Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CASO DE ESTUDIO:
“Me haces un favor?. Por supuesto!”
________________________________________
FECHA: Diciembre de 2010
By: nonroot – http://nonroot.blogspot.com/
Introducción
Este documento esta escrito con el único fin de que sirva de ejemplo para todos los estudiantes de
mis asignaturas, posiblemente podrá servirle de ejemplo a otras personas. He decidido escribirlo
porque creo que contiene buenos ejemplos de como se puede encaminar un ataque de ingeniería
social detectando los puntos vulnerables de una posible víctima.
Nota: La palabra víctima es usada en el documento en modo amable y con el ánimo de ejemplificar,
puede ser cualquier persona como tu o como yo.
Ingeniería Social
La ingeniería social se puede dar de muchas formas, pero dos vectores de ataque principales ocurren
en las siguientes circunstancias:
1. La víctima tiene deseos de colaborar y de sentirse útil, en ese momento esta persona será
vulnerable si es posible intercambiar el servicio por unas palabras que provoquen
sensaciones de satisfacción o por una remuneración que estimule positivamente a la víctima.
2. La víctima esta solicitando un favor, tiene una necesidad, en ese momento es vulnerable
porque su foco de atención es la necesidad puntual y cualquier otra cosa estará en segundo
plano, por lo tanto siempre y cuando parezca que esta obteniendo una solución a su
necesidad la víctima “estará dispuesta” a entregar la información.
víctima: lo q pasa es que una vieja me acabo de decir por msn q me va a robar la cuenta
q puedo hacer ella ya le ha hecho esto a varias personas
de la cuenta q me hablo era de una amiga q también se la robó
## Comienzan las sospechas, al parecer es alguien que no sabe mucho del tema, sin embargo puede
## estar enterada de que es posible que alguien pueda robarse una clave.
## Conservando la calma y prestando mínima importancia al asunto le hace sentir a la otra persona
## que su caso es típico o que simplemente no me importa.
víctima: q puedo hacer, si es posible q me robe la cuenta, como hago para q salirle adelante
esto fue lo q me escribió listo, tengo tu ip te van a pasar cosas raras a tus cositas jajaaj el pc
cambiara un poco jaajaj
## Le doy un OK a lo que dice, ella siente que estoy de acuerdo con su forma de pensar y luego
## trato de ponerme al nivel de su conversación, usando palabras que ella podría usar o expresiones
## que le sean comunes. Quién dijo Rapport?
Ingeniero: si
configurando opciones en el sistema en tu cuenta personalizandola!
## Una respuesta simple, para insinuarle que ella no sabría como solucionar el problema con
## soluciones mas técnicas, en resumen, lo obvio. Si esta verdaderamente interesada en que yo le
## ayude, volverá a preguntar. (atención a la última palabra personalizan...)
víctima: si eso hice desde q se lo hice a mi amiga entonces confiemos
jaja muchas gracias
## Aquí se puede terminar la conversación si respondo algo como “ok”, o “hasta pronto”. Debo
## regresarla al tema, debo terminar la tarea, la respuesta suya es muy extraña.
## Una pregunta confusa pidiendo detalles hará que lo vuelva a explicar, si la nueva explicación
## contradice la primera, entonces todo es mentira, en caso de que sea verdad, ayudará a entender
## mas a fondo el asunto.
## Hago que sienta que me identifico con ella, lo que ella pueda ver, escuchar o sentir sobre el
## asunto.
## Invento un termino y calculo el tiempo que toma en responder, con eso concluyo si va a google a
## buscar lo que significa o si no. En este paso pude haber creado un sitio web con una palabra
## mágica que google pueda indexar, de este modo cuando alguien busque la palabra encontrará mi
## documento publicado haciendo que se corrobore lo que digo. Como el documento aparece por
## google y nunca le dije que lo buscara, ella pensará que es realidad lo que le estoy diciendo.
## En este caso, la respuesta es casi inmediata dándome a entender que no le presto
## atención a lo que le dije, pero que igual logró el objetivo de asustarla.
## Tiene algo de información, tiene un poco de susto y sabe que puedo ayudarla.
## Le hago pensar que no me interesa su clave, tampoco mucho su asunto, de esta forma puede
## confiar mas en lo que diga.
Ingeniero: correcto
pero tiene que ser completamente segura
con estándares internacionales
## Siempre estoy de acuerdo con ella, pero reafirmo su paranoia, hablando de temas que quizás
## sean raros para ella
## Ahora hago la tarea. Si esto se hubiera dicho antes no funcionaría y si se hubiera dicho después,
## seria demasiado tarde.
## Supongo que esta en Windows, así que le planteo un escenario que ella no tenga fácilmente.
## Hay que quitar el foco de atención y hacerle pensar que solo hay una forma de que pueda
## obtener sus respuestas, obviamente a través de mi.
## Hecho!, aunque aún no termina la tarea, pues hay que lograr que todo parezca natural.
#./strongpass 78loky8u7
[*] Calculando la fortaleza ...
[*] [a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9 0]
Su clave es insegura en un 37%
# En realidad el programa que use lo programe en 5 segundos para hacerlo mas real
# Se requiere conocimientos avanzados de bash
#
#cat strongpass
#echo "[*] Calculando la fortaleza ..."
#echo "[*] [a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9 0]"
#echo "Su clave es insegura en un 37%"
víctima: :'(
Ingeniero: Según esto porque los números no son diferentes, no hay caracteres raros y tampoco
mayúsculas. No puedes poner los mismos números en la palabra clave
víctima: aaa ok
Ingeniero: esa es la clave tuya o la de Catalina?
# Confirmando ...
víctima: la mia
Ingeniero: ah bueno, pero no tienes cuenta en gmail menos mal
víctima: no por q
Ingeniero: por eso
si ella no sabe tu msn, entonces no puede
## ??
## ?? D.o.S
víctima: si ya
Ingeniero: ah bueno
## Done!
## Aquí puede terminar la conversación, pero aún falta la mitad de la información, cual es el
## usuario?
Ingeniero: Ingeniero tengo msn, si quiere me da el suyo y conversamos por ahi, para que no tengas
que usar la cuenta de Catalina.
víctima: bueno pero ya voy a acambiar la contraseña
Jajajja
taty752@hotmail.com
## Hecho!
## Pero quizás sospecha algo y va a cambiar su clave inmediatamente, como lo evitamos?
## El que abra alguno de los vídeos te da tiempo suficiente para entrar y cambiar la clave, si fuera el
## objetivo final, que creen?, que funcionó o no la clave?
Ingeniero:Vale, te cuidas
Recuerda cambiar esa clave, con la info que te dije
Más Conclusiones
• Ah!, que va!, eso solo le pasa a esa persona.
THE END