La recopilación de información no es tan difícil como solía ser hace unos años, cuando solo se obtenían detalles sobre un objetivo directamente del objetivo o preguntando por ahí. Internet, más específicamente el uso de las redes sociales, ha simplificado esta etapa con técnicas más nuevas y rápidas de recopilación de datos. En el proceso de recopilación de datos, no se dice que ningún dato sea irrelevante. Solo un poco de información, como la articulación favorita de un objetivo, podría ser suficiente para permitir que el ingeniero social tenga éxito en convencer al objetivo de actuar de cierta manera. Es importante que un ingeniero social sepa qué tipo de información buscar. Hay una sobrecarga de información y se puede recopilar mucha información irrelevante. También es bueno conocer las fuentes donde se puede encontrar este tipo de información. Tener información no es suficiente, es importante saber cómo usar la información recopilada para perfilar un objetivo y hacerlo más predecible

La recopilación de información se puede hacer en dos grandes categorías de métodos: métodos técnicos y no técnicos. Como su nombre indica, los métodos técnicos dependen de técnicas asistidas por computadora para recopilar información. Sin embargo, no hay garantías de que una herramienta o equipo electrónico en particular obtenga información suficiente sobre un objetivo. Por lo tanto, se puede utilizar una combinación de las siguientes herramientas y dispositivos para recopilar información sobre los objetivos. Los ingenieros sociales utilizarán múltiples herramientas/técnicas de recopilación de información y combinarán la información que obtienen para crear un perfil para sus objetivos.

Métodos técnicos de recopilación de información

Hay muchas herramientas que se están desarrollando hoy en día con el propósito de recopilar información durante ataques de ingeniería social. Podría decirse que la herramienta más exitosa para esto es una distribución de Linux llamada Kali. Contiene un conjunto de más de 300 herramientas diseñadas específicamente para recopilar información sobre un objetivo. De los 300, vamos a reducirlos a las dos herramientas más populares que se destacan de la lista en el sentido de que no recopilan los datos, sino que ayudan en el almacenamiento y la recuperación de los mismos. Estos son los siguientes:

La siguiente figura es una captura de pantalla del www.kali.org sitio web donde puede descargar Kali Linux y utilizar las siguientes herramientas:

 No se proporciona texto alternativo para esta imagen

BasKet

BasKet es un programa Linux gratuito y de código abierto que funciona más como una herramienta avanzada de almacenamiento de datos para ayudar a un ingeniero social en el proceso de recopilación de datos. Tiene la apariencia familiar de Bloc de notas, pero viene con muchas funcionalidades. Sirve como repositorio de información textual y gráfica que un ingeniero social recopila sobre un objetivo en particular. Puede parecer simple o incluso innecesario durante un ataque de ingeniería social, pero en realidad tiene un propósito que es difícil de replicar en procesadores de texto como Microsoft Word. BasKet utiliza un diseño similar a una pestaña para permitir que el ingeniero social coloque cada tipo de información sobre un objetivo de una manera ordenada que sea fácil de leer o recuperar. Por ejemplo, las imágenes pueden estar en una pestaña, la información de contacto en otra, la información de las redes sociales en una tercera y los detalles de la ubicación física en una separada. Un ingeniero social seguirá actualizando estas pestañas cada vez que encuentre más información. Al final del proceso, BasKet le permite al ingeniero social exportar esta información como una página HTML en la que comprime toda la información, haciéndola más portátil, accesible y compartible.

Dradis

Dradis(https://dradisframework.com/ce/) es una aplicación gratuita de código abierto para Linux, Windows y macOS que se utiliza para almacenar información. Tiene un aspecto más avanzado que tiene la apariencia de bloc de notas de la cesta. Dradis también es más avanzado en sus funcionalidades, ya que actúa como un repositorio centralizado y utiliza una interfaz de usuario basada en la web para permitir a los usuarios interactuar con él. En lugar de pestañas (como cesta), Dradis utiliza ramas que permiten al usuario agregar diferentes tipos de información juntos. Los Dradis pueden manejar grandes cantidades de datos que de otro modo serían problemáticos para BasKet. Por lo tanto, se usa comúnmente cuando hay mucha información que debe ser ordenada por el objetivo.

Habiendo terminado con las dos principales herramientas de almacenamiento de datos, ahora es el momento de ver las formas en que los ingenieros sociales recopilan la información. La siguiente es una discusión de estos:

Sitios web

Una de las colmenas que contiene información sobre los objetivos son los sitios web corporativos y personales. Los sitios web corporativos pueden contener información sobre su personal y clientes. Los sitios web personales, por otro lado, contienen información puramente sobre individuos. Con suficiente investigación, los sitios web pueden revelar mucha información. Los sitios web personales pueden indicar los compromisos de una persona en términos de trabajo, ubicación física, información de contacto y algunas palabras especiales que se pueden usar para crear perfiles de contraseñas.

Con respecto al último punto, se sabe que, en aras de la familiaridad, las personas tienden a incluir algunas frases o palabras que les son familiares, como la fecha de nacimiento, el nombre de la pareja, el nombre de la mascota o sus propios nombres. Los sitios web corporativos pueden proporcionar biografías de su personal, especialmente los de alto rango y su información de contacto de trabajo. Si desea dirigirse a la organización con un archivo adjunto de correo electrónico malicioso, enviarlo a direcciones de correo electrónico proporcionadas en un sitio web corporativo tiene una mayor probabilidad de entregar la carga útil directamente dentro de la organización.

Motores de búsqueda

Se dice que Internet nunca olvida. Si quieres saber algo, saber la forma correcta de preguntar puede conseguirte casi toda la información que deseas. Google, el motor de búsqueda dominante, es una herramienta clave para un ingeniero social que se utiliza para desenterrar información sobre objetivos en Internet. Repasaremos algunas de las frases de búsqueda que usan los ingenieros sociales para buscar información sobre objetivos usando Google:

  1. Para buscar la información de un objetivo dentro de un dominio específico, como un sitio corporativo, se puede usar la siguiente consulta:
Site: www.websitename.com "John Doe"

Si el sitio web contiene algo sobre John Doe, Google lo indexará en los resultados de búsqueda de la consulta.

  1. Para buscar la información de un objetivo en el título de cualquier sitio web indexado por Google, se utiliza la siguiente consulta
Intitle:John Doe

Es importante entender que el espaciado entre las dos palabras indica a Google que también busque títulos que tengan Juan y que vayan seguidos de texto que contenga la palabra Doe. Esta es una consulta muy útil, ya que capturará la información de un objetivo contenida en los títulos de varios sitios web. Esta consulta generará información de sitios corporativos a plataformas de redes sociales porque a menudo usarán el nombre de una persona como título en algunas páginas.

  1. Para buscar la información de un objetivo en la URL de cualquier sitio web, se puede proporcionar la siguiente consulta a Google:
Inurl:john doe

Es una práctica común en muchas organizaciones usar palabras en títulos web en URLs con fines de SEO. Esta consulta identifica el nombre de una persona a partir de URL indexadas por Google. Es importante tener en cuenta que la consulta buscará URLs de johnin y doe de una manera similar a la discutida anteriormente. Si un ingeniero social desea buscar todos los nombres del objetivo en la URL en lugar de uno en la URL y otro en el texto, se puede usar la siguiente consulta:

Allinurl:John Doe

La consulta restringirá los resultados a aquellos en los que la URL incluya el nombre John y Doe.

  1. En muchos más casos, un destino habrá solicitado trabajos utilizando bolsas de trabajo. Algunas bolsas de trabajo conservan el curriculum vitae del objetivo en sus sitios web. Además, algunas organizaciones conservan el curriculum vitae de sus solicitantes de empleo en sus sitios. Un curriculum vitae contiene detalles muy sensibles sobre una persona. Contiene el nombre real de la persona, el número de teléfono real, la dirección de correo electrónico real, los antecedentes educativos y el historial laboral. Tiene una gran cantidad de información que es muy útil para un ataque de ingeniería social. Para buscar los detalles privados de un objetivo, el ingeniero social puede usar la siguiente consulta:
"John Doe" intitle:"curriculum vitae" "phone" "address" "email"

Es una consulta muy poderosa que rastreará todo el Internet en busca de información sobre John Doe que tiene títulos con información como curriculum vitae, número de teléfono, correo electrónico y dirección postal.

  1. La siguiente consulta se utiliza para recopilar información, no sobre una persona en particular, sino sobre una organización. Se dirige a la divulgación confidencial de información dentro de la organización que puede publicarse en sitios web:
intitle:"not for distribution" "confidential" site:websitename.com

La consulta buscará cualquier cosa publicada con el título que no sea para distribución o confidencial en un sitio web. Esta búsqueda puede desenterrar información de la que algunos empleados de la organización podrían ni siquiera estar al tanto. Es una consulta muy útil en un ataque de ingeniería social cuando un ingeniero social quiere aparecer informado sobre asuntos internos de una organización a un determinado objetivo.

  1. Uno de los pretextos comúnmente utilizados para entrar en locales vigilados es el de una persona de reparación de TI o redes contactada con urgencia por la empresa. Los guardias estarán listos para dejar entrar a tal persona y podrán llevar a cabo un ataque en medio de otros empleados sin levantar alarmas. Para poder tomar tal pretexto, un ingeniero social necesita estar bien informado sobre la red interna o la infraestructura de la organización. El siguiente es un grupo de consultas de búsqueda que podrían proporcionar esta información a un ingeniero social:
Intitle:"Network Vulnerability Assessment Report"Intitle:"Host Vulnerability summary report"

Esta información también se puede usar en ciertas partes del ataque, ya que también revela debilidades que se pueden explotar en la red del objetivo o en los hosts conectados a la red.

  1. Para buscar contraseñas utilizadas por los usuarios en una red organizacional, una copia de seguridad de estas contraseñas podría ser un lugar útil para comenzar a buscar. Como tal, la siguiente consulta puede ser útil:
Site:websitename.com filetype:SQL ("password values" || "passwd" || "old passwords" || "passwords" "user password")

Esta consulta busca archivos SQL almacenados en el dominio de un sitio web que tengan los valores de contraseña de nombre, contraseña, contraseñas antiguas, contraseñas o contraseña de usuario. Estos archivos, aunque no tengan las contraseñas actuales del usuario, pueden dar suficiente información a un atacante para perfilar las contraseñas actuales de los usuarios. Por ejemplo, existe una alta probabilidad de que la contraseña de correo electrónico antigua de un empleado cambie a una contraseña nueva.

Hay muchas otras consultas de búsqueda de datos que se pueden usar en Google y otros motores de búsqueda. Los que se discuten son los más utilizados. Una advertencia es que Internet nunca se olvida e incluso cuando se elimina cierta información, hay otros sitios que almacenan archivos en caché en el sitio web. Por lo tanto, es mejor que las organizaciones no publiquen su información confidencial.

Pipl

Otra herramienta de uso común para recopilar información sobre un objetivo es Pipl (https://pipl.com). Pipl archiva información sobre personas y la ofrece de forma gratuita a quien desee acceder a ella. Almacena información como los nombres reales de una persona, la dirección de correo electrónico, el número de teléfono, la dirección física y las cuentas de redes sociales. Además de esto, ofrece una opción de pago para recopilar información sobre los familiares de una persona, comenzando por sus hermanos y padres. Es una mina de oro para los ingenieros sociales, ya que con muy poco esfuerzo, pueden acceder a un montón de información sobre sus objetivos. Tomemos un ejemplo de la vida real en lugar del John Doe de uso común, que puede tener muchos resultados. Usemos uno poco común como Erdal Ozkaya:

No se proporciona texto alternativo para esta imagen

El sitio indexa una serie de resultados para los nombres que hemos buscado, exploremos el primer resultado. Es de Erdal Ozkaya, un hombre de 40 años de Sydney, Australia. El sitio nos ofrece enlaces patrocinados para encontrar registros vitales, detalles de contacto e informes de nombres de usuario. Vamos a seguir adelante y hacer clic en el nombre y ver lo que el sitio tiene sobre Erdal Ozkaya que está disponible de forma gratuita:

No se proporciona texto alternativo para esta imagen

El sitio puede obtener más información sobre este nombre. Ahora sabemos que él (en este caso yo) está trabajando como Arquitecto de Ciberseguridad en Microsoft, tiene un doctorado en ciberseguridad y una maestría en seguridad de la Universidad Charles Sturt y está asociado o relacionado con algunas personas, que borré por razones de privacidad, que podrían ser sus padres y hermanos. De un total desconocido, ahora sabemos mucho sobre él y tenemos información que podemos usar para recopilar más sobre él.

Desde aquí, es fácil buscar más información utilizando las consultas especiales de Google que discutimos anteriormente. Puede seguir adelante para encontrar su CV, que contendrá más información de contacto.

En nuestro ejemplo, hemos explorado algunas de las capacidades de Pipl cuando se trata de buscar información sobre objetivos. Con estos sitios disponibles para cualquiera, está claro que la privacidad no es más que una ilusión. Sitios como estos obtienen su información de plataformas de redes sociales, sitios web corporativos, datos vendidos por terceros, datos liberados por piratas informáticos, datos robados de otros sitios web e incluso datos en poder de agencias gubernamentales. Este sitio en particular es capaz de obtener registros criminales sobre un objetivo, lo que significa que tiene acceso a algunos registros de delitos graves. Lo que es preocupante es que estos sitios no son ilegales y seguirán agregando datos sobre las personas durante mucho tiempo. Son buenas noticias para un ingeniero social, pero malas noticias para cualquier otra persona que pueda ser un objetivo. No se puede obligar a los propietarios del sitio a eliminar los datos que contienen y, por lo tanto, una vez que sus datos lleguen a ellos, no hay forma de que pueda ocultarlos. El sitio solo puede fortalecerse con más información.

Whois.net

Aún en los sitios que archivan información, Whois.net es otro que sirve casi para el mismo propósito que Pipl. Whois.net enumera información como las direcciones de correo electrónico, los números de teléfono y las direcciones IP de los destinos sobre los que se busca información. Whois.net también tiene acceso a información sobre dominios. Si un objetivo tiene un sitio web personal, Whois.net puede encontrar detalles precisos sobre el registrante y el registrador del nombre de dominio, su fecha de registro y caducidad, y la información de contacto del propietario del sitio. Al igual que Pipl, la información obtenida aquí podría usarse para obtener más información sobre un objetivo y, por lo tanto, ser capaz de lanzar un ataque exitoso.

Redes sociales

Miles de millones de personas han adoptado las redes sociales hasta ahora. Usando estas plataformas, los ingenieros sociales pueden encontrar un montón de información sobre la mayoría de sus objetivos. Instagram Facebook, Twitter, Instagram o LinkedIn son la mayoría de los objetivos. La belleza de las redes sociales es que anima a los usuarios a compartir detalles personales de sus vidas en Internet. Los usuarios de las redes sociales son convenientemente descuidados y terminan dando incluso piezas sensibles de información a todo el mundo sin pensar en las consecuencias. De estas declaraciones se desprende claramente que las redes sociales no hacen más que agravar el problema. Está creando un rico conjunto de información desde donde los ingenieros sociales pueden buscar detalles sobre los objetivos sin despertar sospechas.

La siguiente es una captura de pantalla de Facebook, que da mucha información públicamente:

 No se proporciona texto alternativo para esta imagen

Un par de minutos después de buscar en varias plataformas de redes sociales, un ingeniero social puede recopilar los pasatiempos, el lugar de trabajo, los gustos y disgustos del objetivo, los familiares y más información privada. Los usuarios de las redes sociales están listos para presumir de que se van de vacaciones, trabajan en ciertos lugares, hacen ciertos trabajos en sus lugares de trabajo, sus autos nuevos y las escuelas a las que llevan a sus hijos. No tienen miedo de mostrar sus insignias de trabajo en estos sitios de redes sociales, insignias que los ingenieros sociales podrían duplicar y usar para entrar en organizaciones. Los usuarios de redes sociales también se harán amigos o seguirán a extraños siempre que coincidan con aficiones e intereses. Es un mundo loco que pone a los objetivos potenciales en desventaja, ya que estos sitios están diseñados para que la gente se abra a extraños en Internet. La información que tradicionalmente se almacenaba para conversaciones cara a cara ahora se está difundiendo para que el mundo la vea. Lo malo es que tanto personas bien motivadas como personas mal motivadas están accediendo a él.

Esta información podría ser utilizada por un ingeniero social para perfilar un objetivo. Esta información puede ser útil para convencer a un objetivo de que realice algunas acciones o divulgue alguna información. Tomemos un ejemplo hipotético de que somos ingenieros sociales y queremos obtener diseños y especificaciones de alto secreto de un contratista militar estadounidense para que podamos aprender a comprometer su equipo. Podemos comenzar entrando en una plataforma de redes sociales como LinkedIn y buscando el nombre de esa empresa. Si la empresa está en LinkedIn, se nos mostrará el perfil de la empresa y una lista de personas que han enumerado en LinkedIn que trabajan allí. A continuación, identificamos a un empleado que trabaja en el departamento de investigación y diseño o incluso en el departamento de marketing. Luego nos concentramos en obtener información sobre este objetivo que pueda ayudarnos a colocarlos en una posición en la que puedan divulgar la información secreta que estamos buscando. Comenzamos buscando en el perfil de Facebook del empleado para encontrar aficiones, intereses y otros datos personales. Procedemos a Instagram y echamos un vistazo al tipo de imágenes que publica el empleado. Comenzamos a geolocalizar al objetivo, asociando la información que obtenemos en todas las cuentas de redes sociales a su nombre. Llegamos a un punto en el que descubrimos su dirección física y los lugares en los que le gusta pasar tiempo. Nos acercamos a él en ese momento y usamos una de las tácticas aprendidas anteriormente en los capítulos de trucos mentales y persuasión para que inserte una unidad USB cargada de malware en su computadora. A partir de ahí, el malware comenzará a recopilar para nosotros la información que queremos. Es tan fácil como eso.

La siguiente es información pública sobre mí en LinkedIn:

No se proporciona texto alternativo para esta imagen

Las organizaciones están siendo atacadas de manera similar. A principios de 2017, hackers rusos que colocaron malware en publicaciones y mensajes de redes sociales atacaron a 10.000 empleados estadounidenses utilizando redes sociales. A mediados de 2017, se creó un personaje falso de una niña con el nombre de Mia Ash y se usó para atacar a una empresa de redes al dirigirse a un empleado masculino con amplios derechos en la organización. El ataque se frustró solo porque la organización tenía fuertes controles para protegerse del malware. El empleado ya se había enamorado de la estafa que se había lanzado usando la cuenta falsa de Facebook de la chica.

En agosto de 2016, se descubrió que había un fraude financiero a gran escala dirigido a clientes que habían seguido a cierto banco en las redes sociales. Se cree que los atacantes pudieron tomar el control de las cuentas de redes sociales del banco y enviar ofertas fraudulentas a los seguidores que solo terminaron perdiendo dinero. Hay muchos otros ataques de ingeniería social mediados por las redes sociales que han ocurrido. Todo lo que tiene la culpa es la rápida disponibilidad de información privada en las redes sociales.

Los 10 Peores Ciberataques en Redes Sociales, por S. Wolfe, Infosecurity Magazine, 2017 disponible en https://www.infosecurity-magazine.com/blogs/top-10-worst-social-media-cyber/. .

 No se proporciona texto alternativo para esta imagen

Este artículo ha sido tomado de mi libro Learn Social Engineering. Para obtener más información sobre Ingeniería Social, puede leer mi galardonado Libro Learn Social Engineering

Puede obtenerlo a través de

Amazon: https://www.amazon.com/Learn-Social-Engineering-internationally-renowned-ebook/dp/B079HYPC27

Packt: https://www.packtpub.com/networking-and-servers/learn-social-engineering

Google: https://play.google.com/store/books/details/Erdal_Ozkaya_Learn_Social_Engineering?id=e_RZDwAAQBAJ

O’Reilly: https://www.oreilly.com/library/view/learn-social-engineering/9781788837927/

También puede obtener mis otros libros:) SI cree que no necesita más conocimientos en Ingeniería Social

 No se proporciona texto alternativo para esta imagen