Ingeniería Social (III) - Provocando, suscitando y obteniendo información del objetivo

Buenos días hackers!! En la ingeniería social no sólo se usa técnicas psicológicas sino también técnicas de hacking. Poco a poco iré escribiendo diferentes técnicas y PoC interesantes, obviamente todo virtualizado o al menos explicado de forma práctica en formato digital. No solo será ofensivo, obviamente lo más importante es la concienciación y seguridad defensiva antes estos ataques en nuestra sociedad. Seguimos con la tercera parte del volumen Ingeniería Social. En las dos entradas anteriores se hizo una presentación de lo que iba a ser el volumen. Al igual, la segunda entrada hice una introducción sobre que es la ingeniería social. La primera parte del volumen seguirá siendo igual (la gran parte de él) y consecuente explicación sobre la psicología de la ingeniería social.

El objetivo como se dijo en entradas pasadas es enseñar una metodología para el pentester sobre (IS). En la fase psicológica que se esta impartiendo sirve para todos los campos de la IS, y por tanto para la vida cotidiana de convivencia con nuestros amigos y familias. La mayoría de entradas serán sobre la parte psicológica de la IS, aunque incluiré PoC interesantes como el uso de SET y otros framework usados para el Phishing.

En esta parte nos introducimos de lleno, en la "elicitation". Esta palabra de origen anglosajona proviene de to elicit, "provocar, suscitar u obtener".

Según la Wikipedia: "Elicitación (del griego elicitus, "inducido" y elicere, "atrapar") es un término de computación que puede referirse más que nada al traspaso de información de un punto a otro, en forma fluida. Está asociado a la psicología como un concepto que refiere al traspaso de información en forma fluida de un ser humano a otro por medio del lenguaje.
En computación, dicha asociación es similar, pero la información puede fluir desde un software a otro, de un computador a una persona o de persona a persona. La información posee elicitación si está fluyendo entre los programas se pueden ver y compartir con otros contactos sin interrupciones ni dificultades. Por ejemplo, cuando se copia y pega un gráfico o un texto de un software procesador de texto a una hoja de cálculo.
Cabe aclarar que elicitar es un término que no forma parte del Diccionario de la Real Academia Española y una innecesaria adaptación del término inglés to elicit que corresponde a los verbos españoles provocar, suscitar u obtener"


"Elicitation", es la forma de obtención de información a través de preguntas indirectas como parte de una conversación. Dicha obtención permite recabar información sobre su vida, sus hábitos y problemas, y así, de un modo u otro tener un análisis amplio sobre el objetivo para el posterior "gaining access" del lugar físico o lógico.

El arte de la elicitación proviene cuando una persona experta en este campo de la IS, es capaz de crear cierta "influencia" en la persona, influencia positiva y conseguir una sonrisa, o un pensamiento bueno sobre ella. De esta forma tan indirecta se obtiene lo que el experto quiere, para su beneficio personal o económico, dependiendo del tipo de persona que use la ingeniería social. El uso de esta técnica puede producir resultados muy positivos al pentester o ciberdelincuente. Para poder desarrollar esta técnica, debe ser natural entender los cimientos básicos de la comunicación verbal y no verbal entre personas, y saber reaccionar rápido y con creatividad ante imprevistos en la comunicación. "Ser un gran comunicador", esta es la reseña principal de la "elicitation".

Esta conversación puede formar parte en cualquier sitio físico, frecuentemente en lugares públicos. Si nos referimos a lugares privados, significa que hemos conseguido acceso a un sitio privado, como puede ser dentro de las oficinas de una organización empresarial, y si estas dentro es porque has usado a parte del "elicitation", otras técnicas de la ingeniería social (como el pretexting, hablaremos luego brevemente su definición) y uso del hacking.
Por tanto centrándonos en un lugar público como un centro comercial, la "elicitation" tiene menor riesgo que en el caso anterior y es más difícil de descubrir. Supongo que os preguntareis el por qué, bueno es sencillo. Si pensamos que estamos en un lugar público es porque se ha dado cita con el objetivo en la cual tenemos algo de información o simplemente se ha dado el caso mediante un montaje de nuestro "pretext" en un falso escenario. El objetivo de nosotros con mucha probabilidad tendrá muy poca información, quizás solo tenga la que el experto le haya querido proporcionar en Internet. Por tanto al tener una cita, ya sea dado por ella o por el experto, el camino usado puede ser muy diverso. Si estudiamos a la víctima con nuestra fuentes públicas recolectada de redes sociales, se puede crear una cita con ella para hablar de algún hobby suyo o incluso para ligar, sin tener que ser una cita especial de la organización que espera atacar. Tampoco tiene que ser una empresa el objetivo, puede ser sólo a una persona individual para obtener un beneficio ecónomico, muy usado por los ciberdelincuentes. Si existe sospecha y las preguntas que el experto plantea son respondidas con un "Si" o un "No", algo esta haciendo mal. Mediante el uso de preguntas bien diseñadas con un patrón de uso único para cada objetivo particular, se consigue lo previsto por el experto consiguiendo información con las respuestas. Las preguntas formuladas se pueden clasificar según la respuesta obtenida en:

• Recolectoras de información. Nos sirve para ir reuniendo información que nos puede ser útil para unir similitudes con otras fuentes, ya sea números de teléfonos, nombres de personas conocidas, software usado en los sistemas, problemas familiares etc...

• Intrusivas. Este tipo de preguntas, deben ser formuladas siempre cuando la parte de la comunicación se ha establecido en un nivel de confianza elevado. Es lógico que sea así debido a que la reacción del objetivo puede ser alterado de forma considerable obteniendo un resultado positivo o no. Depende del nivel de conocimiento del objetivo sobre seguridad y del concienciamiento sobre este tipo de ataques.

Cada persona es un mundo, a esto me refiero que no todas las pautas sirven de forma general, se requiere de un estudio minucioso de cada persona obteniendo la máxima información posible mediante técnicas OSINT o exponiéndose un poco más "you have been exposed", consiguiendo información de terceros sin llegar aún al objetivo y aplicar ese bonito juego de palabras formuladas para hacer uso del "elicitation". Por tanto, cuanta más recolección de información tengamos sobre el objetivo, más sencillo será. Es importante el cómo saber también hasta donde quieres llegar con la conversación y el tipo de objetivo que es, para adoptar un rol (nuestro pretext). Un ejemplo de recolección de información sería saber los días que el objetivo estará en la oficina o de vacaciones y así realizar una planificación de las preguntas que se usarán.
Podemos decir entonces con lo visto que el "information gathering" engloba OSINT + Elicitation.

El rol, es muy importante y eficaz siempre y cuando forme parte del "elicitation" Si la cita con una persona de una empresa es sobre algo relacionado con nuestro pretext, es importante poder llevar a cabo lo siguiente "saber el tema técnico hablado + elicitation". De nada sirve, si no se tiene la capacidad de mantener una conversación técnica sobre un tema relacionado con la empresa, como la inversión en bolsa por ejemplo. La unión de estas dos técnicas, puede ser muy prometedor porque puedes obtener más información del objetivo, información muy valiosa para ser usada posteriormente mediante ataques de acceso lógico a la infraestructura de los sistemas de la empresa, o directamente el acceso físico de la misma. Para el acceso lógico es todo el mundo relacionado con el hacking, tiene muchas ramas de estudio. Y para el acceso físico, la exposición es mucho más elevada que el "hackear" a una compañía usando un simple portátil conectada a una VPN y Tor, junto con su VPS.
Entonces tenemos que con un sólido pretexting ayuda considerablemente a una mayor "information gathering" del uso de OSINT+Elicitation.

La magia de la "elicitation" reside en que la víctima no se de cuenta de que esta siendo de una forma u otra interrogada, por tanto la comunicación debe ser muy distendida y afable. Diciendo lo que quiere escuchar, a todos nos gustan que nos alaben, y en general es difícil decir que no. La mayor parte de las personas son amables ante gente que no conoce, si el experto aparenta ser una persona influyente en parte de la conversación el objetivo le dará más información a sus preguntas indirectas ya que le causa impresión esa persona y quiere por todos los medios causarle buena imagen. Y si el experto, actúa de la misma forma que su objetivo, se asemeja a su lenguaje corporal y facial, posiblemente le ofrezca más información debido a que le causa una buena impresión.

Los principios para ser un experto de la "elicitation" son los siguientes:

• Ser natural: Al formar parte de una conversación el experto ha de ser natural en toda su implicación. 

• Conocer nuestras posibilidades: Si resulta que el objetivo es un experto economista, será complicado preparar nuestro "pretext" para poder mantener una conversación con él o ella. Es más factible llevarlo a cabo con sencillez.

• Ser influyente. Convencer a la víctima que somos una persona con capacidades de liderazgo provocando cierta influencia en ella.

• Lenguaje facial y corporal. Si una persona no controla sus emociones, físicamente aparentará cierto nerviosismo transmitiendo sospechas por sus gesticulaciones faciales y la posición de su cuerpo. 

• Uso de preguntas indirectas abiertas. La finalidad es obtener una respuesta abierta, y no un simple "si" o "no", además con el añadido de conseguir la respuesta deseada. Para conseguir respuestas abiertas es muy útil el uso al inicio de la pregunta de ¿Por qué...? o ¿Cómo....?

• Preguntas directas. El fin es obtener información útil dependiendo de la respuesta. Un ejemplo sería decir "¿Sabe donde vive Daniel?"-"No, lo sé lo siento". El problema rádica que al ser directa puede levantar sospechas el objetivo y quitar el poder al ingeniero social como vimos con anterioridad. Pero es lo más eficaz si sale bien.

• Preguntas asumiendo un hecho que ha "sucedido". Son preguntas que ayuda a obtener la respuesta que el atacante quiere conseguir, inventándosela o que de verdad ha sucedido y lo sabemos con la recolección de información. Un ejemplo puede ser: "-¿Cómo puede ser que el director general Raúl Fuentes haya despedido a 20 personas?" -"No ha despedido a 20, despidió a 5 personas. Por cierto su nombre es Daviz Sanchez Labrado, pero bueno llevas poco tiempo en la empresa yo también me lió con los nombres".

• No pecar de agonía. Si las respuestas dadas en la conversación no da el resultado positivo, no insistir y levantar sospechas con el objetivo. Si levantamos sospechas por querer obtener más información, se estará expuesto y tendrá que ir pensando el experto en buscar otra alternativa. 

• Pocas preguntas en la conversación inspira incomodidad. Justo lo contrario a lo anterior. Todos conocemos los famosos silencios que existen como parte de la conversación entre dos personas y resulta muy incómodo. 

• No romper los esquemas al objetivo. La parte inicial que consta de la recolección de información esta relacionado con la "elicitation". No debe suponer una amenaza para el objetivo, sino lo estamos haciendo mal.

• Establecer una metodología secundaria previamente planeada a tu favor que formará parte de la conversación. Así se evitará sospechas en caso de fallos. 

• Necesidad de ayudar y escuchar con atención.

• Sentido del humor. Inspira positivismo.
  

• Conversación piramidal. Esto se refiere a empezar con preguntas comunes e ir obteniendo la información poco a poco se vaya consiguiendo la confianza y la afabilidad en la conversación.

• Estar de mutuo acuerdo en la conversación. Inspira confianza

• Ofrecer información al objetivo. Así de este mismo modo, te la ofrecerá a ti. 

• Uso del alcohol para la obtención de la información. Es curioso, pero a través de nuestras preguntas indirectas y si el objetivo anda embriagado, se puede obtener gran cantidad de información.

Es complicado diferenciar o descubrir que un experto, esta consiguiendo toda la información que quiere obtener sin que se de cuenta. Es necesario educar a las personas ante este tipo de personas en la materia, y no caer ante aparentes "buenas" intenciones. Cuando se forma parte de una conversación amena y afable con el objetivo, realmente se trasmite gracias un exhaustivo entrenamiento del lenguaje corporal, expresiones faciales, inteligencia ante imprevistos, vestimenta etc..Ligado siempre al rol que tenga, o lo que es lo mismo nuestro "rol".
Todo esto con el fin de que el objetivo piense cosas buenas del experto, tal como "que amable es ", "es muy buena persona", "lo más probable es que quede otra vez con él/ella".
Obviamente estos son dotes innatos, es muy díficil que una persona si no tiene estas características en su personalidad aprender desde cero, pero si perfeccionarla interactuando con las personas. Así que, si quiere poner esto en práctica tenga en cuenta que le puede salir mal, aunque puede empezar entablando una conversación hablando del tiempo y probarse, suele ser la más eficaz, teniendo o no información previa del objetivo (OSINT o HUMINT), o llevado o no un rol planificado.

Una parte importante que aún no he mencionado, es la fase antes de que se produzca la "elicitation". No es sólo el rol que ha de tener este experto ingeniero social antes del encuentro, sino provocarle a la víctima al iniciarse el proceso de la conversación o incluso antes de este evento, un pensamiento sobre lo que nosotros queremos que él o ella tiene que pensar. En cierta manera se puede decir que se esta "manipulando" su pensamiento. Esto tiene grandes beneficios, ya que podemos observar reacciones ante ese pensamiento que le provocamos que piense y cambiar nuestra estrategia en el mismo momento de la conversación, para formular nuevas preguntas indirectas (elicitation).
Un ejemplo de un ciberdelincuente sería el siguiente. El atacante y el supuesto "amigo" van a ver una película en el cine, pero resulta que el "amigo" no le gusta mucho esa película y él esta deseando verla. De un modo u otro tiene que conseguir ver la película a toda costa (pero no siendo su objetivo final). Puede preparar lo siguiente:

Atacante: -Hey, sabes tío me encanta esta gran pelicula llamada XXX. Me permite satisfacer la necesidad que tenemos de poder luchar contra la tiranía de un régimen dictatorial, pero en 3D!
Víctima: -Tiene buena pinta, vi el trailer y la noticia que me dejaste en la mesa de clase y no gustandome mucho la ciencia ficción, me produjo una sensación fascinante; y encima con lo que me acabas de decir.....La tenemos que ver!!. Pero me suelen gustar las películas policíacas, ya que mi padre es policía y trabaja en delitos telemáticos (Information Gathering?¿), y llevo desde pequeño viendo películas de este estilo. El otro día vemos una de policías!
Atacante: -Claro no te preocupes. (ya usaré USB Rubber Ducky en el ordenador de tu padre, a ver que información me puede ofrecer...)

En este sencillo ejemplo y sabiendo que no le gustan las películas de ciencia ficción, ha conseguido "manipular" en cierta manera un pensamiento y conseguir ver la película convenciendole y transmitiendole sentimiento e ilusión, obteniendo la respuesta que se espera, además de analizar el cómo usar la "elicitation" y a su vez recolección de información, ya que ha dicho que su padre es policía sin habérselo preguntado. Quizás lo anterior no siempre sirva dependiendo mucho de la personalidad del objetivo, probablemente se necesiten más medios como insistir en enviarle fotos de la película por móvil o hablarle mucho sobre ese tema. Esto es perfectamente aplicable en todos los ámbitos de la ingeniería social como por ejemplo obtener la respuesta que el atacante quiere que le responda el director general de una organización.

Según la NSA, define la "elicitation" como "the subtle extraction of information during an apparently normal and innocent conversation".
Por ello hace que sea tan efectiva esta técnica y es usada por todos nosotros en diferentes caminos en nuestra vida, no tiene por qué ser usada para malas intenciones. Es efectiva, porque forma parte de una conversación como se dijo anteriormente, afable. Entonces, ¿cómo podemos combatir este tipo de ataques? Realmente es muy difícil, la naturaleza humana y nuestra educación recibida tanto de nuestros padres como la brindada en nuestra sociedad, hace que seamos personas sin sospechas ante un experto ingeniero social. Es muy diferente los ataques de ingeniería social en un entorno lógico, donde si que podemos defendernos ante ataque de "phishing" mediante la concienciación ciudadana sobre seguridad informática.

La solución personal que propongo, es no confiar de primeras de un extraño, por muy buenas intenciones que tenga. Esto es aplicable para todo el mundo. Ser una persona influyente ante el experto atacante, y usar estas mismas técnicas para poder derrumbarle y que no aproveche este vector de ataque hacía ti. Las personas en general tenemos debilidades, así que no es imposible dejar "fuera de servicio" a un atacante con malas intenciones mediante el uso de la psicología.


Un saludo, Naivenom

Ingeniería Social (II) - Introducción

Buenas hackers!! En esta segunda entrada del volumen Ingeniería Social, os voy a introducir a: ¿Qué es el ingeniero social?. Según a personas que he preguntado, me dicen que no lo saben, otros me dicen que es el método de engañar a una persona para obtener información, ser ingeniero social es conseguir un beneficio economico "for free", o ser un buen actor. El objetivo primordial del ingeniero social es influenciar en la victima, diciendole  lo que la victima quiere escuchar, y esta devolviendole lo que el ingeniero social quiere saber, usando técnicas como manipulación e influencia entre otros.

Según la Wikipedia: "Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos. El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, –por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco– en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos."

Como vimos en la entrada anterior, la ingeniería social tocan muchos ámbitos de nuestra vida ya sea desde la infancia el cómo un niño tiene capacidad de manipular a sus padres para conseguir lo que quiera, a un ejecutivo para ganarse el ascenso. También psicólogos, médicos, abogados, policías, espías, ciberdelincuentes etc, usan estas técnicas para obtener información, conseguir acceso, manipulación, haciendo que el objetivo actue del modo previsto...
De la misma forma un psicólogo usa sus habilidades para conseguir manipular a su paciente, en busca de acciones positivas y éticas con la necesidad de un cambio en su forma de ser. Una persona mal intencionada puede usar las mismas técnicas para manipular la vulnerabilidad en el elemento humano, y romperla en todos los sentidos. Todas las personas tienen un bug. Un ejemplo es esta escena de Mr.Robot (Spoiler inside!!):

Según lo visto en la escena, Elliot rompe absolutamente a Bill y consigue su objetivo, en este caso "gaining access". Por tanto la ingeniería social no es una rama que digamos sea poca ética, dependiendo del objetivo y los resultados obtenidos se puede decir que es ético o no. También depende del punto de vista. Quizás haya personas que piensen que las técnicas usadas por un psicólogo o un médico no sean las más apropiadas ya que estan influyendo a una persona. O quizás la filosofía de los "hacktivistas", puede parecerles correcto obtener información y mostrarla en los medios de comunicación, de la cúpula de un partido politico por ejemplo o de una multinacional, mientras que haya personas que eso no le parezca ético ya que esta de un modo u otro obteniendo información de manera intrusiva mediante ingeniería social aprovechandose de la vulnerabilidad de una persona y "gaining access" a un sistema informático o infraestructura de la organización empresarial. 
Por tanto, el punto de vista es importante, y es subjetivo dependiendo de la legislación existente en un país en concreto y su sociedad. 

El ingeniero social que combina todas las técnicas que veremos más adelante en la fase psicológica, se puede decir que ha llegado a tal experiencia que puede conseguir lo que desee mediante la manipulación, "pretexting", elicitación, influencia, persuasion etc... Con estas habilidades y además las técnicas usadas en la fase de explotación, el ingeniero social reunirá un conjunto de habilidades y no solo sociales, para conseguir su objetivo ya sea Hacking WiFi, Metasploit, Social Engineering Toolkit, HID Attacks etc.. 
Desafortunadamente, en la actualidad la ciberdelicuencia se esta profilerando de manera exhaustiva constatando que la mayoria de los ataques de ciberdelicuentes usan técnicas de ingeniería social, por ello es importante estudiar con detenimiento esas técnicas, analizarlas y combatirlas. Un ataque podría ser el "physical impersonation" + "malicious insiders". La consecuencia derivada de lo primero, posicionamiento como un empleado o directivo más, de una organización y romper todos los esquemas de ella y hacerla trozos con el espionaje industrial. Es complejo de llevar a cabo, y un estudio minucioso y dedicado. 
En este mismo contexto, este tipo de ataques y el vender información a los competidores esta a la orden del dia. Como administrador de la seguridad de la organización ¿Qué tipo de privilegios dar a cada uno de los empleados? ¿Cómo garantizar la confidencialidad de los datos expuestos a los empleados o directivos y el grado de seguridad? ¿Es fiable o se puede confiar en él? 
Todas estas preguntas, muchas de ellas difícilmente respondibles es una cuestion importante ya que puede hacer mucho daño a la empresa en cuanto a perdidas económicas. Un "insider" experimentado y con el síndrome de "burnout", puede tanto obtener información clasificada dependiendo del grado de seguridad que tenga en la organización, como borrar su rastro y ser totalmente anónimo (lo veremos en la fase de anonimato). Por tanto, ¿qué indicios tiene la policia ante este acto delictivo? Dependiendo de lo cuidadoso que haya sido el "insider", tendrá un tanto por ciento de asegurar su anonimato y su tapadera, la mentira formulada y previamente estudiada al detalle. Obviamente para esto es aconsejable el conocimiento de herramientas de pentesting, tanto para el "insider" como para el policía o perito realizando su análisis forense. 
Por tanto, la educación en la organización empresarial sobre seguridad es importante para saber detectar posibles "insiders", o ataques desde el exterior. Según el ciclo usado por un ingeniero social con fines malintencionados, si se quiere concienciar sobre seguridad, es importante conocer la fase psicológica y OSINT, para evitar dar información a personas con "aparentes" buenas intenciones y no caer en la manipulación, elicitación, influencia y persuasión entre otros. 
Las llamadas telefónicas suelen ser un vector de ataque común donde no existe exposición física e inventandonos una buena historia, nuestra gran mentira y puesta en escena, denominado "pretexting", se puede obtener gran cantidad de información. 
Importante no dar contraseñas, usuarios o correos electrónicos. Hablando con personas que usan ordenadores de forma habitual y usan contraseñas para acceder a cuentas de usuarios alojados en los distintos servidores de base de datos, muchos de ellos usan contraseñas inseguras muy fáciles de predecir montandonos un diccionario en base a un objetivo para realizar un ataque por diccionario.

En este caso el ingeniero social tiene facilidades para saber cuál puede ser su contraseña como el nombre de su mascota, la fecha de nacimiento o lugar u hábitos relacionados a sus hobbies. Y por supuesto esa contraseña las usa en la mayoría de sus cuentas de usuario de las aplicaciones web usadas.
Las aplicaciones web, almacenan datos privados nuestros que pueden ser usados para un análisis de inteligencia previa recolección de información.

Para remediar ataques externos o internos, pero relacionados con la fase de explotación es necesario tener en la organización personal cualificado en sistemas e infraestructuras de redes (sysadmin), con nociones avanzadas sobre seguridad informática.

Pasemos ahora a los tipos existentes de ingenieros sociales. Como se ha mencionado la ingeniería social es una ciencia, fundamentalmente basado en la psicología. Dependiendo del fin que una persona haga del uso de ella, se le podrá considerar ética o no. Volvemos a lo mismo, todo es muy relativo y hay que considerar la sociedad en la que pertenecemos y valorar las actuaciones que cometemos usando esta ciencia. Podemos clasificar al ingeniero social en:

• White hat: Son personas que se dedican al mundo de la seguridad informática en busca de vulnerabilidades en sistemas informáticos, realizando un tipo de auditoría según la demanda de su cliente. El uso de la ingeniería social en este ámbito es muy útil para valorar el nivel de seguridad de una empresa en cuestión, haciéndonos pasar por un ciberdelincuente he intentar "gaining access" en la organización empresarial. Un ejemplo del pentester es planear un ataque de ingeniería social contra una corporación, para conseguir acceso al cuarto de los servidores y "stealing data". Quizás sea más facil para el pentester siempre con consentimiento del cliente, usar la ingeniería social y llegar al cuarto donde se encuentran los servidores. Para ello haciendo uso de "pretexting" nos hacemos pasar por un técnico de una empresa externa y conseguimos acceso a la habitación de servidores y ver un post-it con lo siguiente: root/empresaxxx. Como ya dijimos, nuestra mentira es el aspecto más importante antes del acceso físico del pentester, la preparación psicológica ante una cámara de móvil y grabarnos actuando como un actor metiéndose de lleno en su papel, como si de un técnico informático se tratase. Además de lo anterior, la recolección de información es un proceso vital antes de la explotación física al sitio. El técnico informático tendrá que saber que empleados dependiendo del nivel de seguridad que tengan aportarán más información del lugar. Existen muchos métodos para conseguir el acceso, lo veremos más adelante en el volumen Hacking con Ingeniería Social 
• Ciberdelincuentes: Es aquí en esta clasificación, la más importante para poder conocer en profundidad como actúan estas personas. En la clasificación anterior un White Hat especializado en la ingeniería social (a partir de ahora IS), debe realizar una ardua tarea de investigación para conocer al enemigo, en este caso al ciberdelincuente. Las empresas cada vez más, invierten en más capital para "hardering" sus sistemas e infraestructura de red. Aún así la constante evolución de técnicas hacking, hacen importante el continuo estudio para combatir de alguna manera estos ataques. Contra más conocimientos tenga el ciberdelincuente de sistemas y redes, más fácil le será penetrar en ellos haciendo un uso considerado de la IS. O al revés, un ciberdelincuente experto en la IS, no tendrá que tener tantos conocimientos de sistemas o redes para poder conseguir su objetivo. Existen ciertas desventajas con la IS, y es debido al nivel de anonimato, queda muy expuesto. Lo veremos en detalle en la fase de anonimato, los métodos y el nivel de "paranoia" y presión psicológica que puede tener ese ciberdelincuente. Como ciberdelincuentes, se engloba black hats, "malicious insiders", estafadores y ladrones en la red.
• Espías: Las agencias de inteligencia, forman a sus espías con el objetivo de poder usar la IS para recabar información de sus fuentes. Esas fuentes de información pueden ser SIGINT, HUMINT y OSINT. Al recabar la información, esto se convierte en inteligencia mediante un análisis e interpretación.  El espia o el agente operativo, que hace uso de la IS para operaciones psicológicas o infiltrarse en una organización criminal haciéndose pasar por un miembro de ellos, usa las ramas de la IS que veremos más adelante como la manipulación, influencia o el "pretexting". 
• Vendedores: En una organización empresarial, sus vendedores deben tener dotes de IS para poder vender un producto al cliente de otra multinacional en concreto. Haciendo uso de la elicitación e influencia, sus clientes son víctimas de estas técnicas psicológicas y así el beneficio económico de la empresa. Un ejemplo puede ser el vendedor de una empresa como Lenovo y su cliente la Fnac. 
• Doctores y psicólogos: Los métodos usados en esta clasificación son los mismos pero con otro objetivo muy diferentes, el ayudar a los demás. Al final al cabo hacen uso de la IS como la elicitación y manipulación para hacer creer a su paciente una tendencia positiva hacía su enfermedad. Esto es un aspecto muy positivo ya que incentiva y ayuda al paciente por el camino que ellos determinan.

La defensa es siempre el mejor ataque, por ello es vital hacer uso del conocimiento de personas expertas en el campo de la ciberseguridad, y usar técnicas propias de pentesting de sistemas para realizar auditorías. Un buen pentester con dotes de IS, analizará la seguridad de la organización en busca de vulnerabilidades tanto perimetrales (física), en los sistemas informáticos (lógica), como en los empleados (parte psicológica). Por tanto, bajo mi punto de vista la formación sobre IS, en los pentester es vital, ya que un elevado porcentaje de los ataques provienen mediante el uso de la IS. Para llegar a ser un experto en la ingeniería social, es necesario estudiar e investigar mucho en este campo.

En este volumen de entradas, nos centraremos tanto ofensivamente y defensivamente orientado más al hacking. La primera fase (y la mayoría de todas ellas) psicológica es valida para todos los campos de la IS, pero las siguientes fases estarán orientadas el como actúa un ciberdelincuente y concienciarnos de los ataques y remediarlos. Por ello, todas las entradas futuras serán muy validas, con el objetivo de formar al white hat en su rama de IS, en sus fases de pentesting a empresas, enseñando de forma gratuita (el conocimiento es libre ante amenazas de esta índole) mediante entradas escritas y PoC hechas en vídeos para enseñar las técnicas hacking de anonimato, inteligencia (OSINT) y explotación como la famosa herramienta SET.

Por supuesto, el conocimiento ofrecido en las futuras entradas, servirá para mejorar vuestras destrezas en la comunicación con los demás y en analizar el lenguaje verbal y corporal con vuestros amigos y familias. Explotar los sentimientos de los demás diciendo lo que ella o él quiere escuchar para conseguir un objetivo en concreto o el cómo mejorar la autodefensa para que no te afecten ciertas actuaciones provocadas por una persona mal intencionada para conseguir manipularte o crear cierta influencia en ti, eso es básicamente la ingeniería social.

Un saludo, naivenom

Ingeniería Social (I) - Presentación

Ingeniería Social, es un conjunto de entradas que se irán desarrollando orientado a concienciar a las personas de lo peligroso que es el uso de estas técnicas tanto individualmente a una persona en su vida privada como colectivamente en una organización o infraestructura. Las entradas se irán desarrollando por las fases que desempeñan los expertos en la ingeniería social orientado siempre al hacking, ya que existen otras variantes como las ciencias políticas. Las entradas se publicarán en el blog Fwhibbit.

A lo largo de las entradas se vera el ciclo usado por cualquier ingeniero social para conseguir su objetivo. En la fase psicológica se explicará los métodos más comunes como pueden ser la manipulación, la elicitación, persuasión, "pretexting", impersonation, programación neurolinguística, influencia, lenguaje corporal, "emotional hijacking" etc..

En la fase de anonimato, se detallará las pautas usadas en cuanto a privacidad, anonimato y el uso de Tor (The Onion Router).

En la fase de inteligencia, el ingeniero social necesita recolectar toda la información posible acerca del objetivo por métodos pasivos como el OSINT ¿Qué fuentes son las más factibles? ¿Como organizar dicha información? ¿Qué técnicas psicológicas usar para la recolección? ¿Qué información es útil y cual no?

Otras técnicas que requieren más exposición física o lógica tales como dumpster diving, office snooping, baiting, bribing, shoulder surfing, tailgating etc... Quizás también realizar ataques relacionados con Hacking Web, puede ofrecernos información de una manera más activa y lógica, tales como SQLi y XSS.

En la fase de explotación orientada a la ingeniería social, se explicará las herramientas más usadas en el hacking y la metodología de ataque en un entorno remoto y local, tal como Social engineering Toolkit, Metasploit, Hacking WiFi, MITM attacks, NetHunter, Raspberry Pi, Rubber Ducky etc...

En muchas ocasiones es más sencillo, hackear o explotar vulnerabilidades en la persona que el acceso lógico en servidores o sistemas. Las personas en general por el exceso de confianza que tiene por naturaleza hacia los demás, es factible, y siempre con las habilidades sociales necesarias crear pánico, influencia, manipulación y con creatividad el atacante puede obtener la información del objetivo y conseguir el acceso remoto o físico a la infraestructura u organización empresarial. Un referente clásico es Kevin Mitnick.

El elemento humano es vulnerable y es necesario conocer estas habilidades para concienciarnos en el agujero de seguridad que ello supone y defendernos ante posibles ataques que genera nuestro entorno social.

Hay que aceptar que el elemento humano es vulnerable y existen muchas variables psicológicas y complejidades, que un sistema informático pueda presentar. Es decir, un sistema informático puede ser vulnerable pero actualmente gracias a los expertos en seguridad informática se corrigen esas vulnerabilidades, mientras que el elemento humano con las vulnerabilidades existentes, es complicado de corregirse dependiendo del nivel de concienciación de la sociedad o del personal de una organización.

Muchos ingenieros sociales, usan sus habilidades para obtener un beneficio económico o material. Todo el mundo usa la ingeniería social de un modo u otro, desde un niño a un ejecutivo para ganarse su ascenso. Gobiernos, multinacionales, pequeñas y medianas empresas todo en su conjunto esta implicado en la ingeniería social, es una ciencia. Los ciberdelincuentes también están incluidos en este conjunto.

Por ello una organización empresarial, ¿piensa realmente si es completamente segura ante este tipo de ataques? Mi respuesta es no. Existen muchas variables que son vulnerables tanto en los sistemas e infraestructura de red como en los empleados, y lo lamentable en estos casos es que no hay remedio hasta que sucede un acto malicioso por un "insider" sobornado, manipulado, elicitado por un experto ingeniero social. Los empleados, en definitiva el elemento humano, es el eslabón más débil en la organización.

Un atacante, valora que metodología de ataque es el más eficaz para un objetivo, quizás sea más fácil colocar una Raspberry Pi penetrando físicamente mediante "physical impersonation" en un par de horas, que dedicando 200 horas en desarrollar un exploit o malware en concreto para penetrar en los servidores de la empresa. Quizás como sale en la serie de Mr.Robot es más sencillo usar el exploit perfecto, la vulnerabilidad en el elemento humano.

La pregunta que os puede surgir es, si no existe ningún sistema o metodología de seguridad 100% seguro, entonces ¿Cabe la posibilidad de geolocalizar nuestra organización en algún lugar desconocido sin infraestructura de red, y con personal de seguridad altamente cualificada? No es útil, y menos se puede llevar a cabo. Según las iniciativas empresariales e ideas de negocio, uno de los pilares básicos es geolocalizar nuestra empresa en un entorno altamente urbanizado como la capital de un país con gran demanda y alto índice de consumismo. Una solución factible es la educación de la sociedad en materia de seguridad, en el uso controlado de las redes sociales, cursos ofertados de concienciación para empleados de empresas u organizaciones gubernamentales etc..

Un ejemplo de ataque de ingeniería social podría ser el siguiente:
14.00 P.M, Barcelona.

Juan se encuentra con María en un restaurante de La Rambla. Las apariencias que debe llevar Juan, siempre se considera importante dependiendo del objetivo a perseguir y el nivel adquisitivo, por tanto existen demasiadas variables que dependiendo de la víctima se necesite de una vestimenta u otra.

Ambos se encuentran en una romántica velada a la espera del objetivo marcado. Según la recolección de información, se espera una mujer a las 14.30 P.M, empleada en un banco muy popular.

Es muy típico el robo de bolsos en una mujer y requiere de habilidades sociales y disuasión para poder hacerse con el bolso. Si Juan y María, le dicen a la empleada del banco que le hagan una foto, una tercera persona del equipo (Raúl) podría en ese instante de tiempo en el cual la víctima manipula su smartphone “distraída” robar el bolso con ciertas habilidades y siempre controlando los sentimientos y la adrenalina que ello supone para ser lo más discreto posible.

Una vez alcanzado el objetivo, Juan y María se marchan a dar una vuelta por las calles de Barcelona, pero escuchan voces de histeria. María va hacía la víctima y le pregunta que le sucede. Le explica que le robaron el bolso y tenía todo, la tarjeta de crédito, dinero en efectivo, el DNI, una tarjeta NFC de control de acceso a su trabajo. Mientras María la consuela, le dice que debe llamar al banco para anular la tarjeta pero ese no era el objetivo principal.
Mediante ingeniería social consiguieron una tarjeta NFC muy fácil de clonar para conseguir el "physical impersonation" en las oficinas del banco.
Juan y Raúl en el mismo día consiguieron acceso físico en las oficinas del banco y usar Rubber Ducky
Como podéis imaginar, consiguieron el objetivo señalado, información confidencial e infectar los sistemas informáticos del banco.

Un saludo, Naivenom