Cómo robar un banco: un tutorial de ingeniería social
Un ingeniero social detalla los pasos que toma para mostrar a los clientes que son un blanco fácil para una violación de datos
Si una empresa nos contrata para un trabajo de ingeniería social, generalmente quieren que entremos y obtengamos sus cintas de respaldo o los datos en su sala de documentos.
Digamos que me estoy haciendo pasar por un inspector de incendios. Lo primero que tendré además de mi insignia y uniforme es un walkie-talkie, como todos los bomberos. Afuera, tendremos a nuestro chico del auto. El tipo que se sienta en el auto, y básicamente su trabajo al principio es enviar charlas a nuestros walkie-talkies. Tendremos una grabación de todas las charlas que escuchará en los walkie-talkies. Se sienta en el auto, lo toca y lo envía a nuestros walkie-talkies.
[Jim Stickley explica sus métodos de ingeniería social en Ingeniería social: mi carrera como ladrón de bancos profesional
Entramos en las instalaciones y nos aseguramos de que toda la charla llegue a los walkie-talkies tan pronto como entremos en su puerta para que seamos inmediatamente el centro de atención. Cuando entro, quiero que todos sepan que me refiero a los negocios. Mi walkie-talkie es ruidoso y todos miran mientras me disculpo y lo rechazo.
Aprende más sobre trucos y tácticas de ingeniería social
- 4 maneras en que los delincuentes externos entran
- 3 ejemplos de 'piratería humana'
- Explotación de 5 agujeros de seguridad en la oficina (incluye video)
Le muestro a la persona de la recepción mi credencial. Ellos dirán "Hola, ¿cómo te va?" Diré "Bien, estoy aquí para hacer una inspección de incendios". Dicen "Genial" y nos asignan a alguien, como un cajero. Generalmente es alguien que es amable. Comenzaré a hablar con ellos, a coquetear con ellos, o lo que sea necesario. Comenzaremos a caminar.
Mientras hablo con la persona que nos ha sido asignada, mi pareja sabe que su trabajo es alejarse de nosotros de inmediato. Entonces, mi compañero se irá inmediatamente. En la mayoría de los casos, nuestra escolta dirá "¿Pueden regresar aquí? Necesito mantenerlos juntos". Decimos "Claro, lo siento". Pero realmente eso no significa nada para nosotros. Todo lo que significa es que seguimos haciéndolo hasta que ella se rinde. Mi pareja se alejará dos o tres veces más y será advertida hasta que finalmente se detenga y se dé por vencida. Ella solo piensa que él es un bombero y piensa "Vamos a dejar que haga lo que tiene que hacer".
[Lea sobre las últimas estafas en 5 trucos más sucios: las últimas líneas de recogida de los ingenieros sociales
En ese punto, el trabajo de mi compañero es comenzar a robar todo lo que puede robar y comenzar a guardarlo en su bolso. Y también tiene que ponerse debajo de los escritorios de cualquier empleado que pueda encontrar y comenzar a instalar estos pequeños registradores de teclado. Me quedo con la persona que me está escoltando y todo mi trabajo ahora los mantiene entretenidos. Sigo caminando por las habitaciones, dándoles consejos sobre cómo mantener sus instalaciones a salvo de incendios, aunque realmente no tengo idea de lo que estoy hablando. Hago cosas y probablemente doy el peor consejo de todos. Sacaré cables y diré "Esto parece un poco peligroso". Voy a comentar sobre calentadores de espacio. Estoy completamente volando.
Hace unos años obtuve un dispositivo en Home Depot. Es como una cinta métrica, pero no una cinta métrica normal. Tiene un puntero láser y hace un ruido de clic. Este dispositivo es como el Tricorder en Star Trek para mí. Puedo hacer cualquier cosa mágica en lo que a mí respecta. Lo pondré en un zócalo y diré "Esto parece que tiene demasiada corriente corriendo a través de él". Y ellos simplemente lo creen. Es sorprendente lo estúpido que puedo hacer. Son las campanas y los silbatos lo que cuenta y la gente quiere ver que tienes productos.
Mientras tanto, mi compañero está bajo escritorios. Si los empleados están allí, él dirá "Oye, ¿te importa si me meto debajo de tu escritorio por un minuto? Solo estoy buscando algún tipo de peligro de incendio". Si el empleado pregunta "¿Qué tipo de peligro podría estar debajo de mi escritorio?" Él dirá "¿Conoces ese ventilador en la parte posterior de tu computadora? Si deja de girar eso podría ser un peligro de incendio". Este tipo de explicación suena razonable.
Mi chico se mete debajo de la computadora y en su bolso tiene un montón de dongles. Instala fácilmente uno en la computadora del empleado y ahora todos los datos pasan por este dispositivo. Por supuesto, mientras mi compañero está debajo de la computadora, la persona no puede ver lo que está haciendo y generalmente se alejan.
En ese punto, generalmente nos reunimos y discutimos en voz alta todos los lugares donde ya hemos estado. De esa manera, realmente tenemos una buena idea de lo que se ha logrado y él puede regresar a lugares donde no pude robar nada debido a mi escolta. Él dirá "He tocado todos los escritorios". Voy a decir "¿Me puedes hacer un favor y volver y comprobar aquí de nuevo?" y mencione algún lugar donde haya visto algo interesante y quiero que vuelva y se encargue de eso.
Al salir, no queremos que sepan que hemos terminado. Queremos poder volver en otro momento. Aquí es donde nuestro chico en el auto hará una llamada falsa al walkie-talkie y nos dirá que necesitan que respondamos a una llamada. Miro a mi escolta y digo "Oye, lo siento, volveremos".
Volveremos a aparecer en los próximos días, volveremos a revisar rápidamente, volveremos y obtendremos los dongles que hemos instalado en las computadoras. Haremos otra revisión rápida, alegando que hemos perdido nuestro formulario de inspección original. Como ya hemos tomado todo, la segunda visita es rápida. Les decimos que estamos listos y enviaremos un informe por correo.
Para cuando terminó, hemos robado cosas y hemos tenido acceso a inicios de sesión y contraseñas porque hemos estado registrando esa información con los dispositivos de registro clave, ya sean sitios en línea o cuentas locales en su sistema. Hemos estado en su red inalámbrica y también hemos podido hackear eso.
Cuando hayamos hecho todo lo que tenemos que hacer, lo último que haremos es una inmersión en el contenedor. Es miserable, pero es una locura lo lucrativo que es. Nos presentamos con guantes de goma y comenzamos a rasgar las bolsas. Es sorprendente la cantidad de información confidencial que termina en la basura. [Ver también Una inmersión real en un contenedor de basura: el banco arroja datos personales, cheques, computadoras portátiles .]
Cuando nos presentamos después del compromiso para presentar lo que encontramos, a menudo hay una mirada total de sorpresa en los rostros de los empleados. Pero es una experiencia de aprendizaje de la que esperamos que todos aprendan. Es algo que nunca pensaron que sucedería. Si hablaste con ellos una semana antes, nunca pensaron que caerían por algunas de las cosas que sacamos. Pero ahora ven que puede suceder, y les puede pasar a ellos.
- como le dijo a Joan Goodchild por Jim Stickley de TraceSecurity
Esta historia, "Cómo robar un banco: un recorrido de ingeniería social" fue publicada originalmente por CSO .
No hay comentarios:
Publicar un comentario