Los hackers siempre están buscando cómo mejorar sus técnicas para convertirlas aun más efectivas. Un ejercicio muy común por los hackers es hacer una llamada al banco o agencias de Internet y preguntar sobre los pasos para realizar una transferencia de dinero de cuenta en cuenta o por una cancelación de servicios. Veamos en esta próxima conversación que sucede:
Conversación:
Hacker> El hacker marca el # telefónico del banco #$$#@$$@!@~.
Representante del banco> Muy Buenos días, le habla la Sra. Vélez, en que puedo
ayudarle en el día de hoy.
Hacker> Sí, es que quisiera transferir unos fondos a otro banco.
Representante del banco> Bien, ¿Me podría usted brindar su número de cuenta por
favor?
Hacker> Lo siento, pero ahora mismo no lo tengo a la mano.
Representante del banco> No se preocupe, ¿Por favor indíqueme cuál es su # de seguro
social?
---- cut here ----
Esta es una parte crucial, pero lo que esta pasando aquí es que el hacker esta llamando a su banco real y va a dar su información de verdad. El hacker lo que quiere ver es cuáles son las preguntas que le van a hacer para poder completar la transacción.
---- cut here ----
Hacker > Si no hay problema. Mi número de seguro social es: 585-58-xxxx. Representante del Banco > ¿Ahora, me podría indicar su fecha de nacimiento?
Para Reportes, Programas, Entrevistas y otros libros de Ethical Hacking entra:
http://www.elartedelhacking.com
Hacker > Si, mi fecha de nacimiento es el 19 de marzo de 1972.
Representante del Banco > ¿Ahora, me podría indicar su dirección física y postal? Hacker > Claro, mi dirección física es…. Y la postal es….
Representante del Banco > Gracias Sr. García, ya hemos verificado su información,
cuánto dinero desea transferir.
Hacker > ¿Cuánto dinero tengo disponible?
Representante del Banco > Usted tiene disponible $352 dólares.
Hacker > mmm? Tengo poca cantidad en mi balance, entonces por ahora no voy a hacer la
transferencia, disculpe. Muchas gracias.
El hacker ahora tiene todas las preguntas que le haría el banco. Ahora lo que el hacker tiene que hacer es ingeniárselas para buscar la forma de conseguir esa información de la víctima. El hacker conoce a Carlos. Carlos es un muchacho muy amable y amigable. El hacker habla con él por dos horas, compran algo de tomar y hablar de sus trabajos y sobre sus negocios. El hacker siempre lo que hace es mentir. Pero a su vez le pregunta el nombre y se presenta.
Aquí empieza la conversación con Carlos: (El hacker conoce a Carlos en la ciudad) Hacker > ¿Oye Carlos, tú eres de apellido Cruz de casualidad?
Carlos > No, mis apellidos son Aponte Ayala.
Hacker > Disculpa Carlos. Oye Carlos y hace tiempo que llevas viviendo aquí en la ciudad. Carlos > Si desde que nací.
Hacker > O sea que mirando más o menos tu edad, llevas como 30 años viviendo aquí en la
ciudad.
Carlos > Gracias por lo de joven, pero tengo 42 años, nací en el 19xx. Hacker > iJa!, que bien eres mayor que yo por 3 años.
--- Cut here ---
Ahí la conversación se acaba, intercambian teléfonos, emails y se despiden. Para el hacker es importante mantener la comunicación, debido a que todavía le falta información por conseguir para poder hacer su ataque.
Para Reportes, Programas, Entrevistas y otros libros de Ethical Hacking entra:
http://www.elartedelhacking.com --- Cut here ---
El hacker ya tiene, nombre completo, teléfono, fecha de nacimiento (Todavía incompleto, le falta el mes y el día).
Luego de esto el hacker se comunica con Carlos y le pregunta cuál es su dirección postal porque necesita enviarle un paquete relacionado con su negocio. Carlos muy gustosamente le dice que el paquete puede enviarlo a: P.O Box 201 ... Puerto Rico.
El hacker le dice “ok, te lo envío a las 3:00 p.m.”. A las 3:35 el hacker llama a Carlos y le dice que el servicio de correo que él utiliza no entrega a P.O Box. Le pregunta cuál es la física y Carlos gustosamente se la da. Mi dirección física es….
--- Cut here ---
El hacker ahora tiene la dirección física y postal, ahora falta el seguro social de Carlos. El hacker le había comentado a Carlos que el trabaja en una agencia de Seguros. Carlos era médico. Un día Carlos y el Hacker se reúnen para hablar y el hacker le dice que le va a regalar una póliza de seguros por si algún día le pasa algo. Carlos se ríe y le dice, ¿Tu estás seguro?... me vas a regalar una póliza. El hacker le dice, claro. Bueno la verdad es que yo no, si no la compañía en la que trabajo es la que te lo va a dar. Carlos dijo “me gusta eso”. Entonces pregunta, ¿Qué tengo que hacer para la póliza?, “nada, simplemente llena estos papeles, y escribes el seguro social en la parte del medio, luego los teléfonos de contacto y los datos de tus familiares cercanos”.
Carlos le llena los documentos y se los entrega al Hacker.
- Misión Completada – Tan simple como eso, por este motivo debemos ser bastante
cautelosos a la hora de otorgar información personal a otras personas, gracias a la información recopilada por el hacker ahora tiene todo lo que necesita para hacer el ataque.
La ingeniería social es uno de los ataques más fuertes y consecutivos que tenemos hoy en dia en las diferentes empresas y organizaciones. Ahora es más fácil realizar un ataque de ingeniería social, debido a que muchos empleados utiliza Facebook o Twitter y es más fácil llegar a ellos.
Para Reportes, Programas, Entrevistas y otros libros de Ethical Hacking entra:
http://www.elartedelhacking.com
Antes estas plataformas no existía y el proceso de ingeniería social debía ser solo por email o teléfono. Ahora mismo los hackers crear perfiles falsos de personas inocentes, para así preparar una carnada para conseguir victimas en la red.
Recurso: Google.com
Si usted observa a esta imagen, vea como un hacker puede pasar un firewall sin necesidad de llegar a el. Las técnicas de ingeniería social son muy utilizadas por los hackers debido a que hacen el proceso de hacking más fácil.
El lema de muchos hackers es “Haz que el hacking sea fácil”. Asi que tenemos que orientar a los empleados de nuestras empresas, amigos y socios de negocios para que estén pendientes a estos tipos de ataques.
Para Reportes, Programas, Entrevistas y otros libros de Ethical Hacking entra:
http://www.elartedelhacking.com