[HACK] CURSO INGENIERIA SOCIAL 4-1
LeStEr ThE TeAcHeR
lgros at airtel.net
Fri Oct 4 18:56:09 CEST 2002
CAPITULO IV - I
Técnicas de Ingeniería Social
He dudado bastante a la hora de hacer una clasificación de las técnicas de
IS. Hay quien se centra en practicas concretas o formas de actuación. Sin
embargo y tras su análisis creo establecer con cierto rigor una
clasificación de compromiso que divide estas practicas en tres tipos según
el nivel de interacción del Ingeniero social :
Técnicas Pasivas :
Observación
Técnicas no presenciales :
Recuperar la contraseña
Ingeniería Social y Mail
IRC u otros chats
Teléfono
Carta y fax
Técnicas presenciales no agresivas :
Buscando en La basura
Mirando por encima del hombro
Seguimiento de personas y vehículos
Vigilancia de Edificios
Inducción
Entrada en Hospitales
Acreditaciones
Ingeniería social en situaciones de crisis
Ingeniería social en aviones y trenes de alta velocidad
Agendas y teléfonos móviles
Desinformación
Métodos agresivos
Suplantación de personalidad
Chantaje o extorsión
Despersonalización
Presión psicológica
FORMAS DE ACTUACION
Además de esta primera clasificación, una acción de IS puede ser asimismo
"casual" o "planificada" .
Acciones "casuales" requieren en el Ingeniero Social capacidad para la
improvisación, un buen nivel de autocontrol y buenas dotes de observación o
memoria visual y la capacidad de mantener siempre una vía de salida.
En las acciones planificadas, casi siempre las mas peligrosas pero las que
persiguen objetivos mas importantes, no se deben dejar cabos sueltos. Estas
son indispensables si hablamos de acciones desarrolladas por mas de 1
persona. Veamos un ejemplo sencillo de análisis para una acción planificada
Ejemplo :
Sabemos que para obtener el código de acceso de un cajero automático o una
puerta con contraseña podemos simplemente leer como lo teclean en el
tecladillo numérico, pero las personas que suelen abrir dicha puerta van
juntas y una de ellas suele tapar la vista de terceros observadores. Si
conseguimos despistar a el acompañante el tiempo suficiente para que el
compañero teclee el código ya tendríamos la solución a nuestros problemas. ¿
que hacemos ?
1 .- Pedirle fuego : y si no fuma o no lleva tabaco ? la respuesta seria
rápida y no daría tiempo.
2.- Preguntarle la hora : si no lleva reloj se acabo el tema.
3.- Preguntar por una calle mas o menos lejana : deberá ser una calle en la
dirección opuesta a donde queremos mirar e intentar que el compañero nos
acompañe o se de la vuelta ¿ y sino se sabe la calle ?
4 .- Simular una caída : y esperar que nos ayuden mientras nuestros
compañero toma nota del numero ¿ y sin nos ayudan los 2 ? ¿ y si al ver la
caída alguien mas se acerca ?
Entendemos entonces que se trata de conseguir desviar la atención de una
sola de las dos personas sin que la otra deje de hacer su trabajo y durante
el tiempo necesario para lograr el objetivo. Tambien podríamos utilizar un
cierto equipamiento electrónico.
En fin, como veis, son problemas sencillos pero aportan variables que
debemos analizar antes de llevar nuestra acción a cabo.
La planificación se utiliza en "operaciones" complejas en las que un equipo
de personas busca un objetivo común, no tiene demasiado interés si lo que
buscamos es el numero de abonado a C+ de nuestro vecino del 5º.
Una vez mas es muy importante entender que cuando hablamos de ingeniería
social, no nos referimos solamente a grupos de chicos mas o menos jóvenes
que quieren conseguir la contraseña de nuestro e-mail para jugar un rato.
Trataremos grupos de técnicas que utilizan grandes compañías para obtener
información de proyectos de la competencia y que para ello invierten
muchísimo dinero en medios. También son utilizadas estas técnicas por
diversos servicios de información como La CIA, MI5 o MI6, Mossad, Cesid y en
contra de lo que se pueda pensar estas practicas son verdaderamente comunes
si bién muchas de ellas son también claramente ilegales.
Durante las próximas secciones realizaremos un pequeño estudio de cada una
de estas técnicas . En la sección dedicada a los medios técnicos hablaremos
de cómo utilizar la tecnología para la obtención de información, como
veremos hay en el mercado equipos con los que muchos agentes secretos de
película palidecerían.
--
LeStEr ThE TeAcHeR
FrOm ThE DaRk SiDe
http://lestertheteacher.cjb.net
Aqui encontrareis los capitulos anteriores
More information about the hacking
mailing list