INGENIERIA SOCIAL

CASO DE ESTUDIO:
“Me haces un favor?. Por supuesto!”
________________________________________
FECHA: Diciembre de 2010
By: nonroot – http://nonroot.blogspot.com/

Introducción
Este documento esta escrito con el único fin de que sirva de ejemplo para todos los estudiantes de
mis asignaturas, posiblemente podrá servirle de ejemplo a otras personas. He decidido escribirlo
porque creo que contiene buenos ejemplos de como se puede encaminar un ataque de ingeniería
social detectando los puntos vulnerables de una posible víctima.

Esta conversación se desarrolla en un horario nocturno, inicialmente lo percibí como un posible

ataque de Ingeniería Social contra mi, después de un tiempo sigo pensando que pudo ser así. La
conversación esta escrita tal como sucedió, sin embargo entre líneas van los comentarios sobre lo
que pienso al respecto.

Nota: La palabra víctima es usada en el documento en modo amable y con el ánimo de ejemplificar,
puede ser cualquier persona como tu o como yo.

Ingeniería Social
La ingeniería social se puede dar de muchas formas, pero dos vectores de ataque principales ocurren
en las siguientes circunstancias:

1. La víctima tiene deseos de colaborar y de sentirse útil, en ese momento esta persona será
vulnerable si es posible intercambiar el servicio por unas palabras que provoquen
sensaciones de satisfacción o por una remuneración que estimule positivamente a la víctima.

2. La víctima esta solicitando un favor, tiene una necesidad, en ese momento es vulnerable
porque su foco de atención es la necesidad puntual y cualquier otra cosa estará en segundo
plano, por lo tanto siempre y cuando parezca que esta obteniendo una solución a su
necesidad la víctima “estará dispuesta” a entregar la información.

En este caso de estudio evaluaremos un ataque tipo 2.

La conversación se desarrolla entre un supuesto Ingeniero Social y una supuesta víctima.

Conversación
víctima: Hola
soy una prima de Catalina
Ingeniero: Hola
víctima: te puedo hacer una pregunta
Ingeniero: si, no hay problema

## Hasta este momento todo normal, una típica conversación de MSN.

víctima: lo q pasa es que una vieja me acabo de decir por msn q me va a robar la cuenta
q puedo hacer ella ya le ha hecho esto a varias personas
de la cuenta q me hablo era de una amiga q también se la robó

## Comienzan las sospechas, al parecer es alguien que no sabe mucho del tema, sin embargo puede
## estar enterada de que es posible que alguien pueda robarse una clave.

Ingeniero: entiendo, y en que puedo ayudarte?

## Conservando la calma y prestando mínima importancia al asunto le hace sentir a la otra persona
## que su caso es típico o que simplemente no me importa.

víctima: q puedo hacer, si es posible q me robe la cuenta, como hago para q salirle adelante
esto fue lo q me escribió listo, tengo tu ip te van a pasar cosas raras a tus cositas jajaaj el pc
cambiara un poco jaajaj

## Esta solicitando un favor, así que entramos en el modo de ataque 2.

Ingeniero: y es que ella es hacker?

## Desvío la atención del tema y lo enfoco en la otra persona

víctima: se cree por q ya lo ha hecho varias veces

Ingeniero: entiendo, pero no creo que te haga algo debe ser pura bulla, no te alarmes

## Le doy un OK a lo que dice, ella siente que estoy de acuerdo con su forma de pensar y luego
## trato de ponerme al nivel de su conversación, usando palabras que ella podría usar o expresiones
## que le sean comunes. Quién dijo Rapport?

víctima: ps la verdad si me da un poquito de miedo por q ya le robo la cuenta una amiga

no hay alguna forma de evitar eso?

Ingeniero: si
configurando opciones en el sistema en tu cuenta personalizandola!

## Una respuesta simple, para insinuarle que ella no sabría como solucionar el problema con
## soluciones mas técnicas, en resumen, lo obvio. Si esta verdaderamente interesada en que yo le
## ayude, volverá a preguntar. (atención a la última palabra personalizan...)
víctima: si eso hice desde q se lo hice a mi amiga entonces confiemos
jaja muchas gracias

## Aquí se puede terminar la conversación si respondo algo como “ok”, o “hasta pronto”. Debo
## regresarla al tema, debo terminar la tarea, la respuesta suya es muy extraña.

Ingeniero: como asi que se lo hice a mi amiga?

no entendi, ella no te lo estaba haciendo?

## Una pregunta confusa pidiendo detalles hará que lo vuelva a explicar, si la nueva explicación
## contradice la primera, entonces todo es mentira, en caso de que sea verdad, ayudará a entender
## mas a fondo el asunto.

víctima: ella ya se lo hizo a una amiga mia

ya le robo la cuenta es mas desde la cuenta q me hablo es la q le robo a mi amiga
perdon es q me quivoque personalize mi cuenta desde q ella le hizo lo mismo a mi amiga

## Usó la palabra personalizar, ya esta en rapport!

Ingeniero: entiendo, pero entonces si es hacker ella, que miedo

víctima: qqqqqqqqq

## Hago que sienta que me identifico con ella, lo que ella pueda ver, escuchar o sentir sobre el
## asunto.

Ingeniero: la clave que usas es sencilla?, tiene patrones de mexcal?

## Invento un termino y calculo el tiempo que toma en responder, con eso concluyo si va a google a
## buscar lo que significa o si no. En este paso pude haber creado un sitio web con una palabra
## mágica que google pueda indexar, de este modo cuando alguien busque la palabra encontrará mi
## documento publicado haciendo que se corrobore lo que digo. Como el documento aparece por
## google y nunca le dije que lo buscara, ella pensará que es realidad lo que le estoy diciendo.
## En este caso, la respuesta es casi inmediata dándome a entender que no le presto
## atención a lo que le dije, pero que igual logró el objetivo de asustarla.

víctima: como asi... no me haga asustar

Ingeniero: si esta bajo la norma mexcal no hay problema, ella no puede adivinarla
víctima: si Catalina me dijo q hiciera eso hace tiempo letras combinado con numeros

## Tiene algo de información, tiene un poco de susto y sabe que puedo ayudarla.

Ingeniero: pero cual esta usando en este momento Catalina?

## Pregunta incoherente para que cambie su concentración en el tema.

víctima: como asi?

Ingeniero: solo quería saber si si estas usando las claves suficientemente seguras, es la única forma
que ella puede usar para apoderarse de tu cuenta

## Nos enfocamos de nuevo en el problema.

víctima: ps la verdad no creo q adivine la clave

es muy segura

## Seguro que si.

Ingeniero: ah bueno, entonces no hay lio

## Le hago pensar que no me interesa su clave, tampoco mucho su asunto, de esta forma puede
## confiar mas en lo que diga.

víctima: entonces si tengo una contraseña segura nadie me la va a hackear

Ingeniero: correcto
pero tiene que ser completamente segura
con estándares internacionales

## Siempre estoy de acuerdo con ella, pero reafirmo su paranoia, hablando de temas que quizás
## sean raros para ella

Ingeniero: tengo un programa local que le da una puntuación de 1 a 100

si pasa de 70 es segura
si pasa de 90 es muy segura
y si es menos de 40, cualquiera con técnicas y herramientas la rompe

## Ahora hago la tarea. Si esto se hubiera dicho antes no funcionaría y si se hubiera dicho después,
## seria demasiado tarde.

víctima: me podrias pasar el programa'

Ingeniero: funciona en MacOSX versión 10.8
si estas en windows no funciona
si quieres copias la clave por aqui y yo la pruebo con el programa

## Supongo que esta en Windows, así que le planteo un escenario que ella no tenga fácilmente.
## Hay que quitar el foco de atención y hacerle pensar que solo hay una forma de que pueda
## obtener sus respuestas, obviamente a través de mi.

víctima: jajaja me da pena por q para mi es segura por q es combinada

pero bueno te la paso y me dices como la cambio o como la organizo
78loky8u7

## Hecho!, aunque aún no termina la tarea, pues hay que lograr que todo parezca natural.

víctima: jajaj cierto q me faltan puntos, mayuscula, etc

jajaja
y por curiosidad a uno como le cogen la ip hablando por msn

## Esta tratando de desviar el tema de la clave, para que no me importe.

Ingeniero: Mira, me dice que es 37%

## Le doy el resultado del supuesto programa.

#./strongpass 78loky8u7
[*] Calculando la fortaleza ...
[*] [a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9 0]
Su clave es insegura en un 37%

# En realidad el programa que use lo programe en 5 segundos para hacerlo mas real
# Se requiere conocimientos avanzados de bash
#
#cat strongpass
#echo "[*] Calculando la fortaleza ..."
#echo "[*] [a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9 0]"
#echo "Su clave es insegura en un 37%"

víctima: :'(
Ingeniero: Según esto porque los números no son diferentes, no hay caracteres raros y tampoco
mayúsculas. No puedes poner los mismos números en la palabra clave

# Hago la buena obra del día

víctima: aaa ok
Ingeniero: esa es la clave tuya o la de Catalina?

# Confirmando ...

víctima: la mia
Ingeniero: ah bueno, pero no tienes cuenta en gmail menos mal

## Trato de ampliar la superficie de ataque.

víctima: no por q
Ingeniero: por eso
si ella no sabe tu msn, entonces no puede

## ?? WTF, algo para confundir y olvidar el tema

Ingeniero: tu como te llamas?

## Muchas preguntas en poco tiempo, a que responde la persona?

víctima: ella = hacker

Tatiana
la hacker si tiene mi cuenta de msn

## ??

Ingeniero: no ella no, tu, ella es Tatiana!

## ?? D.o.S

víctima: yo soy Tatiana

la vieja si tiene mi cuenta de msn
Ingeniero: ahm, pero la tienes agregada? borrala para que no te haga nada, bloqueala, sabes como?
## Colaborador, servicial, amistoso, le planteo algo que ella pueda hacer, así se siente bien.

víctima: si ya
Ingeniero: ah bueno

## Done!

víctima: bueno Ingeniero muchisimas gracias de verdad

## Aquí puede terminar la conversación, pero aún falta la mitad de la información, cual es el
## usuario?

Ingeniero: y a usted no le gustaría aprender esas cosas?

víctima: si claro
para ahcerle lo mismo a ella
Jaja

## El valor agregado del favor, ahora se sentirá mucho mas agradecida.

Ingeniero: Ingeniero tengo msn, si quiere me da el suyo y conversamos por ahi, para que no tengas
que usar la cuenta de Catalina.
víctima: bueno pero ya voy a acambiar la contraseña
Jajajja
taty752@hotmail.com

## Hecho!
## Pero quizás sospecha algo y va a cambiar su clave inmediatamente, como lo evitamos?

Ingeniero: ok te agrego entonces y conversamos luego

víctima: ok

Ingeniero: mira si buscas videos en youtube hay buena info

si no entiendes algo me cuentas, mira por ejemplo estos:
http://www.Ingenieroutube.com/results?search_query=hacking+msn

## El que abra alguno de los vídeos te da tiempo suficiente para entrar y cambiar la clave, si fuera el
## objetivo final, que creen?, que funcionó o no la clave?

víctima: muchas gracias

Ingeniero: ok, con gusto
víctima: bueno me despido muchas gracias y ahi te deje la cuenta ps para q me agregues y me sigas
enseñando mas cositas
muchas gracias otra vez

## Una despedida cariñosa, todo esta bien entre nosotros.

Ingeniero:Vale, te cuidas
Recuerda cambiar esa clave, con la info que te dije

## Una última recomendación, no soy tan malo.

Conclusiones
Que pensarían si les digo que Ingeniero es la misma persona de la que inicialmente Tatiana quería
huir?. Upss!

Saquen sus conclusiones.

Más Conclusiones
• Ah!, que va!, eso solo le pasa a esa persona.

• Yo no hubiera caído en eso.

• Nahh!, esta historia no se la cree nadie.

• Eso nunca pasa en la vida real …

• Nunca me pasaría algo así …

THE END