jueves, 16 de junio de 2016

Ingeniería Social (IV) - Asumiendo roles, en distintos escenarios

Buenas hackers! Vuelvo con la cuarta entrada sobre ingeniería social. En la entrada anterior se explicaba el cómo obtener información a través de preguntas indirectas hacia el objetivo. 

Introducción 

En esta entrada se hablará como asumir uno o varios roles en los distintos escenarios que se puede encontrar un experto ingeniero social.
Para ello es necesario crear un escenario inventado para persuadir a la víctima divulgando información confidencial o realizando alguna acción como por ejemplo dar la contraseña de "root" de alguno de los "servers" de la organización, o dándole acceso a una planta de acceso restringido del edificio.
Esto es mucho más complejo que crear una simple mentira. La mentira puede llegar a convertirse en una nueva identidad, muy usado en la películas de espionaje. Tenemos:
  • Escenario: Donde se desarrollarán las operaciones. Puede ser físico o lógico. 
  • Identidad: Necesaria como parte de nuestro rol. Una nueva identidad garantiza anonimato, accesibilidad y viabilidad en los diferentes escenarios que el experto ingeniero social se pueda encontrar.
  • Rol: Esta ligado a lo anterior. Con un rol, tendrás una identidad y se actuará en un escenario acorde al rol elegido. Es usada para manipular u obtener información privilegiada de la víctima. En el ámbito de la ingeniería social es muy usada para hacerse pasar por un miembro de la organización empresarial "impersonation".

No sólo puedes asumir un rol, sino cuantos más roles se pueda asumir, más información podrá recabar en los diferentes escenarios de cada rol.
Esto requiere mucho tiempo de estudio, ya que el preparse dos roles implica tener varias identidades y especializarse en dos campos técnicos del rol, como puede ser la informática y las relaciones públicas. Por tanto la preparación del rol es importante para poder imitar a la perfección la nueva identidad. Por ejemplo, imitar y actuar igual en cuanto a los conocimientos se refiere de un técnico informático de una organización empresarial inspirando confianza y afabilidad. Esto de la afabilidad lo vimos en la entrada anterior, donde la unión de las dos temáticas proporciona que las personas se sientan cómodas dando información a su atacante sin sospecha en el escenario creado.

Para garantizar la identidad anónima, existen muchos métodos lógicos (a través de la red) como Tor o I2P, preservando la huella digital "intacta".  Y físicos con la creación o falsificación de pasaportes muy vistos en las películas de espionaje. 

Estudio dedicado del rol


Para que el experto ingeniero social, tenga éxito en su operación, es necesario una perfecta planificación y estudio sobre el rol que  va a desempeñar. Como se vio en la entrada anterior, muchas de las características previas a la operación son innatas, es decir no se pueden aprender desde cero, pero si perfeccionarlas. "El perfecto ingeniero social no se crea, sino se mejora". 
Para ello, el arduo perfeccionamiento de estas técnicas sociales y psicológicas requiere de mucho tiempo y confianza en si mismo. Dependiendo del rol empeñado, el ingeniero social actuará de la misma forma que lo haría un miembro de la organización o empleado externo a ella. El lenguaje corporal y verbal, toma gran protagonismo en este ámbito. Por ejemplo la forma de sentarse, de hablar, de moverse, la vestimenta etc...
La investigación de fuentes abiertas (OSINT) y otros métodos de obtención de información como (HUMINT) es vital para tener más éxito en la creación del rol. "Información es poder". Con toda esta información podremos realizar un esquema o mapa conceptual de las posibles dificultades que nos podemos encontrar en la aplicación del rol en el escenario. Se podría decir que aplicamos inteligencia a la creación del rol, que es muy distinto a la información y posterior análisis y creación de inteligencia obtenido con la aplicación del rol. 

Dependiendo de la zona geográfica, el acento y expresiones empleadas como parte de la conversación de forma espontánea puede llegar a influir negativamente si no se ha tomado en cuenta en el estudio del rol como práctica. Este estudio del acento o incluso dialectos es muy importante, ya que el escenario donde se desarrolle la acción puede verse envuelto con personas que hablen con ese acento y la conversación y todo el plan puede verse perjudicado y levantar sospechas si no se tiene en cuenta. Para ello la solución es como siempre, practicar con sesiones y convertirse en un perfecto actor. Si no eres natural es muy difícil que se pueda llevar a cabo estas sesiones con excelentes resultados. Por eso lo que antes se menciono, al ingeniero social se perfecciona no se crea, son perfectos actores. Si no se dispone de personas en la cual se pueda practicar estas sesiones, siempre se puede grabar la voz del contexto textual, y escucharla luego para realizar un análisis del resultado. Escuchar la radio o la televisión de la zona geográfica o ámbito adquisitivo en cuanto a las expresiones coloquiales que se usan, es también una solución para practicar.
Muchas veces entra en discusión sobre la simplicidad del rol a tomar. No tiene porque ser más efectivo si es simple el rol, sino el dominio de él.
Es importante un estudio técnico del rol a desempeñar para evitar que salga mal el plan. El tema técnico o especifico se refiere a dominar la informática si el rol es un sysadmin, o de derecho si el rol es ser un abogado...y muchas más disciplinas. Si se tiene especial interés en alguna de estas disciplinas, será un punto más a favor. La información para documentarse se puede encontrar en cursos, páginas web o libros.

Un buen ingeniero social que realiza un estudio minucioso de su rol sabe perfectamente enmascararse en su perfil haciendo creer a su víctima, inspirándole confianza por sus actitudes y acciones, y en definitiva su conocimiento técnico en la disciplina del rol elegida.


La presión inspira nerviosismo al ingeniero social. Para ello es necesario el perfeccionamiento de esta técnica haciéndose pasar el que usa este rol como instructor y el novato ingeniero social haciendo uso del "elicitation" mencionado en la entrada anterior.  Un ejemplo sería que el instructor haya conseguido acceso físico a una empresa, y este atento a su compañero para que este le pida el ID de empleado o el número de teléfono de cierta persona y este pueda valorar mediante las facciones corporales y verbales si esta nervioso.

El uso del teléfono móvil para realizar ataques de ingeniería social, es un hecho muy importante como parte del estudio del rol. No requiere presencia física en el lugar y se puede obtener gran cantidad de información valiosa. Digamos que es positivo, ya que al no tener contacto físico con la persona con la que forma parte en la conversación:
  • No puede analizar el lenguaje corporal y no saltar alertas de sospecha
  • No se expone ante medios de vigilancia de seguridad en la organización empresarial
Tiene una desventaja. Un perfecto "actor" o ingeniero social, si se vale de su encanto y su lenguaje corporal puede obtener más información de la víctima causándole afabilidad, empatía y confortabilidad. 
La complejidad en el estudio del rol se puede hacer patente dependiendo del escenario donde se ponga en practica. Cuanto más complejo sea el rol, más posibilidades de fallo en la operación. Este si es sencillo se conseguirá más facilidad de recuerdo. Un rol complejo viene definido en el estudio dedicado previo. La preparación es primordial.

Ejemplos de roles, tenemos muchos y dependiendo de la disciplina tenemos a expertos ingenieros sociales que se hacen pasar por altos ejecutivos, a un simple técnico de mantenimiento.
En el caso de un técnico solo nos vale vestir con un polo de la empresa y un portátil en muchas ocasiones con gran facilidad de acceso físico y sin supervisión. Para empezar nuestro rol basta con decir:
Atacante: "Soy el técnico informático de la empresa X" (Puesta en marcha del rol)
Víctima: "Claro, y ¿cuál es la tarea que va a realizar?" (Se hace patente y realidad el escenario)
Atacante: "Vengo a realizar el mantenimiento de los servidores" (Plan técnico del rol)
Víctima: "Muy bien, ¿me deja su tarjeta de empleado para verificarlo en la BBDD? "
Atacante: "Si, claro por supuesto" (La obtención de información previa, y falsificación de nuestra identidad)

Toda conversación que vaya a formar parte en nuestro plan, debe ser espontánea:
  • No puede influir el que se haya preparado el rol durante 2 semanas o más en nuestro comportamiento y se pierda credibilidad debido a expresiones frías y con poca naturalidad. 
  • Ciertas palabras tales como "eeee" o "ummm" en la conversación implica inseguridad y aparenta cierta desconfianza y poca empatía con la víctima en este caso. 
  • Saber identificar en la conversación, trozos de información de gran relevancia, para su posterior análisis y obtención de inteligencia.
  • No hay que ser muy serio, tener notas de humor de vez en cuando y desvelar una bonita sonrisa causa simpatia y afabilidad. 
  • Los tiempos de respuesta influyen mucho también.
La fase culmen del perfeccionamiento, y puesta en práctica de los dotes de un experto ingeniero social en la realidad, es de vital importancia. O lo que es lo mismo, ser un ingeniero social con experiencia. Para ello se puede poner en práctica con la familia, amigos, con desconocidos, con uno mismo etc...


Conclusión


La psicología al igual que la inteligencia en el ingeniero social es un aspecto importante, ya que la combinación de ambas garantiza que se pueda realizar el plan estudiado del rol con total éxito. Debe ser una persona extrovertida, y con dotes sociales para establecer conversación con personas totalmente desconocidas. 
Con esta entrada queda concluida el estudio de un rol y su puesta en marcha en un escenario especifico con una identidad. 
No nos hacemos resposables del mal uso de estas técnicas, si os gusta siempre se puede prácticar con amigos o familiares y siempre con buenas intenciones. 
Un saludo, Naivenom


No hay comentarios:

Publicar un comentario

Google Analytics