Por muchos años siempre en los fotos es la misma pregunta o la misma sugerencia como hackeo la cuenta de mi novio de facebook? Como me hago de la cuenta de mi amigo en "este juego?" steam?\, mail etc. siempre es la misma pregunta no?
Y siempre es la misma respuesta; Inc. Social por que no hay parche para la estupidez humana, a medida que pasa el tiempo los protocolos de seguridad de las grandes empresas siguen aumentando y así mismo la comunidad de hacking buscan nuevas estrategias para explotar vulnerabilidades, Tokens, Pswd, Cookies esos vectores de ataque conllevan mucho tiempo y empleo y muchas veces puede ser virtualmente "imposible".
Pero que hay del factor humano? Por naturaleza el humano puede ser dos cosas, o muy descuidado o cuidadoso pero en todo caso siempre hay espacio para un fallo de lógica, la Ingeniería social toma por ventaja y se aprovecha de esa vulnerabilidad la vulnerabilidad humana.
El malware como ramsomware sigue constituyendo el 49% de los vectores de ataques a diferentes empresas, mientras la ing social esta a un 25% pero por que es mas preocupante ?
Es lógica humana, digamos que entras en una comunidad de juegos de videos (móviles) quieres sacar dinero vendiendo cuentas de usuarios que estén en alto rango y hayan invertido en sus cuentas mucho dinero, usas tu grupo de atacantes que se infiltren en el clan, grupo, team o comunidad.
Ya una vez dentro obtener información de cada una de las víctimas resulta fácil, la manera de inspirar confianza es dándole un poco de tu TU, real de esa manera te ven como uno de ellos, una vez obtienes su ID, EMAIL, o método de identificación comienza la magia.
Identificar al mas débil del grupo a estas altura te resultara fácil puedes probarlo, compartes un mail, un teléfono algo en donde se puedan comunicar contigo de manera mas personal, al darles confianza bajan la guardia.
Nuestro grupo efectuó un ataque con efectividad de prueba hace 3 semanas donde infiltramos varios clanes de un popular juego de vídeo, en el mismo creemos perfiles (usamos 8 cuentas) con nuestros miembros reales.
Al principio en uno de los grupos hubo dudas pero una vez establecimos contacto fueron ablandando un poco en un termino de 3 días los lideres del grupo ya se sentían en confianza y con teléfonos personales compartidos fue muy fácil utilizar nuestros vectores de ataques ,
PHISHING, creamos una pagina de autentificaron del popular juego en las que la víctima entraba sus datos del juego, una vez ahí adentro se le presentaba un dashboard en donde una de las alternativas era instalar este "plugin" todo con el permiso del usuario 😂 cuando instalaban el plugin teníamos acceso a todo sobre el mismo.
Ya que el usuario mismo (víctima) otorgaba todos los permisos sin darse de cuenta en menos de 30 segundos la cuenta era de nuestro poder y el usuario pasaba sin darse de cuenta.
La ing social sin duda alguna es la arma mas letal en el hacking
Muchas veces conseguir cosas es tan fácil como pedirlas con educación. Por eso es muy instructivo –y a la vez divertido– escuchar de boca del propio Kevin Mitnick, uno de los hackers más famosos de todos los tiempos, cómo usó la ingeniería social para hacerse con el código fuente del Motorola MicroTAC que era «como el iPhone X de la época». Estamos remontándonos a 1992 y todo era un poco diferente.
Siendo entonces un fugitivo de la justicia –había sido atraído un poco por el Lado Oscuro– Mitnick llamó directamente al servicio de información telefónica para pedir el número de las oficinas de Motorola. Pidió amablemente que le pasaran con el jefe de producto del MicroTAC.
La burocracia de las grandes empresas es como es, de modo que esa llamada le hizo saltar por siete u ocho personas intermedias, mientras aprendía qué departamentos había y algo sobre cómo trabajaban, hasta que llegó a un vicepresidente de la compañía, quien le dio el nombre y extensión de la jefa de producto en cuestión. Casualmente estaba de vacaciones pero había dejado el nombre de otra compañera de trabajo en el mensaje grabado, así que con mucha paciencia Mitnick siguió llamando hasta que logró hablar con ella para pedirle el código. «¿Qué versión quieres?» le dijo. «La última y la mejor» fue su respuesta.
Como en toda buena historia, nuestro héroe está a punto de fracasar en tan rocambolesco camino. Pero el hecho de que hubiera cientos de directorios con cientos de ficheros no fue un impedimento (enseñó a su interlocutora a usar TAR para comprimirlo todo en un archivo de 5 MB). Ni tampoco que el FTP donde le pidió que lo subiera estuviera fuera de la red de Motorola y no funcionara: la buena mujer se levantó para hablar con el responsable de seguridad y volvió con su nombre de usuario y contraseña para dárselo a Mitnick. Desde ese momento todo fue mucho más fácil. (fuente)
Despues de esto espero que tomen en cuenta que la seguridad informatica no la dependan de software o de sus passwords supuestamente seguros la intuicion humana es lo mas importante .
No hay comentarios:
Publicar un comentario