Planificación y Ejecución de Ataques de Pretexting

Clase 19 de 27 • Curso de Introducción a la Ingeniería Social: Técnicas, Ataques y Pretexting

Resumen

El pretexting es una forma de ingeniería social que consiste en usar técnicas de manipulación para cometer delitos. El pretexting se da cuando una persona pretende pasarse por otra con el fin de obtener información privada y privilegiada, imitando ser alguien más (impresonation).

https://static.platzi.com/media/articlases/Images/Pretexting%281%29.png

¿Puede ser ilegal el pretexting?

El pretexting es, en general, ilegal en los Estados Unidos. No obstante, hay instituciones reguladas por la GLBA que están obligadas a establecer normas para educar su propio personal, destinadas a identificar los intentos de pretexting.

¿Cómo funciona un ataque de pretexting?

Hay ciertos pasos que debes tener en cuenta para identificar un ataque de pretexting. A continuación verás algunos pasos sobre el proceso para hacer pretexting desde el punto de vista de la práctica autorizada por instituciones reguladas.

Proceso de Planificación

El pretexting funciona creando un escenario inventado para persuadir a la persona objetivo de modo que pueda proporcionar cierta información o de realizar alguna acción.

Típicamente se realizará una investigación previa para conocer el tipo de lenguaje y la tecnología empleada por la gente que administra los sistemas o que tiene acceso a la información requerida, entre otras.

Preparación/Desarrollo

Algunos pasos previos a un pretexting son:

Escribir un guión - plantilla
Determinar el método
- Por teléfono
- Visitar el lugar varios días antes a diferentes horas
- Tomar fotos
- Determinar el vestuario
Tener claras las metas del pretext

Práctica del proceso

La clave del éxito del pretexting está en la práctica continua

Frente a un espejo
Con tu grupo de trabajo
En role play
Grabarse en video

Buenos pretextos

Los buenos pretextos son aquellos escenarios o personajes que ayudan a obtener la información que se requiere:

Ser un contratista
Entidades sin fines de lucro
La entrevista (entrevistador, entrevistado)
Encuestador
Sorpresas
Entrega de una orden
El nuevo empleado
Departamento de sistemas de IT
El auditor
La mamá/papá preocupados
El anciano/a
Otro

Contribución creada con aportes de: Teno SG

アルマレボ

student•

Interesante el concepto de OSINT, apenas lo voy descubriendo al mirar el documento para elaborar el proyecto :O comparto un enlace que trae más información https://ciberpatrulla.com/que-es-osint/ ahí mismo pueden encontrar una lista de enlaces de herramientas para buscar, saludos!

Diego Fernando Ramos Aguirre

student•

Excelente aporte, gracias.

Felipe Bernardo González Barranco

student•

Gracias!!

Javier Ramos

student•

Una película que nos muestra el Pretexting en todas sus formas es catch me if you can con Leonardo DiCaprio y Tom Hanks muy buena y vale la pena verla mas de una vez

Juan Camilo Cortes

student•

In some point, SE need some noledge how to act like a movie, do you think a course of acting is value for this carrier?.

Javier Ramos

student•

good question

Walquiria Salinas

student•

En argentina con la pandemia salieron unas ayudas del gobierno para la gente que estaba sin trabajo. Y fue con eso que empezaron los ataques de ingeniera social. A mi hermana (que si tiene trabajo) la llamaron diciendole que tenia asignada la ayuda pero que para eso necesitaban ciertos datos, si ella hubiera querido "aprovechar" esa ayuda hubiera caido en la trampa. Ella por suerte se dio cuenta y corto la llamada, inmediatamente aviso a quienes mas pudo de la nueva modalidad de ataque.

Jose Luis Quintero Sanchez

student•

Pretexting = Actuación!. Ahora que se venga el curso complementario de Teatro!, 😁

Daniela Maissi

student•

Hola hackers!

Existe algo llamado OSINT "¿qué?" "¿OSINT? y eso qué es?" Pues OSINT significa Open Source Intelligence (Inteligencia de fuentes abiertas) existe desde hace muchos muchos pero muchísimos años pero recién en los 70's 80's y 90's acuñamos el término OSINT. En esos años las fuentes abiertas eran radio, televisión, directorios, algunos organismos y entidades públicas, los basureros (en serio) y cualquier canal que pudiera funcionar para encontrar información sobre una persona. OSINT era utilizado por cuerpos de seguridad, detectives y hackers pero ahora la mejor fuente de OSINT es por supuesto...Adivina.. A ver... ¡Exacto! ¡internet! tenemos también SOCMINT (Social Media Intelligence) que tal como puedes deducir, tiene que ver con la investigación mediante las redes sociales, OSINT en la mayoría de los países se encuentra en situación de alegalidad es decir no es ni legal ni ilegal, pero la divulgación podría ser un delito, úsalo con cuidado :)

Nunca pares de aprender!

Marcos Sar Lo

student•

Ataque de Pretexting: “El Incidente del Contrato de Consultoría”

Nombre del Pretexto: Problemas con la firma del contrato de consultoría.
Nombre del Cliente: Empresa XYZ.
Nombre del Proyecto: Implementación de un nuevo sistema de gestión de inventario.
Nombre del Personaje: Laura Martínez.
Datos demográficos del Personaje: Laura es una mujer de 35 años, con experiencia en consultoría de procesos empresariales. Es amigable, extrovertida y tiene un buen conocimiento de la industria logística.
Antecedentes del Personaje: Laura trabajó en proyectos similares en otras empresas y tiene acceso a información sobre procesos internos y sistemas.
Nombre del Objetivo: Juan Pérez, el gerente de operaciones de la empresa XYZ.
Datos demográficos de Objetivo: Juan es un hombre de 45 años, meticuloso y preocupado por la eficiencia operativa. Tiene acceso a información confidencial sobre el sistema de inventario.
Resultados del OSINT: Laura ha investigado a Juan en redes sociales y ha encontrado que le gusta el golf y que recientemente se unió a un club exclusivo en la ciudad.

Introducción: Laura se presenta como una consultora de procesos de la empresa XYZ y se comunica con Juan Pérez para resolver un problema relacionado con la firma del contrato de consultoría.

Contexto: Laura envía un correo electrónico a Juan Pérez explicando que hay un problema con la firma del contrato de consultoría para el proyecto de implementación del sistema de gestión de inventario. Afirma que necesita verificar algunos detalles antes de proceder y solicita una reunión urgente.

CLOSING: En la reunión, Laura utiliza su encanto y conocimiento de la industria para ganarse la confianza de Juan. Durante la conversación, menciona que ha trabajado en proyectos similares y que está emocionada por colaborar con él. Aprovecha la oportunidad para obtener información sobre el sistema de inventario y los procesos internos de la empresa.

Palabras Claves: pretexting, contrato, consultoría, firma, sistema de inventario, reunión urgente, confianza, proceso empresarial .

Miguel Angel Espinosa Hernandez

student•

que tan legal o ilegal es hacer pretexting en redes sociales con algún perfil falso, justo como el caso que se comento anteriormente

Aury Curbelo

teacher•

Depende de las leyes que apliquen a tu paìs . En algunos lugares es considerado fraude.

Giovanny Ibanez Angarita

student•

Buen día. donde encuentro la plantilla?

Héctor Eduardo López Carballo

student•

Hola!

La encuentras en la sección de recursos debajo de la clase. Te dejo acá el enlace: https://view.officeapps.live.com/op/view.aspx?src=https%3A%2F%2Fstatic.platzi.com%2Fmedia%2Fpublic%2Fuploads%2Fproyecto-curso-ingenieria-social_ab03dbdd-38bc-47ff-88b3-c935ece855b9.docx&wdOrigin=BROWSELINK

Fernando Castellanos

student•

por ahi del 2019 empece a trabajar en un call center que se encargaba de transferencias de dolares de estados unidos a Latam, yo trabajaba en customer service generando los envios de dinero para las personas latinas que no sabian ingles y no podian interactuar con el cajero

Un dia una senora me habla desde su celular a la linea de servicio al cliente, me dio una historia, era sexoservidora y habia enviado dinero para la operacion de su madre y que necesitaba que se enviara el dinero pero su envio habia sido cancelado, como CS no podia negar su peticion para revisar su caso, pero necesitaba corroborar todos los datos para saber la situacion del envio.

Su respuesta fue que ella no tenia los datos porque no podia conservar documentos de informacion personal pero insistia con la voz quebrada y en lagrimas que de favor autorizara un envio de dinero por 10,000 pesos a una cuenta bancaria, lo cual estaba prohibido para nosotros.

Dude mucho sobre lo que tenia que hacer, muchas cosas no cuadraban al final tuve que disculparme mientras amenazaba con llamar a la policia, tenia la capacidad de generar un envio de esa cantidad? claro que si, pero yo iba a pagar los platos rotos y en capacitancion nos dijeron una frase muy celebre dentro de la empresa para evitar ese tipo de casos:

prefiero que lloren en tu casa a que lloren en la mia

Como exponen en este curso, las personas de CS siempre estan dispuestas a ayudar y son un blanco muy facil para los ataques y viendo este clase me recordo a ese incidente

Armando Aguilar L.

student•

Esto es un buen ejemplo, pero ahora se hace con crypto

Maria del Mar Suarez Solano

student•

Me gustaría saber hasta dónde vamos a llegar con la práctica de este ejercicio, sin meternos en problemas. Somos alumnos de una clase y buscar "atacar" a una empresa o persona, siendo personas que no tenemos el aval de una empresa para hacerlo, nos puede acarrear problemas legales. Si yo le hago ingeniería social a mi empresa, sin estar autorizado, lo más probable es que me meta en un lío. Si lo hago con un desconocido y fallo, me pueden demandar. Eso me preocupa, pues solo somos aprendices.

Aury Curbelo

teacher•

Los ejercicios de ingenieria social son tipicamente , dentro de la seguridad de la informacion, una buena practica. Pero existen reglas de engagement que debes seguir. Por que es una buena practica contar con la autorizacion para llevarlos a cabo.

Esteban Blanco Ortuno

student•

¿Es ilegal el pretexting si se hace por diversión como una broma o por interés científico para aprender, siempre y cuando no se gane dinero con ello y se avise a la victima después?

Omar Daniel Centeno

student•

Este tipo de respuestas son complicadas pues debes de revisar las leyes y normas que aplican para cada país o que maneja una empresa en particular. De manera general el pretexting es ilegal.

Agatha Fleitas

student•

Creo que es muy ilegal

Edwin Perafan Grajales

student•

Es muy de moda las estafas bajo confianza a traves de las RRSS como con FB, donde contactan generalmente a personas adultas, generan vinculo de confianza, logran un acercamiento sentimental y a traves de (hacerse pasar quizas por algun conocido de su infancia) logra tal vinculo que rompe cualquier posición de desconfianza, generando el objetivo que es por lo general el envio de dinero "para una ayuda urgente". historia que le sucedio a mi madre, pero afortunadamente logre identificar e impedir la situación "la transferencia economica"

Edwin Perafan Grajales

student•

El OSINT va mas alla de una herramienta expecifica, si no en el conjunto de habilidades y la metodologia que logra explotar al maximo motores de busqueda (como ejemplo) para lograr el objetivo necesario antes de iniciar un pretexting! Sin duda alguna información de mucho valor en este curso, su contenido y sus conceptos

RUPERTO ALEXANDER GUERRON ARTEAGA

student•

KEVIN ANDRES CORNEJO SURICHAQUI

student•

El pretexting es una técnica de ingeniería social donde un atacante se hace pasar por otra persona, típicamente una figura de autoridad, para obtener información confidencial. Este proceso incluye definir un propósito, preparar una historia convincente, practicar la ejecución y finalmente llevar a cabo el ataque. Aunque puede ser usado éticamente para propósitos educativos, es ilegal en muchos contextos, como en instituciones financieras bajo la ley GLBA. Su éxito depende de una investigación previa y la habilidad del atacante para entrar en el personaje.

Diego Andrés Jaimes

student•

Buenos pretextos

Los buenos pretextos son aquellos escenarios o personajes que ayudan a obtener la información que se requiere:

Ser un contratista
Entidades sin fines de lucro
La entrevista (entrevistador, entrevistado)
Encuestador
Sorpresas
Entrega de una orden
El nuevo empleado
Departamento de sistemas de IT
El auditor
La mamá/papá preocupados
El anciano/a

Francisco Marín

student•

Pretexting = Suplantación de identidad

Adrián Pantoja

student•

muy buena la analogia entre un ingeniero social y un actor, pues en el pretexting vamos desarollando un personaje.

Planificación y Ejecución de Ataques de Pretexting

Introducción a la ingeniería social

Técnicas y Ataques de Ingeniería Social: Pretexting y Deep Fake

Historia y Evolución de la Ingeniería Social

Ingeniería Social: Técnicas de Persuasión y Seguridad Informática

Elementos Clave de la Ingeniería Social y su Efectividad

Ingeniería Social: Impacto Humano en Ciberseguridad

Identificación y prevención de ataques de ingeniería social

Principios de la ingeniería social

Principios de Persuasión en Ingeniería Social

Principios de Ingeniería Social: Reciprocidad, Urgencia y Más

Cualidades del Ingeniero Social: Ético y Malicioso

Tipos de ingeniería social

Ingeniería Social Basada en Humanos: Técnicas y Ejemplos

Ataques de Ingeniería Social Basados en Computadora

Taxonomía de Ataques de Ingeniería Social: Etapas y Estrategias

Taxonomía y Estrategias en Ataques de Ingeniería Social

Ataques de ingeniería social

Ejemplos de Ataques de Ingeniería Social: Carnada y Phishing

Pretexting en Ingeniería Social: Creación de Personajes y Escenarios

Ataques de Ingeniería Social: Vishing, Tailgating y Noticias Falsas

Elicitación

Elicitación: Técnicas de Ingeniería Social y Comunicación

Estrategias para Evitar la Elicitación en Ingeniería Social

Pretexting