El Art de l'Enginyeria social y com hackejar humans.
Sona impactant i el titular és bastant agressiu, però ... no per això menys cert.
És possible hackejar humans? hackejar una persona?
No, no estem parlant de Hackear els vostres comptes o el vostre ordinador mitjançant la implantació de codis complexos. Estem parlant de hackejar su manera de pensar, piratejar el cap, hackejar un ésser humà.
Bé, si no ho fos no estaria escrivint això pel que donem per contestada la pregunta i anem a l'gra. A continuació vas a aprendre uns quants mètodes que et van a ajudar a protegir-te de l'Enginyeria Social, O bé implementar-la per fer un mal ús. Depenent de en què bàndol siguis.
Anem a aclarir un parell de punts. És cert que hi ha moltes solucions de seguretat actualment, antivirus, anti-malware, bloquejadors i altres que ens ajudaran a navegar amb una mica de seguretat per la xarxa, repeteixo "alguna cosa."
Ara deixem de ser infantils per un moment i cridem a les coses pel seu nom.
La línia que separa un hacker o un estafador experimentat de les teves credencials és francament petita i per molts mètodes de seguretat que implantis l'únic que et pot protegir ets tu.
De poc et servirà un antivirus si et estafen amb Enginyeria Social.
Ανεβάστε την εμπειρία σας στο παιχνίδι στο επόμενο επίπεδο με αυτά τα κορυφαία online καζίνο. Εδώ θα βρείτε τα καλύτερα αδειοδοτημενα καζινο ελλαδα. απολαύστε μια μεγάλη ποικιλία παιχνιδιών, απαράμιλλη ασφάλεια και γενναιόδωρα μπόνους – δεν εα.
Enginyeria social per atacar empreses.
En cas de voler atacar empreses, un hacker estudiaria tant l'empresa com les persones dins d'elles per poder fer una investigació a fons que els faciliti informació per dur a terme el seu pla.
Un atac d'aquesta magnitud pot trigar força temps per portar-se a terme i mai es demanarà tota la informació a la vegada, és més aviat un recull pas a pas. Això podria fer-se amb diferents mètodes, mitjançant trucades telefòniques, correus electrònics, queixes, problemes tècnics o etc ...
Un hacker pot presentar-se com un curiós o un interessat a l'empresa, pot fer-se passar per una altra persona amb una simple suplantació d'identitat o pot intentar tirar a cegues per la safata d'entrada de correu. Aquest pot fingir que vol treballar amb tu per aconseguir informació sobre els seus punts dinterès i després llançar un atac personalitzat.
Com aconseguir dades de contacte.
És molt fàcil aconseguir dades de contacte d'una empresa si aquests no són mostrats a la seva pàgina web de bones a primeres.
Trobar Correus electrònics de webs.
Amb Hunter.io tindràs accés a les adreces de correu electrònic que tinguin relació amb l'empresa (Mitjançant un domini web) i aquí trobar a la baula més feble o el departament de l'empresa pel qual li interessi més accedir-hi.
Trobar números de telèfon
Els telèfons tampoc són difícils de trobar, suposant que la pàgina web no ofereixi el número de telèfon de la seva pròpia mà, un dels mètodes és forçar google a que ens ho digui amb l'ús de les cometes ( "")
Això farà que google forci la recerca en totes les pàgines web, inclòs facebook. Li donarà els resultats de qualsevol lloc on es parli de el telèfon d'aquesta empresa.
A poc vaig a dir sobre això, tenim facebook, instagram, Linkedin ... cal a destacar que si l'empresa disposa de Linkedin poden trobar la persona clau per la qual intentaran exercir la enginyeria social.
Enginyeria social per a usuaris.
Bé, per començar amb això anem a posar-nos en la següent situació ja que serà una mica mes complex i plantejarem i resoldre el problema junts.
Un hacker, s'ha assabentat que Carlos Cabrera (Persona FICTÍCIA) té una quantitat de diners en paypal que li interessa i mitjançant Enginyeria social vol obtenir les credencials del seu compte de PayPal.
Quina informació hi ha disponible sobre Carlos Cabrera (PERSONA FICTÍCIA) a internet?
Comencem per les seves Xarxes Socials.
El hacker pot trobar el seu facebook utilitzant les cometes al cercador de google: “Carlos Cabrera” Facebook. O buscant-lo directament a Facebook.
Com veus, google ens dóna un munt de resultats amb diferents perfils. N'hi haurà prou amb trobar el de Carles i veure la privacitat que té en el seu perfil per extreure informació que pugui ser-li útil.
Si no troba informació útil, també pot fer el mateix a instagram oa Linkedin.
el hacker buscarà tota la informació referent a el tal Carlos en qualsevol xarxa social ja que és informació oberta i d'ús públic. (Perquè vegis el fàcil que és trobar informació personal a internet i perquè no has de DONAR LA TEVA INFORMACIÓ A INTERNET)
Tenint les seves Xarxes Socials, buscarà coses que puguin ser-li interessants per trobar el compte de paypal de Carlos. Per exemple, mitjançant Instagram podem veure que a Carlos li encanta fer-se fotos.
I està facilitant UN MONTON DE INFORMACIÓ SOBRE EL EL.
(No sigueu estúpids i sigueu conscients del que és una xarxa social per favor)
Analitzarem a Carles.
- És de Barcelona.
- Li agrada viatjar.
- Li agrada fer esport.
- Té un Estil de vestir X.
A veure, Carlos seria IDEAL per promocionar un preciós producte fictici, la "Voyage vox". Li podrien "regalar" una per Instagram perquè pugi fotos amb ella. Uhm. Analitzarem més.
Carlos també seria IDEAL per promocionar una marca de l' botiga de roba (fictícia)
Carlos també seria IDEAL per promocionar material de Gimnàs (FICTICI)
D'acord, ha 3 possibles entrades cap a Carlos.
¿Quina de les tres?
Continuarem suposant que el hacker escull la del Gimnàs.
El hacker crea un compte d'Instagram amb imatges de productes de gimnàs de X marca i suplanta la identitat. Completa el seu perfil amb un enllaç a la seva pàgina web i es crea una adreça de correu electrònic amb el nom de la web, si la web és “gimnasioypesas.com” ja que el correu serà gimnasioypesas.publicidad@gmail.com (o qualsevol altra suplantació que sigui creïble)
Ok, el hacker pot contactar a Carlos per instagram mostrant l'interès que té que ell promocioni els seus productes al vostre compte emportant-se un bon incentiu. Demana a Carlos una adreça de correu electrònic i un número de Telèfon per posar-s'hi en contacte, i aquest, interessadament se les lliura.
Disposant de l'Mail i el Telèfon, Carlos ho té cru.
Comprovar el Mail de PayPal
El hacker pot anar a Paypal.com i intentar registrar un PayPal amb l'adreça de correu que el Carlos li ha enviat. En cas que no pugueu crear el compte perquè aquest mail ESTÀ REGISTRAT, el hacker hauria trobat la direcció de CORREU DEL SEU PAYPAL.
Pel que pot procedir de diverses formes per obtenir la contrasenya amb Enginyeria.
Una de les formes, amb un Xploitz de PayPal directe al seu correu electrònic. 99% Efectiu amb la informació disponible de Carlos.
Si no saps el que és un Xploitz dóna-li un cop d'ull a el següent article.
¿Com es pot assegurar a el 100%?
Per poder fer un Xploitz que funcioni a el 100% el hacker podria trucar directament al telèfon de Carlos i així verificar les seves dades a la trucada. Per a aquesta caldria recopilar més dades interessants sobre Carlos, com ara la seva adreça postal. Després amb una trucada falsa de PayPal us pot enganyar amb:
"Hola Carles, Sóc Antonio, de PayPal."
"Hem rebut una sol·licitud de transacció al seu favor d'una quantitat bastant alta d'una adreça de correu electrònic que no pertany als seus contactes comuns, seguint la nostra normativa hem de verificar algunes dades perquè pugui gaudir dels seus diners."
"Per poder efectuar la transacció haurem de verificar algunes dades."
Verifica l'adreça de correu electrònic, número de telèfon, adreça postal, us demana que us digui els 4 últims dígits del compte bancari vinculat al PayPal. Si alguna d'aquestes dades com l'adreça postal no coincideixen amb les que diu Carlos, el hacker pot preguntar quina és la direcció correcta per modificar-la i continuar mantenint la credibilitat.
Podria funcionar qualsevol altra cosa, aquest només és un Text d'exemple.
En cas que el Carles s'hagi cregut la trucada telefònica. El hacker té la feina feta, en aquest nivell és impossible que Carlos s'adoni del que li passarà.
Tota aquesta informació sostreta mitjançant Enginyeria Social i tècniques psicològiques es poden utilitzar per personalitzar el Pishing o mail de l'Xploitz. Escrivint fins i tot els 4 últims números del seu compte bancari, la xifra que rebrà del "pagador desconegut" i tota la informació complementària que farà funcionar Pishing.
El hacker crearà el mail i demanarà a Carlos que entri al seu compte de PayPal mitjançant el Link (FALS) de Paypal, per exemple www.paypal.com/log-in/verify-account-two-step . Si observes aquest link, sembla un link de PayPal. Si entres, et porta a alguna cosa totalment diferent. Això és un Text Àncora. Entens la seva perillositat?
Quan Carlos entri a la URL falsa, anirà derechito cap a un Xploitz que robarà les seves credencials.
Què passa si el hacker no troba l'adreça de correu del PayPal registrat.
Si el hacker no troba l'adreça de Correu de PayPal, gràcies a l'avantatge que us ha tret a les Xarxes Socials i el fals tracte de promocionar el vostre gimnàs a instagram, el hacker podrà enviar-vos una Falsa factura/Catàleg/Contracte contenint un Keylogger a correu electrònic.
No saps que és un Keylogger? Llavors aneu a al·lucinar amb aquest article ...
Com crear un keylogger - Citeia.com
Conclusió.
En definitiva, aquesta és només una estratègia de Enginyeria social de les milers que hi ha, a més que me l'he inventat sobre la marxa mentre l'estava redactant. No per això és menys eficaç.
Imagina't el que pot aconseguir algú amb Experiència en Ingenieria Social.
Has de entendre el perillós que és internet i l'ús de les Xarxes Socials. Cal començar a conscienciar-se de això i deixar d'oferir les dades personals en qualsevol part. Prendre mesures de seguretat i tenir cura a internet. Google, Facebook (Instagram, WhatsApp), Microsoft, Apple etc ... Ofereixen les teves dades com si fos un Buffet lliure.
O et protegeixes tu mateix, o estàs sol davant el perill.
Si vols aprendre més sobre Seguretat Informàtica i mètodes de Hacking fes una ullada als nostres articles, subscriu-te a la nostra Newsletter o busca'ns a Instagram @citeianews .
Esperem que us hagi estat útil l'article i agraïm que el comparteixis per crear consciència.