Video: hackeo a facebook fuera de lan con ingeniería social (Noviembre 2024)
¿Cuánto tiempo le tomaría a un atacante entrar en un negocio? ¿Entrar en la red corporativa como un usuario autenticado? Si crees que tomaría unos días o incluso unas horas, estás muy lejos.
Intenta 20 minutos.
David Jacoby, un investigador de seguridad senior del Equipo de Investigación y Análisis Global de Kaspersky Lab, tardó tres minutos en colarse en el edificio, cuatro minutos para obtener acceso a la red, cinco minutos para obtener acceso autenticado a la red y diez minutos para instalar una puerta trasera a la red corporativa. Pudo descargar y retirarse con "gigabytes de datos" de la compañía, dijo a los asistentes a la Cumbre de analistas de seguridad de Kaspersky Lab la semana pasada.
Jacoby fue invitado por una compañía a entrar y probar sus defensas. Al final resultó que, no necesitaba ningún truco elegante o cero días para pasar. Todo era ingeniería social.
"Gastaron tanto dinero, y todavía me metí", dijo Jacoby.
Ser amable con los Tailgaters
La compañía requirió que los empleados usaran una insignia para entrar y salir del edificio. Jacoby esperó a que entraran otros empleados y se apresuró a seguirlos. La mayoría de las personas quieren ser corteses y mantendrán la puerta abierta si alguien entra al mismo tiempo, algo que la mayoría de los sastres aprovechan. Jacoby fue un paso más allá, en caso de que el empleado pensara pedir ver la placa. Se vistió un poco para parecer un poco administrativo y se llevó un teléfono celular a la oreja como si estuviera teniendo una conversación con alguien. Mientras atravesaba la puerta, dijo: "Estoy justo en el vestíbulo. Me levantaré en un minuto".
Nadie interrumpirá una llamada telefónica, y si transmites la impresión de que eres alguien importante que se dirige a conocer a alguien importante, la mayoría de las personas no se detendrán para interrogarte, dijo Jacoby.
Siempre hay un centro
Seguramente, entrar en la red tenía que ser un poco más difícil, ¿verdad? Resultó que Jacoby no se molestó en intentar conectarse a la red inalámbrica corporativa. En cambio, fue directamente a la sala de impresoras, donde siempre hay un centro de red para la impresora. Conectó su computadora portátil al concentrador y tan fácil como eso, estaba en la red.
Entrar en la red como un usuario válido tomó más tiempo que piratear. Jacoby encontró a un empleado sentado al lado de la sala de impresoras y le explicó que estaba teniendo problemas con la red. Preguntó si podía tomar prestada la computadora del empleado. Cuando se sentó, el empleado todavía estaba conectado, lo que significaba que podía hacer lo que quisiera en la red.
En este punto, instaló una puerta trasera en la red, dándole el control total. Ya no necesitaba la computadora o las credenciales del empleado.
Cada paso importa
Es realmente difícil defenderse de la ingeniería social porque es natural querer ser amable y servicial. Queremos dar a las personas el beneficio de la duda y no asumir que todos están tratando de causar daño, pero es exactamente esta emoción humana la que nos hace fallar en la seguridad. Si bien es importante recordarles a los usuarios repetidamente que deben cerrar sesión antes de permitir que otra persona use la computadora y que tengan letreros pidiéndoles a los empleados que no permitan que las personas entren a la oficina, la gente por defecto será amable y servicial.
También es importante recordar que las pequeñas empresas no son inmunes. De hecho, pueden ser aún más susceptibles a estos ataques, si el empleado cree que la persona es un contratista de TI o un electricista.
Por eso es tan importante utilizar la tecnología para proteger la red. En lugar de permitir que cualquier dispositivo conectado al concentrador se conecte a la red, los administradores pueden habilitar las Restricciones de dirección MAC, de modo que solo los dispositivos conocidos obtengan una dirección IP válida. Después de obtener acceso a la red, Jacoby descubrió que la red estaba segmentada incorrectamente, por lo que los sistemas sensibles eran fácilmente accesibles. Encontró software obsoleto y vulnerable. También encontró 300 cuentas de usuario con contraseñas configuradas para que nunca caduquen. Todas estas cosas hicieron su trabajo, como atacante, mucho más fácil.
Piensa como un atacante. Se sorprenderá de cuán vulnerable puede ser su organización.
