libro ingenieria social
Hacking

El mejor libro sobre ingenieria social

Compártelo

Excelente libro de Ingenieria Social

Libro de ingenieria social: Esta es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o correos electrónicos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a revelar información sensible o a violar las políticas de seguridad típicas.

Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, –por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco– en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.

La ingeniería social es un vector de ataque que depende en gran medida de la interacción humana y a menudo implica engañar a las personas para que rompan los procedimientos normales de seguridad.

Un ingeniero social ejecuta lo que solía llamarse un “estafa”. Las técnicas como apelar a la vanidad, apelar a la autoridad y apelar a la codicia a menudo se usan en ataques de ingeniería social. Muchos exploits de ingeniería social simplemente se basan en la voluntad de las personas de ser útiles. Por ejemplo, el atacante podría pretender ser un compañero de trabajo que tiene algún tipo de problema urgente que requiere acceso a recursos de red adicionales.

 Los tipos populares de ataques de ingeniería social incluyen:

Baiting: Baiting es cuando un atacante deja un dispositivo físico infectado con malware, como una unidad flash USB en un lugar que seguramente se encontrará. El buscador luego recoge el dispositivo y lo carga en su computadora, sin querer instalar el malware.
Phishing: Phishing es cuando una parte maliciosa envía un correo electrónico fraudulento disfrazado de un correo electrónico legítimo, que a menudo pretende ser de una fuente confiable. El mensaje está destinado a engañar al destinatario para que comparta información personal o financiera o haga clic en un enlace que instale malware.

Spear phishing: Spear phishing es como el phishing, pero está diseñado para un individuo u organización específica.

Pretextos: pretextar es cuando una parte miente a otra para obtener acceso a datos privilegiados. Por ejemplo, una estafa de pretextos podría involucrar a un atacante que pretende necesitar datos personales o financieros para confirmar la identidad del destinatario.

Scareware: Scareware implica engañar a la víctima haciéndole creer que su computadora está infectada con malware o ha descargado inadvertidamente contenido ilegal. El atacante le ofrece a la víctima una solución que solucionará el problema falso; en realidad, la víctima simplemente es engañada para que descargue e instale el malware del atacante.

Los expertos en seguridad recomiendan que los departamentos de TI realicen regularmente pruebas de penetración que utilizan técnicas de ingeniería social. Esto ayudará a los administradores a saber qué tipos de usuarios representan el mayor riesgo para tipos específicos de ataques, al tiempo que también identifica qué empleados requieren capacitación adicional. El entrenamiento de conciencia de seguridad puede ser de gran ayuda para prevenir ataques de ingeniería social. Si las personas saben qué formas pueden adoptar los ataques de ingeniería social, es menos probable que se conviertan en víctimas.

La semana pasada tuve la oportunidad de escuchar a Kevin Mitnick hablar en la librería técnica local en San Diego. Él estaba allí para hablar sobre su nuevo libro, El arte del engaño. La mayoría de la gente sabe (o debería saber) quién es Kevin Mitnick. Recuerdo haber leído tantas historias alocadas sobre los hackers de Mitnck. ¿Realmente hackear la NSA y robar la libreta de direcciones? ¿Él también irrumpió en NORAD? Bueno, tendrás que leer su libro para encontrar las respuestas a esas preguntas.

Lo que Mitnick es más famoso son sus habilidades de ingeniería social. En su libro, Mitnick afirma, “la ingeniería social usa la influencia y la persuasión para engañar a las personas convenciéndolas de que el ingeniero social es alguien que él no es, o por medio de la manipulación. Como resultado, el ingeniero social puede aprovechar a la gente para obtener información con o sin el uso de la tecnología “. Si bien el ataque de ILOVEYOU fue un ataque de virus, también usó ingeniería social, explotando la debilidad que tienen las personas curiosas al hacer clic en un archivo adjunto de un correo electrónico.

Según Mitnick, todos los firewalls y el cifrado en el mundo nunca detendrán a un ingeniero social dotado de robar una base de datos corporativa o un empleado iracundo de bloquear un sistema. Si un atacante quiere entrar en un sistema, el enfoque más efectivo es intentar explotar el vínculo más débil, no los sistemas operativos, los firewalls o los algoritmos de cifrado, sino las personas.

Por ejemplo, si quiere capturar ilegalmente y usar el número de una tarjeta de crédito de alguien, olvídese de robar su billetera o cartera. Un ingeniero social llamaría a la persona por teléfono y fingiría trabajar para el banco o la compañía que emitió la tarjeta. Con la persuasión correcta, la persona podría darles el número de tarjeta, la dirección de facturación, el número de seguro social y el apellido de soltera de la madre. Si el objetivo era robar información sensible de una base de datos corporativa, el ingeniero social encontraría un empleado con acceso a datos, los llamaría y los engañaría para que divulgara la información. Para el ingeniero social, esto es mucho más seguro, mucho más rápido y se puede hacer sin salir de su casa.

Una persona confundida y desconcertada llamará a un empleado y pedirá sumisamente un cambio de contraseña. ¡Personas aparentemente poderosas y apresuradas, identificándose como ejecutivos, telefonearán a un nuevo administrador del sistema y exigirán acceso a su cuenta INMEDIATAMENTE!
En un aeropuerto, alguien mirará por encima del hombro (“hombro navegando”) ya que los números de las tarjetas de crédito o los PIN de los cajeros automáticos (a veces incluso utilizando binoculares o videocámaras) están codificados.

Un visitante, de incógnito, lo verá cuando ingrese un ID de inicio de sesión y una contraseña en su teclado. Alguien llamará e instruirá con confianza a un operador de computadora para que escriba algunas líneas de instrucción en la consola.
Un atacante tamizará su papelera (también conocida como “dumpster diving”), en busca de pistas para desbloquear sus tesoros de TI o su vida financiera.

La mejor estrategia de seguridad de ingeniería social es la conciencia del usuario de que estos ataques suceden. Estas son algunas buenas prácticas comerciales:

Capacitar a los empleados para que nunca den contraseñas o información confidencial por teléfono.

Actualice su política de seguridad para abordar los ataques de ingeniería social.
Actualice sus procedimientos de manejo de incidentes para incluir ataques de ingeniería social.

No ingrese contraseñas con nadie que mire.

Requiere que todos los invitados sean acompañados. (Una vez que están dentro, ¡tienen pleno acceso!)
Mantenga toda la basura en áreas seguras y vigiladas.
Triture datos importantes y confidenciales.
Llevar a cabo programas periódicos de entrenamiento de conciencia de seguridad.

Sospecho que a medida que se desarrollen e implementen mejores controles de seguridad de hardware y software, los atacantes recurrirán a ataques de ingeniería social para comprometer sistemas o robar información. ¿Por qué? Las empresas no están brindando capacitación en concientización de seguridad para sus empleados. Las empresas gastan mucho dinero comprando el último y más grande hardware de seguridad, pero olvidan que parte de la información más delicada se almacena en la mente de sus empleados. Y las debilidades humanas son las más fáciles de explotar.

Pruebas de seguridad de penetración en ingeniería social: phishing
El phishing implica enviar un correo electrónico a un usuario para convencer al usuario de que realice una acción.

El objetivo de la mayoría de los correos electrónicos de phishing en un proyecto de prueba de lápiz es simplemente atraer al usuario para hacer clic en algo y luego registrar esa actividad, o para instalar un programa como parte de un esfuerzo de prueba de penetración más grande. En este último caso, los exploits se pueden adaptar al software del lado del cliente que se sabe que tiene problemas, como los navegadores y el contenido dinámico / plug-ins de medios y software.

Mejora de la calidad de la prueba interna de la pluma

 

En este video tutorial especial, Dave Shackleford de IANS explica cómo mejorar la metodología interna de prueba de pluma. Abarca aspectos clave de las pruebas de penetración empresarial, incluidos el reconocimiento, el escaneo, la enumeración, la penetración y la generación de informes.

La clave para una campaña de phishing exitosa es la personalización. Adaptar el correo electrónico al usuario objetivo, como enviarlo desde una fuente confiable (o de confianza), aumenta la probabilidad de que el usuario lea el correo electrónico o siga alguna dirección en el correo electrónico. Un buen probador de bolígrafos siempre recordará revisar la ortografía y la gramática; un correo electrónico bien escrito, incluso uno corto, será mucho más creíble.

VER LIBRO

Compártelo

One Reply to “El mejor libro sobre ingenieria social

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *