrador de pulsaciones de teclas para obtener la primera frase
del empleado, l puede correo electrnico firmado digitalmente que parece ser del em
pleado.
7. Personal reconocimiento de voz. La persona que recibe la solicitud se ha ocup
ado de
el solicitante (preferiblemente presencial), sabe de determinados la persona
realmente es una persona de confianza y es lo suficientemente familiarizados con
la persona reconocer su voz en el telfono.
Debilidad: Se trata de un mtodo bastante seguro, no es fcil eludido por un atacant
e,
pero es intil si la persona que recibe la solicitud nunca ha conocido o hablado c
on
el solicitante.
8. Solucin dinmica de la contrasea. El solicitante autentica a s mismo o a s misma
mediante el uso de una solucin de contrasea dinmica como un identificador de seguri
dad.
Debilidad: Derrotar a este mtodo, el atacante tendra que obtener uno de los
dispositivos de contrasea dinmica, como tambin el acompaamiento PIN del empleado
quien el dispositivo legtimamente pertenece, o tendra que engaar a un empleado en
leer la informacin en la pantalla del dispositivo y proporcionando el PIN.
9. En persona con ID. El solicitante aparece en persona andpresents un empleado
Insignia u otra identificacin adecuada, preferiblemente un identificador de image
n.
Debilidad: Los atacantes a menudo son capaces de robar una insignia de empleado,
o crear un falsos
Insignia que parece autntico; Sin embargo, los atacantes suelen rehuir este enfoq
ue
debido a que aparece en persona pone el atacante en riesgo significativo de

identificado y detenido.
Paso 2: Verificacin de estado de empleo
La mayor amenaza de seguridad de la informacin no es de lo social profesional
Ingeniero, ni desde el intruso equipo calificados, sino de alguien mucho ms cerca
no:
el empleado despedido slo venganza o con la esperanza de establecer a s mismo en e
l negocio
utilizando la informacin robada de la empresa. (Tenga en cuenta que una versin de
este procedimiento
Tambin puede utilizarse para comprobar que alguien goza de otro tipo de negocio
relacin con su empresa, como un proveedor, consultor o contrato
trabajador).
Antes de proporcionar informacin confidencial aotra persona o Aceptar
instrucciones para las acciones que impliquen el equipo o equipos informticos,
Compruebe que el solicitante es todava un empleado actual mediante uno de estos mt
odos:
Verificacin de directorio de empleados. Si la empresa mantiene a un empleado en ln
ea
directorio que refleja con precisin los empleados activos, verificar que el solic
itante es
sigue apareciendo.
Verificacin de Manager del solicitante. Gestor del solicitante mediante un telfono
de llamadas
nmero que aparece en el directorio de la empresa, no un nmero proporcionado por el
solicitante.
Departamento o grupo de trabajo verificacin del solicitanLtel.ame al solicitante
Departamento o grupo de trabajo y determinar de nadie en ese departamento o
Grupo de trabajo que el solicitante todava es empleado por la empresa.
Paso 3: Verificacin de la necesidad de saber
Ms all de verificar que el solicitante es un empleado actual o tiene una relacin
con su empresa, todava queda la cuestin de si el solicitante es
autorizadas a tener acceso a la informacin que se solicita, o est autorizado para
solicitud especfica de que las acciones que afectan a ordenadores o equipos infor
mticos
ser tomado.
Esta determinacin puede realizarse mediante uno de estos mtodos:
Consultar listas de grupos de trabajo\/ttulo\/responsabilidades de trabajo. Una e
mpresa puede proporcionar acceso a la informacin de autorizacin mediante la public
acin de las listas de los cuales son empleados
derecho a la informacin. Estas listas pueden ser organizadas en trminos de emplead
o
trabajo de ttulo, departamentos de empleados y grupos de trabajo, responsabilidad
es de los empleados, o una combinacin de stos. Dichas listas seran necesario para m
antenerse en lnea para ser
mantener actualizados y proporcionan un acceso rpido a la informacin de autorizacin
. Ordinariamente,
Los propietarios de informacin sera responsables de supervisar la creacin y
mantenimiento de las listas de acceso a la informacin bajo control del propietari
o.
NOTA
Es importante sealar que mantener estas listas es una invitacin a lo social
ingeniero. Tenga en cuenta: Si el atacante dirige una empresa toma conciencia qu
e el
empresa mantiene dichas listas, hay una fuerte motivacin para obtener uno. Vez en
mano, dicha lista abre muchas puertas para el atacante y pone la empresa en
riesgo grave.
Obtener la autoridad de un administrador. Un contactos empleado su propio
Administrador, o del solicitante, para poder cumplir con la
solicitud.
Obtener autoridad del propietario de la informacin o un designatario. La informac

in
Propietario es el ltimo juez de si debe concederse una determinada persona
acceso. El proceso de control de acceso basado en el equipo es para el empleado
Pngase en contacto con su administrador de inmediato para aprobar una solicitud d
e acceso a
informacin basada en perfiles de trabajo existentes. Si no existe tal perfil, es
el
responsabilidad del administrador ponerse en contacto con los propietario de los
datos pertinentes para cadena de mando deben seguirse por lo que no son propiet
arios de la informacin
barraged con solicitudes cuando hay una frecuente necesita saber.
Obtener autoridad por medio de un paquete de Software propietario. Para un gran
empresa en una industria altamente competitiva, puede resultar prctico desarrolla
r un
paquete de software propietario que proporciona la necesidad de obtener autoriza
cin. Tal un
base de datos almacena los nombres de los empleados y los privilegios de acceso
a la informacin clasificada.
Los usuarios no puedan buscar los derechos de acceso de cada individuo, sino
entrara a nombre del solicitante y el identificador asociado con el
informacin que se busca. El software proporciona una respuesta que indica
Si o no el empleado est autorizado para acceder a dicha informacin. Esto
alternativa evita el peligro de crear una lista de personal con acceso respectiv
o
derechos a la informacin valiosa, crtico o sensible que podran ser robados.
POLTICAS DE ADMINISTRACIN
Las siguientes polticas corresponden a empleados de nivel de gestin. Estos son
dividida en las reas de clasificacin de la informacin, divulgacin de informacin, telfo
no
Administracin y polticas diversas. Tenga en cuenta que cada categora de polticas
utiliza una estructura de numeracin nica para facilitar la identificacin de las dis
tintas polticas.
Polticas de clasificacin de datos
Clasificacin de datos se refiere a cmo clasifica a la sensibilidad de su empresa
informacin y quin debera tener acceso a esa informacin.
Clasificacin de datos de asignar 1-1
Poltica: Toda la informacin valiosa, sensibles o crticos de negocios debe asignarse
a una categora de clasificacin por el propietario de la informacin o delegado desig
nado.
Explicacin\/notas: El propietario o el delegado designado asignar el adecuado
clasificacin de los datos a cualquier informacin que se utiliza habitualmente para
realizar negocios
objetivos. El propietario tambin controla quin puede tener acceso a dicha informac
in y lo utilice
puede hacerse de ella. El propietario de la informacin puede reasignar la clasifi
cacin
y podr designar un perodo de tiempo para la desclasificacin automtica.
Cualquier elemento no marcado debe clasificarse como sensibles.
Procedimientos de manipulacin de publicar clasificado de 1-2
Poltica: La empresa debe establecer procedimientos que regulen el
informacin en cada categora.
Explicacin y notas\". Una vez que se establecen las clasificaciones, procedimient
os para liberar
informacin a empleados y a los extranjeros debe establecerse, como se detalla en
el
Verificacin y autorizacin de procedimientos descritos anteriormente en este captulo
.
1-3 Etiquetar todos los elementos
Poltica\". Marque claramente los materiales impresos y almacenamiento de medios d
e comunicacin Informacin confidencial, privada o interna para mostrar los datos ad

ecuados
clasificacin.
Explicacin y notas\". Documentos impresos deben tener una portada, con una
etiqueta de clasificacin destacado y una etiqueta de clasificacin en cada
pgina que est visible cuando se abre el documento.
Todos los archivos electrnicos que fcilmente pueden etiquetarse con datos adecuado
s
clasificaciones (base de datos o archivos de datos raw) deben ser protegidas med
iante controles de acceso
para asegurar que dicha informacin no es indebidamente divulgada, y que no puede
ser
cambiado, destruidos o hicieron inaccesibles.
Todos los soportes informticos como disquetes, cintas y CD-ROM deben etiquetarse
con la clasificacin ms alta de cualquier informacin contenida en l.
Revelacin de informacin
Revelacin de informacin implica la divulgacin de informacin a diversas partes
basado en su identidad y la necesidad de saber.
Procedimiento de verificacin de empleados de 2-1
Poltica: La empresa debe establecer procedimientos integrales que
utilizado poermpleados para verificar la identidad, estado de empleo, y
autorizacin de una persona antes de soltar confidenciales o sensibles
informacin o realizar cualquier tarea que implica utilizar de cualquier hardware
o software.
Notas de la explicacin: cuando est justificado por el tamao de las necesidades de l
a empresa se deberan utilizar tecnologas de seguridad avanzada para autenticar la
identidad. Lo mejor
prctica de seguridad sera implementar tokens de autenticacin en combinacin con un
secreto compartido para identificar positivamente a las personas hacen solicitud
es. Si bien esta prctica
sustancialmente minimizar el riesgo, el costo puede ser prohibitivo para algunos
empresas. En esas circunstancias, la empresa debe utilizar un nivel de empresa
secreto compartido, como un diario contrasea o cdigo.
2-2 Divulgacin de informacin a terceros
Poltica: Un conjunto de procedimientos de divulgacin de informacin recomendada debe
disposicin y todos los empleados deben ser entrenados para seguirlos.
Explicacin\/notas: Generalmente, los procedimientos de distribucin deben establece
rse para:
Informacin disponible dentro de la empresa.
Distribucin de informacin a particulares y empleados de las organizaciones que tie
nen
una relacin establecida con la empresa, tales como consultores, temporales
los trabajadores, pasantes, empleados de organizaciones que tienen una relacin de
proveedor o
acuerdo de asociacin estratgica con la empresa y as sucesivamente.
Informacin disponible fuera de la empresa.
Informacin en cada nivel de clasificacin, cuando se entrega la informacin
en persona, por telfono, por correo electrnico, por fax, por correo de voz, por se
rvicio postal,
por servicio de entrega de firmas y por transferencia electrnica.
Informacin de distribucin confidencial de 2-3
Poltica: Informacin confidencial, que es la informacin de la empresa que podra causa
r
dao importante si obtenidos por personas no autorizadas, podr entregarse solamente
a un
Confianza de quien est autorizado para recibirla.
Explicacin\/notas: Informacin confidencial en una forma fsica (que es, impreso
copia o en un medio de almacenamiento extrable) se pueden suministrar:
En persona.
Por correo interno, sellado y marcado con la clasificacin confidencial.
Fuera de la empresa por un servicio de entrega confianza (es decir, FedEx, UPS e

tc.
) con la firma del destinatario requerido, o por un servicio postal mediante un
certificado o
clase registrada de correo.
Informacin confidencial en forma electrnica (archivos de computadora, archivos de
base de datos, correo se pueden suministrar:
En el cuerpo del correo electrnico codificado.
Por adjunto de correo electrnico, como un archivo cifrado.
Por transferencia electrnica a un servidor dentro de la red interna de la empresa
.
Mediante un programa de fax desde un ordenador, siempre que slo las utilizaciones
destinatarios
el destino de mquina, o que el destinatario est esperando en el destino
mquina mientras se enva el fax. Como alternativa, se pueden enviar facsmiles
sin destinatario presente si se envan a travs de un vnculo telefnico codificado para
una
servidor de fax protegido con contrasea.
Informacin confidencial puede discutirse en persona; por telfono en el
empresa; por telfono fuera de la empresa si cifrado; por satlite cifrada
transmisin; por enlace de videoconferencia cifrados; y por cifra voz sobre
Protocolo de Internet (VoIP).
Para la transmisin de la mquina de fax, se llama el mtodo recomendado para el remit
ente
transmitir una portada; el receptor, al recibir la pgina, transmite una pgina en
respuesta, demostrando que est en la mquina de fax. El remitente, a continuacin
transmite el fax.
No son aceptables para la discusin de los siguientes medios de comunicacin o
distribuir informacin confidencial: sin cifrar correo electrnico, mensaje de corre
o de voz,
correo ordinario, o cualquier mtodo de comunicacin inalmbrica (celulares, mensajes
cortos
Servicio o inalmbricos).
Informacin de distribucin de privada de 2-4
Poltica: Informacin privada, que es informacin personal acerca de un empleado o
empleados que si revelado, podran utilizarse para perjudicar a los empleados o la
empresa,
podrn entregarse slo a una persona de confianza que est autorizado a recibirla.
Explicacin\/notas: Informacin privada en forma fsica (es decir, impresos o
podrn entregarse los datos en un medio de almacenamiento extrable):
En persona
Por correo interno, sellado y marcado con la clasificacin privada
Por correo ordinario
Puede obtener informacin privada en forma electrnica (archivos de computadora, arc
hivos de base de entregarse:
Por correo electrnico interno.
Por transferencia electrnica a un servidor dentro de la red interna de la empresa
.
Por fax, siempre que el destinatario utiliza el destino
mquina, o que el destinatario est esperando en la mquina de destino mientras
se enva el fax. Facsmiles tambin pueden enviarse por fax protegido con contrasea
servidores. Como alternativa, se pueden enviar facsmiles sin el destinatario si p
resente
enviados a travs de un vnculo telefnico codificado a un servidor de fax protegido c
on contrasea.
Informacin privada puede ser discutido en persona; por telfono; por satlite
transmisin; por enlace de videoconferencia; y por cifra Vole
No son aceptables para la discusin de los siguientes medios de comunicacin o
distribuir informacin privada: sin cifrar correo electrnico, mensaje de correo de
voz, regular
correo y por cualquier medio de comunicacin inalmbrica (celular, SMS, o inalmbricos

).
Informacin de distribucin interna de 2-5
Poltica: Informacin interna es informacin para ser compartida slo dentro de la empre
sa
o con otras personas de confianza que han firmado un acuerdo de no divulgacin. Le
debe establecer directrices para la distribucin de informacin interna.
Explicacin\/notas: Informacin interna puede distribuirse en cualquier forma,
incluido el correo electrnico interno, pero no podr ser distribuida fuera de la em
presa de correo electrnico
formar a menos que la cifra.
2-6 Discutir informacin confidencial por telfono
Poltica: antes de publicar cualquier informacin que no est designado como pblico sob
re el
Telefnica, la persona liberar dicha informacin personalmente debe reconocer la
voz del solicitante a travs del contacto de negocios previa, o el sistema de telfo
no de la empresa
debe identificar la llamada como de un nmero de telfono interno que ha sido
asignado al solicitante.
Explicacin\/notas: Si no se conoce la voz del solicitante, llame al solicitante
nmero de telfono interno para verificar la voz del solicitante a travs de un correo
de voz grabada
el mensaje, o tiene el administrador del solicitante verificar la identidad del
solicitante y que tiene
Saber.
Procedimientos de personal de lobby o recepcin de 2-7
Poltica: Personal de Lobby debe obtener antes de lanzar cualquier identificacin co
n foto
paquete a cualquier persona que no es conocido por ser un empleado activo. Un re
gistro debe
mantenerse para registrar el nombre de la persona, el nmero de licencia de conduc
ir, fecha de nacimiento, elemento recogido y la fecha y hora de dicha recogida.
Explicacin\/notas: Esta poltica tambin se aplica a entregar paquetes salientes
cualquier servicio de messenger o de mensajera como FedEx, UPS o Airborne Express
.
Estas empresas emiten tarjetas de identificacin que puede utilizarse para verific
ar empleados
identidad.
2-8 Transferencia de software de terceros
Poltica: antes de realizar la transferencia o divulgacin de cualquier software, pr
ograma o equipo
instrucciones, identidad del solicitante debe ser verificado positivamente, y de
be ser
establecido si esa versin es compatible con la clasificacin de datos
asignado a dicha informacin. Normalmente, el software desarrollado internamente e
n origenformato
de cdigo es considerado confidencial altamente propietaria y clasificada.
Explicacin\/notas: Determinacin de autorizacin generalmente se basa en si
el solicitante necesita acceso al software para hacer su trabajo.
Lleva 2-9 ventas y marketing de calificacin del cliente
Poltica: Personal de venta y marketing debe calificar oportunidades de ventas ant
es de soltar
nmeros de devolucin de llamada interna, planes de producto, contactos de grupo de
producto Informacin confidencial para cualquier cliente potencial.
Explicacin\/notas: Es una tctica comn para espas industriales contactar a ventas y
representante de marketing y hacerle creer que puede ser una compra grande en el
Vista. En un esfuerzo por aprovechar la oportunidad de venta, marketing y venta
los representantes de liberar a menudo informacin que puede ser utilizada por el
atacante como un chip obtener acceso a sensible informacin.
2-10 Transferencia de archivos o datos
Poltica: Otros datos electrnicos o archivos no se trasladara a cualquier extrables

medios de comunicacin a menos que el solicitante es una persona de confianza cuya


identidad ha sido y que tiene una necesidad de tener esos datos en ese formato.
Explicacin\/notas: Un ingeniero social fcilmente puede hacer un empleado proporcio
nando un
solicitud plausible para tener informacin confidencial copiado en una cinta, disc
o Zip, o
otros medios extrables y envi a l o celebrada en el lobby para su recogida.
Administracin de telfono
Las polticas de administracin de Telefnica garantizan que los empleados puedan veri
ficar la identidad y proteger su propia informacin de contacto de los llamando a
la compaa.
Reenvo de llamadas de 3-1 sobre el nmero telefnico o de fax
Poltica: Llame a servicios de reenvo que permitan el reenvo de llamadas al exterior
nmeros de telfono no se colocar en cualquier mdem telefnico o fax telfono
nmeros dentro de la empresa.
Explicacin\/notas: Los atacantes sofisticados pueden intentar engaando telfono
personal de la empresa o los trabajadores de telecom interna en nmeros internos d
e reenvo
a una lnea de telfono externo bajo control de un atacante. Este ataque permite el
intruso para interceptar los faxes, solicitar informacin confidencial a enviarse
por fax dentro de
la empresa (personal de asume que el fax dentro de la organizacin debe ser seguro
)
o engaando a los usuarios de acceso telefnico en proporcionar sus contraseas de cue
nta mediante lneas de acceso telefnico a un equipo de seuelo que simula el proceso
de inicio de sesin.
Dependiendo del servicio de telfono utilizado dentro de la empresa, el reenvo de l
lamadas
funcin puede estar bajo control del proveedor de comunicaciones, en lugar de
Departamento de telecomunicaciones. En tales circunstancias, se har una solicitud
a
el proveedor de comunicaciones para asegurar la llamada funcin de reenvo no est pre
sente
los nmeros de telfono asignados a las lneas de acceso telefnico y de fax.
3-2 Caller ID
Poltica: El sistema telefnico corporativo debe proporcionar la lnea llamada identif
icacin
(caller ID) en todos los conjuntos de telfono interno y, si es posible, permitir
distintivo
timbre para indicar cuando una llamada es de fuera de la empresa.
Explicacin\/notas: Si empleados pueden verificar la identidad de las llamadas tel
efnicas de
fuera de la empresa puede ayudarles a prevenir un ataque, o identificar al ataca
nte
al personal de seguridad apropiadas.
Telfonos de cortesa de 3-3
Poltica: Para impedir que los visitantes hacindose pasar como empresa trabajadores
, cada
cortesa telfono indicar claramente la ubicacin del llamador (por ejemplo,
There was an error deserializing the object of type System.String. Encountered u
nexpected character Explicacin y notas\". Si el identificador de llamada para lla
madas internas muestra el nmero de extensin
slo apropiado debe prever llamadas colocadas desde telfonos de la empresa
en el rea de recepcin y otras reas pblicas. No debe ser posible para un
atacante para realizar una llamada de uno de estos telfonos y
engaar a un empleado a creer que la llamada se ha colocado internamente de
telfono de un empleado.
Contraseas predeterminadas de 3-4 fabricante suministradas con sistemas telefnicos
Poltica: El administrador de correo de voz debe cambiar todas las contraseas por d
efecto que

fueron enviados con el previo sistema de telfono a utilizar por personal de la em


presa.
Explicacin\/notas: los ingenieros sociales pueden obtener listas de contraseas pre
determinadas de
los fabricantes y utilizarlo para acceder a las cuentas de administrador.
Buzones de correo de voz de departamento de 3-5
Poltica\". Configurar un buzn de voz genrica para cada departamento que normalmente
tiene
contacto con el pblico.
Explicacin\/notas: El primer paso de la ingeniera social consiste en reunir
informacin sobre la empresa y su personal. Limitando la
accesibilidad de los nombres y nmeros de telfono de los empleados, una empresa
hace ms difcil para el ingeniero social identificar los objetivos de la empresa,
o nombres de empleados legtimos destinados a engaar a otros miembros del personal.
Verificacin de 3-6 de los vendedores de sistemas de telfono
Poltica: No tcnicos de asistencia de proveedores se permitir acceso de forma remota
la
sistema telefnico sin identificacin positiva de los vendedores de la empresa y
autorizacin para efectuar dicho trabajo.
Explicacin\/notas: Intrusos de equipo que acceder al telfono corporativo
sistemas obtienen la capacidad de crear buzones de voz, interceptar mensajes des
tinados
para otros usuarios, o hacer llamadas de telfono gratis a expensas de la Corporac
in.
3-7 Configuracin del sistema de telfono
Poltica\". El administrador de correo de voz har valer los requisitos de seguridad
por
configuracin de los parmetros de seguridad apropiados en el sistema telefnico.
Explicacin\/notas: Sistemas telefnicos pueden configurarse con mayor o menor grado
de
seguridad para mensajes de correo de voz. El administrador debe ser consciente d
e la empresa
preocupaciones de seguridad y trabajar con personal de seguridad para configurar
el telfono
sistema para proteger los datos confidenciales.
Funcin de seguimiento de llamada 3-8
Poltica: dependiendo de las limitaciones del proveedor de comunicaciones, el segu
imiento de llamadas funcin se activar a nivel mundial para permitir a los empleado
s activar la trampa-y-traza
caracterstica cuando el llamador es sospechoso de ser el atacante.
Explicacin\/notas: Los empleados debern recibir una formacin sobre el uso de seguim
iento de circunstancias apropiadas cuando debe utilizarse. Se debera iniciar un s
eguimiento de llamadas
Cuando el llamador claramente est intentando obtener acceso no autorizado a la em
presa
sistemas informticos o solicitando informacin confidencial. Cuando un empleado
activa la funcin de seguimiento de llamada, debe enviarse una notificacin inmediat
a al incidente
Grupo de informe.
Sistemas de telfono automatizado de 3-9
Poltica\". Si la empresa utiliza un sistema telefnico automatizado de respuesta, e
l sistema
debe ser programado para que las extensiones de telfono no se anunci cundo
transferir una llamada a un empleado o departamento.
Explicacin\/notas: Los intrusos pueden utilizar el sistema de telfono automatizado
de la empresa
para asignar nombres de los empleados a extensiones telefnicas. Los atacantes pue
den utilizar
conocimiento de esas extensiones para convencer a los destinatarios de la llamad
a que son empleados

con derecho a informacin privilegiada.


3-10 Buzones de voz a desactivar despus de sucesiva acceso no vlido
intentos de
Poltica: Programa el sistema telefnico corporativo para bloquear cualquier correo
de voz
cuenta cada vez que intente un nmero especificado de acceso vlido sucesiva han
se han realizado.
Explicacin y notas\". El administrador de telecomunicaciones debe bloquear un
buzn de voz despus de cinco intentos sucesivos de vlido para iniciar sesin. El admin
istrador
debe entonces restablecer cualquier bloqueos de correo de voz manualmente.
Extensiones de telfono restringido de 3-11
Poltica\". Todo interno telfono extensiones a departamentos o grupos de trabajo qu
e
normalmente no reciben llamadas de llamadores externos (mesa de ayuda, sala de i
nformtica,
soporte tcnico empleado y as sucesivamente) deben ser programado para que estos
telfonos pueden alcanzarse slo de extensiones internas. Alternativamente, se puede
n
protegido por contrasea as empleados y otras personas autorizacin llamando desde
el exterior debe introducir la contrasea correcta.
Explicacin\/notas: Mientras el uso de esta poltica se bloque ms intentos por aficio
nados
los ingenieros sociales para alcanzar sus objetivos probables, debe sealarse que
un determinado
atacante a veces ser capaz de hablar de un empleado en llamar restringido
extensin y pidiendo a la persona que contesta el telfono para llamar al atacante,
o
simplemente la Conferencia en la extensin limitada. Durante el entrenamiento de s
eguridad, esto
mtodo de engaar empleados en ayudar al intruso debe discutirse a
empleado de sensibilizar acerca de estas tcticas.
Varios
Diseo de placa de 4-1 empleado
Poltica: Insignias empleado deben estar diseados para incluir una fotografa grande
que puede ser
reconocido desde la distancia.
Explicacin\/notas: Es la fotografa corporativas acreditaciones de diseo estndar,
por motivos de seguridad, slo ligeramente mejores que nada. La distancia entre un
persona entrando en el edificio y el guardia o recepcionista que tiene el
responsabilidad de comprobar la identificacin es generalmente tan grande que la i
magen es
demasiado pequeo para reconocer cuando la persona camina por. Para la foto de val
or en
Esta situacin, un rediseo de la insignia es necesario.
Revisin de los derechos de acceso de 4-2 al cambiar de posicin o responsabilidades
Poltica: Cada vez que un empleado de la compaa cambia posiciones o se le da mayor
o disminucin de trabajo responsabilidades, gestor del empleado notificar de la
cambio de responsabilidades del empleado hasta que el perfil de seguridad adecua
do
pueden asignarse.
Explicacin\/notas: Gestin de los derechos de acceso del personal es necesario
para limitar la divulgacin de informacin protegida. La regla de privilegio mnimo se
r
aplicar: los derechos de acceso asignados a los usuarios ser el mnimo necesario pa
ra
realizar su trabajo. Las solicitudes de cambios que resultan de los derechos de
acceso elevado
debe estar en conformidad con una poltica de concesin de derechos de acceso elevad
o.

Administrador del trabajador o el departamento de recursos humanos tendr la


responsabilidad de notificar al departamento de tecnologa de informacin correctame
nte
ajustar los derechos de acceso del titular de la cuenta segn sea necesario.
4-3 Especial de identificacin para los empleados no
Poltica: Su empresa debe emitir una insignia de empresa foto especial de confianz
a
gente de entrega y no empleados que tienen un negocio necesitan introducir la em
presa
locales sobre una base regular.
Explicacin\/notas: No empleados que necesitan entrar en el edificio regularmente
(para
ejemplo, para hacer las entregas de alimentos o bebidas a la cafetera, o para rep
arar
mquinas de copiar o hacer instalaciones telefnicas) puede representar una amenaza
para su
empresa. Adems de publicar identificacin a estos visitantes, asegrese de que su
los empleados estn capacitados para detectar un visitante sin una insignia y sabe
r cmo actuar en
esa situacin.
4-4 Deshabilitar cuentas de equipo para contratistas
Poltica: Cuando un contratista que ha recibido una cuenta de equipo
ha completado su asignacin, o cuando expire el contrato, el
administrador responsable notificar inmediatamente a la tecnologa de la informacin
Departamento para deshabilitar cuentas de equipo del contratista, incluyendo las
cuentas
utilizado para el acceso de la base de datos, dial-up o acceso a Internet desde
ubicaciones remotas.
Notas de la explicacin: W-gallina empleo del trabajador se termina, hay un
peligro que l o ella usar el conocimiento de los sistemas de su empresa y
procedimientos para obtener acceso a datos. Cuentas de equipo todos conocido o u
tilizado por el
trabajador debe desactivarse con prontitud. Esto incluye las cuentas que proporc
ionan acceso a
bases de datos de produccin, cuentas de acceso telefnico remotas y las cuentas uti
lizadas para el acceso
dispositivos informticos.
Incidente de 4-5 organizacin
Poltica: Un incidente informes debe establecerse la organizacin o, en menor
las empresas, un incidente informes individual y copia de seguridad designado, p
ara
recibir y distribuir alertas sobre posibles incidentes en
progreso.
Explicacin\/notas: mediante la centralizacin de los informes de presuntos incident
es de seguridad,
puede detectarse un ataque que lo contrario puede haber pasado desapercibido. En
el evento
que ataques sistemticos a travs de la organizacin son detectados y denunciados, el
incidente de organizacin puede ser capaz de determinar cul es el atacante
por lo que pueden hacer esfuerzos especiales para proteger los activos de destin
atarios.
Empleados asignados a recibir informes de incidentes deben familiarizarse con so
cial
Ingeniera de mtodos y tcticas, permitindoles evaluar informes y
reconocer cundo puede ser un ataque en curso.
Incidente de 4-6 informes lnea directa
Poltica: Una lnea directa al incidente de informes de la organizacin o persona, que
puede
consisten en una extensin de telfono fcil de recordar, debe establecerse.
Explicacin\/notas: Cuando los empleados sospechan que son el destino de un social

ataque de ingeniera, debe ser capaces de notificar de inmediato a la denuncia de


incidentes
Organizacin. A fin de que la notificacin oportuna, todos de la compaa telefnica
operadores y recepcionistas debe el nmero publicado o de otro tipo
inmediatamente a su disposicin.
Un sistema de alerta temprana de toda la empresa puede ayudar sustancialmente a
la organizacin en
detectar y responder a un ataque constante. Los empleados deben ser suficienteme
nte
bien entrenados que uno que sospecha que l o ella ha sido el destino de una socia
l
Ingeniera ataque llamar inmediatamente el incidente de informes en lnea directa. En
el incidente personal informes de conformidad con procedimientos publicados, ser
notificar inmediatamente a los grupos especficos que una intrusin puede ser tan en
progreso
el personal estar en alerta. Para que la notificacin oportuna, la presentacin de in
formes
nmero de telfono debe distribuirse ampliamente en toda la empresa.
Deben protegerse las zonas sensibles de 4-7
Poltica: Un guardia de seguridad se proyectar el acceso a reas sensibles o seguros
y debe
requieren dos formas de autenticacin.
Explicacin\/notas: Una forma aceptable de autenticacin utiliza digital
cerradura electrnica requiere un empleado a deslizar su insignia de empleado y es
criba
un cdigo de acceso. Es el mejor mtodo para proteger las zonas sensibles registrar
una seguridad
Guardia quien observa cualquier entrada de acceso controlado. En donde se trata
de organizaciones
no rentable, dos formas de autenticacin deben utilizarse para validar la identida
d.
Segn el riesgo y costo, se recomienda una tarjeta de acceso biomtrico habilitado.
Armarios de red y telfono 4-8
Poltica: Archivadores, armarios o locales que contengan cableado de red, cableado
, telfono o
puntos de acceso de red deben estar asegurados en todo momento.
Explicacin\/notas: Slo el personal autorizado podr
acceso al telfono y red armarios, habitaciones o armarios. Cualquiera fuera
personal de personas o un proveedor de mantenimiento debe identificarse positiva
mente mediante la
procedimientos publicados por el departamento responsable de la seguridad de la
informacin.
Acceso a lneas telefnicas, concentradores de red, conmutadores, puentes u otros re
lacionados equipo podra utilizarse por un atacante poner en peligro el equipo y l
a red
seguridad.
4-9 Bandejas de correo de Intracompany
Poltica: Intracompany bandejas de correo no se colocarn en las zonas accesibles al
pblico.
Explicacin\/notas: Espas industriales o intrusos de equipo que tienen
el acceso a cualquier recogida de correo intracompany puntos pueden enviar fcilme
nte falsificados
cartas de autorizacin o formas internas que autorizan personal para liberar
Informacin confidencial o para realizar accin .un que asiste al atacante.
Adems, el atacante puede enviar un disquete o medios electrnicos con
instrucciones para instalar una actualizacin de software, o abrir un archivo que
se ha incorporado la macro
comandos que sirven a los objetivos del intruso. Naturalmente, cualquier solicit
ud recibida por
correo intracompany se asume que es autntico por la parte que lo recibe.

4-10 El tabln de anuncios de empresa


Poltica: no se debe publicado boletines para beneficio de los trabajadores de la
empresa
en lugares donde el pblico tiene acceso.
Explicacin\/notas: Muchas empresas tienen tableros donde privado empresa
o se enva informacin personal para que cualquiera pueda leer. Avisos de empleador,
listas de empleados, memorandos internos, nmeros de contacto Inicio empleados enu
merados en el
la Junta con frecuencia se publican anuncios y otra informacin similar.
Boletines pueden estar situados cerca de cafeteras de la compaa, o muy cerca
fumar o salto de reas donde los visitantes tienen acceso libre. Este tipo de info
rmacin
no se hagan a los visitantes o el pblico.
Entrada de centro de equipo de 4-11
Poltica: El equipo sala o centro de datos debe ser bloqueado en todo momento y
el personal debe autenticar su identidad antes de escribir.
Explicacin\/notas: Seguridad de la empresa debera considerar la implementacin de un
a electrnica
lector de tarjetas insignia o acceso para todas las entradas se pueden registrar
electrnicamente y
auditados.
4-12 Cuentas de clientes con los proveedores de servicios
Poltica: Personal de la empresa que coloca pedidos de servicio con proveedores qu
e ofrecen
servicios crticos para la empresa deben establecer una contrasea de la cuenta para
evitar que
personas no autorizadas de pedidos en nombre de la empresa.
Explicacin\/notas: Empresas de servicios pblicos y muchos otros proveedores permit
en a los clientes
configurar una contrasea en la solicitud; la empresa debe establecer contraseas co
n todos
proveedores que ofrecen servicios de misin crtica. Esta poltica es especialmente crt
ica para
telecomunicaciones y servicios de Internet. Pueden ser cualquier servicios crtico
s de tiempo
afectados, un secreto compartido es necesario verificar que el llamador est autor
izado a colocar
tales rdenes. Nota, tambin, identificadores tacloems osocial nmero de la segucroidr
pado,rativo
nmero de identificacin del contribuyente, apellido materno o identificadores simil
ares deben
no deben utilizarse. Un ingeniero social podra, por ejemplo, llamar a la compaa tel
efnica
y dar rdenes para agregar caractersticas como llamada reenvo a marcado en lneas de md
em
o hacer una solicitud al proveedor de servicios de Internet para cambiar la trad
uccin
informacin para proporcionar una direccin IP falsa cuando los usuarios realizan un
nombre de bsqueda.
Persona de contacto de 4-13 departamental
Poltica: Su empresa puede instituir un programa en virtud de que cada departament
o o
Grupo de trabajo asigna a un empleado la responsabilidad de actuar como un punto
de contacto tan
que cualquier personal fcilmente puede verificar la identidad de personas descono
cidas que pretenden
ser de ese departamento. Por ejemplo, puede comunicarse con la mesa de ayuda el
persona punto departamentales para verificar la identidad de un empleado que est
solicitando
apoyo.

Explicacin\/notas: Este mtodo de verificacin de identidad reduce el grupo de


empleados que estn autorizados para atestiguar empleados dentro de su departament
o
cuando dichos empleados solicitan apoyo tales como el restablecimiento de contra
seas u otros
cuestiones relacionadas con la cuenta de equipo.
Ataques de ingeniera social son exitosos, en parte porque soporte tcnico
personal es presionado por el tiempo y no comprobar correctamente la identidad d
e
solicitantes. Por lo general apoyo personal no puede reconocer personalmente tod
os autorizados
personal debido a la cantidad de empleados en las organizaciones ms grandes. El p
untomtodo
de la persona de dar fe limita el nmero de empleados soporte tcnico
personal que deba estar familiarizado personalmente con fines de verificacin.
Contraseas del cliente de 4-14
Poltica: Los representantes de servicio al cliente no tendr la capacidad para recu
perar
contraseas de cuentas de cliente.
Explicacin\/notas: ingenieros sociales frecuentemente llaman a clientes departame
ntos de servicio
y, con un pretexto, intentar obtener informacin de autenticacin del cliente,
como la contrasea o nmero de seguridad social. Con esta informacin, la social
Ingeniero, a continuacin, puede llamar a otro representante de servicio, pretensin
que el cliente,
y obtener informacin o realizar pedidos fraudulentos.
Para impedir que estos intentos sucesivos, software de servicio al cliente
debern estar diseados para que los representantes slo pueden escribir en la autenti
cacin
informacin proporcionada por el llamador y recibir una respuesta del sistema de
indica si la contrasea es correcta o no.
Pruebas de vulnerabilidad de 4-15
Poltica: Notificacin de la empresa utilice tcticas de ingeniera social para probar s
eguridad
vulnerabilidades es necesario durante el empleado y la formacin de conciencia de
seguridad
orientacin.
Explicacin\/notas: sin notificacin de pruebas de penetracin de la ingeniera social,
personal de la empresa puede sufrir vergenza, enojo u otros traumas emocionales
el uso de tcticas engaosas utilizadas contra ellos por otros empleados o
contratistas. Colocando nuevas contrataciones en aviso durante la orientacin del
proceso
pueden ser sometidas a esta prueba, prevencin de tales conflictos.
Pantalla de 4-16 de la empresa informacin confidencial
Poltica: Informacin de la empresa no designado para hacerlo pblico no ser
aparece en las zonas accesibles al pblico.
Explicacin\/notas: Adems de informacin de producto o procedimiento confidencial,
informacin de contacto interno como telfono interno o listas de empleados, o
creacin de listas que contienen una lista de personal de administracin para cada d
epartamento
dentro de la empresa tambin debe mantenerse fuera de la vista.
Formacin de conciencia de seguridad de 4-17
Poltica: Todas las personas empleadas por la empresa deben completar una segurida
d
curso de formacin de conciencia durante la orientacin del empleado. Adems, cada
empleado debe tomar un curso de repaso de conciencia de seguridad a intervalos p
eridicos,
no debe exceder de doce meses, segn lo requiera el Departamento asignado con
responsabilidad de la formacin en seguridad.
Explicacin\/notas: Muchas organizaciones desatender la formacin de conciencia del

usuario final
en total. Segun el 2001 informacin seguridad Encuesta Global, slo 30
por ciento de las organizaciones encuestadas gastar dinero en la formacin de la c
onciencia para
su comunidad de usuarios. Formacin de conciencia es un requisito esencial para mi
tigar
infracciones de seguridad exitoso utilizando tcnicas de ingeniera social.
4-18 Curso de formacin de seguridad para el acceso de equipo
Poltica: El personal debe asistir y completar correctamente una informacin de segu
ridad
curso antes de ser dado acceso a los sistemas informticos corporativos.
Explicacin\/notas: ingenieros sociales nuevos empleados, conocer destino
que como grupo son generalmente las personas menos probables que sea consciente
de la
las directivas de seguridad de la empresa y los procedimientos apropiados para d
eterminar la clasificacin
y manejo de informacin confidencial.
Su formacin debe incluir una oportunidad a los empleados para hacer preguntas sob
re
polticas de seguridad. Despus de un entrenamiento, titular de la cuenta deben firm
ar un
documento reconociendo su comprensin de las polticas de seguridad y sus
acuerdo para acatar las polticas.
Insignia de 4-19 empleados debe ser codificados por colores
Poltica: Insignias de identificacin deben ser codificados por colores para indicar
si la insignia
titular es un empleado, contratista, temporal, proveedor, consultor, visitante,
o
pasante.
Explicacin\/notas: El color de la insignia es una excelente manera de determinar
el estado de una persona a distancia. Una alternativa sera utilizar grandes
letras para indicar el titular de la tarjeta de identificacin Estado, pero utiliz
ando una combinacin de colores inconfundible y fciles de ver.
Es una tctica comn de ingeniera social para obtener acceso a un edificio fsico
vestirse como un tcnico de persona o reparacin de entrega. Una vez dentro de las i
nstalaciones, la
atacante ser hacerse pasar por otro empleado o mentir sobre su condicin para obten
er
cooperacin de empleados confiados. El propsito de esta poltica es
impedir que la gente entrando en el edificio legtimamente y penetrar en zonas
no deben tener acceso a. Por ejemplo, una persona entrando en el fondo como un
tcnico de reparaciones de telfono no sera capaz de hacerse pasar por un empleado: e
l
color de la insignia le dara lejos.
POLTICAS DE TECNOLOGAS DE LA INFORMACIN
El departamento de tecnologa de informacin de cualquier empresa tiene una necesida
d especial
las polticas que ayudarle a protegen los activos de informacin de las organizacion
es. Para reflejar la
estructura tpica de las operaciones de TI de una organizacin, he dividido la TI
polticas en General, Help Desk, administracin de equipo y equipo
Operaciones.
General
Informacin contacto de empleado de departamento de TI de 5-1
Poltica: Direcciones de correo electrnico y nmeros de telfono de cada departamento d
e TI
empleados no deben ser divulgados a cualquier persona sin necesidad de saber.
Explicacin\/notas: El propsito de esta poltica es evitar que la informacin de contac
to
de ser maltratado por los ingenieros sociales. Por slo revelar un contacto genera

l
nmero o correo electrnico, se bloquearn los forasteros de ponerse en contacto con l
o
personal de departamento directamente. La direccin de correo electrnico del sitio
administrativo contactos tcnicos slo debe consisten en genrico nombres como
admin@CompanyName.com; publicado telfono nmeros deben conectarse a un
buzn de voz departamental, no a los trabajadores individuales.
Cuando hay disponible informacin de contacto directa, es fcil para un equipo
intruso para llegar a empleados de TI especficos y engaar que proporciona informac
in
que puede utilizarse en un ataque, o para hacerse pasar por empleados de TI medi
ante el uso de sus
los nombres e informacin de contacto.
Solicitudes de soporte tcnico de 5-2
Poltica: Todas las solicitudes de asistencia tcnica deben remitirse al grupo que c
ontrola
esas solicitudes.
Explicacin\/notas: ingenieros sociales pueden intentar dirigir al personal de TI
que hacen
normalmente no manejar problemas de soporte tcnico, y que no sea consciente de la
procedimientos de seguridad adecuados cuando dichas solicitudes. En consecuencia
, el personal de TI
debe estar formado para negar estas solicitudes y el llamador se refieren al gru
po que ha
la responsabilidad de proporcionar apoyo.
Mesa de ayuda
Procedimientos de acceso remoto de 6-1
Poltica: Personal del servicio de ayuda no debe divulgar detalles o instrucciones
con respecto a
acceso remoto, incluyendo nmeros de acceso telefnico, o puntos de acceso de red ex
terna
a menos que el solicitante ha sido:
Verificado como autorizado para recibir informacin interna; y,
Verificado como autorizado para conectarse a la red corporativa como un usuario
externo.
A menos que se conoce sobre una base de persona a persona, el solicitante debe s
er positiva
identificados de conformidad con la verificacin y procedimientos de autorizacin
se indica al principio de este captulo.
Explicacin\/notas: La mesa de ayuda corporativa es a menudo un objetivo principal
para la
ingeniero social, porque la naturaleza de su trabajo es ayudar a los usuarios co
n
cuestiones relacionadas con la informtica, y debido a generalmente han elevado si
stema
privilegios. Todo el personal de recepcin ayuda deber recibir una formacin para act
uar como un servidor prevenir la divulgacin no autorizada de informacin que ayudar
a cualquier no autorizado
personas que obtengan acceso a recursos de la empresa. La regla simple es nunca
divulgar los procedimientos de acceso remoto a nadie hasta la verificacin positiv
a de la identidad
se ha hecho.
Contraseas de restablecimiento de 6-2
Poltica: La contrasea para una cuenta de usuario puede reiniciarse slo a peticin de
la
titular de la cuenta.
Explicacin\/notas: La estratagema ms comunes utilizada por los ingenieros sociales
es tener
contrasea de cuenta de otra persona restablecer o cambiado. El atacante se hace p
asar por el

empleado con el pretexto de que su contrasea fue perdido u olvidado. En un esfuer


zo
para reducir el xito de este tipo de ataque, un empleado de TI recibir una solici
tud de
debe llamar a restablecer una contrasea empleado antes a realizar ninguna accin; e
l
llama de regreso no debe hacerse a un nmero de telfono proporcionado por el solici
tante, sino a una
nmero obtenido el directorio telefnico de empleados. Consulte verificacin y
Procedimientos de autorizacin para obtener ms informacin acerca de este procedimien
to.
Privilegios de acceso de cambio de 6-3
Poltica: Todas las solicitudes para aumentar los privilegios del usuario o los de
rechos de acceso aprobado por escrito por el administrador del titular de la cue
nta. Cuando el cambio se realiza un
confirmacin debe enviarse al administrador solicitante va correo intracompany.
Adems, dichas solicitudes deben verificarse como autnticos de conformidad con el
Verificacin y procedimientos de autorizacin.
Explicacin\/notas: Una vez que un intruso de equipo ha comprometido un usuario es
tndar
cuenta, el siguiente paso es elevar sus privilegios por lo que el atacante tiene
control total sobre el sistema comprometido. Un atacante que tiene conocimiento
de la autorizacin de proceso puede simular una solicitud autorizada al correo ele
ctrnico, fax, o
telfono sirven para transmitirlo. Por ejemplo, el atacante puede telfono tcnica
apoyo o la mesa de ayuda y intento de persuadir a un tcnico para otorgar adiciona
les
derechos de acceso a la cuenta del peligro.
Autorizacin de cuenta nueva de 6-4
Poltica: Una peticin para crear una cuenta nueva para un empleado, contratista,
o persona autorizada debe ser hecha ya sea por escrito y firmado por el
Gestor del empleado, o enviado por correo electrnico firmado digitalmente. Estas
solicitudes
Tambin debe verificarse mediante el envo de una confirmacin de la solicitud a travs
de
intracompany correo.
Explicacin\/notas: Porque las contraseas y otra informacin til para romper
en equipo, los sistemas son los ms altos objetivos prioritarios de ladrones de in
formacin para
para acceder, precauciones especiales son necesarias. La intencin de esta poltica
es
para impedir que los intrusos equipo suplantando autorizado personal o
forja solicitudes para nuevas cuentas. Por lo tanto, todas estas solicitudes deb
en ser positivamente
verificado mediante la verificacin y procedimientos de autorizacin.
6-5 Entrega de nuevas contraseas
Poltica: Nuevas contraseas deben manejarse como empresa de informacin confidencial,
entregado por mtodos seguros incluidos en persona; por una entrega de firmas nece
sarias
servicio como correo certificado; o por UPS o FedEx. Ver las polticas relativas a
distribucin de la informacin confidencial.
Explicacin\/notas: Correo Intracompany tambin puede utilizarse, pero se recomienda
que las contraseas se envan en sobres seguros que oscurecen el contenido. Una prop
uesta
mtodo consiste en establecer una persona punto de equipo en cada departamento que
tiene el
responsabilidad de controlar la distribucin de nuevos detalles de la cuenta y dar
fe
la identidad del personal que pierde u olvida su contrasea. En estos
circunstancias, personal de apoyo estara siempre trabajando con un grupo menor

de empleados que reconocera personalmente.


6-6 Deshabilitar una cuenta
Poltica: a la desactivacin de una cuenta de usuario debe necesita verificacin posit
iva
que la solicitud fue hecha por personal autorizado.
Explicacin\/notas: La intencin de esta poltica es evitar que un atacante
suplantacin de una solicitud para deshabilitar una cuenta y, a continuacin, llamar
a solucionar la
incapacidad del usuario para acceder al sistema de equipo. Cuando llama el ingen
iero social
hacindose pasar por un tcnico con conocimientos preexistentes de incapacidad del u
suario para iniciar en, la vctima a menudo cumple con una solicitud para revelar
su contrasea durante
el proceso de solucin de problemas.
Deshabilitar puertos de red o dispositivos de 6-7
Poltica: Ningn empleado debe deshabilitar cualquier puerto o dispositivo de red pa
ra cualquier
personal de soporte tcnico sin verificar.
Explicacin\/notas: La intencin de esta poltica es evitar que un atacante
simulacin de una solicitud para deshabilitar un puerto de red y, a continuacin, ll
amar al trabajador
solucionar problemas de su propia incapacidad para acceder a la red.
Cuando el ingeniero social, hacindose pasar por un tcnico til, llama con preexisten
tes
conocimiento del problema en la red del usuario, la vctima a menudo cumple con un
a
solicitud para revelar su contrasea durante el proceso de solucin de problemas.
6-8 Divulgacin de procedimientos para el acceso inalmbrico
Poltica: Ningn personal debe revelar los procedimientos para acceder a los sistema
s de la empresa
travs de redes inalmbricas a partes no autorizadas para conectar con el wireless
red.
Explicacin\/notas: Siempre obtener verificacin previa de un solicitante como una p
ersona
autorizados a conectarse a la red corporativa como un usuario externo antes de
Liberacin de informacin de acceso inalmbrico. Consulte verificacin y autorizacin
Procedimientos.
6-9 Tickets de problemas de usuario
Poltica: Los nombres de los empleados que han reportado relacionadas con la infor
mtica
problemas no deben ser revelados fuera del departamento de tecnologa de informacin
.
Explicacin\/notas: En un ataque tpico, un ingeniero social llamar la
Mesa de ayuda y pedir los nombres de cualquier personal que ha reportado recient
es
problemas del equipo. El llamador puede pretender ser un empleado, proveedor, o
un
empleado de la compaa telefnica. Una vez que obtiene los nombres de las personas
informes de problemas, el ingeniero social, hacindose pasar por una mesa de ayuda
o soporte tcnico
persona, contacta con el empleado y dice que est llamando para solucionar el
problema. Durante la llamada, el atacante engaa a la vctima en proporcionar la
desea informacin o en realizar una accin que facilite el atacante
objetivo.
6-10 Iniciacin ejecutar comandos o programas en ejecucin
Poltica: El personal empleado en el departamento de TI que han privilegiado las c
uentas
no debe ejecutar todos los comandos o ejecutar los programas de aplicacin a petic
in
de cualquier persona conocida no personalmente a ellos.

Explicacin\/notas: Un uso comn de los atacantes de mtodo para instalar un troyano


programa u otro software malintencionado es cambiar el nombre de una existente
programa y entonces llamada quejndose de mesa de ayuda que es un mensaje de error
aparece cuando se intenta ejecutar el programa. El atacante
persuade al tcnico de mesa de ayuda para ejecutar el programa en s mismo. Cuando e
l
tcnico cumple, el software malintencionado hereda los permisos del usuario
ejecutar el programa y realiza una tarea, que da el atacante igual
privilegios de equipo como el empleado de mesa de ayuda. Esto puede permitir al
atacante
tomar el control del sistema del empresa.
Esta poltica establece una contramedida a esta tctica, que requieren que el apoyo
personal verifica el estado de empleo antes de ejecutar cualquier programa a pet
icin
un llamador.
Administracin de equipo
Cambio global de 7-1 los derechos de acceso
Poltica: Una solicitud para cambiar los derechos de acceso global asociados con u
na electrnica
Perfil de trabajo debe ser aprobado por el grupo asignado la responsabilidad de
gestin de los derechos de acceso de la red corporativa.
Notas de la explicacin: el personal autorizado analizar cada solicitud que
determinar si el cambio podra implicar una amenaza para la seguridad de la inform
acin. Si es as,
el responsable ocupar de las cuestiones pertinentes con el solicitante y
conjuntamente, llegar a una decisin sobre los cambios a realizarse.
Solicitudes de acceso remoto de 7-2
Poltica: Solamente se proporcionar acceso remoto computadora personal que tienen u
n
demostrada la necesidad de acceder a sistemas informticos corporativos desde luga
res remotos.
La solicitud debe ser hecha por el administrador del empleado y verificada como
se describe en
la seccin de verificacin y procedimientos de autorizacin.
Explicacin\/notas: Reconociendo la necesidad de acceso externo en la empresa
red por personal autorizado, limitar dicho acceso slo a las personas con una nece
sidad
puede reducir drsticamente riesgo y gestin de usuarios de acceso remoto. El
menor el nmero de personas con acceso telefnico externoprivilegios, cuanto menor s
ea la
Piscina de posibles objetivos para un atacante. Nunca olvidar que el atacante ta
mbin puede
los usuarios remotos con la intencin de secuestrar su conexin en el corporativo de
destino
la red, o hacindose pasar como ellos durante un pretexto por llamar.
Contraseas de cuentas de restableciendo el privilegio de 7-3
Poltica: Una solicitud para restablecer una contrasea para una cuenta con privileg
ios debe ser aprobada
por el administrador del sistema o el administrador responsable de equipo en el
que
existe la cuenta. La nueva contrasea debe enviarse por correo intracompany o
entrega en persona.
Explicacin y notas\". Las cuentas con privilegios tienen acceso a todos los recur
sos de sistema y
archivos almacenados en el sistema informtico. Naturalmente, estas cuentas merece
n la
mayor proteccin posible.
7-4 Fuera de acceso remoto del personal de apoyo
Poltica: No fuera persona de apoyo (tales como proveedor de software o hardware
personal) puede darse cualquier informacin de acceso remoto o estar permitido el

acceso a
cualquier sistema informtico de empresa o dispositivos relacionados sin verificac
in positiva de
identidad y autorizacin para realizar dichos servicios. Si el proveedor requiere
acceso privilegiado para proporcionar servicios de apoyo, la contrasea para la cu
enta utilizada
el proveedor deber cambiarse inmediatamente despus de que el servicios de proveedo
r ha sido
completado.
Explicacin\/notas: Los atacantes del equipo pueden plantear como proveedores para
obtener acceso a
redes corporativas de equipo o de telecomunicaciones. Por lo tanto, es esencial
que
verificar la identidad del proveedor adems de su autorizacin para realizar
cualquier trabajo en el sistema. Adems, deben ser de golpe las puertas en el sist
ema
cerrar una vez que su trabajo es hecho por cambiar la contrasea de la cuenta util
izada por el proveedor.
Ningn proveedor debe poder elegir su propia contrasea de cualquier cuenta,
incluso temporalmente. Algunos proveedores han sido conocidos por utilizar la mi
sma o similar
contraseas en mltiples sistemas de cliente. Por ejemplo, seguridad de una red
empresa configura cuentas con privilegios en los sistemas de sus clientes con el
mismo
contrasea y para aadir insulto a la injuria, con acceso exterior de Telnet activad
o.
Autenticacin segura de 7-5 para el acceso remoto a sistemas corporativos
Poltica: Los puntos de conexin en la red corporativa desde ubicaciones remotas
debe protegerse mediante el uso de dispositivos de autenticacin fuerte, tales com
o
contraseas dinmicas o biometra.
Explicacin\/notas: Muchas empresas dependen de contraseas estticas como el nico medi
o
de autenticacin para usuarios remotos. Esta prctica es peligrosa porque es
inseguridad: intrusos equipo destino cualquier punto de acceso remoto que puede
ser la
eslabn dbil en la red de la vctima. Recuerde que nunca se sabe cundo
alguien sabe la contrasea.
En consecuencia, se deben proteger los puntos de acceso remotocon fuerte
autenticacin como smbolos basados en el tiempo, las tarjetas inteligentes o dispos
itivos biomtricos, que las contraseas interceptadas son de ningn valor para un atac
ante.
Cuando la autenticacin basada en contraseas dinmicas es impracticable, los usuarios
de computadoras
religiosamente debe adherirse a la poltica para elegir contraseas difciles de adivi
nar.
Configuracin del sistema operativo 7-6
Poltica: Los administradores de sistemas velar por que, siempre que sea posible, d
e funcionamiento
los sistemas estn configurados para que sean coherentes con toda seguridad pertin
ente
polticas y procedimientos.
Explicacin\/notas: Elaboracin y distribucin de las polticas de seguridad son un fund
amental
paso hacia la reduccin del riesgo, pero en la mayora de los casos, cumplimiento ne
cesariamente queda el empleado individual. Hay, sin embargo, cualquier nmero de i
nformticos
polticas que se pueden hacer obligatorias a travs de la configuracin del sistema op
erativo, tales como
la longitud requerida de contraseas. Automatizar las polticas de seguridad de conf

iguracin
de parmetros de sistema operativo efectivamente toma la decisin de los humanos
manos del elemento, aumentar la seguridad general de la organizacin.
Caducidad obligatoria de 7-7
Poltica: Todas las cuentas de equipo deben establecerse a punto de caducar despus
de un ao.
Explicacin\/notas: La intencin de esta poltica es eliminar la existencia de
cuentas de equipo que ya no se utilizan, desde intrusos de equipo
comnmente latentes cuentas de destino. El proceso asegura a cualquier equipo
cuentas pertenecientes a ex empleados o contratistas que han
sin darse cuenta dej en su lugar se desactivan automticamente.
A discrecin de la administracin, podr exigir que los empleados deben tener una segu
ridad
cursos de repaso del curso en el momento de la renovacin, o debe revisar la segur
idad de la informacin
polticas y firmar un acuse de recibo de su acuerdo a que se adhieran a ellos.
Direcciones de correo electrnico genrico de 7-8
Poltica: El departamento de tecnologa de la informacin establecer un correo genrico
direccin para cada departamento dentro de la organizacin que ordinariamente se com
unica
con el. pblico.
Explicacin\/notas: La direccin de correo electrnico genrico puede ser lanzada al pbli
co por la
recepcionista de telfono o publicado en el sitio de Web de la empresa. De lo cont
rario, cada
empleado slo deber revelar su direccin de correo electrnico personal a personas que
tiene verdadera necesidad de saber.
Durante la primera fase de un ataque de ingeniera social, el atacante a menudo in
tenta
obtener nmeros de telfono, nombres y ttulos de los empleados. En la mayora de los ca
sos, esto
informacin est disponible pblicamente en el sitio Web de empresa o simplemente por
la pregunta.
Creacin de buzones de voz genrica o direcciones de correo electrnico hace que sea d
ifcil
asociar nombres de empleados con responsabilidades o departamentos particulares.
Informacin de contacto de 7-9 para registros de dominio
Poltica: Cuando se registra para la adquisicin de espacio de direcciones de Intern
et o
nombres de host, la informacin de contacto administrativo, tcnico u otros
personal no debera identificar a cualquier personal individual por su nombre. En
su lugar, le
debe poner una direccin de correo electrnico genrico y el nmero de telfono principal
corporativa.
Explicacin\/notas: El propsito de esta poltica es evitar que la informacin de contac
to
de ser abusado por un intruso de equipo. Cuando los nombres y nmeros de telfono
de los individuos son siempre, un intruso puede utilizar esta informacin para pon
erse en contacto con individuos e intentar engaarles para que revelen informacin d
el sistema, o a
realizar un elemento de accin que facilita el objetivo del atacante. O lo social
ingeniero puede suplantar a una persona enumerada en un esfuerzo por engaar a otr
a empresa
personal.
En lugar de una direccin de correo electrnico a un empleado en particular, la info
rmacin de contacto
debe ser en forma de administrator@company.com. Telecomunicaciones
personal del departamento puede establecer un buzn de voz genrica para administrat
ivo o
contactos tcnicos para limitar la divulgacin de informacin que sera til en un

ataque de ingeniera social.


7-10 Instalacin de actualizaciones de seguridad y sistema operativo
Poltica: Todos los parches de seguridad para el sistema operativo y software de a
plicacin sern
instalarse tan pronto como estn disponibles. Si esta poltica entra en conflicto co
n la
funcionamiento de los sistemas de misin crtica producciones, dichas actualizacione
s deben ser
lleva a cabo tan pronto como sea posible.
Explicacin\/notas: Una vez que se ha detectado una vulnerabilidad, el software
fabricante debe ser contactado inmediatamente para determinar si un
parche o una solucin temporal ha sido a disposicin de cerrar la vulnerabilidad.
Un sistema informtico un-patched representa uno de los mayor seguridad
amenazas para la empresa. Cuando los administradores del sistema pereza sobre
aplicar las correcciones necesarias, est abierta la ventana de exposicin tan ampli
a que
ningn atacante puede subir a travs de.
Docenas de vulnerabilidades de seguridad se identifican y publicados semanalment
e en la
Internet. Hasta personal de tecnologa de informacin est vigilante en sus esfuerzos
por aplicar
toda la seguridad y parches lo antes posible, a pesar de estos sistemas estn
detrs del firewall de la empresa, la red corporativa siempre estar en riesgo de
sufre un incidente de seguridad. Es extremadamente importante mantener informada
de
vulnerabilidades de seguridad publicados identificadas en el sistema operativo o
cualquier
programas de aplicacin utilizados durante el curso del negocio.
Informacin de contacto de 7-11 en sitios Web
Poltica: Sitio Web externo de la compaa no divulgarn ningn detalle de las empresas
estructura o identificar a los empleados por su nombre.
Explicacin\/notas: Informacin de estructura empresarial, como organigramas,
grficos de jerarqua, empleado o listas departamentales, informes de estructura, no
mbres,
posiciones, nmeros de contacto internos, nmero de empleados o informacin similar
que se utiliza para procesos internos no se hagan en pblico
sitios Web accesibles.
Los intrusos de equipo a menudo obtienen informacin muy til sobre el sitio de Web
de destino.
El atacante utiliza esta informacin para que aparezca como un empleado conocedor
de 206
Cuando se utiliza un pretexto o una treta. El ingeniero social es ms probable que
establecer
credibilidad al tener esta informacin a su disposicin.
Por otra parte, el atacante puede analizar esta informacin para averiguar los obj
etivos probables
que tengan acceso a informacin valiosa, sensible o crtico.
7-12 Creacin de cuentas con privilegios
Poltica\". No debe crearse ninguna cuenta privilegiada o sistema privilegios otor
gados a
cualquier cuenta salvo autorizacin por el administrador del sistema o el administ
rador del sistema.
Explicacin y notas\". Los intrusos equipo plantean frecuentemente como hardware o
software
proveedores en un intento de dpdo personal de tecnologa de informacin en la creacin
de
cuentas no autorizadas. La intencin de esta poltica es bloquear estos ataques por
establecer un mayor control sobre la creacin de cuentas con privilegios. El siste
ma
Administrador o administrador del sistema debe aprobar cualquier solicitud de

crear una cuenta con privilegios elevados.


Cuentas de invitado de 7-13
Poltica: Las cuentas de invitado en los sistemas informticos o relacionados conexo
s dispositivos de ser desactivado o eliminado, excepto para un servidor FTP (file
transfer protocol)
aprobados por la gerencia con habilitado el acceso annimo.
Explicacin\/notas: La intencin de la cuenta de invitado es proporcionar temporal
acceso para personas que no necesitan tener su propia cuenta. Varios operativos
sistemas se instalan de forma predeterminada con una cuenta de invitado habilita
da. Cuentas de invitado
siempre debe estar deshabilitada porque su existencia viola el principio de usua
rio
rendicin de cuentas. Debe ser capaz de cualquier actividad relacionada con el equ
ipo de auditora y se relacionan
que a un usuario especfico.
Los ingenieros sociales son fcilmente capaces de tomar ventaja de estas cuentas d
e invitado para
obtener acceso no autorizado, ya sea directamente o por timar autorizado persona
l
en uso de una cuenta de invitado.
7-14 El cifrado de datos de copia de seguridad fuera del sitio
Poltica: Los datos de la empresa que se almacenan fuera del sitio deben estar cif
rados para evitar
acceso no autorizado.
Explicacin\/notas: Personal de operaciones debe asegurar que los datos son recupe
rables en el
evento que cualquier informacin necesita ser restaurada. Esto requiere prueba reg
ular
descifrado de un muestreo aleatorio de archivos cifrados para asegurarse de que
los datos puede ser
recuperado. Adems, las claves utilizadas para cifrar los datos debern ser escrowed
con un
Administrador de confianza en el evento las claves de cifrado se pierde o no est
disponible.
Acceso de visitantes de 7-15 para las conexiones de red
Poltica: Todos los puntos de acceso Ethernet pblicamente accesibles deben estar en
un segmentado
red para impedir el acceso no autorizado a la red interna.
Explicacin\/notas: La intencin de esta poltica es evitar a cualquier forneos de
conexin a la red interna cuando en instalaciones de la empresa. Conectores de Eth
ernet
instalado en salas de conferencias, la cafetera, centros de capacitacin u otras rea
s
accesible a los visitantes ser filtrados para impedir el acceso no autorizado por
los visitantes
los sistemas informticos corporativos.
El administrador de red o de seguridad, puede configurar un virtual
LAN en un switch, si est disponible, para controlar el acceso de estas ubicacione
s.
Mdems de acceso telefnico de 7-16
Poltica: Los mdems para acceso telefnico llamadas se fijar para responder no antes
que el cuarto anillo.
Explicacin\/notas: Como se muestra en la pelcula juegos de guerra, los piratas inf
ormticos tcnica conocida como Guerra de marcado para localizar lneas telefnicas que
tienen mdems
conectados a ellos. El proceso comienza con el atacante identificar el telfono
prefijos utilizados en el rea donde se encuentra la compaa de destino. Un anlisis
programa se utiliza para tratar cada nmero de telfono en los prefijos, para locali
zar
aquellos que responden con un mdem. Para acelerar el proceso, estos programas son

configurado para esperar uno o dos anillos para una respuesta de mdem antes de ir
a
Pruebe el siguiente nmero. Cuando una empresa establece la respuesta automtica en
las lneas de mdem menos cuatro anillos, programas de anlisis no reconocer la lnea co
mo un mdem
lnea.
Software antivirus 7-17
Poltica: Cada equipo tendr versiones actuales del software antivirus
instalado y activado.
Explicacin\/notas: para aquellas empresas que no empuje automticamente hacia abajo
archivos antivirus de patrn y software (programas que reconocen patrones comunes
a
software antivirus para reconocer nuevos virus) a los escritorios de ol oess tua
scuioanrieoss de trabajo,
usuarios individuales deben asumir la responsabilidad de instalar y mantener el
software en sus propios sistemas, incluidos cualquier equipo utilizado para
acceso a la red corporativa remotamente.
Si es posible, debe establecerse este software de actualizacin automtica de virus
y troyanos
firmas por la noche. Cuando moscas patrn o firma no son empujados hacia abajo al
usuario
computadoras de escritorio, los usuarios de computadoras tendrn la responsabilida
d para actualizar menos semanalmente.
Estas disposiciones se aplican a todas las mquinas de escritorio y equipos porttil
es que utilizan sistemas informticos de la empresa y se aplican si el equipo es e
mpresa
propiedad o propiedad personalmente.
Adjuntos de correo electrnico entrantes de 7-18 (requisitos de alta seguridad)
Poltica: en una organizacin con requisitos de alta seguridad, el firewall corporat
ivo
deber configurarse para filtrar todos los adjuntos de correo electrnico.
Explicacin\/notas: Esta poltica se aplica slo a las empresas con alta seguridad
requisitos, o a aquellos que no tienen ningn negocio que deba recibir adjuntos
a travs de correo electrnico.
7-19 Autenticacin de software
Poltica: Todo nuevo software o soluciones de software o actualizaciones, si en fsi
ca
medios de comunicacin o obtenida a travs de Internet, deben verificarse como autnti
cos antes
instalacin. Esta poltica es especialmente relevante para la tecnologa de la informa
cin
Departamento al instalar cualquier software que requiera privilegios de sistema.
Explicacin y notas: Incluyen programas informticos mencionados en esta poltica
componentes del sistema operativo, software de aplicacin, correcciones, revisione
s o cualquier
actualizaciones de software. Muchos fabricantes de software han implementado mtod
os
segn la cual los clientes pueden comprobar la integridad de cualquier distribucin,
generalmente firma digital. En cualquier caso donde la integridad no puede veri
ficarse, el
fabricante debe ser consultado para verificar que el software es autntico.
Los atacantes del equipo han llegado a enviar el software a una vctima, envasada
para
parece como si el fabricante del software haba producido y enviado a la
empresa. Es imprescindible que verifique cualquier software que recibe como autnt
icos,
especialmente si no solicitados, antes de instalar en los sistemas de la empresa
.
Tenga en cuenta que un atacante sofisticado podra averiguar que su organizacin ha
software ordenado de un fabricante. Con esa informacin en mano, el atacante

puede cancelar el pedido al fabricante real y ordenar el software mismo.


El software entonces se modifica para realizar alguna funcin malintencionado y se
enva
o entregados a su empresa, en su embalaje original, con si paletizacin
es necesario. Una vez instalado el producto, el atacante est en control.
Contraseas predeterminadas de 7-20
Poltica: Todos operan los dispositivos de hardware y software de sistema que inic
ialmente
tienen un conjunto de contrasea en un valor predeterminado debe tener sus contras
eas restablecer conformidad con la Directiva de contraseas de la empresa.
Explicacin y notas: Son varios sistemas operativos y dispositivos informticos
acompaa las contraseas por defecto--es decir, con la misma contrasea activada
cada unidad vendida. Fracaso para cambiar la contrasea predeterminada es un grave
error que coloca
la empresa en situacin de riesgo.
Contraseas predeterminadas son ampliamente conocidas y estn disponibles en la Web
de Internet
sitios. En un ataque, la primera contrasea que un intruso intenta es el valor por
defecto de fabricante s
contrasea.
Bloqueo (bajo a nivel de seguridad medio) de intentos de acceso no vlido de 7-21
Poltica: especialmente en una organizacin con bajos requerimientos de seguridad me
dia,
siempre un nmero especificado de inicio de sesin no vlido sucesivo intentos a un de
terminado
se han hecho la cuenta, la cuenta debe ser bloqueada por un perodo de tiempo.
Explicacin\/notas: Todos los servidores y estaciones de trabajo de empresa deben
establecer
para limitar el nmero de invlidos sucesivos intentos iniciar sesin en. Esta poltica
es
necesarias para impedir la contrasea adivinando por ensayo y error, los ataques d
e diccionario, o
fuerza bruta intenta obtener acceso no autorizado.
El administrador del sistema debe establecer la configuracin de seguridad para bl
oquear un
cuenta siempre ha sido el umbral deseado de sucesivos intentos no vlidos
alcanzado. Se recomienda que se bloquee una cuenta de al menos treinta
minutos despus de siete intentos sucesivos de inicio de sesin.
Cuenta deshabilitada (alta seguridad) de intentos de acceso no vlido de 7-22
Poltica: en una organizacin con requisitos de alta seguridad, siempre que un espec
ificado
nmero de intentos de inicio de sesin no vlidas sucesivas en una cuenta determinada
ha sido
hecho, la cuenta debe deshabilitar hasta restablecer por el grupo responsable
cuenta de apoyo.
Explicacin\/notas: Todos los servidores y estaciones de trabajo de empresa deben
establecerse para limitar nmero de sucesivos intentos no vlidos para iniciar sesin.
Esta poltica es necesaria
control para prevenir la contrasea adivinando por ensayo y error, los ataques de
diccionario, o
fuerza bruta intenta obtener acceso no autorizado.
El administrador del sistema debe establecer la configuracin de seguridad para de
sactivar el
cuenta despus de cinco intentos de inicio de sesin no vlido. Tras este ataque, la c
uenta
titular ser necesario llamar al soporte tcnico o el grupo responsable de cuenta
soporte para habilitar la cuenta. Antes de restablecer la cuenta, el departament
o
responsable debe identificar positivamente la cuenta titular, siguiendo el
Verificacin y procedimientos de autorizacin.

7-23 Cambio peridico de privilegios


Poltica: Todos los titulares de la cuenta con privilegios debern cambiar sus contr
aseas
por lo menos cada treinta das.
Explicacin\/notas: dependiendo de las limitaciones del sistema operativo, los sis
temas
administrador debe imponer esta poltica por la configuracin de parmetros de segurid
ad
software del sistema.
7-24 Peridico cambio de contraseas de usuario
Poltica: Todos los titulares de cuentas deben cambiar sus contraseas al menos cada
sesenta das.
Explicacin\/notas: con sistemas operativos que ofrecen esta caracterstica, los sis
temas
administrador debe imponer esta poltica por la configuracin de parmetros de segurid
ad
el software.
7-25 Nueva contrasea de la cuenta configurar
Poltica: Nuevas cuentas de equipo deben establecerse con una contrasea inicial que
es pre-expired, que requieren de la titular de la cuenta seleccionar una nueva c
ontrasea a inicial
utilizar.
Explicacin\/notas: Este requisito asegura que ser slo el titular de la cuenta
tener conocimiento de su contrasea.
Contraseas de inicio de 7-26
Poltica: Todos los sistemas informticos deben configurarse para solicitar una cont
rasea de arranque.
Explicacin\/notas: Los equipos deben configurarse para que cuando el equipo est
activado, es necesaria una contrasea antes de que se iniciar el sistema operativo.
Esto
impide que a cualquier persona no autorizada de encendido y el uso de otra perso
na
equipo. Esta poltica se aplica a todos los equipos en las instalaciones de la emp
resa.
7-27 Requisitos de contrasea para cuentas con privilegios
Poltica: M1 el privilegio de cuentas deben tener una contrasea segura: la contrasea
debe:
No se encuentra una palabra en un diccionario en cualquier idioma
Ser mixto maysculas y minsculas con al menos una letra, un smbolo y una
numeral
Tener al menos 12 caracteres de longitud
No estar relacionados a la empresa o individuo de ninguna manera.
Explicacin\/notas: En la mayora de los casos los intrusos equipo tendr como objetiv
o cuentas especficas
tiene privilegios de sistema. Ocasionalmente otros aprovecharn el atacante
vulnerabilidades para obtener el control total sobre el sistema.
Las contraseas primeras que intruso tratar son las palabras simples, utilizadas
se encuentra en un diccionario. Seleccin de contraseas seguras mejora la seguridad
por
reducir la posibilidad de un atacante encontrar la contrasea por ensayo y error,
ataque de diccionario, o ataque de fuerza bruta.
7-28 Puntos de acceso inalmbrico
Poltica: Todos los usuarios que acceden a una red inalmbrica deben utilizar VPN (V
irtual Private
Tecnologa de red) para proteger la red corporativa.
Explicacin\/notas: Redes inalmbricas estn siendo atacadas por una nueva tcnica
llamado de conduccin de la guerra. Esta tcnica consiste en simplemente conduciendo
o caminando
con un porttil equipado con un 802. 11b tarjeta NIC hasta que una red inalmbrica
detectado.

Muchas empresas han implementado redes inalmbricas sin incluso habilitar WEP
(inalmbricas Protocolo de equivalencia), que se utiliza para asegurar la conexin i
nalmbrica
mediante el uso de cifrado. Pero incluso cuando se activa, la versin actual de WE
P
(mediados de 2002) es ineficaz: ha sido craqueada abierto y varios sitios Web
se dedican a proporcionar los medios para localizar sistemas inalmbricos abiertos
y
craqueo puntos de acceso inalmbrico WEP activado.
En consecuencia, es esencial para aadir una capa de proteccin alrededor de la 802.
11b
protocolo mediante la implementacin de la tecnologa VPN.
7-29 Archivos de antivirus de patrn de actualizacin
Poltica: Cada equipo debe programarse para actualizar automticamente
archivos de patrones de antivirus y anti-Trojan.
Explicacin y notas: Como mnimo, dichas actualizaciones se producen al menos semana
lmente. En
las empresas donde los empleados abandonar sus equipos activada, se 302 es altam
ente
archivos de patrones se recomienda actualizar noches.
El software antivirus es ineficaz si no se actualiza para detectar todas las for
mas nuevas de
cdigo malicioso. Desde la amenaza de virus, gusano y troyano infecciones es
aumentado considerablemente si no se actualizan los archivos de patrones, es ese
ncial que antivirus
o productos de cdigo malicioso se mantenga actualizada.
Operaciones de equipo
8-1 Entrando comandos o programas en ejecucin
Poltica.: Personal de operaciones del equipo no debe introducir comandos o ejecut
ar
programas a peticin de cualquier persona que no conocida a ellos. Si surge una si
tuacin
Cuando una persona no parece tener razn para hacer tal solicitud, se
no debe ser cumplido con sin primero obtener aprobacin del administrador.
Explicacin \/ notas.: empleados de operaciones del equipo son populares destinos
de sociales
ingenieros, desde sus posiciones normalmente requieren cuenta con privilegios de
acceso y la
atacante espera que van a ser menos experimentados y menos conocedor de
procedimientos de la empresa que otros trabajadores de TI. La intencin de esta po
ltica es agregar
una verificacin adecuada y equilibrio para evitar que los ingenieros sociales tim
ar
personal de operaciones del equipo.
8-2 Trabajadores con cuentas con privilegios
Poltica: Los empleados con cuentas con privilegios no deben proporcionar asistenc
ia o
informacin a cualquier persona sin verificar. En particular se refiere a no propo
rcionar
ayuda de equipo (como la capacitacin sobre el uso de la aplicacin), acceder a cual
quier empresa
base de datos, descarga de software, o revelar nombres de personal que tienen
capacidades de acceso remoto,
Explicacin\/notas: ingenieros sociales dirigidas a menudo empleados con privilegi
os
cuentas. La intencin de esta poltica es para dirigirla personal con cuentas con pr
ivilegios
manejar correctamente las llamadas que pueden representar los ataques de ingenie
ra sociales.
Informacin de sistemas internos de 8-3

Poltica: Personal de operaciones del equipo nunca debe revelar cualquier informac
in relacionada con
sistemas informticos de empresa o dispositivos relacionados sin comprobar positiv
amente la
identidad del solicitante.
Explicacin\/notas: Intrusos equipo con con frecuencia operaciones de equipo
empleados para obtener informacin valiosa, como sistema de procedimientos de acce
so,
acceso remoto y nmeros de telfono marcado de puntos externos
valor sustancial al atacante.
En las empresas que tienen personal de soporte tcnico o un help desk, pide
para el personal de operaciones del equipo para obtener informacin acerca de sist
emas informticos dispositivos relacionados deben considerarse inusuales. Cualquie
r solicitud de informacin debe ser
examinada bajo la poltica de clasificacin de datos de la empresa para determinar s
i
el solicitante est autorizado a disponer de dicha informacin. Cuando la clase de
no se puede determinar la informacin, la informacin debe considerarse
Interna.
En algunos casos, fuera proveedor de asistencia tcnica tendr que comunicarse con
personas que tienen acceso a sistemas de computacin de la empresa. Los proveedore
s deben tener
especfica de contactos en el departamento de TI para que pueden reconocer a aquel
los individuos
entre s para fines de verificacin.
8-4 Divulgacin de contraseas
Poltica: Personal de operaciones del equipo nunca debe revelar su contrasea, o
cualquier otras contraseas que se les encargados, sin aprobacin previa de una info
rmacin
Director de tecnologa.
Explicacin\/notas: en general, revelar ninguna contrasea a otro es estrictamente
prohibido. Esta poltica reconoce que el personal de operaciones deba revelar
una contrasea a un tercero cuando surgen situaciones exigentes. Esta excepcin a la
la poltica general que prohbe la divulgacin de cualquier contrasea requiere aprobacin
especfica
un administrador de tecnologa de la informacin. Por medida de precaucin adicional,
esta responsabilidad divulgar informacin de autenticacin debe limitarse a un pequeo
grupo de
personas que han recibido capacitacin especial sobre los procedimientos de verifi
cacin.
Medios electrnicos de 8-5
Poltica: Los medios electrnicos que contiene informacin no destinada al pblico
lanzamiento ser bloqueado en una ubicacin fsicamente segura.
Explicacin\/notas: La intencin de esta poltica es evitar el robo fsico de
Informacin confidencial almacenada en medios electrnicos.
Medios de copia de seguridad de 8-6
Poltica: El personal de operaciones debe almacenar medios de backup en una compaa d
e segura o
otra ubicacin segura.
Explicacin\/notas: Medios de copia de seguridad son otro objetivo principal de lo
s intrusos del equipo.
Un atacante no va a gastar tiempo tratando de poner en peligro un equipo
sistema o red cuando el eslabn en la cadena podra ser fsicamente
medios de backup sin proteccin. Una vez que los medios de backup es robado, el at
acante puede
poner en peligro la confidencialidad de los datos almacenados en l, salvo que los
datos
cifrado. Por lo tanto, asegurar fsicamente los medios de backup es un proceso fun
damental para
proteger la confidencialidad de la informacin corporativa.

POLTICAS PARA TODOS LOS EMPLEADOS


En ella o en recursos humanos, el departamento de contabilidad, o el
personal de mantenimiento, hay ciertas polticas de seguridad que cada empleado de
su
empresa debe saber. Estas polticas dividen en las categoras de General, equipo
Uso, uso de correo electrnico, las polticas para teletrabajadores, uso, uso de Fax
, correo de voz por Uso y las contraseas.
General
9-1 Informes llamadas sospechosas
Poltica: Empleados que sospechan que pueden ser objeto de una seguridad
violacin, incluyendo las solicitudes sospechosas para divulgar la informacin o par
a realizar
elementos de accin en un equipo, debe informar inmediatamente el evento para la e
mpresa
Grupo de informe de incidente.
Explicacin \/ notas.: cuando falla un ingeniero social convencer a su destino a
cumplir con una demanda, el atacante siempre tratar de alguien. Por informes de u
n
llamada sospechosa o evento, un empleado toma el primer paso para alertar a la e
mpresa
que un ataque podra estar en marcha. Por lo tanto, los empleados individuales son
la primera lnea de
defensa contra ataques de ingeniera social.
9-2 Documentacin llamadas sospechosas
Poltica: en caso de una llamada sospechosa que parece ser una social
ataque de ingeniera, el empleado deber, a la medida de lo prctico, extraer el llama
dor
para conocer detalles que podran revelar lo que el atacante est intentando llevar
a cabo,
y tomar nota de estos detalles para generar informes.
Explicacin\/notas: Cuando inform al grupo informes de incidente, tales detalles
puede ayudar a detectar el objeto o el patrn de ataque.
9-3 Divulgacin de nmeros de acceso telefnico
Poltica: Personal de la empresa no debe revelar telfono mdem de empresa
los nmeros, pero debe siempre referirse dichas solicitudes a la mesa de ayuda tcni
ca
personal de apoyo.
Explicacin\/notas: Nmeros de telfono de Dial-up deben tratarse como interna
informacin, que debe facilitarse a los empleados que necesiten conocer tal
informacin para llevar a cabo sus responsabilidades de trabajo.
Los ingenieros sociales rutinariamente destino empleados o departamentos que pue
dan ser
menos proteccin de la informacin solicitada. Por ejemplo, el atacante puede llamar
el departamento de cuentas por pagar disfrazada de una compaa telefnica
empleado que est tratando de resolver un problema de facturacin. El atacante enton
ces pide
cualquier fax conocido o nmeros de acceso telefnico a fin de resolver el problema.
El intruso
a menudo est dirigida a un empleado que es poco probable que dan cuenta del pelig
ro de liberar tales
informacin, o que carece de capacitacin con respecto a la poltica de divulgacin de l
a empresa y
procedimientos.
9-4 Corporate ID badges
Poltica: Salvo cuando en su zona de oficina, todo el personal de empresa,
incluyendo la administracin y el personal ejecutivo, deben llevar sus insignias d
e empleado en
todos los tiempos.
Explicacin\/notas: Todos los trabajadores, incluidos los ejecutivos corporativos,
deben ser

capacitado y motivado para entender llevaba un gafete es obligatorio


en todas partes en compaa locales distintos de las reas pblicas y la persona
rea de oficina o grupo de trabajo.
9-5 Violaciones de insignia de Challenging ID
Poltica: Todos los empleados deben desafiar inmediatamente cualquier persona desc
onocida que es
no llevaba una insignia de empleado o tarjeta de visitante.
Explicacin\/notas: Mientras que ninguna empresa quiere crear una cultura donde ea
gleEyed empleados buscar una manera atrapar a sus compaeros para aventurarse en el
pasillo sin sus insignias, no obstante, cualquier empresa preocupada con
proteger su informacin necesita tomar en serio la amenaza de un ingeniero social
vagando por sus instalaciones indiscutidas. Motivacin para los empleados que demu
estren
diligente en ayudar a imponer las insignias siempre poltica puede reconocerse en
formas familiares, como el reconocimiento en el peridico o boletn
juntas; unas horas apagado con goce de sueldo; o una carta de felicitacin en su p
ersonal
registros.
9-6 Piggybacking (pasando por entradas seguras)
Poltica: Empleados entrando en un edificio no deben permitir que nadie no persona
lmente
conocido para ellos seguir detrs de ellos cuando ha utilizado un medio seguro, ta
l
como una clave de tarjeta, para poder entrar (piggybacking).
Explicacin y notas\". Empleados deben entender que no es grosero requerir
personas desconocidas para autenticarse antes de ayudarles a entrar en una insta
lacin
o acceder a una zona segura.
Los ingenieros sociales frecuentemente usan una tcnica conocida como piggybacking
, en el que
acechan para otra persona que est entrando en una instalacin o zona sensible, y
a continuacin, simplemente entrar con ellos. Mayora de las personas se siente incmo
da desafiando a otros,
Suponiendo que son empleados probablemente legtimos. Otro piggybacking
tcnica consiste en llevar varios cuadros para que un trabajador confiado abre o m
antiene
la puerta para ayudar.
9-7 Destruccin de documentos confidenciales
Poltica: Documentos sensibles a descartarse debe purgar Cruz; medios de comunicac
in
incluyendo unidades de disco duro que hayan contenido nunca informacin confidenci
al o materiales
deben ser destruidos de conformidad con los procedimientos establecidos por el g
rupo
responsables de seguridad de la informacin.
Explicacin\/notas: Trituradoras estndar no adecuadamente destruir documentos;
Cruz-Trituradoras convierten documentos en pulpa. Es la mejor prctica de segurida
d
presumo que se van estriado competidores de jefe de la organizacin a travs de
descartan materiales buscando cualquier inteligencia que podra ser beneficioso pa
ra ellos.
Espas industriales y los atacantes del equipo regularmente obtienen informacin con
fidencial
desde materiales arroj a la basura. En algunos casos, han sido competidores del n
egocio
conocido por intento de soborno de tripulaciones pasar basura de empresa de limp
ieza. En uno
ejemplo reciente, un empleado de Goldman Sachs descubierto elementos que fueron
utilizados

en un rgimen de comercio de informacin privilegiada de la basura.


9-8 Identificadores personales
Poltica: Identificadores personales como el nmero de empleados, nmero de seguridad
social,
nmero de licencia de conductor, fecha y lugar de nacimiento y nombre de soltera d
e la madre
nunca debe utilizarse como un medio de verificacin de identidad. Estos identifica
dores no son
secreto y puede obtenerse por numerosos medios.
Explicacin\/notas: Un ingeniero social puede obtener personal de otras personas
identificadores de un precio. Y de hecho, contrariamente a la creencia popular,
cualquier persona con un crdito
tarjeta y acceso a Internet pueden obtener estas piezas de identificacin personal
.
An a pesar de la evidente peligro, bancos, empresas de servicios pblicos y tarjeta
s de crdito
las empresas suelen utilizan estos identificadores. Esta es una razn que es el ro
bo de identidad
el delito de ms rpido crecimiento de la dcada.
9-9 Organigramas
Poltica\". Detalles que se muestran en el organigrama de la empresa no deben ser
reveladas
a nadie ms que los empleados de la empresa.
Explicacin\/notas: Informacin de la estructura corporativa incluye organigramas,
grficos de jerarqua, listas de empleados departamentales, estructura jerrquica, emp
leado
nombres, puestos de empleados, nmeros de contacto internos, nmero de empleados, o
informacin similar.
En la primera fase de un ataque de ingeniera social, el objetivo es reunir
informacin sobre la estructura interna de la empresa. Esta informacin es entonces
se utiliza para planear estrategias de un plan de ataque. El atacante tambin pued
e analizar esta informacin determinar qu empleados puedan tener acceso a los datos
que busca.
Durante el ataque, la informacin hace que el atacante aparezca como un experto
empleado; lo ms probable vas engaando a su vctima en cumplimiento de las normas.
9-10 Informacin privada acerca de los empleados
Poltica.: Cualquier solicitud de informacin de los empleados privados debe remitir
se
a los recursos humanos.
Explicacin\/notas: Una excepcin a esta poltica puede ser el nmero de telfono
un empleado que necesita ser contactado acerca de un problema relacionado con el
trabajo o que es
actuando en un papel de guardia. Sin embargo, siempre es preferible que el solic
itante
nmero de telfono y que el empleado llame a l o a su espalda.
Uso de equipo
10-1 Introducir comandos en un equipo
Poltica: Personal de la empresa nunca debe introducir comandos en un equipo o
equipos informticos a peticin de otra persona a menos que el solicitante
se ha comprobado que un empleado del departamento de tecnologa de informacin.
Explicacin\/notas: Una tctica comn de los ingenieros sociales es para solicitar que
un
empleado introduzca un comando que realiza un cambio en la configuracin del siste
ma,
permite que el atacantepara tener acceso a equipo de la vctima sin proporcionar
autenticacin, o permite que el atacante recuperar informacin que puede utilizarse
para
facilitar un ataque tcnico.
Convenciones de nomenclatura internas de 10-2
Poltica: Los empleados no deben revelar los nombres internos de los sistemas info

rmticos o
bases de datos sin la previa comprobacin de que el solicitante es empleado de la
empresa.
Explicacin\/notas: ingenieros sociales a veces intentar obtener los nombres
de los sistemas informticos de empresa; una vez que se conocen los nombres, el at
acante coloca un
llamada a la empresa y mascaradas como un legtimo empleado tiene problemas
acceder o usar uno de los sistemas. Conociendo el nombre interno asignado a
el sistema en particular, el ingeniero social gana credibilidad.
Solicitudes de 10-3 para ejecutar programas
Poltica: Personal de la empresa nunca debe ejecutar las aplicaciones de cualquier
equipo o
programas a peticin de otra persona a menos que el solicitante ha sido verificado
como un empleado del departamento de tecnologa de informacin.
Explicacin\/notas: Toda solicitud para ejecutar programas, aplicaciones, o realic
e
debe denegarse la actividad en un equipo a menos que el solicitante es positivam
ente
identificado como empleado en el departamento de tecnologa de informacin. Si la
solicitud implica revelar informacin confidencial de cualquier archivo o electrnic
os
mensaje, respondiendo a la solicitud debe ser de conformidad con los procedimien
tos para
Liberacin de informacin confidencial. Consulte la poltica de divulgacin de informacin
.
Los atacantes del equipo engaan personas en ejecucin de programas que permiten la
intruso para hacerse con el control del sistema. Cuando un desprevenido usuario
ejecuta un programa
plantado por un atacante, el resultado puede dar el acceso de intrusos a la vctim
a
sistema informtico. Otros programas grabacin las actividades del usuario del equip
o y
devolver dicha informacin al atacante. Mientras que un ingeniero social puede eng
aar a una persona
en equipo de ejecutar instrucciones que pueden hacer dao, una base tcnica
ataque trucos del sistema operativo en la ejecucin de equipo
instrucciones que pueden causar al mismo tipo de dao.
10-4 Descarga o instalar software
Poltica: Personal de la empresa debe nunca Descargar o instalar el software en el
solicitud de otra persona, a menos que el solicitante ha sido verificado como em
pleado
con el departamento de tecnologa de la informacin.
Explicacin\/notas: Empleados deben estar en alerta para cualquier solicitud de in
usual que
implica a cualquier tipo de transaccin con equipos informticos.
Es una tctica comn utilizada por los ingenieros sociales engaar a incautos vctimas e
n
Descargando e instalando un programa que ayuda al atacante realizar su o
su objetivo de comprometer la seguridad del equipo o la red. En algunos casos, l
a
programa secretamente puede espiar al usuario o permitir al atacante tomar el co
ntrol de la
sistema informtico a travs del uso de una aplicacin encubierta de control remoto.
10-5 Contraseas de texto y correo electrnico
Poltica: Las contraseas sernon se enviarn a travs und e correo elecctrifrnaidcoo . a m
enos que
Explicacin\/notas: Si bien no se recomienda, esta poltica se autorizan
por e-commerce sitios en ciertas circunstancias limitadas, tales como:
Envo de contraseas para los clientes que se han registrado en el sitio.
Envo de contraseas para los clientes que han perdido u olvidado sus contraseas.

Software relacionados con la seguridad de 10-6


Poltica: Personal de la empresa debe nunca quitar o desactivar antivirus \/ troya
no
Caballo, firewall u otro software relacionados con la seguridad sin la aprobacin
previa de la
Departamento de tecnologa de la informacin.
Explicacin\/notas: Los usuarios de computadoras a veces desactivan software relac
ionados con la seguridad
sin provocacin, pensando que se incrementar la velocidad de su equipo.
Un ingeniero social puede intentar engaar a un empleado en deshabilitar o quitar
software que se necesita para proteger la empresa contra la seguridad relacionad
a con las amenazas.
Instalacin de 10-7 de mdems
Poltica... Ningn mdem puede estar conectado a ningn equipo hasta que tenga aprobacin
previa
se han obtenido desde el departamento de TI.
Explicacin \/ notas.: es importante reconocer que mdems en ordenadores de sobremeo
sa
estaciones de trabajo en el lugar de trabajo representan una amenaza de segurida
d importante, especialmente conectado a la red corporativa. En consecuencia, est
a directiva controla el mdem
procedimientos de conexin.
Piratas informticos utilizan una tcnica llamada guerra marcado para identificar la
s lneas de mdem dentro de un rango de nmeros de telfono. La misma tcnica puede utiliz
arse para localizar
nmeros de telfono conexin a mdems dentro de la empresa. Un atacante puede
fcilmente comprometer la red corporativa si l o ella identifica un equipo
sistema conectado a un mdem con el software de acceso remoto vulnerables, que
est configurado con una contrasea fcilmente poco o ninguna en absoluto.
10-8 Mdems y configuracin de respuesta automtica
Poltica: M1 ordenadores personales o estaciones de trabajo con mdems aprobados por
TI tendr la
caracterstica de respuesta automtica de mdem deshabilitada para evitar que alguien
marcado en la
sistema informtico.
Explicacin \/ notas. - siempre que sea posible, el departamento de tecnologa de la
informacin
debe implementar un conjunto de mdems de acceso telefnico de salida para aquellos
empleados que necesitan sistemas de ordenador externo a travs de mdem.
Herramientas de cracking de 10-9
Poltica: Los empleados no Descargar o utilizar cualquier herramienta de software
diseado para
derrota a mecanismos de proteccin.
Explicacin\/notas: Internet tiene docenas de sitios dedicados al software diseado
shareware de crack y productos de software comercial. El uso de estas herramient
as no
slo viola derechos de autor del propietario del software, pero tambin es extremada
mente peligroso.
Porque estos programas provienen de fuentes desconocidas, que pueden contener
oculta el cdigo malicioso que puede daar al equipo del usuario o una planta una
Caballo de Troya que da al autor del programa de acceso a la computadora del usu
ario.
Informacin de empresa de registro de 10-10 en lnea
Poltica: Los empleados no revelar ningn detalle en cuanto a hardware de empresa o
software en cualquier grupo de noticias pblico, foro o tabln de anuncios y no reve
lar
Pngase en contacto con informacin distinta de conformidad con la poltica.
Explicacin\/notas: Cualquier mensaje enviado a la Usenet, foros en lnea,
tablones de anuncios o listas de correo pueden buscarse para reunir informacin de
inteligencia sobre un empresa o un destino individual. Durante la fase de inves

tigacin de una ingeniera social


ataque, el atacante puede buscar en Internet cualquier puesto que contienen tiles
informacin sobre la empresa, sus productos o su pueblo.
Algunos puestos contienen cositas muy tiles de informacin que el atacante
puede utilizar para lograr un ataque. Por ejemplo, un administrador de red puede
publicar un
pregunta sobre la configuracin firewall filtra en una determinada marca y modelo
de
cortafuegos. Un atacante que descubre este mensaje aprendern informacin valiosa
sobre el tipo y la configuracin del firewall companys que le permite
sortear para obtener acceso a la red de la empresa.
Este problema puede ser reducido o evitarse mediante la aplicacin de una poltica q
ue
permite a los empleados registrar a grupos de noticias de cuentas annimas que no
identificar la empresa desde que se origin. Naturalmente, la poltica debe
exigen los empleados no incluyen ninguna informacin de contacto que puede identif
icar el
empresa.
10-11 Disquetes y otros medios electrnicos
Poltica: Si los medios usados para almacenar informacin del equipo, tales como dis
quete
discos o CD-ROM ha quedado en un rea de trabajo o en el escritorio del empleado,
y
son que los medios de una fuente desconocida, no debe insertarse en cualquier eq
uipo
sistema.
Explicacin\/notas: Un mtodo utilizado por los atacantes para instalar cdigo malicio
so es
colocar programas en un disquete o CD-ROM y etiquetar con algo muy
seductor (por ejemplo, \"Personal datos nmina--confidenciales\"). Ellos, a contin
uacin, soltar
varios ejemplares en las reas utilizadas por los empleados. Si una sola copia se
inserta en un
equipo y los archivos se abri, el atacante del malintencionado se ejecuta cdigo.
Esto puede crear una puerta trasera, que se utiliza para poner en peligro el sis
tema, o
causar otros daos a la red.
Medios extrables de descarte de 10-12
Poltica: antes de descartar cualquier medio electrnico que contena alguna vez sensi
bles
informacin de la empresa, incluso si se ha eliminado esa informacin, el tema ser
Fondo desmagnetizada o daado ms all de la recuperacin.
Explicacin\/notas: Mientras la destruccin de documentos impresos es algo habitual
estos
das, trabajadores de la empresa pueden pasar por alto la amenaza de descarte de m
edios electrnicos
contena ar datos confidenciales de cualquier rima. Los atacantes del equipo inten
tan recuperar
los datos almacenados en medios electrnicos desechados. Los trabajadores pueden p
resumir por slo
eliminar archivos, aseguran que no se pueden recuperar los archivos. Esta presun
cin
es absolutamente incorrecto y puede causar la informacin comercial confidencial c
aer en
las manos equivocadas. En consecuencia, los medios electrnicos que contiene o pre
viamente
informacin contenida no designado como pblico debe ser borrado limpio o destruidos
utilizando los procedimientos aprobados por el grupo responsable.
Protectores de pantalla protegido por contrasea de 10-13
Poltica: Todos los usuarios de ordenador deben establecer una contrasea de protect

or de pantalla y lmite de tiempo de espera para bloquear el equipo despus de un ci


erto perodo de inactividad.
Explicacin\/notas: Todos los empleados son responsables de establecer un protecto
r de pantalla
contrasea y establecer el tiempo de espera de inactividad de no ms de diez minutos
. El
intencin de esta poltica es evitar que a cualquier persona no autorizada mediante
otro
equipo de la persona. Adems, esta poltica protege los sistemas informticos de empre
sa
desde accediendo fcilmente a los extranjeros que se han ganado el acceso al edifi
cio.
10-14 Divulgacin o uso compartido de la declaracin de contraseas
Poltica: antes de la creacin de una nueva cuenta de equipo, el empleado o contrati
sta
debe firmar una declaracin escrita reconociendo que l o ella entiende
contraseas nunca deben ser reveladas o compartidas con nadie y que l o ella
se compromete a acatar esta poltica.
Explicacin\/notas: El acuerdo tambin debe incluir un aviso de esa violacin de
tal acuerdo puede conducir a medidas disciplinarias hasta e incluyendo la termin
acin.
Uso de correo electrnico
Archivos adjuntos de correo electrnico de 11-1
Poltica: Archivos adjuntos de correo electrnico deben no abrirse a menos que el ar
chivo adjunto
espera que en el ejercicio de la profesin o fue enviado por una persona de confia
nza.
Explicacin\/notas: Todos los adjuntos de correo electrnico deben controlarse estre
chamente. Usted puede
requieren que se da aviso previo por una persona de confianza que es un archivo
adjunto de correo electrnico
se enva antes de que el destinatario abre los datos adjuntos. Esto reducir el ries
go de
atacantes usando tcticas de ingeniera social para engaar a personas apertura
archivos adjuntos.
Un mtodo de poner en peligro un sistema informtico es truco un
empleado en la ejecucin de un programa malintencionado crea una vulnerabilidad, p
roporcionando
el atacante con acceso al sistema. Enviando un archivo adjunto de correo electrni
co que ha
cdigo ejecutable o macros, el atacante puede ser capaz de hacerse con el control
de los usuarios
equipo.
Un ingeniero social puede enviar un archivo adjunto de correo electrnico malinten
cionados, entonces llame intentan persuadir al destinatario a abrir el archivo a
djunto.
Reenvo automtico de 11-2 a direcciones externas
Poltica: Reenvo automtico de correo electrnico entrante a una direccin de correo elec
trnico externa prohibido.
Explicacin\/notas: La intencin de esta poltica es evitar a un outsider de
recepcin de correo electrnico enviados a una direccin de correo electrnico interno.
Empleados ocasionalmente configuracin el reenvo de correo electrnico de su correo e
ntrante a una
direccin de correo electrnico fuera de la empresa cuando estn fuera de la Oficina.
O una
intruso puede ser capaz de engaar a un empleado en la creacin de un correo electrni
co interno
direccin que enva a una direccin fuera de la empresa. El atacante puede entonces
plantean como un legtimo insider por tener una direccin de correo electrnico intern
o de la empresa y personas a enviar informacin confidencial a la direccin de corre

o electrnico interno.
11-3 Reenvo de mensajes de correo electrnico
Poltica: Toda solicitud de una persona sin verificar para transmitir un mensaje d
e correo electrnico
mensaje a otra persona sin verificar requiere la verificacin del solicitante
identidad.
Correo electrnico de verificacin de 11-4
Poltica: Un mensaje de correo electrnico que parece proceder de una persona de con
fianza que contiene
una solicitud de informacin no designados como pblico, o para realizar una accin
con cualquieerqauipos informticos, requiere una forma adicional de
autenticacin. Consulte los procedimientos de autorizacin y verificacin.
Explicacin\/notas: Un atacante fcilmente puede forjar un mensaje de correo electrni
co y su encabezado,
haciendo que parezca como si el mensaje se origin en otra direccin de correo elect
rnico. Un
atacante puede enviar tambin un mensaje de correo electrnico desde un equipo compr
ometido,
proporcionar falsa autorizacin para divulgar informacin o realizar una accin. Inclu
so
al examinar el encabezado de un mensaje de correo electrnico no puede detectar me
nsajes de correo electrnico
enviado desde un sistema informtico interno comprometido.
Uso del telfono
12-1, Participando en encuestas telefnicas
Poltica: Empleados no podrn participar en encuestas por responder a cualquier preg
unta
de cualquiera fuera la organizacin o persona. Dichas solicitudes deben remitirse
a la
Departamento de relaciones pblicas o cualquier otra persona designada.
Explicacin\/notas: Un mtodo utilizado por los ingenieros sociales para obtener val
iosos
informacin que puede ser utilizada contra la empresa es llamar a un empleado y
pretenden hacer una encuesta. Es sorprendente cmo muchas personas estn encantadas
de proporcionar
informacin sobre la empresa y ellos mismos a los extraos cuando creen
est participando en la investigacin legtima. Entre las preguntas inocuas, la
llamador insertar unas preguntas que el atacante quiere saber. Finalmente,
dicha informacin puede ser utilizada para comprometer la red corporativa.
12-2 Divulgacin de nmeros de telfono interno
Poltica: Si una persona no verificadas le pide a un empleado por su nmero de telfon
o del
empleado puede hacer una determinacin razonable de divulgacin sea
es necesario llevar a cabo la empresa.
Explicacin\/notas: La intencin de esta poltica es exigir a los empleados hacer un
considerada decisin sobre si la divulgacin de su extensin telefnica
es necesario. Cuando se necesita tratar con personas que no han demostrado un ve
rdadero
para conocer la extensin, el curso ms seguro es que les exigen para llamar a los p
rincipales
nmero de telfono de la compaa y ser transferido.
12-3 Contraseas en mensajes de correo de voz
Poltica.: Dejando mensajes que contienen informacin de contrasea en la voz de nadie
buzn est prohibido.
Explicacin\/notas: Un ingeniero social a menudo puede obtener acceso a un emplead
o
buzn de voz ya est adecuadamente protegido con un acceso fcil de adivinar
cdigo. En un tipo de ataque, un intruso sofisticado equipo es capaz de crear su
propietario de buzn de voz falsa y persuadir a otro empleado para dejar un mensaj
e

transmisin de informacin de la contrasea. Esta poltica vence a esa treta.


Uso de fax
13-1 Transmitir faxes
Poltica: No fax puede ser recibido y reenviado a otra parte sin
verificacin de la identidad del solicitante.
Explicacin\/notas: Ladrones de informacin pueden engaar a empleados de confianza en
el envo de informacin confidencial a una mquina de fax ubicada en las instalacione
s de la empresa. Prior
para el atacante dando el nmero de fax a la vctima, el impostor telfonos un
empleado desprevenido, como una secretaria o auxiliar administrativo y le pregun
ta si
un documento puede enviarse por fax a ellos para su posterior recogida. Posterio
rmente, despus empleado desprevenido recibe el fax, el atacante telfonos del emple
ado
y pide que el fax se enva a otro lugar, quizs afirmando que es
necesarios para una reunin urgente. Puesto que la persona pregunt a retransmitir e
l fax normalmente tiene
no hay comprensin del valor de la informacin, l o ella cumple con la
solicitud.
13-2 Verificacin de autorizaciones por fax
Poltica: Antes de llevar a cabo las instrucciones recibieron por fax, el remitent
e
deben verificarse como un empleado u otra persona de confianza. Realizar una lla
mada de telfono
al remitente para verificar la solicitud es generalmente suficiente.
Explicacin\/notas: Empleados deben tener cuidado cuando las solicitudes inusuales
Enviado por fax, como una solicitud para introducir comandos en un equipo o reve
lar
informacin. Los datos en el encabezado de un documento por fax pueden ser refutad
os por
cambiar la configuracin de la mquina de fax de envo. Por lo tanto, la cabecera de u
n fax
no debe aceptarse como medio de establecer la identidad o la autorizacin.
13-3 Enviar informacin confidencial por fax
Poltica: antes de enviar informacin confidencial por fax a una mquina que se encuen
tra
en una zona accesible a otros funcionarios, el remitente transmitir una portada.
El receptor, al recibir la pgina, transmite una pgina de respuesta, demostrando
que l\/l es fsicamente presente en la mquina de fax. El emisor transmite entonces la
fax.
Explicacin\/notas: Este proceso mutuo asegura el remitente que el destinatario
est fsicamente presente en el extremo receptor. Adems, este proceso verifica que el
nmero de telfono de fax de recepcin no se ha remitido a otra ubicacin.
13-4 Faxing contraseas prohibidas
Poltica: Las contraseas no deben enviar mediante fax bajo ninguna circunstancia.
Explicacin\/notas: Informacin de autenticacin enviando por fax no es segura.
La mayora de mquinas de fax son accesibles a un nmero de empleados. Adems, se
dependen de la red telefnica pblica conmutada, que puede ser manipulada por llamad
a
el nmero de telfono de la mquina de fax receptora de reenvo para que sea el fax
enviado al atacante a otro nmero.
Uso de correo de voz
Contraseas de correo de voz de 14-1
Poltica: Contraseas de correo de voz no deben nunca ser reveladas a nadie para nin
gn propsito.
Adems, las contraseas de correo de voz deben cambiarse cada noventa das o antes.
Explicacin\/notas: Informacin confidencial de la compaa puede dejarse en el correo d
e voz
mensajes. Para proteger esta informacin, los empleados deben cambiar su correo de
voz

las contraseas con frecuencia y nunca revelar. Adems, los usuarios de correo de vo
z
no debe utilizar las contraseas de correo de voz de la misma o similar dentro de
un mes de doce
perodo.
Contraseas de 14-2 en varios sistemas
Poltica... Los usuarios de correo de voz no deben utilizar la misma contrasea en c
ualquier otro telfono sistema informtico, ya sea interno o externo a la empresa.
Explicacin y notas\". Uso de una contrasea idntico o similar para varios dispositiv
os,
como correo de voz y equipo, facilita a los ingenieros sociales adivinar todos
las contraseas de usuario tras identificar slo uno.
Contraseas de correo de voz de 14-3 Configuracin
Poltica: Los administradores y los usuarios de correo de voz deben crear voz cont
raseas de correo
son difciles de adivinar. No deben estar relacionados en modo alguno a la persona
con ella, o la empresa y no debe contener un patrn predecible que es
probablemente se adivinar.
Explicacin\/notas: Contraseas no pueden contener dgitos secuenciales o repetidas (e
s decir
1111 1234, 1010), no debe ser igual o basndose en la extensin de telfono
nmero y no debe estar relacionado con la direccin, cdigo postal, fecha de nacimient
o, matrcula,
nmero de telfono, peso, I.Q. u otra informacin personal predecible.
14-4 Mensajes marcados como \"el viejo\"
Poltica: Cuando los mensajes de correo de voz previamente desconocida no estn marc
ados como nuevo
mensajes, el administrador de correo de voz debern ser notificados de una segurid
ad posible
inmediatamente deben cambiarse la violacin y la contrasea de correo de voz.
Explicacin\/notas: los ingenieros sociales pueden acceder a un buzn de voz en un
variedad de formas. Un empleado que tenga conocimiento de que los mensajes no ti
enen nunca
escuchado no se estn anunciando como deben asumir nuevos mensajes que otro
persona ha obtenido acceso no autorizado al buzn de voz y escuchar la
mensajes propios.
14-5 Saludos de correo de voz externo
Poltica: Los trabajadores de la empresa limitar su divulgacin de informacin sobre su
s
saludo saliente externo en su correo de voz. Normalmente la informacin relacionad
a con un
horario de rutina o viaje diario del trabajador no debe revelarse.
Explicacin\/notas: Un saludo externo (jugado para los llamadores externos) no deb
e
incluir el ltimo nombre, extensin o motivo de ausencia (tales como viajes, vacacio
nes
horario o itinerario diario). Un atacante puede utilizar esta informacin para des
arrollar un
historia plausible en su intento de hacer otro tipo de personal.
Patrones de contrasea de correo de voz de 14-6
Poltica: Los usuarios de correo de voz no seleccionar una contrasea cuando una part
e de la
contrasea permanece fijo, mientras que otra parte cambios en un patrn predecible.
Explicacin\/notas: por ejemplo, no utilice una contrasea como 743501, 743502,
743503 y as sucesivamente, donde los dos ltimos dgitos corresponden al mes actual.
Informacin confidencial o privada de 14-7
Poltica: No se revelar informacin confidencial o privada en un correo de voz
Mensaje.
Explicacin\/notas: El sistema telefnico corporativo es normalmente ms vulnerable
de sistemas corporativos. Las contraseas son normalmente una cadena de dgitos,

que limita sustancialmente el nmero de posibilidades para un atacante de adivinar


.
Adems, en algunas organizaciones, las contraseas de correo de voz pueden ser compa
rtidas con
Secretarios o otro personal administrativo que tienen la responsabilidad de toma
r
mensajes para sus directivos. En vista de lo anterior, ninguna informacin sensibl
e
nunca debe dejarse en el correo de voz de cualquier persona.
Contraseas
Seguridad de telfono 15-1
Poltica: Las contraseas no se mencionar por telfono en cualquier momento.
Explicacin\/notas: Los atacantes pueden encontrar formas para escuchar conversaci
ones telefnicas,
ya sea en persona o a travs de un dispositivo tecnolgico.
Contraseas de equipo Revealing de 15-2
Poltica: Bajo ninguna circunstancia cualquier usuario del equipo divulgarn su
contrasea a cualquier persona para cualquier propsito sin el previo consentimiento
por escrito Director de tecnologa de informacin responsable.
Explicacin\/notas: El objetivo de muchos ataques de ingeniera social implica
engaando a las personas despreveneindas revelando su cuenta nombres y
contraseas. Esta poltica es un paso crucial para reducir el riesgo de xito social
Ingeniera ataques contra la empresa. En consecuencia, esta poltica debe ser
seguido religiosamente en toda la empresa.
Contraseas de Internet de 15-3
Poltica: Personal nunca debe utilizar una contrasea que sea igual o similar a una
utilizan en cualquier sistema corporativo en un sitio de Internet.
Explicacin\/notas: Operadores de sitio Web malintencionado pueden configurar un s
itio que pretende
ofrecer algo de valor o la posibilidad de ganar un premio. Para registrarse, un
visitante del sitio debe introducir una direccin de correo electrnico, nombre de u
suario y contrasea. muchas personas utilizan la misma o similar sesin informacin re
petidamente, la
sitio Web malintencionado operador intentar utilizar la contrasea elegida y
variaciones de la misma para atacar el sistema de equipo de trabajo o casa del d
estino. El
equipo de trabajo del visitante a veces puede ser identificado por la direccin de
correo electrnico introducida
durante el proceso de registro.
15-4 Contraseas en varios sistemas
Poltica: Personal de la empresa nunca debe utilizar el mismo o una contrasea simil
ar en
ms de un sistema. Esta poltica se refiere a diversos tipos de dispositivos (equipo
o correo de voz); varias localidades de dispositivos (hogar o trabajos); y diver
sos tipos de
sistemas, dispositivos (router o firewall) o programas (base de datos o aplicacin
).
Explicacin\/notas: Los atacantes dependen de la naturaleza humana para entrar en
el equipo
sistemas y redes. Ellos saben que, para evitar la molestia de hacer el seguimien
to de
varias contraseas, muchas personas utilizan la misma o una contrasea similar en ca
da
sistema que tienen acceso. Como tal, el intruso intentar conocer la contrasea de
un sistema donde el destino tiene una cuenta. Una vez obtenido, es muy probable
que
Esta contrasea o una variacin del mismo dar acceso a otros sistemas y dispositivos
utilizado por el empleado.
Contraseas de reutilizacin de 15-5
Poltica: Ningn usuario de equipo utilizarn el mismo o una contrasea similar dentro d

e la
mismo perodo de dieciocho meses.
Explicacin\/Nota: Si un atacante descubrir la contrasea del usuario, frecuentes
cambio de la contrasea minimiza el dao que se puede hacer. Haciendo la
nueva contrasea nica de contraseas anteriores hace ms difcil para el atacante
adivinar.
15-6 Patrones de contrasea
Poltica\". Empleados no deben seleccionar una contrasea donde una parte permanece
fija, y
otro cambio de elemento en un patrn predecible.
Explicacin\/notas: por ejemplo, no utilice una contrasea como Kevin01,
Kevin02, Kevin03 etc., donde los dos ltimos dgitos corresponden a la corriente
mes.
15-7 Elegir contraseas
Poltica: Los usuarios de computadoras deben crear o elegir una contrasea que se ad
hiere
los siguientes requisitos. La contrasea debe:
Tener al menos ocho caracteres tiempo para cuentas de usuario estndar y al menos
doce
caracteres de longitud para las cuentas con privilegios.
Contienen al menos un nmero, por lo menos un smbolo (como $,-, que,
letra minscula y al menos una mayscula (en la medida en que tales
las variables son compatibles con el sistema operativo).
No ser cualquiera de los siguientes elementos: palabras en un diccionario en cua
lquier idioma; cualquier
palabra que est relacionado con la familia de un empleado, ocio, vehculos, trabajo
, matrcula,
nmero de seguridad social, direccin, telfono, nombre de mascota, cumpleaos o frases
con esas palabras.
No ser una variacin de una contrasea utilizada anteriormente, con uno de los eleme
ntos restantes del
mismo y otro elemento cambia, como kevin, kevin 1, kevin2; o kevinjan,
kevinfeb.
Explicacin\/notas: Los parmetros indicados producir una contrasea que es
difcil para el ingeniero social de adivinar. Otra opcin es la consonante-vocal
mtodo, que proporciona una contrasea fcil de recordar y pronunciable. Para
construir este tipo de consonantes de sustituto de contrasea para cada letra c y
las vocales
para la letra V, utilizando la mscara de \"CVCVCVCV\". Ejemplos seran
MIXOCASO; CUSOJENA.
Contraseas de escritura de 15-8 hacia abajo
Poltica: Los empleados deben escribir contraseas abajo slo cuando almacenan en un
lugar seguro lejos de la computadora u otro dispositivo protegido con contrasea.
Explicacin\/notas: Empleados son desalentados de jams escrito abajo
contraseas. Bajo ciertas condiciones, sin embargo, puede ser necesario; para
por ejemplo, en un empleado que tiene varias cuentas en otro equipo
sistemas. Las contraseas escritas debern fijarse en un lugar seguro lejos
el equipo. Bajo ninguna circunstancia puede una contrasea se almacena en virtud d
eel
teclado o conectada a la pantalla del ordenador.
Contraseas de texto simple de 15-9 en ficheros informticos
Poltica: Contraseas de texto simple no se guardan en el archivo de cualquier equip
o o almacenadas como
texto llamado pulsando una tecla de funcin. Cuando es necesario, pueden guardarse
las contraseas
utilizando una utilidad de encriptacin aprobada por el departamento de TI para ev
itar cualquier
accesos no autorizados.
Explicacin\/notas: Las contraseas pueden fcilmente recuperarse por un atacante si a
lmacena en

cifrar en los archivos de datos de computadora, archivos por lotes, teclas de fu


ncin terminal, inicio de sesin
archivos, macros o secuencias de comandos de programas o cualquier dato que cont
ienen las contraseas Sitios FTP.
POLTICAS PARA TELETRABAJADORES
Teletrabajadores son fuera del firewall corporativo y por lo tanto ms vulnerables
para atacar. Estas polticas le ayudar a impedir que los ingenieros sociales median
te su
empleados de teletrabajador \/ como una puerta de enlace a los datos.
Clientes ligeros de 16-1
Poltica: Todo personal de la empresa que ha sido autorizado a conectarse va remota
acceso deber utilizar a un cliente ligero para conectarse a la red corporativa.
Explicacin\/notas: Cuando un atacante analiza una estrategia de ataque, l o ella s
er
tratar de identificar a los usuarios que acceden a la red corporativa desde ubic
aciones externas. Como
tal, teletrabajadores son los principales objetivos. Sus equipos son menos prope
nsos a tener
controles de seguridad muy estrictas, y puede ser un eslabn dbil que puede poner e
n peligro la
red corporativa.
Cualquier equipo que se conecta a una red de confianza puede ser trampas explosi
vas con
registradores de pulsaciones, o su conexin autenticada puede ser secuestrado. Un
cliente liviano
estrategia puede utilizarse para evitar problemas. Un cliente liviano es similar
a un disco
estacin de trabajo o una terminal tonta; el equipo remoto no tiene almacenamiento
capacidades, pero en cambio el sistema operativo, aplicaciones y datos
residen en la red corporativa. Acceso a la red a travs de un cliente liviano
reduce sustancialmente el riesgo que plantean los sistemas un-patched, desfasado
s de funcionamiento
sistemas y programas malintencionados. En consecuencia, gestin de la segdueridad
teletrabajadores es eficaces y facilitado mediante la centralizacin de los contro
les de seguridad.
En lugar de depender de los inexperto teletrabajador \/ gestionar adecuadamente
cuestiones relacionadas con la seguridad, estas responsabilidades quedan mejor c
on el sistema de formacin,
red, o los administradores de seguridad.
Software de seguridad de 16-2 para sistemas informticos de teletrabajador \/
Poltica: Cualquier ordenador externo sistema que se utiliza para conectar a la em
presa
red debe tener un personal, software antivirus y software Anti-Trojan
Firewall (hardware o software). Archivos antivirus y Antitroyanos patrn deben ser
actualizado al menos semanalmente.
Explicacin\/notas: Normalmente, teletrabajadores no estn capacitados en seguridadrelacionadas
problemas y pueden inadvertidamente\"o por negligencia dejar su sistema informtic
o y el
red corporativa abierta al ataque. Teletrabajadores, por tanto, suponen un grave
riesgo de seguridad si no estn adecuadamente capacitados. Adems de instalar antivi
rus y
Trojan software de caballo para proteger contra programas malintencionados, un f
irewall es
necesario para bloquear cualquier hostiles usuarios obtengan acceso a los servic
ios
activado en sistema del teletrabajador \/.
El riesgo de no implementar las tecnologas de seguridad mnima para evitar malinten
cionado
cdigo de propagacin no debe ser subestimada, como un ataque contra Microsoft

demuestra. Un sistema informtico perteneciente al teletrabajador \/ Microsoft, us


ado para
conectarse a la red corporativa de Microsoft, fue infectado con un troyano
programa. El intruso o intrusos fueron capaces de utilizar el teletrabajador \/
de confianza
conexin a la red de desarrollo de Microsoft para robar el origen del desarrollo
cdigo.
POLTICAS DE RECURSOS HUMANOS
Los departamentos de recursos humanos tienen una carga especial para proteger a
los trabajadores de
aquellos que intentan descubrir informacin personal a travs de su lugar de trabajo
. HR
los profesionales tambin tienen la responsabilidad de proteger su empresa contra
las acciones
de ex empleados descontentos.
17-1 Saliendo empleados
Poltica: Cada vez que una persona empleada por la compaa deja o se termina,
Recursos humanos debe hacer inmediatamente lo siguiente:
Quitar de la lista de la persona desde el directorio en lnea empleado\/telfono y
deshabilitar o reenviar su correo de voz;
Notificacin a personal a la construccin de entradas o vestbulos de empresa; y
Agregar el nombre del empleado a la lista de salida del empleado, que deber ser e
nviada
a todo el personal no menos a menudo que una vez por semana.
Explicacin\/notas: Deben ser empleados que estn estacionados en creacin de entradas
notificacin para evitar que a un ex empleado de reingresar a los locales. Adems,
notificacin al dems personal puede impedir que al ex empleado de correctamente
disfrazada de un empleado activo y embaucando personal a tomar algunas
accin perjudicial para la empresa.
En algunas circunstancias, puede ser necesario exigir a cada usuario dentro de l
a
Departamento del ex empleado para cambiar sus contraseas. (Cuando era
terminacin de GTE nicamente debido a mi reputacin como un hacker, la empresa
requiere a todos los empleados en toda la empresa para cambiar su contrasea).
Notificacin de departamento de TI de 17-2
Poltica: Cada vez que una persona empleada por la compaa deja o se termina,
Recursos humanos debe notificar inmediatamente a la tecnologa de la informacin
Departamento para desactivar las cuentas de equipo del ex empleado, incluyendo c
ualquier
cuentas utilizadas para el acceso de la base de datos, dial-up o acceso a Intern
et desde el remoto
ubicaciones.
Notas de la explicacin: es esencial para deshabilitar el acceso de cualquier ex t
rabajador a todos
sistemas informticos, dispositivos de red, bases de datos o cualquier otro equipo
-relacionadas
dispositivos inmediatamente despus de la terminacin. De lo contrario, la empresa p
uede dejar la
puertas abiertas para un empleado disgustado a los sistemas informticos de acceso
empresa
y causar daos significativos.
17-3 Informacin confidencial utilizada en el proceso de contratacin
Poltica: Anuncios y otras formas de solicitacin pblica de los candidatos para llena
r
ofertas de empleo, a la medida de lo posible, eviten identificacin de hardware in
formtico
y el software utilizado por la empresa.
Explicacin\/notas: Personal de recursos humanos y directivos slo debe
divulgar informacin relacionada con la empresa equipo hardware y software que es
razonablemente necesario para obtener los currculos de candidatos calificados.

Equipo intrusos leen peridicos y comunicados de prensa de la empresa y visitar


Sitios de Internet, para encontrar anuncios de trabajo. A menudo, las compaas reve
lar demasiado
informacin sobre los tipos de hardware y software que se utiliza para atraer a po
sibles
empleados. Una vez que el intruso tiene conocimiento de los sistemas de informac
in del destino,
l est armado para la siguiente fase del ataque. Por ejemplo, al saber que un
empresa particular utiliza el sistema operativo VMS, el atacante puede colocar
pretexto de llamadas para determinar la versin y, a continuacin, enviar una emerge
ncia falsa
parche de seguridad para aparecer como si provinieran de los desarrolladores de
software. Una vez el
se instala el parche, el atacante.
Informacin personal del empleado 17-4
Poltica: El departamento de recursos humanos nunca debe divulgar informacin person
al
acerca de cualquier actual o ex empleado, contratista, asesor, trabajador tempor
al,
o pasante, excepto con previo expresar consentimiento por escrito de los emplead
os o humanos
Administrador de recursos.
Explicacin\/notas: Head-hunters, investigadores privados y ladrones de identidad
informacin de empleado privado de destino como el nmero de empleados, seguridad so
cial
nmeros, fechas de nacimiento, historial de sueldo, datos financieros, incluyendo
el depsito directo
informacin e informacin de beneficios relacionados con la salud. El ingeniero soci
al puede
obtener esta informacin para hacerse pasar por el individuo. Adems
revelar los nombres de los nuevos empleados puede ser extremadamente valiosa inf
ormacin
ladrones. Nuevas contrataciones puedan cumplir con cualquier solicitud de las pe
rsonas con
antigedad o en una posicin de autoridad, o alguien afirmando ser de corporativa
seguridad.
Antecedentes de 17-5
Poltica: Un cheque de fondo debe ser necesario para los nuevos empleados, contrat
istas,
consultores, los trabajadores temporales o pasantes antes a una oferta de empleo
o
establecimiento de una relacin contractual.
Explicacin y notas: Debido a consideraciones de costo, el requisito para
antecedentes podrn limitarse a determinados cargos de confianza. Sin embargo,
que cualquier persona que se da acceso fsico a oficinas corporativas puede ser un
amenaza potencial. Por ejemplo, las cuadrillas de limpieza tienen acceso a las o
ficinas de personal,
que les da acceso a los sistemas informticos ubicados all. Un atacante con
acceso fsico a un equipo puede instalar un registrador de pulsaciones de teclas d
e hardware en menos de
un minuto para capturar contraseas.
Los intrusos equipo ir a veces al esfuerzo de obtener un trabajo como un medio
de acceso a redes y sistemas informticos de una compaa de destino. Un
atacante puede obtener fcilmente el nombre del contratista de limpieza de la comp
aa llamando al
el funcionario responsable de la empresa de destino, afirmando ser de una conser
jera
la empresa busca para su negocio y, a continuacin, obtener el nombre de la empres
a
actualmente proporciona tales servicios.

POLTICAS DE SEGURIDAD FSICA


Aunque los ingenieros sociales intentan evitar aparecer en persona en un lugar d
e trabajo
deseado, hay veces que cuando van a vulnerar su espacio. Estas polticas
le ayudar a proteger sus instalaciones fsicas de amenaza.
Identificacin de 18-1 para empleados no
Poltica: Gente de entrega y otros empleados no necesitan introducir la empresa
locales sobre una base regular deben tener un distintivo especial u otra forma d
e
identificacin de conformidad con la poltica establecida por la seguridad de la emp
resa.
Explicacin\/notas: No empleados que necesitan entrar en el edificio regularmente
(para
ejemplo, para hacer las entregas de alimentos o bebidas a la cafetera, o para rep
arar
mquinas de copiar o instalar telfonos) debe expedirse una forma especial de
placa de identificacin de empresa previsto para este fin. Otros que necesitan ent
rar
slo ocasionalmente o sobre una base temporal deben ser tratados como visitantes y
debe ser
acompaado en todo momento.
Identificacin de visitante de 18-2
Poltica: Todos los visitantes deben presentar licencia de conducir vlida o otra im
agen
identificacin para ser admitido a los locales.
Explicacin\/notas: El personal de seguridad o recepcionista debe hacer una fotoco
pia del
el documento de identificacin a la expedicin de la tarjeta de visitante. La copia
debe ser
mantuvo con registro de visitantes. Alternativamente, puede ser la informacin de
identificacin
registrado en el registro del visitante por la recepcionista o Guardia; los visi
tantes no deben
permite anotar su propia informacin de ID.
Los ingenieros sociales tratando de entrar a un edificio siempre escribir
informacin falsa en el registro. Aunque no es difcil obtener ID falsa y
conocer el nombre de un empleado que l o ella puede presumir de ser visitante, qu
e requieren
el responsable debe iniciar la entrada agrega un nivel de seguridad para la
proceso.
18-3 Escorting visitantes
Poltica: Los visitantes deben ser escoltados o en compaa de un empleado en todo mom
ento.
Explicacin \/ notas.: es un ardid popular de ingenieros sociales organizar
para visitar a un empleado de la empresa (por ejemplo, visitando con un ingenier
o de producto en
el pretexto de ser el empleado de un socio estratgico). Despus de haber sido acomp
aado a
la reunin inicial, el ingeniero social asegura su anfitrin que puede encontrar su
propia
camino de regreso al lobby. Por este medio gana la libertad de moverse el edific
io
y posiblemente acceder a sensible informacin.
18-4 Placas temporales
Poltica: La compaa desde otra ubicacin de empleados que no tienen sus
insignias de empleado con ellos deben presentar licencia de conducir vlida o otra
imagen
ID y expedir la tarjeta de un visitante temporal.
Explicacin\/notas: Los atacantes a menudo plantean como empleados de una Oficina
diferente o

sucursal de una empresa para poder entrar a una empresa.


Evacuacin de emergencia de 18-5
Poltica: En cualquier situacin de emergencia o simulacro, personal de seguridad de
be garantizar
todo el mundo ha evacuado las instalaciones.
Explicacin\/notas: Personal de seguridad debe comprobar cualquier rezagados que p
ueden ser
abandonados en baos o zonas de oficinas. Autorizado por el departamento de bomber
os o
otra autoridad a cargo de la escena, la fuerza de seguridad tiene que ser en la
alerta
para cualquiera que salgan del edificio durante mucho tiempo despus de la evacuac
in.
Espas industriales o equipo sofisticado intrusos pueden causar una desviacin ganar
el acceso a un rea seguro o edificio. Es una desviacin utilizada para liberar un i
nofensivo
producto qumico conocido como mercaptano de butilo en el aire. El efecto es crear
la
impresin de que hay una fuga de gas natural. Una vez empiece a personal de evacua
cin
procedimientos, el atacante negrita utiliza esta desviacin, ya sea robar informac
in o a
acceder a sistemas de computacin de la empresa. Otra tctica utilizada por informac
in
ladrones implica permanecer detrs, a veces en un bao o un armario, en el momento
de un simulacro de evacuacin programada, o tras la configuracin de una bengala hum
o u otro dispositivo
provocar una evacuacin de emergencia.
18-6 Visitantes en la sala de correo
Poltica: no debe permitirse que ningn visitante en la sala de correo sin la superv
isin
de un trabajador de la empresa.
Explicacin\/notas: La intencin de esta poltica es evitar a un outsider de
intercambio, enviar o robando correo intracompany.
18-7 Nmeros de matrcula de vehculos
Poltica: Si la empresa tiene un rea de estacionamiento vigilado, personal de segur
idad deber registrar vehculos
nmeros de matrcula de cualquier vehculo que penetren en la zona.
Contenedores de basura de 18-8
Poltica: Contenedores de basura deben permanecer en las instalaciones de la empre
sa en todo momento debe ser inaccesible al pblico.
Explicacin\/notas: Los atacantes del equipo y espas industriales pueden obtener va
liosos
informacin de contenedores de basura de la empresa. Los tribunales han sostenido
que la basura considerado propiedad legalmente abandonada, por lo que el acto de
recoleccin urbana es perfectamente
legal, como los recipientes de basura son de propiedad pblica. Por este motivo, e
s
importante que los recipientes de basura situada en
propiedad de la empresa, donde la empresa tiene un derecho legal para proteger l
os contenedores
y su contenido.
POLTICAS PARA RECEPCIONISTAS
Recepcionistas son a menudo en las lneas del frente a la hora de tratar de social
es
ingenieros, pero rara vez se dan bastante seguridad capacitacin para reconocer y
detener
un invasor. Instituto estas polticas para ayudar a su recepcionista a proteger me
jor tu
empresa y sus datos.

Directorio interno de 19-1


Poltica: Divulgacin de la informacin en el directorio interno de la empresa debe se
r
limitado a las personas empleadas por la empresa.
Explicacin\/notas: Todos los cargos de los empleados, nombres, nmeros de telfono y
direcciones
dentro de la empresa directorio debe considerarse interna
informacin y slo debe revelarse en cumplimiento de la poltica relacionada con
clasificacin de datos e informacin interna.
Adems, cualquier parte de la llamada debe tener el nombre o la extensin de la part
e
estn intentando contactar. Aunque la recepcionista puede poner una llamada a travs
una
individuales cuando llama no sabe la extensin, contando el llamador el
nmero de extensin debe prohibirse. (Para las curiosa gente que siga por
ejemplo, puede experimentar este procedimiento por llamar a cualqGuoiebrierno de
Estados Unidos
Agencia y pidiendo el operador para proporcionar una extensin.)
19-2 Nmeros de telfono para grupos de departamentos especficos
Poltica: Empleados no debern proporcionar nmeros de telfono directo para la empresa
Mesa de ayuda, departamento de telecomunicaciones, las operaciones del equipo o
sistema
personal de administrador sin verificar que el solicitante tiene una necesidad l
egtima
ponerse en contacto con estos grupos. La recepcionista, al transferir una llamad
a a estos grupos,
debe anunciar el nombre del llamador.
Explicacin\/notas: Aunque algunas organizaciones pueden encontrar esta poltica exc
esivamente
restrictiva, esta regla hace ms difcil para un ingeniero social a hacerse pasar po
r
un empleado por engaar a otros empleados en transferir la llamada de su
extensin (que en algunos sistemas telefnicos provoca la llamada a parecen originar
se
desde dentro de la empresa), o demostrar conocimiento de estas extensiones a la
vctima a fin de crear un sentido de autenticidad.
19-3 Transmitir informacin
Poltica: Los operadores de telfono y recepcionistas no deberan tomar mensajes o rel
informacin en nombre de cualquiera de las partes no personalmente conocido por se
r un activo
empleado.
Explicacin\/notas: ingenieros sociales son adeptas a engaar a los empleados en
sin querer dar fe de su identidad. Es un truco de ingeniera social obtener
el nmero de telfono de la recepcionista y, con un pretexto, pedir la recepcionista
a
tomar cualquier mensaje que pueda surgir para l. Entonces, durante una llamada a
la vctima, el
atacante pretende ser un empleado, pide alguna informacin confidencial o a
realizar una tarea y da el nmero de centralita principal como un nmero de llamada
de vuelta.
El atacante ms tarde vuelve a llamar a la recepcionista y recibe cualquier mensaj
e dejado para
l la vctima confiados.
19-4 Elementos izquierda para su recogida
Poltica: antes de lanzar cualquier elemento a un mensajero o a otra persona sin v
erificar, la
Recepcionista o guardia de seguridad debe obtener la identificacin de la imagen y
escriba el
identificacin informacin en el registro de recogidar eqcuoemridoo por aprobado
procedimientos.

Explicacin y notas\". Es una tctica de ingeniera social engaar a un empleado en


Liberacin de materiales sensibles a otro supuestamente autorizado a empleado por
caer tales materiales al recepcionista o al escritorio de lobby para su recogida
.
Naturalmente, la recepcionista o guardia de seguridad asume que el paquete est au
torizado
para el lanzamiento. El ingeniero social se muestra a s mismo o tiene un mensajer
o
servicio de recoger el paquete.
POLTICAS PARA EL GRUPO DE INFORMES DE INCIDENTES
Cada empresa debe establecer un grupo centralizado que debe ser notificado cuand
o
se identifica cualquier forma de ataque a la seguridad de la empresa. Lo que sig
ue son algunos
directrices para configurar y estructurar las actividades de este grupo.
Grupo de informes de incidente de 20-1
Poltica: Un individuo o grupo debe ser designado y empleados deben ser
instrucciones de incidentes de seguridad informe a ellos. Todos los empleados de
ben proporcionarse
con la informacin de contacto para el grupo.
Explicacin\/notas: Empleados deben entender cmo identificar una amenaza a su segur
idad,
y estar capacitado para informar de cualquier amenaza a un grupo de informes inc
idente especfico. Tambin importante que una organizacin establezca procedimientos e
specficos y autoridad para
un grupo para actuar cuando se inform de una amenaza.
20-2 Ataques en curso
Poltica: Cuando el grupo informe incidente ha recibido informes de un curso
ataque de ingeniera social inmediatamente iniciar procedimientos de alerta
todos los empleados asignados a los grupos afectados.
Explicacin\/notas: El incidente informes de grupo o Gerente responsable debe
tambin tomar una decisin sobre si enviar una empresa amplia alerta. Una vez el
persona responsable o el grupo tiene una creencia de buena fe que puede ser un a
taque en
progreso, mitigacin de los daos debe hacerse una prioridad mediante notificacin a l
a empresa
personal que en su guardia.
Seguridad de un vistazo
La versin de referencia listas y listas de siguientes proporcionan social rpida
mtodos de ingeniera discutieron en los captulos 2 a 14 y verificacin de procedimient
os
detallada en el captulo 16. Modificar esta informacin para su organizacin y hacer
disponible a los empleados para referirse a una pregunta de seguridad de la info
rmacin
surge.
IDENTIFICACIN DE UN ATAQUE DE SEGURIDAD
Estas tablas y listas de verificacin le ayudar a detectar un ataque de ingeniera so
cial.
El ciclo de la ingeniera Social
ACCIN \/ DESCRIPCIN
Investigacin
Puede incluir informacin de cdigo abierto como presentaciones a la SEC y los infor
mes anuales,
folletos de marketing, aplicaciones de patentes, prensa, revistas del sector,
Contenido del sitio Web. Tambin la recoleccin urbana.
Desarrollo de rapport y confianza
Uso de informacin privilegiada, tergiversar la identidad, los conocidos a citando
vctima, necesidad de ayuda, o autoridad.
Aprovechamiento de la confianza
Pidiendo informacin o una accin por parte de la vctima. En inversa aguijn,

manipular vctima al atacante para pedir ayuda.


Utilizar la informacin
Si la informacin obtenida es slo un paso hacia la meta final, el atacante regresa
a anterior
los pasos en el ciclo hasta que se alcanza el objetivo.
Mtodos de ingeniera Social comn
Hacindose pasar por un empleado de compaero
Hacindose pasar por un empleado de un proveedor, empresa asociada o aplicacin de l
a ley
Hacindose pasar por alguien en autoridad
Hacindose pasar por un empleado nuevo solicitando ayuda
Hacindose pasar por un proveedor o llamada de fabricante de sistemas para ofrecer
una revisin del actualizacin
Oferta de ayuda si surge algn problema, entonces que el problema se producen, con
lo cual
manipulacin de la vctima para pedir la ayuda
Envo de software libre o parche de vctima instalar
Enviar un virus o un troyano como datos adjuntos de correo electrnico
Mediante una ventana emergente falsa pidiendo usuario vuelva a iniciar sesin o in
iciar sesin con
contrasea
Captura las pulsaciones de la vctima con el programa o sistema informtico fungible
Dejando a un disquete o CD todo el lugar de trabajo con software malintencionado
en ella
Utilizando jerga privilegiada y terminologa para ganar confianza
Ofreciendo un premio para registrarse en un sitio Web con el nombre de usuario y
contrasea
Colocar un archivo o documento en la sala de correo de empresa para la entrega d
e intraoffice
Modificacin de la partida de mquina de fax que parecen provenir de una ubicacin int
erna
Solicita recepcionista para recibir luego reenviar un fax
Pidiendo un archivo para ser transferido a una ubicacin aparentemente interna
Obtener un buzn de correo de voz configurado as llamada espalda percibe atacante c
omo interna
Pretende ser de oficinas remotas y pidiendo acceso a correo electrnico localmente
Seales de advertencia de un ataque
Negativa a dar vuelta nmero de llamada
Peticin de salida de corriente
Reclamacin de la autoridad
Destaca urgencia
Amenaza de consecuencias negativas del incumplimiento
Muestra incomodidad cuando se le pregunt
Colocar el nombre
Piropos o halagos
Ligar
Objetivos comunes de ataques
TIPO DE DESTINO \/ EJEMPLOS
Conscientes del valor de la informacin
Recepcionistas, telefonistas, auxiliares administrativos, guardias de seguridad.
Privilegios especiales
Ayuda de escritorio o soporte tcnico, los administradores de sistemas, operadores
de equipo,
administradores del sistema telefnico.
Fabricante \/ proveedor
Hardware del equipo, los fabricantes de software, proveedores de sistemas de cor
reo de voz.
Departamentos especficos
Contabilidad, recursos humanos.
Factores que hacen ms Vulnerable a los ataques de las empresas

Gran nmero de empleados


Mltiples instalaciones
Informacin sobre empleados paradero dejado en mensajes de correo de voz
Informacin de la extensin de telfono disponible
Falta de formacin en seguridad
Falta de sistema de clasificacin de datos
Ningn plan de informacin y respuesta a incidentes
VERIFICACIN UNA D DE CLASIFICACIN DE DATOS
Estas tablas y grficos le ayudarn a responder a las solicitudes de informacin o
accin que puede ser ataques de ingeniera social.
Verificacin de identidad de procedimiento
ACCIN \/ DESCRIPCIN
Identificador de llamadas
Verificar la llamada es interno, y nmero de nombre o la extensin coincide con la i
dentidad de la
llamador.
Devolucin de llamada
Buscar solicitante en el directorio de la empresa y la extensin de la lista de de
volucin de llamada.
Dar fe
Pedir a un empleado de confianza para garantizar la identidad del solicitante.
Clave comn compartida
Solicitud de secreto compartido de toda la empresa, como una contrasea o cdigo dia
ria.
Supervisor o administrador
Contacto del empleado inmediato supervisor y solicitud de verificacin de identida
d y
Estado de empleo.
Correo electrnico seguro
Solicitar un mensaje firmado digitalmente.
Reconocimiento de voz personal
Para que un llamador sabe que empleado, validar por voz del llamador.
Contraseas dinmicas
Verificar contra una solucin dinmica contrasea como Secure ID o otros fuertes
dispositivo de autenticacin.
En persona
Exigir del solicitante que aparezca en persona con una insignia de empleado o
identificacin.
Verificacin del procedimiento de estado de empleo
ACCIN \/ DESCRIPCIN
Verificacin de directorio de empleados
Compruebe que el solicitante aparece en el directorio en lnea.
Verificacin de administrador del solicitante
Llamar a administrador del solicitante mediante el nmero telefnico que aparece en
el directorio Verificacin de departamento o grupo de trabajo del solicitante
Llame el departamento o grupo de trabajo del solicitante y determinar que el sol
icitante es todava
empleados de la empresa.
Procedimiento para determinar la necesidad de saber
ACCIN \/ DESCRIPCIN
Consultar marea de trabajo \/ grupos de trabajo \/ lista de responsabilidades
Comprobar listas publicadas de que los trabajadores tienen derecho a especficos c
lasificados
informacin.
Obtener la autoridad del administrador
Pngase en contacto con su administrador, o del solicitante, para poder cumplir
con la solicitud.
Obtener la autoridad de la informacin propietaria o designatario
Pregunte al propietario de la informacin si el solicitante tiene una necesidad de
saber.

Obtener autoridad con una herramienta automatizada


Buscar base de datos de software propietario personal autorizado.
Criterios de verificacin de empleados no
CRITERIO \/ ACCIN
Relacin
Verificar firma de el solicitante tiene un proveedor, socio estratgico u otros ad
ecuados
relacin.
Identidad
Compruebe el estado de empleo y la identidad del solicitante en la firma del pro
veedor\/socio.
No divulgacin
Compruebe que el solicitante tiene un acuerdo de confidencialidad firmado en arc
hivo.
Acceso
Remitir la solicitud a la administracin cuando la informacin es clasificada por en
cima
Interna.
Clasificacin de datos
CLASIFICACIN Y DESCRIPCIN \/ PROCEDIMIENTO
Pblico
Puede publicarse libremente al pblico
No es necesario verificar.
Interna
Para uso dentro de la empresa
Verifica la identidad del solicitante como empleado activo o acuerdo de no divul
gacin
sobre aprobacin de archivo y gestin de los empleados no.
Clasificacin de datos (continuada)
CLASIFICACIN Y DESCRIPCIN \/ PROCEDIMIENTO
Privada
Informacin de carcter personal destinado slo dentro de la organizacin
Verificar la identidad del solicitante como empleado activo o slo dentro de emple
ado no con
la organizacin, autorizacin. Consulte con el departamento de recursos humanos
divulgar informacin privada a los empleados autorizados o solicitantes externos.
Confidencial
Compartido slo con personas con una necesidad absoluta de saber dentro de la orga
nizacin
Verificar la identidad del solicitante y necesita saber de informacin designado
Propietario. Suelte slo con el consentimiento escrito previo del administrador, o
informacin
Propietario o designatario. Si hay acuerdo de no divulgacin en archivo. Slo
personal de administracin podr revelar a las personas no empleadas por la empresa.
FUENTES
CAPTULO 1
BloomBecker, Buck. 1990. Espectacular delitos informticos: Lo que son y
Cmo cuestan estadounidenses Business media mil millones de dlares un Dar. Irwin
Publicacin profesional.
Littman, Jonathan. 1997. Juego fugitivo: En lnea con Kevin Mitnick. Little
Brown
Penenberg, Adam L. April 19, 1999. \"La demonizacin de un pirata informtico.\" For
bes.
CAPTULO 2
La historia de Stanley Rifldn se basa en las siguientes cuentas:
Instituto de seguridad del equipo. Sin fecha. \"Prdidas financieras debido a las
intrusiones de Internet,
robo de secretos comerciales y otros delitos cibernticos soar.\" Comunicado de pr
ensa. Epstein, Edward
Jay. Indito. \"La invencin de diamante\". Holwick, el Reverendo David. Indito

cuenta.
El Sr. Rifkin, l mismo fue amable en el reconocimiento de que las cuentas de su e
xplotacin
difieren porque l ha protegido su anonimato por el descenso a ser entrevistados.
CAPTULO 16
Cialdini, Robert B. 2000. Influencia: Ciencia y prctica, 4 edicin. Allyn y
Bacon.
Cialdini, Robert B. febrero de 2001. \"La ciencia de la persuasin\". Cientficos
Estadounidense. 284:2.
CAPTULO 17
Algunas polticas en este captulo se basan en ideas contenidas en: madera, Charles
Cresson. 1999. \"Informacin directivas de seguridad fcil.\" Software de base.
Agradecimientos
DE KEVIN MITNICK
Verdadera amistad ha sido definido como una sola mente en dos cuerpos; no mucha
gente en
la vida de nadie puede ser llamada a un verdadero amigo. Jack Biello fue un aman
te y cuidado
persona que habl en contra del maltrato extraordinario soport en el
manos de periodistas inmorales y fiscales del Gobierno entusiasta. Fue un
voz clave en el movimiento de Kevin libre y un escritor que tuvo una extraordina
ria
talento para escribir artculos convincentes exponiendo la informacin que el
Gobierno no quiere que se sepa. Jack siempre estaba all para hablar sin temor
que en mi nombre y a trabajar junto conmigo preparando discursos y artculos,
y, en un momento dado, me representan como un enlace de medios de comunicacin.
Este libro est dedicado, por tanto, con amor a mi querido amigo Jack Biello,
cuya muerte reciente de cncer igual terminamos el manuscrito me ha dejado
sintiendo una gran sensacin de prdida y tristeza.
Este libro no hubiera sido posible sin el amor y el apoyo de mi
familia. Mi madre, Shelly Jaffe y mi abuela, Reba Vartanian, tienen
me da amor incondicional y el apoyo a lo largo de mi vida. Me siento tan afortun
ada de
se han planteado por tal una amorosa y dedicada madre, que tambin considero mi
Mejor amigo. Mi abuela ha sido como un segundo morn para m, me que
con el mismo cuidado y amor que slo una madre puede dar. Como cuidar y
gente compasiva, has me ensearon los principios de preocuparse por otros y
echar una mano de ayuda a los menos afortunados. Y o, imitando el patrn de
cuidar y dar, en un sentido seguir los caminos de sus vidas. Espero que te
Perdname por ponerlos en segundo lugar durante el proceso de escribir esto
libro, pasando chances a verlos con la excusa de trabajo y plazos para
satisfacer. Este libro no hubiera sido posible sin su continuo amor y
apoyo que siempre te tengo cerca a mi corazn.
Cmo quiero mi pap, Alan Mitnick y mi hermano, Adam Mitnick, tendra
vivi lo suficiente para salto de abrir una botella de champagne conmigo el da esto
libro aparece por primera vez en una librera. Como propietario vendedor y negocio
s, mi padre
me ense muchas de las cosas buenas que nunca olvidar. Durante los ltimos meses
de la vida de mi pap estaba suficientemente afortunado como poder estar a su lado
para reconfortarlo
lo mejor que pude, pero fue una experiencia muy dolorosa que todava no la tengo
recuperado.
Mi ta pollito Leventhal siempre tendr un lugar especial en mi corazn;
Aunque ella estaba decepcionada con algunos de los errores estpidos que he hecho,
Sin embargo ella estaba siempre all para m, ofreciendo su amor y apoyo. Durante
mi intensa devocin a escribir este libro, sacrificado muchas oportunidades para u
nirse a
ella, mi primo, Mitch Leventhal y su novio, el Dr. Robert Berkowitz, para
nuestra celebracin de shabat semanal.
Tambin debo dar mi ms sincero agradecimiento al novio de mi madre, Steven Knittle,

que estaba all para rellenar para m y proporcionar a mi madre con amor y apoyo.
Hermano de mi pap claramente merece muchos elogios; se podra decir que hered de mi
oficio
de ingeniera social de to Mitchell, quien supo manipular el
mundo y su gente de maneras que nunca espero entender, mucho menos
maestro. Suerte para l, nunca tuvo mi pasin por la tecnologa de informtica
durante los aos us su personalidad encantadora para influir en cualquier persona q
ue desee.
l siempre celebrar el ttulo del ingeniero social de gran Maestre.
Y por eso escribo estos agradecimientos, me doy cuenta que tengo tanta gente a d
ar las gracias
y para expresar agradecimiento a para ofrecer su apoyo, amor y amistad. ME
no se puede comenzar a recordar los nombres de todos los tipo y gente generosa q
ue has
se reuni en los ltimos aos, pero baste decir que necesitara un equipo para almacenar
los
todos. Ha habido tantas personas de todo el mundo que han escrito a
yo con palabras de aliento, elogio y apoyo. Estas palabras han significado un
mucho para m, especialmente durante los tiempos que ms lo necesitaba.
Estoy especialmente agradecido a todos mis seguidores que ascenda por m y pas sus
valioso tiempo y energa salir la palabra a quien escuchara,
Expresando su preocupacin y objecin sobre mi trato injusto y la hiprbole
creado por quienes tratan de sacar provecho de la \"El mito de Kevin Mitnick\".
He tenido la fortuna extraordinaria de se asoci con el autor ms vendido
Bill Simon y hemos trabajado diligentemente juntos a pesar de nuestras diferente
s
patrones de trabajo. Bill es altamente organizado, se levanta temprano y trabaja
en una deliberada y
estilo bien planificada. Estoy agradecido de que Bill fue amable suficiente para
acomodar mi
horario de trabajo de la noche. Mi dedicacin a este proyecto
y largas horas de trabajo me mantuvieron bien entrada la madrugada que entraban
en conflicto
con el horario habitual de trabajo del proyecto de ley.
No slo fui afortunado al ser asociado con alguien que poda transformar mis ideas
en frases (principalmente) es digno de un lector sofisticado, pero tambin Bill un
muy
hombre paciente que aguantar con el estilo de mi programador de centrarse en los
detalles.
De hecho hemos dejado pasar. An as, quiero pedir disculpas
proyecto de ley en estos agradecimientos que va siempre lamento ser el, porque
mi orientacin a precisin y detalle, que le llev a ser tarde para un plazo
para la primera y nica vez en su larga escribiendo carrera. Un escritor tiene el
orgullo que me
Finalmente han llegado a comprender y compartir; Esperamos poder hacer otros lib
ros juntos.
El deleite de estar en el casa en Rancho Santa Fe a trabajar y a ser Simon
mimado por la esposa de Bill, Arynne, podra ser considerada un punto culminante d
e este escrito
proyecto. De Arynne conversacin y cocina dar batalla en mi memoria para primero
lugar. Ella es una dama de calidad y sabidura, llena de alegra, que ha creado una
casa de
calidez y belleza. Y nunca voy beber un refresco de dieta nuevamente sin audienc
ia
Voz de Arynne en el fondo de mi mente me adverta sobre los peligros de
Aspartamo, Stacey Kirkland significa mucho para m. Ella ha dedicado muchos
horas de su tiempo ayudando a me en Macintosh para disear las tablas y grficos
ayud a dar autoridad visual a mis ideas. Admiro sus cualidades maravillosas;
Ella es realmente una persona amorosa y compasiva que merece slo lo bueno
en la vida. Ella me dio aliento como un amigo de cuidado y es alguien que me imp

orta
profundamente sobre. Deseo darle las gracias por todo su apoyo amoroso y por est
ar ah
para m siempre lo necesitaba.
Alex Kasper, Nexspace, es no slo mi mejor amigo, sino tambin un socio de negocios
y colega. Juntos organizamos un popular Internet talk radio show conocido como
There was an error deserializing the object of type System.String. Encountered u
nexpected character 'o'.
orientacin del programa Director David g. Hall. Alex gentilmente proporcionado su
una valiosa asistencia y asesoramiento a este proyecto de libro. Su influencia h
a siempre
sido positiva y til con una bondad y generosidad que frecuentemente se extiende m
ucho
ms all de la medianoche. Alex y he terminado recientemente una pelcula o vdeo para a
yudar a las empresas
capacitar a su gente en la prevencin de ataques de ingeniera social.
Paul Dryman, decisin informada, es un amigo de la familia y ms all. Esto altamente
respeto y confianza de investigador privado me ayud a entender las tendencias y
procesos de investigaciones de fondo. Conocimiento de Paul y
experiencia me ayud a enfrentar al personal descrita en la parte 4 de problemas d
e seguridad
este libro.
Uno de mis mejores amigos, Candi laico, siempre me ha ofrecido apoyo y
amor. Realmente es una persona maravillosa que merece lo mejor de la vida. Duran
te la
trgicos das de mi vida, Candi siempre ofreci aliento y amistad. Soy
afortunados que han cumplido con esa maravilloso y cuidado compasivo ser humano,
y quiero darle las gracias por estar ah para m.
Sin duda mi primer cheque de regalas se destinar a mi compaa de telfono celular para
todos los
tiempo que pas hablando con Erin Finn. Sin duda, Erin es como mi alma gemela.
Somos iguales en tantos formas es aterrador. Ambos tenemos un amor
para la tecnologa, los mismos gustos en comida, msica y pelculas. AT
definitivamente perder dinero para darme todas las llamadas de \"huir de noches
y fines de semana\" a
su casa en Chicago. Por lo menos no estoy utilizando el plan de Kevin Mitnick ya
.
Su entusiasmo y su creencia en este libro haban potenciado mis espritus. Que suert
e estoy a
tenerla como un amigo.
Estoy ansioso por dar las gracias a aquellas personas que representan mi carrera
profesional y
dedicado de manera extraordinaria. Mis charlas son administradas por Amy
Gray (una honesta y cuidar persona que admiro y adoro) David Fugate, de
Producciones imponente, es un agente de libro que fue a batear para m en muchos
ocasiones antes y despus de que se firm el contrato de libro; y Los Angeles
abogado Gregory Vinson, que estuvo en mi equipo de defensa durante mi aos de dura
cin
batalla con el Gobierno. Estoy seguro de que l puede relacionar con la comprensin
del proyecto de paciencia para mi estrecha atencin a los detalles; ha tenido el m
ismo trabajo de experiencia
conmigo en documentos jurdicos ha escrito en mi nombre.
He tenido muchas experiencias con abogados pero estoy ansioso por tener un lugar
para
expresar mi agradecimiento por los abogados que, durante los aos de mi negativa
interacciones con el sistema de Justicia Penal, intensificado y se ofreci a ayuda
rme
cuando estaba en necesidad desesperada. De las palabras amables a implicacin prof
unda con mi
caso, conoc a muchos que no encajan en absoluto el estereotipo de la Procuradura e

gocntrico. ME
han llegado a respetar, admirar y apreciar la bondad y la generosidad de espritu
que me han dado tan libremente por tantos. Cada uno de ellos merece ser reconoci
dos con una
prrafo palabras favorables; Por lo menos mencionar les todo por su nombre, para ca
da
uno de ellos vive en mi corazn rodeado de reconocimiento: Greg Aclin, Bob
Carmen, John Dusenbury, Sherman Ellison, Omar Figueroa, Carolyn Hagin, robar
Hale, Alvin Michaelson, Ralph Peretz, Vicki Podberesky, Donald C. Randolph,
Dave Roberts, Alan Rubin, Steven Sadowski, Tony Serra, Richard Sherman, omitir
Pizarras, Karen Smith, Richard Steingard, el Honorable Robert Talcott, Barry
Tarlow, John Yzurdiaga y Gregory Vinson.
Aprecio mucho la oportunidad de John Wiley
al autor de este libro y su confianza en un autor de primera vez. Quiero dar las
gracias
las siguientes personas Wiley que hicieron posible este sueo: Ellen Gerstein, Bob
Ipsen, Carol Long (mi editor y diseador de moda) y Nancy Stevenson.
Otros miembros de la familia, amigos personales, asociados de negocios que han d
ado
me asesoramiento y apoyo y han llegado a de muchas maneras, son importantes para
reconocer y reconocer. Son: j. j. Abrams, David Agger, Bob Arkow,
Stephen Barnes, Dr. Robert Berkowitz, Dale Coddington, Eric Corley, Delin
Cormeny, Ed Cummings, Art Davis, Michelle Delio, Sam Downing, John
Draper, Paul Dryman, Nick Duva, Roy Eskapa, Alex Fielding, Lisa Flores, Brock
Franco, Steve Gibson, Jerry Greenblatt, Greg Grunberg, Bill manejar, David G.
Detener, Dave Harrison, Leslie Herman, Jim Hill, Dan Howard, Steve Hunt, Rez
Johar, Steve Knittle, Gary Kremen, Barry Krugel, Earl Krugel, Adrian Lamo, Leo
Laporte, Mitch Leventhal, Cynthia Levin, CJ poco, Jonathan Littman, marcar
Maifrett, Brian Martin, Forrest McDonald, Kerry McElwee, Alan McSwain,
Elliott Moore, Michael Morris, Eddie Munoz, Patrick Norton, Shawn Nunley,
Brenda Parker, Chris Pelton, Kevin Poulsen, prensa Scott, Linda y Art Pryor,
Jennifer Reade, Israel y Rachel Rosencrantz, Mark Ross, William Royer, Irv
Rubin, Ryan Russell, Neil Saavedra, Schwartu Wynn, Pete Shipley, Joh tamizar, Da
n
Sokol, Trudy Spector, Matt Spergel, Eliza Amadea Sultan, Douglas Thomas, Roy
There was an error deserializing the object of type System.String. Unexpected en
d of file. Following Wortman, Steve Wozniak y todos mis amigos en el W6NUT (147.
435 MHz)
repetidor en Los Angeles.
Y mi agente de libertad vigilada, Larry Hawley, merece especial agradecimiento p
or haberme dado
autorizacin para actuar como asesor y consultor en asuntos relacionados con la se
guridad
ed