Ingeniería social para no ingenieros
Páginas: 7 (1682 palabras)
Publicado: 20 de septiembre de 2010
ingeniería social para NO ingenieros (o el timo de la estampita)
Según la Wikipedia: En el campo de la seguridad, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es decir, que si nuestro ordenador está apagado, o lo tenemos bien protegido, o nuestro atacante no quiere comerse mucho el tarro para hackear nuestro sistema,entonces nosotros, como personas, como usuarios, podemos ser el blanco perfecto.
No voy a escribir un artículo/tesis super técnico como si controlase del tema; todo lo contrario, mi intención es únicamente desde este pequeño rincón de la red, intentar explicar y concienciar a los usuarios más inexpertos (y no tan inexpertos) de prevenir estos ataques.
Empezando por el principio de lostiempos, no se puede saber a ciencia cierta cuando comenzaron los primeros ataques basados en ingeniería social. Esto es algo que existe desde que existe la tecnología, y es que, estos ataques no necesitan que exista un ordenador de por medio, basta con tener un cajero automático, o incluso una caja fuerte; cualquier tipo de información confidencial (claves, passwords, nombres de usuario, números decuenta..) que le sea sonsacada al usuario de forma maliciosa es considerada una forma de ingeniería social.
Y como no hace falta ser un lumbreras, ni tener pasta para realizar este tipo de ataques, aquí van una serie de ejemplos txorras dónde los haya:
1) ATAQUE PERSONAL
Acabas de conocer a una persona que se proclama a los 4 vientos como alguien que odia los ordenadores, internet y todoeso que tenga que ver con tecnología. "Yo como mucho entro a hotmail a leer mi correo, ah y al messenger claro, para hablar con mis coleguitas". Entonces, una semana más tarde te pica la curiosidad por hackear su sistema (no digo que esto sea lo más normal del mundo, pero el cyberterrorismo es algo que existe). Estas podrían ser unas formas de Ing Social...
Ejemplo 1:
Atacante: Hombre,(Póngase aquí el nombre de la víctima) !!! Oye, FELICIDADES, eh?
Víctima: Pero que dices tío, si hoy no es mi cumpleaños!
A: Ah, no?
V: Que va! Mi cumple es el XX de XX
A: Ah, perdona tío, me habré informado mal...
El atacante se va pensando. "De puta madre, ya tengo el 50% de posibilidades de saber tu contraseña".
Ejemplo 2:
Simulas que necesitas que este usuario te meta su contraseña,y cuando lo hace, le dices:
Atacante: "Oye, que largo es tu cumpleaños" (por ejemplo)
Víctima: "Claro, como que no es mi cumpleaños, es mi DNI"
Zas! Otro que ha caído! Vía libre...
En ambos ataques, la víctima te esta diciendo indirectamente su contraseña, pero él no lo sabe. Sin embargo, existen usuarios, que te la dicen sin la más mínima contemplación, tan sólo hay que sabermanipularlos debidamente. Veamos alguno ejemplo de estos casos:
Ejemplo 3:
Vuelves a simular que necesitas la password de la víctima y esperas al momento en que esté lo más ocupado posible y muy lejos de tí. Ese puede ser el mejor momento para atacar. Si pides a alguien que inserte su password en el momento que más le joda, es MUY probable que tu ataque funcione:
Atacante: Oye tío, mete aquí tucontraseña para acceder a ... (lo que sea) ??
Víctima: Joder, ahora??? Pff no puedo, métela tú: mi password es *********.
Te has lucido, majo...
2) ATAQUE POR VÍA TELEFÓNICA
Este tipo de ataque se puede realizar tanto a usuarios del sistema como a un administrador. Pongamos el caso de un administrador del sistema para que suene un poco más jugoso...
Administrador: Buenos dias, aquíárea de sistemas, en qué podemos ayudarle?
Atacante: Hola, soy José Luis Pérez, llamaba porque no consigo recordar mi password en la máquina sistema.upv.es.
Administrador: Un momento, me puede decir su nombre de usuario?
Atacante: Sí, claro, es jlperez.
Administrador: Muy bien, la nueva contraseña que acabo de asignarle es abejaruco. Por favor, nada más conectar, no olvide cambiarla....
Según la Wikipedia: En el campo de la seguridad, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es decir, que si nuestro ordenador está apagado, o lo tenemos bien protegido, o nuestro atacante no quiere comerse mucho el tarro para hackear nuestro sistema,entonces nosotros, como personas, como usuarios, podemos ser el blanco perfecto.
No voy a escribir un artículo/tesis super técnico como si controlase del tema; todo lo contrario, mi intención es únicamente desde este pequeño rincón de la red, intentar explicar y concienciar a los usuarios más inexpertos (y no tan inexpertos) de prevenir estos ataques.
Empezando por el principio de lostiempos, no se puede saber a ciencia cierta cuando comenzaron los primeros ataques basados en ingeniería social. Esto es algo que existe desde que existe la tecnología, y es que, estos ataques no necesitan que exista un ordenador de por medio, basta con tener un cajero automático, o incluso una caja fuerte; cualquier tipo de información confidencial (claves, passwords, nombres de usuario, números decuenta..) que le sea sonsacada al usuario de forma maliciosa es considerada una forma de ingeniería social.
Y como no hace falta ser un lumbreras, ni tener pasta para realizar este tipo de ataques, aquí van una serie de ejemplos txorras dónde los haya:
1) ATAQUE PERSONAL
Acabas de conocer a una persona que se proclama a los 4 vientos como alguien que odia los ordenadores, internet y todoeso que tenga que ver con tecnología. "Yo como mucho entro a hotmail a leer mi correo, ah y al messenger claro, para hablar con mis coleguitas". Entonces, una semana más tarde te pica la curiosidad por hackear su sistema (no digo que esto sea lo más normal del mundo, pero el cyberterrorismo es algo que existe). Estas podrían ser unas formas de Ing Social...
Ejemplo 1:
Atacante: Hombre,(Póngase aquí el nombre de la víctima) !!! Oye, FELICIDADES, eh?
Víctima: Pero que dices tío, si hoy no es mi cumpleaños!
A: Ah, no?
V: Que va! Mi cumple es el XX de XX
A: Ah, perdona tío, me habré informado mal...
El atacante se va pensando. "De puta madre, ya tengo el 50% de posibilidades de saber tu contraseña".
Ejemplo 2:
Simulas que necesitas que este usuario te meta su contraseña,y cuando lo hace, le dices:
Atacante: "Oye, que largo es tu cumpleaños" (por ejemplo)
Víctima: "Claro, como que no es mi cumpleaños, es mi DNI"
Zas! Otro que ha caído! Vía libre...
En ambos ataques, la víctima te esta diciendo indirectamente su contraseña, pero él no lo sabe. Sin embargo, existen usuarios, que te la dicen sin la más mínima contemplación, tan sólo hay que sabermanipularlos debidamente. Veamos alguno ejemplo de estos casos:
Ejemplo 3:
Vuelves a simular que necesitas la password de la víctima y esperas al momento en que esté lo más ocupado posible y muy lejos de tí. Ese puede ser el mejor momento para atacar. Si pides a alguien que inserte su password en el momento que más le joda, es MUY probable que tu ataque funcione:
Atacante: Oye tío, mete aquí tucontraseña para acceder a ... (lo que sea) ??
Víctima: Joder, ahora??? Pff no puedo, métela tú: mi password es *********.
Te has lucido, majo...
2) ATAQUE POR VÍA TELEFÓNICA
Este tipo de ataque se puede realizar tanto a usuarios del sistema como a un administrador. Pongamos el caso de un administrador del sistema para que suene un poco más jugoso...
Administrador: Buenos dias, aquíárea de sistemas, en qué podemos ayudarle?
Atacante: Hola, soy José Luis Pérez, llamaba porque no consigo recordar mi password en la máquina sistema.upv.es.
Administrador: Un momento, me puede decir su nombre de usuario?
Atacante: Sí, claro, es jlperez.
Administrador: Muy bien, la nueva contraseña que acabo de asignarle es abejaruco. Por favor, nada más conectar, no olvide cambiarla....
Leer documento completo
Regístrate para leer el documento completo.