[HACK] Curso de Ingenieria Social Capitulo 4 Seccion 4

LeStEr ThE TeAcHeR lgros at airtel.net
Mon Dec 2 11:01:05 CET 2002 

Ingeniería Social y Mail

El mail es una forma de acercamiento a terceros que permite una cierta
protección de la intimidad y el anonimato del Ingeniero Social si este toma
unas mínimas precauciones. A través de el y mediante mensajes mas o menos
"simpáticos" llegan muchos virus. Lo veremos en la sección correspondiente,
pero sin embargo hay mas técnicas basadas en Mail que utilizan muchos
Ingenieros sociales.

Se clasifica la información a obtener a través de mail en tres tipos

1.- información sobre la empresa del objetivo, datos de las oficinas,
proyectos etc.
2.- información sobre personas
3.- información técnica

Los métodos para la obtención de cada tipo es diferente, sin embargo hay
algo que tienen en común los tres y es que casi siempre se necesita
información previa suficiente para salvar la barrera de la confianza, aunque
hay algunas excepciones.

Debido al Spam y a las malas practicas de muchas compañías que hacen un
marketing poco ético, se tiende a eliminar cualquier mail que no transmite
esa confianza o cuyo remitente no parece conocido. En este sentido es
importante que el mail venga de una dirección "amigable" o conocida.
Direcciones confusas como microsoft at soportes.net ,Internick at internets.ru,
helpdesk at wanadu.net que se asemejan a direcciones de sistemas existentes
tienen probabilidades de éxito si lo que se busca es algún dato técnico del
sistema y este se solicita a personal no técnico.

En otro ámbito, si lo que se busca es información sobre la compañía, habrá
de conocerse algunos datos de proveedores o clientes y utilizar mensajes
escritos desde direcciones que utilicen esos nombres de clientes o
proveedores pero desde dominios distintos.

Un caso que requiere una especial atención es la simulación de mails que
provienen de servicios de banca por Internet. Como todo, con algunos
conocimientos técnicos,  también son sencillamente suplantables. Basta con
crear un mail en HTML utilizando las imágenes y los formatos que alguna de
estas entidades utilizan pero enviándolo desde cualquier otra cuenta.
Conozco casos en los que un usuario recibe un mail que parece provenir de un
banco conocido y que luego lo redirige a un formulario falso en el  que se
le hace escribir su contraseña de acceso para operar y esta es guardada en
una tabla o enviada por mail a una dirección donde luego se utilizan de
forma fraudulenta. A continuación dicho usuario es enviado a la pagina real
del banco tras haber recibido una pantalla de error. A través de este tipo
de operaciones se producen importantes fraudes.

En el caso de que lo que se busque sea información personal, si la persona
de la compañía cuya información se busca tiene una secretaria que lleva su
correo será mas sencillo obtenerla que si es la persona destinataria del
mail quien lo lee, pues en muchos casos dan por hecho que la persona que
escribe es realmente un conocido del "jefe" sin confirmarlo con el.

Cuando lo que se pretende conseguir son datos de personas, el envió de mails
a las cuentas de la compañía en la que estas trabajan no suele dar buenos
resultados. En ese caso es el mail personal el que ofrece mas garantías de
éxito. Sin embargo es necesaria mas información para que una persona
responda a un mail privado.  En los casos en los que no se dispone de
demasiada información estos casos hay una opción interesante y que consigue
excelentes resultados :

El mail perdido.

Es un sistema que, sobre todo, funciona cuando la persona a la cual queremos
aproximarnos es un hombre.

Para ello debemos crear una personalidad femenina y enviar un mail
"equivocado" a la persona cuyos datos nos interesan. Probablemente la
persona en cuestión nos lo devolverá con algún comentario. En ese momento ha
picado el cebo. Al recibir su mail responderemos al mismo y nos desharemos
en halagos. Normalmente no será complicado acabar entablando una "amistad" a
través de mail que puede llevarnos a donde deseamos. Una vez mas es el
sentido común quien debería mandar, cuidado con los desconocidos.

Hay, además de todo esto, métodos para la extorsión a través de mail, de las
que hablaremos, o de obtención de las contraseñas a través de envió de mails
del servicio técnico del proveedor, veamos un ejemplo real :

El falso mail  "Como hackear una cuenta de Hotmail"

He visto varias veces un e-mail con instrucciones que en teoría sirve para
hackear la cuenta de Hotmail de cualquier usuario. Este sistema lo que hace
es enviar los datos de nuestra cuenta al desaprensivo que nos envió dicho
mail. Tengamos cuidado con ello. también podréis encontrar algo similar en
alguna página web.

Este es el contenido de uno de estos mails :

--------------------------- INICIO DEL
MAIL -------------------------------------

PRIMERO TIENES QUE TENER UNA CUENTA EN HOTMAIL PARA COMPONER EL SIGUIENTE
MAIL.

LO TIENES QUE MANDAR A : hotmail_support at hotmail.com

EN EL TEMA DEL MAIL TIENES QUE PONER: FORGOT PASSWORD LUEGO TIENES QUE
ESCRIBIR EL SIGUIENTE CÓDIGO:( en el lugar para escribir el mensaje)

HTPOST/ <aqui pones tu e-mail>DIF%99USER_LIST<aqui pones tu clave>
TO.LOP<aqui pones el nombre de la victima>
//%89"%90,//*mail///lostpassword///

Y FINALMENTE PON ENVIAR... ... Y LISTO EN UNAS HORAS RECIBIRÁS LA CLAVE.
ASÍ ENGAÑARAS A LA COMPUTADORA CENTRAL DE HOTMAIL. NO TE PREOCUPES QUE ESTO
VA A FUNCIONAR Y NADIE SE DARÁ CUENTA YA QUE ESTA OPERACIÓN LA HACE UNA
COMPUTADORA COMPLETAMENTE AUOMATIZADA.

EJEMPLO:

Si quieres hackear a Carlos at hotmail.com y tu eres Jordi at hotmail.com y tu
clave es 12345, lo que tienes que poner en en código seria lo siguiente:
HTPOST/<Jordi> DIF%99USER_LIST1<12345>TO.LOP<Carlos>
//%89"%90,//*mail///lostpassword///


Y RECIBIRÁS UN  COMO ESTE (LA CUENTA QUE APARECE YA HA SIDO MODIFICADA) :

Hotmail_support at hotmail.com

Gracias por confiar en nuestros servicios carlosmaster60, la clave de acceso
a la cuenta bryan5000 at hotmail.com es: BLOQUEADA
Si la clave es BLOQUEADA, usted a de volver a cambiar la clave de acceso y
no restringirla, ya que restringida no podrá iniciar sesión desde otra
cuenta Hotmail
Si desea modificar la clave de acceso comuníquenoslo o entre aquí
http://lc3.law13.hotmail.passport.com/cgi-bin/loginerr?curmbox=F000000001&a=
cd723379d7e74e15387dafbc0c825b3f&error=3&sec=no&reauth=&id=2&fs=1&cb=_lang%2
53dES&ct=1003946096&_lang=ES&domain=hotmail%2ecom&utf8=0
Un cordial saludo
El equipo Hotmail
---------------------------------- FIN DEL MAIL ----------

Una vez mas espero que disfrutarais con la lectura.

--
    LeStEr ThE TeAcHeR
    FrOm ThE DaRk SiDe
http://lestertheteacher.cjb.net
Aqui encontrareis los capitulos anteriores.

More information about the hacking mailing list