Introducción a la ingeniería social

1

Lo que aprenderás sobre ingeniería social

2

Antecedentes de la ingeniería social

3

¿Qué son la ingeniería social y las reglas de compromiso?

4

¿Por qué funciona la ingeniería social?

5

Datos de la ingeniería social

6

Metas de la ingeniería social

Principios de la ingeniería social

7

Principios de la ingeniería social según Kevin Mitnick y Robert Cialdini

8

Principios de la ingeniería social a detalle

9

Perfil del ingeniero(a) social

Tipos de ingeniería social

10

Tipos de ingeniería social: basada en humanos

11

Tipos de ingeniería social: basada en computadoras

12

Taxonomía de la ingeniería social: marco de ataque

13

Taxonomía de los ataques

Ataques de ingeniería social

14

Ejemplos de ataques de la ingeniería social: Baiting y Phishing

15

Ejemplos de ataques de ingeniería social: Pretexting, Sextortion, Dumpster Diving, Quid Pro Quo

16

Ejemplos de ataques de ingeniería social: Vishing, Fake News, Tailgating, Piggybacking

Elicitación

17

¿Qué es la elicitación y por qué es tan exitosa?

18

Estrategias y respuestas a la elicitación

Pretexting

19

Qué es el pretexting y cuál es su proceso, ¿es ilegal?

Deepfake

20

Qué son los Deepfake y sus tipos

21

Aplicaciones disponibles para crear Deepfake

22

Relación del Deepfake, la ingeniería social y cómo detectarlos

23

Herramientas de detección de Deepfake

24

Retos de los procesos de investigación forense en Deepfake

Construyendo el muro humano y contramedidas

25

Medidas de prevención, protección y cómo crear una cultura de seguridad

26

Cómo protegerse y recomendaciones

Proyecto

27

Creando un escenario de pretexting

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Qué es el pretexting y cuál es su proceso, ¿es ilegal?

19/27
Recursos

El pretexting suele definirse como una forma de engaño en la que una persona asume una identidad falsa para acceder a información que no está autorizada a tener. Se utiliza a menudo en el ámbito de la ciberseguridad y puede considerarse una técnica de ingeniería social.

Diferencia entre pretexting y disfraces

La gente no suele tener clara la definición correcta del término “pretexting”. Un pretexto es una historia o explicación que se cuenta a los demás para ocultar la verdad. Los disfraces se montan encima de algo o alguien para que parezca algo que no es.

Un pretexto es una historia o explicación que se cuenta a los demás para ocultar la verdad. Un disfraz, por el contrario, es un traje que encubre tu identidad y te permite permanecer oculto.

Cómo se utiliza el pretexting en ciberseguridad

El pretexto es el acto de crear una identidad, un personaje o un escenario para engañar o atraer a la gente para que divulgue información. Es un tipo de truco de confianza que suele utilizarse con fines maliciosos.

Los pretextos se emplean a menudo en el espacio de la ciberseguridad para las ciberestafas. Suelen estar elaborados para que parezcan proceder de una organización legítima, lo que puede llevar a las víctimas a divulgar datos sensibles sin ninguna sospecha

Un pretexto es una mentira intencionada para hacer que algo parezca cierto o más creíble. El pretexto puede hacerse a través de un correo electrónico, una llamada telefónica, un mensaje de texto o incluso por correo tradicional.

Aportes 15

Preguntas 4

Ordenar por:

Los aportes, preguntas y respuestas son vitales para aprender en comunidad. Regístrate o inicia sesión para participar.

Interesante el concepto de OSINT, apenas lo voy descubriendo al mirar el documento para elaborar el proyecto 😮 comparto un enlace que trae más información https://ciberpatrulla.com/que-es-osint/ ahí mismo pueden encontrar una lista de enlaces de herramientas para buscar, saludos!

Qué es el pretexting?

  • El pretexting es una forma de ingeniería social.
  • Es la práctica de presentarse a uno mismo como otra persona con el fin de obtener información privada y privilegiada.
  • Imitando ser otra persona (impresonation)
  • En el pretexto le asigna al atacante le papel de alguien con autoridad que tiene derecho a acceder a la información que se busca, o que puede usar la información para ayudar a la víctima.

Es ilegal?

  • El pretexting es, en general, ilegal en los Estados Unidos.
  • Para las instituciones financieras cubiertas por la Ley Gramm-Leach-Biley (GLBA) de 1999 -casi para todas las instituciones financieras-, es ilegal que cualquier persona obtenga, intente obtener, revele o haga revelar al cliente información de una institución financiera por medio de pretexting o engaños.
    Source: https://bit.ly/3pXd49Z
  • Las instituciones reguladas por la GLBA también están obligadas a establecer normas para educar su propio personal, destinadas a identificar los intentos de pretexting

Proceso de planificación

  • Propósito

    ○ Crear un escenario inventado para persuadir al objetivo de modo que pueda proporcionar cierta información o de realizar alguna acción
    ○ Típicamente se realizará una investigación previa para conocer el tipo de lenguaje y la tecnología empleada por la gente que administra los sistemas o que tiene acceso a la información requerida, entre otras.

  • Preparación/Desarrollo
    ○ Escribir un guión - plantilla
    ○ Determinar el método

      	§ Por teléfono
      	§ Visitar el lugar varios días antes  a diferentes horas
      	§ Tomar fotos
      	§ Determinar el vestuario
      	§ Higiene. Depende del pretexto
      	§ Tener claras las metas del pretext.
    

§ Elaborar Plan B, C , D…

  • Práctica
    ○ La clave del éxito del pretexting está en la práctica continua
    ○ Frente a un espejo
    ○ Con tu grupo de trabajo
    ○ En role play
    ○ Grabase en video
  • Ejecución
    ○ Don’t be afraid to be great!

Buenos pretextos

  • Ser un contratista
  • Entidades sin fines de lucro
  • La entrevista (entrevistador, entrevistado)
  • Encuestador
  • Sorpresas
  • Entrega de una orden
  • El nuevo empleado
  • Departamento de sistemas de IT
  • El auditor
  • La mamá/papá preocupados
  • El anciano/a
  • Otro…

Framework para orientarse en herramientas a utilizar:
https://osintframework.com/ (por excelencia)
https://github.com/i3visio/osrframework

Para buscar usuarios, personas y otros, me funcionaron estos:
https://www.social-searcher.com/
https://buzzsumo.com/

Como ven en el framework, hay muchísimo. Recomiendo ver tutoriales y videos sobre OSINT. Participar de webinars y eventos es muy bueno también. Por ej. en la Ekoparty 2020 hubo un taller de encontrar personas desaparecidas.

  • Un buen escenario de pretexting seria el pasarse por un personal de salud llamando a la victima para confirmar datos para la programacion de la fecha de su vacunacion.
  • otro seria el pasarse por una entidad sin fines de lucro
  • Tambien el de pasarse por un empleado y llamar al Departamiento de TI

En argentina con la pandemia salieron unas ayudas del gobierno para la gente que estaba sin trabajo. Y fue con eso que empezaron los ataques de ingeniera social. A mi hermana (que si tiene trabajo) la llamaron diciendole que tenia asignada la ayuda pero que para eso necesitaban ciertos datos, si ella hubiera querido “aprovechar” esa ayuda hubiera caido en la trampa. Ella por suerte se dio cuenta y corto la llamada, inmediatamente aviso a quienes mas pudo de la nueva modalidad de ataque.

Una película que nos muestra el Pretexting en todas sus formas es catch me if you can con Leonardo DiCaprio y Tom Hanks muy buena y vale la pena verla mas de una vez

Pretexting = Actuación!. Ahora que se venga el curso complementario de Teatro!, 😁

Interesante curso.

Cordial Saludo.
En el transcurso de esta semana fui seleccionado en un proceso de entrevista con la empresa SONDA de Colombia, la cual constó de tres nivel: 1 con recursos humanos, 2 entrevista de líder y 3 entrevista con directora de área.
Me solicitaron enviar documentos de clasificación privada para verificar si es verídica en cuanto los aspectos de la hoja de vida, para culminar con el proceso de contrato al igual me agendaron y realizaron exámenes de ingreso.
No he recibido la solicitud para firmar contrato y al tratar de comunicarme no encuentro respuesta.

SE PUEDE CATALOGAR COMO PRETEXTING?

Esto es un buen ejemplo, pero ahora se hace con crypto
https://youtu.be/0CBvrgAUYV8?t=20

añadiría personal de limpieza es un buen pretexto y por lo general nadie lo nota

  • El “Target” sería una empresa.

  • El pretexting o escenario sería la de una administración pública o de salud que quiera dar una comunicación.

  • La localización a nivel del país o región.

  • Herramientas: visitar el entorno, investigar y buscar información sobre la organización, conocer que tipo de información promueven, conocer los diferentes perfiles públicos en redes sociales que tengan, indagar en sus datos webs, etc.

  • Oportunidades/Vulnerabilidades, a través de la investigación profunda crear un informe o historial detallado para ver la viabilidad de la trampa de ingeniería social ética.

Pretexting = ser un actor, es decir, imitar a otra persona y crear todo el el contexto para llevar a cabo nuestros objetivos (siempre de forma ética).

En la practica es donde esta la perfección

“La practica hace al maestro” un dicho aqui en Colombia.