[SecAdmin VI] Vishing: Todo empieza con un Sí

Hola a todos!

Recientemente se ha celebrado la sexta edición de SecAdmin que se celebró en Sevilla entre los días 29 y 30 de noviembre, en el cual pude participar por 3º vez. En esta ocasión, mi participación se basó en una continuación de la tercera versión del taller «Vishing: Todo empieza con un Sí».

Aprovechando que impartí este taller, se libera este nuevo post que se enfocará en el desarrollo de las preguntas que se realizan durante las llamadas de la campaña de vishing y cómo enfocar estas preguntas para alcanzar los hitos aconsejados.

Antes de comenzar, os recomiendo echar un vistazo a los post´s anteriores que podéis encontrar a continuación:

Una vez se tiene el contexto e introducción preparada, hay que enfocarse en los hitos que se quieren conseguir para de acuerdo a ellos fijar las preguntas que se realizarán durante la campaña de vishing. A continuación, se indican los hitos recomendados, que si has llegado hasta aquí seguro que te suenan:

  • Convencer a que el empleado conteste a preguntas y facilité la información.
  • Convencer a que el empleado interactúe con su dispositivo (portátil, móvil o tablet).
  • Convencer a que el empleado interaccione con un recurso externo (clicar en un enlace tras deletrearlo, acceder a una web, reenviar un correo o dar un código como un OTP)

Una vez repasados los hitos, se tienen que fijar las preguntas. Para ello, hay que recordar la categoría o clasificación de las mismas de cara a ir ganando confianza desde el momento que se establece la llamada.

  • Preguntas de validación: Respuestas de SÍ/NO. Ya conocemos el resultado tras el OSINT previo.
  • Preguntas friendly: Para ganar su confianza coherentes al gancho utilizado.
  • Preguntas técnicas/intrusivas: De cara a alcanzar los hitos marcados.

Las preguntas de validación no tiene una importancia relevante en el proceso, más allá de actualizar algún valor respecto a lo encontrado en el ejercicio de OSINT, pero sí generan una sensación de seguridad importante sobre el llamado.

Al final cuando se recibe una llamada y se pide confirmar/validar una serie de datos, se transmite a la persona una sensación de confianza y de coherencia al no querer compartir información que pudiera ser confidencial sin un proceso de validación.

Se podría hacer el símil con el escenario que llamamos a un servicio de banca o teleoperadora y antes de dar nuestros datos nos piden una serie de valores para demostrar que somos nosotros.

En campañas de vishing que he realizado a lo largo de mi carrera profesional, me he encontrado situaciones que el propio llamado me ha contado que le han cambiado de departamento o me ha explicado que lleva X años en la empresa pero que hasta el año pasado era externo. Siempre podemos usar la baza de que el dato no estaba actualizado 🙂

Habitualmente, algunas preguntas de validación que podrían usarse:

  • ¿La persona a la que estoy llamando es:<NOMBRE> con apellidos <APELLIDO1> <APELLIDO2>?
  • ¿El teléfono al que estoy llamando es: 666777888?
  • ¿Su correo electrónico es: xxxx@compañia.com?
  • ¿Trabaja en el departamento de <DEPARTAMENTO>?

Incluso para dar mayor nivel de seguridad y confidencialidad sería podrían indicar los últimos dígitos del movil o parte del correo.

Una vez realizada la validación y creado el ambiente de mayor confianza o que al menos el llamado no se encuentre tan en alerta, se procede con el set de preguntas denominadas friendly.

En este apartado, se realizan llamadas de acuerdo al asunto o contexto del gancho utilizado, pero ya se comienza de manera hilada a hacer preguntas más enfocadas a lograr los hitos.

Algunas preguntas que podrían realizar tildadas de friendly podrían ser:

  • ¿Utilizas un portátil o tienes un sobremesa?
    • ¿Qué sistema operativo es?
      • ¿Tus compañeros me han comentado que es un windows, el tuyo también?
      • ¿Era un windows 10? ¿El tuyo también?
    • ¿Te conectas a algún cable de ethernet o no hace falta y es con WIFI?
      • ¿Recuerdas el nombre de la WIFI?
  • ¿Dispones de un modelo híbrido de trabajo? ¿Haces teletrabajo?
    • ¿Cómo te conectas cuando estás fuera de la oficina?
      • Tus compañeros han comentado que os conectáis a una VPN? Cisco creo que me han dicho, ¿Tú también?
      • ¿Qué mensaje te aparece cuándo te conectas? ¿Te aparece la versión del programa?
      • ¿Necesitas tu teléfono o alguna herramienta cuando te vas a conectar a modo de completar con algún código que recibes?
  • ¿Qué aplicaciones sueles utilizar en tu día a día?
    • Cuándo necesitas una aplicación que no tienes instalada, ¿Cómo haces? Dejar que se explaye.
    • ¿Abres un ticket o contactas con IT?

En este punto según sus respuestas se puede profundizar más en el tema tratando de conocer si el usuario es admin local sin llegar a hacer esa pregunta tan directa o bien tratando de dar alguna respuesta fake (o no, si ya nos han confirmado sus compañeros de verdad) para invitar a que nos confirme la información, y preparar el entorno a la siguiente pregunta. Cómo se puede apreciar, se está tratando de sacar entre líneas:

  • Si usa un 2FA o bien si se lo pide sólo cuando hace teletrabajo.
  • Conocer si es admin local o detectar el procedimiento de instalación de herramientas.
  • Conocer el software o incluso versión de la VPN que pudiera utilizar.
  • Identificar el sistema operativo que dispone del portátil o sobremesa.

Sin llegar a preguntar de manera directa cuestiones que posiblemente nos pudiera denegar la respuesta o sospechar, se puede llegar a alcanzar esa información.

Y ahora que el llamado se ha puesto cómodo como Homer:

Se llega a las preguntas intrusivas. En este punto de la llamada ya se debería de llegar a dos puntos:

  • El llamado ha desconfiado y ha colgado o se niega a contestar a las preguntas.
  • La conversación ha alcanzado un nivel de confianza bueno y el llamado muestra poca resistencia a contestar al sentirse en un ambiente cómodo o de confianza.

Espero que sea más la segunda opción que la primera xd Es el momento:

Algunas preguntas podrían ser:

  • ¿Al iniciar el equipo necesitas introducir algún dato para arrancar o tiene un inicio automático? Se busca conocer si dispone de soluciones como bitlocker o si tuviera las credenciales en el registro de inicio de sesión, o por ejemplo, si uso un PIN o biométrico.
  • ¿Cómo sueles compartir documentos con tus compañeros?
  • ¿Para las reuniones utilizas la misma herramienta (teams, google meet, zoom….) o es diferente según sean personal interno o externo?
  • ¿Sabes si tienes habilitado introducir almacenamiento externo en el equipo como USB o disco duro?
  • ¿Deberías disponer de alguna solución de antivirus? Podrías confirmarme si es así. Sino indicar como comprobarlo.
  • ¿Tienes el equipo actualizado? Necesito que accedas a Win+R y ejecutes este comando (powershell.exe -> Get-HotFix)?
  • Es posible que necesite conectarme para hacer una comprobación. Vamos a utilizar la asistencia remota de windows….
  • etc…

En esta colección se preguntas se pueden involucrar preguntas para alcanzar los hitos para que el llamado interactúe con su equipo (con nuestra ayuda guiada) así como acceder a un recurso externo.

Puede llegar un momento, que el llamado se niegue a colaborar…

En este caso, se puede hacer uso de escenarios como desafortunadamente se tendrá que dar reporte a <RESPONSABLE> y que se prefería no hacerlo ya que en apenas unos minutos finalizaría el proceso.

Esto serían unos ejemplos de preguntas para alcanzar los hitos acordados durante la campaña de vishing a través de las tres categorías de preguntas.

Espero que haya sido útil =D

La slides que use las podéis encontrar en mi github.

El objetivo del post es dar una referencia o apoyo para realizar campañas de vishing en proyectos de ciberseguridad, así como una manera para mejorar la prevención y respuesta. El autor ni el blog se hace responsable de su uso para otros fines diferentes a la formación.

Nos vemos en el siguiente post!

Saludos.

N4xh4ck5

La mejor defensa es un buen ataque