Hackingtecnoloxía

¿É posible? hackoído humanos? Enxeñaría social

El Arte da Enxeñaría Social y como hackoído humanos.

Parece impactante e o título é bastante agresivo, pero ... non menos certo.

Podes descargar a revista PDF deste artigo para ler máis tarde.

A arte da enxeñaría social portada do libro
PDF DESCARGABLE: Enxeñaría social # 1 para Hacking

¿É posible? hackoído humanos? ¿hackorella unha persoa?

Non, non falamos Hackgañando as súas contas ou o seu ordenador implantando códigos complexos. Estamos a falar Hackoído su xeito de pensar, hackorella a cabeza, hackorella un ser humano.

Ben, se non o fose, non escribiría isto, así que imos dar a pregunta por sentada e chegar ao asunto. A continuación aprenderás algúns métodos que che axudarán protexelo da enxeñaría social, ou implementalo para usalo mal. Dependendo de que lado esteas.

Aclaremos un par de puntos. É certo que actualmente hai moitas solucións de seguridade, antivirus, anti-malware, bloqueadores e outras que nos axudarán a navegar con certa seguridade na rede, repito "algo".

Agora deixemos de ser infantís por un momento e chamemos ás cousas polo seu nome.

A liña que separa a hackÉ ou un defraudador experimentado das túas credenciais é francamente pequeno e por moitos métodos de seguridade implantas o único que che pode protexer.
De pouco che servirá un antivirus se estás enganado con Enxeñaría Social.

O enxeñeiro social tenta obter información mediante técnicas psicolóxicas ou enganos.
O enxeñeiro social tenta obter información mediante técnicas psicolóxicas ou enganos.

Enxeñaría social para atacar ás empresas.

No caso de querer atacar ás empresas, a hackEstudaría tanto a empresa como a xente dentro deles para poder realizar unha investigación en profundidade que lles proporcione información para levar a cabo o seu plan.

Un ataque desta magnitude pode levar moito tempo realizándose e nunca se solicitará toda a información á vez, é máis ben unha compilación paso a paso. Isto podería facerse con diferentes métodos, a través de chamadas telefónicas, correos electrónicos, queixas, problemas técnicos ou etc ...

Un hackEr pode presentarse como unha persoa curiosa ou interesada na empresa, pode suplantar a alguén cun simple roubo de identidade ou pode intentar atravesar cegamente a súa caixa de entrada de correo electrónico. Pode finxir que quere traballar contigo para obter información sobre os seus Puntos de interese e despois lanzar un ataque personalizado.

Como obter información de contacto.

É moi sinxelo obter información de contacto dunha empresa se non se amosa no seu sitio web de inmediato.

Buscar correos electrónicos de sitios web.

con Hunter.io Terás acceso aos enderezos de correo electrónico relacionados coa empresa (a través dun dominio web) e alí atoparás a ligazón máis débil ou o departamento da empresa a través do cal estás máis interesado en acceder.

Buscar números de teléfono

Os teléfonos tampouco son difíciles de atopar, supoñendo que a páxina web non ofrece o número de teléfono por conta propia, un dos métodos é forzar a google a que nos diga co uso de comiñas ("")

atopar o número de teléfono
buscar números de teléfono

Isto obrigará a Google a buscar en todas as páxinas web, incluído Facebook. Daralle os resultados de calquera lugar onde se fale o teléfono desa empresa.

Pouco vou dicir sobre isto, temos facebook, instagram, Linkedin ... hai que ter en conta que se a empresa ten Linkedin poden atopar á persoa clave para quen intentarán exercer enxeñería social.

Enxeñaría social para usuarios.

Ben, para comezar, poñerémonos na seguinte situación, xa que será algo máis complexo e imos plantexar e resolver o problema xuntos.

Un hacker, descubriu que "Carlos Cabrera" (Persoa FICTICE) ten unha cantidade de diñeiro en paypal que lle interesa e a través da enxeñaría social quere obter as credenciais da súa conta PayPal.

Que información está dispoñible en Carlos Cabrera (PERSOA FACTUAL) en internet?


Comecemos coas túas redes sociais.

El hacker podes atopar o seu facebook empregando as comiñas do buscador de google: Facebook "Carlos Cabrera". Ou buscándoo directamente en Facebook.

busca de perfil de facebook

Como podes ver, google dános moitos resultados con diferentes perfís. Abondará atopar a de Carlos e ver a privacidade que ten no seu perfil para extraer información que lle poida ser útil.

Se non atopas información útil, tamén podes facer o mesmo en Instagram ou Linkedin.

busca de perfil de instagram
Busca de perfil de LinkedIn

El hacker buscará toda a información relativa a a este Carlos en calquera rede social xa que é información aberta e de uso público. (Así podes ver o fácil que é atopar información persoal en internet e por que non tes que DAR A TÚA INFORMACIÓN EN INTERNET)

Tendo as súas redes sociais, buscará cousas que lle poidan ser interesantes para atopar a conta de paypal de Carlos. Por exemplo, a través de Instagram podemos ver que a Carlos lle encanta sacar fotos.

E ESTÁS A FORNITAR MOITA INFORMACIÓN SOBRE EL.

(Non sexas parvo e teña en conta o que é unha rede social, por favor)

enxeñaría social de instagram

Imos analizar a Carlos.

  • É de Barcelona.
  • Gústalle viaxar.
  • Gústalle facer deporte.
  • Ten un estilo de vestir X.

A ver, Carlos sería IDEAL para promover un fermoso produto de ficción, o "Voyage vox". Podería "dar" un para que Instagram subise fotos con ela. Uhm. Analicemos máis.

Carlos tamén sería IDEAL para promover unha marca do tenda de roupa (ficticia)

Carlos tamén sería IDEAL para promocionar material de ximnasia (FICCIONAL)

Ok, hai 3 posibles entradas a Carlos.

Cal dos tres?

Continuemos asumindo que o hacker elixir o ximnasio.

El hacker crea unha conta de Instagram con imaxes de produtos de ximnasia da marca X e suplanta a súa identidade. Completa o teu perfil cunha ligazón ao teu sitio web e crea un enderezo de correo electrónico co nome do sitio web. Se o sitio web é "Gimnasioypesas.com", o correo electrónico será Gimnasioypesas.publicidad@gmail.com (ou calquera outra suplantación de identidade facelo crible)

Ok hackPodes contactar con Carlos en instagram mostrando o teu interese en que promocione os teus produtos na túa conta, obtendo un bo aliciente. Pídelle a Carlos un enderezo de correo electrónico e un número de teléfono para poñerse en contacto con el, e entrégaselle.

Tendo o correo e o teléfono, Carlos teno en bruto.

Comprobe o correo de PayPal

El hacker podes ir a Paypal.com e tentar rexistrar un PayPal co enderezo de correo electrónico que che enviou Carlos. No caso de que non se poida crear a conta porque ese correo está REXISTRADO, el hacktería atopado o enderezo MAIL DO SEU PAYPAL.

Así podes proceder de varias maneiras para obter o teu contrasinal con Engineering.

Un dos xeitos, cun PayPal Xploitz directo ao teu correo electrónico. 99% eficaz coa información dispoñible por Carlos.

Se non sabes o que é un Xploitz, bótalle un ollo ao seguinte artigo.

Como crear un Xploitz

Que é e como usar un xploitz. Enxeñaría social, hackoído humanos.
Que é e como usar un xploitz

Como pode estar 100% asegurado?

Para poder facer un Xploitz que funciona ao 100% el hackEr podería chamar directamente ao teléfono de Carlos e así verificar os seus datos sobre a chamada. Para iso sería necesario recompilar datos máis interesantes sobre Carlos, como o seu enderezo postal. Despois, cunha chamada falsa de PayPal podes enganarte con:

"Ola Carlos, son Antonio, de PayPal".

"Recibimos unha solicitude de transacción ao seu favor dunha cantidade bastante elevada dun enderezo de correo electrónico que non pertence aos seus contactos comúns, seguindo a nosa normativa temos que verificar algunha información para que poida gozar do seu diñeiro."

"Para levar a cabo a transacción teremos que verificar algunha información".

Verifica o enderezo de correo electrónico, o número de teléfono, o enderezo postal e pídelle que indique os últimos 4 díxitos da conta bancaria ligada a PayPal. Se algún destes datos, como o enderezo postal, non coincide co que di Carlos, o hackPode preguntar cal é a dirección correcta para modificalo e seguir mantendo a credibilidade.

Calquera outra cousa podería funcionar, este é só un exemplo de texto.

No caso de que Carlos crese a chamada telefónica. El hackEste ten o traballo feito, a este nivel é imposible para Carlos darse conta do que lle vai pasar.

Toda esta información roubada mediante enxeñaría social e técnicas psicolóxicas pódese usar para personalizar o Xploitz Pishing ou o correo. Escribindo ata os últimos 4 números da súa conta bancaria, a cifra que recibirá do "Pagador descoñecido" e toda a información adicional que fará que Pishing funcione.

Como identificar un virus Pishing

virus xploitz e como analizalos
citeia.com

El hacker creará o correo electrónico e pediralle a Carlos que ingrese a súa conta de PayPal a través da ligazón (FALSO) de Paypal, por exemplo www.paypal.com/log-in/verify-account-two-step . Se miras esta ligazón, parece unha ligazón de PayPal. Se entras, lévate a algo totalmente diferente. Este é un texto de áncora. ¿Comprende a súa perigosidade?

Cando Carlos introduce o URL falso, dirixirase directamente a un Xploitz que lle roubará as credenciais.

E se el hackNon atopo o enderezo de correo electrónico de PayPal rexistrado.

Se hacker non atopa o enderezo de correo electrónico de PayPal, grazas á vantaxe que sacou das redes sociais e ao falso intento de promocionar o seu ximnasio en instagram, o hacké posible que che envíe unha falsa factura / catálogo / contrato que conteña un Keylogger ao teu correo electrónico.

Non sabes o que é un Keylogger? Entón vas alucinar con este artigo ...

Que é un keylogger e como funciona

Como crear un keylogger - Citeia.com
como crear un keylogger de portada do artigo
citeia.com

Conclusión.

En definitiva, esta é só unha estratexia de Enxeñaría social dos miles que hai, ademais diso inventeino sobre a marcha mentres o escribía. Non por iso é menos efectivo.

Imaxina o que pode acadar alguén con experiencia en enxeñaría social.

Hai que entender que perigoso o que é internet e o uso das redes sociais. É necesario comezar a ser consciente diso e deixar de ofrecer os seus datos persoais en calquera lugar. Tomar medidas de seguridade e teñen coidado en internet. Google, Facebook (Instagram, Whatsapp), Microsoft, Apple etc ... Ofrecen os teus datos coma se fose un buffet gratuíto.

Ou te protexes ou estás só ante o perigo.

Se desexa obter máis información sobre a seguridade informática e os métodos de Hackbótalle un ollo aos nosos artigos, subscríbete ao noso boletín ou atópanos en Instagram @citeianews.

Agardamos que o artigo lle sexa útil e agradecemos que o compartise para concienciar.

Publicacións relacionadas

2 comentarios

  1. Ola. Preciso a túa axuda. Esquecín o contrasinal dunha conta de correo electrónico. E o número vinculado a isto xa non existe (cambiei o número) E foi a única opción para restaurar a miña conta. Necesito saber o contrasinal e non sei como

    1. Se non o recordas é bastante problemático xa que non tes métodos de recuperación activos. Ten coidado coas túas próximas contas para non volver caer no mesmo erro.

Deixe un comentario

A %d bloggers coma este: