Este tema me tiene fascinado hace tiempo. Social Engineering es el arte, talento o habilidad de hacer que las personas hagan lo que uno quiere. En otras palabras engañarlas sin que sospechen nada.
Lo más comico es que la mayor parte del dinero que gastan las empresas en seguridad IT y no para entrenar a los usuarios del sistema. Esta es la vulnerabilidad más grande y la que se puede explotar usando algunas técnicas de social engineering.
Aquí un ejemplo clásico de un hack de este tipo. Un hacker llama a un centro de customer service de una empresa.
Hacker: Hola tengo un problema con mi servicio y quiero hablar con el supervisor
Representante: Si, no hay problema
Hacker: Una pregunta como se llama el supervisor de turno
Representante: Juan del Pueblo
Con esta información el hacker cuelga y genera otra llamada.
Hacker: Hola le habla “Fulano de tal” y trabajo para SecureTech la compañia que hace auditorias de seguridad para su empresa, estoy tratando de contactar a Juan del Pueblo pero no logro encontrar su teléfono directo, ¿usted puede transferirme?
Representate: Si, como no.
Juan del Pueblo: Hola, Juan del Pueblo
Hacker: Hola le habla “Fulano de tal” y trabajo para SecureTech la compañia que hace auditorias de seguridad para su empresa. Supongo que está pasando un día dificil
Juan del Pueblo: Eh, no ¿dificil porque?
Hacker: Bueno es que se calló el sistema hace un rato, deben tener un caos ahi.
Juan del Pueblo: No, el sistema está funcionando perfectamente, todo el día
Hacker: No es posible estamos viendo desde acá que no funciona. Vamos a hacer una prueba puede hacer logout y login a ver si eso arregla este problema.
Juan del Pueblo: Ok. Si todo bien
Hacker: Esto es muy extraño, creo que vamos a tener que hacer un restart del sistema pero eso puede tomar un par de horas. Puede tratar una vez mas de hacer logout y login.
Juan del Pueblo: Si. Me deja entrar sin problemas.
Hacker: Wow esto es bien raro. Vamos a hacer algo dame tu username y password y yo trato desde acá a ver si tengo el mismo problema
Juan del Pueblo: juanp y el password es XXXXX
Hacker: Ok. Deja tratar… Ah ok listo ya está arreglado. No deben tener problemas. Gracias
Juan del Pueblo: Gracias, adiós.
Obviamente este es un ejemplo muy simple pero puedo jurar que es más efectivo de lo que uno piensa.
Aquí un video de unos hackers del mundo real.