Ingeniería Social

Ingeniería Social

Hablando de Pentesting, siempre recomiendo pruebas de ingeniería social para acompañarlo, pero en muchos casos los clientes no saben que es la ingeniería social ni a que sector de su empresa afecta.

Siempre explico, que es el hacking de humanos, algo que siempre a existido incluso fuera de la Era tecnológica en la que vivimos.

Normalmente al hacer estas pruebas, probamos la preparación frente a un ataque de la parte humana de la empresa, pero no suele ser un ataque tal y como lo esperamos, por lo que nuestras defensas frente a este tipo de ataques están más relajadas, incrementando este su efectividad.

Como pentester, siempre digo que cuando falla o se hace muy difícil un ataque a una organización con muchas defensas en el entorno IT, lo más fácil y efectivo es hacer uso de la ingeniería social.

Es muy importante como cualquier ataque, reunir la máxima información sobre el objetivo, e identificar muy claramente los puntos débiles a los que dirigiremos el ataque. Hemos de tener en cuenta que al lanzar una campaña de phishing por ejemplo, tener antes identificados los usuarios mas despistados o más descuidados, que harán click en nuestro correo, la hora que mandemos el correo, el día, etc. No es lo mismo mandar un correo a un usuario antes de salir de trabajar, que perderá poco tiempo leyéndolo, que en mitad de una jornada de trabajo.

Considero que este tipo de pruebas de ingeniería social son muy importantes y aunque supongan un plus económico dentro de un pentesting, siempre las recomiendo porque a los usuarios les permite experimentar un ataque real, y se puede demostrar la preparación del factor humano de la organización atacada.

En las pruebas de ingeniería social, hay que ser muy escrupulosos con los aspectos legales, pues estamos lanzando un ataque real a una organización, por lo tanto, la base legal tiene que estar bien establecida y las pruebas que hagamos totalmente controladas.

La mayoría piensa en los ataques de ingeniería social en phishing, pero está muy lejos de lo que pensamos, los ataques de ingeniería social pueden tener diferentes vectores de ataque. Algunos usan medios electrónicos para conseguir su fin y otros usan la presencia física de la persona atacante.

TIPOS DE ATAQUES DE INGENIERÍA SOCIAL.

Como cualquier pentesting podemos hacer dos modalidades de ataques de ingeniería social, la de caja negra o la de caja blanca.

En la modalidad caja blanca, nos revelan algunos datos de la compañía o empleados a atacar, normalmente esta modalidad se solicita simplemente porque es mucho más ágil y económica, nos permite perder menos tiempo y ahorrar esfuerzos.

La modalidad caja negra, es la que más esfuerzos requiere ya que no conocemos dato alguno sobre el objetivo del ataque, pero en realidad es el punto de vista de un atacante de una manera real y concisa.

Respecto a los tipos de ataques a continuación mencionaré los más conocidos, pero no todos ya que la imaginación y la creatividad son muy importantes a la hora de crear nuevos tipos de ataques de ingeniería social.

  • Correo electrónico. Ojo que no es phishing, es un correo electrónico legítimo, dirigido a cualquier empleado o directivo, aprovechándose de la confianza que genera ese correo y quien hay detrás para obtener datos sensibles.
  • Phishing. Es una suplantación de identidad de cualquier entidad legitima, normalmente se usa para obtención de credenciales, aunque yo particularmente no lo uso de esta manera, ya que cuando pedimos credenciales directamente, suelen saltar ciertas alarmas en nuestro cerebro sobre todo de los empleados más preparados que los ponen alerta, y pueden destapar nuestras intenciones.
  • Vishing. Viene de la unión de “voice” y “phishing”. Es el uso de una llamada telefónica para obtener datos relevantes del objetivo. Normalmente estos datos se recogen de fuentes abiertas como internet.
  • Visitar el objetivo. Visitar de forma presencial nuestro objetivo, de esta manera sacaremos mas datos sobre cómo funcionan, empleados, régimen interno etc. En este caso he de decir que he llegado a presentarme a una oferta de trabajo, para ver como funcionaba por dentro la compañía a la que estaba testeando. De esta manera obtuve datos como nombres de empleados con cierto cargo dentro de la organización, puede ver sistemas operativos usados, contraseñas en apuntadas en libretas, mecanismos de control de acceso físicos, etc.
  • Smishing. Es una variante del anterior, pero en este caso se hace uso de SMS o de Whatsapp para recabar datos relevantes sobre el objetivo. También puede suplantarse la identidad de algún organismo oficial para obtener estos datos.
  • Uso de una identidad falsa. Podemos usar una identidad falsa de alguien que esté dentro de la organización, si la organización es grande con gran numero de empleados, siempre es fácil sacar datos sobra alguno y obtener credenciales de acceso, etc. En muchos controles de acceso se usan tarjetas RFID, que podemos clonar para tener acceso, la forma de clonarlas ya la dejo en la imaginación de cada uno.
  • PiggyBacking. Es simplemente entrar detrás de alguien aprovechando la confianza que se tiene. Por ejemplo, entrar detrás de alguien cuando abre una puerta al entrar en ciertas zonas restringidas.
  • Escuchar conversaciones de empleados. Consiste en ver a los locales donde van los empleados, por ejemplo cafeterías cercanas, restaurantes etc. Y posteriormente escuchar sus conversaciones de trabajo, la mayoría hablan de cosas que hasta ellos mismos no saben que es información sensible.
  • Empleados descontentos. Esta es una gran fuente de información, pues cualquier empleado descontento, nos dará de forma gratuita información sensible que podemos utilizar para hacer un ataque de ingeniería social.
  • Puestos de trabajo. Ya dentro, en cada puesto de trabajo podemos sacar una gran cantidad de información, incluso en pcs que los empleados se han olvidado de bloquear antes de salir a tomar un café, o comer.
  • USBs. Este es uno de los grande vectores de ataque, pues existe una gran curiosidad humana por saber más allá de lo que debemos, y si nos encontramos una memoria usb, lo siguiente que haremos será conectarlo en un pc para ver que contiene. En mi caso uso Arduino con una serie de scripts que me permiten, lanzar una consola de meterpreter en cada pc que se conecte, o scripts que me permiten levantar un servidor web para poder conectar desde cualquier ubicación al pc objetivo.
  • Rebuscar en la basura. Siempre en la basura de cualquier organización, acaban documentos que nos pueden dar una ayuda a la hora de configurar un ataque de ingeniería social. Mucho ojo con los documentos que van a la basura.

RECOMENDACIONES

Dicho todo esto, ¿que necesitamos para defendernos de este tipo de ataques?, pues debo de decir que es difícil porque son ataques dirigidos y que están hechos a medida de nosotros. Pero debemos de seguir una serie de recomendaciones como:

  • Capacitar a usuarios y empleados para que no revelen nunca contraseñas o accesos por teléfono, y a su vez verifiquen la identidad de quien se pone en contacto con ellos.
  • El personal que custodia claves o accesos críticos debe de estar totalmente formado en seguridad de la información.
  • Cambiar algunos accesos a ciertas zonas sensibles por accesos con doble factor, incluyendo acceso biométrico.
  • Aunque parezca obvio acompañar a los invitados a nuestra organización desde que entran hasta que salen.
  • Controlar el CPD, y zonas sensibles con acceso biométrico y cámaras.
  • Triturar todos los documentos sensibles y sobre todo no dejar ningún documento sensible en las mesas de trabajo, esto pasa mucho y fuera de horario laboral, cualquier empleado de la limpieza por ejemplo puede acceder a información sensible.
  • Crear un programa de capacitación sobre todo para directivos que son los que suelen tener accesos más privilegiados a la compañía.
  • Cerciorarnos de que empresas que trabajen con nosotros estén concienciadas en seguridad, pues las empresas con las que trabajamos también tienen datos de interés sobre nosotros.

Aunque llevar a cabo algunos ataques de ingeniería social, requiere ciertos conocimientos técnicos, no se me olvida la cantidad de libros de psicología que he tenido que leer, para llevar a cabo algunos ataques en ciertos pentesting, en los que se incluía pruebas de ingeniería social.

Dicho esto, si tenéis alguna duda podéis preguntadme por privado y os responderé gustosamente, y aunque nunca os enseñaré a hacer algo ilegal podremos hablar sobre conceptos teóricos sobre ingeniería social.

Por Israel Nadal

Deja un comentario