Planificación y Ejecución de Ataques de Pretexting

Clase 19 de 27Curso de Introducción a la Ingeniería Social: Técnicas, Ataques y Pretexting

Clase anteriorSiguiente clase

Resumen

El pretexting es una forma de ingeniería social que consiste en usar técnicas de manipulación para cometer delitos. El pretexting se da cuando una persona pretende pasarse por otra con el fin de obtener información privada y privilegiada, imitando ser alguien más (impresonation).

https://static.platzi.com/media/articlases/Images/Pretexting%281%29.png

¿Puede ser ilegal el pretexting?

El pretexting es, en general, ilegal en los Estados Unidos. No obstante, hay instituciones reguladas por la GLBA que están obligadas a establecer normas para educar su propio personal, destinadas a identificar los intentos de pretexting.

¿Cómo funciona un ataque de pretexting?

Hay ciertos pasos que debes tener en cuenta para identificar un ataque de pretexting. A continuación verás algunos pasos sobre el proceso para hacer pretexting desde el punto de vista de la práctica autorizada por instituciones reguladas.

Proceso de Planificación

El pretexting funciona creando un escenario inventado para persuadir a la persona objetivo de modo que pueda proporcionar cierta información o de realizar alguna acción.

Típicamente se realizará una investigación previa para conocer el tipo de lenguaje y la tecnología empleada por la gente que administra los sistemas o que tiene acceso a la información requerida, entre otras.

Preparación/Desarrollo

Algunos pasos previos a un pretexting son:

  • Escribir un guión - plantilla
  • Determinar el método
    • Por teléfono
    • Visitar el lugar varios días antes a diferentes horas
    • Tomar fotos
    • Determinar el vestuario
  • Tener claras las metas del pretext

Práctica del proceso

La clave del éxito del pretexting está en la práctica continua

  • Frente a un espejo
  • Con tu grupo de trabajo
  • En role play
  • Grabarse en video

Buenos pretextos

Los buenos pretextos son aquellos escenarios o personajes que ayudan a obtener la información que se requiere:

  • Ser un contratista
  • Entidades sin fines de lucro
  • La entrevista (entrevistador, entrevistado)
  • Encuestador
  • Sorpresas
  • Entrega de una orden
  • El nuevo empleado
  • Departamento de sistemas de IT
  • El auditor
  • La mamá/papá preocupados
  • El anciano/a
  • Otro

Contribución creada con aportes de: Teno SG