Social Engineering

Este tema me tiene fascinado hace tiempo. Social Engineering es el arte, talento o habilidad de hacer que las personas hagan lo que uno quiere. En otras palabras engañarlas sin que sospechen nada.

Lo más comico es que la mayor parte del dinero que gastan las empresas en seguridad IT y no para entrenar a los usuarios del sistema. Esta es la vulnerabilidad más grande y la que se puede explotar usando algunas técnicas de social engineering.

Aquí un ejemplo clásico de un hack de este tipo. Un hacker llama a un centro de customer service de una empresa.

Hacker: Hola tengo un problema con mi servicio y quiero hablar con el supervisor

Representante: Si, no hay problema

Hacker: Una pregunta como se llama el supervisor de turno

Representante: Juan del Pueblo

Con esta información el hacker cuelga y genera otra llamada.

Hacker: Hola le habla “Fulano de tal” y trabajo para SecureTech la compañia que hace auditorias de seguridad para su empresa, estoy tratando de contactar a Juan del Pueblo pero no logro encontrar su teléfono directo, ¿usted puede transferirme?

Representate: Si, como no.

Juan del Pueblo: Hola, Juan del Pueblo

Hacker: Hola le habla “Fulano de tal” y trabajo para SecureTech la compañia que hace auditorias de seguridad para su empresa. Supongo que está pasando un día dificil

Juan del Pueblo: Eh, no ¿dificil porque?

Hacker: Bueno es que se calló el sistema hace un rato, deben tener un caos ahi.

Juan del Pueblo: No, el sistema está funcionando perfectamente, todo el día

Hacker: No es posible estamos viendo desde acá que no funciona. Vamos a hacer una prueba puede hacer logout y login a ver si eso arregla este problema.

Juan del Pueblo: Ok. Si todo bien

Hacker: Esto es muy extraño, creo que vamos a tener que hacer un restart del sistema pero eso puede tomar un par de horas. Puede tratar una vez mas de hacer logout y login.

Juan del Pueblo: Si. Me deja entrar sin problemas.

Hacker: Wow esto es bien raro. Vamos a hacer algo dame tu username y password y yo trato desde acá a ver si tengo el mismo problema

Juan del Pueblo: juanp y el password es XXXXX

Hacker: Ok. Deja tratar… Ah ok listo ya está arreglado. No deben tener problemas. Gracias

Juan del Pueblo: Gracias, adiós.

Obviamente este es un ejemplo muy simple pero puedo jurar que es más efectivo de lo que uno piensa.

Aquí un video de unos hackers del mundo real.

By Giovanni Collazo

Software developer, user experience designer, and web application security enthusiast from San Juan, Puerto Rico. You can find me on Twitter as @gcollazo.