Metas de la ingeniería social

Metas de la ingeniería social

Motvios:

• Curiosidad
• Venganza
• Beneficio personal o económico
• Diversión
• Desafío
• Mucho más

Metas de ingeniería social:
-> Las personas son engañadas para que revelen información confidencial como datos bancarios, contraseñas, etc.

-> Está información será usada por los delincuentes para estafar, realizar compras a nombre de otro, enviar spam, etc.

• Acceso a información
• Autorización
• Confianza
• Dinero
• Reputación
• Cometer fraude
• Espionaje industrial
• Robo de identidad
• Irrumpir en los sistemas/redes

Personal vulnerable a ataques de ingeniería social en una empresa
1.- Recepcionistas
2.- Vendedores
3.- Personal de nómina
4.- Recursos humanos
5.- Personal de finanzas
6.- Administración de oficinas

Posiciones atractivas para un ingeniero social

• Departamento de recursos humanos.
  Información de empleados:
  • Estado actual: trabajando, de vacaciones, enfermo, de momento trabajando en un proyecto fuera de la empresa, etc.
  • Departamento del empleado.
  • Nombre de los colegas
  • Superiores (si el ingeniero social quiere tomar la identidad de uno de ellos en un ataque)
  • Condición laboral
  • Información sobre el contrato y salario de un empleado
• Gerenciales
• “Newbies”
• “Temporeros”
• “Freelancers”
• Help Desk
  Responsabilidades:
  • Cuentas de usuarios (Creación, eliminación activación, desactivación)
  • Cambiar contraseñas
  • Instalar software (por razones de seguridad los empleados no deben tener permiso para hacer esto)
  • Ofrecer ayuda
    Cómo escoger un buen objetivo
    Una persona que:
• Trabaje en áreas donde tenga mucho contacto con el público
• Sea empleada en una compaía asociada con el objetivo
• Sea familiar/amigo del objetivo
• Cuente con amplia presencia en redes sociales
• Que exhiba la característica de ser muy sociable

Abraham ​Maslow
Formula en su teoría una jerarquía de necesidades humanas y defiende que conforme se satisfacen las necesidades más básicas (parte inferior de la pirámide), los seres humanos desarrollan necesidades y deseos más elevados (parte superior de la pirámide).

Los empleados insatisfechos pueden ser un gran atractivo para el ingeniero social, ya que la falta de motivación puede ser una puerta abierta a cualquier sistema.

RECOMENDACION para llamadas fraudulentas, siempre que te marquen del banco para decirte que tienes un cargo “sospechoso” o que no has pagado o cualquier otro motivo, nunca des información por muy mínima que sea, lo que tienes que haces es colgar y luego tu mismo marcar al numero del banco (así te aseguras de estar hablando con el banco) y entonces aclarar el asunto.

Si, hace como tres años caí en esta trampa, con un correo que me enviaron, supuestamente del Banco, y pues proporcioné información muy relevante.

Sería interesante articular no sólo la teoría de las necesidades de Maslow, sino también las de Maxneef. Esta teoría podría brindar una visión complementaria sobre las necesidades humanas, y de esa forma poder prevenir posibles exploits

• Hace un par de años, en Argentina, estaba de moda al parecer un ataque de ingeniería social que te llamaban supuestamente del banco porque ganaste un descuento en un seguro. Al final, no sabían de qué banco eras, sino sólo ciertos números de la cuenta o tarjeta. Trataban de que se los complete. NI siquiera sabían mi nombre. Esto es un claro indicio de un ataque de ingeniería social. También es sabido que hay empresas que compran u obtienen listados de números de teléfonos (sea de forma legal o ilegal) y se encargan de tratar de estafar a las personas. Por ej. un conocido me contó que trabajó por una semana en una empresa que supuestamente vendía seguros, pero de lo que se trataba era de que tenían muy pocos datos de la persona, por ej, su teléfono y principio de tarjeta de crédito, y lo que tenían que hacer es decir un speech de tal modo de que la persona revele información y datos de tarjeta para cobrarle el seguro; ante silencios o respuestas dudosas daba el aval del servicio a menos que explícitamente la persona del otro lado del teléfono dijera que no quería el seguro. Si le llegaba a dar el número de tarjeta por completo, ya se le adjuntaba el seguro, y luego para la persona era difícil de darlo de baja (burocracia, incomunicación, etc.).

• También en argentina se hacían los secuestros virtuales: estudiaban a una flia, y cuando los hijos no estaban, llamaban a los padres simulando que tenían secuestrado al hijo y arreglar un rescate. Le pasó a mi compañera de la facu: simularon ser la policía y que llamaba el comisario para decirle que el hermano de ella estabe en la comisaría; se escuchan gritos supuestamente del hermano que la llamaba por su primer nombre,pero a ella nadie todos la llaman por su segundo nombre, eso la hizo sospechar. Justo cuando estaba ocurriendo eso, el hermano entró por la puerta, ya que había salido temprano de la escuela.

• El cuento del tío: envían un mensaje a una abuelita a su teléfono diciendo que es el nieto/sobrino etc, y que cambió de número, y la estafan de alguna manera, la manipulan para que le deposite plata etc…

• También en Argentina: te llamaban supuestamente de parte del gobierno por tema de salario familiar o ayuda económica social, e intentaban sacarte datos para robarte dinero de la cuenta dedicada a eso. O bien te pedían que deposites x cantidad de dinero para “activar” la cuenta y poder recibir la ayuda.

• Mi novia una vez en 2019 estaba averiguando por cursos para hacer online, y en una web que encontró, consult+o por tel, pero para pagar no pasaban CBU para que yo les transfiera, o un link de pago seguro a Mercadopago, sino que me pedían mi numero de tarjeta de DEBITO y el código del reverso. Claramente les dije que cómo me van a pedir eso, y se hacían los desentendidos, tratando de parecer como algo inofensivo. Le dije a mi novia que era sospechoso que no quieran darme otra forma de pago, y dejamos esa plataforma o academia, no recuerdo que era. (cuidado con las plataformas de educación online truchas)

Las personas sociables son las mas vulnerables… a las personas les gusta hablar y contar todo jajajaj

Esta es la sexta clase y los términos de Aury me generan conflictos éticos. Hay que atacar a alguien para poder hacer lo que se quiera, se sacrifica a alguien para eso. 😦

Quede impresionado de el como algunos Black Hats piensan, como es aplicable a las personas que tienen ese don de ayudar a los demás, impresionante como se convierten automáticamente en un eslabón débil.

Cuando me han llamado, e indentifico que es alguna llamada donde pretenden informacion personal, mis respuesta son, dame el dni, o nombre que te figure en el sistema y yo te lo valido, en caso contrario no doy informacion…

Al ingresar al mundo de las criptomonedas puedo ver con más frecuencia cómo utizan diversos medios con el objetivo de obtener información acerca de nuestras inversiones y plataformas que utilizamos.

llevo alrededor de 3 years sin subir foto de mi cara en facebook y para llevarlo mas al extremo con preferencia no dejarme captar por alguna camara no subir adsolutamente nada de informacion personal a mis redes y siempree me decian mis amigos y familiares que no era muy sosial y que a ese paso no podria obtener sitas con chicas o algo por el estilo simplemente por no mostrar mi cara, mi respuesta siempre era que simplemente no queria porque haci me sentia bien y asta que conosi la ingenieria sosial me di cuenta que almenos cuento con un poco de ventaja a las vulneravilidades jaja asta el dia de ahora conformo un perfil sano de proyectos en linkendn y madure un poco hacerca de ser muy disconfiado de todo el internet a un haci creo que debemos guardar protencion con nuestros datos en la Red.

Hace tiempo me quisieron extorcionar con una agencia de viajes, pero desde el inicio supe que era un fraude porque el tipo tenía mucha prisa porque realizara el pago de la super promoción, a lo que mencionaba del sentido de urgencia.

Casi caiga en un ataque a traves de un correo electronico para cambiar mi contraseña de una pagina conocida para recibir dinero y hacer compras, menos mal me di cuenta que no era de la pagina verdadera y no realize el cambio de contrasela pero es la unica vez que estuve muy cerca de caer en el engaño

Todas están diseñadas en profesiones para servir

Finalmente se cruzan varios tipos de propósitos. El estafador, el ladrón, el extorsionista, el que suplanta identidad para cometer delitos sexuales, el espía industrial, el bromista, etc. Así que todos somos susceptibles de caer.

Hace algunos años viví un caso donde un atacante buscaba información de personas con cargos directivos, esta persona hacia algo asi como una cadena de contactos y de cada uno sacaba un poco más de información se ganó la confianza y logró estafar a varios colegas

He tenido experiencias donde me marcan supuestamente del banco pero el mayor fallo que tuvieron era ir directo por mi cuenta y me pidieron mis accesos jejej me di cuenta de eso y pues ya solo colgué, en otra ocasión me dijeron que tenia un cargo no reconocido y querían los 16 dígitos de mi tarjeta, ese fue un poco mas sutil pero por suerte del banco del que según me marcaban ya no lo tenia dentro de mis cuentas activas así que no di información y luego yo marque.

Es una clase excelente se puede aprender conceptos muy diversos y aplicables a muchas situaciones.

estube trabajando en una empresa que se llama " Fresenius Medical Care" por medio de una empresa que se llama Redes y Electricos, pues yo estaba trabajando con ellos a termino indefinido pero ellos ofrecieron mis servicios como prestacion de servicios, cosa que no me intereso mucho porque queria trabajar y ganar plata, esa empresa queda a las afueras de la ciudad no me daban trasporte ni nada, me di cuenta despues que utilizaban esta forma de ingenieria social, son muy persuasivos y nunca hablan de forma directa, hasta ahora me doy cuenta que no tenian redes sociales y eran muy reacios a hacer una amistad, entonces ahora me pregunto, sera que fui parte de algun sabotaje o de alguna forma de espiar sin darme cuenta ??? la verdad nunca lo sabre… no tenia ni idea pero es muy util, ya que empleaban lo mas barato para realizar este tipo de tareas… Saludos…

Hoy en día por tema regulatorio en México los bancos solicitan tu ubicación al iniciar la sesión en la banca móvil, esto cayó como anillo al dedo a los delincuentes, dado que muchas “llamadas del centro de monitoreo y prevención de fraudes” han sido lanzadas a usuarios de diversas bancas móviles. El motivo es muy simple y te dicen “hemos detectado que se han realizado operaciones no reconocidas en diversos puntos del país” a lo que una persona nerviosa o temerosa podría caer en la trampa fácilmente. Hace dos meses me llamaron de un conocido banco en México siguiendo este modus operandi y la verdad me dio curiosidad saber como lo hacen (dado a que hoy día se tiene un token móvil ligado a tu dispositivo para poder realizar transferencias, si es que lo tienes activo). La cuestión es muy simple:

• Te contactan del centro de monitoreo y prevención de fraudes

• Te comentan que han detectado diversos movimientos sospechosos en muchas partes del país, inclusive te dicen que tienen la información de la ubicación y el dispositivo como número de teléfono y modelo

• Acto seguido proceden a realizar la sección de “confirmar tus datos” para poder corroborar que tu no has realizado estos movimientos (hasta este punto solo están recolectando información)

• Posteriormente te preguntan si tienes el token móvil activo, si no lo tienes activo te comentan que por cuestiones de seguridad debes activarlo y que ellos te ayudan a hacerlo (obviamente esto es un fraude ya que todos los bancos indican que es una operación personal que solo debe ser ejecutada por ti). Si lo tienes activo te dicen que debes bajar una aplicación que te ayudará a asegurar que no hayas sido vulnerado, obviamente para tener el token en su poder.

• Una vez que tienen esta información te dicen que debes esperar al rededor de 1 hora y que posiblemente notes que algunos mensajes estarán llegando a tu celular, pero que no te preocupes están revisando tu cuenta para prevenir ataques futuros.

• Al final cuando accedes a tu banca todo tu dinero ha sido robado.

Hace poco me llamaron de un banco y me preguntaron el nombre e hicieron preguntas a lo que conste de manera afirmativa, finalmente terminaron la llamada y al dia siguiente me llegó un cobro de un seguro de vida.
Al momento de hacer le reclamo me mostraron la grabacion y allí habian usado una de mis respuestas afirmativas en edicion para responder que si habia aceptado comprar mi seguro.

FALTO personal aseo o conserje son susceptibles a la ingeniería social, si usted quiere conoce la empresa, ubiquemos al personal del aseo , ellos saben donde están ubicados , de nomina, tesoreos etc.

Personalmente, hasta ahora no he sido víctima de trampas de ingeniería social, pero si conozco personas cercanas que lo han sido. Han sufrido mucho por este tipo de ataques, ya que han tenido como consecuencias pérdidas económicas y repercusión en la salud.

El motivo fue la falta de información y aprovecharse de que eran personas que confiaban en “supuestos profesionales” que eran ciberdelincuentes en realidad.

Estoy totalmente de acuerdo, los principales objetivos siempre van a ser aquellas personas que, además de ser sociables y abiertas a hablar e interactuar más con lo demás, cuenta con información muy sensible de todas las personas con las que tratan (clientes, personal, proveedores, etc.).

Si han intentado, con el tema de información del banco. La verdad estaba muy confiada, pero de repente una me pregunta no me cuadro y he colgado. A mi mami le paso con que le llamaron que su sobrino querido le ha pasado algo y que debía enviar dinero y ella ya lo estaba buscando para girarlo y pues llego mi hermana y llamo al sobrino y estaba bien.

La pirámide de Maslow, o jerarquía de las necesidades humanas, es una teoría psicológica propuesta por Abraham Maslow en su obra Una teoría sobre la motivación humana (en inglés, A Theory of Human Motivation) de 1943, que posteriormente amplió. Obtuvo una importante notoriedad, no solo en el campo de la psicología sino en el ámbito empresarial, del marketing y la publicidad.1​ Maslow formula en su teoría una jerarquía de necesidades humanas y defiende que conforme se satisfacen las necesidades más básicas (parte inferior de la pirámide), los seres humanos desarrollan necesidades y deseos más elevados (parte superior de la pirámide). 2​

Cuando estaba en la prepa un amigo y yo hacíamos phishing para obtener contraseñas de bancanet, en aquel tiempo la seguridad era super básica, podíamos ver los saldos de nuestros profesores. Fue muy divertido y de mucho aprendizaje, ahora definitivamente es más complejo, pero lo que veo es que la mente sigue siendo fácil de engañar.

me han pasado y siempre me pregunte como tratar de evitarlo para poder así ayudar a los que me rodean en caso de que suceda

Aun no he pasado por ningún ataque se Ingeniería social. Si he sido un poco precavido.

muy bueno el curso

el area psicologico es un factor importante, ya que sin este conocimiento una expareja utilizo todas estas conmigo XD, creo que seria una excelente area para ella.

Lamentablemente la ingeniería social ya no se limita únicamente a los empleados de una compañía, cualquiera puede ser víctima de un ataque por ingeniería social, y el contenido que subimos en nuestras redes ayuda a ese ataque

buena clase, hasta ahora para mi la mejor del curso

“Es importante conocer al enemigo para poder protegerse”.

Hay que tener precaución de no relevar información confidencial, especialmente las personas que trabajan en recursos humanos, help desk, personas que trabajan en servicios.

en mi empresa tuvimos un intento de hackeo a traves del equipo de recursos humanos. al estar siempre en contacto con el publico. tuvimos que tomar correctivos y cambiar la politica.

los mas bulnerables
servidores
venderores,
asistentes telefonicos
vendedores.
personas que tengas contacto directo con los demas.

objetivo
cualquier persona con acceso a informacion sencible
datos personales
nombre
lugar de trabajo
datos bancarios

buscar informacion en su circulo social e ir entrando para obtener mas informacion ,
amigos , compañeros, familia.

Me intentaron vender la idea de que tenía unos puntos en el banco por una cantidad de 10,000 pesos y querían verificar mi cuenta para poder designármelos…

Me sucedió alguna vez con mi tarjeta de crédito. Nunca voy a olvidar cómo caí de redondito. :v

Pasa mucho en US que la gente postea en el market place de facebook las cosas que quieren vender. Yo intenté hacerlo, y al instante de realizar la publicación entre 3 y 4 cuentas escribían preguntando por los artículos, del afán de responder a tantas cuentas se cerro el acuerdo con unas diciendo que apenas recibiera el dinero hacia el envío, claramente pedian numero de cuenta y a que banco, y asi enviaban correos falsos de la transacción, pero al validar en la app nunca se reflejaba el dinero, motivo por el cual dude y al ver el correo desde donde se enviaba no era propiamente del banco, sino de correos de gmail.

Resumen en Notion
https://n9.cl/f6yo3

He identificado que me han intentado contactar de bancos, realizando ingeniería social donde buscan comprobar los datos y tratar de llegar a que les brinde datos de acceso donde claramente al conocer de estos mecanismmos que fomenta la formación para prevenir este tipo da casos

He recibido llamadas de extorsión y otras, normalmente suelo quedarme callado hasta que alguien diga hola o algo, pero siempre estoy atento a que tipo de información me piden, por ejemplo un día llamaron del banco para avisarme de un servicio y me pedían mi nombre, lo cual no accedí, preferí decir que lo atendería en persona en el banco.

Por eso cuando me llaman de los bancos y me piden datos no doy nada de informacion o los confundo dando informacion parecidad y ellos me comprueban la info y les digo sii sii perdon es que estoy ocupado cualquier cosa si me interesa paso por el banco personalmente. Gracias.

ahorita que lo pienso al principio de la introduccion del curso la doctora dice: “No me hago responsable de como apliques los conocimientos de este curso”, sin darme cuenta fue un buen uso de la pesuacion para que siguiera con este curso el cual hace enfasis en lo mismo,es simplemente increible!!

Personal de finanzas y administración de oficinas. Información y acceso físico, respectivamente.

Al audio se grabo cortado 😦

Mysterio se la aplicó a Spiderman (?

FUI VICTIMA COMPRANDO UNA FIGURA DE COLECCIÓN EN LINEA, PEDÍ REFERENCIAS EN UN GRUPO Y RECIBÍ MUCHAS RECOMENDACIONES, PUES RESULTA QUE TODAS LAS CUENTAS QUE RECOMENDARON TAMBIÉN ERAN FRAUDULENTAS CON LO CUAL DEPOSITE Y NO RECIBÍ EL PRODUCTO.

SI COMPRAN EN GRUPOS PIDAN APOYO DE ADMINISTRADORES.

En relación a alguno de los ataques de Ingeniería Social de relevancia pública destaca el Fraude o Ataque del CEO como la modalidad de ciberataque que consiste en la suplantación de identidad del CEO de la empresa o un responsable con capacidad de realizar pagos.

De interés leer algunos de los artículos aparecidos en la prensa española:

https://www.lavanguardia.com/local/valencia/20190930/47719655163/juan-garlos-galindo-estafa-emt-ceo-grezzi.html

https://elpais.com/politica/2019/09/27/actualidad/1569591711_014709.html

Un cordial saludo a [email protected]

Nunca he sido víctima de los ataques de ingeniería social porque siempre he desconfiando de todo lo que me envían 😅

Tristemente si recuerdo haber sido victima de estos ataques, precisamente a través del ejemplo que dio la Dra. Curbelo. Un enlace a una página de almacenamiento en linea que con urgencia me pedia volver a iniciar sesión antes de que mi cuenta se cerrara por inactividad 😦

Con organizaciones he trabajado es para ayudar a que los adultos mayores no sean victimas de personas que les hacen fraude a través de teléfono, ya que los manipulan diciendo, en muchos de los caso, que los nietos están envueltos en accidentes y que se encuentran en el hospital, y que la única manera de admitirlos es obteniendo un numero de Tarjeta de crédito. La mayoría de victimas fueron personas con una gran huella en redes sociales.

Cada cierto tiempo llaman del banco preguntando si ya me llego la nueva tarjeta, les digo que si y no saben que decir jejejeje.

Personalmente no he sido victima de ingeniería social, pero si conozco varios casos muy cercanos de personas que han sido víctimas de estos actos delictivos.

Que buena manera de entender la ingeniería social con ejemplos cotidianos

Importante tener claros los objetivos de los ataques

soltar un nombre.

ORO = información de empleados.

Los sociópatas se van a identificar con las actitudes para hacer un ataque de ingeniería social

Este curso cada vez se vuelve mucho más interesante