Mostrando entradas con la etiqueta Ingeniería Social. Mostrar todas las entradas
Mostrando entradas con la etiqueta Ingeniería Social. Mostrar todas las entradas

SPToolKit - Simple Kit de herramientas de Phishing

SPTool Kit es un completo conjunto de herramientas de auto-contenido de phishing de correo electrónico que se puede instalar y configurar en menos de 15 minutos y permite sensibilizar al “eslabón más débil” sobre los peligros de este tipo de ataques y los efectos negativos que pueden causar en las compañías. 



Para la instalación debe tener servicios como apache, php, mysql, donde pueda subir la herramienta de forma sencilla y dirigida para su instalación. A continuación les muestro algunos pasos de instalación y el frame donde están las opciones para realizar las pruebas. 

Se debe lanzar el paquete y mostrara los primeros pasos para la instalación 


Se aceptan los términos de instalación y herramientas (bajo su responsabilidad) 


Posterior a ello se debe hacer algunas comprobaciones antes de empezar y ajustarlas si no están bien configuradas. 



Posterior a la corrección permitirá la configuracion la base de datos y el las credenciales de administración. 


Para finalmente tener acceso al panel de administración que le permitirá realizar Phishing de forma sencilla en la compañía y medir gráficamente su comportamiento. 


Después de esto estará listo para crear las campañas de phishing en las compañía como se muestra a continuación. 





El vídeo oficial demostrativo de la herramienta de sensibilización en phishing se los dejo a continuación. 


Publicado por T3zlh4
Etiquetas: , , ,

La nueva carrera de la facultad: “Ingeniería Social”

Hace un tiempo veía un mensaje muy sugestivo enviado a los integrantes de una compañía Bogotana y podía observar como la habilidad para convencer a las personas o manipularlas cada vez es más común, en algunos casos explicar los conceptos de la Ingeniería Social es muy sencillo en nuestro país dado que existe la cultura del “Enredador”. Sin embargo, si desean conocer más de la “Ingeniería social” se pueden remitir al emblemático Kevin Mitnick, conocido como el ingeniero social más importante de la historia y autor de “The Art of Intrusion” y de “The Art of Decepcion”.
Principios de la Ing. Social

Los lineamientos principales en la formación de ingenieros sociales se remiten a los siguientes, cuyo fin es obtener datos sensibles para perpetrar un posible ataque:
  • Todos queremos ayudar: Todo ser humano, por más perverso que sea, tiene un punto de sensibilidad hacia el otro, el secreto está en encontrar ese punto.
  • El primer movimiento es siempre de confianza hacia el otro: Este pilar es básico de la naturaleza humana, solo un pequeño gesto es suficiente para establecer el Macro-Perfil del otro y conocer si la otra persona es apolítica, apasionada, tecnológica, etc.
  • No nos gusta decir NO: Porque nos da vergüenza, o porque resulta incomodo decir no.
  • A todos nos gusta que nos alaguen: Muchas veces la mejor forma de obtener algo de alguien es a través de la adulación de sus virtudes, la cual es una excelente forma de encontrar cosas de las victimas desprotegidas psicológicamente.


Estos son considerados los pilares fundaménteles pero no únicos para ser un muy buen ingeniero social, entre otros también se encuentran:
  • Interésese seriamente por la otra persona.
  • Sonríale constantemente.
  • Para cualquier persona, su nombre es el sonido más agradable e cualquier idioma.
  • Haga que los demás hablen de sí mismos.
  • Hable pensando en lo que le interesa a los demás.
  • Haga que a otra persona se sienta importante.
Sin embargo existen muchas más técnicas de manipulación y marketing que le ayudaran a perfeccionar sus carrera de ingeniero social y queda a juicio de cada uno aceptar o no los anteriores principios, ahora esto le puede servir hasta para conquistar a una chica!. Ejemplo de una técnica manipulación para obtener información en donde la tarea puntual es identificar los principios anteriores.


Publicado por T3zlh4
Etiquetas: ,

Los Psicólogos VS La teoría de Kevin Mitnick y ‘The Art of Deception’

Este interesante articulo fue escrito hace un tiempo por Andrés Eduardo Alba para ser publicado en una revista de seguridad informática, Andres es consultor especializado en seguridad informática, especialista en ingeniería social y persuasión. Psicólogo de la Universidad de la Sabana. Actualmente trabaja en el desarrollo de soluciones contra la ingeniería social y es autor de tecnología de defensa contra ataques de ingeniería social patentada en los Estados Unidos de América.

El siguiente articulo presenta la posición de un Psicólogo en contra de la llamada Ingeniería Social de Kevin Mitnick y sus profundos vacíos desde el punto vista profesional de esta rama, al llamar "planteamiento absolutamente inútil", no siendo mas, los dejo con el resumen y posterior articulo sobre este apasionante tema y de antemano gracias a Andrés Eduardo Alba por su aporte.

RESUMEN

Desde que el conocido hacker Kevin Mitnick publicó su libro ‘The Art of Deception’, dicho texto se ha utilizado por ingenieros para la educación del usuario, como solución al problema de la ingeniería social. Desde hace mucho tiempo, quienes trabajan en psicología en problemas relacionados, afirman que la educación, tal y como está planteada por este autor, es absolutamente inútil, e incluso nociva. Sorprendentemente, ningún psicólogo experto en el campo de la persuasión se ha ocupado de refutar este abordaje tradicional y deficiente. Este artículo pretende demostrar de una manera científica por qué esto es así, y formular la cuestión de manera coherente.  

Palabras Claves--. Hackers, ingeniería social, persuasión, influencia social.     

I.  Introducción

En su libro “The Art of Deception”, el famoso hacker Kevin Mitnick nos plantea una metodología para defendernos de los ataques de ingeniería social. La palabra clave de esta metodología es “educar”, y a lo largo de su libro lo hace de la siguiente manera: nos introduce al tema, luego nos presenta un caso con una técnica de ingeniería social a modo de ejemplo, nos aclara el vocabulario utilizado en el caso, luego lo analiza y nos explica como aplicó la técnica, y finalmente nos hace unos comentarios que complementan sus explicaciones; este método funciona asumiendo que la solución al problema es  “dictar clases” sobre ingeniería social, explicando con argumentos válidos el problema, y dando ejemplos. Esto ha producido que todas las personas o instituciones que quieren defenderse de la ingeniería social, hayan adoptado una estrategia de enseñanza intelectual del problema.

La enseñanza intelectual, tiene grandes limitaciones a la hora de proteger contra un ataque que utiliza técnicas de persuasión. Hay ataques que son tan conocidos o emplean estas técnicas de manera tan deficiente, que la enseñanza intelectual nos puede proteger contra ellos, pero este tipo de ataques no son los que realizan los hackers más peligrosos, los cuales conocen muy bien las vulnerabilidades psicológicas de las personas y emplean estrategias de persuasión y engaño para manipularlas y obtener lo que quieren; de hecho, los ataques más nocivos se hacen de esta manera y es por esto que la educación enseñada por Mitnick es inútil en las situaciones más críticas.

II.  Casos en los que las Personas son Vulnerables a la Manipulación

Las personas son más vulnerables a la manipulación de lo que creen, y en estos casos, aún cuando estas conocen y entienden las consecuencias negativas de sus acciones, siguen comportándose de forma nociva. Es el caso por ejemplo de las adicciones, las que han sido combatidas por campañas educativas con resultados positivos mínimos. En este caso las personas pueden conocer y entender perfectamente las razones por las cuáles es destructivo lo que hacen, y aún así, seguir con su conducta. Tomemos por ejemplo el caso del cigarrillo; es muy conocido por todos que el fumador empieza su conducta por influencia de publicidad de las tabacaleras o de sus pares, amigos o familiares, y esta influencia es efectiva sin importar las campañas educativas de prevención a las que esta haya atendido. En otros casos la manipulación es más clara, como en el caso de las relaciones de pareja destructivas o las adicciones que no implican sustancias, como las relacionadas a  los videojuegos o a las compras. 

III.  Las Vulnerabilidades de los Usuarios.

En el caso de la ingeniería social, los hackers ejercen cierta presión psicológica sobre sus víctimas haciendo uso de lo que en psicología se conoce como heurísticas. Para entender que son y como funcionan las heurísticas debemos analizar el experimento que hizo el reconocido etólogo, Dr. Michael Wilson Fox. En este experimento descubrió que las madres pavo, suelen tener comportamientos maternales muy protectores con sus crías, ya que son muy agresivas ante cualquier depredador que las amenace, especialmente ante sus enemigos naturales los hurones. El propósito de Fox era averiguar si las pavas pueden ser engañadas fácilmente, pues estas madres reconocen a sus crías por la forma característica como pían. Por lo tanto creó un hurón de peluche el cuál las pavas atacaban con solo verlo, pero al incorporarle una grabadora con el sonido de pío de los polluelos, ellas lo adoptaban como a su hijo, cuidándolo, y alimentándolo. La explicación de esto, es que las madres pavo están programadas para reaccionar de manera maternal al escuchar el pío de las crías, esta programación es lo que se llama un patrón de acción fijo (PAF). Esto es muy importante entenderlo, pues en los seres humanos, las heurísticas se comportan como los patrones de acción fijo en los animales.

Muchas personas dirían que los seres humanos son más complejos que los pavos o que cualquier animal y que por eso estas cosas no se encuentran en los humanos cuyo comportamiento siempre obedece a su voluntad racional, pero la psicología experimental ha encontrado muchos ejemplos que ponen en duda esta afirmación, descubriendo las heurísticas como resultado. Tomemos uno de los ejemplos más clásicos, los experimentos de obediencia de Stanley Milgram. Este psicólogo quiso resolver el enigma de porqué el pueblo alemán había accedido a matar a tantos judíos en la segunda guerra. Ideó un experimento donde las personas debían enseñar una tarea de memoria a un sujeto; si el sujeto no recordaba bien lo enseñado, debía castigársele con una descarga eléctrica y aumentar el voltaje para la siguiente ocasión que se equivocara. Sin embargo el sujeto al que se le enseñaba era un actor y las descargas eran ficticias, pero se les hacía creer a los profesores que le enseñaban, que estas eran muy reales. El actor no respondía bien a las preguntas de memoria por que el objetivo  real del experimento era encontrar hasta donde las personas normales le harían caso a una autoridad, en este caso al científico que dirigía el experimento, por lo que este siempre le ordenaba al profesor seguir y aumentar la fuerza de las descargas sin importar la reacción del alumno al que se le estaba enseñando.

Antes del experimento, Milgram le preguntó a varios grupos de personas (entre ellos estudiantes de educación, profesionales, psiquiatras entre otros), ¿que esperaban que pasara en el experimento? y ¿cuándo creían que los profesores pararían de administrar descargas correctivas?  Según ellos el 100% de las personas pararían antes de castigar con descargas muy fuertes al alumno que se equivocara, y solo un 1% de personas mentalmente enfermas o psicópatas administrarían descargas hasta matar a los estudiantes. En la práctica casi todas las personas normales aumentaron el castigo hasta lo máximo, aún si creían que las descargas eran mortales. De hecho cuando el actor se equivocaba una y otra vez, llegaba el punto en el que empezaba a gritar que le dolía, y luego de varios castigos más, gritaba diciendo que tenía problemas cardiacos; después de muchos castigos dejaba de gritar como si estuviera inconsciente y los profesores nunca paraban de administrarle descargas porque era lo que el científico les ordenaba. Este experimento se ha repetido varias veces en varios países y con varios tipos de personas, hombres y mujeres de distintas carreras y edades en rol de profesor, obteniendo los mismos resultados. 

IV.  Aplicación a la Ingeniería Social

Podemos concluir que los seres humanos tienen heurísticas que pueden desactivar el análisis intelectual e incluso moral. Estas funcionan como los PAF y se activan ante cierta característica o circunstancia, en el caso de los experimentos de Milgram, ante la autoridad del científico jefe del experimento, y activan una programación específica, en este caso la obediencia. Otra característica de estas es que desencadenan emociones, es por esta razón que las heurísticas pueden bloquear el pensamiento racional y hacer que la persona se comporte de manera predecible. Un ejemplo aplicado a la ingeniería social sería el siguiente: un hacker suplanta a un subalterno de un gerente de una empresa,  se contacta con una persona de desarrollo de productos, le dice que el gerente necesita con urgencia el nuevo prototipo que la empresa acabó de desarrollar, y le pide que lo envíe a una dirección que el mismo le da. Si su historia es convincente, el hacker habrá activado una heurística en la mente de la persona de desarrollo: hay que obedecer la autoridad; y le habrá causado una emoción que bloquea su pensamiento racional: miedo al castigo del gerente. De hecho, Rodolfo Llinas nos explica en su libro “El cerebro y el mito del Yo” que las emociones son un tipo de PAF en los seres humanos, de ahí su poder sobre el comportamiento.

No siempre las heurísticas nos hacen hacer cosas equivocadas, de hecho existen por una buena razón, por ejemplo cuando no hay tiempo para pensar mucho, o cuando no se tiene información suficiente, el pensamiento heurístico funciona muy bien. Cuando un médico le ordena a su paciente que se tome una pastilla para estar mejor, el paciente obedece a la autoridad ya que esta forma de actuar le da la solución más eficiente, por que no tiene que estudiar medicina a profundidad para curarse. Las emociones que acompañan esta heurística tampoco son nocivas, ya que el miedo a las consecuencias de desobedecer al médico ayuda a garantizar que haga lo correcto.

Pero un hacker que conozca bien las heurísticas y sepa como aplicarlas convincentemente, bloqueará el pensamiento racional de cualquier persona, y todo conocimiento intelectual y educación que haya adquirido siguiendo el método de protección de Kevin Mitnick, será inútil, y la dejará vulnerable a la manipulación. 

v. Conclusiones 

Este artículo es una breve explicación del tema de pensamiento heurístico y del por qué las soluciones que se aplican en casi todas partes contra la ingeniería social que no lo toman en cuenta, son inservibles contra hackers experimentados y muy hábiles. No solo son inútiles, sino que pueden crear una falsa seguridad que hace que las personas y las instituciones sean aún más vulnerables a los ataques de este tipo        

Publicado por T3zlh4
Etiquetas: , , , , , , ,

FBPwn – Facebook Social Engineering Framework

FBPWN es una plataforma basada en Java de para realizar ingeniería social a Facebook y sacar toda la información necesaria de un usuario, esta herramienta se puede utilizar para intentar descargar o atacar cuentas de usuario en Facebook directamente desde un Framework este puede realizar lo siguiente:
·         Volcar lista de amigos.
·         Agregar todos los amigos de la víctima.
·         Volcar todas las imágenes del álbumes de usuarios.
·         Volcado de la información del perfil.
·         Volcado de Fotos de perfil (Imágenes de perfil).
·         Comprobar solicitud de amigos.
·         Volcado los datos del muro de la víctima.
·         Clon de los perfiles.
  
Para poder realizar el volcado de datos agregue un usuario valido con su nombre y contraseña.
Este se autenticara y le permitirá agregar a un usuario víctima y realizar todos lo que se muestra en la imagen siguiente y descrito anteriormente.

Toda la información se almacena localmente por lo que incluso si la víctima desactiva su cuenta el atacante. Yo recomendaría esta herramienta como un material de sensibilización para sus amigos y nivel corporativo, para entender los riesgos de compartir información en línea.

Descargue el vídeo tutorial de FBPwn
https://rapidshare.com/files/507532677/FBPwn-Video-Tutorial.ogv


DESCARGAR FBPWN

Publicado por T3zlh4
Etiquetas: , , ,

Hackean Facebook dentro de Facebook


Esta es como muchas otras una técnica de Ingeniería social y se trata de un engaño para los usuarios de Facebook, en dónde una página que simula ofrecer un servicio para verificar que tan segura es su clave, pero que además de la misma, también solicita la dirección del correo electrónico y el nombre.  Entonces, para poder conocer el nivel de complejidad de la contraseña utilizada, una posible víctima de este engaño debe ingresar toda la información necesaria para iniciar sesión en Facebook.
La página se llama “Facebook Checker” y tiene un aspecto similar al de la siguiente imagen, con lo que logra que un usuario desprevenido crea que se trata de un servicio oficial y entregue así su información al atacante:



De esta manera el atacante no sólo obtiene las credenciales de acceso del usuario, sino que además una dirección de correo válida, a la que podría enviar mensajes de spam u otro tipo de amenazas. Para aquellos usuarios que ingresen su información en el sitio y pasen por alto las medidas de seguridad, se les recomienda cambiar la contraseña de Facebook de manera urgente. En realidad los datos no están siendo verificados, son reenviados a un sitio externo en dónde se almacenan la información de los usuarios.

Publicado por T3zlh4
Etiquetas: , ,
Suscribirse a: Entradas (Atom)