“De 0 a maestro de la ingeniería social” Parte 1

“De 0 a maestro de la ingeniería social” Parte 1

Es un mundo nuevo de posibilidades que puede descubrir facetas nuevas en cada uno de nosotros. Levanta la percepción de nuestro cuerpo a nivel social, en relación con otros y hasta te puede ayudar a ser un buen asesor, galán, o jugador. Aunque intentaré de llevarlo para la faceta de hacking para que estén prevenidos y no caigan en las trampas. Ya si todo lo realizas para tu beneficios será cuestión tuya.

¿Qué es la ingsocial?
Nos referimos la ing. social cuando usamos técnicas y relaciones entre personas para conseguir información o manipular un sujeto. Podríamos usarla para conseguir contraseñas, información relevante en cuestión de la seguridad, conseguir el pase a una zona restringida, la presentación a alguien, elevar una confianza, etc. Lo cierto es que este tema es tan extenso y profundo que sería imposible abarcar todo (Por ese motivo si hay apoyo en este post sacare las siguientes partes).
Mientras mejor esté hecho el ataque tendremos más probabilidades de tener éxito.

La primera parte será orientada a páginas falsas clonadas, ya que ultimamente es la técnica que es la técnica mas utilizada por estafadores, recordemos las noticia de las famosas que robaron sus fotos de icloud. 

En los cursos de White Suit Hacking se enseña cómo clonar una pagina web, por lo tanto me saltare esta parte. Mi objetivo sera Ia pagina de icloud y la pondré en algún dominio como:

  • supporticloud.com
  • supportappleicloud.com
  • helpicloud.com
  • promotionsicloud.com

Podrías inventar cualquier dominio de este tipo ya que las personas pensarían que el servicio original en mi caso icloud cuenta con una página de soporte, de ayuda, etc. Yo copiare la plantilla anterior ya que www.icloud.com cuenta actualmente con una plantilla totalmente azul, quiero ver si me colega se da cuenta de esto cambio.

Actual:

Anterior :

Como pueden observar la página es idéntica, funciona de manera correcta esto quiere decir que si pones las credenciales de manera correcta te logeara de manera automática y podrás entrar a la pagina, si tu contraseña es incorrecta saldrá la pagina de error de icloud.
Un ataque aun mejor seria comprarle un certificado o crearle un certificado falso para que aparezca https en el navegador y podremos envenenar el DNS para que aparezca como https://www.icloud.com lo cual esto lo volvería más real y ninguna persona se daría cuenta que esta página es de nosotros.
Este ataque es algo parecido al que le realizaron a las famosas que le robaron sus fotos de icloud, le mandaron un correo diciendo que entren a tal página por cualquier motivo y cuando las personas ingresen su información a nosotros también nos llegará su información.

Gracias a esto he obtenido su usuario y contraseña y ahora tengo acceso a su cuenta de icloud y a toda su información que tenga ahí.

Pero… ¿Comó puedo mandarle la liga y que caiga la persona?
En los cursos se enseñan diferentes formas, la realidad es que existen mil manera de engañar a la persona, recordar que en cuanto ganamos la confianza de esta persona podemos abusar de ella para aprovecharse y sacar beneficio de ello.

Si el ataque va dirigido podríamos hacer el ataque todavía mejor, pero muchas veces no es dirigido y este mensaje le podría llegar a cualquier persona ya sea por correo o SMS (el famoso SPAM).

Como puede ver es muy fácil la ing. social y la realidad es que todo la ocupamos, por ejemplo la próxima vez que veas a un niño chiquito llorando por algo, eso es ing. social para conseguir algo que él quiere.

Espero que les guste el Post, tengan cuidado, desconfíen de todo y

Happy hacking.

(El experimento fue con consentimiento de la persona, hacer esto sin permiso es ilegal).