¿Como robar un Banco?

¿Cómo robar un banco?: un tutorial de ingeniería social 

Si una compañía nos contrata para realizar un trabajo de ingeniería social, generalmente quieren que entremos y lleguemos a sus respaldos de información o a los datos que se encuentran en su sala de documentos.

Digamos que me hago pasar por un inspector de incendios. Lo primero que tendré además de mi insignia y uniforme es un walkie-talkie, como todos los bomberos. Afuera, tendremos a nuestro conductor esperándonos en el carro. Nuestro conductor está sentado en el carro, y básicamente su trabajo en un principio es enviar mensajes a través  de nuestro walkie-talkie. Tendremos una grabación con todos esos mensajes que escucharas en los walkie-talkies. El está sentado en el carro, los reproducirá y enviara a través de nuestros walkie-telkies.

Entramos a las instalaciones y aseguramos que todo los mensajes este llegando ruidosamente a los walkie-talkies tan pronto como entramos por la puerta para que inmediatamente seamos el centro de atención. Cuando entro, quiero que todos sepan que me refiero a negocios. Mi walkie-talkie es ruidoso y todos miran mientras me disculpo y rechazo la trasmisión.

Le muestro a la persona de recepción mi insignia. Ellos dirán: “¿Cómo te va?”, diré: “Bien, estoy aquí para hacer la inspección”, ellos dicen: “estupendo” y nos asignan a alguien. En general es alguien que es amable. Comenzaré a hablar con ellos, intentare agradarles o lo que sea necesario mientras comenzamos a caminar.

Mientras estoy hablando con la persona que nos asignaron, mi compañero sabe que su trabajo es alejarse inmediatamente de nosotros. Entonces, mi compañero se irá inmediatamente. En la mayoría de los casos nuestro acompañante dirá “¿Puede Volver aquí? Necesito que se mantengan juntos. Decimos “Claro, lo siento”. Pero realmente eso para nosotros no significa nada.  Todo lo que significa es que seguiremos haciéndolo hasta que él se rinda.

Mi compañero deambulara dos o tres veces más y será advertido hasta que finalmente se detenga y se dé por vencido. Nuestro acompañante solo piensa que él es un bombero y piensa: "Déjenlo hacer lo que necesita hacer".

En ese punto, el trabajo de mi compañero es comenzar a robar todo lo que pueda y comenzar a ponerlo en su bolsa. Y también tiene que ponerse debajo de los escritorios de cualquier empleado que pueda encontrar y comenzar a instalar estos pequeños keyboard loggers.  Me quedo con la persona que me está acompañando y todo mi trabajo ahora es mantenerlos entretenidos. Sigo caminando por las habitaciones y les doy consejos para  mantener la seguridad de sus instalaciones, aunque realmente no tengo ni idea de lo que estoy hablando. Invento las cosas que estoy diciendo y probablemente doy el peor consejo de todos. Sacaré las cuerdas y diré "Esto parece un poco peligroso". Yo estoy completamente improvisando.

Hace unos años, obtuve un dispositivo en Home Depot. Es como una cinta métrica, pero no una cinta de medir normal. Tiene un puntero láser y hace “clic”. Este dispositivo es como el Tricorder en Star Trek para mí. Puedo hacer algunas cosas mágicas con eso en lo que a mí concierne. Lo pondré en un enchufe y diré "Parece que tiene demasiada corriente". Y ellos simplemente lo creen. Son increíbles las cosas estúpidas que puedo hacer.

Mientras tanto, mi compañero va por los escritorios. Si los empleados están allí, él dirá "Oye, ¿te importa si me meto debajo de tu escritorio por un minuto? Solo estoy buscando cualquier tipo de peligro de incendio". Si el empleado pregunta "¿Qué tipo de peligro podría haber debajo de mi escritorio?" Él dirá "¿Conoces ese ventilador en la parte posterior de tu computadora? Si deja de girar podría ser un riesgo de incendio". Este tipo de explicación parece razonable.

Mi compañero se mete debajo de la computadora y en su mochila tiene un montón de dongles (dispositivos que permiten añadir características a las computadoras que no fueron construidas teniendo en cuenta dichos parámetros, por ejemplo un dongle usb WiFi o bluetooth). Instala fácilmente uno en la computadora del empleado y ahora todos los datos pasan por este dispositivo. Por supuesto, mientras mi compañero está debajo de la computadora, el empleado no puede ver lo que está haciendo ya que por lo general solo se van.

En ese punto generalmente nos volvemos a reunir y discutimos el uno con el otro en voz alta todos los lugares donde ya hemos estado. De esa manera, realmente tenemos una buena idea de lo que se ha logrado y él puede regresar a lugares donde yo era incapaz de robar algo debido a mi escolta. Él dirá "He tenido éxito con todos los escritorios". Diré: "¿Puede hacerme un favor y volver y revisar aquí otra vez?" y mencionar algún lugar donde pueda haber visto algo interesante y quiero que regrese y se ocupe de ello.

Al salir, no queremos que sepan que hemos terminado. Queremos poder volver en otro momento. Aquí es donde nuestro conductor en el automóvil hará una llamada falsa al walkie-talkie y nos dirá que necesitan que respondamos una llamada. Miro a mi acompañante y digo "Oye, lo siento, volveremos".

Señalamos que regresamos en los próximos días, hacemos una revisión rápida, volvemos y obtenemos los dongles que instalamos en las computadoras. Haremos otro recorrido rápido, afirmando que hemos perdido nuestro formulario de inspección original, ya que ya hemos tomado todo, la segunda visita es rápida. Los decimos que estamos listos y enviaremos un informe por correo.

Para cuando terminamos, hemos robado cosas y obtuvimos acceso a inicios de sesión y contraseñas porque hemos estado grabando esa información con los dispositivos de key loggin, ya sean sitios en línea o cuentas locales en su sistema. Hemos estado en su red inalámbrica y hemos sido capaces de hackearla también.

Cuando hayamos terminado todo lo que necesitábamos hacer, lo último que haremos será hurgar en la basura. Es miserable, pero es una locura lo lucrativo que es. Nos presentamos con guantes de goma y comenzamos a abrir bolsas. Es sorprendente la cantidad de información confidencial que termina en la basura.

Cuando nos presentamos después del compromiso para presentar lo que encontramos, hay a menudo una mirada total de sorpresa en las caras de los empleados. Pero es una experiencia de aprendizaje de la que esperamos que todos aprendan. Es algo que nunca pensaron que podría suceder. Si hablaste con ellos una semana antes, nunca pensaron que caerían en algo así por algunas de las cosas que sacamos. Pero ahora ellos ven que puede suceder, y les puede pasar a ellos.

-- como le dijo Jim Stickley de TraceSecurity a Joan Goodchild.

Fuentes:

Esta historia, "Cómo robar un banco: un tutorial de ingeniería social" fue publicada originalmente por CSO. 
NetworkWorld
Curso en linea en Cisco Networking Academy: Introduction to cybersecurity