Cinco (5) métodos de recopilación de información

Advertencia

Siempre recomendamos que cualquiera de las actividades descritas haya sido aprobada explícitamente por el (los) objetivo (s) dentro del alcance de una prueba de penetración autorizada y que lleve consigo una copia de una carta de autorización en todo momento.

Toda la información proporcionada en este sitio es solo para fines educativos. El sitio y los autores del sitio web no son responsables en ningún caso del uso indebido de la información.

Categoría: Seguridad de la información

Cinco (5) métodos de recopilación de información

by Juan Oliver Publicado el 13 de agosto de 2018

Hay una variedad de métodos físicos para la recopilación de información; algunos requieren muy pocos equipos y otros requieren equipos de alta tecnología para ejecutarlos adecuadamente. Algunos tienen en común es que no se pueden hacer desde una ubicación remota. Tienes que estar en el sitio y en persona. Esto significa pretender, influenciar y otros factores psicológicos que son típicamente necesarios para utilizar estos métodos con éxito. Ninguna fuente de información es el método líder para usar ni es probable que un solo método le proporcione suficientes datos para garantizar sus mejores posibilidades de éxito. Su mejor opción, y la ruta que tomarán muchos, es utilizar múltiples métodos para reunir información y luego sintetizar el vector de ataque apropiado para el trabajo a partir de esos datos.

Dumpster Diving

Figura 1. Técnica de recolección de información en la basura de la gente o empresas.

La técnica de Dumpster diving es simplemente el proceso de revisar los artículos que una persona u organización ha desechado para encontrar algo que pueda ser de valor para usted. La naturaleza devastadora de los artículos o la información que se encuentra puede ser cualquier cosa, desde registros médicos, hojas de vida, fotos personales y correos electrónicos, extractos bancarios, detalles de cuentas financieras, información sobre software, registros de soporte técnico y mucho más. Por supuesto, toda esta información se puede utilizar para aprovechar un ataque contra un objetivo. Al igual que con la mayoría de las formas de ingeniería social, "Trabajar de forma más inteligente, no más difícil" es un buen eslogan. Hacer horas de trabajo brutales-forzando una contraseña o un número de cuenta parece una tontería cuando puedes obtenerlo de una nota adhesiva no reutilizada que fue descartada en una bolsa de basura. Uno de los mejores recursos en inmersión de basureros en relación con el campo de la seguridad sigue siendo el libro de Johnny Long "No Tech Hacking". Este libro está lleno de información sorprendente sobre ingeniería social y hay excelentes imágenes de información de ejemplo que se pueden obtener de la basura sin siquiera tener que arrastrarse dentro de un contenedor de basura.

Legalidad

Un ejemplo ocurrió en Albuquerque, Nuevo México cuando se vio una pila de documentos que contenían información personal de las personas, incluidos los números de la seguridad social, en un contenedor fuera de un negocio de preparación de impuestos en Albuquerque. Tiraron sin cuidado en el contenedor de basura para que cualquiera lo viera o lo tomara mientras pasaban. En los Estados Unidos, es legal pasar y tomar cualquier cosa desechada en la basura; sin embargo, la advertencia de esto es que si un contenedor de basura está en propiedad privada (no en la esquina de la calle o en el pasillo público) entonces es probable que se considere entrar ilegalmente a la propiedad al ingresar en el contenedor de basura. Sin embargo, en Colombia, esto no se encuentra regulado. Pero le recomendamos que confirme las leyes periódicamente y siempre conserve esa carta de autorización durante las pruebas físicas de ingeniería social.

Pretexting

El pretexting es una forma de ingeniería social en la que un individuo miente para obtener datos privilegiados. Un pretexto es un motivo falso. Esta técnica a menudo implica una estafa donde el mentiroso pretende necesitar información para confirmar la identidad de la persona con la que está hablando. Después de establecer la confianza con el individuo objetivo, el mentiroso podría formular una serie de preguntas diseñadas para reunir identificadores individuales clave, como la confirmación del documento de identidad, el segundo apellido, el lugar y fecha de nacimiento u otros datos. Mientras que en Estados Unidos existe la Ley Gramm-Leach-Bliley (GLB), que prohibió específicamente el pretexting para obtener acceso a datos financieros en 1999, en Colombia no existe una norma que la contemple como tal. Sin embargo, en vista de que esta información se recopila para obtener un provecho ilícito este provecho se considera una estafa en los términos del articulo 246 del Código Penal. En 2006, en un caso de alto perfil, una firma contratada por la presidenta de Hewlett Packard, Patricia Dunn, usó pretextos para acceder a los registros telefónicos de la junta directiva de HP. Dunn contrató a la empresa para investigar a los miembros de la junta después de que la información privilegiada sobre los planes estratégicos a largo plazo de HP apareciera en News.com.

Tailgaiting

Figura 1. Pasar controles de acceso con ayuda

También se conoce como Piggybacking, esta es una manera de que una persona realmente obtenga acceso a un edificio seguro, incluso si tiene pases de tarjeta inteligente o datos biométricos. Normalmente, esas medidas de seguridad pueden evitar que el personal no autorizado ingrese a edificios, sistemas o redes. Desafortunadamente, las personas pueden ser demasiado serviciales y les permitirán a las personas ingresar a una puerta asegurada manteniéndola abierta porque el individuo parece estar todavía buscando su pase (que no estaba allí para empezar). Un 'empleado' corriendo para atrapar la puerta antes de que se cierre funciona igual de bien y permite que un ingeniero social acceda a un lugar que de otro modo sería inaccesible.

Ingeniería Social inversa

Una vez dentro del objetivo, un ingeniero social también puede plantar una puerta trasera o intentar acceder a las áreas autorizadas con información recibida anteriormente del teléfono, correos electrónicos o sitios web. La ingeniería social inversa es la práctica de haber accedido ya a la máquina o red de objetivos y haberla inutilizado; entonces el ingeniero social puede ofrecer "arreglarlo".

Shoulder Surfing

Un método sencillo de recopilación de información es simplemente mirar por encima del hombro de los objetivos para ver una gran cantidad de información, comúnmente llamada hombro de navegación. La información obtenida puede variar desde identificaciones de usuario, contraseñas, hasta datos confidenciales vistos en texto plano. Shoulder Surfing no tiene que significar intrusión en la ubicación del objetivo. También se puede hacer en cualquier lugar donde las personas abran su computadora para trabajar, como cafeterías, aeropuertos, restaurante/bar del hotel, o incluso una zona para sentarse al aire libre justo afuera de la oficina en un día agradable.

Compartir