Es importante conversar con un cliente la intención de realizar ataques de ingeniería social, ya sea interno o externo, antes de incluirlo en el alcance del proyecto de pruebas de penetración. Un ataque de Ingeniería Social podría ser traumatico para los empleados de la empresa objetivo si no son conscientes de los hallazgos en una manera controlada, porque únicamente podrían sentirse como victimas sujetas a un ataque real. Si se es atrapado durante esta actividad, es probable no se sea tratado como perteneciente al mismo equipo, por parte de la victima. Frecuentemente, la victima siente como si se le hubiese tratado como un tonto.

El cliente debe ser consciente de los riesgos asociados con el contrato de un tercero quien planea abiertamente mentir y manipular a los empleados de la empresa, para hacer cosas las cuales claramente van en contra de las reglas. Es decir, muchas empresas aceptarán el riesgo y ver el valor de este ejercicio. La clandestinidad debe también ser subrayado y acordando con el cliente antes de realizar un ejercicio encubierto como este. Si los empleados conocen de la existencia de una prueba de cualquier tipo, de hecho actuaran de manera diferente. Esto podría evitar el equipo de pruebas de penetración aprenda algo sobre la verdadera postura de seguridad de la organización objetivo.

Como todas las pruebas de penetración, un ataque de ingeniería social inicia con una actividad de reconocimiento. Mientras más información se recolecte sobre la organización objetivo, mayores opciones se tienen disponibles. No es infrecuente iniciar con cero conocimiento y utilizar la información obtenida a través de fuentes abiertas para montar un simple ataque de ingeniería social; para obtener el directorio telefónico de la empresa, por ejemplo; y luego utilizar el nuevo conocimiento para montar un ataque de ingeniería social más selectivo y sofisticado, basado en la visión obtenida de la empresa.

Mientras el buscar en la basura es un ejemplo clásico de un punto de inicio con cero conocimiento para encontrar información sobre el objetivo, existen alternativas más convenientes. Google es probablemente la manera más efectiva de encontrar nombres, títulos de trabajo, información de contacto, y más. Una vez se obtenga una lista de nombres, se puede empezar a combinarlo con sitios de redes sociales como Facebook, LinkedIn y Twitter. Encontrar empleados con cuentas en los sitios populares de redes sociales es una práctica común entre los ingenieros sociales. Frecuentemente, estos empleados podrían estár conectados con otras personas con quienes trabajan. Dependiendo de los ajustes de seguridad, la red completa de conexiones podría ser visible, y se podría ser capaz de identificar a compañeros de trabajo fácilmente.

En el caso de sitios de redes para empresas somo LinkedIn, la recolección de información es incluso más fácil, porque se puede buscar por el nombre de la empresa para encontrar empleados pasados y presentes del objetivo. En cualquier sitio de redes sociales, se puede también encontrar un grupo de ex empleados y empleados actuales de una empresa. Un blog específico y sitios de anuncios puede también producir información útil sobre temas de los empleados internos, los cuales están siendo discutidos actualmente. Frecuentemente estas publicaciones toman la forma de quejas anónimas, pero pueden ser útiles para demostrar un conocimiento interno cuando se entable conversación con el objetivo.

Utilizando métodos pasivos para recolectar tanta información sobre la empresa como sea posible, es un gran lugar para empezar a formular el ataque.

La ingeniería social es más exitoso como un esfuerzo de equipo, debido a la amplia variedad de circunstancias y oportunidades factibles de surgir. Como mínimo, dos personas podrían ser necesarios para los ejercicios más básicos. Mientras el carisma natural es un recurso preciado, una voz telefónica practicada y la capacidad de discutir convincentemente una amplia variedad de tópicos sociales no necesariamente técnicos, es ideal para avanzar en esta área. La capacidad de escribir convincentemente también es importante, como lo es la apariencia física para realizar ataques cara a cara o de suplantación. Como todas estas actividades son diseñadas para obtener acceso no autorizado hacia activos de datos, se debe también poseer conocimientos de Hacking, o al menos estar íntimamente familiarizado con sus posibilidades, para ayudar al equipo a tener una posición sobre la red y utilizarlo.

Un buen lugar para iniciar el reconocimiento después de buscar a la empresa en línea, es empezar a tener como objetivos a las personas internas de interés, en un intento por construir un cuadro de quien es quien y, si es posible, desarrollar una buena relación con potenciales fuentes. Personal clave podría incluir CIO, CSO, Director de TI, CFO, Director de Recursos Humanos, VPS, y directores de cualquier tipo. Todos estos individuos podrían tener buzón de voz, correo electrónico, secretarias, y similares. Conocer quien trabaja en cuales oficinas, quienes son sus asistentes personales, y cuando están de viaje o vacaciones podría no parecer útil, pero lo es. Como ejemplo, si el objetivo es obtener el directorio interno de empleados. Conociendo cuando alguien está fuera de la oficina, se puede llamar a su asistente y clamar ser un consultor trabajando con su jefe, necesitando el directorio impreso del a empresa, y este sea enviado por fax hacia otra ubicación dentro de la empresa. En este punto, podría incluso preguntar si se requiere este sea enviado directamente a un correo electrónico, en cual caso el ataque de ingeniería social ha sido un éxito. Pero vamos a asumir no se consulta y se envía por fax directamente hacia otra oficina donde supuestamente se trabaja, se puede luego llamar a esta oficina dando una historia nuevamente, y preguntar si ha llegado un fax. Es factible también dar un número de fax público y obtener la información.

Este es un primer ejemplo de escalado de confianza. La primera victima no siente riesgo de enviar algo internamente. La segunda victima se siente confortable con el pretexto porque se ha demostrado conocimiento de las operaciones internas y no percibe ningún daño en pasar el directorio. Con el directorio en mano, se puede ahora utilizar un servicio para la falsificación de Identificadores de llamadas, para simular llamar desde el interior de la empresa. El siguiente movimiento es sencillo. Si la empresa, como la mayoría de empresas, es decir los IDs para los usuarios de red no son difíciles de inferir, se puede intentar vender un producto por teléfono para la gestión de identidad, o por ejemplo un juego de billar en el bar en el cual se conoce va, obtenida desde su permisiva página de Facebook. Se puede ahora llamar a soporte técnico desde el interior y tener el reseteo de la cuenta de alguien de recursos humanos de vacaciones, de tal manera se pueda utilizar la red privada virtual (VPN) remotamente.

Planear un ataque toma tiempo, práctica, y sobre todo paciencia. Debido al hecho de ser un atacante, se esta limitado únicamente por la imaginación. El éxito o falla dependerá de la capacidad del equipo para leer a la persona quien trabaja en la organización objetivo, y divisar un ataque o series de ataques de escalado, los cuales sean efectivos contra ellos. Se debe tener en mente, este es un juego de capturar la bandera (CTF), y el objetivo es acceder hacia datos sensibles para demostrar al cliente como esto puede ser hecho. Algunas veces el objetivo es obtenido sin ninguna técnica tradicional de Hacking, utilizando métodos de acceso legítimo como credenciales concedidas erróneamente o robadas. En muchos casos, si embargo, esto es un esfuerzo combinado de tener un equipo de hackers en posición o entregar el “payload” o carga deseada de acceso remoto dentro de los controles del borde.

Así como los ataques se tornan más sofisticados, también se puede requerir configurar sitios webs, direcciones de correo electrónico, números de teléfono, con la intención de parecer una empresa legítima. Gracias a la proliferación de microempresas basadas en la web, y servicios de teléfonos móviles de pago, esto es ahora tan barato como trivial. Se puede también requerir reuniones cada a cara con la victima para ciertos tipos de ataques.

Fuentes:

https://en.wikipedia.org/wiki/Social_engineering_(security)
http://bluffmycall.com/