[HACK] CURSO INGENIERIA SOCIAL 4-1

LeStEr ThE TeAcHeR lgros at airtel.net
Fri Oct 4 18:56:09 CEST 2002 

CAPITULO IV - I

Técnicas de Ingeniería Social

He dudado bastante a la hora de hacer una clasificación de las técnicas de
IS. Hay quien se centra en practicas concretas o formas de actuación. Sin
embargo y tras su análisis creo establecer con cierto rigor una
clasificación de compromiso que divide estas practicas en tres tipos según
el nivel de interacción del Ingeniero social :

 Técnicas Pasivas :
   Observación

 Técnicas no presenciales :
    Recuperar la contraseña
    Ingeniería Social y Mail
    IRC u otros chats
    Teléfono
    Carta y fax

 Técnicas presenciales no agresivas  :
    Buscando en La basura
    Mirando por encima del hombro
    Seguimiento de personas y vehículos
    Vigilancia de Edificios
    Inducción
    Entrada en Hospitales
    Acreditaciones
    Ingeniería social en situaciones de crisis
    Ingeniería social en aviones y trenes de alta velocidad
    Agendas y teléfonos móviles
    Desinformación

 Métodos agresivos
  Suplantación de personalidad
  Chantaje o extorsión
  Despersonalización
  Presión psicológica

FORMAS DE ACTUACION

Además de esta primera clasificación, una acción de IS puede ser asimismo
"casual" o "planificada" .

Acciones "casuales" requieren en el Ingeniero Social capacidad para la
improvisación, un buen nivel de autocontrol y buenas dotes de observación o
memoria visual y la capacidad de mantener siempre una vía de salida.

En las acciones planificadas, casi siempre las mas peligrosas pero las que
persiguen objetivos mas importantes, no se deben dejar cabos sueltos. Estas
son indispensables si hablamos de acciones desarrolladas por mas de 1
persona.  Veamos un ejemplo sencillo de análisis para una acción planificada

Ejemplo :

Sabemos que para obtener el código de acceso de un cajero automático o una
puerta con contraseña podemos simplemente leer como lo teclean en el
tecladillo numérico, pero las personas que suelen abrir  dicha puerta van
juntas y una de ellas suele tapar la vista de terceros  observadores. Si
conseguimos despistar a el acompañante el tiempo suficiente para que el
compañero teclee el código ya tendríamos la solución a nuestros problemas. ¿
que hacemos ?

1 .- Pedirle fuego : y si no fuma o no lleva tabaco ? la respuesta seria
rápida y no daría tiempo.

2.- Preguntarle la hora : si no lleva reloj se acabo el tema.

3.- Preguntar por una calle mas o menos lejana : deberá ser una calle en la
dirección opuesta a donde queremos mirar e intentar que el compañero nos
acompañe o se de la vuelta ¿ y sino se sabe la calle ?

4 .- Simular una caída : y esperar que nos ayuden mientras nuestros
compañero toma nota del numero ¿ y sin nos ayudan los 2 ? ¿ y si al ver la
caída alguien mas se acerca ?

Entendemos entonces que se trata de conseguir desviar la atención de una
sola de las dos personas sin que la otra deje de hacer su trabajo y durante
el tiempo necesario para lograr el objetivo. Tambien podríamos utilizar un
cierto equipamiento electrónico.

En fin, como veis, son problemas sencillos pero aportan variables que
debemos analizar antes de llevar nuestra acción a cabo.

La planificación se utiliza en "operaciones" complejas en las que un equipo
de personas busca un objetivo común, no tiene demasiado interés si lo que
buscamos es el numero de abonado a C+ de nuestro vecino del 5º.

Una vez mas es muy importante entender que cuando hablamos de ingeniería
social, no nos referimos solamente a grupos de chicos mas o menos jóvenes
que quieren conseguir la contraseña de nuestro e-mail para jugar un rato.

Trataremos grupos de técnicas que utilizan grandes compañías para obtener
información de proyectos de la competencia y que para ello invierten
muchísimo dinero en medios. También son utilizadas estas técnicas por
diversos servicios de información como La CIA, MI5 o MI6, Mossad, Cesid y en
contra de lo que se pueda pensar estas practicas  son verdaderamente comunes
si bién muchas de ellas son también claramente ilegales.

Durante las próximas secciones realizaremos un pequeño estudio de cada una
de estas técnicas . En la sección dedicada a los medios técnicos hablaremos
de cómo utilizar la tecnología para la obtención de información, como
veremos hay en el mercado equipos con los que muchos agentes secretos de
película palidecerían.

--
    LeStEr ThE TeAcHeR
    FrOm ThE DaRk SiDe
http://lestertheteacher.cjb.net
Aqui encontrareis los capitulos anteriores

More information about the hacking mailing list