Introducción a la ingeniería social

1

Lo que aprenderás sobre ingeniería social

2

Antecedentes de la ingeniería social

3

¿Qué son la ingeniería social y las reglas de compromiso?

4

¿Por qué funciona la ingeniería social?

5

Datos de la ingeniería social

6

Metas de la ingeniería social

Principios de la ingeniería social

7

Principios de la ingeniería social según Kevin Mitnick y Robert Cialdini

8

Principios de la ingeniería social a detalle

9

Perfil del ingeniero(a) social

Tipos de ingeniería social

10

Tipos de ingeniería social: basada en humanos

11

Tipos de ingeniería social: basada en computadoras

12

Taxonomía de la ingeniería social: marco de ataque

13

Taxonomía de los ataques

Ataques de ingeniería social

14

Ejemplos de ataques de la ingeniería social: Baiting y Phishing

15

Ejemplos de ataques de ingeniería social: Pretexting, Sextortion, Dumpster Diving, Quid Pro Quo

16

Ejemplos de ataques de ingeniería social: Vishing, Fake News, Tailgating, Piggybacking

Elicitación

17

¿Qué es la elicitación y por qué es tan exitosa?

18

Estrategias y respuestas a la elicitación

Pretexting

19

Qué es el pretexting y cuál es su proceso

Deepfake

20

Qué son los Deepfake y sus tipos

21

Aplicaciones disponibles para crear Deepfake

22

Relación del Deepfake, la ingeniería social y cómo detectarlos

23

Herramientas de detección de Deepfake

24

Retos de los procesos de investigación forense en Deepfake

Construyendo el muro humano y contramedidas

25

Medidas de prevención, protección y cómo crear una cultura de seguridad

26

Cómo protegerse y recomendaciones

Proyecto

27

Creando un escenario de pretexting

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Ejemplos de ataques de ingeniería social: Pretexting, Sextortion, Dumpster Diving, Quid Pro Quo

15/27
Recursos

Al momento de crear un Pretexting es cuando se crea la historia. Debes buscar mucho más a profundidad a la víctima, entender sus motivaciones, miedo y debilidades. Debe aplicarse más de tres principios para cumplir con el objetivo, estimular la confianza y explotarlo.

Sextorsión

Chantajear a la víctima para que envíe dinero, o de otra manera divulgara imágenes o videos comprometedores. Este tipo de ataque se peude hacer aun sin tener dicho material. El miedo y la verguenza muchas veces van a ocacionar que la victima intente pagar lo más pornto posible. La siguiente es una email real que estuvo circulando hace un tiempo.

¡Saludos!

Este correo electrónico no tiene buenas noticias para usted. ¡Es un recordatorio de sus actos sucios! El dispositivo que utiliza para acceder a Internet está infectado con un software espía desde hace alrededor de 4 meses. Llevo mucho tiempo vigilando sus actividades en Internet.

Cómo es esto posible: Hace aproximadamente medio año se produjo una enorme filtración de datos personales (principalmente contraseñas y datos de acceso), que también afectó a su proveedor de correo electrónico (spmt.upct.es).

Los hackers profesionales utilizaron esos datos para acceder a los sistemas operativos de las víctimas potenciales (incluido usted), instalando loaders especiales que permiten instalar absolutamente cualquier cosa en los dispositivos infectados.

Me gustaría señalar que las empresas antivirus llevan mucho tiempo luchando para hacer frente a este tipo de software espía, ya que los códigos de los troyanos se actualizan continuamente e impiden que los antivirus hagan su trabajo.

De esta forma, todos esos datos personales quedaron disponibles en el mercado negro y yo los compré para instalar mi programa espía y empezar a revisar la información personal de la gente, con la esperanza de encontrar algo interesante. Algunas personas tienen un montón de documentos aburridos, otras, juegos básicos, otras juegan al casino… Utilicé todos esos dispositivos para hacer minería de criptomoneda.

Sin embargo, al final me topé con algo realmente especial al comprobar sus datos personales Parece que le gusta mucho ver vídeos pervertidos (es fácil confirmarlo comprobando el registro de actividad de sus reproductores multimedia y el historial del navegador). Llevo tiempo filtrando los vídeos más impactantes con los que se masturba, y grabándolo a través de la cámara y el micrófono de su dispositivo.

Como resultado, he generado algunos vídeos cortos donde sale dándose placer (de maneras realmente impresionantes a veces), y en la parte inferior de la pantalla aparece el vídeo que estaba viendo en ese momento. He conseguido crear una colección realmente buena en los últimos meses

¿Qué cree que pasaría si compartiera esos vídeos con sus colegas, familiares y amigos? Teniendo en cuenta la “peculiaridad” de los vídeos que suele ver, la opinión que tienen de usted cambiaría para siempre. Supongo que incluso podría tener problemas con la ley debido a ciertos vídeos de esa colección…

Pero no me interesa en absoluto meterle en ese tipo de problemas. Solo quiero que me dé algo de dinero, ya que he invertido una importante cantidad de tiempo y esfuerzo en hacer todo esto. Este es el trato: ¡el equivalente a $700 (USD) en bitcoins será suficiente! ¡Si quiere pagar más, no dude en hacerlo!

Mi monedero de BTC para la transacción es: 1FH*******************************3A

Comprar bitcoins y enviarlos a mi cartera no es nada complicado. Basándome en los registros, sé que no es tonto y sabe cómo utilizar Internet. La verdad, no se me ocurre en qué otro sitio se pueden encontrar este tipo de vídeos (con usted masturbándose). 😉

En cuanto reciba una notificación de su transacción, borraré inmediatamente sus vídeos pervertidos junto con el vídeo porno que estaba viendo en ese momento. Después, me olvidaré por completo de usted (tranquilo, no es el único así). Por cierto, no tiene ni idea de la cantidad de gente que se masturba con porno en todo el mundo.

¡¡¡Aunque no ven esos vídeos tan pervertidos y desagradables que le gustan a usted!!! Pero, como ya he dicho, ¡no debe preocuparse!

Aquí tiene las sencillas pautas que debe seguir para acabar con todo esto de la forma más sencilla: # Tiene 48 horas para completar la transacción en bitcoins. Si después de 48 horas no recibo su dinero, subiré su vídeo a sus recursos en línea y lo enviaré a toda su lista de contactos. Sus parientes, colegas y amigos más cercanos recibirán un correo electrónico o un SMS de mi parte. Debe hacer todo lo que le pido en el plazo indicado, ¡no esperaré más! # El temporizador se iniciará automáticamente justo después de abrir este correo electrónico. Tenga en cuenta que, aunque el correo electrónico lo abra otra persona, el temporizador se iniciará igualmente. # No tiene sentido responder a este correo. He generado la dirección del remitente (simplemente he utilizado una dirección aleatoria de Internet). Lo único que debe hacer es pagar. # Intentar localizarme es una mala idea, ya que utilizo nodos y un sistema blockchain para realizar las transacciones de bitcoin. # Reinstalar el Sistema Operativo tampoco le servirá de nada. Aunque queme su dispositivo, no se solucionará el problema. Todos los archivos ya han sido encriptados y guardados en sitios web de alojamiento de archivos remotos. # Una vez que la transacción se haya completado, no hace falta que me lo notifique. Podré verlo por mí mismo, ya que vigilo toda su actividad en Internet.

Por favor, tenga en cuenta lo más importante: Una vez que complete la transacción, eliminaré mi virus troyano de su dispositivo, así como todos los vídeos humillantes, de los recursos remotos en línea. Después, podrá olvidarse de mí y de esta desagradable situación. ¡Esa es la mejor solución para este problema!

Un último consejo: ¡cambie todos los datos de acceso a todos sus servicios de Internet, ya que puede que no sea el único que tenga acceso a sus cuentas!

Sea sensato. ¡Buena suerte!

Shoulder surfing

Espiar físicamente a las víctimas para conseguir información personal. Puede ser desde seguirlo, hasta revisar sus dispositivos electrónicos.

Dumpster Diving

Explorar la basura con el objetivo de buscar información valiosa. Esta técnica es muy usual de verse en películas y series de televisión, pero no deja de ser una técnica real.

Quid Pro Quo “Una cosa por otra”

  • Cuando ofrezco a la víctima que ha ganado un premio o invitar a completar el formulario. Hace unos años se volvió famosa una estafa donde sé pedía ayuda para cambiar un cheque de una cantidad muy alta, pero para darte el cheque te pedían un pequeño depósito “como seguro”. Se supone que, cuando se cambie el cheque, se regresa el depósito y se reparte el dinero. Obviamente, el cheque es falso, pero para cuando la victima lo sabe los estafadores ya habían huido con el dinero del depósito.

Contribución creada con aportes de: Angie Espinoza

Aportes 16

Preguntas 1

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Pretexto - Pretexting

  • El atacante simula situaciones ficticias para obtener información personal, sensible o privilegiada y utilizarla con fines delictivos.

  • El pretextan a menudo implica investigar el objetivo de ataque.

  • El objetivo principal del actor de la amenaza es ganar la confianza del objetivo y explotarlo atraves de una llamada telefónica o en persona

Sextorsión

  • Este ataque de ingeniería social consiste en chantajear a la víctima para que envíe dinero al ingeniero social a cambio de no distribuir por internet imágenes o videos comprometedores. (FYI Only)
  • En ocasiones dispone de dicha información comprometida, pero en muchas ocasiones es mentira o es un montaje.

Shoulder surfing
Consiste en espiar físicamente a las víctimas para conseguir información confidencial como las credenciales de acceso a un sistema, equipo, plataforma, etc.
(politica de escritorio limpio)

Dumpster Diving

  • Este ataque de Ingeniería social consiste en explorar la basura con el objetivo de buscar información valiosa.
  • Muchas veces, las personas suelen tirar a la papelera documentos importantes sobre sí mismos o sobre la empresa en la que trabajan.

Quid Pro Quo “Una cosa por otra”

  • En este tipo de estafa se tienta a los usuarios con ganar algo, como premios o descuentos en productos costosos, pero solo una vez que hayan completado un formulario en el cual se solicita una gran cantidad de información personal.
  • Todos los datos recopilados se usan para el robo de identidad.

La delgada linea entre lo correcto y lo ilegal, como dicen en los shows televisivos, No intenten esto en casa, su ip los delatara, su computadora los delatara.

Este curso me está volviendo muy paranoico y precavido. Me encanta.

Entras a una empresa y vez en la computadora del recepcionista que no tiene activado el Windows. El hacker se puede hacer pasar por un tecnico de Micrsoft para un phising

Que Buena clase.

Montar un buen “pretexto” para realizar un ataque es lo que hace que el ataque tenga credibilidad, tiene que tener al menos tres elementos de ingeniería social para que funcione correctamente.

*No es recomendable en ataques de ingeniería social éticos no es recomendable utilizar la técnica de “sextorsion”, ya que es muy cruel e incluso ilegal.

“…tenia hasta USB cargados con sorpresitas…” 😃 Excelente!!!

Quid pro quo = tu me das yo te doy

Que perspectiva tan amplia, muy bueno el curso.

1. **Pretexting:** * **Definición:** Pretexting es una técnica de ingeniería social que implica la creación de una historia ficticia o pretexto para engañar a las personas y obtener información confidencial. El atacante puede hacerse pasar por alguien de confianza, como un empleado de la empresa o un representante de servicio al cliente, para obtener datos sensibles. 2. **Sextortion:** * **Definición:** Sextortion es una forma de chantaje en la que el atacante amenaza con divulgar material sexualmente explícito o comprometedor a menos que se realice un pago o se cumpla con sus demandas. Esto a menudo involucra el uso de imágenes o videos íntimos que la víctima desea mantener privados. 3. **Dumpster Diving:** * **Definición:** Dumpster Diving, o "buceo en la basura", implica buscar información valiosa en la basura física. Los atacantes pueden buscar documentos impresos, facturas, registros u otros materiales desechados que contengan información confidencial. 4. **Quid Pro Quo:** * **Definición:** Quid Pro Quo es una táctica donde el atacante ofrece algo a cambio de información. Puede ser una promesa de ayuda, servicios o beneficios a cambio de datos confidenciales. Por ejemplo, un atacante podría hacerse pasar por un técnico de soporte ofreciendo asistencia inmediata a cambio de credenciales de acceso.
si te están haciendo una sextorcion puedes apoyarte en esta pagina web que ellos a tra vez del hash del archivo pueden eliminarlo de internet <https://stopncii.org/>

lo de la basura yo lo conocia como trashing

Un clasico ejemplo de pretexting seria el extraterrestre de la serie American Dad

excelente

Que Buena información.