A lo largo de las entradas se vera el ciclo usado por cualquier ingeniero social para conseguir su objetivo. En la fase psicológica se explicará los métodos más comunes como pueden ser la manipulación, la elicitación, persuasión, «pretexting», impersonation, programación neurolinguística, influencia, lenguaje corporal, «emotional hijacking» etc..
Muchos ingenieros sociales, usan sus habilidades para obtener un beneficio económico o material. Todo el mundo usa la ingeniería social de un modo u otro, desde un niño a un ejecutivo para ganarse su ascenso. Gobiernos, multinacionales, pequeñas y medianas empresas todo en su conjunto esta implicado en la ingeniería social, es una ciencia. Los ciberdelincuentes también están incluidos en este conjunto.
Un ejemplo de ataque de ingeniería social podría ser el siguiente:
14.00 P.M, Barcelona.
Es muy típico el robo de bolsos en una mujer y requiere de habilidades sociales y disuasión para poder hacerse con el bolso. Si Juan y María, le dicen a la empleada del banco que le hagan una foto, una tercera persona del equipo (Raúl) podría en ese instante de tiempo en el cual la víctima manipula su smartphone “distraída” robar el bolso con ciertas habilidades y siempre controlando los sentimientos y la adrenalina que ello supone para ser lo más discreto posible.
Una vez alcanzado el objetivo, Juan y María se marchan a dar una vuelta por las calles de Barcelona, pero escuchan voces de histeria. María va hacía la víctima y le pregunta que le sucede. Le explica que le robaron el bolso y tenía todo, la tarjeta de crédito, dinero en efectivo, el DNI, una tarjeta NFC de control de acceso a su trabajo. Mientras María la consuela, le dice que debe llamar al banco para anular la tarjeta pero ese no era el objetivo principal.
Mediante ingeniería social consiguieron una tarjeta NFC muy fácil de clonar para conseguir el «physical impersonation» en las oficinas del banco.
Juan y Raúl en el mismo día consiguieron acceso físico en las oficinas del banco y usar Rubber Ducky
Como podéis imaginar, consiguieron el objetivo señalado, información confidencial e infectar los sistemas informáticos del banco.
Un saludo, Naivenom