* Recuperación de contraseña hotmail.
Con el término ingeniería social se define el conjunto de técnicas psicológicas y
habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de información de terceros.No existe una limitación en cuanto al tipo de información y tampoco en la utilización posterior de la información obtenida. Puede ser ingeniería social el obtener de un profesor las preguntas de un examen o la clave de acceso de la caja fuerte del Banco de España. Sin embargo, el origen del término tiene que ver con las actividades de obtención de información de tipo técnico utilizadas por hackers.
Un hecho importante es que el acto de ingeniería social acaba en el momento en que se ha conseguido la información buscada. Las acciones que esa información pueda facilitar o favorecer no se enmarcan bajo este término. En muchos casos los ingenieros sociales no tocan un ordenador ni acceden a sistemas, pero sin su colaboración otros no tendrían la posibilidad de hacerlo.
¿Por qué el "caballo de Troya" no es Ingeniería Social?
Tendremos en cuenta 2 factores al respecto: en primer lugar, en el caso de la IS puede no haber engaño de ningún tipo. Una persona le pide a otra su contraseña o cualquier otra información en un entorno de confianza y la otra se la da sin presión ni engaño alguno. Luego el mito de que la IS se basa en un engaño, no es correcto en todos los casos.
Y segundo: suele existir un componente técnico o tecnológico. El timo de la estampita y la ingeniería social no tienen mucho que ver porque ésta se basa en amplios conocimientos de psicología aplicada y de las tecnologías sobre las que se quiere obtener información.
Por ejemplo: en el mundo del underground, de los hackers, las relaciones se basan en el respeto. Son mundos bastante cerrados de gente que en algunos casos pueden realizar actividades ilegales. Para poder acceder a él hay que tener tantos conocimientos como ellos y así ser considerado como un "igual".
Además deberán aportarse conocimientos a compartir que de forma clara permitan ganarse el respeto de estos grupos. Sólo de esta forma se tendrá acceso a determinadas informaciones.
Esto mismo ocurre en el mundo de las empresas de alta tecnología en las que se desarrollan proyectos reservados, donde la calificación técnica necesaria para entender la información que se quiere obtener es muy alta.
Las operaciones de ingeniería social de este nivel pueden llevar meses de cuidada planificación y de evaluación de muchos parámetros, van más allá de una actuación puntual basada en una llamada con más o menos gracia o picardía.
Muchas veces, el Ingeniero Social simplemente observa el entorno y aprovecha datos que están a la vista cuando el sentido común indica que deberían guardarse en un lugar seguro. Es el caso de un servidor de una delegación de la Agencia Tributaria española cuya contraseña está puesta en un “post-it” en su pantalla. Sólo hay que tener capacidad de observación de este tipo de detalles.
¿Qué tiene que ver la Ingeniería Social con la seguridad informática?
* Los aparatos de aire acondicionado que mantienen los sistemas en las temperaturas adecuadas para trabajar sin caídas.
* La calificación del equipo de administradores que deberá conocer su sistema lo suficiente como para mantenerlo funcionando correctamente.
* La definición de entornos en los que las copias de seguridad han de guardarse para ser seguros y como hacer esas copias.
* El control del acceso físico a los sistemas.
* La elección de un hardware y de un software que no de problemas.
* La correcta formación de los usuarios del sistema.
* El desarrollo de planes de contingencia.
Técnicas de Ingeniería Social
Tres tipos, según el nivel de interacción del ingeniero social:Técnicas Pasivas:
* Observación
Técnicas no presenciales:
* Recuperar la contraseña
* Ingeniería Social y Mail
* IRC u otros chats
* Teléfono
* Carta y fax
Técnicas presenciales no agresivas:
* Buscando en La basura
* Mirando por encima del hombro
* Seguimiento de personas y vehículos
* Vigilancia de Edificios
* Inducción
* Entrada en Hospitales
* Acreditaciones
* Ingeniería social en situaciones de crisis
* Ingeniería social en aviones y trenes de alta velocidad
* Agendas y teléfonos móviles
* Desinformación
Métodos agresivos:
* Suplantación de personalidad
* Chantaje o extorsión
* Despersonalización
* Presión psicológica
Cuándo nace la Ingeniería Social en España
Corre el año 1986/87, se empiezan a instalar algunos sistemas BBS en Madrid, Barcelona, Zaragoza. No había acceso a Internet mas allá de las universidades (en estas sólo el profesorado tenía acceso, es el nacimiento de RedIris) y de las conexiones UUCP que, más tarde, montaría la compañía Goya Servicios Telemáticos y que eran carísimas para la mayoría de usuarios. No existía Web, únicamente News, Mail y los protocolos de búsqueda de información tipo gopher o archie. Los servidores estaban instalados sobre todo en USA.Lo que uno podía encontrar en una BBS de aquella época eran ficheros agrupados por temas y mensajes que corrían de unos usuarios a otros, utilizando la base de lo que después sería la red Fidonet u otras basadas en la misma tecnología.
En estas redes, las llamadas entre los nodos las realizaban usuarios "mecenas" que corrían con el precio de esas llamadas. Los módems eran muy lentos, 1200 o 2400 bps. los mas rápidos, y las llamadas eran muy caras. Esto tenía como consecuencia que un usuario no pudiera bajarse toda la información que quería ni conectarse a demasiadas BBS, so pena de arruinarse con la factura del teléfono... o arruinar a sus padres.
Así como estaban las cosas, era difícil compartir información propia con otros usuarios y más aún conseguir información técnica interesante que sí se podía encontrar en otros lugares de Europa y Estados Unidos. Los grupos de hackers buscaban formas de abaratar las llamadas de teléfono y conectarse a otros lugares. En su mayoría menores con edades entre los 11 y los 20 años, no disponían de más ingresos que la paga del domingo.
*Blue box exhibida en un museo.
El phreaking
era casi una necesidad y había en nuestro país verdaderos magos del
sistema telefónico que proveían de "soluciones" para que los demás
pudieran pasar el mayor tiempo posible conectados con el menor coste.
Es importante entender que si un usuario español deseaba una
información de una BBS finlandesa, debía llamar a Finlandia y
conectarse a dicha BBS, ya que no había redes que compartieran la
información de las BBS del Underground.
Se utilizaban muchas técnicas para no pagar las llamadas, desde el uso de "blue box"(visto en Piratas de Sillicone Valley), que eran útiles cuando el sistema de tarificación emitía para su control tonos en la "banda vocal", esto es, en la que se transmitía la voz, hasta accesos a través de sistemas PAD (Packet Assembler Dissasembler).
Sistemas casi siempre de grandes compañías que permitían, desde una conexión de teléfono normal, conectarse a redes de paquetes como la española X.25 y a los que se accedía desde números 900 (¿Cuántos hackers de la época utilizaron el famoso PAD de la Shell Oil?) y también números de tarjetas de teléfono americanas, las llamadas “callings cards” de MCI o de AT&T, que se conseguían de forma más o menos ilegal.
Virgin Boy era un danés que, con sus 15 años, había descifrado el algoritmo de creación de los códigos de 14 dígitos de las tarjetas de AT&T y se dedicó durante años a vender dichos números al módico precio de 100 dólares USA, hasta que desapareció de las redes hacia el año 1995.
En muchos casos, para conseguir informaciones de cómo utilizar ciertas funcionalidades de una central de telefónica, o el acceso a una red, era necesario el uso de ingeniería social. Así, algunos hackers comenzaron a especializarse en esas tareas. El abanico de posibilidades se multiplicó: no sólo el sistema telefónico sinó las configuraciones de servidores, contraseñas de sistemas, datos de compañías empezaron a ser objetivo de los ingenieros sociales, que al facilitárselos a otros hackers les facilitaban en mucho sus tareas, ya que se podían dedicar a lo que realmente les interesaba, aprender sistemas.
Son los tiempos en los que nacen !Hispahack, Apòstols, AFL, KhK Conspiradores y muchos otros grupos ya extinguidos. En cada uno de ellos hay por lo menos un experto en ingeniería social, o bien buscan a especialistas en esta materia para temas concretos.
Esto supone un importante cambio sociológico pues los hackers son, en su mayoría, autodidactas que han aprendido muchísimo en la soledad de su habitación, leyendo manuales, conectándose a lugares de los que aprendían; sin embargo, es cuando comienzan a trabajar en equipo cuando sus logros se hacen mas importantes y, aunque existe el celo por la información, dentro del grupo esta se comparte de una manera fluida.
Se produce un fenómeno interesante a este respecto: la práctica de técnicas de ingeniería social para conseguir información de otros grupos de hackers.
Estos grupos crecían de 2 formas: la primera porque los componentes estaban en la misma ciudad o eran usuarios de la misma BBS y, en reuniones de usuarios de las BBS, se conocían hablando de sus temas favoritos y se ponían a trabajar juntos.
La otra era cuando en alguno de esos grupos se te invitaba a entrar porque habían leído un documento escrito por ti en alguna BBS, o algún mensaje dejado en las áreas de hackers que estaban abiertas a todo el mundo. En casi todas las BBS se abrían áreas ocultas sólo para un grupo determinado de usuarios y otras abiertas que servían un poco como cantera o filtro.
Bases de la Ingeniería Social
*Escena de la película atrapame si puedes, claro ejemplo de la ingeniería social.
El famoso Kevin Mitnick, propuso las bases de la IS en 4 sencillas frases:
* Todos queremos ayudar.Además demostró en directo en una conferencia de Buenos Aires en escasos minutos y mediante tan sólo 6 llamadas lo fácil que era conseguir el código en desarrollo de un nuevo móvil que no estaba ni anunciado para el mercado.
* El primer movimiento es siempre de confianza hacia el otro.
* No nos gusta decir No.
* A todos nos gusta que nos alaben.
¿Puedo probar?
Por supuesto. Si de verdad te gusta este tema lo primero que te recomiendo es que te andes con cuidado. La suplantación de identidad es un delito. Ahora que ya sabes esto, te invito a que juegues a tres divertidos juegos:
* Intenta recuperar la contraseña de hotmail de un amigo tuyo hablando con el de los viejos tiempos y preguntándole por la respuesta de su contraseña secreta.También te recomiendo que pruebes juegos presenciales. Aquí os dejo dos ejemplos que a mi me funcionaron xD.
* Si conoces el número de te teléfono fijo de un amigo tuyo y su compañía, hazte pasar por su padre o madre y realiza un aumento de velocidad en su ADSL.
* Si sabes que tu vecino tiene wifi y esta esta en WEP y es un cateto en ordenadores, intenta conseguir su contraseña. Llama a su proveedor de servicios, hazte pasar por el, di que te has comprado un portatil de los chiquitos y que no te acuerdas de la contraseña del guailex. Te dirá que mires la pegatina del router y tu le dirás que se esta raspada la pegatina y no es legible. Si te pregunta el modelo de router hazte el cateto, ella lo tiene todo en la pantalla, acabará perdiendo la paciencia y dándotelo todo.
* En festivales, te acercas a la barra y dices que el jefe de seguridad te ha mandado a por unos conbinados de whiscky con cola para unos artistas, en concreto son 2 copas de whisky y una de ron. (siempre cuela mientras tengas el pelo corto y seas grande)
* En los peajes, antes de llegar a la zona de pago, fíjate en que compañía la explota e inventate una panoja de que tu tío es accionista y te ha dicho que digas en la cabina que vas de parte suya y que te ha dicho también que deberías haberle llamado antes ya que hay unas tarjetas especiales de invitación pero que no ha podido mandártelas porque está comiendose un cochinillo en Salamanca. (funciona muchas veces) *Nótese también que tu tío debe tener un nombre muy de empresario como Jose Manuel del Valle Sanz Arrandiburu.
Entradas
Digiiiiii!!!! Digiiiii!!!?
ResponderEliminarHola soy policia del congo
ResponderEliminar