EL ARTE DEL ENGAO

Controlling el factor humano de la Seguridad

KEVIN D. Mitnick
Y William L. Simon Foreword por Steve Wozniak

Analizados por kineticstomp, revisado y ampliado por el rpido

For Reba Vartanian, Jaffe Shelly, Leventhal Chickie, y Mitchell Mitnick, y por la tarde Alan Mitnick, Mitnick Adn, y Jack Biello For Arynne, Victoria y David, Sheldon, Vincent, y Elena. Ingeniera social Social Ingeniera utiliza la influencia y la persuasin para engaar a la gente by convencerlos de que el ingeniero social es alguien que no es, o por la manipulacin. Como resultado, el ingeniero social es capaz de tomar advantage de personas para obtener informacin con o sin el uso de tecnologa.

Conte nts
Foreword Prefacio Introduccin Parte 1 Detrs de las escenas Chapteeslabn ms dbil r 1 Seguridad Parte 2 El arte del atacante Chapter 2 Cuando la informacin no es inocuo Chapter 3 El Ataque Directo: Slo preguntaba por ella Chapter 4 Building Trust Captulo 5 "Let Me Help You" Captulo 6 "Puedes ayudarme?" Chapter 7 sitios falsos y archivos adjuntos peligrosos Chapter 8 Sympathy Uso, Culpabilidad e intimidacin Chapter 9 The Sting inversa Parte 3 Intruder Alert Chapter 10 Introduccin de los locales Chapter 11 Combinando tecnologa y la ingeniera social ChapteR 12 ataques contra el empleado de nivel de entrada Captulo 13 Cons inteligentes Chapter 14 Espionaje Industrial Part 4 Raising the Bar Captulo 15 Informacin Security Awareness y Formacin Captulo 16 Recomendado polticas corporativas de seguridad de la informacin Fuentes de seguridad en un Vistazo Agradecimientos

Foreword
Whumanos e nacen con un impulso interno para explorar la naturaleza de nuestro entorno. En cuanto a los jvenes, tanto Kevin Mitnick y yo ramos una gran curiosidad por el mundo y con ganas de ponernos a prueba. Nos premiaron a menudo en nuestros intentos por aprender cosas nuevas, resolver rompecabezas y ganar en los juegos. Pero al mismo tiempo, el mundo que nos rodea nos ense las reglas de comportamiento que limitaban nuestro impulso interior hacia la exploracin libre. Para nuestros ms audaces cientficos y emprendedores tecnolgicos, as como para la gente como Kevin Mitnick, a raz de este impulso interior ofrece las mayores emociones, permitindonos lograr cosas que otros creen que no se puede hacer. Kevin Mitnick es una de las mejores personas que conozco. Pregunta a l, y l dir directamente que lo que sola hacer - la ingeniera social - entrana gente rdenes de maniobra. Pero Kevin ya no es un ingeniero social. E incluso cuando se fue, nunca su motivo era enriquecerse a s mismo oa otros daos. Eso no quiere decir que no son criminales peligrosos y destructivos por ah who utilizar la ingeniera social para causar verdadero dao. De hecho, eso es exactamente por qu Kevin escribi este libro - para advertirle sobre ellos. ThArt of Deception e indica cun vulnerables somos todos - gobierno, los negocios, y cada uno de nosotros personalmente - a las intrusiones de la ingeniera social. En esta era consciente de la seguridad, se gastan sumas enormes en la tecnologa para proteger nuestras redes y datos informticos. Este libro seala lo fcil que es engaar a informacin privilegiada y eludir toda esta proteccin tecnolgica. Que paer a trabajar en los negocios o el gobierno, este libro ofrece una gua de gran alcance para ayudarle a entender cmo trabajan los ingenieros sociales y lo que puede hacer para foil ellos. Utilizando historias de ficcin que son a la vez entretenida y reveladora, Kevin y co-autor Bill Simon dar vida a las tcnicas de la ingeniera social inframundo. Despus de cada historia, ofrecen directrices prcticas para ayudarle a protegerse contra las violaciones y amenazas que estn descritos. Technological seguridad deja grandes vacos que la gente como Kevin nos puede ayudar a cerrar. Lea este libro y que finalmente se dan cuenta de que todos tenemos que girar a la de Mitnick entre nosotros como gua. Steve Wozniak

Precara
Somhackers destruir archivos electrnicos de la gente o todo el disco duro, sino que son llamados crackers o vndalos. Algunos hackers novatos no se molestan en aprender la tecnologa, sino simplemente descargar herramientas de hackers de irrumpir en los sistemas informticos, sino que son llamados script kiddies. Hackers ms experimentados con conocimientos de programacin desarrollar programas de hackers y publicarlas en la web y sistemas de tablones. Y luego estn las personas que no tienen inters en la tecnologa, sino simplemente usar la computadora como una herramienta para ayudar en el robo de dinero, bienes o servicios. A pesar del mito creado por los medios de Kevin Mitnick, yo no soy un hacker malicioso. Pero me estoy adelantando a m mismo. INICIACIN Mcamino y se estableci probablemente temprano en la vida. Yo era un nio feliz y despreocupado, pero aburrido. Despus de que mi padre se separaron cuando yo tena tres aos, mi madre trabajaba como camarera para que nos apoyen. Para m, ver a continuacin - un hijo nico criado por una madre que se pone en los das largos y apresurados en un horario a veces errtico - habra ido a ver a un youngster en sus propias casi todas sus horas de vigilia. Yo era mi propio babysitter. Gremando en una comunidad del Valle de San Fernando me dio todo de Los Angeles para explorar, ya la edad de doce aos que haba descubierto una manera de viajar gratis en todo el conjunto mayor rea de Los ngeles. Me di cuenta un da mientras el autobs que la seguridad de la transferencia de bus que haba comprado se bas en el patrn inusual de la perforadora de papel, de que los controladores utilizan para marcar das, el tiempo y la va en las hojas de transferencia. Un conductor amable, respondiendo a mi pregunta cuidadosamente plantado, me dijo dnde comprar ese tipo especial de ponche. Thtransferencias electrnicas estn diseados para hacerle cambiar de autobs y continuar un viaje a su destino, pero he trabajado en cmo usarlos para viajar a cualquier lugar que quera ir de forma gratuita. La obtencin de las transferencias en blanco fue un paseo por el parque. Thcontenedores de correos basura en las terminales de autobuses estaban llenos siempre con los libros utilizados slo en parte de las transferencias que los controladores tir al final de los turnos. Con una almohadilla de espacios en blanco y ponche, yo podra marcar mis propios traslados y viajar a cualquier parte que los autobuses de LA fue. En poco tiempo, yo casi haba memorizado los horarios de los autobuses de todo el sistema. (Esto fue un ejemplo temprano de mi

memoria sorprendente para algunos tipos de informacin; todava puedo, hoy, recordar nmeros de telfono, contraseas y otros detalles aparentemente triviales ya en mi infancia.) Another inters personal que surgi a muy temprana edad fue mi fascinacin con la realizacin de magia. Una vez que aprend un nuevo truco funcion, se practican,

practice, y practicar un poco ms hasta que lo domina. Hasta cierto punto, fue a travs de la magia que he descubierto el placer en la obtencin de conocimientos secretos. De Phreak telfono para Hacker Mencuentro y en primer lugar con lo que eventualmente aprendera a llamar ingeniera social se produjo durante mis aos de escuela secundaria cuando conoc a otro estudiante que se vio envuelto en un pasatiempo llamado phreakin telfono. Phreaking telefnico es un tipo de hacking que permite explorar la red telefnica mediante la explotacin de los sistemas telefnicos y los empleados de la compaa telefnica. Me mostr truquitos que poda hacer con un telfono, como la obtencin de cualquier informacin a la compaa telefnica tenido en cualquier clienteY el uso de un nmero de prueba secreta para hacer llamadas de larga distancia gratis. (En realidad era gratis slo para nosotros. Supe mucho ms tarde que no era un nmero de prueba en absoluto secreto. Las llamadas eran, de hecho, se factura a cuenta de alguna empresa pobre MCI). That fue mi introduccin a la ingeniera social, mi jardn de infantes, por as decirlo. Mi amigo y otro phreaker telfono conoc poco despus me dej escuchar en cada uno de ellos como pretexto hicieron llamadas a la compaa telefnica. He odo las cosas que dijeron que los haca sonar creble, aprend acerca de las diferentes oficinas de la compaa telefnica, jerga y procedimientos. Pero ese "entrenamiento" no dur mucho tiempo, no tena que hacerlo. Pronto estaba haciendo todo por mi cuenta, a medida que iba aprendiendo, haciendo que sea an mejor que mis primeros maestros. Thcurso de e mi vida iba a seguir para los prximos quince aos se haba fijado. En la escuela secundaria, uno de mis todos los tiempos travesuras favoritas era ganar acceso no autorizado a la telephone interruptor y el cambio de la clase de servicio de un phreaker compaero. Blancoen l haba intente realizar una llamada desde su casa, haba un mensaje dicindole que depositar una moneda de diez centavos porque el interruptor compaa telefnica haba recibido de entrada que indicaba que estaba llamando desde un telfono pblico. Yo se absorbi en todo lo relacionado con los telfonos, no slo a los productos electrnicos, interruptores y equipos, sino tambin de la organizacin corporativa, los procedimientos y la terminologa. Despus de un tiempo, que probablemente saba ms sobre el sistema de telfono de cualquier empleado. Y yo haba desarrollado mis habilidades de ingeniera social hasta el punto de que, a los diecisiete aos, tuve la oportunidad de hablar mayora de los empleados de telecomunicaciones en casi cualquier cosa, si yo estaba hablando con ellos en persona o por telfono.

Mi muy publicitada carrera de hacking en realidad comenz cuando yo estaba en la escuela secundaria. Aunque no puedo describir el detalle, baste decir que una de las fuerzas impulsoras de mis primeros hacks iba a ser aceptado por los chicos en el grupo de hackers. En aquel entonces usamos el trmino hacker para referirse a una persona que pasaba mucho tiempo con pequeos ajustes de hardware y software, ya sea para desarrollar programas ms eficientes o para evitar pasos innecesarios y hacer el trabajo ms rpido. La

term se ha convertido en un peyorativo, que lleva el significado de "criminal malicioso". En estas pginas que uso el trmino de la manera que siempre lo han utilizado - en su anterior, el sentido ms benigno. Laespus de la escuela secundaria, estudi las computadoras en el Centro de Aprendizaje de Computacin en Los Angeles. A los pocos meses, el gerente de la escuela de computacin di cuenta de que haba encontrado la vulnerabilidad en el sistema operativo y gan todos los privilegios administrativos en su minicomputadora IBM. Los mejores expertos informticos en su personal docente no poda entender cmo yo haba hecho esto. En lo que podra haber sido uno de los primeros ejemplos de "contratar el hacker," Me dieron una oferta que no poda rechazar: Es un proyecto de honores para mejorar la seguridad de la escuela computadora o suspensin cara para hackear el sistema. Por supuesto, he optado por hacer el proyecto honores, y termin gradundose cum laude con honores. Convertirse en un ingeniero social Sompersonas e salir de la cama cada maana temiendo su rutina de trabajo diario en e salinas proverbiales. He tenido la suerte de disfrutar de mi trabajo. n particular, no se puede imaginar el desafo, la recompensa y el placer que tuve el tiempo que pas como un private investigador. Estaba afilando mis habilidades en el arte de performance llamado sociales INGENIERAg (hacer que la gente a hacer cosas que normalmente no hara por un extrao) y se paga por ello. For m no fue difcil convertirse en experto en ingeniera social. Lado de mi padre de la familia haba estado en el campo de las ventas para las generaciones, por lo que el arte de la persuasin y la influencia que podra haber sido un rasgo hereditario. Cuando se combina ese rasgo con una inclinacin para engaar a la gente, usted tiene el perfil de un ingeniero social tpico. You podra decir que hay dos especialidades dentro de la clasificacin de puestos de estafador. Alguien que estafas y los trucos de su dinero pertenece a una subespecialidad, e grifter. Somebody who utilizars engao, influir, und persuasin contra las empresas, por lo general la orientacin de su informacin, pertenece a la otra sub-especialidad, el ingeniero social. Desde el momento de mi bus de transferencia de truco, cuando yo era demasiado joven para saber que haba algo malo en lo que estaba haciendo, yo haba empezado a reconocer un talento para descubrir los secretos que no se supona que deba tener. Constru ese talento mediante engao, conociendo el idioma, y el desarrollo de una habilidad bien afinado de manipulacin. Ene manera que trabaj en el desarrollo de las habilidades de mi oficio, si se me

permite llamarlo un oficio, iba a escoger alguna pieza de informacin que no le importaba y ver si poda hablar con alguien en el otro extremo del telfono en su prestacin, slo para mejorar mis habilidades. De la misma manera que sola practicar mis trucos de magia, practiqu

pretexting. A travs de estos ensayos, pronto me di cuenta que poda adquirir prcticamente cualquier informacin que dirigida. Las que describ en testimonio ante el Congreso antes de senadores Lieberman y Thompson aos ms tarde: He tenido acceso no autorizado a sistemas informticos a algunas de las corporaciones ms grandes del planeta, y han penetrado con xito en algunos de los sistemas informticos ms resistentes se haya desarrollado. He utilizado los medios tanto tcnicos como no tcnicos para obtener el cdigo fuente para varios sistemas operativos y dispositivos de telecomunicaciones para estudiar sus vulnerabilidades und su funcionamiento interno. All de esta actividad fue realmente para satisfacer mi propia curiosidad, para ver lo que poda hacer, y descubrir informacin secreta sobre los sistemas operativos, telfonos celulares y cualquier otra cosa que despert mi curiosidad. REFLEXIONES FINALES I've reconocido desde mi arresto que las acciones que tom eran ilegales, y que yo COMITd invasiones de privacidad. MY fechoras estaban motivados por la curiosidad. Yo quera saber lo ms que pueda acerca de cmo las redes de telefona funcionaba y las ins-y-outs de la seguridad informtica. Pas de ser un nio a quien le gustaba hacer trucos de magia para convertirse en hacker ms famoso del mundo, temido por las corporaciones y el gobierno. Al reflexionar sobre mi vida durante los ltimos 30 aos, admito que algunas decisiones extremadamente pobres, impulsados por la curiosidad, el deseo de aprender acerca de la tecnologa, y la necesidad de un buen desafo intelectual. I 'm una persona diferente ahora. Me estoy convirtiendo mi talento y el conocimiento extenso que he reunido informacin acerca de las tcticas de ingeniera y de seguridad social para ayudar a los gobiernos, empresas, und individuals evitar, detectar, und resd tseguridad de la informacin o las amenazas. This libro es una manera ms que puedo utilizar mi experiencia para ayudar a otros a evitar los esfuerzos de los ladrones de informacin maliciosas del mundo. Creo que usted encontrar las historias agradables, abrir los ojos y educativa.

Introducci n
This libro contiene una gran cantidad de informacin sobre seguridad de la informacin y la ingeniera social. Para ayudarle a encontrar el camino, he aqu una breve explicacin sobre cmo se organiza este libro: YoParte 1 n voy a revelar eslabn ms dbil de la seguridad y mostrarle por qu usted y su empresa estn expuestos a los ataques de ingeniera social. YoParte n 2 ver cmo los ingenieros sociales juguete con su confianza, su deseo de ser til, su simpata y su credulidad humana para conseguir lo que quieren. Los cuentos de ficcin de ataques tpicos demostrar que los ingenieros sociales pueden usar muchos sombreros y muchos rostros. Si crees que nunca he encontrado uno, usted est probablemente equivocado. Va a reconocer el escenario que he experimentado en estas historias y me pregunto si tuvo un roce con la ingeniera social? Usted bien podra hacerlo. Pero una vez que usted ha ledo los captulos 2 a 9, usted sabr cmo obtener la ventaja cuando el ingeniero social prximo viene llamando. Part 3 es la parte del libro donde se ve cmo los altos ingenieros sociales del ante, en inventadas historias que muestran cmo se puede avanzar en sus instalaciones corporativas, robar el tipo de secreto que puede hacer o romper su compaa, y frustrar sus hi-tech medidas de seguridad. Los escenarios de esta seccin le har consciente de las amenazas que van desde simple empleado venganza con el terrorismo ciberntico. Si el valor de la informacin para mantener el funcionamiento de negocios y la privacidad de sus datos, usted querr leer los captulos 10 al 14, de principio a fin. Ess importante tener en cuenta que a menos que se indique lo contrario, las ancdotas de este libro son puramente ficticios. En la Parte 4 I habla por hablar acerca de cmo las empresas exitosas para prevenir los ataques de ingeniera social en su organizacin. El captulo 15 proporciona un plan para el xito de la seguridad-programa de entrenamiento. Y el captulo 16 slo podra salvar su cuello - es una poltica de seguridad completa que usted puede personalizar para su organizacin y poner en prctica de inmediato para mantener su empresa y la informacin de seguridad. Finalmente, He incluido una seccin de Seguridad en un vistazo, que incluye listas de verificacin, tablas y grficos que resumen la informacin clave que puede utilizar para ayudar a sus empleados frustrar un ataque de ingeniera social en el trabajo. Estas herramientas tambin proporcionan informacin valiosa que puede utilizar en la elaboracin de su propio programa de entrenamiento de seguridad. Throughout el libro tambin encontrars varios elementos tiles: Cajas de Lingo

proporcionar definiciones de la ingeniera social y la terminologa hacker, Mitnick ofrecer mensajes breves palabras de sabidura para ayudar a fortalecer su seguridad

strategy, y las notas y las barras laterales dar fondo interesante o informacin adicional.

Parte 1 Behi Las Escenas

Chapter 1 Seridad ms Enlace

dbil

de

Una empresa puede haber comprado las mejores tecnologas de seguridad que el dinero puede comprar, entrenado a su gente tan bien que encierran todos sus secretos antes de ir a casa por la noche, y contrat a guardias de la construccin de la mejor empresa de seguridad en la empresa. That compaa sigue siendo totalmente vulnerable. Individuals puede seguir cada prctica recomendada de seguridad recomendado por los expertos, servilmente instalar cada producto de seguridad recomendada, y estar completamente alerta sobre la configuracin adecuada del sistema y la aplicacin de parches de seguridad. Those individuos siguen siendo totalmente vulnerable. THE FACTOR HUMANO Testifying ante el Congreso no hace mucho tiempo, me explic que muchas veces poda llegar contraseas y otras piezas de informacin sensible de su empresa, hacindose pasar por otra persona y slo pedirlo. Ess natural que anhelan una sensacin de seguridad absoluta, lo que lleva a muchas personas a conformarse con un falso sentido de seguridad. Considere la posibilidad de que el propietario responsable y amoroso que tiene un Medico, una cerradura conocida como pickproof, instalado en la puerta principal de proteger a su mujer, a sus hijos ya su casa. Ahora est cmodo que l ha hecho su familia mucho ms seguro contra los intrusos. Pero qu pasa con el intruso-que se rompe una ventana, o se agrieta el cdigo para el abridor de puerta de garaje? Cmo sobre la instalacin de un sistema de seguridad robusto? Mejor, pero todava no hay garanta. Cerraduras caro o no, el propietario sigue siendo vulnerable. Por qu? Debido a que el factor humano es verdaderamente eslabn ms dbil de seguridad. Security es a menudo ms que una ilusin, una ilusin a veces agrava an ms cuando la credulidad, la ingenuidad o ignorancia entran en juego. Cientfico ms respetado del mundo del siglo XX, Albert Einstein, es citado diciendo, "Slo dos cosas son infinitas, el universo y la estupidez humana, y no estoy seguro de la primera". Al final, los ataques de ingeniera social puede tener xito cuando la gente es estpida o, ms comnmente, simplemente ignorantes acerca de buenas

prcticas de seguridad. Con la misma actitud que nuestra seguridad-consciente propietario, tecnologas de la informacin muchos (TI) se aferran a la idea errnea de que han hecho sus empresas en gran medida inmune a los ataques debido a que han desplegado los productos estndar de seguridad - cortafuegos, sistemas de deteccin de intrusos, o fuertes autenticacin

dispositivos tales como los basados en el tiempo fichas o tarjetas inteligentes biomtricas. Cualquiera que piense que los productos de seguridad de solo ofrecer verdadera seguridad es la solucin para. la ilusin de seguridad. Es un caso de vivir en un mundo de fantasa: Inevitablemente, ms adelante, si no antes, sufrir un incidente de seguridad. Las seal el consultor de seguridad Bruce Schneier dice, "La seguridad no es un producto, es un proceso." Por otra parte, la seguridad no es un problema de la tecnologa - es un pueblo y problemas de gestin. Las developers inventariot continually better security tecnologas, momando que increasingly difciles de explotar las vulnerabilidades tcnicas, los atacantes se volver cada vez ms a la explotacin del elemento humano. Descifrando el servidor de seguridad humana es a menudo fcil, no requiere ninguna inversin ms all del costo de una llamada telefnica, e implica un riesgo mnimo. Un caso clsico de DECEPTION Qus la mayor amenaza para la seguridad de los activos de su negocio? Eso es fcil: la sociaingeniero l - un mago sin escrpulos que le ha ver a su mano izquierda mientras con la derecha roba sus secretos. Este personaje suele ser muy amable, locuaz y complaciente que ests agradecido por haberlo encontrado. Take un vistazo a un ejemplo de ingeniera social. No mucha gente hoy todava recuerdo el joven llamado Stanley Marcos Rifkin y su pequea aventura con la ahora extinta Security Pacific National Bank en Los Angeles. Los relatos de su escapada variar, y Rifkin (como yo) nunca ha dicho a su propia historia, por lo que el siguiente se basa en los informes publicados. Cdigo Breaking Enda e en 1978, Rifkin moseyed a la Seguridad Pacfico autorizados-personalslo cable de transferencia de habitacin, donde el personal enviado y recibido transferencias por un total de varios miles de millones de dlares todos los das. He estaba trabajando para una empresa bajo contrato para desarrollar un sistema de copia de seguridad para los datos de la Sala de cable en caso de que su ordenador principal siempre fue abajo. Ese papel le dio acceso a los procedimientos de transferencia, incluyendo cmo los funcionarios del banco organiz una transferencia para ser enviados. Haba aprendido que los oficiales bancarios que fueron autorizados para ordenar transferencias bancarias se les asigna un cdigo muy bien guardado diario cada maana para llamar al la sala de alambre.

Yon el cuarto alambre de los empleados se ahorr la molestia de tratar de memorizar el cdigo de cada da: Ellos escribieron el cdigo en un trozo de papel y lo puso donde

lay poda ver con facilidad. Este particular noviembre da Rifkin tena una razn especfica para su visita. Quera echar un vistazo a ese papel. Arriving en la sala de alambre, tom algunas notas sobre los procedimientos de operacin, supuestamente para asegurarse de que el sistema de copia de seguridad encajara bien con los sistemas regulares. Mientras tanto, subrepticiamente leer el cdigo de seguridad de la hoja de papel publicado, y memoriz. Unos minutos ms tarde se fue. Como dijo ms tarde, se sinti como si hubiera ganado la lotera. Hay esta cuenta bancaria en Suiza ... Leaving de la habitacin a las 3 de la tarde, se dirigi directamente hacia el telfono pblico en el vestbulo de mrmol del edificio, donde deposit una moneda y marc en el cuarto alambre de transferencia. Luego cambi sombreros, transformndose de Stanley Rifkin, consultor bancario, a Mike Hansen, miembro del Departamento Internacional del Banco. According con una fuente, la conversacin fue algo como esto: "Hola, Este es Mike Hansen en Internacional ", le dijo a la joven mujer que contest el telfono. She pregunt por el nmero de la oficina. Eso era un procedimiento estndar, y estaba preparado: "286", dijo. La nia le pregunt: "Bueno, cul es el cdigo?" Rifkin ha dicho que su adrenalina con motor sin pensarlo "cogi su ritmo" en este punto. l respondi sin problemas ", 4789." Luego se fue a dar instrucciones para el cableado "Diez millones, doscientos mil dlares exactamente" a la Sociedad Irving Trust en Nueva York, para el crdito del Banco Wozchod Handels de Zurich, Suiza, donde se haba establecido ya una cuenta. The nia y dijo: "Est bien, ya entend. Y ahora necesito el nmero asentamiento entre oficinas." Rifkin se rompi a sudar, lo que fue una pregunta que l no haba previsto, algo que se haba cado por las grietas en su investigacin. Pero se las arregl para permanecer en el personaje, actu como si todo estaba bien, y en el acto respondi sin titubear: "Djame ver,. Te llamo de vuelta" Cambi sombreros de nuevo a llamar a otro departamento en el banco, esta vez dice ser un empleado de la sala de alambre de transferencia. Obtuvo el nmero de asentamiento y llam a la chica de vuelta. She tom el nmero y dijo: "Gracias". (En estas circunstancias, su agradecindole tiene que ser considerado muy irnico.)

Achieving Cierre Unos das ms tarde Rifkin vol a Suiza, recogi su dinero en efectivo, y entregado $8 millones a una agencia rusa para un montn de diamantes. Vol de vuelta, pasando por Aduanas de EE.UU. con las piedras ocultas en un cinturn de dinero. Se haba quitado e el mayor banco atraco de la historia - y lo ha hecho sin necesidad de utilizar un arma de fuego, incluso sin una computadora. Curiosamente, su travesura finalmente lo hizo en las pginas del Libro Guinness de los Rcords en la categora de "mayor fraude informtico". STANLey Rifkin haban utilizado el arte del engao - las habilidades y tcnicas que hoy se llama ingeniera social. La planificacin minuciosa y un buen regalo de gab es todo lo que realmente tom. Und eso es lo que trata este libro - las tcnicas de ingeniera social (a la que este servidor es competente) y la forma de defenderse de que se utilicen en su empresa. LA NATURALEZA DE LA AMENAZA La historia Rifkin deja perfectamente claro cmo engaar a nuestro sentido de seguridad puede ser. Incidentes como este - bueno, tal vez no $ 10 millones, pero los robos incidentes perjudiciales no obstante - se suceden todos los das. Usted puede estar perdiendo dinero en este momento, o alguien puede robar los planes de nuevos productos, y ni siquiera lo saben. Si an no lo ha pasado a tu empresa, no es una cuestin de si ocurrir, sino cundo. Una preocupacin creciente The Instituto de Seguridad Informtica, en su encuesta de 2001 de los delitos informticos, inform THAt 85 por ciento de las organizaciones que respondieron haban detectado violaciones de seguridad informtica en los ltimos doce meses. Eso es un nmero asombroso: Solamente quince de cada cien organizaciones que respondieron fueron capaces de decir que had no tena una brecha de seguridad durante el ao. Igualmente sorprendente fue el nmero de organizaciones que informaron de que haban sufrido prdidas financieras debido a la computadora breaches: 64 por ciento. Bastante ms de la mitad de las organizaciones haban sufrido financieramente. En un solo ao. MY experiencias propias me llevan a creer que los nmeros en los informes como este son un poco inflados. Sospecho de la agenda de las personas que realizan la encuesta. Pero eso no quiere decir que el dao no es muy extensa, sino que lo es. Los que no tel plan o por un incidente de seguridad estn planeando para el fracaso.

Commercial productos de seguridad desplegados en la mayora de las empresas tienen como objetivo principal brindar proteccin contra el intruso informtico aficionado, al igual que los jvenes conocidos como script kiddies. De hecho, estos aspirantes a hackers con el software descargado en su mayora son slo una molestia. Las prdidas mayores, las amenazas reales y provienen de los atacantes sofisticados con metas bien definidas que estn motivados por

Financial ganancia. Estas personas se centran en un objetivo a la vez ms que, al igual que los aficionados, tratando de infiltrarse en tantos sistemas como sea posible. Mientras que los intrusos informticos aficionados simplemente ir por cantidad, los profesionales de la informacin de destino de calidad y valor. Las tecnologas como los dispositivos de autenticacin (para demostrar la identidad), control de acceso (para gestionar el acceso a los archivos y recursos del sistema), y los sistemas de deteccin de intrusos (el equivalente electrnico de alarmas contra robo) son necesarios para un programa de seguridad corporativa. Sin embargo, es tpico hoy para una empresa a gastar ms dinero en caf que en la implementacin de medidas de lucha para proteger a la organizacin contra los ataques de seguridad. As como la mente criminal no puede resistir la tentacin, el espritu hacker est impulsado a buscar formas de evadir las protecciones de seguridad de gran alcance de la tecnologa. Y en muchos casos, lo hacen apuntando a la gente que utiliza la tecnologa. Prcticas engaosas Hay un dicho popular que un ordenador seguro es aquel que est apagado. Inteligente, pero falso: El pretexter simplemente alguien habla en ir a la oficina y convertir esa computadora. Un enemigo que desea que su informacin puede obtenerla, por lo general en cualquiera de varias maneras diferentes. Es slo una cuestin de tiempo, paciencia, personalidad y persistencia. Ah es donde el arte del engao entra en juego Para derrotar a medidas de seguridad, un atacante, intruso, o ingeniera social tiene que encontrar una manera de engaar a un usuario de confianza en la informacin reveladora, o engaar a incautos en una marca que le proporcione acceso. Cuando los empleados de confianza son engaados, influenciado, o manipulados para revelar informacin sensible, o la realizacin de acciones que crean un agujero de seguridad para el atacante a deslizarse por l, no hay tecnologa en el mundo puede proteger un negocio. As como criptoanalistas son a veces capaces de revelar el texto de un mensaje codificado por encontrar un punto dbil que les permite eludir el cifradotecnologa, el engao uso social ingenieros practicado en sus empleados para eludir la tecnologa de seguridad. ABUSO DE CONFIANZA Yon la mayora de los casos, el xito de los ingenieros sociales tienen fuertes habilidades de la gente. Son encantador, Corteses, y fcil de como - los rasgos sociales necesarias para establecer una relacin rpida y confianza. Un ingeniero social experimentado es capaz de tener acceso a la informacin en cualquier objetivo mediante el uso de

las estrategias y tcticas de su oficio. SavvY tecnlogos han desarrollado cuidadosamente seguridad de la informacin de soluciones para minimizar los riesgos relacionados con el uso de las computadoras, an queda sin resolver la vulnerabilidad ms importante, el factor humano. A pesar de nuestro intelecto,

humanos - tu, yo y todos los dems - siguen siendo la amenaza ms grave para la seguridad mutua. Nuestro carcter nacional We're no Consciente de la amenaza, especialmente en el mundo occidental. En los Estados Unidos Estados por encima de todo, no estamos capacitados para sospechar unos de otros. Se nos ensea a "amar a tu prjimo" y tener confianza y fe en s. Considere lo difcil que es para las organizaciones de vigilancia vecinal para que la gente cerrar sus casas y automviles. Este tipo de vulnerabilidad es obvio, Y sin embargo, parece ser pasar por altod por muchos que prefieren vivir en un mundo de ensueo hasta que se queme. We sabe que no todas las personas son amables y honestos, pero demasiado a menudo vivimos como si lo fueran. Esta encantadora inocencia ha sido la tela de la vida de los estadounidenses y es doloroso renunciar a ella. Como nacin, hemos incorporado en nuestro concepto de libertad que los mejores lugares para vivir son aquellos en los que las cerraduras y llaves son los menos necesario. Mospersonas t ir en el supuesto de que no se deje engaar por otros, basados en la creencia de que la probabilidad de ser engaado es muy bajo, el atacante, la comprensin de esta creencia comn, hace que el sonido de su peticin tan razonable que suscita ninguna sospecha, todo mientras que la explotacin de la confianza de la vctima. Inocencia Organizacional Esa inocencia que es parte de nuestro carcter nacional volvi evidente cuando los equipos fueron los primeros en estar conectados remotamente. Recordemos que el ARPANET (el Departamento de Defensa de Proyectos de Investigacin Avanzada de la Agencia Network), el predecesor de Internet, fue diseado como una manera de compartir informacin de investigacin entre el gobierno, la investigacin y las instituciones educativas. El objetivo era enformacin Freedom, como bien como technological adelanto. Hombrey eduinstituciones educativas por lo tanto establecer los primeros sistemas informticos con poca o ninguna seguridad. Uno observ software libertario, Richard Stallman, incluso se neg a proteger a su cuenta con una contrasea. But con el Internet que se utiliza para el comercio electrnico, los peligros de seguridad dbil en nuestro mundo interconectado han cambiado dramticamente. Implementacin de ms tecnologa no va a resolver el problema de la seguridad humana.

Just ver en nuestros aeropuertos hoy. La seguridad ha convertido en algo fundamental, sin embargo, estamos alarmados por informes de los medios de viajeros que han sido capaces de burlar la seguridad y llevar armas potenciales ms all de los puntos de control. Cmo es esto posible en un momento en que nuestros aeropuertos se encuentran en tal estado de alerta? Los detectores de metales fallando? No, el problema no son las mquinas. El problema es el factor humano: La gente manejando las mquinas. Las autoridades del aeropuerto puede encauzar la Guardia Nacional y

instalarl detectores de metales y sistemas de reconocimiento facial, sino educar al personal de seguridad de primera lnea sobre cmo inspeccionar a los pasajeros correctamente es mucho ms probable que ayude. The same problem existirs within gubernament, negocios, und EDUCACIONl las instituciones de todo el mundo. A pesar de los esfuerzos de los profesionales de la seguridad, la informacin en todas partes sigue siendo vulnerable y seguir siendo visto como un blanco maduro por los atacantes con conocimientos de ingeniera social, hasta que el eslabn ms dbil de la cadena de seguridad, el vnculo humano, se ha fortalecido. Ahora ms que nunca tenemos que aprender a dejar de hacerse ilusiones y llegar a ser ms conscientes de las tcnicas que estn siendo utilizados por aquellos que intentan atacar la confidencialidad, integridad y disponibilidad de los sistemas informticos y redes. Hemos llegado a aceptar la necesidad de una conduccin defensiva, es el momento de aceptar y aprender la prctica de la computacin en la defensiva. Thamenaza e de un robo que viole su privacidad, su mente, o los sistemas de informacin de su empresa puede no parecer real hasta que sucede. Para evitar una dosis tan costoso de la realidad, todos tenemos que tomar conciencia, educado, atento, y agresivamente proteccin de nuestros activos de informacin, nuestra informacin personal y las infraestructuras vitales de la nacin. Y debemos poner en prctica esas medidas hoy. TERRORISTAS Y DECEPCIN Of supuesto, el engao no es una herramienta exclusiva de la ingeniera social. Fsico terrorism hace la gran noticia, y nos hemos dado cuenta de que nunca que el mundo es un lugar peligroso. La civilizacin es, despus de todo, slo una fina capa. Thataques electrnicos contra Nueva York y Washington, DC, en septiembre de 2001 la tristeza y el miedo infundido en los corazones de cada uno de nosotros no slo los estadounidenses, pero bien intencionadas personas de todas las naciones. Estamos alertados del hecho de que hay terroristas obsesivos ubicados en todo el mundo, as capacitados - y esperando para lanzar nuevos ataques contra nosotros. The intensificado recientemente esfuerzo por nuestro gobierno ha incrementado los niveles de nuestra conciencia de seguridad. Tenemos que estar alerta, en guardia contra toda forma de terrorismo. Necesitamos entender cmo los terroristas traidoramente crear identidades falsas, asumir roles como estudiantes y vecinos, y se derriten into la muchedumbre. Ellos ocultan sus verdaderas creencias mientras que conspiran contra nosotros - practicando trucos de engao similares a las que se lee en estas pginas.

Unmientras que d, a lo mejor de mi conocimiento, los terroristas no han utilizado artimaas de ingeniera social para infiltrarse en las corporaciones, las plantas de tratamiento de agua, instalaciones elctricas de generacin, u otros componentes vitales de nuestra infraestructura nacional, el potencial est ah. Es demasiado fcil. La concienciacin sobre la seguridad y las polticas de seguridad

THAt espero que se puso en marcha y ejecutadas por la alta gerencia corporativa por este libro llegar justo a tiempo. ACERCA DE ESTE LIBRO Corporate la seguridad es una cuestin de equilibrio. Demasiado poca seguridad deja la compaa vulnerable, pero un nfasis excesivo en la seguridad se interpone en el camino de asistir a los negocios, inhibiendo el crecimiento de la empresa y la prosperidad. El reto consiste en conseguir un equilibrio entre la seguridad y la productividad. Other libros sobre seguridad de la empresa se centran en la tecnologa de hardware y software, y no cubren adecuadamente la amenaza ms grave de todas: engao humano. El propsito de este libro, en cambio, es para ayudarle a entender cmo usted, sus compaeros de trabajo, y otros en su empresa estn siendo manipulados, y las barreras que pueden levantar para dejar de ser vctimas. La abucheok se centra principalmente en los mtodos no tcnicos que intrusos hostiles utilizan para robar informacin, comprometer la integridad de la informacin que se cree que es segura, pero no lo es., destruir o producto de la empresa de trabajo. Mtarea y se hace ms difcil por una simple verdad: Cada lector habr sido manipulado por los expertos grandes de todos los tiempos en la ingeniera social sus padres. Ellos encontraron la manera de que usted consigue - "por su propio bien" - para hacer AMSt mejor les pareca. Los padres se convierten en grandes narradores de la misma manera que sociales ingenieros skillfully devElop very plausible historias, razones, und justificacinimplicaciones para el logro de sus objetivos. S, nos moldea todo por nuestros padres: benevolent (ya veces no tan benevolente) ingenieros sociales. Acondicionadosd por que la formacin, que se han vuelto vulnerables a la manipulacin. Queremos vivir una vida difcil si tuviramos que estar siempre en guardia, desconfiado de los dems, preocupados de que podra convertirse en el juguete de alguien que trata de aprovecharse de nosotros. En un mundo perfecto implcitamente a confiar en los dems, confiando en que las personas que encontramos vamos a ser honestos y dignos de confianza. Pero no vivimos en un mundo perfecto, y por eso tenemos que ejercer un nivel de vigilancia para repeler los esfuerzos engaosas de nuestros adversarios. The porciones principales de este libro, partes 2 y 3, se compone de historias que muestran ingenieros sociales en accin. En estas secciones podrs leer sobre: Quphreaks t telefnicas descubrieron hace aos: Un mtodo de pulido para obtener un nmero de telfono de uso restringido de la compaa telefnica.

 Cortaral los diferentes mtodos utilizados por los atacantes para convencer incluso a los empleados sospechosos de alerta, a revelar sus nombres de usuario y contraseas de computadoras. Cmo un gerente del Centro de Operaciones cooper al permitir a un atacante steal que su compaa de productos de ms informacin en secreto.

 Thmtodos electrnicos de un atacante que enga a una seora para que descarguen software que espa a cada golpe de teclado que hace y enva por correo electrnico los detalles para l. Hoinvestigadores privados w obtener informacin sobre su empresa, y sobre t, personalmente, que prcticamente se puede garantizar enviar un escalofro en la columna vertebral. You podra pensar al leer algunas de las historias en las partes 2 y 3 que no son posible, que nadie podra realmente tener xito en conseguir acabar con las mentiras, trucos sucios, y los planes de, descrito en estas pginas. La realidad es que en todos los casos, estas historias representan eventos que pueden ocurrir y de hecho, muchos de ellos estn pasando todos los das en algn lugar del planeta, tal vez incluso a su negocio mientras usted lee este libro. Thmateriales e en este libro ser una verdadera revelacin cuando se trata de proteger su negocio, pero tambin personalmente desviar los avances de un ingeniero social para proteger la integridad de la informacin en su vida privada. Yon la parte 4 de este libro que cambiar de marcha. Mi objetivo aqu es ayudar a crear las polticas empresariales y la formacin necesarias conciencia para minimizar las posibilidades de que sus empleados siempre siendo engaados por un ingeniero social. Comprender las estrategias, mtodos y tcticas de la ingeniera social le ayudar a prepararse para implementar controles razonables para proteger sus activos de TI, sin menoscabo de la productividad de su empresa. Yon resumen, he escrito este libro para elevar su conciencia sobre la grave amenaza que representa la ingeniera social, y para ayudarle a asegurarse de que su empresa y sus empleados tienen menos probabilidades de ser explotados de esta manera. Or tal vez debera decir, mucho menos propensos a ser explotados nunca ms.

Parte 2 The Arte del atacante

Chapter 2 When Informacin inocuo no es

Qut hacer la mayora de la gente cree que es la amenaza real de los ingenieros sociales? Qu hay que hacer para estar en guardia? Yof el objetivo es capturar algn premio de gran valor - por ejemplo, un componente vital del capital intelectual de la empresa - tal vez entonces lo que se necesita es, en sentido figurado, a un salto ms fuerte y ms fuertemente guardias armados. Cierto? But en realidad penetrar la seguridad de una compaa a menudo comienza con el chico malo de obtener algn tipo de informacin o algn documento que parece tan inocente, tan cotidiano y sin importancia, que la mayora de las personas en la organizacin no veo ninguna razn para que el elemento protegido y restringido HiddeN VALOR DE LA INFORMACIN Much de la informacin aparentemente inocua en posesin de una empresa es muy apreciado por un atacante ingeniera social, ya que puede jugar un papel vital en su esfuerzo para vestirse con un manto de credibilidad. Throughout estas pginas, yo te voy a mostrar cmo los ingenieros sociales hacen AMSt lo hacen, ya que permite "testigo" de los ataques por s mismo - a veces la presentacin de la accin desde el punto de vista de las personas que son vctimas, lo que le permite ponerse en sus zapatos y medidor de cmo usted (o tal vez uno de sus empleados o compaeros de trabajadores) podra haber respondido. En muchos casos, usted tambin experimentar los mismos hechos desde la perspectiva de la ingeniera social. The historia primero mira a una vulnerabilidad en el sector financiero. CREDITCHEX Fora largo tiempo, los britnicos soportar un sistema bancario muy congestionada. Como ordinario, Honrado ciudadano, no se poda caminar por la calle y abrir una cuenta bancaria. No, el banco no tendra la posibilidad de aceptar como cliente a menos que algn persona que ya est bien establecida como un cliente le proporcion una carta de recomendacin. Una gran diferencia, por supuesto, en el mundo de la banca aparentemente igualitaria de hoy. Y nuestra moderna facilidad de hacer negocios est en ninguna

parte ms evidente que en un amistoso, democrtico Latina, donde casi cualquier persona puede entrar en un banco y fcilmente abrir una cuenta corriente, verdad? Bueno, no exactamente. La verdad es que los bancos understandably tienen una resistencia natural a abrir. una cuenta para alguien que

just tenga un historial de escribir cheques sin fondos - que sera tan bienvenida como un prontuario de robo a un banco o por malversacin de fondos. As que es una prctica habitual en muchos bancos para conseguir una rpida pulgar hacia arriba o hacia abajo-en un nuevo cliente potencial. Ene de las principales empresas que contratan a los bancos para que esta informacin es un equipo al que llamaremos CreditChex. Ellos proporcionan un valioso servicio a sus clientes, pero al igual que muchas empresas, tambin pueden, sin saberlo, prestar un servicio til para saber ingenieros sociales. La primera llamada: Kim Andrews "National Banco, se trata de Kim. Usted desea abrir una cuenta hoy en da? " "Hola, Kim. Tengo una pregunta para usted. Ustedes utilizan CreditChex? "" S ". "When su telfono para CreditChex, cmo se llama el nmero que les da - Es una 'identificacin del comerciante " Una pausa, ella estaba sopesando la cuestin, preguntndose de qu se trataba y si ella debe responder. Thpersona que llama ae en un tiempo continuado sin perder el ritmo: "Porque, Kim, estoy trabajando en un libro. Se trata de investigaciones privadas. "" S, "dijo ella, respondiendo a la pregunta con la confianza de nuevo, encantado de ser helping escritor. "So lo que se llama una identificacin del comerciante, no? "" Uh huh ". "Okay, genial. Porque quera masculino que tuve la jerga de la derecha. Para el libro. Agradecers por vuestra ayuda. Adis, Kim. " La segunda llamada: Chris Talbert "National Banco, nuevas cuentas, se trata de Chris. " "Hola, Chris. Se trata de Alex, "dijo la persona que llama." Soy un representante de servicio al cliente con CreditChex. Estamos haciendo una encuesta para mejorar nuestros servicios. Me puede ahorrar un par de minutos? " Ella se alegr, y la persona que llama se

encendi: "Okay - qu es el horario de su rama est abierta a los negocios ", respondi ella, y continu respondiendo a su cadena de preguntas. "How muchos empleados en su sucursal usar nuestro servicio? " "How Con qu frecuencia nos llama con una consulta? "

"Which de nuestros 800-nmeros te hemos asignado para llamar a nosotros? "" Nuestros representantes siempre ha sido corts? " "CmoEs nuestro tiempo de respuesta? " "How tiempo ha estado en el banco? "" Qu identificacin del comerciante est utilizando actualmente? " "Have Alguna vez se ha encontrado ningn inexactitudes con la informacin que nos ha facilitado usted? " "Yof Ha tenido alguna sugerencia para mejorar nuestro servicio, cules seran? " Y: "Would Estara dispuesto a llenar cuestionarios peridicos si se los enviamos a su oficina? " Ella estuvo de acuerdo, charlaron un poco, el llamante colg, y Chris volvi al trabajo. La tercera llamada: Henry McKinsey "CreditChex, Se trata de Henry McKinsey, en qu puedo ayudarle? " Thpersona que llama e dijo que era de Banco Nacional. Dio la identificacin del comerciante adecuado y luego dio el nombre y nmero de seguro social de la persona que estaba buscando informacin sobre. Henry pidi la fecha de nacimiento, y la persona que llama le dio eso. Despus de unos momentos, Henry leer la lista de la pantalla de su ordenador. "Buenos Fargo inform NSF en 1998, una vez, la cantidad de 2.066 dlares "NSF -. fondos no suficientes - es la jerga bancaria familiar para los cheques que han sido escritos cuando no hay dinero suficiente en la cuenta para cubrirlos. "Cualquier actividad desde entonces?" "No hay actividades". "Ha habido alguna otra pregunta?" "Vamos as ver. Bueno, dos de ellos, tanto el mes pasado. Tercera Credit Union de Chicago. "l tropez sobre el nombre del prximo, Inversiones Schenectady mutuos, y tena que escribir." Eso est en estado de Nueva York ", agreg.

Private Investigador en el Trabajo Altres de esas llamadas l fueron hechas por la misma persona: un investigador privado que vamos a llamar a Grace Oscar. Grace tena un nuevo cliente, una de sus primeras. Un polica hasta unos meses antes, se encontr que parte de este nuevo trabajo era algo natural, pero algunos ofrecen un desafo a sus recursos e inventiva. Este vino abajo con firmeza en la categora de desafo.

Los ojos duros privados de ficcin - las espadas de Sam y la Marlowes Philip - Pasar largas horas de la noche sentados en coches esperando para atrapar a un cnyuge infiel. De la vida real PIs hacer lo mismo. Tambin tienen un menor escrito sobre, pero no menos importante tipo de espionaje para los cnyuges en conflicto, un mtodo que se apoya ms en los sociales INGENIERAg habilidades que en la lucha contra el aburrimiento de las vigilias de la noche. Nuevo cliente de Grace era una mujer que pareca como si tuviera un presupuesto bastante cmodo para la ropa y las joyas. Entr en su oficina un da y se sent en el silln de cuero, la nica que no tena papeles apilados sobre ella. Se acomod su gran bolso de Gucci en su escritorio con el logo se volvi hacia l y le anunci que tena la intencin de decirle a su marido que quera el divorcio, pero admiti que "slo un problema muy poco". Yot Pareca que su marido estaba un paso por delante. l ya se haba retirado el dinero de su cuenta de ahorros y una cantidad an mayor de su cuenta de corretaje. Quera saber dnde estn sus activos haban sido recaudo, y su abogado de divorcio no era ninguna ayuda en absoluto. Grace conjetur el abogado fue uno de esos uptown, rascacielos consejeros que no ensuciarse las manos en algo sucio como dnde fue el dinero. Podra ayudar a Grace? He le asegur que sera una brisa, citando a un cargo, los gastos facturados al costo, y se recogi un cheque por el primer pago. Luego se enfrent a su problema. Qu hacer si usted nunca ha manejado un trabajo como esto antes y no s muy bien cmo hacer el seguimiento de un rastro del dinero? Usted se mueve hacia adelante por pequeos pasos. Aqu, de acuerdo mg a nuestra fuente, es la historia de Grace. Yo saba de CreditChex y cmo los bancos utilizan el equipo - mi ex-esposa trabajaba en un banco. Pero yo no conoca la jerga y los procedimientos, y tratar de hacer a mi ex-Sera una prdida de tiempo. Step uno: Obtener la terminologa recta y encontrar la manera de hacer la solicitud para que suene como si supiera lo que estoy hablando. En el banco me llam, la primera dama joven, Kim, era sospechoso cuando le pregunt acerca de la forma en que se identifican cuando CreditChex telfono. Ella vacil, ella no saba si me lo digas. Estaba yo deje intimidar por eso? Ni un poco. De hecho, las dudas me dio una pista importante, una seal de que yo tena que proporcionar una razn que ella iba a encontrar creble. Cuando trabajaba en el con ella acerca de hacer la investigacin para un libro, aliviado sus sospechas. Dices que eres un autor o un escritor de cine, y todo el mundo se abre.

She tenido otro conocimiento que habra ayudado - cosas como la reforma CreditChex requiere identificar a la persona que est llamando, qu informacin usted puede pedir, y el grande, lo que era comerciante de Kim banco nmero de identificacin. Yo estaba dispuesto a hacer esas preguntas, pero su vacilacin envi la bandera roja. Compr la historia investigacin libro, pero ella ya tena una sospecha persistente pocos. Si ella hubiera sido mucho ms dispuestos a la derecha, me he preguntado a revelar ms detalles acerca de sus procedimientos. LINGO MARK:The vctima de una estafa. BURN LA FUENTE: Laatacante n se dice que quem la fuente cuando se permite a la vctima a reconocer que el ataque haya tenido lugar. Una vez que la vctima se da cuenta y le avisa a otros empleados o la gestin de la tentativa, se hace extremadamente difcil de explotar la misma fuente en futuros ataques. You tiene que seguir su instinto, escucha con atencin lo que la marca est diciendo y cmo lo est diciendo. Esta seora sonaba lo suficientemente inteligente como para las campanas de alarma a empezar a ir si yo Preguntas ms inusuales de ms. Y a pesar de que ella no saba quin era o qu nmero me llama, an en este business no quieres a nadie poner la palabra que estar en la mirada hacia fuera para llamar a alguien para obtener informacin sobre el negocio. Eso es porque no quiere quemar la fuente - es posible que desee llamar a la oficina misma en otro momento. I 'Siempre estoy a la caza de pequeas seales que me dan una lectura de cmo cooperativa es una persona, en una escala que va desde "Hablas como una buena persona y creo que todo lo que ests diciendo" a "Llama a la polica, avisar al Guardia Nacional, este tipo es para nada bueno. " Le Kim como un poco en el borde, as que acaba de llamar a alguien en una rama diferente. En mi segunda convocatoria con Chris, el truco encuesta jug como un encanto. La tctica aqu es deslizar las preguntas importantes entre los inconsecuentes que se utilizan para crear un sentido de credibilidad. Antes de que se me cay la pregunta sobre el nmero de identificacin del comerciante con CreditChex, me encontr con un poco de ltimo momento de prueba, pidindole una pregunta personal acerca de cunto tiempo haba estado con el banco. Una pregunta personal es como una mina terrestre - algunas personas paso pie derecho sobre l y nunca notar, por otras personas, explota y los enva corriendo por la seguridad. As que si hago una pregunta personal y contesta la pregunta y el tono de su voz no cambia, lo que significa que probablemente no se muestra escptico acerca de la naturaleza de la solicitud. Que con seguridad puede pedir a la buscada despus de la pregunta sin despertar sus sospechas, y probablemente me va a dar la respuesta que estoy buscando.

Ene ms de una cosa buena PI sabe: nunca poner fin a la conversacin despus de recibir la informacin clave. Otros dos o tres preguntas, una pequea charla, y entonces est bien decir adis. Ms tarde, cuando la vctima recuerda nada de lo que me pediste, que probablemente ser el ltimo par de preguntas. El resto suele ser olvidado. So Chris me dio su nmero de identificacin del comerciante y el nmero de telfono que llamar para hacer peticiones. Me habra sido ms feliz si hubiera llegado a hacer algunas preguntas sobre la cantidad de informacin que puede obtener de CreditChex. Pero era mejor no forzar mi suerte. Yot era como tener un cheque en blanco en CreditChex. Ahora poda llamar y obtener informacin cada vez que quera. Ni siquiera tienen que pagar por el servicio. Al final result que, el representante CreditChex estaba feliz de compartir exactamente la informacin que buscaba: dos lugares marido de mi cliente haba solicitado recientemente para abrir una cuenta. Entonces, dnde estaban los bienes de su pronto-a-ser-ex esposa estaba buscando? Dnde ms sino en las instituciones bancarias el chico de CreditChex en la lista? LaCon el nalyzing Thiardid s estaba basado en una de las tcticas fundamentales de sociales ingeniera: el acceso a la informacin de que un empleado de la compaa considera como inocuo, cuando no lo es. Thdependiente e primer banco confirm la terminologa para describir el nmero de identificacin usado en la llamada CreditChex: la identificacin del comerciante. El segundo siempre que el nmero de telfono para llamar CreditChex, y la pieza ms importante de informacin, nmero del banco Merchant ID. Toda esta informacin se present al secretario que ser inocua. Despus de todo, el empleado de banco pens que estaba hablando con alguien de CreditChex-as lo que podra ser el dao al revelar el nmero? All de esto sent las bases para la tercera llamada. Grace tena todo lo que necesitaba para llamar a CreditChex, hacerse pasar por un representante de uno de los bancos con sus clientes, Nacional, y simplemente pedir la informacin que buscaba. Ingenioh tanta habilidad en el robo de informacin como un estafador bueno ha de robar su dinero, Grace tena bien afinado talento para la lectura de las personas. Saba que la tctica comn de enterrar a las preguntas claves entre los inocentes. Saba una pregunta personal pondra a prueba la voluntad del segundo empleado de cooperar, antes inocentemente preguntando por el nmero de identificacin del comerciante. Therror e primer secretario en la confirmacin de la terminologa para el nmero de identificacin CreditChex sera casi imposible proteger contra. La informacin

es tan ampliamente conocido en la industria bancaria que parece que no tienen importancia - el modelo mismo de la inocuidad. Pero el segundo empleado, Chris, no debera haber sido

so dispuesto a responder a las preguntas de manera positiva sin verificar que la llamada era realmente quien deca ser. Ella debera, por lo menos, han tomado su nombre y nmero y volvi a llamar, de esta manera, si alguna pregunta surgi ms tarde, ella pudo haber llevado un registro de qu nmero de telfono de la persona que haba utilizado. En este caso, hacer una llamada como esa habra sido mucho ms difcil para el atacante hacerse pasar por un representante de CreditChex. Mitnick MENSAJE Una identificacin del comerciante en esta situacin es similar a una contrasea. Si el personal del banco treado como si fuera un PIN del cajero automtico, se puede apreciar la naturaleza sensible de la informacin. Hay un cdigo interno o el nmero de su organizacin que la gente no tratar con cuidado lo suficiente? Better todava habra sido una llamada a CreditChex usar un banco monja ya tena en el expediente - no es un nmero proporcionado por el llamante - para verificar que la persona realmente trabajaba all, y que la empresa estaba haciendo una encuesta entre los clientes. Teniendo en cuenta los aspectos prcticos del mundo real y las presiones de tiempo que la mayora de las personas trabajan menos de hoy, sin embargo, este tipo de llamada de verificacin de telfono es mucho esperar, excepto cuando un empleado es sospechoso de que algn tipo de ataque se est realizando.

LA TRAMPA DEL INGENIERO Yot es ampliamente conocido que los cazadores de cabeza las empresas utilizan la ingeniera social para reclutar talento corporativo. He aqu un ejemplo de cmo se puede pasar. A finales de 1990, una agencia de empleo no es muy tico firmado un nuevo cliente, una empresa que busca ingenieros elctricos con experiencia en el sector de la telefona. El mandams en el proyecto era una mujer dotada de una voz gutural y manera sexy que ella haba aprendido a utilizar para desarrollar la confianza y la simpata inicial por telfono. The seora decidi llevar a cabo una redada en un proveedor de servicios de telefona celular para ver si poda localizar a algunos ingenieros que podran verse tentados a cruzar la calle a un competidor. No exactamente podramos llamar el tablero del interruptor y decir: "Djame hablar con alguien con cinco aos de experiencia en ingeniera". En cambio, por razones que quedarn claras en un momento, ella comenz el asalto talento mediante la bsqueda de una pieza de informacin que pareca no tener sensibilidad en absoluto, la informacin que la

gente de la empresa dar a conocer a casi nadie que pregunte. La primera llamada: El recepcionista The atacante, usando el nombre Didi Sands, hizo una llamada a las oficinas corporativas de servicio de correo telfono celular. En parte, la conversacin fue as:

Recepcionista: Buenas tardes. Se trata de Marie, en qu puedo ayudarle? Didi: Se puede conectar conmigo al Departamento de Transporte? R: No estoy seguro de si tenemos uno, voy a buscar en mi directorio. Quin llama? D: Es Didi. R: Est usted en el edificio, o ... ? D: No, yo estoy fuera del edificio. R: Sei quin? D: Didi Sands. Tuve la extensin de Transporte, pero se me olvid lo que era. R: One momento. To disipar las sospechas, en este punto Didi hizo una pregunta casual, simplemente conversando diseado para demostrar que ella estaba en el "interior", familiarizarse con las ubicaciones de la empresa. D: Qu edificio en que est - Lakeview o Plaza Principal? R: Plaza Principal. (Pause) es 805 555 6469. To proporcionar a s misma con una copia de seguridad en caso de que la llamada a Transporte no dio lo que estaba buscando, Didi dijo que ella tambin quera hablar con bienes races. La recepcionista le dio ese nmero, tambin. Cuando Didi pidi ser conectado al nmero de Transportes, la recepcionista intent, pero la lnea estaba ocupada. Lan ese punto Didi pidi un nmero de telfono distinto, por cuentas por cobrar, que se encuentra en un centro corporativo en Austin, Texas. La recepcionista le pidi que esperara un momento, y se sali de la lnea. Presentacin de informes a la seguridad que tena una llamada telefnica sospechosa y pensaba que haba algo sospechoso pasa? No, en absoluto, y Didi no tena la ms mnima preocupacin. Ella estaba siendo un poco molesto, pero a la recepcionista que era todo parte de un da de trabajo tpico. Despus de aproximadamente un minuto, el recepcionista regres en la lnea, busc el nmero de cuentas por cobrar, lo prob, y poner a travs de Didi. La segunda llamada: Peggy Thconversacin e siguiente fue as: Peggy: Cuentas por cobrar, Peggy. Didi: Hola, Peggy. Se trata de Didi, en Thousand Oaks. P: Hola, Didi. DCmo te va? P: Aletae.

SeLuego utiliza un trmino familiar en el mundo corporativo que describe el cdigo de carga para la asignacin de gastos contra el presupuesto de una organizacin o grupo de trabajo: D: Excellent. Tengo una pregunta para usted. Cmo puedo averiguar el centro de coste para un departamento particular? P: You 'd tiene que obtener una bodega de la analista de presupuesto para el departamento. D: Do sabes quin sera el analista de presupuesto de Thousand Oaks - Sede? Estoy tratando de llenar un formulario y no s el centro de coste adecuado. P: Yo j u s sabe cuando ustedes necesitan un nmero de centro de costo, llame a su analista de presupuesto. D: Do tiene un centro de coste para su departamento de all en Texas? P: We tenemos nuestro propio centro de costos, pero no nos dan una lista completa de ellos. D: How muchos dgitos es el centro de coste? Por ejemplo, cul es su centro de costos? P: Well, como, usted est con 9WC o con el SAT? Seno tena ni idea de qu departamentos o grupos de stos se refiere, pero no importaba. Ella respondi: D: 9WC. P: Lan por lo general cuatro dgitos. Quin dijiste que estabas? D: Headquartres - Thousand Oaks. P: Well, aqu est uno para Thousand Oaks. Es 1A5N, que es n como en Nancy. By simplemente pasar el tiempo suficiente con alguien dispuesto a ayudar, Didi tena el nmero de centros de coste que necesitaba - una de esas piezas de informacin que no se piensa para proteger, ya que parece como algo que no poda ser de cualquier valor a un extrao . La tercera llamada: un nmero equivocado ha sido til Didi 's paso siguiente sera valerse el nmero de centros de coste en algo de real value usndolo como un chip de pquer. She inici llamando al departamento de Bienes Races, fingiendo que haba llegado a un nmero equivocado. A partir de un "Perdona que te moleste, pero ...." ella afirm que era un empleado que haba perdido a su directorio de la empresa, y le pidi que se supona que llamar para obtener una nueva copia. El hombre dijo que la copia impresa estaba fuera de fecha, ya que estaba disponible en el sitio intranet de la compaa.

Sei dijo que prefera utilizar una copia impresa, y el hombre le dijo que llamara Publicaciones, Y luego, sin haber sido invitada - tal vez slo para mantener lasexy

sounding seora en el telfono un poco ms - amablemente busc el nmero y se lo dio a ella. La Cuarta Convocatoria: Bart en Publicaciones YoPublicaciones n, habl con un hombre llamado Bart. Didi dijo que era de Thousand Oaks, y tenan un nuevo consultor que necesitaba una copia de la gua de empresas. Ella le dijo a una copia impresa sera ms apropiado para el consultor, aunque fuera un poco fuera de fecha. Bart le dijo que tendra que llenar un formulario de solicitud y enviar el formulario a l. SeLe dije que estaba fuera de forma y fue una rfaga, y podra ser una novia de Bart y rellene el siguiente formulario para ella? Estuvo de acuerdo con un entusiasmo poco demasiado, y Didi le dio los detalles. Para obtener la direccin del contratista ficticio, ella arrastrando las palabras el nmero de lo que los ingenieros sociales llaman un apartado de correos,yon este caso un Mail Boxes Etc. tipo de actividad comercial donde la empresa alquil cajas para situaciones como esta. El trabajo preparatorio antes ahora era prctica: Habra un cargo por el costo y el envo de la gua. Fine - Didi dio el centro de coste para Thousand Oaks: "IA5N, que es n como en Nancy ". Unos das ms tarde, cuando el directorio de la empresa lleg, Didi nos pareci que era una recompensa an ms grande de lo que esperaba: no slo una lista de nombres y nmeros de telfono, pero tambin mostr que trabajaba para los cuales - la estructura corporativa de la organizacin. ThLady E de la voz ronca estaba listo para comenzar a hacer llamadas a su cazador de cabezas, la gente-incursiones telefnicas. Ella haba estafado la informacin que necesitaba para lanzar su ataque con el don de la palabra perfeccionado para un buen pulido por cada ingeniero social especializada. Ahora estaba listo para la recompensa. LINGO MAIL DROP: The ingeniero social del plazo de un buzn de alquiler, tpicamente alquilado under un nombre falso, que son utilizados para presentar documentos o paquetes que la vctima haya sido engaado en el envo de Mitnick MENSAJE Al igual que las piezas de un rompecabezas, cada pieza de informacin puede ser irrelevante

itself. Sin embargo, cuando las piezas se unen, surge una imagen clara. En este

Me caso, la imagen del ingeniero social que vi fue toda la estructura interna de la empresa. LaCon el nalyzing Yon este ataque de ingeniera social, Didi iniciado por conseguir nmeros de telfono de tres departamentos en la empresa objetivo. Esto fue fcil, porque los nmeros que estaba pidiendo era ningn secreto, especialmente a los empleados. Un ingeniero social aprende a hablar como un iniciado, y Didi era experto en este game. Uno de los nmeros de telfono de la condujo a una serie de centros de coste, que luego utiliza para obtener una copia del directorio de empleados de la empresa. Thherramientas electrnicas que necesitaba principales: haciendo sonar ambiente, utilizando algunos jerga corporativa, y, con la ltima vctima, lanzando en una pestaa-verbal poco bateo. Und una herramienta ms, un elemento esencial no adquiere fcilmente - las tcnicas de manipulacin de la ingeniera social, refinados a travs de la prctica extensa y las enseanzas no escritas de las generaciones pasadas de los hombres de confianza. MORE "SIN VALOR" INFO Junto asa costar nmero del centro y las extensiones de telfono internas, qu otra informacin aparentemente intil puede ser extremadamente valiosa para su enemigo?. Llamar Peter Abel Telfono "Hola," la voz en el otro extremo de la lnea dice. "Se trata de Tom en el Travel Parkhurst. Ustedr entradas a San Francisco estn listos. Quieres, pues a entregarlos, o quieres a recogerlos? " "San Francisco?" Peter dice. "Yo no voy a San Francisco." "Esto es Peter Abels?" "S, Pero yo no tengo ninguna excursiones por venir. " "Bueno, "La persona que llama dice con una sonrisa amistosa" Seguro que no quieres ir a la San Francisco? " "Yoi usted piensa que usted puede hablar a mi jefe en l ... "dice Pedro, tocando junto con la conversacin amistosa. "Sounds como una confusin ", la persona que llama dice." En nuestro sistema, los acuerdos cuaderno bajo el nmero de empleado. Tal vez alguien utiliza el nmero equivocado. Cul es su nmero de empleado? " Peter amablemente recita su nmero. Y por qu no? Saldr a casi todos los que forman el personal rellena, un montn de personas de la empresa tienen acceso a la misma - los recursos humanos, nmina, y, obviamente, la agencia de viajes

afuera. Nadie trata a un nmero de empleado como una especie de secreto. Qu diferencia podra hacerlo? Threspuesta e no es difcil de entender. Dos o tres piezas de informacin podra ser todo lo que se necesita para preparar una respuesta eficaz suplantacin - el encubrimiento ingeniero social a s mismo en identidad de otra persona. Agarre el nombre del empleado, su telfono

nmero, Su nmero de empleado - y tal vez, por si acaso, el nombre de su director y su nmero de telfono - y un ingeniero social a medio camino-competente est equipado con ms de lo que es probable que necesite para que suene autntico al siguiente objetivo que llama. Yof alguien que dijo que era de otro departamento de la compaa haba llamado ayer, dada una razn plausible, y le pidi su nmero de empleado, hubiera tenido alguna reticencia en drselo a l? Und Por cierto, cul es su nmero de seguro social? Mitnick MENSAJE The moraleja de la historia es, no dar ninguna empresa o personal interno information o identificadores para cualquier persona, a menos que su voz es reconocible y el solicitante tiene una necesidad de saber. PREVENTING CON EL Ustedr empresa tiene la responsabilidad de hacer que los empleados tomen conciencia de cmo un error grave puede ocurrir por mal manejo de la informacin pblica no. Un bien pensado poltica de seguridad de la informacin, junto con la educacin y formacin adecuadas, aumentar dramticamente la conciencia de los empleados sobre el manejo adecuado de la informacin comercial de las empresas. Una poltica de clasificacin de datos le ayudar a poner en prctica adecuada controlars ingenioh respectivamentet to disclosing informacin. Without un datun classification poltica, toda la informacin interna debe ser considerada confidencial, a menos que se especifique lo contrario. Take estos pasos para proteger su empresa de la liberacin de informacin aparentemente inocua: The Informacin del Departamento de Seguridad necesita para llevar a cabo capacitacin en conciencia que detalla los mtodos utilizados por los ingenieros sociales. Un mtodo, tal como se describe ms arriba, es la obtencin de informacin sensible y aparentemente no lo utilizan como una ficha de pquer para ganar a corto plazo la confianza. Todos y cada empleado tiene que ser consciente de que cuando una persona tiene conocimiento acerca de los procedimientos de la empresa, la jerga y los identificadores internos no es as de ninguna manera, forma o forma autenticar al solicitante o autorizar a l o ella que tiene una necesidad de saber. Una persona que llama puede ser un ex empleado o contratista con el requisite ensider enformacin. LacCordingly, cada corporation huns unresponsabilidy para determinar el mtodo de autenticacin adecuado para ser utilizado cuando los empleados interactan con personas que no reconocen en persona o por telfono. Thpersona e o personas con el papel y la responsabilidad de redactar una poltica

de clasificacin de datos deben examinar los tipos de datos que pueden ser utilizados para obtener

acceso para los empleados legtimos que parecen inofensivas, pero pueden dar lugar a la informacin, es decir, sensible. A pesar de que nunca le dara las claves de acceso de su tarjeta de cajero automtico, le dira a alguien que servidor que se utiliza para desarrollar productos de la empresa de software? Puede que la informacin sea utilizada por una persona que finge ser alguien que tenga acceso legtimo a la red corporativa? Sometimes el hecho de saber dentro de la terminologa puede hacer que el ingeniero social aparecen con autoridad y conocimiento. El atacante a menudo se basa en esta idea falsa comn para engaar a sus vctimas en el cumplimiento. Por ejemplo, una identificacin del comerciante es un identificador que la gente en el departamento de contabilidad de un banco de Nueva casualmente utilizan cada da. Pero dicho identificador exactamente el mismo como una contrasea. Si cada empleado comprenda la naturaleza de esta identificacin - que se utiliza para autenticar positivamente un solicitante - a ellos les puede tratar con ms respeto. Mitnick MENSAJE Las dice el viejo refrn - incluso los paranoicos tienen enemigos reales probablemente. Debemos suponiendoe que cada negocio tiene sus enemigos, tambin - los atacantes que se dirigen a la infraestructura de red para comprometer secretos comerciales. No llegar a ser una estadstica sobre delitos informticos - es hora de apuntalar las defensas necesarias mediante la implementacin de controles adecuados a travs de las polticas de seguridad bien fuera del pensamiento y los procedimientos. Nempresas o - bien, muy pocos, por lo menos - dar a conocer los nmeros de telfono de marcacin directa de su director general o presidente del consejo. La mayora de las empresas, sin embargo, no tienen ninguna preocupacin por dar nmeros de telfono para la mayora de los departamentos y grupos de trabajo de la organizacin, - sobre todo para alguien que es, o parece ser, un empleado. Un posible contramedida: Implementar una poltica que prohbe dar nmeros de telfono internos de los empleados, contratistas, consultores, y trabajadores temporales a los extranjeros. Ms importante an, desarrollar un procedimiento paso a paso para identificar claramente si la persona que llama pidiendo nmeros de telfono es realmente un empleado. CuentaAdemsg cdigos para grupos de trabajo y departamentos, as como copias del directorio de la empresa (ya sea impreso, los datos de archivo o directorio telefnico electrnico en la intranet) son blancos frecuentes de los ingenieros sociales. Todas las empresas necesitan un escrito, bien publicitada poltica sobre la divulgacin de este tipo de informacin. Las garantas deben incluir el mantenimiento de un registro de auditora que registra casos en los que la informacin confidencial sea revelada a personas ajenas a la empresa. Information como un nmero de empleado, por s mismo, no se debe utilizar como cualquier tipo de autenticacin. Todos los empleados deben ser entrenados

para verificar no slo la identidad de un solicitante, pero tambin la necesidad del solicitante a la informacin.

Yon su entrenamiento de seguridad, considere ensear a los empleados este enfoque: Cuando hice una pregunta o pedido un favor a un desconocido, aprende primero a declinar educadamente hasta que la solicitud puede ser verificada. Entonces - antes de ceder al deseo natural de ser el Sr. o la Sra. tiles - polticas de la compaa seguir y procedimientos con respecto a la verificacin y la divulgacin de la informacin pblica no. Este estilo puede ir en contra de nuestra tendencia natural a ayudar a los dems, pero un poco de paranoia saludable puede ser necesario para evitar ser vctima siguiente el ingeniero social. Las las historias de este captulo han mostrado, la informacin aparentemente inocua puede ser la llave a los secretos ms preciados de su empresa.

Chapter 3 The Ataque Directo: Just Asking For It

Muchos ataques de ingeniera social son complejos, involucrando a un nmero de pasos y la planificacin elaborada, que combina una mezcla de manipulacin y conocimientos tecnolgicos. But Siempre me parece sorprendente que un hbil ingeniero social a menudo puede lograr su objetivo con un simple ataque simple y directa. Slo preguntaba abiertamente de la informacin puede ser todo lo que se necesita - como ya lo vers. LaN MLAC QUICKIE Whormiga saber el nmero de telfono de alguien no cotizan en bolsa? Un ingeniero social puede decirle halfa docena de formas (y usted encontrar algunos de ellos se describe en otras historias en estas pginas), pero probablemente el escenario ms simple es aquella que utiliza una sola llamada telefnica, como ste. Nmero, por favor El atacante marc el nmero de telfono de la empresa privada para la MLAC, el Lnea de mecanizado Centro de Asignacin. Para la mujer que respondi, dijo: "Hey, Este es Paul Anthony. Soy un empalmador de cable. Escucha, una caja de bornes aqu tienes frito en un incendio. Los policas que algunos fluencia intent quemar su propia casa por el seguro. Me trajeron aqu solo tratando de volver a colocar todo este 200 pares de terminales. Me vendra bien un poco de ayuda en estos momentos. Qu instalaciones deben estar trabajando en 6723 South Main? " Yon otras partes de la compaa telefnica, la persona que llama se sabe que la informacin de bsqueda inversa en el pub no (no publicado) nmeros se supone que debe ser entregado solamente a MLAC autorizado compaa telefnica se supone que es conocido slo a los empleados de la empresa. Y aunque nunca dar informacin al pblico, quin querra rechazar un poco de ayuda para un hombre de la compaa para hacer frente a esa tarea de servicio pesado?. Ella siente lstima por l, que ha tenido un mal da en el trabajo ella misma, y ella va a bend las reglas un poco para ayudar a un compaero de trabajo con un problema. Ella le da el cable y los pares y cada nmero de trabajo asignado a la direccin. Mitnick MENSAJE

Ess naturaleza humana confiar en el prjimo, especialmente cuando la solicitud se ajusta a la prueba de ser razonable. Los ingenieros sociales utilizan este conocimiento para explotar a sus vctimas y lograr sus metas.

LaCon el nalyzing Las te dars cuenta repetidamente en estas historias, el conocimiento de la jerga de la empresa, y of su estructura corporativa - sus distintas oficinas y departamentos de lo que cada uno hace y lo que cada uno tiene la informacin - es parte esencial de la bolsa de trucos del xito social ingeniero. YOUNG MAN ON THE RUN Un hombre al que llamaremos Frank Parsons haba estado prfugo durante aos, todava buscado por la federal gobierno por ser parte de un grupo contra la guerra subterrnea en la dcada de 1960. En los restaurantes se sent frente a la puerta y l tena una manera de mirar por encima de su shoulder de vez en cuando que las dems personas encontraron desconcertante. Se traslad cada pocos aos. Lat un punto de Frank aterriz en una ciudad que no conoca, y se dedic a la bsqueda de empleo. Para alguien como Frank, con sus habilidades informticas bien desarrolladas (y habilidades de ingeniera social tambin, incluso, aunque nunca figuran las relativas a una solicitud de empleo), encontrar un buen trabajo por lo general no era un problema. Excepto en momentos en que la economa est muy apretado, las personas con un buen conocimiento tcnico informtico suelen encontrar sus talentos en alta demanda y tienen aterrizaje pequeo problema en sus pies. Frank rpidamente encuentra un pozo - oportunidad de trabajo remunerado en un gran centro de primer nivel, la atencin a largo plazo cerca de donde l viva. Just el billete, pens. Pero cuando empez a andar con paso pesado a su manera a travs de los formularios de solicitud, se encontr con un uh-oh: El empleador requiere que el solicitante presente una copia de su registro de antecedentes penales del Estado, el cual tuvo que obtener de la polica estatal. La pila de papeles de trabajo incluye un formulario para solicitar este documento y la forma tena una pequea caja para proporcionar una huella digital. A pesar de que estaban pidiendo una impresin de slo el dedo ndice derecho, si coincide con su impresin con una base de datos del FBI, lo ms probable era pronto a trabajar en el servicio de comida en un centro turstico con fondos federales. On Por otro lado, se le ocurri a Frank que tal vez, slo tal vez, todava podra ser capaz de salirse con la suya. Tal vez el Estado no envi las muestras de huellas digitales al FBI en absoluto. Cmo iba a saberlo? Cmo? l era un ingeniero social - Cmo crees que se enter? l hizo una

llamada telefnica a la patrulla estatal: "Hola Estamos haciendo un estudio para el Departamento de Estado de Justicia Estamos investigando los requisitos para implementar un sistema de identificacin de huellas dactilares nuevo Puedo hablar con alguien all que es muy familiar... lo que ests haciendo lo mejor que nos puede ayudar? "

Und cuando el experto local se puso al telfono, Frank hizo una serie de preguntas acerca de lo que los sistemas que utilizaban, y capacidades de los que buscar y almacenar datos de huellas dactilares. Si hubieran tenido problemas en el equipo? Estaban ligados a bsquedas en el Centro Nacional de Informacin Criminal de huellas digitales (NCIC) o slo dentro del estado? El equipo es bastante fcil para todo el mundo para aprender a usar? Astutamente, l desliz la pregunta clave entre el resto. La respuesta era msica para sus odos: No, no estaban atados en el NCIC, slo comprueba con el ndice de Informacin Criminal (CII). MITNICK MESSGAE SavvY estafadores informacin tienen ningn reparo en sonar hasta federales, estatales o Locafuncionarios gubernamentales l para conocer los procedimientos de aplicacin de la ley. Con esa informacin en mano, el ingeniero social puede ser capaz de burlar los controles estndar de seguridad de su compaa. That era Frank necesitaba saber. l no tena ningn registro en ese estado, por lo que present su solicitud, fue contratado para el trabajo, y nadie se present en su escritorio un da con el saludo: "Estos seores son del FBI y les gusta haban a tener una pequea charla con usted. " Y, Segn l, result ser un empleado modelo. En el umbral YoA pesar n del mito de la oficina sin papeles, las empresas siguen para imprimir resmas of peridico todos los das. Informacin en la impresin de su empresa puede ser vulnerable, incluso si se utiliza precauciones de seguridad y acabar con la confidencialidad. Here de una historia que muestra cmo los ingenieros sociales pueden obtener sus documentos ms secretos.

Loop-Around Deception Cada ao, la empresa de telefona publica un volumen titulado El nmero de prueba Directory (o al menos solan hacerlo, y porque todava estoy en libertad bajo supervisin, no voy a preguntar si todava lo hacen). Este documento fue valorado muy positivamente por phreakers porque estaba lleno de una lista de todos los nmeros de telfono utilizados celosamente guardados por los artesanos de la empresa, tcnicos, otros por cosas como un tronco de prueba o comprobacin de

nmeros que suenan siempre ocupado.

Ene de estos nmeros de prueba, conocido en la jerga como bucle alrededor,wcomo particularmente tiles. Phreakers lo utiliz como una forma de encontrar otros phreaks telfono para charlar con, sin costo alguno para ellos. Phreaks telefnicas tambin se utiliza una forma de crear un nmero de devolucin de llamada a dar, por ejemplo, un banco. Un ingeniero social le dira a alguien en el banco el nmero de telfono para llamar a llegar a su oficina. Cuando el banco volvi a llamar al nmero de prueba (loop-around) el phreaker sera capaz de recibir la llamada, sin embargo, tena la proteccin de haber utilizado un nmero de telfono que no se pudo localizar de nuevo a l. Un Directorio Nmero de prueba proporciona una gran cantidad de informacin ordenada que podra ser utilizado por cualquier informacin-comedor, phreak testosteroned telfono. As que cuando los nuevos directorios se publican cada ao, eran codiciadas por muchos jvenes cuyos aficin estaba explorando la red telefnica. Mitnick MENSAJE Security capacitacin con respecto a la poltica de la compaa diseado para proteger la informacin culoets tiene que ser para todos en la empresa, no cualquier empleado que tenga acceso electrnico o fsico a los activos de TI de la empresa. Estafa de Stevie NaturallY las compaas telefnicas no hacen estos libros fciles de conseguir, as telfono Phreaks tiene que ser creativo para conseguir uno. Cmo pueden hacer esto? Un joven impaciente con una inclinacin mente en adquirir el directorio podra promulgar un escenario como este. LComimos un da, una noche suave en el otoo del sur de California, un tipo al que llamar Stevie telfonos de una empresa pequea central telefnica, que es la construccin de las lneas telefnicas ejecutar a todos los hogares y negocios en el rea de servicio establecido. When el guardagujas de servicio responde a la llamada, Stevie anuncia que l es de la divisin de la compaa telefnica que publica y distribuye materiales impresos. "Tenemos el Directorio de nuevo nmero de prueba," dice. "Pero por razones de seguridad, nosotros no podemos entregar su copia hasta que recoja el viejo. Y el tipo de entrega se hace tarde. Si quieres dejar tu copia justo fuera de su puerta, se puede girar por, recoger el suyo, deje caer el nuevo uno y estar en su camino. " Thguardagujas e inocente parece pensar que suena razonable. l es exactamente como se le pregunt, sacando a las puertas de la construccin de su copia del

directorio, su portada claramente marcado en grandes letras rojas con el "EMPRESA CONFIDENCIAL - CUANDO YA NO ES NECESARIO ESTE DOCUMENTO DEBE SER desmenuzado ".

Stevie impulsa de modo y mira a su alrededor cuidadosamente para detectar cualquier polica o la gente de la compaa telefnica de seguridad que podran estar al acecho detrs de los rboles o mirando para l de coches aparcados. Nadie a la vista. Casualmente recoge el directorio codiciado y se va. Esto es slo un ejemplo ms de lo fcil que puede ser para un ingeniero social para conseguir lo que quiere, siguiendo el sencillo principio de "slo pedirlo." GeorgiaS ATAQUE No slo los activos de la empresa estn en riesgo en un escenario de ingeniera social. A veces es clientes de la compaa que son vctimas. Working como empleado de servicio al cliente trae su cuota de frustraciones, su cuota de risas, y su cuota de errores inocentes - algunos de los cuales pueden tener consecuencias infelices para los clientes de una empresa. JaniHistoria e Acton Janie Acton haba sido la dotacin de un cubculo como un servicio al cliente Procedencia f rep Electric El poder, en Washington, DC, hace poco ms de tres aos. Fue considerado como uno de los mejores vendedores, inteligente y consciente Yot fue la semana de Accin de Gracias cuando esta llamada en particular uno entr la persona que llama, dijo: "Este es Eduardo en el departamento de facturacin. Tengo una dama en espera, ella es una secretaria en las oficinas ejecutivas que trabaja para uno de los vicepresidentes , y ella ha solicitado informacin y no puedo usar mi computadora recib un correo electrnico de esta chica en Recursos Humanos que dice 'ILOVEYOU'. y cuando abr el archivo adjunto, que no poda usar mi mquina ms. Un virus . Me qued atrapado por un virus estpido. De todas formas, podra buscar alguna informacin de los clientes para m? " "Claro", contest Janie. "Se estrell su computadora? Eso es terrible." "S". "How puedo ayudar? ", pregunt Janie. Hantes de que el atacante se llama en la informacin de su investigacin antes de hacerse sonar autntico. Haba aprendido que la informacin que l, quera que se almacen en algo llamado el Sistema de Informacin de facturacin al cliente, y l se haba enterado de cmo los empleados se refiere al sistema. l pregunt: "Se puede abrir una cuenta en CBIS?" "S, cul es el nmero de cuenta.?"

"Yo no tengo el nmero, te necesito para que aparezca por nombre "" Muy bien, cmo se llama? ". "Ess Marning Heather. "Se escribe el nombre, y Janie lo escrito pulg

"Est bien, Lo tengo arriba. " "Genial. Es la cuenta corriente?" "Uh huh, es actual." "Cul es el nmero de cuenta?" , se pregunt. "Do tiene un lpiz? "" Ready de escribir. " "CdCuent nmero BAZ6573NR27Q ". Ley el nmero de vuelta y luego dijo: "Y cul es la direccin de servicio?" Ella le dio la direccin. "Y cul es el telfono?" Janie amablemente leer esa informacin, tambin. Thpersona que llama e le dio las gracias, se despidi y colg. Janie pas a la prxima convocatoria, sin pensar ms en ello. ArProyecto de Investigacin t Sealy Lart Sealy haba dejado de trabajar como editor freelance para editoriales pequeas when descubri que poda ganar ms dinero haciendo una investigacin para escritores y empresas. Pronto se descubri que los honorarios que pueden cobrar aumentaron de forma proporcional a la proximidad de la misin lo llev a la lnea a veces confusa entre lo legal y lo ilegal. Sin siquiera darse cuenta, desde luego sin darle un nombre, el arte se convirti en un ingeniero social, utilizando tcnicas familiares para todos los agentes de informacin. l result tener un talento innato para los negocios, averiguar por s mismo las tcnicas que la mayora de los ingenieros sociales tenan que aprender de los dems. Despus de un rato, l cruz la lnea sin la menor punzada de culpabilidad. Un hombre puso en contacto conmigo que estaba escribiendo un libro sobre el Consejo de Ministros en los aos de Nixon, y fue en busca de un investigador que podra conseguir la primicia sobre William E. Simon, que haba sido secretario del Tesoro de Nixon. Sr. Simon haba muerto, pero el autor tena el nombre de una mujer que haba estado en su personal. Estaba bastante seguro de que ella segua viviendo en DC, pero no haba sido capaz de obtener una direccin. Ella no tena telfono en su nombre, o por lo menos ninguna que se enumeran. As que cuando me llam. Yo le dije, claro, no hay problema. This es el tipo de trabajo que por lo general puede llevar apagado en una llamada telefnica o dos, si sabes lo que ests haciendo. Cada compaa local de servicios pblicos en general, se puede contar con que dar la informacin de distancia. Por supuesto, usted tiene que BS un poco. Pero lo que es una mentira piadosa de vez en cuando - a la derecha? Me gusta usar un enfoque diferente cada vez, slo para mantener las cosas

interesantes. "Esto es as-y-as que en las oficinas ejecutivas" siempre ha funcionado bien para m. As ha "tengo a alguien en la lnea de la oficina del Vicepresidente Somebody", que funcion esta vez, tambin.

Mitnick MENSAJE Never que todos los ataques de ingeniera social deben ser elaborados ardides tan complejas THAt es probable que para ser reconocida antes de que pueda completarse. Algunos son de entrada y de salida, huelga-y-desaparecen, ataques muy simples que no son ms que .., bueno, slo pedirlo. You tiene que desarrollar una especie de instinto que el ingeniero social, el tener una idea de cmo la cooperativa a la persona en el otro extremo va a estar con ustedes. Esta vez tuve suerte con una seora amable y servicial. En una sola llamada telefnica, tena la direccin y nmero de telfono. Misin cumplida. LaCon el nalyzing Certainly Janie knew THAt customer information yos sensible. She would Nunca discutir cuenta de un cliente con otro cliente, o dar informacin privada a la pblica. Pero, naturalmente, para una persona que llama desde dentro de la empresa, se aplican reglas diferentes. Por un compaero de trabajo que es todo acerca de ser un jugador de equipo y ayudarse unos a otros hacer el trabajo. El hombre de facturacin hubiera podido mirar los detalles s mismo si su equipo no haba estado abajo con un virus, y se alegr de poder ayudar a un compaero de trabajo. Lart construido gradualmente a la informacin clave fue realmente despus, hacer preguntas along la forma de las cosas que realmente no necesita, como el nmero de cuenta. Sin embargo, al mismo tiempo, la informacin del nmero de cuenta proporcionado un retorno: Si el empleado se haba convertido en sospechoso, que llamara a un segundo time y tienen una mejor oportunidad de xito, porque conociendo la cuenta nmero le hara parecer an ms autntico al secretario siguiente lleg. Yot Nunca se le ocurri a Janie que alguien en realidad podra mentir sobre algo as, que la persona que llama en realidad no puede ser desde el departamento de facturacin en absoluto. Por supuesto, la culpa no recae en los pies de Janie. Ella no estaba muy versado en el Estado trata de asegurarse de que usted sabe con quin est hablando antes de discutir la informacin en el expediente del cliente. Nadie haba jams le habl del peligro de una llamada telefnica como la del art. No estaba en la poltica de la empresa, no era parte de su formacin, y su supervisor no lo haba mencionado. PREVENTING CON EL Un punto a incluir en su entrenamiento de seguridad: El hecho de que un comunicante o visitante conoce nombres e de algunas personas en la empresa, o sabe algo de la jerga corporativa

o procedimientos, no significa que l es quien dice ser. Y definitivamente no

establish l como alguien autorizado a dar informacin interna, o el acceso a su sistema informtico o red. Securitformacin y tiene que destacar: En caso de duda, verificar, verificar, verificar. En pocas anteriores, el acceso a la informacin dentro de una empresa era una marca de rango y privilegio. Trabajadores avivaron los hornos, corri las mquinas, escribi las letras, y present los informes. El capataz o jefe les diga qu hacer, cundo y cmo. Era el capataz o jefe que saba cuantas baratijas cada trabajador debe producir en un turno, cuntos y en qu colores y tamaos de la fbrica necesaria para convertir esta semana, la prxima semana, y para el final del mes. Obreros manejard mquinas und herramientas und materiales, und bosses informacin que se maneja. Los trabajadores necesitan slo la informacin especfica a sus puestos de trabajo especficos. Thimagen e es un poco diferente hoy en da, no es as? Muchos trabajadores de fbricas utilizan algn tipo de equipo o de la mquina por ordenador. Para una gran parte de la fuerza de trabajo, la informacin crtica se empuja hacia abajo a los escritorios de los usuarios, para que puedan cumplir con su responsabilidad de hacer su trabajo. En el entorno actual, casi todo lo que hacen los empleados implica el manejo de la informacin. Esos por qu la poltica de una empresa de seguridad debe ser distribuido en toda la empresa, independientemente de su posicin. Todo el mundo debe entender que no se trata slo de los jefes y ejecutivos que tienen la informacin que un atacante puede ser posterior. Hoy en da, workers a todos los niveles, incluso a aquellos que no usan una computadora, son susceptibles de ser atacados. El representante de nuevo ingreso en el grupo de servicio al cliente puede ser el eslabn dbil que se rompe un ingeniero social para lograr su objetivo. La formacin en seguridad y las polticas de seguridad corporativas necesidad de fortalecer ese vnculo.

Chapter 4 Building Trust

Some de estas historias podran llevar a pensar que creo que todo el mundo en los negocios es un idiota completo, listo, incluso ansioso, para regalar todos los secretos en su posesin. El ingeniero social sabe que no es cierto. Por qu son los ataques de ingeniera social tan exitoso? No es porque la gente es estpida o la falta de sentido comn. Pero nosotros, como seres humanos todos somos vulnerables a ser engaados porque la gente puede perder su confianza, si manipular de cierta manera. The ingeniero social, se anticipa a la sospecha y la resistencia, y siempre est dispuesto a convertir la desconfianza en confianza. Un ingeniero de bien social planea su ataque como un juego de ajedrez, anticipndose a las preguntas de su objetivo podran hacer para que pueda estar preparados con las respuestas correctas. Ene de sus tcnicas comunes implica la construccin de un sentido de confianza por parte de sus vctimas. Cmo puede un hombre hacer con usted confiar en l? Confa en m, es l. CONFIANZA: LA CLAVE PARA EL ENGAO Cuanto ms un ingeniero social puede hacer que su contacto parecer lo de siempre, el more le alivia sospecha. Cuando las personas no tienen una razn para sospechar, es fcil para un ingeniero social para ganar su confianza. Once que tiene su confianza, el puente levadizo se baja y la puerta se abri de golpe castillo para que pueda entrar y tener toda la informacin que quiere. NOTA You puede notar me refiero a los ingenieros sociales, phreakers, y con juegooperadors como "l" a travs de la mayor parte de estas historias Esto no es chauvinismo,... simplemente refleja la verdad de que la mayora de los profesionales en estos campos son hombres, pero aunque no hay muchas mujeres ingenieros sociales, el nmero est creciendo Hay suficientes mujeres ingenieros sociales por ah que no se debe bajar la guardia porque oye la voz de una mujer. De hecho, las mujeres ingenieros sociales tienen una clara ventaja, ya que pueden utilizar su sexualidad para obtener cooperacin. Encontrars un pequeo nmero de llamado sexo dbil representados en estas pginas La primera llamada: Andrea Lopez Andrea Lpez contest el telfono en la tienda de alquiler de videos donde trabajaba,

und en un momento estaba sonriendo: Siempre es un placer cuando un cliente se toma la molestia de decir que est contento con el servicio. Esta persona que llam dijo que haba tenido una experiencia muy buena frente a la tienda, y l quera enviar el gestor de un letter al respecto.

He le pregunt por el nombre del gerente y la direccin de correo, y ella le dijo que era Tommy Allison, y le dio la direccin. Cuando estaba a punto de colgar, l tena otra idea y dijo: "Puede ser que desee escribir en su sede de la empresa, tambin. Cul es su nmero de la tienda?" Ella le dio esa informacin, tambin. Dijo que gracias, agreg algo agradable acerca de lo til que haba sido, y nos despedimos. "Una llamada as ", pens," siempre parece hacer el cambio por ir ms rpido. Qu bueno sera si la gente hiciera eso ms a menudo. " La segunda llamada: Ginny "Graciass para video llamada Studio. Esta es Ginny, en qu puedo ayudarle? " "Hola, Ginny,"La persona que llam dijo con entusiasmo, sonando como si hablara a Ginny cada semana ms o menos." Es Tommy Allison, director de Forest Park, tienda 863. Tenemos un cliente en aqu que quiere alquilar Rocky 5 und todos estamos de copias. Se puede comprobar en lo que tienes? " Ella Californiamatrs e en la lnea despus de unos momentos y dijo: "S, tenemos tres copias. " "Est bien, Voy a ver si l quiere conducir por all. Oye, gracias. Si alguna vez necesitas ayuda en nuestra tienda, solo llame y pregunte por Tommy. Estar encantado de hacer lo que pueda por ti. " Threveces e o cuatro ms el prximo par de semanas, Ginny Recib llamadas de Tommy para ayudar con una cosa u otra. Eran peticiones aparentemente legtimos, y l era siempre muy amable sin sonar como si estuviera tratando de llegar a ella. Era un conversador poco en el camino, tambin - "Has odo hablar del gran incendio en Oak Park Manojo de calles cerradas por ah,?" Y similares. Las llamadas eran un pequeo descanso de la rutina del da, y Ginny siempre se alegraba de saber de l. Ene da llamado Tommy sonar estresado. l pregunt: "Han estado teniendo problemas con sus computadoras?" "No,"Ginny respondi." Por qu? " "Un tipo se estrell su coche contra un poste de telfono, y la compaa telefnica reparador dice toda una parte de la ciudad perdern sus telfonos e Internet connection hasta que arreglar esto. "" Oh, no. El hombre herido? " "They se lo llevaron en una ambulancia. De todos modos, me vendra bien un poco de ayuda. Tengo un cliente suyo aqu que quiere alquilar Godfather II und no tiene su tarjeta consigo. Podra verificar su informacin para m? " "S, claro".

Tommy le dio el nombre del cliente y la direccin, y Ginny le encontraron en el ordenador. Ella dio a Tommy el nmero de cuenta. "Unay vuelve tarde o saldo adeudado ", se pregunt Tommy." Nada muestra ". "Est bien, Muy bien. Lo voy a firmar a mano para una cuenta aqu y ponerlo en nuestra base de datos ms adelante, cuando los equipos vienen de nuevo. Y quiere poner esta carga en la tarjeta Visa que utiliza en su tienda, y l no lo tiene con l. Cul es el nmero de tarjeta y fecha de caducidad? " She se lo dio a l, junto con la fecha de caducidad. Tommy dijo: "Oye, gracias por la ayuda. Hablamos pronto", y colg. DoylHistoria e Lonnegan de Lonnegan no es un hombre joven que le gustara encontrar espera al abrir ustedr puerta delantera. Un hombre coleccin nica vez por malas deudas de juego, l todava hace un favor ocasional, si no lo puso fuera mucho. En este caso, se le ofreci un paquete considerable de dinero para poco ms que hacer algunas llamadas telefnicas a una tienda de videos. Suena bastante fcil. Es que ninguno de sus "clientes" saba cmo manejar este contexto, necesitaban a alguien con talento Lonnegan y el know-how. People no escribir cheques para cubrir sus apuestas cuando estn de mala suerte o estpido en la mesa de poker. Todo el mundo lo sabe. Por qu estos amigos de mine seguir jugando con un tramposo que no tena verde sobre la mesa? No le pida. Tal vez son un poco de luz en el departamento IQ. Pero ellos son amigos mos - qu puede hacer? This chico no tena dinero, as que tomaron un cheque. Les pido! En caso de lo condujo a un cajero automtico, es lo que deben de hacer. Pero no, un cheque. Para $ 3.230. Naturalmente, Que rebot. Qu se puede esperar? As que me llaman, puedo ayudarle? No cierro las puertas en los nudillos de la gente nunca ms. Adems, hay mejores maneras hoy en da. Yo les dije, el 30 por ciento de comisin, que vera lo que poda hacer. As que me diera su nombre y direccin, y subo en el equipo para ver cul es la tienda ms cercana vdeo a l. Yo no estaba en un gran apuro. Cuatro llamadas telefnicas para adular a la gerente de la tienda, y luego, bingo, tengo el truco nmero de tarjeta Visa. Otro amigo mo posee un bar topless. Durante cincuenta dlares, que puso dinero de poker del individuo a travs de Visa como un cargo en el bar. Vamos a explicar el truco que a su esposa. Crees que se podra tratar de decirle Visa no es su cargo? Piense otra vez. l sabe que nosotros sabemos quin es. Y si pudiramos conseguir su nmero de Visa, va a descubrir que pudimos conseguir mucho ms adems. No

hay ningn problema en ese aspecto.

LaCon el nalyzing Tommy 'Llamadas iniciales a Ginny eran simplemente para construir confianza. Cuando lleg el momento de el ataque real, ella baj la guardia y aceptado Tommy por quien deca ser, el gerente de otra tienda de la cadena. Und por qu no iba a aceptarlo - ella ya lo saba. Ella slo lo haba conocido por telfono, por supuesto, pero que haban establecido una amistad de negocios que es la base para la confianza. Una vez que ella lo haba aceptado como una figura de autoridad, un administrador de la misma empresa, la confianza que se haba establecido y el resto fue un paseo por el parque. Mitnick MENSAJE Thtcnica e picadura de construccin de confianza es uno de lo social ms eficaz INGENIERAg tcticas. Usted tiene que pensar si realmente conoces a la persona que est hablando. En algunos casos raros, la persona podra no ser quien dice ser. Por lo tanto, todos tenemos que aprender a observar, pensar y cuestionar la autoridad. VARIATISOBRE EN UN TEMA: Tarjeta de Captura Buildinga sentido de confianza no necesariamente exigen una serie de llamadas telefnicas a la vctima, como lo sugiere la historia anterior. Recuerdo un incidente que presenci en el que cinco minutos fue todo lo que necesit. Surprise, pap Una vez sentado en una mesa en un restaurante con Henry y su padre. En el curso de conversacin, Henry reprendi a su padre para dar su nmero de tarjeta de crdito como si fuera su nmero de telfono. "Por supuesto, usted tiene que dar su nmero de tarjeta cuando compra algo", dijo. "Pero le da a una tienda que presenta su nmero en sus registros - que es verdadero tonto". El nico lugar donde hacerlo es en Video Studio ", dijo Conklin, nombrando a la misma cadena de tiendas de video." Pero yo voy por mi cuenta Visa cada mes. Si ellos empezaron a correr los cargos, yo lo s. Claro,"Dijo Henry," pero una vez que tenga su nmero, es tan fcil para alguien a robar " Te refieres a un empleado deshonesto ". No, Cualquier persona - no slo un empleado ". You're hablando a travs de su sombrero ", dijo Conklin. Puedo llamar ahora mismo y conseguir que me diga su nmero de Visa ", dispar

a Henry. No, No se puede ", dijo su padre. "Puedo hacerlo en cinco minutos, aqu delante de usted sin tener que abandonar la mesa. "

Sr.. Conklin pareca apretado alrededor de los ojos, la mirada de los sentimientos a alguien seguro de s mismo, pero no quera demostrarlo. "Yo digo que no s de que ests hablando", le grit, sacando su cartera y la cuenta bofetadas cincuenta dlares sobre la mesa. "Si usted puede hacer lo que usted dice, eso es suyo. "No quiero tu dinero, pap ", dijo Henry. He sac su telfono celular, le pidi a su padre que l utiliz rama, y llam a Asistencia de Directorio para el nmero de telfono, as como el nmero de la tienda en las cercanas de Sherman Oaks. HE A continuacin, llam a la tienda Sherman Oaks. Con ms o menos el mismo mtodo descrito en el artculo anterior, se puso rpidamente el nombre del director y el nmero de tienda. Luego llam a la tienda donde su padre tena una cuenta. Sac el viejo suplantarla-manager truco, utilizando el nombre del director como propio y dando el nmero de tienda que acababa de obtener. Luego se utiliz el mismo truco: "Are su equipos de trabajo de acuerdo? La nuestra ha estado arriba y abajo. "l escuch su respuesta y luego dijo:" Bueno, mira, yo tengo uno de sus clientes aqu que quiere alquilar un vdeo, pero los ordenadores son ahora mismo. Te necesito para buscar la cuenta de cliente y asegrese de que es un cliente en su oficina ". Henry le dio el nombre de su padre. Luego, con slo una ligera variacin en la tcnica, que hizo la solicitud a leer la informacin de la cuenta: direccin, phonnmero e, y la fecha de apertura de la cuenta. Y luego dijo: "Oye, oye, yo estoy sosteniendo una larga lista de clientes aqu. Cul es la acreedorest nmero de tarjeta y fecha de caducidad? " Gallinary held el telfono celular a la oreja con una mano mientras le escribi en una servilleta de papel con la otra. Al terminar la llamada, desliz la servilleta delante de su padre, que lo mir con la boca abierta. El tipo de pobre looked totalmente sorprendido, como si todo su sistema de confianza acababa de down e desage. LaCon el nalyzing Delgadok de su propia actitud cuando alguien no conoce le pide something. Si un extrao mal estado viene a su puerta, no es probable que lo dej entrar, y si un extranjero viene a su puerta bien vestido, los zapatos lustrados, el pelo perfecto, ingeniomanera corts h y una sonrisa, es muy probable que sea mucho menos sospechoso. Tal vez es realmente Jason de la FridaY, el 13 de cine, Pero que est dispuesto a empezar confiando en esa persona, siempre y cuando se ve normal y no tiene un cuchillo en la mano. Qus menos obvio es que juzgar a la gente por telfono la misma manera. Suena esto como persona que est tratando de venderme algo? Es amable y outgoingo puedo sentir algn tipo de hostilidad o presin? l o ella tienen la

speech de una persona educada? Juzgamos a estas cosas y tal vez una docena de otros inconscientemente, en un instante, a menudo en los primeros momentos de la conversacin. Mitnick MENSAJE Ess naturaleza humana pensar que es poco probable que usted est siendo engaado en ningn sentido transaccin, Por lo menos hasta que haya alguna razn para creer lo contrario. Nos sopesar los riesgos y, a continuacin, la mayora de las veces, dar a la gente el beneficio de la duda. Ese es el comportamiento natural de las personas civilizadas .., por lo menos la gente civilizada que nunca han sido engaados o manipulados o engaados con una gran cantidad de dinero. Las los nios nuestros padres nos ensearon a no confiar en los extraos. Tal vez todos deberamos prestar atencin a este principio antiguo en el lugar de trabajo de hoy. Lat trabajo, la gente hace pedidos de nosotros todo el tiempo. Tiene una direccin de correo electrnico de este tipo? Dnde est la ltima versin de la lista de clientes? Quin es el subcontratista en esta parte del proyecto? Por favor, envenme la ltima actualizacin del proyecto. Necesito la nueva versin del cdigo fuente. Und adivinen qu: A veces la gente que hace esas peticiones son gente de tu personalmente no conozco, gente que trabaja para alguna otra parte de la empresa, o dicen que hacen. Pero si la informacin que dan los cheques, y parecen estar en el saber ("Marianne dijo ...", "Es en el servidor de K-16 ..."; "... 26 revisin de los planes de nuevos productos "), ampliamos nuestro crculo de confianza para incluirlos, y alegremente les dan lo que estn pidiendo. Seguro, Se puede tropezar un poco, preguntndonos "Por qu alguien en la planta de Dallas que ver los planes de nuevos productos?" o "Podra doler nada para dar a conocer el nombre del servidor que quieres hacer?" As que les pedimos otra pregunta o dos. Si las respuestas parecen razonables y la forma de la persona tranquilizador, que bajar la guardia, vuelve a nuestra inclinacin natural a confiar en el prjimo o mujer, y hacer (dentro de lo razonable) lo que sea que se les est pidiendo que hacer. Und no piense ni por un momento que el atacante slo se centrar en las personas 'Ho uso de los sistemas informticos de la empresa. Qu pasa con el hombre en la sala de correo? "Me haces un favor rpido? Abandonar esta compaa en la bolsa de correo intra?" Tiene el secretario de sala de correo sabemos que contiene un disquete con un programa especial para la pequea secretaria del CEO? Ahora el atacante obtiene su propia copia personal de correo electrnico del CEO. Wow! Podra realmente suceder en su empresa? La respuesta es, absolutamente.

THE ONE CENT-CELULAR HombreY la gente mire a su alrededor hasta que el), encontrar una oferta mejor, los ingenieros sociales no se ven fora mucho mejor, encuentran una manera de hacer una oferta mejor. Por ejemplo, a veces una

compaa lanza una campaa de marketing que es por lo que difcilmente puede soportar la idea de dejar pasar, mientras que el ingeniero social analiza la oferta y se pregunta cmo puede endulzar el trato. Not hace mucho tiempo, una compaa de telefona mvil en todo el pas tuvo una gran promocin en curso que ofrece un telfono nuevo para un solo centavo cuando se inscribi en uno de sus planes de llamadas. Las de un montn de personas han descubierto demasiado tarde, hay muchas buenas preguntas un comprador prudente debe hacer antes de inscribirse en un plan de telfono celular llamando si el servicio es analgico, digital, o una combinacin de ambos, el nmero de minutos en cualquier momento se puede utilizar en un mes, si las tarifas de itinerancia estn incluidos .., y sigue, y sigue. Especialmente importante entender desde el principio es el plazo del contrato de compromiso - cuntos meses o aos va a tener que comprometerse a? Imagen de un ingeniero social en Filadelfia que se siente atrada por un modelo de telfono barato ofrecido por una empresa de telefona mvil en la muestra-para arriba, pero l odia el plan de llamadas que va con ella. No es un problema. He aqu una manera que podra manejar la situacin. La primera llamada: Ted En primer lugar, los diales de ingeniera social de un almacn de cadena de electrnicos en West Girard. "Electron Ciudad. Se trata de Ted ". "Hola, Ted. Este es Adn. Escucha, estuve en un par de noches atrs hablando con un tipo de ventas de un telfono celular. Le dije que lo llamara cuando me decid por el plan que yo quera, y me olvid su nombre. Quin es el tipo que trabaja en ese departamento en el turno de noche? "Hays ms de uno. Fue William? " "No estoy conectadoNo estoy seguro. Tal vez fue William. Qu aspecto tiene? "" Un tipo alto. Un poco flaca. " "Creo que es l. Cul es su apellido, otra vez? ". Hadley H - A - D - L - E Y." "Si, Eso suena bien. Cundo l va a estar? " "Don 't saber su horario de esta semana, pero la gente de noche vienen en unos cinco aos. "" Bien. Lo voy a intentar esta noche, entonces. Gracias, Ted ". La segunda llamada: Katie La siguiente llamada es a una tienda de la misma cadena en la calle North Broad.

"Hola, Electron City. Habla Katie, en qu puedo ayudarle? " "Katie, hi. Se trata de William Hadley, ms en la tienda de West Girard. Cmo ests hoy? "

"Little lento, qu pasa? " "Tengo un cliente que vino para que el programa de clulas de un centavo telfono. Ya sabes a cul me refiero?" "Derecha. He vendido un par de ellos la semana pasada. " "You todava tiene algunos de los telfonos que van con ese plan? "" Tienes un montn de ellos. " . "Great Porque acaba de vender uno a un cliente El tipo pas de crdito;.... Que lo inscribi en el contrato que nos registramos el inventario maldito y no tenemos todos los telfonos dejaron Estoy tan avergonzado puedes hacer Hazme un favor? le voy a enviar a tu tienda a recoger un telfono. Puedes vender el telfono por un centavo y escribir Holam hasta un recibo? Y se supone que me llamen de vuelta una vez que tiene el telfono de modo que Californian le hable a travs de la forma de programarlo. "" S, claro. Enva sobre l. " "Est bien. Su nombre es Ted. Yancy Ted ". When el tipo que se hace llamar Yancy Ted se presenta en el North Broad St. tienda, Katie escribe de una factura y le vende el telfono celular por un centavo, tal como ella le haba pedido hacer by su "compaero de trabajo". Se enamor de la gancho acondicionado, lnea y plomada. When es el momento de pagar, el cliente no tiene monedas de un centavo en el bolsillo, as que mete la mano en el plato pequeo de monedas en el mostrador de la caja, toma uno y se lo da a la chica de la caja registradora. Se pone el telfono sin tener que pagar ni siquiera un centavo por ello. ls entonces libre para ir a otra compaa de telefona mvil que utiliza el mismo modelo de telfono, y elegir cualquier plan de servicio que le gusta. Preferiblemente uno sobre una base mes a mes, sin compromiso necesario. LaCon el nalyzing Es natural que las personas tengan un mayor grado de aceptacin para cualquier persona que reclamars de ser un compaero de trabajo, y quin sabe procedimientos de la compaa, Lingo d. El ingeniero social en esta historia tom ventaja de que al enterarse de los detalles de una promocin, que se identific como una empresa empleado, Y pidiendo un favor a otra biblioteca. Esto sucede between las sucursales de las tiendas y entre departamentos de una empresa, las personas estn fsicamente separados y trato con los compaeros de trabajo que no tienen en realidad

my da tras da. HackinG EN LA FEDS People muchas veces no nos detenemos a pensar en qu materiales est haciendo su organizacin dise en la Web. Por mi programa semanal en la radio KFI en Los Angeles,

productor e hice una bsqueda en lnea y encontr una copia de un manual de instrucciones para el acceso a la base de datos, del Centro Nacional de Informacin Criminal. Ms tarde se encontr con el manual real NCIC s mismo en la lnea, un documento sensible que da todas las instrucciones para recuperar informacin de la base de datos nacional del crimen del FBI. The manual es una gua para las agencias de aplicacin de la ley que le da el formato y los cdigos para la recuperacin de informacin sobre delincuentes y los crmenes de la base de datos nacional. Representaciones en todo el pas, puede buscar en la misma base de datos para obtener informacin para ayudar a resolver crmenes en su propia jurisdiccin. El manual contiene los cdigos utilizados en la base de datos para la designacin de todo, desde diferentes tipos de tatuajes, para cascos de barcos diferentes, a las denominaciones de dinero robado y bonos. Anybody con acceso al manual puede consultar la sintaxis y los comandos para extraer informacin de la base de datos nacional. Luego, siguiendo las instrucciones de la gua de procedimientos, con un poco de nervio, cualquier persona puede extraer informacin de la base de datos. El manual tambin ofrece nmeros de telfono para pedir apoyo en el uso del sistema. Es posible que tenga manuales similares en su compaa ofrecen cdigos de los productos o cdigos para recuperar informacin sensible. The FBI casi seguro que nunca se ha descubierto que su manual de instrucciones de procedimiento sensible y estn disponibles para cualquier persona en lnea, y yo no creo que estara muy feliz por eso si lo supieran. Una copia fue enviada por un departamento gubernamental en Oregon, el otro por una agencia de aplicacin de la ley de Texas. Por qu? En cada caso, alguien probablemente pens que la informacin no tena ningn valor y la publicacin no poda hacer ningn dao. Tal vez alguien lo publicado en su intranet slo como una comodidad para sus propios empleados, sin darse cuenta de que lo hizo la informacin a disposicin de todos en Internet que tiene acceso a un buen motor de bsqueda como Google incluyendo la recin llano-curioso, la aspirante a polica, hacker, y el jefe del crimen organizado. Aprovechando el sistema de The principio de utilizar esa informacin para engaar a alguien en el gobierno o una businesajuste s es la misma: Debido a que un ingeniero social sabe cmo acceder a bases de datos o aplicaciones especficas, o sabe los nombres de los servidores de un ordenador de una empresa, o similares, gana credibilidad. La credibilidad genera confianza. Una vez que el ingeniero social tiene estos cdigos, obtener la informacin que necesita yoEs un proceso fcil. En este ejemplo, se podra empezar por llamar a un vendedor en un local de la polica estatal teletipo oficina, y haciendo una pregunta de uno de los cdigos en el manual - por ejemplo, el cdigo de ofensa. Podra

decir algo como: "Cuando hago una investigacin OFF en el NCIC, me estoy poniendo un" Sistema es abajo "error. Usted est consiguiendo lo mismo cuando haces un OFF? Quieres intentarlo por m "O tal vez dira que estaba tratando de buscar un wpf - Discusin polica por la persona buscada arch ivo.

The oficinista teletipo en el otro extremo del telfono que recoger la seal THAt la persona que llama estaba familiarizado con los procedimientos de operacin y los comandos para consultar la base de datos del NCIC. Quin ms que no sea una persona capacitada en el uso de NCIC sabra estos procedimientos? En popaer el empleado ha confirmado que su sistema est funcionando bien, la conversacin podra ser algo como esto: "Me vendra bien un poco de ayuda. "" Qu ests buscando? " "Necesito que hagas una orden DES en Reardon, Martin. Fecha de nacimiento 10118/66." "Cul es el Sosh?" (Personas de polica a veces se refieren al nmero de la seguridad social como la Sosh.) "700-14-7435." En popaer en busca de la lista, podra volver con algo as como: "Tiene un 2602." The atacante slo tendra que mirar el NCIC en lnea para encontrar el significado del nmero: El hombre tiene un caso de estafa en su historial. LaCon el nalyzing Un ingeniero social consumado no paraba un momento para reflexionar sobre la manera de breaking en la base de datos del NCIC. Por qu iba, cuando una simple llamada a su departamento de polica local, y un poco de hablar suave por lo que suena convincente como un iniciado, es todo lo que se necesita para obtener la informacin que quiere? Y la prxima vez, simplemente llama a una agencia de polica diferente y utiliza el mismo pretexto. LINGO Sosh: Ley del argot para la aplicacin de un nmero de seguro social You podra preguntarse, no es arriesgado para llamar a un departamento de polica, estacin del alguacil, o una oficina de la Patrulla de Caminos? No considera el atacante ejecutar un gran riesgo? La respuesta es no. . . y por una razn especfica. La gente en la legislacin aplica-cin, como la gente en el ejrcito, han arraigado en ellos desde el primer da en la academia el respeto a la jerarqua. Mientras que el ingeniero social se hace pasar por un sargento o teniente - una categora superior a la persona que est hablando - la vctima se regir por la leccin bien aprendida que diga que no pongo en duda las personas que estn en una posicin de autoridad sobre ti. Rank, en otras palabras, tiene sus privilegios, en particular, el privilegio de no ser impugnada por las personas de rango inferior.

But No creo que la polica y los militares son los nicos lugares donde se puede a este respecto por el rango explotadas por el ingeniero social. Los ingenieros sociales utilizan a menudo la autoridad o rango en la jerarqua corporativa como un arma en sus ataques a las empresas - como una serie de historias en estas pginas demuestran.

PREVENTING CON EL Qut son algunos pasos que su organizacin puede tomar para reducir la probabilidad de que sociaingenieros l aprovechar instinto natural de sus empleados a confiar en la gente? Aqu estn algunas sugerencias. Proteja a sus clientes Yon esta era electrnica, muchas empresas que venden al consumidor mantenga las tarjetas de crdito on archivo. Hay muchas razones para esto: ahorra al cliente la molestia de tener que proporcionar la informacin de su tarjeta de crdito cada vez que visita la tienda o el sitio Web para realizar una compra. Sin embargo, la prctica no es aconsejable. Yof debe mantener los nmeros de tarjetas de crdito en el archivo, este proceso debe ir acompaado por las disposiciones de seguridad que van ms all de cifrado o el uso de control de acceso. Los empleados deben ser entrenados para reconocer las estafas de ingeniera social como los descritos en este captulo. Ese compaero de trabajo que nunca he conocido en persona, sino que se ha convertido en un amigo de telfono no puede ser que l o ella dice ser. Puede que no tenga la "necesidad de saber" para acceder a la informacin confidencial de los clientes, porque en realidad no puede trabajar para la compaa en absoluto. Mitnick MENSAJE Todo el mundo debe ser consciente del modus operandi del ingeniero social de: Rena much informacin sobre el objetivo como sea posible y utilizar esa informacin para obtener la confianza como un allegado. A continuacin, vaya a la yugular! Confa Sabiamente Ess no slo las personas que tienen acceso a la informacin claramente sensible el softwaringenieros electrnicos, la gente de I + D, etc - que necesitan estar a la defensiva frente a intrusiones. Casi todas las personas en su organizacin necesita capacitacin para proteger a la empresa de espas industriales y ladrones de informacin. Laying las bases para esto debe comenzar con un estudio de los activos de informacin en toda la empresa, buscando por separado a cada activo sensible, crtico, o valioso, y preguntando cules son los mtodos que un atacante podra utilizar para comprometer esos activos mediante el uso de tcticas de ingeniera social. Una formacin adecuada de las personas que han confiado en el acceso a esa informacin debera ser diseado en torno a las respuestas a estas preguntas. When cualquier persona que usted no conoce personalmente solicita alguna informacin o medios materiales, o le pide que realice alguna tarea en su

computadora, haga que sus empleados se preguntan algunos. preguntas. Si me dio esta informacin a mi peor enemigo, podra ser utilizada para herir a m oa mi empresa? Debo entender completamente el efecto potencial de los comandos se me pide entrar en mi ordenador?

We no quiero ir por la vida siendo sospechoso de cada nueva persona que encontramos. Sin embargo, la mayor confianza que somos, mayor es la probabilidad de que el prximo ingeniero social para llegar a la ciudad ser capaz de engaarnos a renunciar a informacin confidencial de la empresa. Qu pertenece en su Intranet? Partes de la intranet pueden estar abiertos al mundo exterior, otras partes restringido a empleados. Cmo es cuidadoso de su empresa en asegurar la informacin sensible no se coloquen en lugares que es accesible al pblico que la intencin de protegerlo de? Cundo fue la ltima vez que alguien en su organizacin revisa para ver si cualquier informacin sensible information en la intranet de su empresa haba sido inadvertidamente puesta a disposicin a travs de las reas de acceso pblico de su sitio Web? Yof su empresa ha implementado servidores proxy como intermediario para proteger a la empresa contra las amenazas de seguridad electrnica, tienen esos servidores han comprobado recientemente para asegurarse de que est configurado correctamente? Yon hecho, alguien nunca comprobared la seguridad de la intranet?

Chapter 5 "Let Me Help You "

We're todos agradecidos cuando estamos plagados de un problema y alguien con el conocimiento, la habilidad y la voluntad viene ofreciendo a echarnos una mano. El ingeniero social que entiende y sabe cmo sacar provecho de ella. He tambin sabe causandoeun problema para usted .., entonces te hacen agradecido cuando l resuelve el problema .. y, finalmente, jugar en tu gratitud para extraer alguna informacin o un favor de usted, que dejar su empresa (o tal vez, de forma individual) mucho peor off para el encuentro. Y usted ni siquiera sepa que has perdido algo de valor. He aqu algunas formas tpicas que los ingenieros sociales un paso adelante para "ayudar". LA CORTE DE RED Day / hora: lunes, 12 de febrero, 15:25 Lugar: Oficinas de estribor construccin naval La primera llamada: Tom Delay "ParaDeLay m, tenedura de libros. " "Hey, Tom, este es Eddie Martin de la Mesa de Ayuda. Estamos tratando de solucionar un problema de red informtica. Sabe si algn miembro de su grupo ha estado teniendo problemas para mantenerse en lnea? "" Uh, no que yo sepa. " "Unad no vas a tener ningn problema por usted mismo. "" No, parece estar bien. " "Est bien, Eso es bueno. Escucha, estamos llamando a las personas que pudieran resultar afectadas "causa importante ITLS usted nos deja saber inmediatamente si se pierde la conexin de red." "That no suena bien. Crees que podra pasar? "" Esperamos que no, pero te llamar si lo hace, verdad? " "You mejor que lo creas. " "Escucha, Suena como que tu conexin de red descender sera un problema para ti ... " "Yousertyot lo hara. " "... as que mientras estamos Working en esto, te voy a dar mi nmero de telfono celular. A continuacin, puede ponerse en contacto conmigo directamente si es necesario. " "Esod ser grande. Adelante. "

"Ess 555 867 5309. " "555 867 5309. Lo tengo. Hey, gracias. Cul era su nombre? " "Es Eddie Oye, otra cosa -. Tengo que comprobar que el puerto de su ordenador est conectado a echar un vistazo en el ordenador y ver si hay una etiqueta adhesiva. en alguna parte que dice algo as como "Nmero de puerto".

"Hang en No, No veo nada de eso. " "Okay, a continuacin, en la parte posterior de la computadora, se puede reconocer el cable de red. "" S ". "Seguirle la pista a donde sea enchufado ver si hay una etiqueta en la toma es Plugged a ". "Hold un segundo. S, espera un minuto - Tengo que agacharse aqu para que pueda acercarse lo suficiente para leerlo. Est bien - dice Port 6 tablero 47 ". "Good - eso es lo que tienes abajo como, simplemente asegurarse ". La segunda llamada: El tipo lo Dos das ms tarde, lleg una llamada a travs de operaciones de red de la misma compaa Center. "Hola, Este es Bob, estoy en la oficina de Tom DeLay en Contabilidad. Estamos tratando de solucionar un problema de cableado. Te necesito para desactivar el puerto 6-47. " The IT tipo dijo que se llevara a cabo en tan slo unos pocos minutos, y para hacerles saber que cuando estuviera listo para tenerlo habilitado. La Tercera Convocatoria: Obtencin de ayuda desde el Enemigo About Una hora ms tarde, el hombre que se haca llamar Eddie Martin estaba de compras en Circuit City cuando son su telfono mvil. Mir el identificador de llamadas, vio la llamada era de la empresa de construccin naval, y corri a un lugar tranquilo antes de contestar. "Atencin al cliente, Eddie." "Oh, Hey, Eddie. Usted tiene un eco, dnde ests? "" Yo, eh, en un armario de cableado. Quin es? "Ess ADeLay m. Vaya, me alegro de que ech mano de usted. Tal vez usted recuerde que usted me llam el otro da? Mi conexin de red slo cay como usted lo dijo fuerza, Y estoy un poco de pnico aqu ". "Si, Tenemos un montn de gente ahora mismo. Deberamos haberlo atendido por el final del da. Est bien? " "NO! Maldita sea, me pondr muy atrs si estoy abajo tanto tiempo. Qu es lo mejor que puedes hacer por m? " "How prensado es usted? " "Podra hacer algunas otras cosas por ahora. Cualquier posibilidad de que usted puede tomar el cuidado de l en media hora? " "HALF por hora! Usted no quiere mucho. Bueno, mira, voy a dejar lo que estoy haciendo y ver si puedo hacerle frente a ti. "" Hey, yo realmente aprecio eso, Eddie. "

La Cuarta Convocatoria: Gotcha! Cuarenta y cinco minutos ms tarde ...

"Tom? Es Eddie. Siga adelante y probar su conexin de red "Despus de un par de momentos.: "Oh, Bueno, est funcionando. Eso es simplemente genial. "" Bueno, me alegro de que poda tomar el cuidado de l para usted. "" S, muchas gracias. " "Escucha, Si usted quiere asegurarse de que su conexin no baja ms, hay algunos programas que deberas estar en ejecucin. Basta con echar un par de minutos. " "Ahora"s no es el mejor momento ". "Entiendo ... Podra salvarnos ambos grandes dolores de cabeza la prxima vez que este problema de la red que pasa ". "Well. . . si es slo unos minutos. "" Esto es lo que hacen ... " EddiE A continuacin, llev a Tom a travs de los pasos de la descarga de una pequea aplicacin desde un sitio Web. Despus de que el programa se haba descargado, Eddie le dijo a Tom que hacer doble clic en l. Lo intent, pero inform: "Ess no funciona. No est haciendo nada. " "Oh, Qu dolor. Algo debe estar mal con el programa. Vamos a deshacernos de l, podemos volver a intentarlo en otro momento. "Y habl Tom a travs de los pasos de borrar el programa por lo que no se pudo recuperar. Total Tiempo transcurrido doce minutos. El atacante Historia Bobby Wallace siempre pens que era de risa cuando recogi un buen assignment como ste y su cliente pussyfooted torno a la pregunta no formulada pero obvia de por qu queran la informacin. En este caso, slo podra delgadok por dos razones. Tal vez represent un equipo que estaba interesado en buying la empresa objetivo, Starboard la construccin naval, y quera saber qu tipo de condiciones financieras que eran realmente - en especial todo lo objetivo posible que desee mantener oculto a un comprador potencial. O tal vez representado a inversionistas que pensaban que haba algo sospechoso acerca de la manera en que se maneja el dinero y quera saber si algunos de los ejecutivos tenido un caso of manos en la cookie-jar. Und tal vez su cliente tampoco quera decirle la verdadera razn porque, si Bobby saba lo valiosa que la informacin era, probablemente querr ms dinero para

hacer el trabajo.

Hay un montn de maneras de crack en los archivos ms secretos de la empresa. Bobby pas unos das dndole vueltas a las opciones y haciendo un poco de control alrededor antes de decidir sobre un plan. Se decidi por uno que pidi un enfoque que le gustaban especialmente, donde el objetivo est configurado de modo que el atacante le pide ayuda. Foarrancadores r, Bobby cogi un telfono celular $ 39,95 en una tienda de conveniencia. l hizo una llamada al hombre a quien haba elegido como su objetivo, se hizo pasar por ser del help desk empresa, y arreglar las cosas para que el hombre se llama Bobby telfono celular de un momento se encontr con un problema con su conexin de red. He izquierda de una pausa de dos das para no ser demasiado obvio, y luego hizo una llamada al centro de operaciones de red (NOC) en la empresa. l deca que era la solucin de problemas en un problema para Tom, el objetivo, y pidi que disponen de conexin a red de Tom desactivada. Bobby saba que era la parte ms difcil de la aventura entera - en muchas empresas, la gente del mostrador de ayuda trabajar en estrecha colaboracin con el CON, de hecho, saba que la mesa de ayuda es a menudo parte de la organizacin de TI. Pero el tipo indiferente NOC habl con el llamado tratado como rutina, no pregunt por el nombre de la persona del mostrador de ayuda que supuestamente estaba trabajando en el problema de redes, y accedi a desactivar el puerto de destino de la red. Cuando haya terminado, Tom estara totalmente aislado de la intranet de la empresa, no puede recuperar archivos desde el servidor, los archivos de intercambio con sus compaeros de trabajo, descargue su correo electrnico, o incluso enviar una pgina de datos a la impresora. En el mundo de hoy, que es como vivir en una cueva. Las Bobby era de esperar, no pas mucho tiempo antes de que su telfono celular son. Por supuesto que lo hizo sonar con ganas de ayudar a este pobre "compaero de trabajo" en apuros. Luego llam a la NOC y tena conexin del hombre de la red turned nuevo. Por ltimo, llam al hombre y lo manipul una vez ms, esta vez hacindolo sentir culpable por decir que no despus de Bobby le haba hecho un favor. Tom accedi a la peticin de que descargar un software en su ordenador. Of supuesto, lo que l acord no era exactamente lo que pareca. El software que Tom le dijo que mantener su conexin de red de descender, era realmente un caballo de Troya, una aplicacin de software que hizo por computadora Tom es lo que el engao original hizo para los troyanos: Trajo al enemigo en el interior del campamento. Tom inform que no pas nada cuando se hace doble clic en el icono del software, el hecho es que, por diseo, no poda ver que pase nada, a pesar de la pequea aplicacin se instala un programa secreto que permitiera el acceso a encubierto infiltrado de Tom computadora. Ingenioh, el software que se ejecuta, Bobby se le proporcion un control total

sobre la computadora de Tom, un acuerdo conocido como un shell de comandos remoto. Cuando Bobby accede equipo de Tom, l podra buscar los archivos de contabilidad que

might ser de su inters y copiarlos. Luego, en sus ratos de ocio, los haba examinar la informacin que dara a sus clientes lo que ellos estaban buscando. LINGO TRojan CABALLO: Un programa que contiene cdigo malicioso o daino, diseado para daar la computadora de la vctima o archivos, o para obtener informacin de la computadora de la vctima o de red. Algunos troyanos estn diseados para ocultar en el sistema operativo del ordenador y espiar a cada golpe de teclado o accin, o aceptar instrucciones travs de una conexin de red para realizar alguna funcin, todo ello sin que la vctima sea consciente de su presencia. Und eso no fue todo. l podra volver en cualquier momento para buscar a travs de los mensajes de correo electrnico y notas privadas de los ejecutivos de la empresa, realizar una bsqueda de texto para palabras que puedan revelar alguna cositas interesantes de informacin. Latitude en la noche que estaf a su destino en la instalacin del software de caballo de Troya, Bobby tir el telfono celular en un contenedor de basura. Por supuesto, l tuvo la precaucin de borrar la memoria primero y tire de la batera antes de que l la arroj - la ltima cosa que quera era que alguien a llamar al nmero del telfono celular por error y tiene el sonido de inicio telfono! LaCon el nalyzing El atacante unas telas para convencer al objetivo que tiene un problema de que, de hecho, doesn'T realmente existen - o, como en este caso, un problema que no ha sucedido todava, pero el atacante sabe que va a pasar porque l lo va a hacer. Luego presenta himselF uns e person who cun Provide e solucin. The setup yonthis parientesd oF attACK yos particularmente juicy for e attacker: Debido a la semilla plantada por adelantado, cuando el objetivo descubre que tiene un problema, se hace la llamada para pedir ayuda. El atacante slo se sienta y espera a que suene el telfono, una tctica cariosamente conocido en el comercio como ingeniera social inversa.Un atacante que puede hacer la blanco llamarlo gana credibilidad instantnea: Si hago una llamada a alguien que creo que es en la mesa de ayuda, I 'No voy a empezar a hacer l para probar su identidad. Fue entonces cuando el atacante tiene que hacer. LINGO DISTANCIA shell de comandos: Una interfaz no grfica que acepte texto based comandos para realizar determinadas funciones o ejecutar programas. Un atacante que explote las vulnerabilidades tcnicas o es capaz de instalar un programa troyano en el ordenador vctimas puede ser capaz de obtener acceso

remoto a un shell de comandos

REVERSE INGENIERA SOCIAL: Un ataque de ingeniera social en el que el atacante configura una situacin en la que la vctima se encuentra con un problema y hace contacto con el atacante para obtener ayuda. Otra forma de ingeniera social inversa da la vuelta sobre el atacante. El objetivo reconoce el ataque, y utiliza los principios psicolgicos de la influencia de extraer tanta informacin como sea posible del atacante para que el negocio pueda salvaguardar los activos especficos. Mitnick MENSAJE Yodesconocido fa te hace un favor, entonces le pide un favor, no sin reciprocidad thinking cuidadosamente acerca de lo que est pidiendo. Yona con como ste, el ingeniero social trata de elegir un objetivo que es probable que tenga un conocimiento limitado de las computadoras. Cuanto ms se sabe, ms probable es que l va a sospechar, o simplemente figura llanura que est siendo manipulado. Lo que a veces llaman la computadora-desafi trabajador, que es menos conocedores de la tecnologa y los procedimientos, es ms probable que cumplan. Es tanto ms probabilidades de caer en una trampa como "Slo tienes que descargar este pequeo programa," porque no tiene idea del dao potencial de un programa de software puede infligir. Lo que es ms, hay una probabilidad mucho menor que lo entender el valor de la informacin en la red informtica que est poniendo en riesgo. UNA PEQUEA AYUDA PARA EL NUEVO GAL New empleados son un blanco propicio para los atacantes. No conozco a mucha gente, sin embargo, no conocen los procedimientos o tareas pendientes y no hacer el de la empresa. Y, en nombre de hacer una buena primera impresin, estn ansiosos por mostrar cmo cooperativo y rpido a responder que puede ser. Andrea ha sido til "Human Recursos, Andrea Calhoun. " "Andrea, Hola, este es Alex, con seguridad corporativa. "" Si? " "How're vas a hacer hoy? " "Est bien. Qu puedo ayudarte? " "Escucha, Estamos desarrollando un seminario de seguridad para los nuevos empleados y tenemos que reunir a algunas personas a probarlo en. Quiero obtener el nombre y nmero de telfono of todos los nuevos contratados en el ltimo mes. Me puede ayudar con eso? "" No voy a ser capaz de llegar a ella 'hasta esta tarde. Te parece bien? "Qen casa de su

extensin? " "Claro, est bien, que es 52. . . oh, uh, pero voy a estar en la mayora de las reuniones de hoy. Te llamar cuando estoy de vuelta en mi oficina, probablemente despus de cuatro ".

BlancoAlex es llamada alrededor de las 4:30, Andrea tuvo la lista, y le ley los nombres y extensiones. Un Mensaje para Rosemary RosEmary Morgan estaba encantada con su nuevo trabajo. Nunca haba trabajado para una revista antes y fue encontrar a la gente mucho ms amable de lo que esperaba, una sorpresa debido a la presin incesante la mayora del personal era siempre bajo para obtener un nuevo tema terminado para la fecha lmite mensual. La llamada que recibi un jueves por la maana volvi a confirmar esa impresin de amistad. "Yos que Rosemary Morgan? " "S". "Hola, Rosemary. Esto es Jorday Bill, con el grupo de seguridad de la informacin. "" Si? " "Hacualquier persona s de nuestro departamento discuten las mejores prcticas de seguridad con usted? "" Yo no lo creo. " "Bueno, Vamos a ver. Para empezar, no se permite a nadie para instalar software trados de fuera de la empresa. Eso es porque no queremos ninguna responsabilidad por unlicensed uso de software. Y para evitar cualquier problema con el software que pueda tener un gusano o un virus. " "Est bien." "Are al tanto de nuestras polticas de email? "" No. " "Qus su direccin de correo electrnico actual? " "Rosemary@ttrzine.net." "Do inicies sesin bajo el romero nombre de usuario? "" No, es R subrayar Morgan ". "En este. Nos gusta hacer que todos nuestros nuevos empleados conscientes de que puede ser peligroso abrir cualquier archivo adjunto de correo electrnico que no se esperaba. Muchos de los virus y gusanos son enviadas alrededor y vienen en los correos electrnicos que parecen provenir de personas que conoce. As que si usted recibe un correo electrnico con un archivo adjunto que no esperabas siempre debe check para asegurarse de que la persona que figura como remitente realmente le enva el mensaje. Entiendes? " "S, He odo hablar de eso ". "Good. Y nuestra poltica es que usted cambie su contrasea cada noventa das. Cundo fue la ltima vez que cambie su contrasea? " "I've estado aqu slo tres semanas, todava estoy usando la primera vez que un ajuste ". "Est bien, Eso est bien. Usted puede esperar el resto de los noventa das. Pero tenemos que estar seguro que la gente est usando contraseas que no son

demasiado fciles de adivinar. Est utilizando un password que se compone de letras y nmeros? " "No." We que arreglar eso. Qu contrasea est usando ahora "" Es el nombre de mi hija -. Annette "? "Esos realmente no es una contrasea segura. Nunca se debe elegir una contrasea que sea bobre la base de informacin de la familia. Bueno, vamos a ver .., se puede hacer lo mismo que yo.

Ess bien usar lo que usted est usando ahora como la primera parte de la contrasea, pero luego cada vez que lo cambie, aada un nmero para el mes en curso. " "So si lo haca ahora, en marzo, se debe utilizar tres o oh y tres. "" Eso depende de ti. Qu estara usted ms cmodo? " "Creo que Annette y tres." "Fine. Quieres que te guiar a travs de cmo hacer el cambio? "" No, yo s cmo hacerlo ". "Good. Y una cosa ms que tenemos que hablar. Usted tiene un software antivirus en su equipo y es importante mantenerlo al da. Nunca se debe desactivar la actualizacin automtica, incluso si el equipo se ralentiza de vez en mientras que. De acuerdo? "" Claro ". "Ver.y bueno. Y que nuestro nmero de telfono por aqu, as que usted puede llamarnos si tiene problemas con su ordenador? " ShE no. Le dio el nmero, lo escribi con cuidado, y volvi a su trabajo, una vez ms, satisfecho de lo bien cuidada que senta. LaCon el nalyzing This historia refuerza un tema subyacente que encontrar en este manual: El most informacin comn que un ingeniero social quiere de un empleado, independientemente de su objetivo final, es el objetivo credenciales de autenticacin. Con un nombre de cuenta y contrasea en la mano de un solo empleado en el rea de derecho de la empresa, el atacante tiene lo que necesita para entrar y encontrar toda la informacin que busca. Tener esta informacin es como encontrar las llaves del reino, y con ellas en la mano, se puede mover libremente por el paisaje corporativo y encontrar el tesoro que busca. Mitnick MENSAJE Antes de que los nuevos empleados se les permite el acceso a todos los sistemas informticos de la empresa, lay deben estar capacitados para aplicar buenas prcticas de seguridad, en especial las polticas de nunca revelar sus contraseas. NOT tan seguro como usted piensa "Thempresa e que no hace un esfuerzo por proteger su informacin sensible es jussimple negligencia. t "Mucha gente estara de acuerdo con esa afirmacin. Y el mundo sera un lugar mejor si la vida fuera tan obvio y tan simple. La verdad es que incluso las empresas que hacen un esfuerzo para proteger la informacin

confidencial puede ser en grave riesgo.

Aqu 'una historia que ilustra una vez ms cmo las empresas se engaan todos los das en el pensamiento de sus prcticas de seguridad, diseadas por expertos, profesionales competentes, no puede eludirse. Historia de Steve Cramer Yot no fue un gran jardn, no uno de esos mrgenes sembradas caro. Se obtuvo ninguna Envidio. Y ciertamente no era lo suficientemente grande para darle una excusa para comprar una cortadora de brazos cados, que estaba bien porque no se han utilizado de todos modos. Steve disfrutada cortando el csped con una segadora de mano, ya que tom ms tiempo, y la tarea proporcion una excusa conveniente para centrarse en sus propios pensamientos, en vez de listeninga Anna contndole historias sobre la gente en el banco donde trabajaba o explicar recados para l hacerlo. Odiaba hacer esas listas de miel que se haba convertido en una parte integral de sus fines de semana. Se dirigi aunque su mente que el 12 - aos de edad, Pete era maldito inteligente para unirse al equipo de natacin. Ahora tendra que estar en una prctica o satisfacer todos los sbados para que no se queden con las tareas del sbado. Sompersonas e podra pensar trabajo de Steve disear nuevos dispositivos para GeminiMed productos mdicos era aburrido, Steve saba que l estaba salvando vidas. Steve pens en s mismo como en una lnea creativa de la obra. Artista, compositor, ingeniero - a la vista de Steve todos ellos enfrentan el mismo tipo de desafo que l hizo: Crearon algo que nadie haba hecho antes. Y su ltimo trabajo, un nuevo tipo de stent curiosamente inteligente corazn, sera su mayor logro an. Yot era casi las 11:30 de este sbado en particular, y Steve estaba molesto porque haba casi terminado de cortar el csped y que no haba hecho ningn verdadero progress en encontrar la manera de reducir la demanda de potencia en el stent cardaco, el obstculo que quedaba. Un problema perfecto para reflexionar sobre mientras corta el csped, pero la solucin no haba llegado. Anauna apareci en la puerta, con el pelo cubierto en el pauelo rojo de Paisley del vaquero que siempre usaba cuando el polvo. "Llamada de telfono", le grit a l. "Alguien de trabajo". "Quin?"Steve grit de nuevo." Algo Ralph. Yo pienso ". Ralph? Steve no poda recordar a nadie en GeminiMed llamado Ralph al que poda llamar a un fin de semana. Pero Anna probablemente tena el nombre equivocado. "Steve, esto es Ramn Prez en Soporte Tcnico "Ramon -. Cmo en el mundo

hizo Anaa obtener de un nombre hispano a Ralph, Steve pregunt. "This es slo una visita de cortesa, Ramn estaba diciendo. "Tres de los servidores estn inactivos, pensamos que tal vez un gusano, y tenemos que limpiar las unidades de disco y restauracin desde copia de seguridad. Debemos ser capaces de tener sus archivos en marcha by Wircoles o Jueves. Si tenemos suerte ".

"Absolutely inaceptable ", dijo Steve con firmeza, tratando de no dejar que su frustracin se haga cargo. Cmo podra esta gente ser tan estpido? De verdad crees que podra manejar sin acceso a sus archivos de fin de semana y la mayor parte de la semana que viene?" no hay manera. Voy a sentarme en mi terminal hogar en casi dos horas y que tendr acceso a mis archivos. Estoy haciendo esto claro? " "Si, Bueno, todo el mundo me ha llamado hasta ahora quiere estar en la parte superior de la lista. Renunci a mi fin de semana para venir y trabajar en esto y no es divertido tener a todo el mundo que hablo se enoj conmigo. " "Estoy en un plazo breve, la empresa cuenta con esto, tengo que conseguir trabajo done esta tarde. Qu parte de esto no entiendes? " "Todava tengo un montn de gente para llamar antes de que pueda empezar ", puesto Ramon." Qu tal si dices que vas a tener tus archivos para el martes? " "Not martes no, el lunes, en la actualidad. AHORA! ", Dijo Steve, preguntando quin iba a llamar si no poda obtener su punto a travs del crneo grueso de este tipo. "Est bien, Est bien, "dijo Ramn, y Steve le oa respirar un suspiro de fastidio." Djame ver qu puedo hacer para que te va. Se utiliza el RM22 server, no? " "RM22 y el GM16. Las dos cosas." ". Haga Est bien, puedo cortar algunas esquinas, ahorrar un poco de tiempo - I'Ll necesitamos su nombre de usuario y contrasea." Uh oh, Steve pens. Qu est pasando aqu? Por qu iba a necesitar mi contrasea? Por qu sera, ms que nadie, pregunte por ella? "Qut has dicho tu apellido era? Y quin es tu supervisor? "" Ramn Prez. Mira, te dir algo, cuando lo contrataron, haba una forma que tena que llenar para obtener su cuenta de usuario, y que tena que poner una contrasea. Poda mirar eso y demostrar que lo tenemos en los archivos aqui. De acuerdo? " Steve reflexion que durante unos instantes, y luego estuvo de acuerdo. Colg con creciente impaciencia mientras que Ramn fue a recuperar documentos de un archivador. Finalmente back en el telfono, Steve le oa arrastrando los pies a travs de una pila de papeles. "Ah!, Aqu est, "Ramn dijo al fin." Put You down 'Janice. "La contrasea" Janice, Steve pens. Era el nombre de su madre, y se haba hecho, a veces se utiliza como una contrasea. Muy bien podra haber puesto que por su contrasea al completar sus nuevos papeles de alquiler. "S, Eso es correcto ", reconoci. "Est bien, Estamos perdiendo el tiempo aqu. Sabes que soy de verdad, quieres que utilizar el acceso directo y obtener los archivos de nuevo a toda prisa, te vas a tener que help me out here

". "Mi ID es s, d, subrayado, cramer -. Cramer La contrasea es" un pelcano ". "Voy a tener derecho a ella ", dijo Ramn, sonando til al fin." Dame un par de horas. " Steve terminado el csped, en el almuerzo, y cuando lleg a su ordenador que se encuentra THAt sus archivos haban sido efectivamente restaurado. Estaba satisfecho de s mismo para el manejo de

THAno coopera t TI chico con tanta fuerza, y esperaba que Anna haba odo hablar de la firmeza de l. Sera bueno para dar al hombre o Holas un jefe attaboy, pero l saba que era una de esas cosas que nunca haba de moverse a hacer.

CHistoria de Raig Cogburne Craig Cogburne haba sido un vendedor de una empresa de alta tecnologa, y hace bien en lo. Despus de un tiempo, empez a darse cuenta de que tena una habilidad para la lectura de un cliente, entendiendo que la persona era resistente y reconociendo some debilidad o vulnerabilidad que hace que sea fcil para cerrar la venta. Comenz a delgadok sobre otras maneras de utilizar este talento, y el camino que le llev a un campo mucho ms lucrativo: el espionaje corporativo. This fue un encargo caliente. No pareca que me llevara mucho tiempo y vale la pena lo suficiente como para pagar un viaje a Hawai. O tal vez Tahit. Thtipo e que me contrat, l no me dijo el cliente, por supuesto, pero pens que alguna empresa que quera ponerse al da con la competencia en un rpido salto grande, fcil. Todo lo que tendra que hacer es conseguir los diseos y productos especulacins para un nuevo aparato llamado stent cardaco, fuera lo que fuera. La empresa se llamaba GeminiMed. Nunca he odo hablar de l, pero era un traje de Fortune 500 con oficinas en lugares de media docena - que hace el trabajo ms fcil que una compaa ms pequea donde hay una buena posibilidad que el tipo que est hablando sabe que el tipo con el que ests afirmando ser y sabe que no lo son. Esto, al igual que los pilotos decir de un choque en el aire, puede arruinar su da. My cliente me envi un fax, un poco de la revista algn doctor que dijo GeminiMed estaba trabajando en un stent con un nuevo diseo radical y que sera llamado el STH-IO0. Por el amor de Dios, algn periodista ya ha hecho un gran pedazo del trabajo de campo para m. Yo tena una cosa que necesitaba, incluso antes de que se inici, el nombre del nuevo producto. Firsproblema t: Obtener los nombres de las personas en la empresa que trabajaron en el STH-100 o que tenga que ver los diseos. As que llam a la operadora y le dijo: "Le promet a una de las personas de su grupo de ingeniera me pona en contacto con l y que no recuerdo su apellido, pero su nombre comenz con una S." Y ella dijo: "Tenemos un arquero Scott y un Davidson Sam". Tom un tiro largo. "Lo que se trabaja en el grupo STH100?" Ella no lo saba, as que slo nos recogi Scott Archer al azar, y ella llam a su telfono.

When me contest, le dije: "Hey, este es Mike, en la sala de correo. Tenemos un FedEx aqu que es para el equipo de Proyecto Corazn Stent STH-100. Alguna idea de quin debera ir?" Me dio el nombre del responsable del proyecto, Jerry Mendel. Incluso llegu a l para buscar el nmero de telfono para m. Me llam. Mendel no estaba all, pero su mensaje de correo de voz le dijo que estara de vacaciones hasta el XIII, lo que significaba que tena otra semana para esquiar o lo que sea, y cualquiera que necesitaba algo, mientras tanto, se debe llamar a Michelle en 9137. Muy til, a estas personas. Muy til. Colgu el telfono y llam a Michelle, tiene ella por telfono y le dijo: "Este es Bill Thomas. Jerry me dijo que tena que llamar cuando tuve la especificacin listo THAt quera que los chicos de su equipo de revisin. Usted est trabajando en el stent corazn, verdad? "Ella dijo que eran. Now estbamos llegando a la parte sudoroso de la estafa. Si ella empez a sonar sospechoso, que estaba listo para jugar la carta acerca de cmo me estaba tratando de do un favor a Jerry me haba pedido. Le dije: "Qu sistema est usted?" "System?" "Which servidores computadora usa su grupo? " "Oh,"Ella dijo," RM22. Y algunos miembros del grupo tambin utilizan GM16. "Bien. Lo necesitaba, y era una pieza de informacin que pude conseguir de ella sin hacerla sospechosa. Qu le abland el siguiente bit, hecha con tanta naturalidad como pude hombreedad. "Jerry dijo que me poda dar una lista de direcciones de correo electrnico de las personas en el equipo de desarrollo", le dije, y contuve el aliento. "Claro. La lista de distribucin es demasiado largo para leer, puedo enviar por correo electrnico a usted? " Oops. Cualquier direccin de correo electrnico que no termin en GeminiMed.com sera una gran bandera roja. "Y t por fax a m?" He dicho. She tenido ningn problema en hacer eso. "Our mquina de fax est en un abrir y cerrar. Voy a tener que conseguir el nmero de otro. Te llamo de vuelta en un poco ", le dije, y colgu. Ahora, Se podra pensar que tena que cargar con un problema pegajoso aqu, pero es ms que otro truco habitual del comercio. Esper un rato para que mi voz no sonara familiar a la recepcionista, a continuacin, la llam y le dijo: "Hola, soy Bill Thomas, nuestra mquina de fax no funciona aqu, me das un fax enviado a

su mquina?" Ella dijo que s, y me dio el nmero. Lan Acabo de entrar y recoger el fax, no? Por supuesto que no. Primera regla: Nunca visitar las instalaciones a menos que sea absolutamente necesario. Ellos tienen dificultad para identificar si usted es slo una voz en el telfono. Y si no se puede identificar

usted, No se puede detener. Es difcil poner las esposas en torno a una voz. As que llam a la recepcionista de nuevo despus de un rato y le pregunt, lleg mi fax? "S," dijo ella. "Mira,"Yo le dije:" Tengo que conseguir que a un consultor que estamos usando. Podra usted enviar a m "Ella estuvo de acuerdo y por qu no -. Cmo podra un recepcionista se espera que reconocer los datos sensibles Mientras que envi el fax a la" consultor ", tuve mi ejercicio para el da caminando hacia una papelera cerca de m, el que tiene el cartel de fuera "faxes enviados / rcvd." Mi fax deba llegar antes que yo, y como se esperaba, que estaba all esperando para m cuando entr Seis pginas en $ 1,75. Por un billete de $ 10 y cambio, tena toda la lista del grupo de los nombres y direcciones de email. Conseguir el interior Bueno, As que por ahora haba hablado con tres o cuatro personas diferentes en slo un par de horas und era ya un gran paso ms cerca de conseguir dentro de las computadoras de la empresa. Pero yo iba a necesitar un par de piezas antes de que yo estaba en casa. Number fue el nmero de telfono para llamar al servidor de Ingeniera desde el exterior. Llam de nuevo GeminiMed y pidi a la telefonista para el departamento de TI, y le pidi al hombre que respondi a alguien que pudiera darme alguna ayuda de la computadora. Me traslado, y me puse un acto de ser confundido y un poco estpido por nada tcnico. "Estoy en casa, acaba de comprar un nuevo ordenador porttil, y necesito para configurarlo o me puede llamar desde el exterior." Thprocedimiento e era obvio pero con paciencia dejar que me hable a travs de l hasta que lleg a la marcacin nmero de telfono. Me dio el nmero como si fuera una pieza ms habitual de la informacin. Entonces le hice esperar mientras que lo intent. Perfecto. So ahora me haba pasado el obstculo de la conexin a la red. Marqu el nmero y encontr que se crearon con un servidor de terminal que permitira a una persona que llama conectar a cualquier ordenador de su red interna. Despus de un montn de intentos me encontr con ordenador de alguien que tena una cuenta de invitado sin contrasea requerida. Algunos sistemas operativos, cuando se instala por primera vez, dirigir al usuario a configurar una ID y una contrasea, sino que tambin proporcionan una cuenta de invitado. El usuario se supone que para establecer la contrasea de su propia para la cuenta de invitado o desactivarla, pero la mayora de la gente no sabe acerca de esto, o simplemente no te molestes. Este sistema fue probablemente acaba de crear y el propietario no se haba molestado en deshabilitar la cuenta de invitado. LINGO

PasswoHASH PRD: Una cadena de galimatas que resulta de un proceso password a travs de un proceso unidireccional de cifrado. El proceso es supuestamente

irreversible, Es decir, su crey que no es posible reconstruir la contrasea a partir del hash Agradecers de la cuenta de invitado, ahora tena acceso a una computadora, que result estar ejecutando una versin anterior del sistema operativo UNIX. En UNIX, el sistema operativo mantiene un archivo de contraseas que con-lluvias las contraseas cifradas de todo el mundo autorizado para acceder a ese ordenador. El archivo de contrasea contiene el hash unidireccional (es decir, una forma de cifrado que es irreversible) de la contrasea de cada usuario. Con un hash unidireccional una contrasea real, tales como, por ejemplo, "justdoit" estara representada por una almohadilla en forma cifrada, en este caso el hash sera convertida por UNIX a trece caracteres alfanumricos. When Billy Bob por el pasillo quiere transferir algunos archivos a una computadora, se requiere que se identifique al proporcionar un nombre de usuario y contrasea. El programa del sistema que "revisa su autorizacin cifra la contrasea que entra, y luego compara el resultado con la contrasea encriptada (hash) que figura en el archivo de contraseas, si las dos coinciden, ha dado acceso. Debido a que las contraseas en el archivo fueron cifrados, el mismo archivo se ha puesto a disposicin de cualquier usuario en la teora de que no hay una forma conocida de descifrar las contraseas. No me hagas rer - He descargado el archivo, public un ataque de diccionario en el mismo (vase el Captulo 12 para ms informacin sobre este mtodo) y encontr que uno de los ingenieros del equipo de desarrollo, un tipo llamado Steven Cramer, tiene actualmente una cuenta en el equipo con la contrasea "Janice". Slo por si acaso, he intentado entrar en su cuenta con esa contrasea en uno de los servidores de desarrollo, si hubiera funcionado, me habra ahorrado un poco de tiempo y un poco riesgo. No lo hizo. That significaba que tendra que engaar al hombre que me dijera su nombre de usuario y contrasea. Por eso, me gustara esperar hasta el fin de semana. 70 Ya sabes el resto. El sbado me llam Cramer y lo condujo a travs de un ardid de un gusano y los servidores tienen que ser restaurado a partir de copia de seguridad para superar sus sospechas. Qut sobre el cuento que le dije, el de la inclusin de una contrasea cuando llen sus papeles empleados? Yo contaba con l, no recuerdo que nunca haba sucedido. Un nuevo empleado llena de tantas formas que, aos ms tarde, quin recuerda? Y de todos modos, si me hubiera golpeado con l, todava tena esa larga lista de otros nombres. Ingenioh su nombre de usuario y contrasea, me met en el servidor, rebusc durante un rato, y luego encuentra los archivos de diseo para la STH-100. Yo no estaba muy seguro de cules eran fundamentales, por lo que acaba de transferir

todos los archivos a un drop dead, un sitio FTP gratuito en China, donde podran ser almacenado sin nadie a sospechar. Que el tipo de cliente a travs de la basura y encontrar lo que quiere.

LINGO DEADROP D Un lugar para dejar informacin en que es improbable que se encuentran por otros. En el mundo de los espas tradicionales, esto podra estar detrs de una piedra suelta en una pared, en el mundo del hacker, es comnmente un sitio de Internet en un pas remoto. LaCon el nalyzing For el hombre que llamamos Craig Cogburne, o alguien como l, igualmente experto en e larcenous-pero-no-siempre-ilegales artes de la ingeniera social, el desafo se presenta aqu es casi una rutina. Su objetivo era localizar y descargar archivos storojo en un equipo corporativo seguro, protegido por un firewall y todas las tecnologas de seguridad habituales. La mayor parte de su trabajo era tan fcil como atrapar el agua de lluvia en un barril. Comenz by hacindose pasar por alguien de la sala de correo y amueblado un sentido adicional de urgencia, alegando que haba un paquete de FedEx espera de ser entregado. Este engao producido el nombre del lder del equipo para la ingeniera de corazn stent grupo, que estaba de vacaciones, pero - conveniente para cualquier ingeniero social que intenta robar informacin - que haba dejado amablemente el nombre y nmero de telfono de su asistente. Llamar a ella, Craig desactivaron las sospechas al afirmar que l estaba respondiendo a una peticin del jefe de equipo. Con el lder del equipo fuera de la ciudad, Michelle no tena forma de verificar su reclamo. Ella lo acept como la verdad y no tena ningn problema con una lista de las personas del grupo - para Craig, una necesaria y altamente premiod conjunto de informacin. She incluso no llegar a sospechar cuando Craig quera que la lista enviada por fax en vez de por correo electrnico, normalmente ms conveniente para ambas partes. Por qu era tan crdulo? Al igual que muchos empleados, que no quera que su jefe para volver a la ciudad y encontrar que haba trabas a la persona que llama que slo estaba tratando de hacer algo que el jefe le haba pedido. Adems, la persona que llam dijo que el jefe no haba autorizado slo la peticin, pero le pidi su ayuda. Una vez ms, aqu hay un ejemplo de alguien que muestra el fuerte deseo de ser un jugador de equipo, lo que hace la mayora de las personas susceptibles al engao. Craig evitar el riesgo de entrar en el edificio fsicamente, simplemente por tener el fax enviado a la recepcionista, a sabiendas de que es probable que sea til. Los recepcionistas son, despus de todo, por lo general elegido por su personalidad encantadora y su capacidad para causar una buena impresin. Haciendo pequeos favores como recibir un fax y enviarlo en territorio viene con la recepcionista, un

hecho que Craig fue capaz de aprovechar. Lo que estaba terminando fuera pasado a ser una informacin que podra haber hecho sonar la alarma de que nadie sepa el valor de la informacin - pero cmo podra receptionist esperar para saber qu informacin es benigno y que sensible?

Usnga estilo diferente de la manipulacin, Craig actu confundido e ingenuo para convencer al chico de las operaciones de computadora que le proporcione el dial hasta el nmero de acceso al servidor de terminales de la compaa, el hardware que se utiliza como punto de conexin a otros sistemas informticos dentro de la red interna. Mitnick MENSAJE Todo el mundos primera prioridad en el trabajo es conseguir el trabajo hecho. Bajo esta presin, sprcticas de eguridad a menudo ocupan el segundo lugar y se pasan por alto o ignorado. Los ingenieros sociales se basan en esto cuando la prctica de su oficio. Craig fue capaz de conectarse fcilmente al tratar una contrasea por defecto que no se haba cambiado, uno de los manifiestos, abiertos lagunas que existen en muchas redes que se basan en la seguridad firewall. De hecho, las contraseas por defecto para muchos sistemas operativos, routers y otros tipos de productos, including PBX, son disponible en lnea. Cualquier ingeniero social, hacker, o un espa industrial, as como la curiosidad simplemente, puede ver la lista de http://www.phenoelit.de / dpl / dpl.html. (Es absolutamente increble lo fcil que Internet hace que la vida para los que saben dnde buscar. Y ahora usted sabe, tambin.) CogburnE A continuacin, se las arregl para convencer a un sospechoso cauteloso, hombre ("Qut has dicho tu apellido era? Quin es tu supervisor? ") A divulgar su nombre de usuario y contrasea para poder acceder a los servidores utilizados por el coraznStent sarrolloent equipo. Esto fue como salir de Craig con una puerta abierta para explorar los secretos mejor guardados de la compaa y descarga e plans para e nordestew producto. Blancomenos si Steve Cramer haba seguido a sospechar acerca de la llamada de Craig? Era poco probable que l hara cualquier cosa acerca de cmo informar sus sospechas hasta que se present en el trabajo en la maana del lunes, lo que habra sido demasiado tarde to prevencint e atacar. Entecla e para la ltima parte de la estratagema: Craig en un primer momento se hizo sonar indiferente y desinteresado en las preocupaciones de Steve, luego cambi de parecer und sonaba como si estuviera tratando de ayudar para que Steve pudiera hacer su trabajo. La mayora de las veces, si la vctima cree que usted est tratando de ayudarlo o

hacerlo l somclase favor, que lo har parte de la informacin confidencial que lo hara have otra manera cuidadosamente protegidos.

de de

PREVENTING CON EL Ene de los trucos ms poderosos de la ingeniera social consiste en darle la vuelta. Esoes lo que ha visto en este captulo. El ingeniero social crea el problema, y luego por arte de magia resuelve el problema, engaando a la vctima a proporcionar acceso a los secretos mejor guardados de la compaa. Sus empleados se encuentran en este

type de engao? Usted ha tomado la molestia de redactar y distribuir las normas especficas de seguridad que pueden ayudar a prevenirlo? Educar, educar y educar ... No hays una vieja historia sobre una visita a Nueva York que se detiene a un hombre en la calle y le pregunta: "Cmo se llega a Carnegie Hall?" El hombre responde: "Prctica, prctica, prctica". Todo el mundo es tan vulnerable a los ataques de ingeniera social que una empresa nica defensa efectiva es educar y formar a sus empleados, dndoles la prctica que necesitan para detectar un ingeniero social. Y luego seguir recordando a la gente sobre una base consistente de lo que aprendieron en el entrenamiento, pero son muy propensos a olvida r. Everyone en la organizacin deben estar capacitados para ejercer un adecuado grado de sospecha y cautela cuando fue contactado por alguien a quien no conoce personalmente, sobre todo cuando ese alguien est pidiendo ningn tipo de acceso a una computadora o red. Es la naturaleza humana querer confiar en los dems, pero como dicen los japoneses, el negocio es la guerra. Su negocio no puede permitirse el lujo de bajar la guardia. Poltica de seguridad corporativa debe definir claramente el comportamiento apropiado e inapropiado. Security no es una talla nica para todos. Personal de la empresa por lo general tienen papeles y responsabilidades diferentes y cada posicin se ha asociado vulnerabilidades. Hay hombrod un nivel bsico de formacin que todos en la empresa se obliga a cumplir, y entonces la gente tambin deben ser capacitados de acuerdo a su perfil de trabajo para cumplir con ciertos procedimientos que reduzcan la posibilidad de que se conviertan en parte del problema. Las personas que trabajan con informacin sensible o se colocan en posiciones de confianza debera recibir una formacin especializada adicional. Mantener segura la informacin confidencial BlancoPeople en les acerca un desconocido que ofrece a ayudar, como se ve en las historias de este captulo, tienen que recurrir a la poltica de seguridad de la empresa que se adapte adecuada a las necesidades de la empresa, el tamao, y la cultura de su empresa. NOTA Personalmente, No creo que cualquier negocio debe permitir que cualquier cambio de contraseas. Es mucho ms fcil establecer una regla que prohbe al personal de nunca compartir o intercambiar contraseas confidenciales. Su ms seguro. Sin embargo, cada empresa tiene que evaluar los propia cultura y los problemas de seguridad en la toma de esta decisin

Nsiempre cooperar con un desconocido que le pide que busque informacin, ingresar comandos desconocidos en un ordenador, realizar cambios en la configuracin del software o - la ms potencialmente desastroso de todos - abrir un archivo adjunto de correo electrnico o descargar software sin marcar. Cualquier programa de software - incluso uno que parece no hacer nada en absoluto - puede no ser tan inocente como parece.

There ciertos procedimientos que, no importa lo bueno que nuestra formacin, que tienden a crecer descuidado en el tiempo. Entonces nos olvidamos de que la formacin en tiempo de crisis, justo cuando lo necesitamos. Se podra pensar que no dar su nombre de cuenta y la contrasea es algo que casi todo el mundo sabe (o debera saber) y no necesita que le digan: es simple sentido comn. Pero, de hecho, cada empleado necesita que se le recuerde con frecuencia que dar el nombre de cuenta y contrasea para su computadora de oficina, computadora de su casa, o incluso la mquina de franqueo en la sala de correo es equivalente a dar el nmero PIN de su tarjeta de cajero automtico. Hay ocasiones - muy de vez en cuando - una circunstancia muy vlido cuando es necesario, perhaps vsperan importante, to give someone else Confidential informacin. Por esta razn, no es apropiado hacer una regla absoluta de "nunca". Sin embargo, sus polticas y procedimientos de seguridad tiene que ser muy especfico acerca de las circunstancias bajo las cuales un empleado puede dar a conocer su contrasea y lo ms importante - que est autorizado para solicitar la informacin. Considere la fuente Yon la mayora de las organizaciones, la regla debe ser que toda la informacin que sea posible causar dao a la compaa oa un archivo. compaero de trabajo slo podr ser otorgada a una persona que se sabe sobre una base cara a cara, o cuya voz es tan familiar que lo reconoce sin lugar a dudas. Yon de alta seguridad, las situaciones, las nicas solicitudes que deben otorgarse son los delivered en persona o con una forma de autenticacin fuerte - por ejemplo, dos elementos distintos, como un secreto compartido y una muestra basada en el tiempo. Datunos procedimientos de clasificacin debe designar que no se informe de una parte de la organizacin involucrada con el trabajo sensible a cualquier persona que no conozco personalmente o avalado de alguna manera. NOTA Increblemente, Incluso buscar el nombre y nmero de telfono de la persona que llama en la base de datos de empresa, empleado y lo llamaba de nuevo no es una garanta absoluta ingenieros sociales conocen la manera de plantar nombres en una base de datos corporativa o redirigir las llamadas telefnicas. So cmo manejar una solicitud legtima de sonido para obtener informacin de otro trabajador de la empresa, tales como la lista de los nombres y correos electrnicos de personas en su grupo? De hecho, cmo dar a conocer lo que un artculo como este, que es claramente menos importante que, por ejemplo, una

hoja de especificaciones de un producto en fase de desarrollo, se reconoce como algo slo para uso interno? Una parte importante de la solucin: Designar a los empleados de cada departamento que se encargar de todas las solicitudes de informacin que se enva fuera del grupo. La seguridad avanzada

tprograma lloviendo entonces se debe proporcionar para que estos empleados designados al tanto de los procedimientos de verificacin especiales que debe seguir. Forjart Nobody Anyonae en un tiempo puede recitar de un tirn la identidad de las organizaciones dentro de la empresa que necesitan un alto grado de proteccin contra ataques maliciosos. Pero a menudo pasan por alto otros lugares que son menos obvios, pero muy vulnerable. En una de estas historias, la solicitud de un fax que se enva a un nmero de telfono dentro de la compaa pareca inocente y lo suficientemente seguro, sin embargo, el atacante se aprovech de esta seguridad escapatoria. The Lesson aqu: Nuncaybody from secretAries unnd administrativasistentes electrnicos a ejecutivos y gerentes de alto nivel debe tener una formacin especial de seguridad para que puedan estar atentos a este tipo de trucos. Y no se olvide de guardar la puerta de entrada: Recepcionistas, tambin, a menudo son los principales objetivos de los ingenieros sociales y tambin debe estar al tanto de las tcnicas engaosas utilizadas por algunos visitantes y personas que llaman. Corporate seguridad debe establecer un nico punto de contacto como una especie de centro de informacin para los empleados que piensan que puede haber sido el blanco de una treta de ingeniera social. Tener un lugar nico para reportar incidentes de seguridad ser una eficaz sistema de alerta temprana que har ms querido cuando un ataque coordinado est en marcha, por lo que cualquier dao puede ser controlado inmediatamente.

Chapter 6 "Can me ayudar? "

pueden

You've visto cmo los ingenieros sociales engaar a la gente, ofreciendo a help.Another enfoque preferido vuelta a las tablas: El ingeniero social manipula al pretender que necesita la otra persona que le ayude. Todos podemos simpatizar con la gente en una situacin difcil, y el enfoque resulta eficaz una y otra vez para permitir que un ingeniero social para alcanzar su meta. EL OUT-OF TOWNER Una historia en el captulo 3 mostr cmo un atacante puede hablar de una vctima para que revele su employenmero e. Este utiliza un enfoque diferente para lograr el mismo resultado, y luego muestra cmo el atacante puede hacer uso de esa El continuar con el Joneses En Silicon Valley hay una cierta compaa global que ser sin nombre. La soficinas de ventas cattered y otras instalaciones de campo de todo el worldare todos conectados a la sede de esa compaa a travs de una WAN, una red de rea amplia. El intruso, un hombre inteligente, luchadora llamado Brian Atterby, saba que era casi siempre es ms fcil entrar en una red en uno de los sitios remotos donde la seguridad est prcticamente garantizado para ser ms laxos que en la sede. Thintruso e telefone a la oficina de Chicago y pidi hablar con el seor Jones. La recepcionista me pregunt si conoca a nombre del seor Jones, sino que respondi, "Lo haba aqu, yo estoy buscando. Cmo Joneses tienen ustedes? "Ella dijo:" Tres. Qu departamento iba a estar? " He dijo: "Si usted me ley los nombres, tal vez lo reconozca." Y as lo hizo: "Barry, Jos, y Gordon." "Joe. I 'Estoy bastante seguro THAt Washingtons que," he sayuda. "Unad he fue yon .. which departamento? " "Desarrollo de Negocios. " "Fine. Me puede conectarse, por favor? " She Vuelva a colocar la llamada. Cuando Jones respondi que el atacante dijo: "Sr. Jones? Hola, soy Tony en nmina. Acabamos de poner a travs de su solicitud para que ustedr cheque depositado directamente a su cuenta de la cooperativa de crdito. " "QU???!!! Tienes que estar bromeando. No hizo ninguna peticin de esa manera. Yo don 'Ni siquiera tiene una cuenta en una

cooperativa de crdito. "" Oh, maldita sea, yo ya lo hice pasar. " Jones era ms que un poco molesto ante la idea de que su cheque de pago puede ser que vaya a la cuenta de otro, y estaba empezando a pensar que el hombre en el otro extremo del telfono debe ser un poco lento. Antes de que pudiera responder, la

atacante dijo: "Ser mejor que ver lo que pas. cambios de nmina se introducen por nmero de empleados. Cul es tu nmero de empleado?" Jones dio el nmero. La persona que llam dijo: "No, tienes razn, la solicitud no era de usted, entonces." Consiguen ms estpido cada ao, Jones pens. "Mira, Voy a ver que ha atendido. Voy a poner en una correccin en estos momentos. As que no se preocupe - usted obtendr su prximo cheque de pago bien ", dijo el tipo tranquilizador. Un viaje de negocios Not mucho tiempo despus, el administrador del sistema en Austin, Texas, las ventas de la compaa oficina recibi una llamada telefnica. "Se trata de Joseph Jones", anunci el llamador. "Estoy en el Business Desarrollo de las empresas. Estar en que, durante la semana, en el Hotel Driskill. Me gustara que usted me tendi una trampa con una cuenta temporal para que pueda acceder a mi correo electrnico sin hacer una llamada de larga distancia ". "Let sacarme ese nombre otra vez, y me dan su nmero de empleados ", dijo el administrador del sistema. El falso Jones dio el nmero y continu:" Tiene usted alguna High Speed Dial-up nmeros. "Hold, amigo. Tengo que verificar que en la base de datos. "Despus de un rato, dijo:" Est bien, Joe. Dime, cul es tu nmero edificio? "El atacante haba hecho su tarea y tena la respuesta preparada Mitnick MENSAJE Don 't confiar en las garantas de red y servidores de seguridad para proteger su informacin. Buscar to su punto ms vulnerable. Generalmente, usted encontrar que la vulnerabilidad est en su gente. "Est bien,"El sistema administrador le dijo:" me has convencido. " Era tan simple como eso. El administrador del sistema ha verificado el nombre de Joseph Jones, el departamento y el nmero de empleado, y "Joe" haba dado la respuesta correcta a la pregunta de la prueba. "Tu nombre de usuario que va a ser el mismo que su ser corporativo, jbjones", dijo el administrador del sistema ", y yo te voy a dar una contrasea inicial de 'Changeme ".

LaCon el nalyzing Won un par de llamadas telefnicas y quince minutos de tiempo, el atacante haba ganado el acceso a la red de la compaa de rea amplia. Esta era una empresa que, como muchos, tena lo que se refiere a la seguridad de caramelo, despus de una primera descripcin utilizada por dos investigadores de Bell Labs, Steve Bellovin y Cheswick Steven. Ellos describieron tal seguridad como "una cscara crujiente duro con un centro masticable oft" - como un caramelo de M & M.

Thconcha e exterior, el firewall, Bellovin y Cheswick argument, no es proteccin suficiente, porque una vez que un intruso es capaz de burlar los sistemas informticos internos tienen la seguridad suave y masticable. La mayora de las veces, no estn adecuadamente protegidos. This historia se ajusta a la definicin. Con un nmero telefnico y una cuenta, el atacante ni siquiera tiene que molestarse tratando de derrotar a un servidor de seguridad de Internet y, una vez dentro, era fcilmente capaz de poner en peligro la mayora de los sistemas de la red interna. Through mis fuentes, entiendo que esta artimaa exacta en que se trabaj en uno de los mayores fabricantes de programas informticos del mundo. Se podra pensar que los administradores de sistemas en una empresa seran entrenados para detectar este tipo de artimaa. Pero en mi experiencia, nadie est completamente seguro yoF un s o c i a ingeniero l es inteligente y persuasivo suficiente. LINGO CANDY SEGURIDAD Un trmino acuado por Bellovin y Cheswick de Bell Labs para describir un escenario de seguridad en el permetro exterior, tales como firewall, es fuerte, pero la infraestructura que hay detrs es dbil. El trmino se refiere a los dulces M & M, que tiene una cscara exterior dura y un centro blando. LINGO SPEAKEASY SEGURIDAD Seguridad que se basa en el conocimiento de que la informacin deseada es, y el uso de una palabra o nombre para obtener acceso a dicho sistema de informacin o de ordenador. SPEAKEASY SEGURIDAD Yon los viejos tiempos de los clubes nocturnos clandestinos - la era de la Prohibicin en los llamados bathtub ginebra fluido - un cliente a los posibles gan la admisin al presentarse en la puerta y llamar. Despus de unos momentos, una pequea solapa en la puerta se abren y un rostro duro e intimidante que mirar hacia fuera. Si el visitante se encontraba en el saber, l no habla el nombre de un patrn frecuente del lugar ("Joe me ha enviado" era a menudo suficiente), con lo cual el interior gorila se abra la puerta y dejarlo entrar The truco real estaba en conocimiento de la ubicacin de la taberna clandestina porque la puerta estaba sin marcas, y los dueos no exactamente colgar letreros de nen para marcar su presencia. En su mayor parte, al presentarse en el lugar indicado era todo lo que se tard en entrar el mismo grado de custodia es, lamentablemente, una prctica generalizada en el mundo empresarial,

proporcionando un nivel de proteccin sin que llamar a seguridad clandestino.

Lo vi en el cine He aqu un ejemplo de una pelcula favorita que mucha gente va a recordar. En Los tres das del Cndor el personaje central, Turner (interpretado por Robert Redford), Trabaja para una pequea empresa de investigacin contratado por la CIA. Un da regresa de un largo almuerzo para encontrar que todos sus compaeros de trabajo han sido asesinados abajo. Ha dejado de averiguar quin ha hecho esto y por qu, sabiendo todo el tiempo THAt los malos, sean quienes sean, estn en busca de l. Latitude en la historia, Turner se las arregla para obtener el nmero de telfono de uno de los chicos malos. Pero, quin es esta persona, y cmo puede Turner precisar su ubicacin? l est de enhorabuena: El guionista, David Rayfiel, felizmente ha dado Turner un fondo que incluya la formacin como un hombre de lnea telefnica con el Cuerpo de Seales del Ejrcito, hacindole conocedor de las tcnicas y prcticas de la compaa telefnica. Con el nmero de telfono del chico malo en la mano, Turner sabe exactamente qu hacer. En el guin, la escena se lee as: TurneR vuelve a conectar y grifos OUT otro nmero. ANILLO! ANILLO! Entonces: MUJERSVOICE (FILTER) CNA, La Sra. Coleman habla. TURNER (en conjunto de pruebas) Se trata de Harold Thomas, la seora Coleman. Servicio al Cliente. CNA en 202-555-7389, por favor. MUJERSVOICE (FILTER) Ene momento, por favor. (Almost

a la vez) Leonard Atwood, 765 MacKensie Lane, Chevy Chase, Maryland. Ignoring el hecho de que el guionista errneamente utiliza un cdigo de rea de Washington, DC, for un Maryland direccin, Californianyou spot AMSt just happened aqu? Tornero, Debido a su formacin como instalador de lneas de telfono, saba a qu nmero marcar para llegar a una oficina de la compaa de telfono llamado CNA, el Cliente Nombre und oficina de Direccin. CNA est configurado para la conveniencia de instaladors und other el personal autorizado de la compaa telefnica. Un instalador podra Californial

CNA, und dar lam un nmero de telfono. El recepcionista de la CNA wouldrespond proporcionando el nombre de la persona que el telfono pertenece a andhis direccin. Fooling la compaa telefnica Yone mundo real, el nmero de telfono de la CNA es un secreto muy bien guardado.

Although las compaas telefnicas finalmente tuvo xito y hoy en da son menos generosos acerca de la entrega de informacin tan fcilmente, a la vez que opera ona variacin de seguridad clandestino que los profesionales de la seguridad requieren seguridad a travs de la oscuridad. Se presume que quien llama CNA y knew e propejerga r ("servicio al cliente. CNA en 555-1234, por favor, por ejemplo) era una persona autorizada para disponer de la informacin. LINGO SECURITY por oscuridad Un mtodo ineficaz de ordenador security que se basa en mantener en secreto los detalles de cmo el sistema funciona (Protocolos, Los algoritmos y los sistemas internos). Seguridad por oscuridad se basa en la falsa suposicin de que nadie fuera de un grupo de confianza de la gente ser capaz de burlar el sistema. MITNICK MESSGAE Security through obscurity gamas not have uny efectivat yon Blocking social ataques de ingeniera. Todos los sistemas de computadora en el mundo tiene al menos un humano que lo utilice. Por lo tanto, si el atacante es capaz de manipular a las personas que usan los sistemas, oscuridad e del sistema es irrelevante. There haba necesidad de verificar o identificar uno mismo, no hay necesidad de dar un nmero de empleado, sin necesidad de una contrasea que se cambia todos los das. Si supieras el nmero a llamar y le sonaba autntica, entonces usted debe tener derecho a la informacin. That no era una suposicin muy slido por parte de la compaa telefnica. Su nico esfuerzo de seguridad era para cambiar el nmero de telfono en l base peridica, al menos una vez al ao. Aun as, el nmero actual en cualquier momento en particular fue muy conocido entre phreakers, que se deleitaban en el aprovechamiento de esta fuente conveniente de informacin y en compartir el cmo-a-hacer-l con sus compaeros phreaks. El CN-fue truco Oficina de una de las primeras cosas que aprend cuando estaba en el hobby de phreaking telefnico como un adolescente. Throughout el mundo de los negocios y el gobierno, la seguridad clandestino. est todava muy extendido. Es probable que sobre los departamentos de su empresa, las personas, y la jerga. A veces les para que eso: A veces, un nmero de telfono interno es todo lo que se necesita. THE Computer Manager CARELESS Thougempleados h muchas organizaciones son negligentes, indiferentes, o no tienen conocimiento

of peligros de seguridad, lo que espera a alguien con el administrador de ttulo en el centro de cmputo de una empresa Fortune 500 para estar bien informado acerca de las prcticas recomendadas de seguridad, no?

You no esperara que un administrador del centro informtico - alguien que forma parte del departamento de su empresa Tecnologa de la informacin - a ser vctima de un simple y obvio juego social con la ingeniera. Especialmente el ingeniero social no es ms que un nio, acababa de salir de su adolescencia. Pero a veces sus expectativas pueden estar equivocados. Sintoniza ndo Aos atrs era un pasatiempo divertido para muchas personas a mantener una radio sintonizada en la local polica o las frecuencias del cuerpo de bomberos, la escucha en las conversaciones ocasionales altamente cargados sobre un atraco a un banco en curso, un edificio de oficinas en fuego, O una persecucin a alta velocidad, como el evento se desarrollaba. Las frecuencias de radio utilizadas por los organismos policiales y de bomberos solan estar disponibles en libros en la librera de la esquina, hoy se proporcionen en anuncios en la web, y de un libro se puede comprar en Radio Shack para las frecuencias locales, del condado, estatales , y, en algunos casos, incluso las agencias federales. Of supuesto, no se trataba slo a los curiosos que estaban escuchando pulg ladrones roban una tienda en medio de la noche poda sintonizar para or si un coche de polica estaba siendo enviado a la ubicacin. Los traficantes de drogas podran mantener un control sobre las actividades de los agentes locales de la droga de la Agencia de Ejecucin. Un pirmano podra aumentar su placer enfermizo al encender una hoguera y despus de escuchar todo el trfico de radio, mientras los bomberos luchaban por apagar. Over desarrollos aos recientes en la tecnologa informtica han hecho posible cifrar mensajes de voz. Como ingenieros encontrado maneras de meter ms y ms poder de computacin en un solo microchip, empezaron a construir pequeas radios encriptados, para hacer cumplir la ley que mantuvo los tipos malos y curiosos de escuchar pulg

Danny el espa Un entusiasta del escner y el hacker experto que llamaremos Danny decidi ver si couldn 't encontrar una manera de conseguir sus manos en el software de cifrado de super-secreto - el cdigo fuente - de uno de los principales fabricantes de sistemas de radio seguras. Tena la esperanza de un estudio del cdigo le permitira aprender a escuchar en la ley ejecucin, y posiblemente tambin utilizan la tecnologa para que incluso los ms poderosos organismos gubernamentales tendran dificultades para controlar sus conversaciones con sus amigos.

ThDannys E del oscuro mundo de los piratas pertenecen a una categora especial THAt cae en algn lugar entre lo meramente curioso, pero totalmente benigno y lo peligroso. Dannys tienen el conocimiento del experto, junto con la

mischievouhackers s el deseo de entrar en los sistemas y redes para el desafo intelectual y por el placer de hacerse una idea de cmo funciona esta tecnologa. Pero su ruptura y que entran electrnico trucos son slo eso - trucos. Esta gente, estos hackers benignos, entran ilegalmente en sitios para la pura diversin y emocin de probar que pueden hacerlo. Ellos no roban nada, no hacen ningn dinero de sus hazaas, que no destruyen los archivos, interrumpir las conexiones de red, o bloquear cualquier sistema informtico. El mero hecho de estar all, atrapando copias de archivos y buscar mensajes de correo electrnico para las contraseas detrs de las espaldas de los guridad y los administradores de red, ajustes de las narices de las personas responsables de mantener alejados a los intrusos como ellos. La una superioridad es una parte importante de la satisfaccin. YoEn armona con este perfil, nuestro Danny quera examinar los detalles del producto ms celosamente guardado de su compaa objetivo, slo para satisfacer su curiosidad ardiente propio y admirar lo innovaciones inteligentes del fabricante podra haber ocurrido. Thdiseos de productos electrnicos fueron, ni que decir, celosamente guardados secretos comerciales, tan preciosa y protegida como casi cualquier cosa en posesin de la empresa. Danny saba. Y no le importa un poco. Despus de todo, era slo una gran empresa, sin nombre. But cmo obtener el cdigo fuente del software? Al final result que, el acaparamiento de las joyas de la corona del grupo seguro de la compaa de comunicaciones result ser demasiado fcil, a pesar de que la empresa era una de las que utiliza autenticacin de dos factores, un acuerdo en virtud del cual las personas estn obligadas a usar no uno, sino dos identificadores separados para probar su identidad. Here un ejemplo probablemente ya est familiarizado. Cuando la tarjeta de crdito de renovacin llega, se le pide que llame a la compaa emisora para hacerles saber que la tarjeta est en posesin del cliente intencin, y no alguien que rob el sobre del correo. Las instrucciones con la tarjeta en estos das generalmente decirle a llamar desde su casa. Cuando llame, software de la compaa de tarjetas de crdito analiza la ANI, la identificacin automtica de nmero, que es proporcionada por el conmutador telefnico de llamadas gratuitas que la compaa de tarjetas de crdito est pagando. Un equipo de la compaa de tarjetas de crdito utiliza el nmero de la persona que llama proporcionada por la ANI, y coincide con el nmero de bases de datos en contra de la compaa de los titulares de tarjetas. En el momento en el empleado viene en la lnea, su o su pantalla muestra la informacin de la base de datos que da detalles sobre el cliente. As que el empleado ya conoce la llamada proviene de la casa de un cliente, esa es una forma de autenticacin.

LINGO DOS FACTOR AUTENTICACIN The uso de dos tipos diferentes de authentication para verificar la identidad. Por ejemplo, una persona podra tener que identificarse llamando desde una ubicacin identificable cierto y saber una contrasea. El empleado elige un elemento de la informacin que aparece acerca de usted - lo ms a menudo el nmero de seguro social, fecha de nacimiento o el nombre de soltera de su madre - y le pide que por este pedazo de informacin. Si usted le da el derecho unswer, eso es una segunda forma de autenticacin - basado en la informacin que usted debe saber. Lat la empresa que fabrica los sistemas de radio seguras en nuestra historia, todos los empleados con acceso a la computadora tena su nombre de cuenta y contrasea habituales, sino que adems contaba con un pequeo dispositivo electrnico llamado Secure ID. Esto es lo que se llama una muestra basada en el tiempo. Estos dispositivos vienen en dos tipos: uno es la mitad del tamao de una tarjeta de crdito, pero un poco ms gruesa, y otra es lo suficientemente pequeo que la gente simplemente se adhieren a sus llaveros. Derivard en el mundo de la criptografa, este gadget en particular tiene una pequea ventana que muestra una serie de seis dgitos. Cada sesenta segundos, la pantalla cambia para mostrar un diferente nmero de seis dgitos. Cuando una persona autorizada necesita acceder a la red desde fuera de la oficina, primero debe identificarse como usuario autorizado, escriba su PIN en secreto y los dgitos que aparecen en su dispositivo token. Una vez verificado por el sistema interno, que luego se autentica con su nombre de cuenta y contrasea. For el joven hacker de Danny para obtener el cdigo fuente que tan codiciado, que tendra que no slo comprometen nombre de algn empleado de la cuenta y la contrasea (no es un gran reto para el ingeniero social con experiencia), sino tambin conseguir alrededor de la seal en funcin del tiempo. Defeating autenticacin de dos factores-la de un token basado en el tiempo combinado con un cdigo de usuario PIN secreto suena como un desafo a la derecha de Misin Imposible. Pero para los ingenieros sociales, el desafo es similar a la luci por un jugador de pquer que tiene ms de la habilidad usual en la lectura de sus oponentes. Con un poco de suerte, cuando se sienta en una mesa que l sabe que es probable que a pie con un gran montn de dinero de otras personas. El asalto a la fortaleza Danny comenz a hacer su tarea. En poco tiempo se las haba arreglado para poner together suficientes piezas para hacerse pasar por un empleado real. l tena el nombre de un empleado, departamento, nmero de telfono y nmero de

empleados, as como el nombre del administrador y nmero de telfono.

Now es la calma antes de la tormenta. Literalmente. A juzgar por el plan que haba elaborado, Danny necesitaba una cosa ms antes de que pudiera dar el siguiente paso, y era algo que no tena control sobre: Necesitaba una tormenta de nieve. Danny necesitaba un poco de ayuda de la madre naturaleza en forma de tiempo tan malo que podra evitar que los trabajadores caigan en la oficina. En el invierno en Dakota del Sur, donde se encuentra la planta de produccin de que se trate, cualquiera que espere para el mal tiempo no tena mucho tiempo para esperar. El viernes por la noche, una tormenta lleg. Lo que haba empezado como la nieve rpidamente se convirti en lluvia helada para que, por la maana, las calles se cubrieron con una sbana resbaladiza y peligrosa de hielo. Para Danny, esto era una oportunidad perfecta. He telefone a la planta, pidi el aula de informtica y alcanz una de las obreras de la informtica, un operador de computadora que se anunci como Roger Kowalski. Giving el nombre del empleado real, que haba obtenido, Danny dijo: "Este es Bob Billings. Trabajo en el Secure Communications Group. Estoy en casa ahora mismo y no puedo conducir debido a la tormenta. Y el problema es que necesito para acceder a mi puesto de trabajo y el servidor de casa, y me fui de mi identificacin segura en mi escritorio. Puedes ir a buscar para m? O puede alguien? Y luego leer mi cdigo cuando tengo que entrar? Porque mi equipo tiene un plazo crtico y no hay manera de que pueda hacer mi trabajo, y no hay manera de que pueda llegar a la oficina -. las carreteras son demasiado peligrosas a mi manera. El operador del equipo dijo: "No puedo dejar el Centro de Cmputo". Danny salt en: "Tiene una identificacin segura a ti mismo?". "Hays uno aqu en el Centro de Cmputo ", dijo." Mantenemos una para los operadores en caso de una emergencia. " "Escucha,"Danny, dijo." Puedes hacerme un gran favor? Cuando tengo que marcar into la red, puedes dejar que me preste su ID seguro? Slo hasta que sea seguro para conducir pulg " "Qo usted es nuevo? ", pregunt Kowalski." A quin trabaja. "For Ed Trenton. " "Oh, s, lo conozco." When, es obligado a enfrentarse con trineos duro, un ingeniero bien social va ms all de la cantidad normal de la investigacin. "Yo estoy en el segundo piso," Danny fue sucesivamente. "Junto a Roy Tucker."

He conoca ese nombre, tambin. Danny volvi a trabajar en l. "Sera mucho ms fcil simplemente ir a buscar a mi escritorio y mi ID segura para m."

Danny estaba bastante seguro de que el chico no iba a comprar en esto. En primer lugar, no querra dejar en el medio de su turno para ir penosamente por los pasillos y escaleras hasta algn lugar distante del edificio. No quiso tambin quieren tener la pata a travs de algn otro servicio, violando el espacio personal de alguien. No, era una apuesta segura que no le gustara hacer eso. Kowalskyo no quera decir que no a un tipo que necesitaba ayuda, pero l no quera decir que s y se meten en problemas, tampoco. As que se dej de lado la decisin: voy a tener que pedirle a mi jefe. . Espera "Me puso el telfono, y Danny le oy levantar otro telfono, poner en la convocatoria, y explicar la peticin Kowalski entonces hizo algo inexplicable:.. De hecho avalado por el hombre utilizando los nombres de Bob Billings" Yo saber l ", le dijo a su manager." Trabaja para Ed Trenton. Podemos dejarle utilizar el ID Secure Danny en el Centro de Cmputo ", aferrndose al telfono, se sorprendi al or este apoyo extraordinario e inesperado para su causa. No poda dar crdito a sus odos o su suerte. Laespus de un par de momentos, Kowalski regres al telfono y dijo: "Mi jefe quiere hablar con usted mismo," y le dio el nombre del hombre y la clula phonnmero e. Danny llam el director y me fui a travs de toda la historia una vez ms, aadiendo detalles sobre el proyecto que estaba trabajando o equipo y por qu su producto es necesario para cumplir con una fecha lmite crtico. "Sera ms fcil si alguien just goes y obtiene mi tarjeta ", dijo." Yo no creo que el escritorio est bloqueado, debe estar all en el cajn superior izquierdo. " "Bueno,", Dijo el gerente," slo por el fin de semana, creo que puede dejarle utilizar el uno en el Centro de Cmputo. Les dir a los chicos de guardia que cuando usted llama, deben leer el cdigo de acceso aleatorio para usted ", y le dio el nmero PIN para utilizar con l. Para el fin de semana, cada vez que Danny quera entrar en el sistema informtico corporativo, slo tena que llamar al Centro de Cmputo y pedirles que leer los seis dgitos que aparecen en la ficha de identificacin segura. An Inside Job Una vez que estuvo dentro del sistema informtico de la empresa, entonces qu? Cmo hara DAnny encontrar el camino al servidor con el software que quera? l ya haba preparado para esto. Muchos usuarios de computadoras estn familiarizados con los grupos de noticias, que amplia serie de tablones de anuncios electrnicos donde la gente puede publicar preguntas que otros responden, o encontrar compaeros virtuales que comparten un inters en la msica, computadoras, o cualquiera de los cientos

de otros temas.

Qut pocas personas se dan cuenta cuando publicar cualquier mensaje en un sitio de grupo de noticias es que su mensaje permanecer en lnea y disponibles desde hace aos. Google, por ejemplo, ahora mantiene un archivo de setecientos millones de mensajes, algunos que datan de veinte aos! Danny comenz por ir a la direccin Web http://groups.google.com. Latrminos de bsqueda, Danny entr en las comunicaciones de radio "cifrado" y el nombre de la empresa, y encontr un mensaje aos de edad, sobre el tema de un empleado. Fue un anuncio que se haba hecho de nuevo cuando la compaa estaba desarrollando el producto, probablemente mucho antes de que los departamentos de polica y agencias federales haban considerado descifrar seales de radio. Thmensaje de correo que figura la firma del remitente, lo que no slo el nombre del hombre, Scott Press, pero su nmero de telfono e incluso el nombre de su grupo de trabajo, e Secure Communications Group. Danny cogi el telfono y marc el nmero. Pareca una posibilidad remota - que todava estar trabajando en los prximos aos la organizacin misma tarde? Estara trabajando en un fin de semana tormentoso? El telfono son una vez, dos veces, tres veces, y luego se oy una voz en la lnea. "Se trata de Scott," dijo. Claiming ser de la empresa de TI del Departamento de Prensa Danny manipulada (en una de las formas ya familiares a usted de los captulos anteriores) para que revele los nombres de los servidores que utilizan para el trabajo de desarrollo. Estos fueron los servidores que se podran esperar para contener el cdigo fuente que contiene el algoritmo de encriptacin propietario y firmware utilizado en productos de la empresa de radio seguras. Danny se mova ms y ms, y su emocin fue la construccin. l estaba anticipando las prisas, el gran sumo que siempre se sinti cuando sucedi a algo que saba que slo un nmero muy limitado de personas podra lograr. Todava, l no estaba en casa libre todava. Para el resto del fin de semana que sera capaz de entrar en la red de la empresa cada vez que quera, gracias a que el gerente de centro de computacin cooperativa. Y saba que los servidores que queran acceder. Sin embargo, cuando marc en el servidor de terminal que iniciar sesin para no permitirle que se conectan a los sistemas seguros de comunicaciones para el desarrollo del Grupo. Debe haber habido un firewall o un router interno la proteccin de los sistemas informticos de ese grupo. Tendra que encontrar otra manera pulg The paso siguiente tuvo nervio: Danny volvi a llamar a Kowalski en Operaciones con el ordenador y se quej de "Mi servidor no me deja conectar", y le dijo al chico de TI, "Necesito que me tendi una trampa con una cuenta en uno de los equipos de su departamento para que pueda utilizar Telnet para conectar

con el sistema. "

Thgestor de correo ya haba aprobado revelar el cdigo de acceso aparece en el token basado en el tiempo, por lo que esta nueva peticin no parece irrazonable. Kowalski configurar una cuenta y una contrasea temporal en uno de los ordenadores del centro de operaciones, y dijo a Danny a "llmame cuando no lo necesita ms y lo voy a quitar." Una vez conectado a la cuenta temporal, Danny fue capaz de conectarse a travs de la red a los sistemas informticos del Grupo Secure Communications. Despus de una hora de la bsqueda en lnea para una vulnerabilidad tcnica que le permitan el acceso a un servidor principal de desarrollo, se sac la lotera. Al parecer, el sistema o el administrador de red no ha sido vigilante en mantenerse al da con las ltimas noticias sobre fallos de seguridad en el sistema operativo que permite el acceso remoto. Pero Danny era. Withina corto tiempo haba localizado los archivos de cdigo fuente que estaba tras ellos y fue la transferencia de forma remota a un sitio de comercio electrnico que ofrece espacio de almacenamiento gratuito. En este sitio, incluso si los archivos se han descubierto nunca, nunca se puede remontar de nuevo a l. He tenido un paso final antes de firmar: el proceso metdico de borrar sus huellas. Termin antes de que el programa de Jay Leno haba salido del aire durante la noche. Danny imagin esto hubiera sido un trabajo un fin de semana muy bien. Y nunca haba tenido que ponerse personalmente en peligro. Fue una emocin embriagadora, incluso mejor que el snowboard o el paracaidismo. Danny se emborrach esa noche, no en whisky, ginebra, cerveza o sake, pero en su sentido de poder y de logro mientras verta a travs de los archivos que haba robado, acercndose a la elusiva software, radio extremadamente secreto. LaCon el nalyzing Las en la historia anterior, esta estratagema funcion slo porque un empleado de la compaa era demasiado dispuestos a aceptar sin ms que un llamador era realmente el empleado que deca ser. Ese afn de ayudar a un compaero de trabajo con un problema es, por un lado, parte de lo que engrasa las ruedas de la industria, y parte de lo que hace a los empleados de algunas compaas ms agradables para trabajar que los empleados de los dems. Pero por otro lado, esta utilidad puede ser una vulnerabilidad importante que un ingeniero social intentarn explotar. Ene poco de manipulacin Danny utilizado fue deliciosa: Cuando hizo la peticin de que alguien obtener su ID seguro de su escritorio, l siempre deca que quera a alguien para "buscar" para l. Fetch es un comando le da a su perro. Nadie quiere que le digan a buscar algo. Con esa palabra, Danny hizo que todo sea ms cierta la peticin debe ser rechazada y alguna otra solucin aceptada por el contrario, que era exactamente lo que quera.

The operador de Centro de Cmputo, "Kowalski, fue recogida por Danny dejar caer los nombres de las personas Kowalski sucedido s, pero por qu gestor de Kowalski -. un gerente de TI, nada menos - permitir algn acceso ajeno a la red interna de la empresa, simplemente porque la llamada ayuda puede ser una herramienta poderosa y persuasiva en el arsenal del ingeniero social. Mitnick MENSAJE This almacenamientoy goes to show THAt de base de tiempod tokens und similar formularios de autenticacin no son una defensa contra el astuto ingeniero social. La nica defensa yosun conscientious employee who seguirs security Politicassund understands cmo otros maliciosamente puede influir en su comportamiento. Could algo como eso nunca sucede en su empresa? Tiene ya? PREVENTING CON EL Yot parece ser un elemento a menudo repetido en estas historias que un atacante organiza to conectarse a una red de ordenadores de fuera de la empresa, sin que la persona que le ayuda a tomar las medidas suficientes para verificar que la persona que llama es realmente una empleado y tienen derecho a acceso. Por qu volver a este tema tan a menudo? Porque realmente es un factor en los ataques de ingeniera tantas sociales. Para el ingeniero social, que es la forma ms fcil de llegar a su meta. Por qu un atacante pasar horas tratando de entrar, cuando puede hacerlo en su lugar con una simple llamada telefnica? Ene de los mtodos ms poderosos para el ingeniero social para llevar a cabo esta parientesd de ataque es la tctica simple de pretender necesita ayuda - un enfoque frecuentemente utilizado por los atacantes. Usted no quiere dejar a sus empleados de ser til a los compaeros de trabajo o clientes, por lo que necesita para armar a los procedimientos especficos de verificacin para usar con cualquier persona presente una solicitud de acceso a la computadora o la informacin confidencial. De esa manera puede ser til para aquellos que merecen ser ayudados, pero al mismo tiempo proteger los activos de informacin de la organizacin y de los sistemas informticos. CompanY los procedimientos de seguridad deben explicar en detalle qu tipo de mecanismos de verificacin se debe utilizar en diversas circunstancias. El captulo 17 ofrece una lista detallada de los procedimientos, pero aqu hay algunas pautas a tener en cuenta: Ene buena manera de verificar la identidad de una persona que ha solicitado es para llamar al nmero de telfono que aparece en el directorio de la empresa para esa persona. Si la persona que hace la solicitud es en realidad un atacante, la

llamada de verificacin o bien le permitir hablar con la persona real en el telfono mientras el impostor est en espera, o se llega correo del empleado voz para que pueda escuchar el sonido de su voz y compararla con thespeech del atacante.

Yonmeros f empleados se utilizan en su empresa para verificar la identidad, entonces esos nmeros tienen que ser tratados como informacin confidencial, protegida con cuidado y no entregados a los extraos. Lo mismo ocurre con todos los otros tipos de identificadores internos, tales como nmeros de telfono, identificadores internos de los departamentos de facturacin, e incluso direcciones de correo electrnico. Corporatformacin e debe llamar la atencin de todos a la prctica comn de aceptar a las personas desconocidas como los empleados por motivos legtimos que suenan autoridad o conocimiento. El hecho de que alguien conoce una prctica empresarial o utiliza terminologa interna hay ninguna razn para suponer que su identidad no tiene que ser verificado por otros medios. SecuritY los funcionarios y administradores de sistemas no debe limitar su enfoque a fin de que slo se alerta a la forma consciente de la seguridad a todos los dems es ser. Tambin deben asegurarse de que se estn siguiendo las mismas reglas, procedimientos y prcticas. Contraseas y similares deben, por supuesto, nunca ser compartida, pero la restriccin en contra de compartir es an ms importante con el tiempo basados en tokens y otras formas seguras de autenticacin. Debe ser una cuestin de sentido comn que compartir alguno de estos artculos violan el punto central de la compaa de haber instalado los sistemas. Compartir significa que no puede haber rendicin de cuentas. Si un incidente de seguridad se lleva a cabo o algo sale mal, usted no ser capaz de determinar quin es la parte responsable. Al reiterar lo largo de este libro, los empleados deben estar familiarizados con las estrategias de ingeniera social y los mtodos para analizar cuidadosamente las solicitudes que reciben. Considere el uso de juegos de rol como una parte estndar de formacin de seguridad, de modo que los empleados puedan llegar a una mejor comprensin de cmo funciona la ingeniera social.

Chapter 7 PhonY los peligrosos

sitios

archivos

adjuntos

No hays un viejo dicho que nunca conseguir algo por nada, Todava, La tctica de ofrecer algo gratis sigue siendo una gran atraccin para ambos legtimo ("Pero espere -! Hay ms llamadas en este momento y vamos a lanzar en un juego de cuchillos y un popper de las palomitas") y no tan - legtimos ("Comprar un acre de tierra pantanosa en Florida y obtener un acre segundo libre") empresas. Y la mayora de nosotros estamos tan ansiosos de obtener algo gratis que puede distraerse pensando clearly about e deer or e promise being mAde. Wabemos la advertencia familiar, "el comprador tenga cuidado", pero es hora de prestar atencin a otra advertencia: Cuidado con-venir en archivos adjuntos de correo electrnico y de software libre. El atacante inteligente usar casi cualquier medio para entrar en la red corporativa, incluyendo apelar a nuestro deseo natural de conseguir un regalo gratis. stos son algunos ejemplos. Wouldn 'E l TE GUSTA UN LIBRE (EN BLANCO)? " Just como los virus han sido una maldicin para la humanidad y los mdicos ya que el beginning de tiempo, por lo que el virus informtico bien llamada representa una maldicin similar a los usuarios de la tecnologa. Los virus informticos que obtienen la mayor parte de la atencin y terminar en el centro de atencin, no por casualidad, hacer el mayor dao. Estos son los produccint de vndalos informticos. Calcularnerds r volvi maliciosa, vndalos informticos se esfuerzan por demostrar lo listos que son. A veces, sus actos son como un rito de iniciacin, signific para impulse los piratas informticos ms avanzados y experimentados. Estas personas estn motivadas para crear un gusano o un virus tuvo intencin de infligir dao. Si su trabajo destruye archivos, discos duros destroza todo a s mismo, y correos electrnicos a miles de personas inocentes, vndalos bocanada de orgullo por sus logros. Si el virus provoca el caos suficiente que los peridicos escriben sobre ella y las emisiones de noticias de la red advierten en contra de ella, tanto mejor. Much se ha escrito sobre los vndalos y sus virus, libros, programas de software y compaas enteras han sido creados para ofrecer proteccin, y no vamos a tratar

aqu las defensas contra los ataques de sus tcnicos. Nuestro inters en este momento es menor en los actos destructivos de los vndalos que en los esfuerzos ms especficos de su primo lejano, el ingeniero social. Yot Lleg en el correo electrnico Es probable que reciba mensajes no solicitados todos los das que llevan publicidad mensajes u ofrecer un libre algo-o-otro que no necesitan ni quieren. Usted

know el estilo. Prometen asesoramiento de inversin, descuentos en ordenadores, televisores, cmaras, vitaminas, o de viaje, ofertas de tarjetas de crdito que no necesita, un dispositivo que le permitir recibir canales de televisin paga libre, formas de mejorar su salud o su vida sexual, y as sucesivamente. But de vez en cuando aparece una oferta en su buzn de correo electrnico para algo que te llame la atencin. Tal vez es un juego gratuito, una oferta de fotos de su estrella favorita, un programa de calendario gratuito, o compartir barata "de consumo que proteger su computadora contra los virus. Sea cual sea la oferta, el correo electrnico que usted dirige para descargar el archivo con los objetos valiosos que el mensaje ha convencido de que usted intente. O tal vez usted recibir un mensaje con una lnea de asunto que dice Don, te echo de menos ", o" Ana, por qu no me has escrito ", o" Hola Tim, aqu est la foto sexy que te promet. "Esto no poda ' t ser correo basura publicidad, piensas, ya que cuenta con su propio nombre en l y suena tan personal. As se abre el archivo adjunto para ver la foto o leer el mensaje. All oF these acciones - descargar cualquierg software you lganado about from un advertising-mail, al hacer clic en un enlace que te lleva a un sitio que no han odo hablar de antes, la apertura de un archivo adjunto de alguien que no se sabe muy bien - son invitaciones a problemas. Claro, la mayora de las veces lo que se obtiene es exactamente lo que se esperaba, o en el peor, algo decepcionante u ofensivo, pero inofensivo. Pero a veces lo que se obtiene es la obra de un vndalo. Sendincdigo malicioso g al ordenador es slo una pequea parte del ataque. El atacante necesita de persuadirte para descargar el archivo adjunto para que el ataque tenga xito. NOTA Enelectrnico del tipo de programa conocemos en el underground informtico como una rata, o un troyano de acceso remoto, le da al atacante acceso completo a su ordenador, como si estuviera sentado en su teclado. The formas ms dainas de cdigo malicioso - gusanos con nombres como Love Letter, SirCam y Kournikiva Anna, por nombrar unos pocos - han confiado en las tcnicas de ingeniera social del engao y el aprovechamiento de nuestro deseo de obtener algo a cambio de nada para ser propagarse. El gusano llega como un archivo adjunto a un correo electrnico que ofrece algo tentador, como informacin confidencial, la pornografa gratuita, o - un ardid muy inteligente - un mensaje que indica que el archivo adjunto es el recibo de algn artculo caro que supuestamente ordenado. Esta ltima tctica le lleva a abrir el archivo adjunto por temor a su tarjeta de crdito ha sido acusado de un elemento que no funcionaba.

Ess sorprendente cuntas personas caen en estos trucos, incluso despus de ser dicho y le dijo otra vez sobre los peligros de abrir archivos adjuntos de correo electrnico, la conciencia del peligro se desvanece con el tiempo, dejando a cada uno de nosotros vulnerable. Spotting Malicious Software Another tipo de malware - acrnimo de software malicioso - pone un programa en ustedr computadora que funciona sin su conocimiento o consentimiento, o realiza una tarea sin su conocimiento. El malware puede parecer bastante inocente, puede ser incluso un documento de Word o una presentacin de PowerPoint o cualquier programa que tenga la funcionalidad de macro, pero en secreto se instalar un programa no autorizado. Por ejemplo, malware puede ser una versin del Caballo de Troya se habla en el captulo 6. Una vez que este software est instalado en su mquina, puede alimentar a cada golpe de teclado que escriba al atacante, incluyendo todas sus contraseas y nmeros de tarjetas de crdito. There son otros dos tipos de software malicioso que puede encontrar chocante. Se puede alimentar al atacante cada palabra que dices dentro del alcance del micrfono de la computadora, incluso cuando usted piensa que el micrfono est apagado. Peor an, si havea cmara web conectada al equipo, el atacante utiliza una variacin de esta tcnica puede ser capaz de capturar todo lo que sucede delante de su terminal, an cuando se piensa que la cmara est apagada, el da o la noche. LINGO MALWAREArgot de software malicioso, un programa informtico, como un virus, gusano, O Caballo de Troya, que realiza tareas perjudiciales. Mitnick MENSAJE Bewson de frikis que llevan los regalos, de otra manera su empresa puede soportar la misma grasae como la ciudad de Troya. En caso de duda, para evitar una infeccin, usar proteccin. Un hacker con un sentido del humor malicioso podra tratar de plantar un pequeo programa diseado para ser perversamente molesto en su ordenador. Por ejemplo, puede hacer que su bandeja de la unidad CD siguen apareciendo abierto, o el archivo que est trabajando en mantener a minimizar. O podra causar un archivo de audio para reproducir un grito a todo volumen en el medio de la noche. Ninguno de ellos es mucho ms divertido cuando ests tratando de dormir o realizar su trabajo .., pero por lo menos no hacen ningn dao duradero.

MessagE DE UN AMIGO Thescenarios e puede empeorar an ms, a pesar de sus precauciones. Imagina: Has decided no correr ningn riesgo. Ya no descargar ningn archivo excepto de sitios seguros que usted conoce y confa, como SecurityFocus.com o Amazon.com. Ya no haga clic en enlaces de correo electrnico

from desconocidos fuentes. Usted ya no est abierto los archivos adjuntos en cualquier correo electrnico que usted no esperaba. Y usted comprueba su pgina del navegador para asegurarse de que es un smbolo sitio seguro en cada sitio que visita para las transacciones de comercio electrnico o para intercambiar informacin confidencial. Und Hasta que un da recibe un correo electrnico de un amigo o de negocios que lleva un archivo adjunto. No puede haber nada malicioso si se trata de alguien que usted conoce bien, verdad? Sobre todo porque usted sabe que la culpa de que sus datos informticos sufrieron daos. You abrir el archivo adjunto, y ... BOOM! Usted acaba de ser golpeado con un gusano o caballo de Troya. Por qu iba alguien hacer esto? Debido a que algunas cosas no son como parecen. Usted ha ledo acerca de esto: el gusano que llega en el ordenador de alguien, y luego se enva por correo electrnico a todo el mundo en la agenda de esa persona. Cada una de estas personas recibe un correo electrnico de alguien que conoce y confa, y cada uno de los correos electrnicos de confianza contiene el gusano, que se propaga como las ondas de una piedra arrojada a un estanque tranquilo. Thrazn e esta tcnica es tan eficaz es que sigue la teora de matar dos pjaros de un tiro: la capacidad de propagarse a otras vctimas inocentes, y la apariencia que se origin a partir de una persona de confianza. Mitnick MENSAJE Mamn ha inventado muchas cosas maravillosas que han cambiado el mundo y nuestras way de la vida. Pero por cada buen uso de la tecnologa, ya sea un ordenador, telfono, o por Internet, siempre hay alguien que va a encontrar una manera de abusar de ella para sus propios fines. Es un hecho triste de la vida en el estado actual de la tecnologa que puede llegar un correo electrnico de alguien cercano a usted y todava tiene que preguntarse si es seguro abrir. VARIATIONS en un tema Yon esta era de la Internet, hay un tipo de fraude que involucra desviando usted to un sitio Web que no es lo que esperaba. Esto sucede regularmente, y se necesita una variedad de formas. Este ejemplo, que se basa en una estafa real perpetrada el Internet, es representativo. Feliz Navidad. . . Un vendedor de seguros jubilado llamado Edgar recibi un correo electrnico un da de PayPal, una empresa que ofrece una manera rpida y conveniente de hacer pagos

en lnea. Este tipo de servicio es especialmente til cuando una persona en una parte del del pas (o del mundo, para el caso) es la compra de un artculo de una persona que

doesn 's. PayPal cobra a la tarjeta de crdito del comprador y transfiere el dinero directamente a la cuenta del vendedor. Como coleccionista de antigedades Edgar tarros de cristal hizo un montn de negocios a travs de eBay de subastas en lnea de la compaa. l us PayPal menudo, a veces varias veces por semana. As que Edgar estaba interesado cuando recibi un correo electrnico en la temporada de vacaciones de 2001, que pareca ser de PayPal, y le ofreci una recompensa para la actualizacin de su cuenta PayPal. El mensaje deca: Felices Fiestas Estimado cliente de PayPal; Cuando se acerca el Ao Nuevo y como todos se preparan para mover un ao antes, PayPal le gustara darle un $ 5 acreedorest a tu cuenta! All que tiene que hacer para reclamar su regalo de $ 5 de nosotros es la actualizacin ustedr informacin en nuestro sitio seguro Pay Pal por el 1 de enero 2002. Un ao trae una gran cantidad de cambios, mediante la actualizacin de su information con nosotros, se le permitir que continuemos ofreciendo a usted ya nuestro valioso servicio al cliente con un servicio excelente y al mismo tiempo, mantener los registros de derecho! To actualizar su informacin ahora y reciba $ 5 en su cuenta PayPal inmediatamente, haga clic en este enlace: http://www, Paypal-seguro. com / cgibin Dek por utilizar PayPal.com y ayudarnos a crecer para ser el ms grande de los nuestros! Sinceramente desearle una muy "Feliz Navidad y Feliz Ao Nuevo," Equipo de PayPal Una nota e.Commerce sobre sitios web

You probablemente conocemos a personas que se resisten a comprar productos en lnea, incluso de las empresas de marca como Amazon o eBay, o los sitios web de Old Navy, Target, o Nike. En cierto modo, tienen razn para sospechar. Si su navegador utiliza el estndar actual de encriptacin de 128-bits, la informacin que enve a cualquier sitio seguro sale de su computadora encriptada. Estos datos podran no cifrada con mucho esfuerzo, pero probablemente no se puede romper en un perodo razonable de tiempo, excepto quizs por la Agencia de Seguridad Nacional (NSA y, hasta el momento 98, como sabemos, no ha mostrado ningn inters en el robo de crdito nmeros de tarjetas de ciudadanos estadounidenses o tratando de averiguar quin est ordenando cintas de vdeo o ropa interior sexy rizado). Estos archivos cifrados en realidad podra ser roto por cualquier persona con el tiempo y los recursos. Pero realmente, qu tonto ira a todo ese esfuerzo para robar un nmero de tarjeta de crdito cuando muchas empresas de comercio

electrnico en el error de almacenar toda su informacin financiera del cliente sin encriptar en sus bases de datos? Peor an, un nmero

de las empresas de comercio electrnico que utilizan un determinado software de base de datos SQL mal compuesto e problema: Lay have nevr changed e default sistema contrasea de administrador para el programa. Cuando tomaron el software de la caja, la contrasea es "nulo", y an as es "nulo" en la actualidad. Por lo tanto el contenido de la base de datos estn disponibles para cualquier usuario de Internet que decide intentar conectar con el servidor de base de datos. Estos sitios estn siendo atacados todo el tiempo y la informacin se roban, sin que nadie se diera cuenta, On Por otra parte, las mismas personas que no van a comprar por Internet porque tienen miedo de que su informacin de tarjeta de crdito robada have ningn problema con la compra de la tarjeta de crdito mismo en una tienda de ladrillo y mortero, o pagar por el almuerzo, la cena o las bebidas con la tarjeta incluso en un bar de la calle de nuevo o restaurante que no tomaran su madre. Recibos de tarjetas de crdito roban de estos lugares todo el tiempo, o pescado de los contenedores de basura en el callejn. Y cualquier empleado sin escrpulos o camarero puede anotar su nombre y la informacin de la tarjeta, o utilizar un aparato fcilmente disponibles en el Internet, un dispositivo de tarjeta de deslizar que almacena los datos de cualquier tarjeta de crdito pasa a travs de l, para su posterior recuperacin. There son algunos de los riesgos a las compras en lnea, pero es probable que sea tan seguro como comprar en una tienda de ladrillo y mortero. Y las compaas de tarjetas de crdito le ofrecen la misma proteccin cuando utilice su tarjeta en lnea - si cualquier cargo fraudulento se efectuarn en la cuenta, usted es slo responsable de los primeros $ 50. So en mi opinin, el miedo a las compras en lnea es ms que otro fuera de lugar preocu parse. Edgar no vi ninguna de las varias seales reveladoras de que algo andaba mal con este correo electrnico (por ejemplo, el punto y coma despus de la lnea de saludo, y el texto confuso sobre "nuestro servicio al cliente valorado con un servicio excelente"). Hizo clic en el enlace, introducir la informacin solicitada nombre, informacin de tarjeta de direccin, nmero de telfono y de crdito - y se sent. atrs para esperar a que el crdito de cinco dlares para aparecer en su prximo proyecto de ley de tarjetas de crdito. Lo que apareci en su lugar haba una lista de cargos por artculos que nunca compr. LaCon el nalyzing Edgar se haba dejado engaar por una estafa de Internet comn. Es una estafa que viene yon una gran variedad de formas. Uno de ellos (que se detallan en el captulo 9) consiste en una pantalla de inicio de sesin seuelo creado por el atacante que

parece idntico a la cosa real. La diferencia es que la pantalla falsa no da acceso al sistema de ordenador que el usuario yos tratando de alcanzar, sino que alimenta su nombre de usuario y contrasea al hacker. Edgar se haba dejado engaar por una estafa en la que los ladrones haban registrado un sitio web con el nombre de "paypal-secure.com" - que suena como si hubiera sido un

securpgina electrnica en el sitio de PayPal legtima, pero no lo es. Cuando entr en la informacin de dicho sitio, los atacantes dieron exactamente lo que queramos. Mitnick MENSAJE While no es infalible (sin seguridad es), cada vez que visite un sitio que pide information you consir private, always garantie THAt e connection se autenticand y cifrado. Y an ms importante, no automticamente, haga clic en S en cualquier cuadro de dilogo que puede indicar un problema de seguridad, como por ejemplo un certificado no vlido, caducado o revocado digital. VARIATIONS EN LA VARIACIN Cuntas otras formas hay para engaar a los usuarios para que ir a un falso Web sitio donde proporcionan informacin confidencial? No creo que alguien tiene una respuesta vlida, exacta, pero "mucho, mucho" servir al propsito. El eslabn perdido Ene truco aparece regularmente: El envo de un correo electrnico que ofrece un motivo tentador visita sitio, y proporciona un enlace para ir directamente a ella. Salvo que el enlace no te lleva al sitio que crees que vas a, ya que el vnculo en realidad slo se asemeja a un enlace para ese sitio. He aqu otro ejemplo de pastel que en realidad ha sido utilizado en Internet, tambin implica el mal uso del nombre de PayPal: www. PayPai. com Lata mirada rpida, esto se ve como si dice PayPal. Incluso si los avisos de las vctimas, se puede pensar que es slo un ligero defecto en el texto que hace que el "yo" de la mirada de Pal como una "i". Y quin se dara cuenta a simple vista que: www. PayPal. com utiliza el nmero 1 en lugar de una letra L minscula? Hay bastante gente que acepta faltas de ortografa y mala direccin a otros para hacer esta tctica continuamente popular entre los bandidos de tarjetas de crdito. Cuando la gente va al sitio falso, parece que el sitio que esperaban ir, y ellos alegremente ingrese su informacin de tarjeta de crdito. Para configurar uno de estos sustos, un atacante slo necesita registrar el nombre de dominio falso, enviar a sus correos electrnicos, y esperar a que aparezcan los retoos, listo para ser engaado. Yon A mediados de 2002, recib un correo electrnico, al parecer parte de un

envo masivo que se ha caracterizado por ser de "Ebay @ ebay.com."El mensaje que se muestra en la Figura 8.1.

Figure 8,1. El enlace en este o cualquier otro correo electrnico debe ser utilizado con precaucin. ---------------------------------------------------------------------------------------------------------------msg: Usuario eBay Dear, Yot se ha hecho muy notable que otra parte ha sido la corrupcin de su cuenta de eBay y ha violado nuestra poltica de Acuerdo del usuario en la lista: 4. Puja y la compra You est obligado a completar la transaccin con el vendedor si usted compra un artculo a travs de uno de nuestros formatos de precio fijo o al mejor postor, como se describe a continuacin. Si usted es el mejor postor al final de una subasta (cumplen el mnimo de puja correspondiente o requerimientos de encaje) y su oferta es aceptada por el vendedor, usted est obligado a completar la transaccin con el vendedor, o la operacin est prohibida por la ley o por el presente Acuerdo. Usted recibi este aviso de eBay, ya que ha llegado a nuestra atencin que su cuenta corriente ha provocado interrupciones con otros usuarios de eBay y eBay requiere la verificacin inmediata de su cuenta. Por favor, verifique su cuenta o la cuenta puede llegar a ser desactivada. Haga clic aqu para verificar su cuenta http://error ebay.tripod.com Las marcas comerciales y las marcas mencionadas son propiedad de sus respectivos dueos, eBay y el logotipo de eBay son marcas comerciales de eBay Inc. ------------------------------------------------------------------------------------------------------------------Vctimas que han hecho clic en el enlace fue a una pgina Web que se pareca mucho a una pgina de eBay. De hecho, la pgina estaba bien diseada, con un logotipo de eBay autntica, y en "Examinar", "Vender" y otros vnculos de navegacin que, si se hace clic, se llev al visitante en el sitio de eBay real. Tambin hubo un logotipo de seguridad en la esquina inferior derecha. Para disuadir a la vctima inteligente, el diseador haba utilizado incluso HTML cifrado para ocultar que la informacin proporcionada por el usuario se est enviando. Yot es un ejemplo excelente de un malicioso basado en computadoras ataque de ingeniera social. Sin embargo, no estuvo exenta de varios defectos.

Thmensaje de correo electrnico no estaba bien escrito y, en particular, el prrafo que comienza "Usted recibi esta notificacin" es torpe e inepto (las personas responsables de estos engaos no contratar a un profesional para editar su copia, y eso se nota siempre). Adems, cualquiera que estaba prestando mucha atencin se habra convertido en sospechoso

eBay PayPal pidiendo informacin de los visitantes, no hay razn eBay le pedira a un cliente para obtener esta informacin privada con la participacin de una empresa diferente. Und nadie bien informado sobre el Internet probablemente reconocera que el hipervnculo no se conecta al dominio de eBay, pero a tripod.com, que es un servicio de alojamiento web gratuito. Este fue un claro indicativo de que el correo electrnico no era legtimo. Sin embargo, apuesto a que mucha gente entr en su informacin, incluyendo un nmero de tarjeta de crdito, en esta pgina. NOTA Blancoy son personas autorizadas para registrar nombres de dominio engaosos u inapproprate?. Debido a que con la ley vigente y la poltica en lnea, cualquier persona puede registrar cualquier nombre de sitio que 'an no est en uso. Compaas tratar de luchar contra este uso de las direcciones de imitacin, pero tenga en cuenta lo que est en contra. General Motors expediented suit against un company THAt registeredf ** kgeneralmotors.com (pero sin los asteriscos) y seal la direccin URL del sitio Web de General Motors. GM perdi. Est alerta Las de los usuarios individuales de Internet, todos tenemos que estar alerta, por lo que de manera consciente dECISIN acerca de cundo puede introducir informacin personal, contraseas, nmeros de cuenta, PINs y similares. How muchas personas conoce usted que podra decirte si una pgina de Internet en particular que estn viendo cumple con los requisitos de una pgina segura? Cuntos empleados hay en su empresa sabe lo que debe buscar? Everyone que utiliza el Internet debe saber sobre el pequeo smbolo que aparece a menudo en algn lugar de una pgina Web y se parece a un dibujo de un candado. Ellos deben saber que cuando el cerrojo est cerrado, el sitio ha sido certificado como seguro. Cuando el cerrojo abierto o el icono del candado no se encuentra, el sitio Web no se autentica como genuino, y cualquier informacin transmitida est en el claro - es decir, sin cifrar. CmoAlguna vez, un atacante que logre comprometer privilegios de administrador en un ordenador de la empresa puede ser capaz de modificar o parchear el cdigo del sistema operativo para cambiar la percepcin del usuario de lo que est sucediendo realmente. Por ejemplo, las instrucciones de programacin en el software del navegador que indican certificado digital de un sitio Web no es vlido puede ser modificado para omitir la comprobacin. O el sistema puede ser modificado con algo llamado rootkit, la instalacin de una o

ms puertas traseras en el nivel de sistema operativo, que son ms difciles de detectar.

Una conexin segura autentica el sitio como genuino, y cifra la informacin que se comunica, por lo que un atacante no puede hacer uso de los datos que se interceptadas. Puedes confiar en cualquier sitio Web, incluso uno que utiliza una conexin segura? No, porque el propietario del sitio puede no estar alerta sobre la aplicacin de todos los parches de seguridad necesarios, o forzar a los usuarios o administradores para respetar las buenas prcticas de contrasea. As que no se puede asumir que cualquier sitio supuestamente seguro es invulnerable a los ataques. LINGO Puerta trasera Un punto de entrada encubierta que proporciona una forma secreta a un usuario de calcularr que es desconocido para el usuario. Tambin se utiliza por los programadores mientras que el desarrollo de un programa de software para que puedan entrar en el programa para corregir problemas Secure HTTP (Hypertext Transfer Protocol) o SSL (Secure Sockets Layer) proporciona un mecanismo automtico que utiliza certificados digitales no slo para cifrar la informacin que se enva al sitio remoto, sino tambin para proporcionar autenticacin (una garanta de que usted se est comunicando con la red real sitio). Sin embargo, este mecanismo de proteccin no funciona para los usuarios que no pueden prestar atencin a si el nombre del sitio en la barra de direccin es de hecho la direccin correcta del sitio al que est tratando de acceder. Another problema de seguridad, en su mayora ignorados, aparece como un mensaje de advertencia que dice algo as como "Este sitio no es seguro o el certificado de seguridad ha caducado. Quieres ir a la pgina de todos modos?" Muchos usuarios de Internet no entienden el mensaje, y cuando aparece, simplemente haz clic en Aceptar o S y continuar con su trabajo, sin darse cuenta de que pueden estar en arenas movedizas. Tenga cuidado: En un sitio Web que no utiliza un protocolo seguro, nunca se debe introducir la informacin confidencial, como su direccin o nmero de telfono, tarjeta de crdito o nmeros de cuentas bancarias o cualquier otra cosa que desee mantener en privado. Thomas Jefferson dijo que mantener nuestra libertad requiere "vigilancia eterna". Mantener la privacidad y la seguridad en una sociedad que utiliza la informacin como moneda de cambio exige nada menos. Convertirse Savvy Virus Una nota especial sobre el software de virus: Es esencial para la intranet corporativa, pero also esencial para cada empleado que usa una computadora. Ms all de contar con software antivirus instalado en sus mquinas, los usuarios obviamente necesita tener el software activado (el cual muchas personas no les gusta porque

inevitablemente retrasa algunas funciones del ordenador). Ingenioh software anti-virus que hay otro procedimiento importante tener en

mente, As: Mantener las definiciones de virus actualizadas. A menos que su empresa se cre para distribuir software o actualizaciones a travs de la red para todos los usuarios, cada usuario debe llevar la responsabilidad de la descarga de la ltima serie de definiciones de virus por s solo. Mi recomendacin personal es que todo el mundo establecer las preferencias de software antivirus para que las nuevas definiciones de virus se actualizan automticamente todos los das. LINGO SECURE Sockets Layer Un protocolo desarrollado por Netscape que provee authentication de cliente y servidor en una comunicacin segura en Internet. Simply poner, eres vulnerable a menos que las definiciones de virus se actualizan regularmente. Y aun as, usted todava no est completamente a salvo de virus o gusanos que las empresas de software anti-virus an no conocen o no han publicado an un archivo de patrones de deteccin para. All empleados con privilegios de acceso remotos desde sus computadoras porttiles o computadoras personales que han actualizado el software antivirus y un firewall personal en esas mquinas en un mnimo. Un atacante sofisticado a ver el panorama completo para buscar el eslabn ms dbil, y eso es donde va a atacar. Recordando a las personas con equipos remotos regularmente sobre la necesidad de servidores de seguridad personales y actualizado, el software de virus activo es una responsabilidad de las empresas, ya que no se puede esperar que los trabajadores, directivos, personal de ventas y otros remotas de un departamento de TI recordar los peligros de dejando a sus computadoras sin proteccin. Beyond estos pasos, os recomiendo el uso de los menos comunes, pero no menos importante, los paquetes de software que protegen contra ataques de caballo de Troya, los denominados anti-troyano software. En el momento de escribir estas lneas, dos de los programas ms conocidos son The Cleaner (Www.moosoft.com) Y Troya Defensa Sweep (Www.diamondcs.com.au). Aletaaliado, lo que probablemente es el mensaje de seguridad ms importante de todo para las empresas que no escanear los correos electrnicos peligrosos en el gateway corporativo: Ya que todos tienden a ser olvidadizo o negligente de las cosas que parecen perifrico para conseguir nuestros trabajos realizados, los empleados deben ser record una y otra vez, de diferentes maneras, acerca de no abrir archivos adjuntos de correo electrnico a menos que est seguro de que la fuente es una persona u organizacin que pueden confiar. Adems, la gestin tambin tiene que recordar a los empleados que deben usar software antivirus activo y software anti-troyano que proporciona una proteccin valiosa contra el correo electrnico aparentemente confiable que puede contener una carga destructiva.

Chapter 8 Usi ng La simpata, la culpa y la intimidacin

Las en el Captulo 15, un ingeniero social usa la psicologa de influencia para llevar a su destino para cumplir con su solicitud. Calificados ingenieros sociales son muy hbiles para el desarrollo de un ardid que estimula las emociones, como el miedo, la excitacin, o culpa. Lo hacen mediante el uso de disparadores psicologicos - los mecanismos automticos que llevan a las personas a responder a las peticiones sin un anlisis profundo de toda la informacin disponible. We todos queremos evitar situaciones difciles para nosotros y los dems. Sobre la base de este impulso positivo, el atacante puede jugar en la simpata de una persona, hacer que su vctima se sienta culpable, o usar la intimidacin como arma. Here algunas lecciones de la escuela de posgrado en las tcticas populares que juegan con las emociones. UNA VISITA AL ESTUDIO Have Has notado cmo algunas personas pueden caminar hasta el guardia de la puerta de, say, un saln de un hotel donde alguna reunin, fiesta privada o una funcin de lanzamiento de libro est en marcha, y slo a pie ms all de esa persona sin que se le pidi su boleto o pase? De la misma manera, un ingeniero social puede hablar su camino en lugares que no habra credo posible - como la siguiente historia sobre la industria del cine pone de manifiesto. The Phone Call "Rooficina n Hillyard, se trata de Dorothy ". "Dorothy, Hola. Mi nombre es Kyle Bellamy. Acabo de subir a bordo para trabajar en desarrollo de animacin en el personal Brian Glassman. Ustedes que hacen cosas diferentes aqu ". "Supongo. Nunca he trabajado en cualquier otra pelcula mucho, as que no lo s. Qu puede hacer Que haga por ti? " "To digo la verdad, me siento una especie de estpido. Tengo un escritor a venir esta tarde para una sesin de paso y no s que se supone que debo hablar con l acerca de cmo obtener en el lote. La gente aqu en la oficina de Brian son muy bonitas pero no me gusta seguir molestando, cmo puedo hacer esto, cmo puedo hacer eso. Es como si acaba de empezar la secundaria y no puedo encontrar mi camino al bao. Sabes lo que quiero decir? "

Dorothy se ech a rer. "You quiere hablar con seguridad. Marque 7 y, a continuacin 6138. Si usted recibe Lauren, dgale a su Dorothy dijo que debera tomar buena cuidar de ti. " "Gracias, Dorothy. Y si no puedo encontrar el bao de hombres, puede que le devuelva la llamada "Ellos se ech a rer a ms de la idea, y colg. DaviHistoria d Harold Me encantan las pelculas y cuando me mud a Los Angeles, pens que iba a llegar a meeT Todos los tipos de personas en el mundo del cine y que me llevara a lo largo de a partes y me tienen a almorzar en los estudios. Bueno, yo estaba all para una ao, Yowcomo encender veintisis aos de edad, y lo ms cerca que se puso en marcha fue on e Universal Studios gira con todas las buenas personas de Phoenix y Cleveland. As que finalmente lleg al punto en el que pens, si no me van a invitar, me voy a invitar. Qu es lo que hice. Compr un ejemplar de Los Angeles Times y ley la columna de entretenimiento fora par de das, y escribi los nombres de algunos productores en diferentes estudios. Decid intentar golpear a uno de los grandes estudios primero. So que llam a la centralita y pidi a la oficina de este productor tena read about yon e papel. El secretario respondi que sonaba como el tipo maternal, as que pens que haba tenido suerte, y si era una chica joven que estaba all esperando que ella estara descubierto, Probablemente no me hubiera dado la hora del da. But este Dorothy, que sonaba como si alguien que tuviera un gatito perdido, alguien que me siento por el chico nuevo que se senta un poco abrumado en el nuevo trabajo. Y estoy seguro que tiene el toque justo con ella. No todos los das te tratan de engaar a alguien y te dan ms de lo que pidi. Por piedad, no slo me dio el nombre de una de las personas en materia de seguridad, pero me dijo que deba decirle a la seora que Dorothy quera que me ayudara. Of supuesto que tena previsto utilizar el nombre de Dorothy de todos modos. Esto hizo que fuera an mejor. Lauren abri justo y ni siquiera se molest en buscar el nombre que me dieron para ver si estaba realmente en la base de datos de los empleados.

When me dirig a la puerta de la tarde, no slo tena mi nombre en la lista de visitantes, que incluso tena una plaza de aparcamiento para m. Tena un almuerzo tarde en la comisara, y vag por el lote hasta el final del da. Incluso se col en un par de estudios de sonido y los vio pelculas. No sale hasta las 7. Fue uno de los das ms emocionantes jams.

LaCon el nalyzing Everybody era un empleado nuevo una vez. Todos tenemos recuerdos de lo que en primer lugar day era como, sobre todo cuando ramos jvenes e inexpertos. As que cuando un nuevo empleado le pide ayuda, l puede esperar que muchas personas especialmente de nivel bsico people - se acordar de su propio nuevo chico en el bloque-, sentimientos y hacen todo lo posible para echar una mano. El ingeniero social lo sabe, y l entiende que l puede utilizar para jugar en las simpatas de sus vctimas. We que sea demasiado fcil para los de afuera a Con su manera en nuestra empresa plantas y oficinas. Incluso con guardias en las entradas y en los procedimientos de inicio de sesin para cualquier persona que no sea un empleado, cualquiera de varias variaciones en el ardid utilizado en this historia permitir a un intruso obtener un pase de visitante y caminar a la derecha adentro Y yof su empresa requiere que los visitantes sern escoltados? Esa es una buena regla, pero es slo efectivo si sus empleados son realmente conscientes de detener a cualquier persona con o sin un pase de visitante que se encuentra en el propio, ya interrogarlo. Y luego, si las respuestas no son satisfactorias, sus empleados tienen que estar dispuestos a comunicarse con el Seguro. MakinG Es demasiado fcil para los de afuera a hablar su manera en sus instalaciones pone en peligro la informacin confidencial de su empresa. En el clima actual, con la amenaza de ataques terroristas que pesan sobre nuestra sociedad, es algo ms que la informacin que podra estar en riesgo. "DO IT NOW" No todo el que utiliza tcticas de ingeniera social es un ingeniero social pulido. Anybody con un conocimiento ntimo de una empresa en particular puede volverse peligroso. El riesgo es an mayor para cualquier empresa que tiene en sus archivos y bases de datos cualquier informacin personal de sus trabajadores, los cuales, por supuesto, la mayora de las empresas hacer. Blancotrabajadores de bao no estn educados o capacitados para reconocer los ataques de ingeniera social, la gente determinada como la despechada seora en la siguiente historia puede hacer cosas que las personas ms honestas que creen imposible. La historia de Doug Cosas no se haba ido del todo bien con Linda de todos modos, y supe tan pronto como Conoc a Erin que ella era la nica para m. Linda es, como, un poco ... Bueno, algo no exactamente inestable pero ms o menos puedes ir por las paredes cuando

ella se enoja. Le dije que lo ms suave que pude que tena que salir, y me ayud a empacar y dejaron que la llevara a un par de CDs Queensryche que eran realmente mo. Tan pronto como se hubo ido me fui a la ferretera de un nuevo bloqueo Medico para poner en la puerta principal y lo puso en la misma noche. A la maana siguiente llam por telfono company, y los hizo cambiar mi nmero de telfono, y lo hizo sin publicar.

That me dej perseguir Erin.

libre

para

Linda 's Story Yo estaba listo para salir, de todos modos, yo no haba decidido cundo. Pero a nadie le gusta sentirse rechazado. As que era slo una cuestin de, qu poda hacer para hacerle saber lo que es un idiota que era? Yot No pas mucho tiempo para averiguarlo. Tena que haber otra chica, de lo contrario no se me envi de embalaje con tanta prisa. As que me gustara esperar un poco y luego empezar a llamarlo tarde en la noche. Ya sabes, todo el tiempo que se lo quiera llamar. Esper hasta el prximo fin de semana y llam a 11 de la noche del sbado. Slo l haba cambiado su nmero de telfono. Y el nuevo nmero era apuntar. Eso slo demuestra qu clase de tipo era el SOB. Yot no era tan grande de un revs. Empec a hurgar entre los papeles que haba conseguido llevar a casa justo antes de irme a mi trabajo en la compaa telefnica. Y all estaba - haba guardado un billete de reparacin de una vez cuando haba un problema con la lnea telefnica a Doug, y enumer la impresin e cable y par para su telfono. Vea, usted puede cambiar su nmero de telfono alTe quiero, pero usted todava tiene el mismo par de hilos de cobre que va desde su casa to e telefonoe company switching oficina, called e Central OficinaO CO El conjunto de cables de cobre de cada casa y apartamento es identificados por estos nmeros, llamados el cable y par. Y si usted sabe cmo thempresa e telfono hace cosas que yo hago, sabiendo cable del objetivo y el par es todo lo que necesita saber el nmero de telfono. Tena una lista con todos los datos objetores de conciencia en la ciudad, con sus direcciones y nmeros de telfono. Busqu el nmero del CO en el barrio donde Yo utilizard vivir con Doug el tirn, y llam, pero, naturalmente, no haba nadie. Dnde est el guardagujas cuando realmente lo necesitas? Me llev todo sobre veinte segundos para llegar a un plan. Empec a llamar a su alrededor para la other COs y la aletaaliarse encuentra a un chico. Pero l estaba a kilmetros de distancia y que era probable que sitting ere con los pies hacia arriba. Yo saba que l no quiere hacer lo que sea necesario. Yo estaba listo con mi plan. "This es Linda, Centro de Reparaciones ", le dije." Tenemos una emergencia. Servicio para un paramunidad edic ha bajado. Tenemos un tcnico de campo tratando de

restablecer el servicio, pero no puede encontrar el problema. Necesitamos que ir en coche a la CO Webster inmediatamente y ver si tiene tono de marcar salir de la oficina central ". Und entonces yo le dije: "Te llamo cuando llegue all", porque, por supuesto, Yo couldn 't lo han llamando al Centro de Reparacin y preguntando por m.

Yo saba que l no querra dejar la comodidad de la oficina central para Bundle hasta und ir hielo raspado de su parabrisas y la unidad a travs del aguanieve por la noche. Pero era una emergencia, as que no podra decir exactamente que estaba muy ocupado. When lo alcanc cuarenta y cinco minutos ms tarde en el CO Webster, le dije a check cable de 29 pares 2481, y se acerc a la llama y comprueba y le dijo: S, hubo tono de marcado. Lo que por supuesto que ya saba. So entonces me dijo: "Bueno, yo necesito que hagas un LV", que significa verificacin de lnea, que se le pide que identifique el nmero de telfono. Lo hace por dialing unspecial nmero que vuelve a leer el nmero que es llamado desde. l doesn 't know nada sobre si se trata de un nmero privado o que est justbeen cambiado, as que hizo lo que le ped y o el nmero que se anuncian a travs de su equipo de prueba del instalador de lneas. Hermosa. Todo haba funcionado a las mil maravillas. Le dije: "Bueno, el problema debe estar en el campo", como si supiera la,, umber todo el tiempo. Le di las gracias y le dije que nos volveramos a seguir trabajando en ella, y dijo buenas noches.

Mitnick MENSAJE Oncea ingeniero social sabe cmo funcionan las cosas en el interior de la empresa en cuestin, se becomes fcil de usar ese conocimiento para desarrollar una buena relacin con los empleados legtimos. Las empresas deben prepararse para los ataques de ingeniera social de currenempleados o ex t que pueden tener un inters personal. Verificacin de antecedentes mamy ser til para eliminar a las perspectivas que pueden tener una propensin hacia este tipo de comportamiento. Pero en la mayora de los casos, estas personas sern extremadamente difciles de detectar. La nica salvaguardia razonable en estos casos es hacer cumplir y los procedimientos de auditora para la verificacin de identidad, incluyendo la situacin laboral de la persona, antes de to divulgar cualquier informacin a nadie personalmente, no sabe que an con la empresa. So mucho para que Doug y tratando de esconderse de m detrs de un nmero privado. La diversin estaba a punto de comenzar. LaCon el nalyzing Thdama joven e en esta historia fue capaz de obtener la informacin que quera

llevar a cabo su venganza porque ella tena conocimiento interno: los nmeros de telfono, los procedimientos y la jerga de la compaa telefnica. Con ella no slo fue capaz de descubrir un nuevo nmero de telfono que no, pero fue capaz de hacerlo en medio de una noche de invierno, el envo de un guardagujas telfono persiguiendo al otro lado de la ciudad para ella.

"MR. BIGG QUIERE ESTO" Una forma popular y altamente eficaz de intimidacin - popular en gran medida porque es muy simple - se basa en la influencia en el comportamiento humano mediante el uso de la autoridad. Slo el nombre del asistente en la oficina del director general puede ser valiosa. Los investigadores privados e incluso la cabeza cazadores hacen esto todo el tiempo. Van a llamar a la operadora y dicen que quieren estar conectados a la oficina del CEO. Cuando la secretaria o asistente ejecutivo respuestas, ellos dicen que tienen un documento o paquete para el director general, o si se enva un archivo adjunto de correo electrnico, se le imprimirlo? O si no van a preguntar, cul es el nmero de fax? Y por cierto, cmo te llamas? Lan que llame a la siguiente, y decir: "Jeannie en el despacho del seor Bigg me dijo que te llame para que me puedas ayudar con algo." Thtcnica e se pronunci el nombre-que caen, y se utiliza generalmente como un mtodo para establecer rpidamente entendimiento influyendo en el destino para creer que el atacante se conecta con alguien en autoridad. Un destino es ms probable que lo haga un favor a alguien que conoce a alguien que conoce. Yof el atacante tiene sus ojos puestos en la informacin altamente sensible, puede utilizar este tipo de enfoque para despertar emociones tiles en la vctima, como el temor a meterse en problemas con sus superiores. He aqu un ejemplo. Scott 's Story "Scott Abrams." "Scott, este es Christopher Dalbridge. Acabo de hablar por telfono con el Sr. Biggley, y l es ms que un poco triste. l dice que envi una nota hace diez das que ustedes iban a obtener copias de toda su investigacin penetracin en el mercado a nosotros para su anlisis. Nunca nos dieron nada ". "Markeinvestigacin penetracin t? Nadie me dijo nada al respecto. Qu departamento se encuentra? " "We'rea firma consultora que contrat, y ya estamos retrasados. "" Escucha, I 'Slo estoy en mi camino a una reunin. Djame tu nmero de telfono y. . . " The atacante ahora sonaba justo antes de realmente frustrado: "Es eso lo you quiere que le diga el Sr. Biggley?! Oye, espera que el anlisis por maana por la maana y tenemos que trabajar en ello esta noche. Ahora, quieres que le diga

que

couldn 't hacerlo porque no pudimos conseguir el informe de usted, o quiere que le diga que usted? ". Un CEO enojado puede arruinar su semana. El objetivo es probable que decida que tal vez esto es algo que mejor tener cuidado de antes de ir a esa reunin. Una vez ms, el ingeniero social ha presionado el botn derecho para obtener la respuesta que quera. LaCon el nalyzing Thardid e intimidacin por parte de la autoridad de referencia funciona especialmente bien si el other persona est en un nivel bastante bajo en la empresa. El uso del nombre de una persona importante, no slo supera reticencia normal o sospecha, pero a menudo makes la persona con ganas de agradar, el instinto natural de querer ser til es multiplied cuando se piensa que la persona que est ayudando es importante o influyente. The ingeniero social sabe, sin embargo, que es mejor cuando se ejecuta este engao especial para utilizar el nombre de alguien en un nivel superior al propio jefe de la persona. Y esta tctica es difcil de usar dentro de una organizacin pequea: El atacante no quiere que su vctima en hacer un comentario oportunidad el vicepresidente de marketing. "Envi a cabo el plan de marketing de producto de que tena que llamarme to trata", pueden fcilmente producir una respuesta de "plan de marketing Qu? Qu tipo?" Y eso podra conducir al descubrimiento de que la empresa ha sido vctima. MITNICKS MENSAJE Intimidation puede crear un miedo al castigo, influenciar a la gente a cooperar. Intimidation Tambin puede aumentar el temor a la vergenza o de ser descalificado de esa nueva promocin. Las personas deben ser entrenados que no es slo aceptable, pero se espera para desafiar authority cuando la seguridad est en juego. Formacin Informacin de seguridad debe incluir ensear a la gente a desafiar la autoridad en formas favorables para el cliente, sin daar las relaciones. Por otra parte, esta expectativa debe ser apoyada desde arriba hacia abajo. Si un empleado no va a ser una copia de seguridad para las personas difciles, independientemente de su estado, la reaccin normal es frenar difcil - justo lo contrario de lo que quieres. WHAT LA ADMINISTRACIN DEL SEGURO SOCIAL SOBRE USTED SABE We gusta pensar que las agencias gubernamentales con LES en nosotros mantener la informacin Safely encerrado lejos de la gente sin una autntica necesidad de saber. La

realidad es que incluso el gobierno federal no es inmune a la penetracin como nos gustara to imaginar.

MamLlamada de telfono y Linn Place: La oficina regional de la Administracin del Seguro Social Hora: 1 0:1 08 a.m., jueves por la maana "Mod Tres. Se trata de mayo Linn Wang ". Thvoz e en el otro extremo del telfono sonaba apologtica, casi tmido. "La Sra. Wang, este es Arthur Arondale, en la Oficina del Inspector General. Puedo llamar 'May'? "Es'May Linn' s ", dijo. "Bueno, Es como este, May Linn. Tenemos a un chico nuevo en que aqu no hay equipo para todava, y ahora l tiene un proyecto prioritario y est usando la ma. Somos el gobierno de los Estados Unidos, para llorar en voz alta, y dicen que no tienen suficiente dinero en el presupuesto para comprar un equipo para que este tipo de uso. Y ahora mi jefe piensa que estoy cayendo detrs y no quiere escuchar ninguna excusa, you know? " "Yo s lo que quieres decir, est bien. " "Can Me pueden ayudar con una investigacin rpida sobre MCS ", se pregunt, utilizando el nombre del sistema informtico para buscar informacin sobre los contribuyentes. "Claro, What'cha necesito? " "ThLo primero que e necesito que hagas es un ALPHADENT sobre Joseph Johnson, fecha de nacimiento 7/4/69."(ALPHADENT significars a have la bsqueda electrnica de una cuenta alfabticamente por el nombre del contribuyente, precisado por fecha de nacimiento). Tras una breve pausa, pregunt: "Qu necesitas saber?" "Qen casa de su nmero de cuenta? ", dijo, usando la informacin privilegiada de shorthand para el nmero de seguro social. Ella lo ley.

"Est bien, necesito que hagas un numident en ese nmero de cuenta", dijo la persona que llama. Esa fue una peticin para que ella ley los datos de los contribuyentes bsicos y mayo de Linn respondi dando lugar del contribuyente de nacimiento, nombre de soltera de su madre, y el nombre del padre. La persona que llama escucha pacientemente mientras ella tambin le dio el mes y el ao de emisin de la tarjeta, y la oficina del distrito de su emisin por. He next asked for un DEQY. (Pronunciad "consulta detallada ganancias.") "DECK-wee," ess short

Thsolicitud e DEQY trajo la respuesta: "Porque qu ao?" El interlocutor contest: "Ao 2001". MamLinn y dijo: "La cantidad era $ 190.286, el pagador era Johnson MicroTech". "Los salarios de otros?" "No." "Gracias,"Dijo." Usted ha sido muy amable. " Lan trat de organizar a llamarla cada vez que necesitaba informacin y no pudo llegar a su ordenador, utilizando de nuevo el truco favorito de los ingenieros sociales de siempre tratando de establecer una connection para que pueda seguir yendo a la misma persona, evitando la molestia de tener que encontrar una nueva marca cada vez. "No es la prxima semana", le dijo ella, porque ella iba a Kentucky para la boda de su hermana. " En cualquier otro momento, ella hara lo que pudiera. When ella colg el telfono, May Linn sent bien de que ella haba sido capaz de ofrecer una pequea ayuda a un compaero funcionario pblico apreciado.

Historia de Keith Carter To juez de las pelculas y de las novelas ms vendidas del crimen, una organizacin privada investigator es corto y largo plazo sobre la tica en el conocimiento de cmo obtener los datos jugosos sobre las personas. Lo hacen mediante el uso de mtodos ilegales a fondo, mientras que apenas hombreenvejecimiento para evitar ser arrestado. La verdad, por supuesto, es que la mayora de los inhibidores de la proteasa gestin de empresas totalmente legtimos. Debido a que muchos de ellos comenzaron su vida laboral como jurados oficiales de la ley, ellos saben perfectamente bien lo que es legal y lo que no, y la mayora no se ven tentados a cruzar la lnea. There son, sin embargo, excepciones. Algunos Pis - ms de unos pocos - de hecho encaja en el molde de los chicos en las historias de crmenes. Estos chicos son conocidos en el mercado como agentes de informacin, un trmino corts para las personas que estn dispuestas a romper las reglas. Ellos saben que pueden conseguir cualquier trabajo hecho mucho ms rpido y mucho ms fcil si se toman algunos accesos directos. Que estos atajos resultan ser delitos mayores potenciales que pudieran aterrizar tras las rejas por unos cuantos aos, no parece disuadir a los ms inescrupulosos. Meanwhile los inhibidores de la proteasa de lujo - los que trabajan fuera de una suite de oficina de lujo en una zona de alta renta de la ciudad - no hacer este tipo de trabajo ellos mismos. Ellos simplemente contratar a algn agente de

informacin que lo haga por ellos. Thtipo e llamaremos Keith Carter era el tipo de detective privado sin el estorbo de la tica.

Yot es un caso tpico de "Dnde se esconde el dinero?" O a veces es "Dnde est ella escondiendo el dinero?" A veces era una seora rica que quera saber dnde estaba su marido haba escondido su dinero (aunque por qu una mujer se casa con el dinero nunca fue un tipo sin un enigma Keith Carter se pregunt acerca de vez en cuando, pero nunca haba encontrado una buena respuesta para). Yon este caso el marido, que se llamaba Joe Johnson, fue el mantener el dinero en el hielo. l "era un tipo muy inteligente que haba creado una empresa de alta tecnologa con diez mil dlares que le prest la familia de su esposa y se instalan en una empresa de cien millones de dlares. Segn su abogado de divorcio, l haba hecho un trabajo impresionante de ocultar su activos, y el abogado queran un resumen completo. Keith imaginaba que su punto de partida sera la Administracin del Seguro Social, dirigido a sus archivos en Johnson, que se llena de informacin muy til para una situacin como esta. Armado con su informacin, Keith poda pretender ser el objetivo y lograr que los bancos, casas de bolsa e instituciones offshore para decirle todo. Holacall s primer telfono fue a una oficina de distrito local, utilizando el mismo nmero 800 que cualquier miembro de los usos pblicos, el nmero que aparece en la gua telefnica local. Cuando un empleado se puso al telfono, Keith pidi ser conectado con alguien en las reivindicaciones. Otra espera, y luego una voz. Ahora Keith cambi de marcha, "Hola", comenz diciendo. "Se trata de Gregory Adams, Oficina del Distrito 329. Escucha, estoy tratando de llegar a un ajustador de seguros que maneja un nmero de cuenta que termina en 6363, y el nmero que va a tener una mquina de fax. " "Esos Mod 2, "dijo el hombre. Mir el nmero y se lo dio a Keith. Next llam Mod 2. Cuando May Linn respondi l cambi sombreros y pasamos por la rutina de estar en la Oficina del Inspector General, y el problema de otra persona tener que utilizar su ordenador. Ella le dio la informacin que estaba buscando, y accedi a hacer lo que pudo cuando necesitaba ayuda en el futuro. LaCon el nalyzing Qut hizo este planteamiento eficaz fue la jugada en la simpata de los empleados con e historia de otra persona utilizando su ordenador y "mi jefe no est contento conmigo". La gente no mostrar sus emociones en el trabajo muy a menudo, y cuando lo hacen, es posible roll derecho de otra persona a travs de las defensas comunes contra la ingeniera social ataques. La tctica emocional de "estoy en problemas, no me ayudas?" fue todo lo que necesit para ganar el da.

Inseguridad Social Increblemente, La Administracin del Seguro Social ha publicado una copia de la totalidad de su PrograManual de Operaciones m en la web, repleta de informacin que es til para su pueblo, pero tambin es increblemente valioso para los ingenieros sociales. Contiene abbreviations, jerga, e instrucciones sobre cmo solicitar lo que desee, como se describe en esta historia. Whormiga para obtener ms informacin sobre el interior de la Administracin del Seguro Social? Slo tienes que buscar en Google o introduzca la siguiente direccin en su navegador: http://policy.ssa.gov / poms.nsf/. A menos que la agencia ya ha ledo esta historia y se retira el manual para cuando usted lea esto, que usted encontrar en lnea instrucciones que incluso dan informacin detallada sobre los datos de un empleado de la SSA se le permite dar a las fuerzas del orden. En trminos prcticos, esto incluye cualquier comunidad ingeniero social que puede convencer a un empleado de SSA que es de una organizacin policial. El atacante no podra haber tenido xito en la obtencin de esta informacin de uno de los oficiales que maneja las llamadas telefnicas del pblico en general. El tipo de ataque Keith utilizado slo funciona cuando la persona en el extremo receptor de la llamada es alguien cuyo nmero de telfono no est disponible para el pblico, y que por lo tanto tiene la expectativa de que nadie debe ser llamado a alguien en el interior - otro ejemplo de la taberna clandestina seguridad ". Los elementos que contribuyeron a este ataque a los trabajos incluidos: Knowing el nmero de telfono al Ministerio de Defensa. Knowing la terminologa que utiliza - numident, ALPHADENT y DEQY. Fingiendog provenir de la Oficina del Inspector General, que cada empleado del gobierno federal conoce como una agencia de investigacin de todo el gobierno con amplios poderes. Esto le da al atacante un aura de autoridad. Ensidelight e interesante: los ingenieros sociales parecen saber cmo hacer peticiones para que casi nadie piensa, "Por qu me llamas '- an cuando, lgicamente, hubiera tenido ms sentido si la llamada se haba ido a alguna otra persona. un departamento completamente diferente. Tal vez simplemente ofrece una ruptura en la monotona de la rutina diaria para ayudar a la persona que llama que los descuentos a las vctimas lo inusual de la llamada parece. Finalmente, El atacante en este incidente, no est satisfecho con la obtencin de la informacin slo para el caso que nos ocupa, quera establecer un contacto que poda llamar en forma regular. El otro modo podran haber sido capaces de utilizar una tctica comn para el ataque de simpata -. "Se me cay el caf en mi

teclado" Eso no era bueno aqu, sin embargo, porque el teclado se puede sustituir en un da. Hcia us la historia de otra persona usando su computadora, lo que pudo reasonably cadena durante semanas: "S, pens que iba a tener su propia computadora

yesterday, pero entr y otro tipo sac algn tipo de acuerdo y lo consigui en su lugar. As que este payaso sigue apareciendo en mi cubculo. "Y as sucesivamente. Pobre de m, necesito ayuda. Funciona como un encanto. UNA SIMPLE LLAMADA Ene de los obstculos principales de un atacante es hacer que su sonido peticin razonable something tpico de las solicitudes que se presentan en el da de trabajo de la vctima, algo que no ponga a la vctima de forma exagerada. Al igual que con muchas otras cosas en la vida, lo que hace un sonido solicitud lgica puede ser un reto, un da, pero el siguiente, que puede ser un pedazo de pastel. Mary Call H Telfono Fecha / hora: Lunes, 23 de noviembre, 7:49 A.M. Place: Mauersby & Accounting Storch, Nueva York Tmayora de las personas o, el trabajo de contabilidad es procesamiento de nmeros y el conteo de frijol, por lo general visto como casi tan agradable como tener un tratamiento de conducto. Afortunadamente, no todo el mundo ve la obra de esa manera. Mary Harris, por ejemplo, encontr su trabajo como contador principal absorbente, parte de la razn por la que fue uno de los empleados de contabilidad ms dedicados a su firm e. On este lunes en particular, Mary lleg temprano para conseguir una ventaja en lo que ella espera que sea un da largo, y se sorprendi al encontrar a su telfono sonando. Lo cogi y le dio su nombre. "Hola, Se trata de Peter Sheppard. Estoy con Soporte Arbuclde, la empresa que hace de soporte tcnico para su empresa. Hemos registrado un par de quejas sobre el fin de semana de la gente que tiene problemas con las computadoras all. Pens que podra solucionar antes de todo el mundo viene a trabajar esta maana. Tiene algn problema con el ordenador o la conexin a la red? " She le dijo que no lo saba an. Volvi la computadora y mientras se iniciaba, me explic lo que quera hacer.

"Me gustara hacer un par de pruebas con usted, dijo. "Soy capaz de ver en la pantalla las pulsaciones de teclado que escribe, y quiero hacer seguro de que van a travs de la red correctamente. As que cada vez que escriba un derrame cerebral, quiero que me digas lo que es, y yo Veremos si la misma letra o nmero que aparece aqu. De acuerdo? "

Ingenioh visiones de pesadilla de su ordenador no funciona y un da frustrante de no ser capaz de conseguir cualquier trabajo hecho, estaba ms que feliz de tener a este hombre que la ayudara. Despus de unos momentos, ella le dijo: "Tengo la pantalla de inicio de sesin, y yo voy a escribir mi nombre yo estoy escribiendo ahora -. M ... A. .. R. .. Y.. . D. " "Great hasta el momento ", dijo." Estoy viendo que aqu. Ahora, seguir adelante y escriba su contrasea pero no me digas lo que es. Nunca le digas a nadie tu contrasea, ni siquiera soporte tcnico. Voy a ver asteriscos aqu - la contrasea est protegido por lo que no se ve ': Nada de esto era cierto, pero tena sentido a Mara.. Y entonces l dijo: "Quiero saber una vez que su ordenador se ha puesto en marcha". When me dijo que estaba en marcha, que tena su abierto dos de sus aplicaciones, y se inform que se puso en marcha "muy bien". Estropeary se sinti aliviado al ver que todo pareca estar funcionando normalmente. Pedro dijo: "Me alegro de haber podido asegurarse de que usted ser capaz de utilizar el equipo est bien. Y escucha", continu, "nos acaba de instalar una actualizacin que permitir a la gente a cambiar sus contraseas. Estara usted dispuesto a tomar un par de minutos conmigo para que yo pueda ver si tengo trabajo no? She estaba agradecida por la ayuda que le haba dado y de acuerdo fcilmente. Pedro le habl a travs de los pasos de poner en marcha la aplicacin que permite a los usuarios cambiar las contraseas, un elemento estndar del sistema operativo Windows 2000. "Adelante, ingrese su contrasea", le dijo. "Pero recuerda que no debes decirlo en voz alta." When que ella haba hecho eso, Pedro dijo: "Slo por esta prueba rpida, cuando se le pide su contrasea nueva, escriba 'test123. A continuacin, vuelva a escribirla en el cuadro de verificacin y haga clic en Enter ". He la acompa a travs del proceso de desconexin del servidor. La tena que esperar un par de minutos, a continuacin, conecte de nuevo, esta vez intentando iniciar sesin con su nueva contrasea. Funcion a las mil maravillas, Peter pareca muy contento, y habl a travs de su cambio de nuevo a su clave original o elegir uno nuevo - una vez ms su advirtiendo acerca de no decir la contrasea en voz alta. "Bueno, Mara: "Pedro le dijo." No encontramos ningn problema, y eso es genial. Escucha, si hay algn problema no aparecen, simplemente llmenos por aqu en Arbuckle. Normalmente estoy en proyectos especiales, pero alguien aqu que las respuestas pueden ayudarte. "Ella le dio las gracias y se despidieron. La historia de Pedro

Thpalabra e haba tenido tiempo de Peter - un nmero de las personas en su comunidy que haba ido a la escuela con l haba odo que se convirti en una especie

ofa genio de las computadoras, que a menudo pueden encontrar informacin til que otras personas no podran conseguir. Cuando Alicia Conrad le lleg a pedir un favor, me dijo que no al principio. Por qu debera ayudarte? Cuando se encontr con ella una vez y trat de pedir una cita, ella haba vuelto a l por fro. But su negativa a ayudar a no pareci sorprenderla. Ella dijo que no crea que fuera algo que pudiera hacer de todos modos. Eso fue como un reto, porque por supuesto que estaba seguro de que poda. Y as fue como lleg a acuer do. Alice haban ofrecido un contrato para un trabajo de consultora para una empresa de marketing, pero los trminos del contrato no pareca muy bueno. Antes de que ella regres a comok para un mejor trato, quera saber qu trminos de otros consultores tenido en sus contratos. This es que Pedro nos cuenta la historia. Yo no le dira a Alice, pero me baj en la gente que quiere que yo haga algo que no creo que pueda, cuando yo saba que iba a ser fcil. Bueno, no es fcil, no exactamente, esta vez. Hara falta un poco de hacer. Pero eso estaba bien. Podra mostrarle lo inteligente era realmente todo. Un poco despus de las 7:30 lunes por la maana, llam a las oficinas de la compaa de marketing y nos dieron la recepcionista, me dijo que estaba con la compaa que maneja sus planes de pensiones y necesito hablar con alguien en Contabilidad. Se haba dado cuenta si alguna de las personas de Contabilidad haba llegado todava? Ella dijo: "Creo que vi a Mara entrar hace unos minutos, voy a tratar de usted." Blancoen Mara cogi el telfono, le dije que mi pequea historia acerca de los problemas informticos, que fue diseado para darle el nerviosismo por lo que estara encantado de cooperar. Tan pronto como le haba hablado a travs de cambiar su contrasea, entonces rpidamente iniciado sesin en el sistema con la misma contrasea temporal que le haba pedido que usar, test123. Aqu es donde entra en el dominio - He instalado un pequeo programa que allowed m para tener acceso al sistema informtico de la empresa siempre que quera, utilizando una clave secreta de mi cuenta. Despus de colgar con Mara, mi primer paso fue borrar pista de auditora e incluso para que nadie supiera que haba estado en su sistema. Era

fcil. Despus de elevar mis privilegios del sistema, tuve la oportunidad de descargar un programa gratuito llamado clearlogs que encontr en un sitio web relacionado con la seguridad en www.ntsecurity.nu.

Tiempo para el trabajo real. Hice una bsqueda de todos los documentos con el contrato de palabra "en el nombre de archivo y los archivos descargados Luego busqu un poco ms y entr en la veta madre -.. El directorio que contiene todos los informes de pago de consultores As que junt todo el contrato archivos y una lista de pagos. AlicE podra poros a travs de los contratos y ver la cantidad que estaban pagando otros consultores. Vamos a hacer lo donkeywork de poring a travs de todos esos archivos. Yo hubiera hecho lo que ella me lo pidi. From los discos que puse los datos en, imprim algunos de los archivos, as que could mostrarle la prueba. Le hice mi encuentro y comprar la cena. Deberas haber visto su cara cuando hoje el montn de papeles. "De ninguna manera," ella dijo. "De ninguna manera". No he trado los discos conmigo. Eran el cebo. Me dijo que tendra que venir a conseguirlos, esperando tal vez que ella quiere mostrar su gratitud por el favor que slo ella lo hizo. Mitnick MENSAJE Ess sorprendente lo fcil que es para un ingeniero social para que la gente haga las cosas en base on cmo l las estructuras de la solicitud. La premisa es provocar una respuesta automtica basada en principios psicolgicos y confiar en las personas que toman atajos mentales cuando perciben que la persona que llama como un aliado. LaCon el nalyzing Pedros llamada telefnica a la compaa de marketing representa la forma ms bsica de social ingeniera - un simple intento que necesitan poca preparacin, trabaj en el primer intento, y slo tard unos minutos para llevar apagado. Evan mejor, Mara, la vctima, no tena ninguna razn para pensar que cualquier tipo de truco o treta haba jugado en ella, no hay razn para presentar una denuncia o levantar un alboroto. Thesquema e trabajado a travs del uso de Pedro de tres tcticas de ingeniera social. Primero lleg la cooperacin inicial de Mara mediante la generacin de miedo - hacindole pensar que su equipo podra no ser usable. Luego tom el tiempo para tener su abierto dos de sus aplicaciones para poder estar seguro de que estaban trabajando bien, el fortalecimiento de la relacin entre los dos de ellos, un sentido de ser aliados. Por ltimo, se puso su cooperacin para la parte esencial de su tarea, jugando con su gratitud por la ayuda que haba prestado en asegurarse de que su ordenador estaba bien.

By le deca que ella nunca debe revelar su contrasea, no debe revelar incluso a l, Pedro hizo un buen trabajo pero sutil de convencerla de que le preocupaba

about la seguridad de los archivos de la compaa. Esto increment su confianza en que l debe ser legtimo porque estaba protegindola y la empresa. THPOLICA E RAID Picture esta escena: El gobierno ha estado tratando de tender una trampa a un hombre llamado Arturo Snchez, que ha sido la distribucin de pelculas gratis a travs de Internet. Los estudios de Hollywood dicen que est violando sus derechos de autor, dice que slo est tratando de empujar a reconocer un mercado tan inevitable que van a empezar a hacer algo acerca de hacer nuevas pelculas disponibles para descargar. Seala (correctamente) que esta podra ser una enorme fuente de ingresos para los estudios que parecen ser completely haciendo caso omiso. Orden de registro, por favor Coming casa tarde una noche, comprueba las ventanas de su apartamento desde lado de la calle y las comunicaciones de las luces estn apagadas, a pesar de que siempre deja un sobre cuando sale. Hlibras correos y golpes en la puerta de un vecino hasta que despierte el hombre, y se entera de que haba hecho una redada policial en el edificio. Pero hicieron los vecinos quedarse abajo, y todava no est seguro de lo que pas en apartamento. Slo sabe que dejaron llevar algunas cosas pesadas, slo les envolvi y no poda decir lo que era. Y no pas mucho nadie esposado. Arturo comprueba su apartamento. La mala noticia es que hay un documento de la polica pidiendo que llame inmediatamente y hacer una cita para una entrevista en tres das. La peor noticia es que sus computadoras estn desaparecidos. Larturo se desvanece en la noche, va a quedar con un amigo. Pero la incertidumbre carcome a l. Cunto sabe la polica? Han alcanzado a l en pasado, pero le dej una oportunidad de huir? O se trata de algo completamente distinto, algo que puede aclarar sin tener que salir de la ciudad? Before lea, detngase y piense por un momento: Puede usted imaginar alguna forma de poder saber lo que la polica sabe de ti? Suponiendo que usted no tiene contactos polticos o amigos en el departamento de polica o la fiscala s, te imaginas hay alguna manera de que usted, como un ciudadano comn, podra obtener esta informacin? O que incluso alguien con habilidades de ingeniera social podra? Estafa de la Polica Larturo satisfecho su necesidad de conocer la siguiente manera: En primer lugar, se puso el telfono

Number para una tienda de fotocopias cercana, los llam, y les pidi su nmero de fax.

Entonces l llam a la oficina del fiscal del distrito, y pidi Records. Cuando l estaba conectado con la oficina de registros, se present como un investigador de Lake County, y dijo que necesitaba hablar con el empleado que presente las rdenes de registro activo. "S", dijo la seora. "Oh, muy bien", respondi. "Debido a que asaltaron anoche un sospechoso y estoy tratando de localizar la declaracin jurada". "Les presentar por direccin", le dijo. He dio su direccin, y su voz sonaba casi emocionado. "Oh, s", burbujea ella, "yo know sobre eso. "El autor Caper '". "EsoEs la elegida ", dijo." Estoy buscando la declaracin jurada y la copia de la orden judicial. "Oh, lo tengo aqu mismo." "Gran", Dijo." Escucha, estoy en el campo y tengo una reunin con el Servicio Secreto en este caso, si yo quince minutos. He estado tan distrado ltimamente, dej el archivo en su casa, y nunca voy a hacerlo de ida y vuelta en el tiempo. Puedo obtener copias de ti? " "Claro, No hay problema. Voy a hacer copias;. Puede venir a la derecha por encima y recogerlos "" Fantstico ", dijo" Eso es genial.. Pero escucha, estoy en el otro lado de la ciudad. Es posible puede enviarlos por fax a m? " That creado un pequeo problema, pero no insuperables. "No tenemos un fax hasta aqu en los registros", dijo. "Pero tienen una planta baja en la oficina del secretario puede ser que me deja utilizar". l dijo: "Voy a llamar a la oficina del secretario y la levant". ThLady E en la oficina del secretario dijo que estara encantado de cuidar de ella, pero quera saber "Quin va a pagar por ello?" Ella necesitaba un cdigo contable. "Voy a por el cdigo y te llamo de vuelta ", le dijo. Luego llam a la oficina del fiscal del distrito, de nuevo se identific como agente de polica y simplemente le pedimos al recepcionista: "Cul es el cdigo de contabilidad de la oficina del fiscal del distrito?" Sin dudarlo, le dijo.

Calling regresar a la oficina del Secretario de proporcionar el nmero de contabilidad le dio la excusa para manipular a la dama un poco ms all: l la convenci para caminar upstairs para obtener las copias de los documentos a enviar por fax.

NOTA How hace un ingeniero social conocer los detalles de la operacin tantas - La polica departamdres, los fiscales, las prcticas de las oficinas de la compaa telefnica, la organizacin de concreto borradoranies THAt unre yon campos nosotroseful yon Holas unttacks, xitoh como tELECOMUNICACIONES y las computadoras? Porque es su negocio para averiguarlo. Este conocimiento es una accin ingenieros social en el comercio ya que la informacin puede ayudarle en sus esfuerzos por engaar. Covering His Larturo todava tena un par de pasos a tomar. Siempre haba una posibilidad de que alguien huele algo raro, y podra llegar a la tienda de copia de encontrar un par de detectives, vestido de manera informal y tratando de parecer ocupado hasta que alguien apareci pidiendo que el fax particular. Esper un rato, y luego llam a la oficina del Secretario de nuevo para comprobar que la dama haba enviado el fax. Bien hasta ahora. He llam a otro de almacenamiento de copias de la misma cadena en la ciudad y utiliz la estratagema de cmo l estaba "satisfecho con su manejo de un trabajo y desea escribir al gerente una carta de felicitacin, cul es su nombre?" Con esa pieza esencial de informacin, llam a la tienda de la primera copia de nuevo y dijo que quera hablar con el gerente. . Cuando el hombre cogi el telfono, Arturo dijo: "Hola, soy Edward en la tienda 628 en Hartfield Mi gerente, Anna, me dijo que te llamara Tenemos un cliente que es todo molesto -. Alguien le dio el fax nmero de la tienda equivocada. Est aqu esperando un fax importante, slo el nmero que le dieron es para su tienda. " El director prometi que uno de los suyos localizar el fax y enviarlo al almacn de Hartfield inmediatamente. Larturo ya estaba esperando en la tienda de segunda cuando el fax lleg all. Una vez que lo tena en la mano, volvi a llamar a la oficina del Secretario de decir gracias seora, y "Es"No s necesario traer esas copias al piso de arriba, puedes tirar a la basura ahora". Luego llam a la gerente de la primera tienda y le dijo, tambin, para tirar su copia del fax. De esta manera no habra ser cualquier registro de lo que haba ocurrido, por si acaso alguien ms tarde dio la vuelta haciendo preguntas. ingenieros sociales sabe que nunca puede ser demasiado cuidadoso. Organizard esta manera, Arturo no tena ni siquiera para pagar los gastos en la tienda de la primera copia para recibir el fax y enviarlo de nuevo a la tienda de segunda. Y si resulta que la polica se present en la primera tienda, Arturo ya tendra su fax y se han ido por el tiempo que podra hacer arreglos para que la gente a la segunda ubicacin. Thfinal e de la historia: La declaracin jurada y autorizacin mostraron que la

polica tena pruebas bien documentadas de Arturo copiado de pelculas actividades. Eso era lo que l

needed saber. Hacia la medianoche, haba cruzado la frontera del estado. Arturo estaba en camino a una nueva vida, en otro lugar, con una identidad nueva, lista para empezar de nuevo en su campaa. LaCon el nalyzing Thpersonas e que trabajan en cualquier oficina del fiscal de distrito, en cualquier lugar, estn en constante contacto wi ley enforcement deficers- Responder preguntas, momando rgimen, teniendo en mensajes. Cualquier persona con agallas suficientes para llamar y decir que es un oficial de polica, diputado sheriff, o lo que es probable que se toma la palabra. A menos que sea obvio que l no conoce la terminologa, o si est nervioso y trastabillars sobre sus palabras, o de alguna otra manera no suena autntico, ni siquiera se le puede pedir a una sola pregunta para verificar su reclamo. Eso es exactamente lo que pas aqu, con dos diferentes trabajad ores. Mitnick MENSAJE The verdad del asunto es que nadie es inmune a ser engaados por un bien social ingeniero. Debido al ritmo de vida normal, no siempre se toman el tiempo para tomar decisiones bien pensadas, incluso en asuntos que son importantes para nosotros. Situaciones complicadas, falta de tiempo, el estado emocional o la fatiga mental puede distraernos. As que tomamos un atajo mental, tomar nuestras decisiones sin analizar la informacin cuidadosa y completamente, respondiendo un proceso mental conocido como automtico. Esto es cierto incluso para puestos federales, estatales y locales de las fuerzas del orden. Todos somos humanos. Obtaininga necesita cdigo de carga se maneja con una sola llamada telefnica. Entonces Arturo jug la carta de condolencia con la historia de "una reunin con el Servicio Secreto en quince minutos, he estado distrado y dej el expediente en casa". Ella, naturalmente, sinti pena por l, e hizo todo lo posible para ayudarnos. Lan con no uno sino dos tiendas de copiado, Arturo se hizo extremar las precauciones cuando fue a recoger el fax. Una variante de esta que hace que el fax an ms difcil de rastrear: En lugar de tener el documento enviado a otro almacn de copia, el atacante puede dar lo que parece ser un nmero de fax, pero en realidad es una direccin en un servicio de Internet gratuito que recibir un fax para usted y automticamente lo enviar a su direccin de correo electrnico. De esta manera se puede descargar directamente al ordenador del atacante, y nunca tiene que dar la cara en cualquier lugar donde alguien ms tarde podra ser capaz de identificarlo. Y la direccin de correo electrnico y nmero de fax puede ser abandonada tan pronto como la misin ha sido cumplida. Cambiando las tornas

Un hombre joven que llamar Michael Parker era una de esas personas que descubri un bit tarde de que los puestos de trabajo mejor remunerados en su mayora van a las personas con ttulos universitarios. l

tenido la oportunidad de asistir a una universidad local con una beca parcial y prstamos para la educacin, pero eso significaba trabajar en las noches y fines de semana para pagar el alquiler, la comida, el gas, y el seguro de coche. Michael, que siempre me ha gustado encontrar atajos, pens que tal vez haba otro camino, uno que dio sus frutos rpidamente y con menos esfuerzo. Debido a que haba estado aprendiendo acerca de las computadoras desde que lleg a jugar con uno a diez aos de edad y qued fascinado con descubrir cmo funcionaban, decidi ver si poda "crear" su licenciatura propio acelerado en informtica. Graduacin - Sin Honores He podra haber irrumpido en los sistemas informticos de la universidad estatal, que se encuentra el Record de alguien que se haba graduado con un agradable B + o A-media, copiar el registro, poner su propio nombre en l, y lo aadi a los registros de graduados de ese ao. Pensando en esto, de alguna manera senta incmodo con la idea, se dio cuenta de que debe haber otros registros de un estudiante de haber estado en la escuela - los registros de pago de matrcula, la oficina de la vivienda, y quin sabe qu ms. Crear slo el registro de cursos y grados dejara demasiadas lagunas. Plotting all, tanteando el camino, se le ocurri que poda llegar a su goal por ver si la escuela tena un graduado con el mismo nombre que el suyo, que se haba ganado un grado de la informtica en cualquier momento durante un lapso apropiado de aos. Si es as, l podra poner el nmero de seguro social del otro Michael Parker en los formularios de solicitud de empleo, cualquier empresa que comprob el nombre y nmero de seguro social con la universidad se le dira que s, que s tena la reclamared grado. (No sera obvio para la mayora de la gente, pero era obvio para l que l podra poner un nmero de seguro social en la solicitud de empleo y luego, si es contratado, puso su nmero inmobiliarios por cuenta propia en los formularios nuevos empleados. Mayora de las empresas nunca se le ocurrira para comprobar si un nuevo empleado haba usado un nmero diferente antes en el proceso de contratacin.) Logging En Problemas para How para buscar un Michael Parker en los registros de la universidad? Pas lo siguiente: Going para la biblioteca principal del campus universitario, se sent en una terminal de computadora, se subi a la Internet, y se puede acceder en el sitio web de la universidad. Luego llam a la oficina del Registrador. Con la persona que contest, l fue a travs de una de las rutinas de ingeniera por ahora familiares sociales: "Estoy llamando desde el Centro de Cmputo, estamos haciendo algunos cambios en la configuracin de la red y queremos asegurarnos de que don ' t disrupcint su acceso. Qu servidor se puede conectar a? "

"Qut Qu quieres decir, servidor, se le pregunt.

"Qut equipo se puede conectar a cuando usted necesita para buscar informacin acadmica del estudiante. Threspuesta e, admin.rnu.edu, le dio el nombre del equipo en el expediente del estudiante se almacenaron. Esta fue la primera pieza del puzzle: Ahora saba que su mquina de destino. LINGO TERMINAL MUDO Un terminal que no contiene su propio microprocesador. Las terminales tontas slo puede aceptar rdenes simples y mostrar caracteres de texto y nmeros. He introducido la URL en el equipo y no obtuvo respuesta - como era de esperar, hubo un firewall bloqueando el acceso. Y corriendo un programa para ver si poda conectar a cualquiera de los servicios que se ejecutan en ese equipo, y encontr un puerto abierto con una carrera de servicio Telnet, que permite a un ordenador conectarse de forma remota a otro ordenador y acceder a ella como si estuviera conectado directamente con un terminal tonto. Todo lo que se necesita para tener acceso sera el ID de usuario y la contrasea estndar. He hizo otra llamada a la oficina de registro, esta vez escuchando cuidadosamente para asegurarse de que estaba hablando con una persona diferente. Lleg una seora, y otra vez se afirma que desde el Centro de Informtica de la Universidad. Estaban instalando un nuevo sistema de produccin de los registros administrativos, le dijo. Por favor, le gustara que se conectara al nuevo sistema, an en modo de prueba, para ver si poda acceder a los expedientes acadmicos de los estudiantes bien. Le dio la direccin IP para conectarse, y hablamos de ella en el proceso. Yon realidad, la direccin IP se la llev a la computadora Michael estaba sentado en la biblioteca del campus. Utilizando el mismo procedimiento descrito en el captulo 8, se haba creado un simulador que identificarte - un signo en la pantalla seuelo - mirando justo como la que ella estaba acostumbrada a ver cuando se va en el sistema de archivos del estudiante. "Esto no funciona", le dijo. "Se sigue diciendo 'Login incorrect. By ahora el simulador de inicio de sesin se haba alimentado las pulsaciones de su nombre de cuenta y contrasea en el terminal de Michael, misin cumplida. l le dijo: "Oh, algunas de las cuentas que no se han trado todava a esta mquina. Djame configurar su cuenta, y yo te llamo". Cuidado de atar los cabos sueltos, como cualquier ingeniero social competente tiene que ser, que sera un punto de llamar ms tarde para decir que el sistema de prueba no estaba funcionando bien, sin embargo, y si estaba bien con ella, volvera a llamar con ella o una de las otras personas all cuando haban descubierto lo que estaba causando el problema.

El Registrador ha sido til Ahora Michael saba lo que necesitaba el sistema informtico de acceso, y l tena una utilizarr ID y contrasea. Pero, qu rdenes iba a necesitar para buscar en los archivos para obtener informacin sobre un graduado de la informtica con el nombre correcto y gfecha raduation? La base de datos sera un estudiante un propietario, creado en el campus para satisfacer las necesidades especficas de la universidad y la oficina del Registrador, y que tienen una forma nica de acceso a la informacin en la base de datos. First paso en la limpieza de este ltimo obstculo: Descubre quin podra guiarlo a travs de los misterios de la bsqueda de la base de datos de los estudiantes. l llam a la oficina del Registrador de nuevo, esta vez llegando a una persona diferente. l era de la oficina del Decano de Ingeniera, le dijo a la seora, y le pregunt: "Quin se supone que vamos a pedir ayuda cuando estamos teniendo problemas para acceder al rues acadmico de los estudiantes. Minutos tarde, estaba hablando por telfono con el administrador de base de datos de la universidad, tirando del acto simpata: "Yo soy Mark Sellers, en la oficina de registro Te sientes como compadecindose de un nuevo tipo Siento que te llama, pero son todos.? en una reunin esta tarde y no hay nadie alrededor para ayudarme. Tengo que recuperar una lista de todos los titulados con un grado ciencias de la computacin, entre 1990 y 2000. Lo necesitan para el final del da y si no tengo ello, no puede tener este trabajo por mucho tiempo. Ests dispuesto a ayudar a un chico en problemas? " Ayudar a la gente fuera era parte de lo que este administrador de base de datos, as tambin fue paciente adicional mientras hablaba Michael paso a paso por el proceso. By el tiempo de colgar, Michael haba descargado toda la lista de graduados de informtica para esos aos. A los pocos minutos que haba corrido un buscador, dos Parkers Michael, elegido uno de ellos, y obtuvo el nmero del tipo de seguridad social, as como otra informacin pertinente almacenada en la base de datos. He acababa de convertirse en "Michael Parker, Licenciatura en Ciencias de la Computacin, graduada con honores, 1998." En este caso, la "B.S." era especialmente apropiado. LaCon el nalyzing Thiataque s utilizado un ardid que no he hablado antes: el atacante pide al organization administrador de base de datos que le guiar por los pasos de la realizacin de un proceso informtico que no saba cmo hacerlo. Un potente y eficaz turning de las tablas, esto es el equivalente a pedirle al dueo de una tienda para

ayudarle a llevar una caja que contiene los elementos que ya se robaron de sus estantes a su coche.

Mitnick MENSAJE Calcularr los usuarios son a veces ni idea acerca de las amenazas y vulnerabilidades asociard con la ingeniera social que existe en nuestro mundo de la tecnologa. Tienen acceso a la informacin, sin embargo, no tienen el conocimiento detallado de lo que podra ser ser una amenaza para la seguridad. Un ingeniero social se dirigir a un empleado que tiene poca comprensin del valor que tiene la informacin que se busca es, por lo que el objetivo es ms probable acceder a la peticin del desconocido. PREVENTING CON EL Simpata, La culpa y la intimidacin son tres disparadores psicolgicos muy populares utilizard por el ingeniero social, y estas historias han demostrado las tcticas de accin. Pero, qu pueden hacer usted y su empresa para evitar este tipo de ataques? PDatos rotecting Some historias de este captulo enfatizar el peligro de enviar un archivo a alguien you No lo s, an cuando esa persona es (o parece ser) un empleado, y el archivo se enva internamente, a una direccin de correo electrnico o de la mquina fiscal en el empresa. Company la poltica de seguridad tiene que ser muy especfico acerca de las garantas de la entrega de los datos de valor para alguien que no conoce personalmente al remitente. Procedimientos rigurosos deben establecerse para la transferencia de archivos con informacin sensible. Cuando la solicitud es de alguien que no conozco personalmente, tiene que haber pasos claros a seguir para la verificacin, con diferentes niveles de autenticacin, dependiendo de la sensibilidad de la informacin. Aqu estn algunas tcnicas para tener en cuenta: Establish la necesidad de conocer (que puede requerir la obtencin de la autorizacin del titular de informacin designado). Keepa registro personal o departamental de estas transacciones. Mantenienna lista de personas que han sido especialmente entrenados en los procedimientos y que son de confianza para autorizar el envo de informacin sensible. Exigir que slo estas personas sern autorizadas para enviar informacin a nadie fuera del grupo de trabajo.

Yofa solicitud de los datos se hace por escrito (correo electrnico, fax o correo postal) tomar medidas de seguridad adicionales para verificar que la solicitud viene en realidad la persona que parece haber venido.

Lacombate contraseas All los empleados que sean capaces de acceder a cualquier informacin sensible y que hoy means prcticamente todo trabajador que usa una computadora - necesita entender que los actos simples, como cambiar la contrasea, ni siquiera por unos momentos, puede llevar a una major brecha de seguridad. Securitformacin y las necesidades a cubrir el tema de las contraseas, y que tiene que centrarse en parte en cundo y cmo cambiar la contrasea, lo que constituye una contrasea aceptable, y los peligros de dejar que alguien ms involucrado en el proceso. La capacitacin necesita especialmente para transmitir a todos los empleados que sean sospechosas de cualquier solicitud que involucra sus contraseas. A primera vista esto parece ser un simple mensaje a transmitir a los empleados. No lo es, porque para apreciar esta idea requiere que los empleados entender cmo un acto tan simple como cambiar una contrasea puede dar lugar a un riesgo de seguridad. Usted puede decirle a un nio "Mirar a ambos lados antes de cruzar la calle", pero hasta que el nio entienda por qu eso es importante, usted est confiando en la obediencia ciega. Y las reglas que exigen obediencia ciega son generalmente ignorados u olvidados. NOTA Passwords son un foco central de los ataques de ingeniera social que dedicamos una sseccin eparate al tema en el captulo 16, donde se encuentran las polticas especficas recomendadas en la gestin de contraseas. Un punto de notificacin central Ustedr poltica de seguridad debe proporcionar a una persona o grupo designado como un centro de point para reportar actividades sospechosas que parecen ser intentos de infiltrarse en su organizacin. Todos los empleados necesitan saber a quin llamar en cualquier momento que sospechar un intento de intrusin electrnica o fsica. El nmero de telfono del lugar make estos informes deben ser siempre a la mano para que los empleados no tienen que cavar para que si llegan a ser sospechoso que un ataque est teniendo lugar. Proteja su red Empleados tienen que entender que el nombre de un servidor de la computadora o la red not informacin trivial, sino que se puede dar a un atacante el conocimiento

esencial que ayuda a ganar confianza o encontrar la ubicacin de la informacin que desea. Yon particular, las personas como los administradores de bases de datos que trabajan con software pertenecen a esa categora de personas con conocimientos de tecnologa, y que necesitan para operar bajo reglas especiales y muy restrictivas sobre la verificacin de la identidad de las personas que los requieran informacin o asesoramiento.

People que regularmente proporciona ninguna. tipo de ayuda de la computadora tiene que estar bien entrenado en qu tipo de solicitudes deben ser banderas rojas, lo que sugiere que la persona que llama puede intentar un ataque de ingeniera social. Ess la pena sealar, sin embargo, que desde el punto de vista del administrador de base de datos en la ltima historia en este captulo, la persona que llama cumplieron con los criterios para ser legtima: Se le llama desde el campus, y estaba obviamente en un sitio que requiere un nombre de cuenta y contrasea. Esto slo pone de manifiesto una vez ms la importancia de contar con procedimientos estandarizados para la verificacin de la identidad de cualquier persona solicitar informacin, sobre todo en un caso como ste, donde la persona que llama le peda ayuda para obtener acceso a los registros confidenciales. All de este consejo va doble para los colegios y universidades. No es novedad que la piratera informtica es un pasatiempo favorito para muchos estudiantes universitarios, y tambin debera ser ninguna sorpresa que los expedientes de los estudiantes - ya veces los registros de la facultad, as - son un blanco tentador. Este abuso es tan rampante que algunas empresas realmente considerar las escuelas en un entorno hostil, y crear reglas de firewall que bloquean el acceso de las instituciones educativas con las direcciones que terminan en. Edu. The largo y corto de l es que todos los expedientes de los estudiantes y del personal de cualquier tipo debe ser visto como principales objetivos de ataque, y deben estar bien protegidos como informacin confidencial. Consejos de Formacin Most ataques de ingeniera social son ridculamente fcil de defender ... para anyone que sabe lo que estar en busca de. Desde el punto de vista empresarial, hay una necesidad fundamental para un buen entrenamiento. Pero tambin hay una necesidad de algo ms: una variedad de maneras de recordar a la gente de lo que han aprendido. Use pantallas de presentacin que aparecen cuando el equipo del usuario est activada, con un mensaje de seguridad diferente cada da. El mensaje debe ser diseado de modo que no desaparece automticamente, pero requiere que el usuario haga clic en algn tipo de reconocimiento de que l / ella ha ledo. Otro enfoque que yo recomiendo es para iniciar una serie de recordatorios de seguridad. Mensajes recordatorios frecuentes son importantes, un programa de sensibilizacin debe ser continuo y sin fin. En la entrega de contenido, los recordatorios no debe redactarse el mismo en todos los casos. Los estudios han demostrado que estos mensajes sean ms efectivamente recibido cuando varan en su enunciado o cuando se utiliza en diferentes ejemplos.

Un excelente enfoque es utilizar blurbs cortos en el boletn de la empresa. Esto no debera ser una columna completa sobre el tema, aunque una columna de seguridad ciertamente sera valiosa. En su lugar, el diseo de una insercin de dos o tres columnas de ancho, algo as como un anuncio de display pequeo en su peridico local. En cada nmero del boletn, presentamos un nuevo recordatorio de la seguridad en este corto, atencin-catching camino.

Chapter 9 ThReverse e Sting

The picadura, que se menciona en otra parte de este libro (y en mi opinin, probablemente la mejor pelcula que s siempre ha hecho sobre una operacin en contra), expone su trama complicada en detalle fascinante. La operacin encubierta en la pelcula es una representacin exacta de cmo ejecutar mejores timadores "The Wire", uno de los tres tipos de estafas principales conocidos como "contras grandes". Si usted quiere saber cmo un equipo de profesionales se quita una estafa rastrillar en una gran cantidad de dinero en una sola noche, no hay libro de texto mejor. But cons tradicionales, cualquiera que sea su truco particular, ejecute de acuerdo a un patrn. A veces una estratagema se trabaj en la direccin opuesta, lo que se llama una picadura inversa. Este es un giro interesante en el que el atacante configura la situacin para que la vctima pide al atacante en busca de ayuda, o un compaero de trabajo ha hecho una peticin, que el atacante est respondiendo. How funciona esto? Ests a punto de averiguarlo. LINGO REVERSO STING Una estafa en la que se atac a la persona pide el atacante ayuda THE ARTE DE Friendly Persuasion Blancoen la persona promedio evoca la imagen de un pirata informtico, lo que viene a la mente es la imagen poco halageo de un solitario e introvertido empolln cuyo mejor amigo es su equipo y que tiene dificultades para mantener una conversacin, sino por mensajera instantnea. El ingeniero social, que a menudo tiene habilidades de hacker, tambin tiene habilidades de la gente en el extremo opuesto of espectro - bien desarrolladas habilidades para usar y manipular a la gente que le permiten hablar a su manera into la obtencin de informacin en formas que nunca hubiera credo posible. AngLlamadas de ela Lugar: Valley filial, Industrial Federal Bank. Time: 11:27 A.M. ngelun Wisnowski respondi a una llamada telefnica de un hombre que dijo que estaba a punto de recibir una herencia importante y quera informacin sobre los diferentes tipos de cuentas de ahorro, certificados de depsito, y las inversiones lo dems que podra ser capaz de sugerir que sera seguro , pero ganar intereses decente. Explic que haba un buen nmero de opciones y le pregunt si

le gustara venir y sentarse con ella para hablar de ellos. l se iba en un viaje tan pronto como el dinero lleg, dijo, y haba un montn de arreglos para hacer. As que empezaron a sugerir algunas de las posibilidades y dndole detalles de los tipos de inters,

AMSt pasa si usted vende un CD temprana, y as sucesivamente, al intentar precisar sus objetivos de inversin. She parece estar haciendo progresos cuando dijo: "Oh, lo siento, tengo que atender esta llamada s. A qu hora puedo terminar esta conversacin con usted para que pueda tomar decisiones? Cundo te vas a comer?" Ella le dijo a l las 12:30 y me dijo que iba a tratar de volver a llamar antes de esa fecha o al da siguiente. Louis 's de llamadas Major bancos usar los cdigos internos de seguridad que cambian todos los das. Cuando alguien from una rama necesita informacin de la otra rama, que demuestre que tiene derecho a la informacin, demostrando que conoce el cdigo del da. Para obtener un mayor grado de seguridad y flexibilidad, algunos grandes bancos emitir varios cdigos de cada da. En un equipo de West Coast voy a llamar Banco Federal Industrial, a cada empleado se encuentra una lista de los cinco cdigos para el da, identificada como A a la E, en su ordenador cada maana. Lugar: El mismo. Time:. 12:48 mismo da.

"M.,

ese

Louis Halpburn no creo que nada de eso cuando una llamada se produjo en la tarde, una llamada al igual que otras veces en que manej regularmente varias veces por semana. "Hola,"La persona que llam dijo." Este es Neil Webster. Llamo desde 3182 en rama Boston. Angela Wisnowski, por favor. "" Ella est en el almuerzo. Puedo ayudarle? " "Bueno, Dej un mensaje pidiendo que enviar por fax la informacin sobre uno de nuestros clientes. " Thpersona que llama e sonaba como si hubiera sido un mal da. "Thpersona e que normalmente se ocupa de las peticiones est enfermo ", dijo." Tengo una pila de stos a hacer, es casi cuatro aqu y se supone que debo estar fuera de este lugar para ir a un doctor cita en media hora ". Thmanipulacin e - dando todas las razones por las que la otra persona debera sentir lstima por l - era parte de ablandamiento de la marca. Continu: "El que

se llev su mensaje de telfono, nmero de fax es ilegible. 213-Es algo. Qu hay del resto?" Louis dio el nmero de fax y la persona que llam dijo: "Est bien, gracias. Antes de que pueda enviar por fax esto, necesito pedirte Cdigo B."

"Pero me llam ", dijo con frialdad slo lo suficiente para que el hombre de Boston conseguira el mensaje. This es bueno, la persona que llama se pensaba. Es genial cuando la gente no caiga en la primera suave empujn. Si, no resisten un poco, el trabajo es demasiado fcil y pude comenzar a conseguir perezoso. To Louis, dijo: "Tengo un gerente de la sucursal que acaba de cumplir paranoico acerca de cmo obtener la verificacin antes de enviar nada, es todo. Pero escucha, si usted no nos deber enviar por fax la informacin, que est bien. No es necesario para verificar ". "Mira,"Louis dijo:" Angela estar de regreso en media hora ms o menos. Puedo haberla te llamo. " "Voy a decirle que no poda enviar la informacin de hoy, ya que no identific esto como una solicitud legtima por darme el cdigo. Si no estoy enfermo el da de maana, voy a llamar en ese entonces." "Thmensaje de correo dice: "Urgente". No importa, sin verificacin de mis manos estn atadas. Tel decirle que trat de enviar pero no te dan el cdigo, de acuerdo? " Louis cedi ante la presin. Un suspiro de fastidio lleg volando su manera abajo de la lnea telefnica. "Bueno,"l dijo," Espera un minuto, tengo que ir a mi ordenador. Qu cdigo queras? " "B", dijo la persona que llama. He poner la llamada en espera y despus de un poco recogi la lnea de nuevo. "Es 3184." "Eso. 'S no el cdigo correcto "" S, lo es - B es 3184. " "Yo no dije B, dije E. "" Oh, maldicin. Espera un minuto. " Another pausa mientras miraba de nuevo los cdigos. "E es 9697." "9697 - derecha. Voy a tener el fax en el camino. De acuerdo? "" Claro. Gracias ". Walter 's Call "Industrial Federal Bank, este es Walter

". "Hey, Walter, es Bob Grabowski en Studio City, sucursal 38 ", dijo la persona que llama." Te necesito para sacar una tarjeta de seal en una cuenta de cliente y enviarlo por fax a m. "La tarjeta sig, o tarjeta de firma, tiene algo ms que el cliente firma en ella, sino que tambin ha de informacin, la identificacin de los elementos conocidos, como el nmero de seguro social, fecha de

nacimiento, El nombre de soltera de su madre, ya veces incluso un nmero de licencia de conducir. Muy prctico para un ingeniero social. "Sure cosa. Qu es cdigo C? " "Another cajero est usando mi equipo en este momento ", dijo la persona que llama." Pero he utilizado slo B y E, y me acuerdo de eso. Pdeme una de esas. " "Est bien, qu es E?" "E es 9697." Unos minutos ms tarde, Walter enviado por fax la tarjeta de seal a lo solicitado. Donnuna platija de llamadas "Hola, Este es el Sr. Anselmo ". "How le puedo ayudar hoy? " "QEs en ese nmero de 800 que tengo que llamar cuando quiero ver si un depsito ha sido acreditado todava? " "You're un cliente del banco? " "S, Y no he usado el nmero en un tiempo y ahora no s donde me wrote hacia abajo. " "Thnmero e es 800-555-8600. " "OkAy, gracias. " VincHistoria e Capelli The hijo de un polica de Spokane calle, Vince saba desde una edad temprana que l no era going pasarse la vida trabajando como un burro largas horas y arriesgando su cuello para el salario mnimo. Sus dos objetivos principales en la vida se hizo para salir de Spokane, y entrar en business por s mismo. Las risas de sus matones en el instituto slo fuegod l todo el ms - que pensaban que era divertido que fue arrestado as

sucesivamente iniciar su propio negocio, pero no tena idea de qu negocio podra ser. Secretamente Vince saba que tenan razn. Lo nico que se le daba bien estaba jugando receptor en el equipo de bisbol de altura. Pero no lo suficiente para capturar una beca universitaria, de ninguna manera lo suficientemente bueno para el bisbol profesional. Entonces, qu negocio iba a ser capaz de empezar? Ene lo que los chicos en el grupo de Vince nunca imaginado: Cualquier cosa uno de ellos tena una navaja de muelle --- nuevo, un par de guantes de abrigo elegante, una nueva novia sexy si Vince lo admiraba, en poco tiempo el tema era de l. No se lo roban, or furtivamente a espaldas de nadie, l no tena que hacerlo. El tipo que tena lo hara

givE Es de buena gana, y luego se preguntan despus de cmo haba sucedido. Incluso pidiendo Vince no te habra llegado a ninguna parte: no conoca a s mismo. La gente pareca que le permitir tener lo que quisiera. Vince Capelli era un ingeniero social desde una edad temprana, a pesar de que nunca haba odo hablar del trmino. Holas friends dej de rer una vez que todos ellos tenan diplomas de escuela secundaria en la mano. Mientras los dems slogged por la ciudad en busca de trabajo en el que no tena que decir "Quieres patatas fritas con eso?" Padre de Vince lo mand a hablar con un amigo viejo polica que haba abandonado la fuerza para iniciar su propio negocio de investigacin privada en San Francisco. Rpidamente se descubri el talento de Vince para el trabajo, y lo llev sucesivamente. That fue hace seis aos. Odiaba la parte de conseguir los bienes a los cnyuges infieles, que implicaban horas dolorosamente aburrida de estar sentado y mirando, pero se senta constantemente cuestionado por las asignaciones para desenterrar la informacin de activos para los abogados que tratan de averiguar si algn desgraciado era rgido suficientemente rico como para ser digno de demandar . Estos trabajos le dieron muchas oportunidades de usar su ingenio. Like el momento en que tuvo que buscar en las cuentas bancarias de un tipo llamado Joe Markowitz. Joe haba funcionado tal vez una componenda con un amigo por una sola vez de la suya, que amigo ahora quera saber si l demand, fue Markowitz limpiar basta con que el amigo puede ser que consiga algo de su dinero? Vince 's primero paso sera encontrar al menos uno, pero preferiblemente dos, de los cdigos de seguridad del banco para el da. Eso suena como un desafo casi imposible: Qu diablos podra inducir un empleado del banco para golpear una grieta en su propio sistema de seguridad? Pregntate a ti mismo - si usted quera hacer esto, tiene alguna idea de cmo hacerlo? For gente como Vince, es demasiado fcil. People de su confianza si conoce la jerga dentro de su trabajo y su empresa. Es como que le muestra pertenecen a su crculo ntimo. Es como un apretn de manos secreto. No necesit mucho de eso para un trabajo como este. Definitivamente no es ciruga cerebral. Bien est lo que necesitaba para empezar era un nmero de sucursales. Cuando llam a la oficina de Beacon Street, en Buffalo, el tipo que contest sonaba como un cajero. "This es Tim Ackerman, "le dije. Cualquier nombre iba a hacer, l no iba a

escribirlo." Cul es el nmero de la sucursal all? " "Thnmero e telfono o el nmero de sucursales, lo que quera saber, que era bastante estpido porque yo acababa de marcar el nmero de telfono, no tena yo? "Rama nmero".

"3182,", Dijo. Slo as. No," Whad'ya quiero saber por qu "o cualquier cosa. 'Cause informacin que no es sensible, est escrito en apenas alrededor de cada pedazo de papel que utilizan. Step Dos, llame a la sucursal donde mi destino hizo su banca, obtener el nombre de uno de los suyos, y averiguar si la persona estara fuera para el almuerzo. Angela. Sale a las 12:30. Hasta ahora, todo bien. Tercer paso, volver a llamar a la misma rama durante el almuerzo de Angela, decir que estoy llamando desde el nmero de sucursal tal-y-tal en Boston, Angela necesita esta informacin por fax, dame un cdigo para el da. Esta es la parte difcil, es donde el caucho resuelve el camino. Si yo estaba haciendo una prueba para ser un ingeniero social, me gustara poner algo como esto en l, donde su vctima empieza a sospechar - por una buena razn - y que todava se adhieren a ella hasta que l se descomponen y obtener la informacin que usted necesita. Usted no puede hacer eso por recitar versos de un script o aprender una rutina, tienes que ser capaz de leer su vctima, recuperar el estado de nimo, jugar como l aterrizar un pez en la que dej escapar una pequea lnea y carrete en, dej escapar y carrete pulg Hasta que meterlo en la red y caer l en el barco, plaf! So me lo llev y tuvo uno de los cdigos para el da. Un gran paso. Con la mayora de los bancos, uno es todo lo que uso, as que yo he estado en casa huir. Industrial Federal Bank utiliza cinco, as que tener slo uno de cada cinco est pronsticos adversos. Con dos de cada cinco, tendra una mejor oportunidad de conseguir a travs de la siguiente acto de este drama poco. Me encanta esa parte de "Yo no dije B, dije E." Cuando funciona, es hermoso. Y funciona la mayor parte del tiempo. Getting un tercero habra sido an mejor. De hecho, he logrado conseguir tres en una sola llamada - "B", "D" y "E" sonido tan parecidos que pueden afirmar que entendido mal otra vez. Pero hay que estar hablando con alguien que es una persona fcil de convencer real. Este hombre no era. Me quedo con dos. Thcdigos e iba a ser mi da de triunfo para obtener la tarjeta de firma. Que yo llamo, y el chico le pide un cdigo. C que quiere, y slo tengo B y E. Pero no es el fin del mundo. Tienes que mantener la calma en un momento como este, sonar seguro, mantngase a la derecha en ir, muy suave, le toc con el de: "Alguien est usando mi computadora, me pregunto a uno de estos otros." We're todos los empleados de la misma empresa, estamos todos juntos en esto, es ms fcil en el hombre - que es lo que est esperando la vctima est pensando en un momento como este. Y l jug al lado de la secuencia de comandos. Tom una de las opciones que se ofrecen, le di la respuesta correcta, envi el fax de la tarjeta de firma.

Almost casa. Una llamada ms me dio el nmero 800 que los clientes utilizan para el servicio automatizado donde una voz electrnica que lee la informacin que pide. Desde la tarjeta sig, yo tena todos mis nmeros de cuenta de destino y su nmero PIN, ya que el banco utiliza los cinco primeros o los ltimos cuatro dgitos del nmero de seguro social. Pluma en la mano, llam al nmero 800 y despus de unos minutos de apretar botones, tuve el ltimo balance en los cuatro relatos del tipo, y slo por si acaso, sus depsitos y retiros ms recientes en cada uno. Everything mi cliente haba pedido y ms. Siempre me gusta dar un poco ms por si acaso. Mantener a los clientes contentos. Despus de todo, la repeticin de negocios es lo que mantiene una operacin en marcha, no? LaCon el nalyzing Thtecla e para todo este episodio fue la obtencin de los cdigos da de suma importancia, ya hacer que el atacante, Vince, que se utiliza varias tcnicas diferentes. He inici con un pequeo forcejeo verbal cuando Luis se mostr reacio a darle un cdigo. Louis tena razn para sospechar - los cdigos estn diseados para ser utilizados en la direccin opuesta. Saba que en el flujo normal de las cosas, la persona que llama desconocido se le da un cdigo de seguridad. Este fue el momento crtico para Vince, que giran en torno a la cual el xito total de su esfuerzo dependa. Ante la sospecha de Luis, Vince simplemente lo puso sobre la manipulacin, utilizando un llamamiento a la solidaridad ("ir al mdico"), y la presin ("Tengo un montn de hacer, que es casi 4 horas") y la manipulacin ("Dile que no me dan el cdigo"). Hbilmente, Vince no realmente hacer una amenaza, l slo implicaba una: si no me dan el cdigo de seguridad, no voy a enviar la informacin de los clientes que necesita su compaero de trabajo, y voy a decirle que tendra lo envi pero no iba a cooperar. Todava, No hay que ser demasiado apresurado en culpar a Louis. Despus de todo, la persona en el telfono saba (o por lo menos pareca saber) que un compaero de trabajo Angela haba solicitado un fax. La persona que llama saba acerca de los cdigos de seguridad, y saba que fueron identificados por designacin de la letra. La persona que llam dijo que su gerente de la sucursal fue lo que requiere de una mayor seguridad. Hay realmente no pareca ninguna razn para no darle la verificacin que estaba pidiendo. Louis no es el nico. Los empleados del Banco abandonar los cdigos de seguridad para los ingenieros sociales todos los das. Increble pero cierto. No haysa lnea en la arena donde las tcnicas de un investigador privado deja de

ser legal y empezar a ser ilegal. Vince se qued legal al obtener el nmero de sucursales. l incluso nos quedamos legal cuando estaf a Luis para que le diera dos de los

day los cdigos de seguridad. Cruz la lnea cuando l tena informacin confidencial de un cliente del banco por fax a l. But para Vince y su empleador, es un crimen de bajo riesgo. Al robar dinero o bienes, alguien se dar cuenta de que se ha ido. Al robar informacin, la mayora de las veces nadie se dar cuenta porque la informacin est todava en su poder. Mitnick MENSAJE Verbal cdigos de seguridad son equivalentes a las contraseas para proporcionar una conveniente y reliable los medios de proteccin de datos. Sin embargo, los empleados deben estar bien informados acerca de los trucos que utilizan los ingenieros sociales, y no capacitado para dar las llaves de la reino. COPS AS Dupes Fora sombro detective privado o un ingeniero social, hay ocasiones frecuentes cuando sera til saber de alguien nmero de licencia de conducir - por ejemplo, si desea asumir la identidad de otra persona para obtener informacin about sus saldos bancarios. Short de levantamiento de cartera de la persona o mirando por encima de su hombro en un momento oportuno, saber el nmero de licencia de conducir debe ser casi imposible. Pero para cualquier persona con conocimientos de ingeniera, incluso modestos sociales, es apenas un desafo. Un ingeniero social particular Eric Mantini, le voy a llamar, necesario para obtener la licencia de conducir y nmeros de registro de vehculos sobre una base regular. Eric pens que era innecesario aumentar su riesgo de llamar al Departamento de Vehculos Motorizados (DMV) y pasar por el mismo tiempo treta tras otra cada vez que necesitaba esa informacin. Se pregunt si no habra alguna manera de simplificar el proceso. Probably nadie haba pensado en ello antes, pero supuso una manera to conseguir la informacin en un abrir y cerrar, cada vez que lo quera. Lo hizo mediante el aprovechamiento de un servicio proporcionado por el departamento de su estado de Vehculos Motorizados. Muchos DMV del estado (o lo que el departamento puede ser llamado en su estado) hacer que la informacin de otra manera con privilegios sobre los ciudadanos a disposicin de las empresas de seguros, investigadores privados, y algunos otros grupos que la legislatura estatal ha considerado con derecho a compartirlo por el bien del comercio y la sociedad en general. The DMV, por supuesto, tiene limitaciones apropiadas a qu tipos de datos se dar a cabo. La industria de seguros puede obtener cierto tipo de informacin de los archivos, pero no en otros. Un conjunto diferente de limitaciones se aplica a

los IP, y as sucesivamente. Para los oficiales encargados de hacer cumplir la ley, una regla diferente se aplica en general: El DMV le facilitar toda la informacin en los registros a cualquier oficial de polica juramentado a quienes corresponda

identifis mismo. En el estado de Eric entonces viva en la identificacin requerida era un Cdigo solicitante expedida por el DMV, junto con el nmero de licencia de conducir del oficial de. El empleado del DMV siempre verificar haciendo coincidir el nombre del oficial contra el nmero de su licencia de conducir y una pieza de informacin - por lo general la fecha de nacimiento antes de dar cualquier informacin. Qut sociales ingeniero Eric quera hacer nada era menos que a s mismo en encubrir la identidad de un agente de la ley. Cmo lo logr? Mediante la ejecucin de una picadura de reversa en la polica! Sting Eric First llam a informacin telefnica y le pidi el nmero de telfono del DMV headquarters en la capital del estado. Le dieron el nmero 503555-5000, que, por supuesto, es el nmero de llamadas del pblico general. Luego llam a la estacin del sheriff cercano y le pidi Teletipo - la oficina donde las comunicaciones se envan y se reciben de otras agencias del orden pblico, la base de datos nacional del crimen, warrants locales, y as sucesivamente. Cuando lleg teletipo, dijo que era Looking para el nmero de telfono de la polica para usar al llamar al DMV sede estatal. "Quin eres t?" el oficial de polica de teletipo pregunt. "This es al. Estaba llamando 503-555-5753 ", dijo Esto fue en parte una suposicin, y en parte un nmero que l sac de la nada,. Ciertamente la oficina del DMV especial creada para atender las llamadas fuerzas del orden estara en el mismo cdigo de rea como el nmero gtyen a cabo para que el pblico llame y era casi tan seguro de que los prximos tres dgitos, el prefijo, sera lo mismo. tambin. Todo lo que realmente necesitaba saber era las semifinales. Una habitacin sheriff Teletipo no recibe llamadas del pblico. Y la persona que llama ya tena la mayor parte del nmero. Obviamente, l era legtimo. "Es 503-555-6127 ", dijo el oficial. So Eric ahora tena el nmero de telfono especial para los funcionarios encargados de hacer cumplir la ley para llamar al DMV. Pero el nmero uno no era suficiente para satisfacer, la oficina tendra un buen nmero ms de la lnea telefnica, y Eric necesitaba saber cuntas lneas haba, y el nmero de telfono de cada uno. El Switch Para llevar a cabo su plan, necesitaba tener acceso al conmutador telefnico que manejan las lneas telefnicas de la ley en el DMV. Llam al estado

TELECOMUNICACIONES wcomo

Departamento und reclamared he from Nortel, la

manufacturer del DMS-100, uno de los conmutadores telefnicos comerciales ms ampliamente utilizados. l dijo: "Puedes por favor me traslado a uno de los tcnicos del interruptor que funciona en el DMS-100?" When que lleg el tcnico, que deca ser con el Centro de Apoyo de Asistencia tcnica de Nortel en Texas, y explic que se estaban creando una base de datos master para actualizar todos los interruptores con las ltimas actualizaciones de software. Todo se hace a distancia - sin necesidad de ningn tcnico interruptor para participar. Pero necesitaban el nmero telefnico al conmutador para que pudieran realizar las actualizaciones directamente desde el Centro de Soporte. Yot sonaba completamente plausible, y el tcnico Eric dio el nmero de telfono. Ahora poda llamar directamente a una de las centrales telefnicas del estado. To defender contra intrusos externos, interruptores comerciales de este tipo estn protegidos por contrasea, como cualquier red corporativa. Cualquier buen ingeniero social con un fondo phone-phreaking sabe que los conmutadores Nortel proporcionar un nombre de cuenta predeterminado de actualizaciones de software: NTAS (la abreviatura de Nortel Support Asistencia Tcnica; no muy sutil). Pero qu pasa con una contrasea? Eric marcar en varias ocasiones, cada vez que intentaba una de las opciones obvias y de uso comn. Entrando en el mismo que el nombre de cuenta, NTAS, no funcion. Tampoco lo hizo "ayudante". Tampoco "parche". Lan trat de "actualizacin". . . y l era pulg Tpica. Utilizacin de una contrasea obvia, fcil de adivinar es slo muy ligeramente mejor que no tener una contrasea. Yot ayuda a estar al da en su campo; Eric probablemente saba tanto acerca de ese cambio y cmo programar y resolver problemas como el tcnico. Una vez que l fue capaz de acceder al conmutador como un usuario autorizado, l tendra el control total sobre las lneas telefnicas que eran su objetivo. Desde su computadora, pregunt el interruptor para el nmero de telfono que le haban dado para las llamadas fuerzas del orden para el DMV, 555-6127. Encontr haba diecinueve lneas telefnicas otro tipo en el mismo departamento. Obviamente ellos manejan un alto volumen de llamadas. For cada llamada entrante, el switch se ha programado para "cazar" a travs de las veinte lneas hasta que encontr uno que no estaba lleno. Tom la lnea nmero dieciocho en la secuencia, y entr en el cdigo que aade el desvo de llamadas a esa lnea. Para obtener el nmero de reenvo de llamadas, entr en el nmero de telfono de su nuevo telfono barato mvil de prepago, de esas que los narcotraficantes son tan aficionados, porque son lo suficientemente econmico para tirar despus de que el trabajo ha terminado.

Ingenioh desvo de llamadas activado ahora en la lnea XVIII, tan pronto como la oficina se llenaba lo suficiente para tener diecisiete llamadas en curso, la siguiente llamada a entrar no sonaba en la oficina del DMV, sino que sera enviado al telfono celular de Eric. Se sent y esper. Un llamado a la DMV Shortly antes de las 8 de la maana, el telfono son. Esta parte era la mejor, e ms delicioso. Aqu estaba Eric, el ingeniero social, hablando con un polica, una persona con la autoridad para venir a arrestarlo, u obtener una orden de registro y llevar a cabo una redada para reunir pruebas en su contra. Und no es slo un polica llamara, pero una serie de ellos, uno tras otro. En una ocasin, Eric estaba sentado en un restaurante con comida con amigos, presentando una llamada cada cinco minutos ms o menos, escribir la informacin en una servilleta de papel con un bolgrafo prestado. l todava encuentra este hilarante. But hablando con los agentes de polica no perturba un ingeniero de bien social en lo ms mnimo. De hecho, la emocin de engaar a estas agencias de la ley probablemente aadida al disfrute Eric s del acto. Accordinga Eric, las llamadas fue algo como esto: "DMV, puedo ayudarle?" "This es el detective Andrew Cole ". "Hola, Detective. Qu puedo hacer por usted hoy? " "Necesito un Soundex en la licencia de conducir 005602789 ", se podra decir, usando el trmino familiar en la polica para pedir una foto - til, por ejemplo, cuando los agentes van a arrestar a un sospechoso y me gustara saber qu aspecto tiene . "Claro, que yo lleve el registro, "Eric iba a decir." Y, Detective Cole, cul es su agencia? " "Jefferso. n County "Y entonces Eric hara las preguntas calientes:" Detective, cul es su cdigo de solicitante? Qus el nmero de su licencia de conducir. "Cul es su fecha de nacimiento" Thpersona que llama e dara su informacin de identificacin personal. Eric pasara por algn pretexto de verificar la informacin, y luego decirle a la persona que llama que la informacin de identificacin haba sido confirmada, y pregunte por los detalles de lo que la persona que llama quera saber del DMV. l finga que empezar a buscar el name, con la persona que llama puede or el clic de las teclas, y luego decir algo como, "Oh, maldita sea, mi ordenador acaba de ir down otra vez. Arrepentido, detective, my

equipo ha estado en un abrir y cerrar, toda la semana. Te importara volver a llamar y conseguir otro empleado que te ayude? " This forma que haba finalizar la llamada atar los cabos sueltos sin despertar ninguna sospecha de por qu no era capaz de ayudar al oficial con su peticin. Mientras tanto, Eric

hada identidad robada - detalles que podra utilizar para obtener confidencial DMV information cada vez que lo necesitaba. Laespus de recibir llamadas durante unas horas y la obtencin de decenas de cdigos solicitante, Eric marcado en el interruptor y se desactiva el desvo de llamadas. For mes despus de eso, l haba continuar las tareas jobbed a l por las empresas PI legtimas que no quera saber cmo estaba su informacin. Cada vez que necesitaba, haba marcar de nuevo en el interruptor, encender el desvo de llamadas, y reunir otra serie de credenciales oficiales de polica. LaCon el nalyzing Dejar'S ejecutar una reproduccin en el Eric artimaas puso una serie de personas para hacer este engao trabajo. En el primer paso exitoso, l consigui un agente del alguacil en una sala de teletipo para dar a conocer un nmero confidencial DMV telfono a un desconocido, aceptar al hombre como un diputado sin ser necesaria ninguna verificacin. Entonces alguien en el Departamento de Estado de Telecomunicaciones hizo lo mismo, aceptando reclamo de Eric que estaba con un fabricante de equipos y proporcionar al desconocido con un nmero de telfono para llamar a la central telefnica al servicio de la DMV. Eric era capaz de entrar en el interruptor, en gran medida debido a las prcticas de seguridad dbiles por parte del fabricante del interruptor en el uso de la misma cuenta nombrar a todos sus interruptores. Ese descuido hizo un paseo por el parque para el ingeniero social para adivinar la contrasea, una vez ms, a sabiendas de que los tcnicos del interruptor, al igual que casi todos los dems, elegir contraseas que sern un juego de nios para que puedan recordar. Ingenioh acceso al conmutador, fund el desvo de llamadas desde una de las lneas de telfono del DMV para hacer cumplir la ley a su propio telfono celular. Und entonces, la parte ms descarada y taponadora, que estaf a un oficial de la ley tras otra para que revele no slo sus cdigos de solicitante, sino su propia informacin de identificacin personal, lo que Eric la capacidad para suplantar. While all fue sin duda el conocimiento tcnico necesario para llevar a cabo este truco, no podra haber funcionado sin la ayuda de una serie de personas que no tenan ni idea de que estaban hablando con un impostor.

This historia era otro ejemplo del fenmeno de por qu la gente no pregunta "Por qu yo?" Por qu el oficial de teletipo dar esta informacin a algn diputado sheriff no saba - o, en este caso, un extrao punssing apagado como

un sheriff adjunto - en lugar de sugerir que obtener la informacin de un compaero diputado o su propio sargento? Una vez ms, la nica respuesta que puedo ofrecer es que la gente rara vez se hacen esta pregunta. No se les ocurre pedir? No quiero sonar desafiante e intil? Quizs. Cualquier explicacin adicional no sera ms que conjeturas. Pero los ingenieros sociales no me importa por qu, sino que slo se preocupan de que este pequeo hecho hace que sea fcil obtener informacin que de otro modo podran ser un desafo de obtener. Mitnick MENSAJE Yof tiene un conmutador telefnico en las instalaciones de su empresa, cul sera la persona yocarga n hacer si reciba una llamada del vendedor, solicitando el nmero telefnico? Y, por cierto, tiene esa persona nunca cambi la contrasea por defecto del switch? Es eso una contrasea fcil de adivinar la palabra en ningn diccionario? PREVENTING CON EL Un cdigo de seguridad, correctamente utilizado, aade una capa de proteccin valiosa. Una seguridad bacalaoe incorrectamente utilizado puede ser peor que no tener ninguno en absoluto, ya que da la ilusin de seguridad en los que no existe realmente. De qu sirven los cdigos de si sus empleados no las cumplen. secreto? Unempresa y con la necesidad de cdigos de seguridad verbales tiene que explicar claramente a sus empleados cundo y cmo los cdigos se utilizan. Correctamente formados, el personaje de la primera historia en este captulo no habra tenido que confiar en sus instintos, fcil de superar, cuando se le pidi dar un cdigo de seguridad a un extrao. Sinti que no se les debe pedir esta informacin bajo las circunstancias, pero que carecen de una poltica clara de seguridad - y el buen sentido comn - que fcilmente dio pulg SecuritY tambin los procedimientos deben establecer los pasos a seguir cuando un empleado campos de una peticin inapropiada para un cdigo de seguridad. Todos los empleados deben ser entrenados para reportar inmediatamente cualquier solicitud de credenciales de autenticacin, como un cdigo o contrasea diario, realizadas en circunstancias sospechosas. Tambin deben informar cuando un intento de verificar la identidad de un solicitante no est de salida. Lat Por lo menos, el empleado debe registrar el nombre del llamante, nmero de telfono y la oficina o departamento, y luego cuelgue. Antes de volver a llamar l debe verificar que la organizacin tiene realmente un empleado de ese nombre, y que la devolucin de llamada nmero de telfono coincide con el nmero de telfono en el directorio de la empresa en lnea o impresos. La mayora de las veces, esta tctica simple es todo lo que se necesita para verificar que la persona que llama es quien dice ser.

Verifying se convierte en un poco ms complicado cuando la empresa tiene una Published directorio telefnico en lugar de una versin on-line. La gente se contrat, la gente deja, la gente

changdepartamentos de correos, puestos de trabajo y telfono. El directorio de copia impresa ya est fuera de fecha el da despus de que se haya publicado, incluso antes de ser distribuidos. Incluso los directorios en lnea no siempre se puede confiar, porque los ingenieros sociales saben cmo modificarlos. Si un empleado no puede verificar el nmero de telfono de una fuente independiente, debe ser instruido para verificar por otros medios, tales como ponerse en contacto con el gerente del empleado.

Parte 3 Intruder Alert

Chapter 10 Entering los locales

Why que es tan fcil para una persona ajena a asumir la identidad de un empleado de la compaa y llevar una imitacin tan convincente que incluso las personas que estn muy conscientes de la seguridad se toman en? Por qu es tan fcil para las personas que pueden estar duplicados plenamente conscientes de los procedimientos de seguridad, desconfiar de las personas que no conocen personalmente, y de proteccin de los intereses de su compaa? Ponder estas preguntas mientras lees las historias de este captulo. THSEGURIDAD E AVERGONZADO Fecha GUARD / hora: Martes, 17 de octubre, 2:16 A.M. Place: Skywatcher Aviation, Inc. planta de fabricacin en las afueras de Tucson, Arizona. Historia de la Guardia de Seguridad Hearing talones de cuero clic en el suelo en los pasillos de la casi desierta plant hizo Leroy Greene se siente mucho mejor que pasar las horas de la noche de su reloj delante de los monitores de vdeo en la oficina de seguridad. All no se le permiti hacer nada ms que mirar a las pantallas, ni siquiera leer una revista o su Biblia encuadernada en piel. Slo haba que sentarse all mirando las pantallas de los todava imgenes en las que nada se mova. But caminando por los pasillos, era lo menos que estira sus piernas, y cuando se acord lanzar sus brazos y los hombros en el paseo, que le consigui un poco de ejercicio, tambin. A pesar de que en realidad no cuenta mucho como ejercicio para un hombre que haba jugado el tackle derecho en el equipo All-City campen de ftbol del instituto. Sin embargo, pens, un trabajo es un trabajo. Dobl la esquina suroeste y comenz a lo largo de la galera con vista a la planta de produccin de media milla de largo. Mir hacia abajo y vio a dos personas caminando ms all de la lnea de helicpteros parcialmente construido. La pareja se detuvo y pareca estar sealando las cosas entre s. Una extraa visin en este momento de la noche. -Ser mejor que comprobar ", pens. Leroy se dirigi hacia la escalera que lo llevara a la pista de la lnea de produccin detrs de la pareja, y no sentir su enfoque hasta que dio un paso al costado. "Buenos das. Puedo ver sus tarjetas de seguridad, por favor", dijo. Leroy siempre intent mantener su voz suave en momentos como este, saba que

el gran tamao de l podra parecer amenazante.

"Hola, Leroy ", dijo uno de ellos, al leer el nombre de su placa." Soy Tom Stilton, de la oficina de marketing de las empresas en Phoenix. Estoy en la ciudad para las reuniones y quera mostrar mi amigo aqu cmo los helicpteros ms grandes del mundo se construyen ". "S, Seor. Su tarjeta de identificacin, por favor ", dijo Leroy. l no poda dejar de notar lo joven que pareca. El tipo de marketing se vea acababa de salir de la escuela secundaria, el otro tena el pelo hasta los hombros y mir unos quince aos. The uno con el corte de pelo meti la mano en el bolsillo de su placa, y luego comenz a acariciar todos los bolsillos. Leroy fue de repente empieza a tener un mal presentimiento sobre esto. "Maldita sea", dijo el hombre. "Debe de haber dejado en el coche lo puedo conseguir -.. Slo me toma diez minutos para salir al estacionamiento y volver" Leroy tena su almohadilla por esta vez. "Qu le dijiste que te llamabas, sr.Pregunt, y anot cuidadosamente la respuesta. Luego les pidi que fuera con l a la Oficina de Seguridad. Sobre el ascensor hasta el tercer piso, Tom convers acerca de haber estado con la empresa durante slo seis meses y esperaba que no iba a conseguir en ningn problema por ello. Yon la sala de control de seguridad, los otros dos en el turno de noche con Leroy se uni a l en el cuestionamiento de la pareja. Stilton dio su nmero de telfono, y dijo que su jefe estaba Judy Underwood y dio su nmero de telfono y la informacin de todo el check out en el equipo. Leroy tom las otras dos personas de seguridad a un lado y hablaron sobre lo que debe hacer. Nadie quera conseguir este mal, los tres coincidieron en que es mejor llamar jefe del chico, aunque eso significara despertarla en medio de la noche. Leroy llam a la seora Underwood se explic quin era y qu tena que un seor Tom Stilton trabajando para ella? Sonaba como si estuviera todava medio dormido. "S," dijo ella. "Bueno, Lo encontramos abajo en la lnea de produccin a las 2:30 de la maana, sin Tarjeta de identificaci n. " Sra.. Underwood dijo: "Djame hablar con l." Stilton se puso al telfono y le dijo: "Judy, me siento mucho acerca de estos chicos con los que despertar en el medio de la noche. Espero que no vamos a hold esta en mi contra. "

He escuch y luego dijo: "Era slo que yo tena que estar aqu en la maana de todos modos, para una reunin sobre el nuevo comunicado de prensa. De todos modos, recibiste el correo electrnico acerca de la oferta Thompson? Tenemos que cumplir con Jim el lunes maana, as que no pierdas esto. Y todava estoy almorzando con ustedes el martes, verdad? "

He escuchado un poco ms y dijo adis y colg. That Leroy atrapados por sorpresa, haba pensado que conseguira de nuevo el telfono para que la seora pudiera decirle que todo estaba bien. Se pregunt si tal vez debera llamarla otra vez y preguntarle, pero se lo pens mejor. l ya le haba molestado una vez en el medio de la noche, y si l llam una segunda vez, tal vez ella podra molestarse y quejarse a su jefe. "Por qu hacer olas?" pens. Okay si muestro mi amigo el resto de la lnea de produccin? Stilton pregunt Leroy You quiere venir, mantener un ojo sobre nosotros? "Go, Leroy dijo. "Mire a su alrededor. Pero no se olvide su credencial prxima vez. Y que Security saber si tiene que estar en el piso de la planta despus de horas -. es la regla "Lo tendr en cuenta, Leroy", dijo Stilton. Y se fueron. HArdly diez minutos haban transcurrido antes de que el telfono son en la Oficina de Seguridad. La seora Underwood estaba en la lnea. "Quin era ese tipo?" ella quera saber. Ella dijo que ella segua tratando de hacer preguntas, pero l sigui hablando de almorzar con ella y ella no sabe quin demonios es. Thlos chicos de seguridad e llama el vestbulo y el guardia en la puerta del estacionamiento. Ambos informaron que los dos jvenes haban dejado unos minutos antes. TElling la historia ms tarde, Leroy siempre terminaba diciendo: "Dios, qu jefe me masticar un lado y por el otro. Tengo la suerte de que todava tengo un trabajo." Joe Historia de Harper Slo para ver lo que poda salirse con la suya, de diecisiete aos de edad, Joe Harper haba sido sneaking en los edificios durante ms de un ao, a veces en el da, a veces por la noche. Hijo de un msico y una camarera, tanto de trabajo cambio e la noche, Joe tena demasiado tiempo solo. Su historia de ese mismo incidente cobertizos instructivo luz sobre cmo sucedi todo. Tengo un amigo que Kenny cree que quiere ser piloto de helicptero. Me pregunt, puedo meterlo en la fbrica Skywatcher para ver la lnea de produccin donde se fabrican los helicpteros. l sabe que tengo en otros lugares antes. Es un subidn de adrenalina para ver si se puede caer en lugares que no se supone que sea.

But no simplemente entrar en una fbrica o edificio de oficinas. Tengo que pensar en ello, hace un montn de planificacin, y hacer un reconocimiento pleno en el objetivo. Consulte la pgina web de la compaa para los nombres y ttulos, estructura de informes, y nmeros de telfono. Leer recortes de prensa y artculos de revistas. Investigacin meticulosa es mi

propia marca de precaucin, para poder hablar con alguien que me ret, con el conocimiento tanto como cualquier otro empleado. So por dnde empezar? Primero busqu en Internet para ver donde la empresa tena oficinas, y vio a la sede social estaba en Phoenix. Perfecto. Me llam y me pregunt de Marketing, cada empresa tiene un departamento de marketing. Una seora respondi, y le dije que estaba con grficos lpiz azul y queramos ver si podamos interesarlos en el uso de nuestros servicios y que iba a hablar. Ella dijo que sera Tom Stilton. Le ped su nmero de telfono y me dijo que no dar esa informacin, pero que me poda pasar. La llamada son en el correo de voz, y su mensaje, dijo: "Este es Tom Stilton en grficos, extensin 3147, por favor deje un mensaje." Claro - no dar a conocer las extensiones, pero este tipo deja a su derecha en su buzn de voz. As que fue genial. Ahora tena un nombre y una extensin. Another llamar, de nuevo a la misma oficina. "Hola, yo estaba buscando Tom Stilton. l no est adentro me gustara pedir a su jefe una pregunta rpida." El jefe estaba fuera, tambin, pero por el momento yo estaba terminado, me saba el nombre del jefe. Y ella haba salido bien su nmero de extensin en su buzn de voz, tambin. Probablemente podra llevarnos ms all de la guardia del vestbulo, sin sudor, pero he conducido por la planta y pens que me acord de una valla alrededor de la zona de aparcamiento. Una valla significa un guardia que te cheques cuando se trate de conducir pulg Y por la noche, puede ser que anotar los nmeros de licencia, tambin, as que tendra que comprar una placa vieja en un mercado de pulgas. But primero que tendra que conseguir el nmero de telfono en la caseta de seguridad. Esper un poco por lo que si tengo el mismo operador cuando marqu de nuevo, ella no reconoce mi voz. Despus de un rato me llam y me dijo: "Tenemos una queja de que el telfono en el Ridge Road guardia choza ha reportado problemas intermitentes - sigue teniendo problemas?" Ella dijo que no lo saba, pero me conecte. The chico respondi: "Ridge puerta Road, este es Ryan." Le dije: "Hola, Ryan, este es Ben. Le tiene problemas con sus telfonos ah?" No es ms que un guardia de seguridad con salarios bajos, pero supongo que tena algn tipo de formacin, porque en seguida dijo: "Ben, que - cul es su apellido" Yo slo segua adelante como si yo ni siquiera lo haba escuchado. "Alguien inform de un problema antes." Yo poda or lo sostena el telfono y gritando: "Hey, Bruce, Roger, haba un problema con este telfono. Lleg de nuevo y dijo:" No, no hay problemas que conocemos. " "Holneas telefnicas w muchos Qu tienes

ah? " He haba olvidado de mi nombre. "Dos", dijo. "Cul eres t ahora?" "3140".

Gotcha! "Y los dos estn trabajando bien?" "Parece". Bueno, Le dije. Escucha, Tom, si usted tiene cualquier problema del telfono, slo llmenos en Telecom cualquier momento. Estamos aqu para ayudar. " My amigo y yo decidimos visitar la planta de la noche siguiente. Esa misma tarde llam a la garita de guardia, utilizando el nombre del tipo de comercializacin. Le dije: "Hola, soy Tom Stilton en Grficos. Estamos en un plazo accidente y tengo un par de tipos de conduccin a la ciudad para ayudar. Probablemente no estar aqu hasta la una o las dos de la maana. Va an estar en el, entonces? " He era feliz de decir que no, que se baj a la medianoche. Le dije: "Bueno, acaba de salir de una nota para el tipo de al lado, de acuerdo Cuando dos chicos se presentan y dicen que han venido a ver a Tom Stilton, slo ola 'em en in -?? Bien" S, Dijo, que estaba bien. Baj mi nombre, departamento y nmero de extensin y dijo que se ocupara de ello. We impuls a la puerta poco despus de las dos, me dio el nombre de Tom Stilton, y un guardia somnoliento slo seal a la puerta que debe ir y por dnde debo aparcar. When entramos en el edificio, haba otro puesto de guardia en el vestbulo, con el libro usual para despus de las horas de inicio de sesin ins. Le dije al guardia que tena un informe que deba estar listo en la maana, y este amigo mo quera ver la planta. "Est loco por helicpteros", dije, "Piensa que quiere aprender a pilotar uno." l me pidi mi tarjeta de identificacin. Met la mano en el bolsillo, luego palme la vuelta y me dijo que deba haberlo dejado en el coche, voy a ir a buscarlo. Le dije: "Va a tardar unos diez minutos." l dijo: No te preocupes, no pasa nada, slo iniciar sesin " Walking abajo que la lnea de produccin - lo que es un gas. Hasta ese tronco de un Leroy nos detuvo. Yon la oficina de seguridad, me imagin a alguien que no pertenece realmente se vera nervioso y asustado. Cuando las cosas se ponen tensos, acabo de empezar a sonar como que estoy realmente al vapor. Como si fuera verdad que yo deca ser y que es molesto que no me crees. When empezaron a hablar de que tal vez debera llamar a la seora que dijo que era mi jefe y fue a buscar su nmero de telfono desde el ordenador, me qued pensando: "Buen momento para hacer un descanso para l." Pero no era esa puerta del aparcamiento - incluso si nos salimos del edificio, cerraban la puerta y que nunca lo hacen fuera.

When Leroy llam la seora que era el jefe de Stilton y luego me dio el telfono, la mujer comenz a gritarme "Quin es ste, que eres!" y yo segua hablando como si estuviramos teniendo una conversacin agradable, y luego colg. How tiempo se tarda en encontrar a alguien que le puede dar un nmero de telfono de la compaa en el medio de la noche? Yo pens que tena menos de quince minutos para salir de all antes de que la seora estaba sonando la oficina de seguridad y poner un bug en sus odos. We sal de all lo ms rpido que pudimos, sin mirar como si estuviramos en un apuro. Claro que me alegro cuando el tipo de la puerta slo nos dejaron pasar. LaCon el nalyzing Ess vale la pena sealar que en el incidente real esta historia est basada en los intrusos, actualiado eran adolescentes. La intrusin fue una broma, slo para ver si podan salirse con la suya. Pero si fuera tan fcil para una pareja de adolescentes, que habra sido ms fcil para los ladrones adultos, espas industriales, o terroristas. How hizo tres oficiales de seguridad experimentados permitir un par de intrusos apenas caminar lejos? Y no slo cualquier intruso, pero un par tan joven que cualquier persona razonable debera haber sido muy sospechoso? Leroy se hizo lo suficientemente suspicaz, al principio. l tena razn al llevarlos a la Oficina de Seguridad, y en cuestionar el tipo que se haca llamar Tom Stilton y control de los nombres y nmeros de telfono que l dio. Sin duda era correcto al hacer la llamada al supervisor. But en la final fue llevado por aire al joven de la confianza y la indignacin. No era el comportamiento que se espera de un ladrn o intruso - slo un empleado real habra actuado de esa manera .., o al menos eso se supone. Leroy debera haber sido entrenados para contar con identificacin slida, no percepciones. Blancoy no era l ms sospechoso cuando el joven colg el telfono sin devolvrselo tan Leroy poda or la confirmacin directamente de Judy Underwood y recibir la seguridad de que el chico tena una razn de ser en la planta tan tarde en la noche? Leroy fue recogida por una artimaa tan osado que lo que debera haber sido obvio. Pero considere el momento de su perspectiva: un graduado de la escuela secundaria, preocupado por su trabajo, sin saber si podra tener problemas por molestar a un gerente de la empresa, por segunda vez en el medio de la noche. Si usted hubiera estado en sus zapatos, le han hecho la llamada de seguimiento?

Pero, por supuesto, una segunda llamada no fue la nica accin posible. Qu ms podra el guardia de seguridad lo han hecho? Evan antes de hacer la llamada telefnica, l podra haber pedido tanto de la pareja para mostrar algn tipo de identificacin con foto, que conduca a la planta, as que al menos uno de ellos debe tener una licencia de conducir. El hecho de que haban dado nombres falsos originalmente habra sido inmediatamente evidente (un profesional habra venido equipado con identificacin falsa, pero estos adolescentes no haban tomado esa precaucin). En cualquier caso, Leroy debera haber examinado sus credenciales de identificacin y la informacin escrita. Si ambos insistieron en que no tenan identificacin, entonces debe haber caminado ellos o el coche para recuperar la insignia de identificacin de la compaa que "Tom Stilton" afirm que haba dejado all. Mitnick MENSAJE Manipulativpersonas e suelen tener personalidades muy atractivas. Son tpicamente fast en los pies y articular bastante. Los ingenieros sociales tambin son expertos en distraer a los procesos de pensamiento de la gente para que coopere. Pensar que cualquier enpersona e particular no es vulnerable a esta manipulacin es subestimar la habilidad y el instinto asesino del ingeniero social. Un ingeniero de bien social, por otra parte, nunca subestima a su adversario. Following de la llamada telefnica, una de las personas de seguridad debera haberse quedado con la pareja hasta que salieron del edificio. Y luego se dirigi a su coche y por escrito el nmero de la matrcula. Si hubiera sido lo suficientemente observador, habra sealado que la placa (la que el atacante haba comprado en un mercado de pulgas) no tena una calcomana de registro vlido y que debera haber sido razn suficiente para detener a la pareja para anlisis adicionales. DUMPSTER BUCEO Dumpster buceo es un trmino que describe pateando la basura de un objetivo en la bsqueda de informacin valiosa. La cantidad de informacin que usted puede aprender acerca de un objetivo es asombrosa. Mospersonas t no dan mucha importancia a lo que estn desechando en casa: las facturas de telfono, estados de cuenta de tarjetas de crdito, botellas de prescripcin mdica, extractos bancarios, materiales relacionados con el trabajo, y mucho ms. Lat trabajo, los empleados deben ser conscientes de que las personas se ven a travs de la basura para obtener informacin que pueda beneficiar. During mis aos de escuela secundaria, sola ir hurgando en la basura detrs de

los edificios de la compaa de telfono locales - a menudo solo, pero de vez en cuando con los amigos que comparten un inters en aprender ms acerca de la compaa telefnica. Una vez que

se convirti en un basurero buzo experimentado, aprender algunos trucos, como la manera de hacer esfuerzos especiales para evitar las bolsas de los baos, y la necesidad de usar guantes. Dumpster buceo no es agradable, pero el resultado fue extraordinario - directorios telefnicos internos de la empresa, manuales informticos, listas de empleados, las impresiones desechadas para que pueda programar el equipo de conmutacin, y mucho ms - todo lo que hay para tomar. I 'd periodicidad de las visitas de noches en las que los nuevos manuales se emitan, ya que los contenedores de basura que tiene un montn de los viejos, sin pensar tirado. Y me gustara ir a otros ratos libres, as, en busca de los memos, cartas, informes, etc, que podran ofrecer algunas joyas interesantes de informacin. On llegar me iba a encontrar unas cajas de cartn, sacarlos y dejarlos a un lado. Si alguien me desafi, lo que ocurri de vez en cuando, yo dira que un amigo se mova y yo estaba buscando cuadros para ayudar a empacar. El guardia no se dio cuenta de todos los documentos que haba puesto en las cajas para llevar a casa. En algunos casos, l me deca que se pierden, por lo que acababa de pasar a otra empresa telfono de la oficina central. LINGO DUMPSTER CONDUCCIN Going en la basura de una empresa (a menudo en un outside Dumpster y vulnerable) para encontrar informacin descart que por s misma tiene un valor, o proporciona una herramienta para usar en un ataque de ingeniera social, tales como interna phonnmeros electrnicos o ttulos No s lo que es hoy en da, pero en aquel entonces era fcil decir que las bolsas pueden contener algo de inters. La basura y la basura del piso cafetera estaban sueltos en las bolsas grandes, mientras que las papeleras de oficina fueron alineados con blanco bolsas de basura desechables, que el equipo de limpieza se levantan uno a uno y se envuelve alrededor de un empate. Entiempo e, mientras buscaba con unos amigos, nos encontramos con algunas hojas de papel arrancadas a mano. Y no slo roto: alguien se haba tomado el trabajo de extraccin de las hojas en trozos pequeos, todos convenientemente desechados en una bolsa de basura solo cinco galones. Nos llevamos la bolsa a un local de tienda de donuts, dej las piezas sobre una mesa, y se empezaron a reunir una por una. We fueron todos los hacedores de rompecabezas, por lo que este ofreci el reto estimulante de un rompecabezas gigante. . . pero result tener ms de un premio

infantil. Una vez hecho, nos habamos reconstruido el nombre de cuenta completo y lista de contraseas para uno de los sistemas informticos de la empresa crticos.

Were nuestras basurero de buceo hazaas vale la pena el riesgo y el esfuerzo? Ya lo creo que eran. Incluso ms de lo que imagina, porque el riesgo es cero. Era verdad entonces y an hoy en da verdadero: Siempre y cuando usted no est invadiendo, poring a travs de otra persona basura es 100 por ciento legal. OPor supuesto f, phreakers y hackers no son los nicos que tienen sus cabezas en botes de basura. Los departamentos de polica de todo el pas a travs de la pata de basura con regularidad, y un desfile de gente de capos de la mafia a malversadores menores han sido condenados basndose en parte en las pruebas recabadas por la basura. Las agencias de inteligencia, incluido el nuestro, han recurrido a este mtodo desde hace aos. Yot puede ser una tctica demasiado bajo para James Bond - cinfilos preferira verlo outfoxing el villano y ropa de cama de una belleza que de pie hasta las rodillas en la basura. De la vida real espas son aprensivos cuando menos algo de valor puede ser embolsado entre las cscaras de pltano y caf molido, los peridicos y las listas de la compra. Sobre todo si la recogida de informacin no los pone en peligro. Cash para la basura Corporacins jugar el juego contenedor de buceo, tambin. Peridicos tuvieron un da de campo en Junio de 2000, informando de que Oracle Corporation (cuyo CEO, Larry Ellison, es probablemente ms abierto enemigo de la nacin de Microsoft) haba contratado a una empresa de investigacin que haba sido sorprendido con las manos en la masa. Parece que el investigadors quera basura de un equipo de cabildeo Microsoft-compatible, ACT, pero no quera arriesgarse a ser descubierto. Segn informes de prensa, la firma de investigacin enviada en una mujer que se ofreci a los trabajadores de limpieza de $ 60 a dejarla tener la basura ACT. Ellos la rechazaron. Fue a la siguiente noche, aumentando la oferta a $ 500 para la limpieza y $ 200 para el supervisor. Thconserjes e la rechaz y luego volvi la in Leading on-line periodista Declan McCullah, tomando una hoja de la literatura, titul su historia Wired News en el episodio, "'Twas Oracle que espiaba a la EM". La revista Time, clavando Ellison de Oracle, titul su artculo simplemente "Peeping Larry". LaCon el nalyzing Based en mi propia experiencia y la experiencia de Oracle, uno podra preguntarse por qu alguien se tomara la molestia de tomar el riesgo de robo de basura de alguien.

Threspuesta e, creo yo, es que el riesgo es nulo y los beneficios pueden ser sustanciales. Bueno, tal vez tratando de sobornar a los trabajadores de limpieza aumenta la probabilidad de consecuencias, pero para cualquiera que est dispuesto a ensuciarse un poco, los sobornos no son necesarios.

Fora ingeniero social, Dumpster diving tiene sus beneficios. Se puede obtener informacin suficiente para orientar su asalto contra la empresa objetivo, incluyendo notas, agendas de reuniones, cartas y artculos similares que revelan los nombres, departamentos, cargos, nmeros de telfono y las tareas del proyecto. La basura puede producir cuadros organizativos de la empresa, informacin sobre la estructura de las empresas, los horarios de viaje, y as sucesivamente. Todos esos detalles puede parecer trivial a informacin privilegiada, sin embargo, puede ser informacin muy valiosa para un atacante. Estropeark Joseph Edwards, en su libro Internet Security con Windows NT, habla de "informes completos descartados debido a errores tipogrficos, contraseas escritas en pedazos de papel," Mientras no estabas "mensajes con nmeros de telfono, carpetas completas de archivos con documentos todava en ellos, disquetes y cintas que no fueron borrados o destruidosAl-l de las cuales podran ayudar a un intruso de los posibles ". Thescritor e pasa a preguntar: "Y quines son esas personas en su equipo de limpieza? Usted ha decidido que el equipo de limpieza no [se permitir a] entrar en la sala de ordenadores, pero no se olvide de los otros botes de basura. Si federal agencias consideran necesario hacer verificaciones de antecedentes de las personas que tienen acceso a sus papeleras y trituradoras, probablemente tambin lo hara. " Mitnick MENSAJE Ustedr basura puede ser el tesoro de tu enemigo. No toman en cuenta ms a materiales electrnicos que desechamos en nuestra vida personal, por lo que por qu deberamos creer que la gente tiene una actitud diferente en el lugar de trabajo? Todo se reduce a la educacin de la fuerza de trabajo about e Danger (Unscrupulous people Digging for valuable informacin) y la vulnerabilidad (informacin sensible no ser destrozado o borrado correctamente). EL JEFE humillado Nobody pens nada al respecto cuando Harlan Fortis llegaron a trabajar el lunes maanag como de costumbre en el Departamento de Carreteras del Condado, y dijo que se haba ido a casa a toda prisa y olvidado de su tarjeta de identificacin. El guardia de seguridad haba visto a Harlan entrando y saliendo cada da de la semana durante los dos aos que haba estado trabajando all. Ella le hizo firmar para un pase de empleado temporal, se lo dio a l, y l sigui su camino. Yot No fue sino hasta dos das despus de que todo el infierno se empez a romper suelto. La story se extendi a travs de todo el departamento como la plvora. La mitad de las personas que lo oyeron dijeron que no poda ser cierto. Del resto, nadie pareca

saber si rer a carcajadas o sentir lstima por la pobre alma.

Laespus de todo, George Adamson era una persona amable y compasivo, el mejor jefe de departamento que nunca haba tenido. No se mereca que esto ocurra a l. Asumiendo que la historia era verdad, por supuesto. Thproblemas e haba comenzado cuando George llamado Harlan en su oficina un viernes tarde y le dijo, tan suavemente como pudo, que vienen Lunes Harlan presentara un informe a un nuevo trabajo. Con el Departamento de Saneamiento. Para Harlan, esto no era como ser despedido. Era peor: era humillante. l no iba a tener que acostarse. ThaEsa misma noche t se sent en el porche a ver el trfico de regreso a casa. Al fin se descubri el muchacho de barrio llamado David que todos llamaban "La Guerra Juegos de Nios" ir por su ciclomotor en el camino a casa desde la escuela secundaria. Dej de David, le dio un Cdigo de Red Mountain Dew haba comprado especialmente para este propsito, y le ofreci un trato: el reproductor de vdeo ms reciente del juego y los juegos de seis a cambio de un poco de ayuda de la computadora y la promesa de mantener la boca cerrada. En popaer Harlan explic el proyecto - sin renunciar a ninguno de los detalles comprometedores - David estuvo de acuerdo. l describi lo que l quera Harlan que hacer. Iba a comprar un mdem, ir a la oficina, computadora de alguien encontrar donde haba un telfono de repuesto gato cerca, y conecte el mdem. Deje el mdem en el escritorio donde nadie sera probable que lo veo. Luego vino la parte ms arriesgada. Harlan tuvo que sentarse delante del ordenador, instalar un paquete de software de acceso remoto, y ponerlo en marcha. Cualquier momento en que el hombre que trabajaba en la oficina puede ser que aparezca, o alguien puede pasar y verlo en la oficina de otra persona. Estaba tan tenso que apenas poda leer las instrucciones que el chico haba escrito para l. Pero tengo hecho y sali del edificio sin que se note. Planting la Bomba Dvido hizo escala despus de la cena de esa noche. Los dos se sentaron en la computadora de Harlan y dentro de unos minutos, el muchacho se haba marcado en el mdem, Obtuvo acceso, y lleg a mquina George Adamson. No es muy difcil, ya que nunca George tena tiempo para cosas como cambiar de precaucin passwords, y siempre estaba haciendo esta o aquella persona que descargar o enviar un archivo por l. Con el tiempo, todos en la oficina saba que su contrasea. Un poco de caza subi el archivo llamado BudgetSlides2002.ppt, que e boy descargar ontordenador o de Harlan. Harlan dijo entonces al nio a go en casa, y volver yon un couple oF horas. Cundo David regres, Harlan askedHolam to reconexint to e Carretera Departamento sistema informtico y poner el mismo archivo a donde lo haban encontrado, sobreescribiendo la versin anterior. Harlan David mostr el jugador de videojuegos, y prometi que si las cosas iban

bien, haba que tener al da siguiente.

Surprising George You no creo que algo que suena tan aburrido como audiencias sobre el presupuesto would ser de mucho inters para cualquier persona, pero la sala de reuniones de la Provincia CONSEJOl estaba lleno, lleno de periodistas, representantes de grupos de intereses especiales, los miembros del pblico, y hasta dos equipos de noticias de televisin. George siempre sent que estaba en juego para l en estas sesiones. La Condado Consejo ha mantenido los cordones de la bolsa, ya menos que George podra poner en un convincinpresentacin g, el presupuesto de carreteras se redujo. Entonces everyone would empezar a quejarse de los baches y las luces de trfico Stck und dangerouintersecciones s, y culpar a l, y la vida sera miserableable for e comin todog ao. Sin embargo, cuando se introdujo por la noche, se levant con mucha confianza. l haba trabajado seis semanas en esta presentacin y las imgenes de PowerPoint, que haba probado en su esposa, a su pueblo del personal superior, y algunos amigos respetados. Todos estuvieron de acuerdo que era su mejor carta de presentacin siempre. The tres primeras imgenes de PowerPoint jug bien. Para variar, cada miembro del Consejo estaba prestando atencin. l estaba haciendo sus puntos de manera efectiva. Und entonces de repente todo empez a ir mal. La cuarta imagen se supone que es una foto hermosa en la puesta del sol de la extensin de la nueva autopista se inaugur el ao pasado. En cambio, era algo ms, algo muy embarazoso. Una fotografa de una revista como Penthouse y Hustler. He oa el jadeo audiencia como se apresur a golpear el botn de su ordenador porttil to pasar a la siguiente imagen. This uno era peor. No es una cosa que quedaba a la imaginacin. He todava estaba tratando de hacer clic en otra imagen cuando alguien del pblico se retir el cable de alimentacin al proyector mientras que el presidente golpe fuertemente con el martillo y grit por encima del ruido que se levant la sesin. LaCon el nalyzing Usando los conocimientos de un hacker adolescente, un empleado descontento logr acceder a la calcularr del jefe de su departamento, descargue una importante presentacin en PowerPoint, y sustituir algunas de las diapositivas con algunas imgenes de

causar graves embarrassment. Luego se puso de nuevo la presentacin en el ordenador del hombre. Ingenioh el mdem conectado a una toma y conectado a uno de los ordenadores de oficina, el joven hacker fue capaz de marcar desde el exterior. El chico se haba instalado el software de acceso remoto de antemano a fin de que, una vez conectado a la computadora, tendra pleno acceso a todos los archivos almacenados en el sistema. Dado que el equipo se conecta a la red de la organizacin y ya

knew el nombre de usuario y la contrasea jefe, fcilmente podra obtener acceso a los archivos del jefe. Including el tiempo para analizar las imgenes de revistas, todo el esfuerzo se haba tomado slo unas pocas horas. Los daos causados a la reputacin de un buen hombre estaba ms all de imaginand o. Mitnick MENSAJE The inmensa mayora de los empleados que son transferidos, despedidos, o dejar en un downsizing are nunca un problema. Sin embargo, slo se necesita uno para hacer una empresa cuenta demasiado tarde qu medidas podran haber tomado para evitar el desastre. Experience y las estadsticas han demostrado claramente que la mayor amenaza para la empresa es desde adentro. Son los insiders que tienen un conocimiento ntimo de la valiosa informacin que reside, y donde golpear a la empresa a causar el mayor dao. EL BUSCADOR DE PROMOCIN A ltima hora de la maana de un da de otoo agradable, Peter Milton entr en el vestbulo of las oficinas regionales de Denver Auto Parts honorable, un mayorista de partes nacionales en un mercado de accesorios del automvil. Esper en el mostrador de recepcin mientras la joven firma en un visitante, dio indicaciones para viajar con la persona que llama, y se refiri al hombre UPS, todos ms o menos al mismo tiempo. "So cmo aprender a hacer muchas cosas a la vez? ", dijo Pete cuando tena tiempo para ayudarlo. Ella sonri, obviamente complacido que haba notado. Era de marketing en la oficina de Dallas, le dijo, y le dijo que Mike Talbott de ventas de campo de Atlanta se iba a haberlo conocido. "Tenemos un cliente a visitar juntos esta tarde", explic. Voy a esperar aqu en el vestbulo. " "Marketing."Ella dijo que la palabra casi con nostalgia, y Pete sonri, esperando escuchar lo que vena." Si yo pudiera ir a la universidad, eso es lo que me gustara tener ", dijo." Me encantara trabajar en Marketing. " He sonri de nuevo. "Kaila," dijo l, leyendo su nombre de la seal en el mostrador: "Tenemos a una seora en la oficina de Dallas que era una secretaria. Consigui se traslad a Marketing. Eso fue hace tres aos, y ahora es un asistente gerente de marketing, haciendo el doble de lo que era. " Kaila mir soadora. l continu: "Se puede usar una computadora?" "Claro", dijo.

"How te gustara poner su nombre en un trabajo de secretaria en Marketing. Ella estaba radiante. "Por eso yo incluso ir a Dallas". "You're va a amar a Dallas ", dijo." No puedo prometer una apertura inmediata, pero voy a ver qu puedo hacer. "

She pensado que este buen hombre en el traje y corbata y con el bien recortado, cabello bien peinado puede hacer una gran diferencia en su vida laboral. Pete se sent al otro lado de la entrada, abri su laptop, y empezbamos a trabajar un poco. Despus de diez o quince minutos, dio un paso atrs hacia el mostrador. "Escucha", dijo, "parece que debe de haber sido Mike levant. Hay una sala de conferencias en el que poda sentarse y revisar mi correo electrnico mientras espero?" Kaila llamar al hombre que coordin la programacin de la sala de conferencias y organiz Pete utilizar uno que no estaba lleno. Siguiendo un patrn recogido de las empresas de Silicon Valley (Apple fue probablemente el primero en hacer esto) algunas de las salas de conferencias se llevan el nombre de personajes de dibujos animados, otros despus de las cadenas de restaurantes o estrellas de cine o hroes de cmic. Se le dijo que mirara por la habitacin de Minnie Mouse. Ella le hizo firmar en, y le dio instrucciones para encontrar Minnie Mouse. He encuentra la sala, se establecieron en y conectado a su ordenador porttil al puerto Ethernet. Te haces una idea todava? Derecho - simoe intruso se haba conectado a la red detrs del firewall corporativo. LaHistoria de nthony Creo que se puede llamar a Anthony Lake, un hombre de negocios perezoso. O tal vez "doblado" se acerca. Instead de trabajar para otras personas, haba decidido que quera ir a trabajar para s mismo, quera abrir una tienda, donde poda estar en un solo lugar todo el da y no tener que correr por todo el campo. Slo quera tener un negocio que poda ser tan seguro como sea posible que pudiera ganar dinero en. Qut tipo de tienda? No pas mucho tiempo para averiguarlo. l saba sobre la reparacin de automviles, por lo que una tienda de auto partes. Und cmo construir en una garanta de xito? La respuesta le lleg en un instante: convencer a los mayoristas de piezas de piezas de automviles Auto honorables que le vendan all la mercanca que necesitaba en su costo. Naturally que no lo hara de buena gana. Pero Anthony saba cmo engaar a la gente, su amigo Mickey saba de irrumpir en los ordenadores de otras personas, y juntos elaboraron un plan inteligente. That da de otoo manera convincente se hizo pasar por un empleado llamado

Peter Milton, Y haba engaado a su manera dentro de las piezas honorables Auto oficinas y

haYa haba conectado su ordenador porttil a su red. Hasta ahora, todo va bien, pero eso fue slo el primer paso. Lo que l todava tena que hacer no iba a ser fcil, sobre todo desde que Anthony se haba establecido un lmite de tiempo de quince minutos - por ms tiempo y que pens que el riesgo de descubrimiento sera demasiado alto. Mitnick MENSAJE Tlluvia a tu gente a no juzgar un libro por su cubierta solamente - slo porque alguien yos bien vestido y bien peinado no debe ser ms creble. Yon de una llamada telefnica a principios de pretextos como una persona de apoyo de su proveedor informtico, se haba puesto un acto de canto y baile. "Su compaa ha comprado un plan de apoyo de dos aos y le estamos poniendo en la base de datos para que podamos saber cuando un programa de software que est utilizando ha salido con un parche o una nueva versin actualizada. As que necesito tenerte dime lo que las aplicaciones que est utilizando. " La respuesta le dio una lista de programas, y un amigo contador identificado el denominado MAS 90 como el blanco - el programa que mantendra su lista de vendedores y la oferta y las condiciones de pago para cada uno. Ingenioh que el conocimiento clave, vuelva a utilizar un programa de software para identifiy, "todos los hosts de trabajo en la red, y no tard mucho en encontrar el servidor correcto utilizado por el departamento de Contabilidad. Desde el arsenal de herramientas de hackers en su laptop, lanz un programa y lo utiliz para identificar a todos los usuarios autorizados en el servidor de destino. Con otra, luego se pas una lista de contraseas de uso comn, tales como "blanco" y "password" itself. "Password" funcion. No hay sorpresa. La gente pierde toda la creatividad cuando se trata de elegir contraseas. OnlY seis minutos fue, y el juego era la mitad. Fue pulg Another tres minutos con mucho cuidado agregar su nueva compaa, direccin, nmero de telfono y nombre de contacto a la lista de clientes. Y despus de la entrada decisiva, la que hara la diferencia, en la entrada que dice todos los artculos iban a ser vendidas a lo menos 1 por ciento sobre el costo de piezas honorables auto '. Yon poco menos de diez minutos, ya estaba hecho. Se detuvo el tiempo suficiente para decir gracias Kaila, fue a travs de comprobar sus correos electrnicos. Y haba llegado a Mike Talbot, cambio de planes, l estaba en camino a una reunin en la oficina de un cliente. Y no se olvide de recomendarla para ese trabajo en Marketing, tampoco.

LaCon el nalyzing The intruso que se haca llamar Peter Milton utilizado dos subversin psicolgico - tcnicas dee planificada, el otro improvisa en el fragor del momento.

He vestido como un trabajador de la gestin de ganar un buen dinero. Traje y corbata, el cabello cuidadosamente decoradas - stos parecen pequeos detalles, pero hacen una impresin. Lo descubr a m mismo, sin darse cuenta. En poco tiempo como programador en GTE California - una compaa telefnica importante ya no existe - Descubr que si me vino un da sin una tarjeta de identificacin, bien vestido pero informal - por ejemplo, una camisa deportiva, chinos, y Estibadores - yo ser detenido e interrogado. Dnde est su placa, quin es usted, dnde trabajas? Otro da me gustara llegar, an sin una tarjeta de identificacin, pero con un traje y corbata, que pareca muy corporativo. Que hara uso de una variante de la tcnica ancestral que lleva a cuestas, que se mezclan con una multitud de personas que entran a un edificio o de una entrada segura. Me pegan a algunas personas mientras se acercaban a la entrada principal, y caminar en la charla con la gente como si yo fuera uno de ellos. Pas por delante, e incluso si los guardias se dio cuenta que era emblema de menos, no me molesta porque me pareca a la gestin y estuve con personas que llevaban insignias. From esta experiencia, me di cuenta de cun predecible el comportamiento de los guardias de seguridad lo es. Al igual que el resto de nosotros, que estaban haciendo juicios basados en las apariencias-una grave vulnerabilidad que los ingenieros sociales aprenden a aprovechar. Thatacante e como arma psicolgica segundo entr en juego cuando not el esfuerzo extraordinario que el recepcionista estaba haciendo. Manejo de varias cosas a la vez, ella no consigui irritable pero se las arregl para hacer que todos sientan que tena toda su atencin. l tom esto como la marca de alguien interesado en salir adelante, para demostrar a s misma. Y luego, cuando l demand a trabajar en el departamento de Marketing, l mir para ver su reaccin, en busca de pistas para indicar si se establece una relacin con ella. l era. Para el atacante, esto sumado a alguien que poda manipular a travs de una promesa de tratar de ayudarla a mudarse a un mejor trabajo. (Por supuesto, si hubiera dicho que quera entrar en el departamento de contabilidad, habra reclamado tena contactos para conseguir un puesto de trabajo all, en su lugar.) Intrusos tambin son aficionados de otra arma psicolgica utilizada en esta historia: la creacin de confianza con un ataque en dos etapas. Se utiliz por primera vez esa conversacin locuaz sobre el trabajo en la comercializacin, y tambin se usa "nombre-dropping" - dando el nombre de otro empleado - una persona real, dicho sea de paso, al igual que el nombre que se utiliz fue el nombre de un verdadero empleado. He podra haber seguido la conversacin apertura de inmediato con una solicitud para entrar en una sala de conferencias. Pero en vez de eso se sent por un rato y fingi trabajar, supuestamente esperando a su socio, otra manera de disipar cualquier sospecha de posibles debido a que un intruso no colgar alrededor. No

colgar alrededor por mucho tiempo, sin embargo, los ingenieros sociales saben mejor que alojarse en el lugar de los hechos por ms tiempo de lo necesario.

Mitnick MENSAJE Allowinga extrao en un rea donde se puede conectar un ordenador porttil en el corporativo Network aumenta el riesgo de un incidente de seguridad. Es perfectamente razonable para un empleado, sobre todo uno de fuera del sitio, que desea comprobar su correo electrnico desde un conferencsala de correo, pero a menos que el visitante se establece como un empleado de confianza o la red est segmentada para evitar conexiones no autorizadas, este puede ser el eslabn dbil que permite que los archivos de la empresa se vea comprometida. Just para el registro: Por las leyes en los libros en el momento de escribir estas lneas, Anthony no se haba cometido un crimen cuando entr en el vestbulo. No se haba cometido un crimen cuando us el nombre de un empleado real. No se haba cometido un crimen cuando habl su camino a la sala de conferencias. No se haba cometido un crimen cuando l enchufado a la red de la empresa y busc el equipo de destino. Not hasta que realmente se rompi en el sistema informtico hizo romper la ley. Espiando a KEVIN Hombrey aos atrs, cuando yo estaba trabajando en una pequea empresa, empec a notar que cada vez que entr en la oficina que comparta con las tres personas de otro equipo que formaban el departamento de TI, un chico especial (Joe, le voy a llamar aqu) rpidamente cambiar la pantalla de su ordenador a una ventana diferente. De inmediato lo reconoci como sospechoso. Cuando ocurri dos veces ms los sda ame, yo estaba seguro de que algo estaba pasando que yo deba saber. Qu era ese tipo hasta que l no quera que yo veo? Joe 's equipo actu como un terminal para acceder a las minicomputadoras de la compaa, as que instal un programa de vigilancia de la minicomputadora VAX sombrero me permiti espiar lo que estaba haciendo. El programa acta como si una cmara de televisin estaba mirando por encima del hombro, y me mostr exactamente lo que estaba viendo en su computadora. Mescritorio y estaba al lado de Joe, me di la pantalla lo mejor que pude para ocultar parcialmente su punto de vista, pero poda haber mirado a travs de un momento a otro y se dio cuenta Yo wcomo espiar a l. No es un problema, estaba cautivado demasiado en lo que estaba haciendo para darse cuenta. Qut vi hizo que mi mandbula cada. Observ, fascinado, como el hijo de puta called hasta mis

datos de la nmina. Estaba mirando a mi sueldo! Yo h a d estado all slo unos pocos meses en el momento y supuse que Joe no poda stand la idea de que yo podra haber estado haciendo ms de lo que era. Unos minutos ms tarde vi que estaba descargando las herramientas utilizadas por hackers hackers con menos experiencia que no saben lo suficiente acerca de la programacin para elaborar el

herramientas por s mismos. As que Joe no tena ni idea, y no tena idea de que uno de los hackers ms expertos estadounidenses estaba sentada junto a l. Pens que era muy gracioso. He ya tena la informacin acerca de mi sueldo, de modo que era demasiado tarde para detenerlo. Adems, cualquier empleado con acceso a una computadora en el IRS o la Administracin del Seguro Social puede mirar su salario para arriba. Estoy seguro que no quera inclinar la mano, hacindole saber que haba encontrado lo que estaba haciendo. Mi objetivo principal en el momento de mantener un perfil bajo, y un ingeniero de bien social no hace publicidad de sus habilidades y conocimientos. Siempre quieres que la gente te subestimes, no te ven como una amenaza. So lo dejo ir, y se ech a rer a m mismo que Joe crea saber algn secreto sobre m, cuando era al revs: yo tena la ventaja de saber lo que haba estado haciendo. Con el tiempo descubr que mis tres compaeros de trabajo en el grupo de TI se divertan buscando el dinero que lleva a casa de tal o cual secretario lindo o (para la nia uno en el grupo), de aspecto pulcro hombre que haban visto. Y fueron todos saber el sueldo y las primas de nadie en la empresa tenan curiosidad sobre, incluyendo la alta gerencia. LaCon el nalyzing Esta historia ilustra un problema interesante. Los archivos de nmina son accesibles a personas e que tenan la responsabilidad de mantener los sistemas informticos de la empresa. As que todo se reduce a una cuestin personal: decidir quin se puede confiar. En algunos casos, el personal que le resulte irresistible a husmear. Y tienen la capacidad para hacerlo, porque tienen privilegios que les permiten eludir los controles de acceso a esos archivos. Una salvaguardia sera auditar el acceso a los archivos especialmente sensibles, xitoh como nmina. Por supuesto, cualquier persona que tenga los privilegios necesarios puede deshabilitar la auditora o posiblemente eliminar las entradas que apuntan de nuevo a ellos, pero cada paso adicional requiere ms esfuerzo para ocultar por parte de un empleado sin escrpulos. PREVENTING CON EL From pateando en su basura para engaar a un guardia de seguridad o recepcionista, social ingenieros fsicamente pueden invadir su espacio corporativo. Sin embargo, se le alegra saber que hay medidas preventivas que puede tomar. Proteccin After Hours All los empleados que llegan al trabajo sin sus placas les debe exigir que

stop en el vestbulo o en la oficina de seguridad para obtener una tarjeta de identificacin temporal para el da. El incidente en la primera historia de este captulo podra haber llegado a un muy diferente

estafaconclusin si los guardias de seguridad de la empresa ha tenido un conjunto especfico de pasos a seguir cuando se enfrentan a cualquier persona sin la credencial de empleado requerido. Para las empresas o reas dentro de una empresa, donde la seguridad no es una preocupacin de alto nivel, puede que no sea importante insistir en que cada persona tiene una tarjeta de identificacin visible en todo momento. Pero en las empresas de las zonas sensibles, esto debera ser un requisito estndar, rgidamente aplicadas. Los empleados deben ser entrenados y motivados para desafiar a las personas que no muestran una insignia, y empleados de niveles superiores deben aprender a aceptar estos desafos sin causar vergenza a la persona que se lo impide. Companpoltica y debe informar a los empleados de las penas para aquellos que de forma sistemtica no llevar sus insignias, las sanciones podran incluir el regreso del empleado para el da sin goce de sueldo, o una anotacin en su expediente personal. Algunas compaas de instituir una serie de sanciones ms estrictas cada vez que pueden incluir notificar el problema al administrador de la persona, entonces la emisin de una advertencia formal. YoAdems n, donde existe informacin sensible que proteger, la empresa debe establecer procedimientos para la autorizacin de las personas que necesitan visitar durante las horas no laborables. Una solucin: exigir que se tomen medidas a travs de la seguridad social o algn otro grupo designado. Este grupo rutinariamente verificar la identidad de cualquier empleado llamar para concertar una hora fuera de visita por una llamada al supervisor de la persona o algn otro mtodo razonablemente seguro. El tratamiento de la basura con respeto The-Dumpster diving historia se clavaron en los malos usos potenciales de la basura corporativa. The ocho llaves de la sabidura con respecto a la basura: ClasifY Todos los informacin sensible basado en el grado de sensibilidad. Establecer en toda la empresa los procedimientos para desechar la informacin sensible. Insist que toda la informacin sensible que descartar primero ser desmenuzado, y proporcionar una manera segura para deshacerse de la informacin importante en trozos de papel demasiado pequeo para la trituracin. Trituradoras no debe ser el tipo de presupuesto de gama baja, que resultan tiras de papel que un atacante determinado, paciencia dado lo suficiente, puede volver a montar. En su lugar,

tienen que ser del tipo llamado cross-trituradoras, o los que representar el resultado en pulpa intil. Providea camino para inutilizar o borrar por completo los medios informticos disquetes, discos Zip, CD y DVD usados para el almacenamiento de archivos, cintas extrables, viejos discos duros y otros medios informticos - antes de ser desechado. Recordar

THAt borrar archivos en realidad no eliminarlos, sino que todava se puede recuperar - como ejecutivos de Enron y muchos otros han aprendido a su consternacin. Simplemente dejando caer los medios informticos en la basura es una invitacin a su buzo local Dumpster ambiente. (Vea el Captulo 16 para obtener directrices especficas sobre la disposicin de los medios y dispositivos.) Mantenienn un nivel adecuado de control sobre la seleccin de las personas en sus equipos de limpieza, usando controles de antecedentes, si procede. Reminempleados d peridicamente para reflexionar sobre la naturaleza de los materiales que estn arrojando a la basura. Lock contenedores de basura. Nosotrose recipientes de eliminacin selectiva de materiales sensibles, y el contrato para que los materiales cedidos por una empresa que se especializa unidos en este trabajo. Saying adis a los empleados Thletra e se ha hecho anteriormente en estas pginas acerca de la necesidad de procedimientos acorazados cuando un empleado que se marcha ha tenido acceso a informacin sensible, contraseas, nmeros de marcado, y similares. Sus procedimientos de seguridad que proporcionan una manera de no perder de vista quin tiene autorizacin para varios sistemas. Puede ser difcil mantener un ingeniero social determinado se deslice ms all de las barreras de seguridad, pero no hacen que sea fcil para un ex-empleado. Another paso por alto fcilmente: Cuando un empleado que estaba autorizado a recuperar las cintas de copia de seguridad de las hojas de almacenamiento, una poltica por escrito que debe llamar a la empresa de almacenamiento para ser inmediatamente notificada a quitar su nombre de la lista de autorizaciones. Chapter 16 de este manual se proporciona informacin detallada sobre este tema vital, pero ser til enumerar aqu algunas de las disposiciones clave de seguridad que deben estar en su lugar, como se destaca en esta historia.: Una lista completa y detallada de los pasos que se deben tomar a la salida de un empleado, con disposiciones especiales para los trabajadores que tenan acceso a los datos confidenciales. Una poltica de terminar el acceso del empleado ordenador inmediatamente - de preferencia antes de que la persona ha llegado a salir del edificio. Un procedimiento para recuperar insignia de identificacin de la persona, as como todas las claves de acceso o dispositivos electrnicos.

Disposicins que requieren guardias de seguridad para ver identificacin con foto antes de admitir a cualquier empleado que no tiene que pasar su seguridad, as como para comprobar el nombre en una lista para verificar que la persona sigue siendo empleado de la organizacin. Algunos pasos ms le parecer excesivo o demasiado costoso para algunas empresas, pero que son apropiados para los dems. Entre estas medidas de seguridad ms estrictas son las siguientes: Tarjetas de identificacin electrnicas combinadas con escneres en las entradas, cada uno de los empleados golpetazos Holas badge through e scanner for unn instantneoaneous electrnico determinacin de que la persona sigue siendo un empleado actual y con derecho a entrar en el edificio. (Tenga en cuenta, sin embargo, que los guardias de seguridad todava debe ser entrenado para estar alerta para que lleva a cuestas -. Una persona no autorizada por el deslizamiento en la estela de un empleado legtimo) El requisito de que todos los empleados en el mismo grupo de trabajo que la persona va (sobre todo si la persona est siendo despedido) cambiar sus contraseas. (Esto se parece exagerado? Muchos aos despus de mi tiempo a trabajar en General Telephone, aprend que los Pacific Bell personal de seguridad, cuando se enteraron de Telfono General me haba contratado ", rod por el suelo de risa." Pero cuando al crdito general Telephone se dieron cuenta de que tenan un hacker de renombre trabajando para ellos despus de que me despidieron, entonces se requiere que las contraseas pueden cambiar para todos en la compaa!) You no desea que sus instalaciones para sentirse como crceles, pero al mismo tiempo es necesario para defenderse contra el hombre que fue despedido ayer, pero hoy ha vuelto intencin de hacer dao. No se olvide Cualquiera Security Politicassdiezd to overlook e entry-nivel obrero, people like recepcionistas que no manejan informacin confidencial de la empresa. Hemos visto en otros lugares que las recepcionistas son un blanco til para los atacantes, y la historia del robo en la empresa de autopartes es otro ejemplo: una persona amable, vestido como un profesional, que dice ser un empleado de la compaa de otro centro puede no ser lo que parece. Recepcionistas deben estar bien capacitados sobre cortsmente pidiendo identificacin de la compaa en su caso, y las necesidades de formacin de no ser slo para la recepcionista principal, pero tambin para todo aquel que se sienta en el alivio en la recepcin durante las pausas del almuerzo o el caf. For los visitantes de fuera de la empresa, la poltica debe exigir que una identificacin con fotografa y grabado aparecer la informacin. No es difcil

conseguir identificaciones falsas, pero al menos exigentes ID hace pre-texting un grado ms difcil para el atacante debera-ser.

Yon algunas empresas, tiene sentido seguir una poltica que requiere que los visitantes sern escoltados desde el lobby y de reunin en reunin. Los procedimientos debern requerir que el escolta dejar claro al entregar al visitante a su primera cita que esta persona ha entrado en el edificio como un empleado o no empleado. Por qu es esto importante? Porque, como hemos visto en anteriores stories, un atacante suele hacerse pasar en un pretexto para la persona encontraron por primera vez, y como otra persona a otra. Es demasiado fcil para un atacante para aparecer en el vestbulo, convencer a la recepcionista que tiene una cita con, por ejemplo, un ingeniero .., entonces ser escoltado a la oficina del ingeniero en la que afirma ser un representante de una empresa que quiere vender algn producto de la compaa .. y, a continuacin, despus de la reunin con el ingeniero, tiene acceso libre para vagar por el edificio. Before admitiendo que un empleado fuera de sitio a los procedimientos locales, adecuados se deben seguir para verificar que la persona es verdaderamente un empleado, recepcionistas y guardias deben ser conscientes de los mtodos utilizados por los atacantes para pretexto la identidad de un empleado con el fin de tener acceso a edificios de la empresa. How sobre la proteccin contra el atacante que cons su camino en el interior del edificio y se las arregla para conectar su porttil a un puerto de red detrs del firewall de la empresa? Con la tecnologa de hoy en da, se trata de un reto: salas de conferencias, salas de formacin y reas similares no deben salir de los puertos de red no segura, pero debe protegerlos con cortafuegos o routers. Pero una mejor proteccin que provienen de la utilizacin de un mtodo seguro para autenticar a los usuarios que se conectan a la red. Secure IT! Una palabra al sabio: En tu propia empresa, todos los trabajadores de TI probablemente sabe o Californian conocer en momentos cunto ganan, cunto el director general se lleva a casa, y que est utilizando el avin de la empresa para ir de vacaciones de esqu. Ess posible incluso en algunas empresas para la gente de TI o personas contables para aumentar sus propios salarios, hacer pagos a un proveedor falso, retire las calificaciones negativas de los registros de recursos humanos, y as sucesivamente. A veces es slo el temor de ser descubierto que los mantiene honesto .., y entonces un da a lo largo viene alguien cuya codicia o deshonestidad nativo hace que l (o ella) ignorar el riesgo y tomar lo que l cree que puede salirse con la suya. There son soluciones, por supuesto. Archivos confidenciales se pueden proteger mediante la instalacin de controles de acceso adecuados para que slo las personas autorizadas pueden abrir. Algunos sistemas operativos tienen controles

de auditora que se pueden configurar para mantener un registro de ciertos eventos, como cada persona que intenta acceder a un archivo protegido, independientemente de si el intento tiene xito.

Yof su empresa ha entendido esta cuestin y ha implementado los controles apropiados de acceso y auditora que protege los archivos confidenciales - usted est tomando medidas de gran alcance en la direccin correcta.

Chapter 11 Comcombinando Ingeniera Tecnologa y Social

Vive un ingeniero social por su capacidad para manipular a la gente a hacer cosas que le ayuden a lograr su objetivo, pero el xito a menudo tambin requiere un alto grado de conocimiento y destreza con los sistemas informticos y sistemas telefnicos. Aqu 'sa de muestreo tpicas estafas de ingeniera social donde la tecnologa jug un papel importante. HackinG ENTRE REJAS Qut son algunas de las instalaciones ms seguras que se pueda imaginar, protegido contra rodaje, Ya sea fsica de telecomunicaciones, electrnica o en la naturaleza? Fort Knox? Claro. La Casa Blanca? Por supuesto. NORAD, el North American Air Defense instalacin enterrada bajo una montaa? Definitivamente. How sobre prisiones federales y centros de detencin? Deben ser tan segura como cualquier lugar en el pas, no? La gente rara vez escapar, y cuando lo hacen, normalmente son atrapados en el corto plazo. Se podra pensar que una instalacin federal sera invulnerable a los ataques de ingeniera social. Pero sera un error - no hay tal cosa como la seguridad a toda prueba y en cualquier lugar. Hace unos aos, un par de timadores (estafadores profesionales) se encontr con un problema. Result que haba levantado un gran paquete de dinero en efectivo de un juez local. La pareja haba estado en problemas con la ley y desactivar a travs de los aos, pero esta vez las autoridades federales tomaron un inters. Se atrap a uno de los timadores, Charles Gondorff, y lo lanz en un centro correccional, cerca de San Diego. El juez federal orden su reclusin como peligro de fuga y un peligro para la comunidad. Holas amigo Johnny Hooker saba que Charlie iba a necesitar un abogado defensor. Pero, dnde estaba el dinero que va a venir? la mayora de los estafadores, su dinero se haba ido para siempre buena ropa, leva de lujo y las damas tan rpido como entr Johnny larely tena lo suficiente para vivir. Thdinero electrnico por un buen abogado tendra que venir corriendo desde otra estafa. Johnny no estaba en condiciones de hacer esto en esta cuenta. Charlie Gondorff siempre haba sido el cerebro detrs de sus contras. Pero Johnny no se atrevi a visitar el centro de detencin para preguntar Charlie qu no, cuando los federales saban que haban sido dos hombres involucrados en la estafa y estaban tan ansiosos de poner sus manos sobre la otra. Sobre todo porque la familia slo se puede visitar. lo que significaba que tendra que mostrar una identificacin falsa y afirmar que es un miembro de la familia. Tratar de usar identificacin falsa en una prisin federal no sonaba como una buena idea.

No, Que tendra que ponerse en contacto con Gondorff alguna otra manera. Yot no sera fcil. Ningn preso en cualquier instalacin federal, estatal o local se le permite recibir llamadas telefnicas. Un letrero colocado por cada telfono interno en un centro de detencin federal dice algo as como: "Este aviso es para informar al usuario de que todo conversacins de telfono estn sujetos a la supervisin. y el uso del telfono constituye el consentimiento para el seguimiento. Tener gubernamfuncionarios rentes escuchar las llamadas telefnicas mientras se comete un delito tiene una manera de ampliar sus fondos federales planes de vacaciones. Johnny saba, sin embargo, que algunas de las llamadas telefnicas no fueron controlados: las llamadas entre el recluso y su abogado, protegido por la Constitucin como clientcomunicaciones de abogados, por ejemplo. De hecho, la instalacin donde Gondorff wcomo mantenidos haba telfonos conectados directamente a la Oficina del Defensor Pblico Federal. Tome uno de esos telfonos, y una conexin directa yos hizo para el telfono correspondiente en el PDO. La compaa telefnica llama a este servicio Direct Connect. Las autoridades desprevenidas asumir el servicio es seguro e invulnerable a las manipulaciones ya saliente llamars slo puede ir a la DOP y las llamadas entrantes se bloquean. Incluso si alguien were algn modo capaz de averiguar el nmero de telfono, los telfonos are programado en el conmutador de la compaa telefnica como negar terminar, which yos un torpe telfono plazo de la empresa para el servicio cuando las llamadas entrantes are not permitido. Ya que cualquier estafador medianamente decente est bien versado en el arte del engao, Johnny pens que tena que haber alguna forma de evitar este problema. Desde dentro, Gondorff ya haba intentado recoger a uno de los telfonos con DOP y diciendo: "Este es Tom, en el centro de reparacin de telfonos de la empresa. LINGO DIRECT CONNECT Telfono plazo de la empresa de una lnea telefnica que va directamente a un nmero especfico al recogerlo DENY TERMINE Una compaa de telfonos opcin de servicio donde el equipo de conmutacin se establece que las llamadas entrantes no puede ser recibida en un nmero de telfono

We're de realizar una prueba en esta lnea y yo necesito que lo intentes marcar nueve, y luego cero-cero. "Los nueve habra accedido a una lnea externa, el cerocero, entonces habra llegado a un operador de larga distancia. didn 't trabajar la persona que contesta el telfono en la DOP era moderno ya a ese truco. Johnny estaba teniendo ms xito. l rpidamente se enter de que haba diez unidades de vivienda en el centro de detencin, cada uno con una lnea de telfono de conexin directa a la Oficina del Defensor Pblico. Johnny se encontr con algunos obstculos, pero al igual que un ingeniero social, pudo pensar que su camino alrededor de estos tropiezo molesto

bloques. Qu unidad era en Gondorff? Cul fue el nmero de telfono de los servicios de conexin directa en esa unidad de vivienda? Y cmo iba a conseguir inicialmente un mensaje a Gondorff sin que sea interceptado por funcionarios de la prisin? Qut puede parecer imposible para la gente normal, como la obtencin de los nmeros de telfono secretos ubicados en instituciones federales, es muy a menudo no es ms que un par de llamadas fuera de un estafador. Despus de un par de noches, y lanzando una lluvia de ideas de tornear plan, Johnny se despert una mormng con todo el asunto expuesto en su mente, en cinco pasos. Primero, l iba a encontrar los nmeros de telfono de esos diez telfonos de conexin directa a la DOP. He'd tienen todos los diez cambiado de modo que los telfonos permitira a las llamadas entrantes. Haba averiguar qu unidad de vivienda Gondorff estaba en marcha. Lan l averiguara qu nmero de telfono fue a esa unidad. Por ltimo, haba arreglos con Gondorff cundo esperar su llamada, sin que el gobierno sospechaba nada. Pedazo pens. un pastel ",

Calling Ma Bell ... Johnny comenz a llamar a la compaa telefnica oficina de negocios con el pretexto de ber de la Administracin de Servicios Generales, la agenc responsable de la compra de bienes y servicios para el gobierno federal. He dijo que estaba trabajando en una orden de compra de servicios adicionales y necesarios a conocer la informacin de facturacin de los servicios de conexin directa actualmente en uso, incluidos los nmeros de telfono de trabajo y el costo mensual de la San Diego detention centavoer. The lady Washingtons happy to ayudar. Just para asegurarse, trat de marcar en una de esas lneas y fue contestado por la grabacin audichron tpico "Esta lnea ha sido desconectada o ya no est en servicio", lo cual significaba que no saba nada de amable, pero quera decir en cambio que la lnea era programado para bloquear las llamadas entrantes, tal como l esperaba.

He saba por su amplio conocimiento de las operaciones de las compaas telefnicas y los procedimientos que haba que llegar a un departamento llamado recientes ChangAutorizacin e Memory Center o RCMAC (yo siempre pregunto que mAKES hasta estos nombres). Empez llamando a la compaa telefnica Business Oficina, Dijo que estaba en reparacin y necesitaba saber el nmero de la RCMAC

que maneja el rea de servicio para el cdigo de rea y el prefijo que dio, que fue notificada de la misma oficina central para todas las lneas telefnicas en el centro de detencin. Era una peticin de rutina, tal como se contempla para los tcnicos en la materia que necesitan algn tipo de asistencia, y el empleado no dud en darle el nmero. He llamado RCMAC, dio un nombre falso y otra vez dijo que estaba en reparacin He tenido la seora que contest el acceso a uno de los nmeros de telfono que haba estafado fuera de la oficina de negocios de unas cuantas llamadas antes, cuando ella tena hasta, Johnny pregunt: "Yos the number set to deny termination? "S," dijo ella. "BuenoEso explica por qu el cliente no es capaz de recibir llamadas! ", Dijo Johnny." Oye, me puedes hacer un favor. Te necesito para cambiar la clase de lnea bacalaoe o eliminar la funcin de negar terminar, de acuerdo? "Hubo una pausa mientras se checked otro sistema informtico para verificar que una orden de servicio se haba colocado a autorizar el cambio. Ella dijo: "Ese nmero se supone que se restrinja fosaliente r llamars slo. No hays no srvicio orden para un cambiar." "Cierto, es un error. Se supona que bamos a procesar el pedido ayer, pero el representante de cuenta regular que se encarga de este cliente fue a su casa enfermo y se olvid de que alguien ms se ocupe de la orden para ella. As que ahora, por supuesto, el cliente est en pie de guerra al respecto ". En popaer una pausa momentnea mientras la seora reflexionado sobre esta solicitud, que estara fuera de lo comn y en contra de los procedimientos operativos estndar, SHe dijo: "Est bien." Poda or su tipificacin, entrando en el cambio. Y unos segundos ms tarde, se hizo. The hielo se haba roto, una especie de complicidad que se establece entre ellos. Lectura de la actitud de la mujer y su voluntad de ayudar, Johnny no dud en ir a por todas. l dijo: "Tiene unos minutos ms para que me ayude?" "S", respondi ella. "Qu necesitas?" "I've got a varias lneas de otros que pertenecen a un mismo cliente, y todos tienen el mismo problema. Voy a leer los nmeros, por lo que puede asegurarse de que no est listo para terminar negar - bien "Ella dijo que estaba bien. Unos minutos ms tarde, los diez lneas telefnicas haban sido "arreglado" para aceptar llamadas entrantes.

Encontrar Gondorff Prximo, Averiguar qu unidad de vivienda Gondorff estaba en marcha. Esta es la informacin que el people que dirigen los centros de detencin y prisiones definitivamente no queremos forasteros saber. Una vez ms, Johnny tuvo que recurrir a sus habilidades de ingeniera social. l hizo una llamada a una prisin federal en otra ciudad - llam Miami, but cualquiera hubiera funcionado - y afirm que estaba llamando desde el centro de detencin de Nueva York. Pidi hablar con alguien que trabajaba con el ordenador Sentry de la Mesa, el sistema informtico que contiene informacin sobre todos los prisioneros detenidos en una Oficina de Prisiones facilidad en cualquier parte del pas. Blancoen que la persona se puso al telfono, Johnny se puso el acento de Brooklyn. "Hola", dijo. "Se trata de Thomas en el New York FDC. Nuestra conexin con Sentry sigue bajando, se puede encontrar la ubicacin de un prisionero para m, creo que esto puede ser prisionero de su institucin", y dio nombre Gondorff y su nmero de registro. "No, l no est aqu ", dijo el chico despus de un par de minutos." Est en el centro penitenciario de San Diego. " Johnny fingi estar sorprendido. "San Diego Se supona que iba a ser trasladado a Miami en puente areo el mariscal de la semana pasada Estamos hablando del mismo tipo -? Qu hay fecha de nacimiento del to" 12/3/60,"El hombre ley en su pantalla. "Si, Que es el mismo tipo. Qu unidad de vivienda est? " "ls en Diez Norte ", dijo el hombre - alegremente responder a la pregunta a pesar de que no hay ninguna razn concebible por qu un empleado de la prisin en Nordestew York tendra que saber esto. Johnny ahora se haba convertido en los telfonos para las llamadas entrantes, y saba que la vivienda Gondorff unidad estaba en marcha. A continuacin, averiguar qu nmero de telfono conectado a la unidad Diez Norte. This fue un poco difcil. Johnny llam a uno de los nmeros. Saba que el timbre

del telfono se apaga, nadie sabra que estaba sonando. As que se sent all leyendo Europa Fodor} gua de viajes a Great Cities. mientras se escucha el zumbido constante en el altavoz hasta que finalmente alguien recogi. El preso en el otro extremo, por supuesto, tratando de llegar a ser su abogado de oficio. Johnny fue preparado con la respuesta esperada. "La Oficina del Defensor Pblico", anunci.

When el hombre le pidi su abogado, Johnny dijo: "Voy a ver si est disponible, qu unidad de vivienda est llamando?" Anot la respuesta del hombre, hace clic en bodega, regres al cabo de medio minuto y dijo: "Est en la corte, usted tendr que volver a llamar ms tarde", y colg. He haba pasado la mayor parte de la maana, pero podra haber sido peor, su cuarto intento result ser de diez Norte. As que Johnny ya saba el nmero de telfono en el telfono PDO en la unidad de vivienda Gondorff. Sincronizar sus relojes Now para llegar un mensaje a Gondorff en cuando a recoger la lnea telefnica que conecta directamente los internos a la Oficina del Defensor Pblico. ] 'La suya era ms fcil de lo que parece. Johnny llam al centro de detencin con su oficial de voz con sonido, se identific como empleado, y pidi ser transferido a Diez Norte. La llamada se puso a travs. Cuando el oficial correccional all recogidos, Johnny lo estaf con abreviatura de la informacin privilegiada para la recepcin y descarga, la unidad que procesa los nuevos internos en y salen los: "Este es Tyson en I + D", dijo. "Necesito hablar con Gondorff preso. Tenemos alguna propiedad de su tenemos que enviar y necesitamos una direccin donde quiere que lo envi. Podras llamarlo al telfono de m?" Johnny poda or el guardia gritaba a travs del cuarto da. Despus de varios minutos un impacientes, una voz familiar se puso al telfono. Johnny le dijo: "No digas nada hasta que me explique de qu se trata". Explic el pretexto para Johnny podra sonar como si estuviera discutiendo cuando sus bienes se entregar. Johnny dijo entonces: "Si usted puede conseguir en el telfono a un defensor pblico esta tarde, no responden. Si no puede, entonces diga una vez que se Californian estar ah ". Gondorff no respondi. Johnny continu:" Bien. Estar all a la una. Te llamo luego. Levante el telfono. Yon caso de que empiece a sonar a la Defensora del Pueblo, el flash del gancho conmutador cada veinte segundos. Sigue intentndolo hasta que oigas mi lado en el otro extremo. " A la una, Gondorff cogi el telfono, y Johnny estaba all esperndolo. Tenan un hablador, conversacin agradable, sin prisas, dando lugar a una serie de llamadas similares a planear la estafa que reunir el dinero para pagar los honorarios legales Gondorff - todo libre de la vigilancia gubernamental. LaCon el nalyzing Este episodio ofrece un excelente ejemplo de cmo un ingeniero social puede hacer que el seeminglimposible y pasar por estafar a varias personas, cada uno haciendo

something que, por s mismo, parece intrascendente. En realidad, cada accin proporciona una pequea pieza del rompecabezas hasta que la estafa se ha completado. The primer empleado de compaa de telfono pensaba que estaba dando informacin a alguien de la oficina del gobierno federal de Contabilidad General. El empleado de la compaa telefnica prximo saba que no iba a cambiar la clase de servicio telefnico sin una orden de servicio, pero ayud al hombre amable de todos modos. Esto hizo posible realizar llamadas a travs de las diez de las lneas telefnicas de defensores pblicos en el centro de detencin. For al hombre en el centro de detencin en Miami, la peticin para ayudar a alguien en otra instalacin federal con un problema pareca perfectamente razonable. Y a pesar de que no pareca haber ninguna razn por la que le gustara saber la vivienda, por qu no responder a la pregunta? Und la guardia en Diez Norte, que crea que la llamada era realmente desde dentro de la misma instalacin, llamando en comisin de servicio? Era una peticin muy razonable, as que llam la Gondorff preso al telfono. No es gran cosa. Una serie de historias bien planificadas que han aadido hasta completar la picadura. THE SPEEDY DOWNLOAD Tcuarto ao despus de haber terminado la escuela de derecho, Ned Racine vio a sus compaeros de clase viviendog en casas bonitas con jardines delanteros, pertenecientes a clubes de campo, jugar al golf una vez o dos veces por semana, mientras que l todava estaba manejo penny-ante los casos para el tipo de gente que nunca tuvo el dinero suficiente para pagar su factura. Los celos pueden ser un compaero desagradable. Finalmente, un da, Ned haba tenido suficiente. The un buen cliente que haba tenido era una empresa de contabilidad de la pequea pero muy exitosa que se especializ en fusiones y adquisiciones. No haban utilizado Ned por mucho tiempo, slo el tiempo suficiente para darse cuenta de que estaban involucrados en negocios que, una vez que lleguen los peridicos, podran afectar la cotizacin de las acciones de una o dos empresas que cotizan en bolsa. Ante Penny-, tabln de anuncios, las acciones, pero de alguna manera que era incluso mejor - un pequeo salto en los precios podra representar un gran porcentaje de ganancia en una inversin. Si pudiera aprovechar sus archivos y averiguar lo que estaban trabajando en ... He conoc a un hombre que conoca a un hombre que fue sabio en cosas no exactamente en la corriente principal. El hombre escuch el plan, fue despedido y

accedi a ayudar. Por un precio menor de lo que generalmente se cobra, frente a un porcentaje del mercado de valores de Ned

matanza, El hombre dio instrucciones Ned sobre qu hacer. Tambin le dio un dispositivo pequeo y prctico de usar, algo totalmente nuevo en el mercado. Fora pocos das en una fila Ned vigilaba el aparcamiento del parque de la pequea empresa, donde la compaa tena sus pretensiones de contabilidad, como escaparate-oficinas. La mayora de las personas que quedaron entre las 5:30 y 6. A las 7, el aparcamiento estaba vaco. El equipo de limpieza se presentaron alrededor de las 7:30. Perfecto. Thnoche e prximo a unos minutos antes de las 8, Ned aparcado al otro lado de la calle de la playa de estacionamiento. Como esperaba, el aparcamiento estaba vaco, excepto por el camin de la empresa de servicios de limpieza. Ned puso su oreja a la puerta y oy la aspiradora en funcionamiento. Llam a la puerta muy fuerte, y se qued esperando en su traje y corbata, sosteniendo su muy gastado maletn. No hubo respuesta, pero era paciente. Llam de nuevo. Un hombre del equipo de limpieza por fin apareci. "Hola", le grit Ned a travs de la puerta de cristal, mostrando la tarjeta de visita de uno de los socios que haba recogido un tiempo anterior. "Cerr mis llaves en mi coche y necesito llegar a mi escritorio." Thhombre e abri la puerta, la cerr de nuevo detrs de Ned, y luego se fue por el pasillo de encender luces para Ned poda ver por dnde iba. Y por qu no - que estaba siendo amable con una de las personas que ayudaron a poner comida en su mesa. O eso es lo que l tena todas las razones para pensar. Mitnick MENSAJE Industrial espas e intrusos informticos a veces hacer una entrada fsica en e dirigido negocio. En lugar de usar una palanca para entrar, el ingeniero social usa el arte del engao para influir en la persona del otro lado de la puerta se abriera para l. Ned sent a la computadora de uno de los socios, y la encendi. Mientras que fue puesta en marcha, instal el pequeo dispositivo que le haban dado en el puerto USB de la computadora, un dispositivo lo suficientemente pequeo para llevar en un llavero, pero capaz de contener ms de 120 megabytes de datos. Se registra en la red con el nombre de usuario y la contrasea del secretario de la pareja, los cuales fueron escritos por conveniente en un post-it pegado a la pantalla. En menos de cinco minutos, Ned haba descargado cada hoja de clculo y archivo de documentos almacenados en la estacin de trabajo y de directorio de red del socio y estaba en su camino a casa. EASY DINERO When tuve mi primer contacto con las computadoras en la escuela secundaria, haba que conectarse a travs de un mdem para una central de DEC PDP 11 miniordenador en el centro de Los

Angeles

THAt todas las escuelas secundarias de Los ngeles compartido. El sistema operativo en ese equipo fue llamado RSTS / E, y fue el sistema operativo que aprendi a trabajar. Lan ese momento, en 1981, DEC patrocin una conferencia anual de usuarios de sus productos, y un ao le que la conferencia iba a celebrarse en Los ngeles Una revista popular para los usuarios de este sistema operativo llevado a un anuncio sobre un nuevo producto de seguridad, LOCK-11. El producto se est promoviendo una campaa de publicidad inteligente que deca algo as como: "Son las 3:30,. M. y Johnny por la calle de encontrar su nmero telefnico, 5550336, en su intento 336a. Est en y usted ests fuera. Cmo LOCK-11. " El producto, el anuncio sugiere, era a prueba de hackers. Y que iba a ser expuesta en la conferencia. Yo estaba ansioso por ver el producto por m mismo. Un compaero de la escuela secundaria y amigo, Vinny, mi compaero de hacking desde hace varios aos que luego se convirti en un informante federal contra m, comparta mi inters en el nuevo producto de diciembre, y me anim a ir a la conferencia con l. Cash en la lnea We Llegamos a encontrar un gran ruido ya dar la vuelta a la multitud en la feria about LOCK-11. Pareca que los desarrolladores estaban apostando dinero en la lnea de una apuesta en la que nadie poda entrar en su producto. Sonaba como un reto que no poda resistir. We se dirigi directamente hacia el LOCK-11 cabina y lo encontr tripulada por tres hombres que fueron los creadores del producto, las reconoc y me reconoci incluso en la adolescencia, ya tena la reputacin de ser un phreaker y hacker debido a una gran noticia el diario Los Angeles Times se haba quedado con mi primer contacto con las autoridades de menores. El artculo informaba de que haba hablado mi camino en un edificio Telfono Pacfico en medio de la noche y sali con manuales de computadora, justo debajo de la nariz de su guardia de seguridad. (Aparece el Times quera correr una historia sensacionalista y sirvi a sus propsitos de publicar mi nombre, porque yo era todava menor de edad, el artculo violaba la medida, si no la ley de retener los nombres de los menores acusados de mala conducta.) Blancoen Vinny y yo caminamos hacia arriba, ir creado cierto inters por ambas partes. Hubo un inters de su parte porque me reconoci como el hacker que haba ledo y que eran un poco sorprendido de verme. Se cre un inters de nuestro lado, porque cada uno de los tres desarrolladores de pie all con un billete de $ 100 que salen de su placa feria. El dinero del premio para alguien que poda derrotar a su sistema sera el conjunto $ 300 - que sonaba como una gran cantidad de dinero a un par de adolescentes. Casi no poda esperar para empezar.

LOCK-11 fue diseado en un principio establecido que se bas en dos niveles de seguridad. Un usuario tena que tener una identificacin vlida y una contrasea, como siempre, pero adems el identificador y la contrasea slo funciona cuando entraron los terminales autorizados, un enfoque llamado la caracterstica con la seguridad. Para derrotar al sistema, un hacker necesitara no slo tener conocimiento de un ID de cuenta y contrasea, pero tambin tendra que entrar en esa informacin desde la terminal correcta. El mtodo fue bien establecido, y los inventores de LOCK-11 estaban convencidos de que mantendra a los chicos malos. Decidimos que bamos a darles una leccin, y ganar 300 dlares para arrancar. Un tipo que saba que era considerado un gur RSTS / E ya nos haba golpeado a la cabina. Aos antes haba sido uno de los chicos que me haban desafiado a entrar en el equipo interno de desarrollo de diciembre, despus de que sus compaeros me haba convertido pulg Desde aquellos das se haba convertido en un respetado programador. Nos enteramos de que haba tratado de derrotar al LOCK-11 programa de seguridad poco antes de llegar, pero no haba podido. El incidente se haba dado a los desarrolladores una mayor confianza de que su producto realmente era seguro. LINGO TERMINAL-BASED SEGURIDAD Security basado en parte en la identificacin of terminal de computadora particular que se utilice, este mtodo de seguridad era especialmente popular entre los ordenadores centrales de IBM. Thconcurso e era un reto sencillo: usted entrar, usted gana el dinero. Un buen truco publicitario .., a menos que alguien fue capaz de avergonzar y tomar el dinero. Estaban tan seguros de su producto que estaban an lo suficientemente audaces para tener un listado publicado en el stand de dar los nmeros de cuenta y contraseas correspondientes a algunas cuentas en el sistema. Y no slo las cuentas de usuarios normales, pero todas las cuentas privilegiadas. That fue en realidad menos arriesgada de lo que parece: En este tipo de configuracin, lo saba, cada terminal est conectado a un puerto en el propio ordenador. No era un genio para averiguar que haban establecido las cinco terminales en la sala de conferencias por lo que un visitante pueda acceder slo como un usuario sin privilegios - es decir, las conexiones son posibles slo a las cuentas sin privilegios de administrador del sistema. Pareca que slo haba dos caminos: o bien no utilizan el software de seguridad completo - exactamente lo que el LOCK-11 fue diseado para prevenir, o de alguna manera eludir el software de forma que los desarrolladores no haban imaginado. Aceptar el desafo Vinny y yo caminamos lejos y habl sobre el desafo, y se me ocurri una plan. Nos recorriendo el lugar inocentemente, manteniendo un ojo en la cabina

desde la distancia. Al medioda, cuando la multitud adelgazado, los tres desarrolladores tomaron

advantage de la ruptura y se quit juntos para conseguir algo de comer, dejando tras de s a una mujer que podra haber sido la esposa o la novia de uno de ellos. Nos pase hacia atrs y me distrajo la mujer, hablando en brazos de esto y aquello, "Cunto tiempo ha estado en la compaa?" Qu otros productos tiene su empresa en el mercado? "Y as sucesivamente. Meanwhile Vinny, de su lnea de visin, se haba ido a trabajar, haciendo uso de una habilidad que l y yo habamos desarrollado. Adems de la fascinacin de irrumpir en los ordenadores, y mi propio inters en la magia, ambos habamos estado intrigado por saber cmo abrir cerraduras. Como un nio pequeo, que haba rastreado los estantes de una librera subterrnea en el Valle de San Fernando que tena volmenes en abrir cerraduras, saliendo de esposas, la creacin de identidades falsas - todo tipo de cosas que un nio no deba conocer. Vinny, Como yo, haba practicado lock-picking hasta que estuvimos muy bien con cualquier run-of-the-mill ferretera bloqueo. Hubo un momento en que me dieron una patada fuera de bromas que implican bloqueos, como alguien que estaba manchado con dos cerraduras para una mayor proteccin, recogiendo las cerraduras, y los puso-sonar de nuevo en los lugares opuestos, lo que desconcertar y frustrar el propietario cuando trat de abrir cada uno con la tecla equivocada. Yon la sala de exposiciones, segu mantener a la mujer joven distrado mientras Vinny, en cuclillas en la parte trasera de la cabina para que no pudiera BeSeen, recogi la cerradura de la caja que albergaba su miniordenador PDP-11 y las terminaciones de cables. Para llamar a un armario cerrado con llave era casi una broma. Se asegura con lo cerrajeros se refieren como una cerradura de la oblea, notoriamente fcil de aprender, incluso para los muy torpes, aficionados lockrecolectores como nosotros. Yot se Vinny todos alrededor de un minuto para abrir la cerradura. Dentro del gabinete se encontr justo lo que haba imaginado: la tira de puertos para conectar terminales de usuario, y un puerto para lo que se llama la terminal de consola. Este fue el terminal utilizado por el operador del ordenador o administrador del sistema para controlar todos los equipos. Vinny conectado el cable que va desde el puerto de la consola en uno de los terminales de la sala de exposiciones. That significa este terminal uno fue reconocido ahora como un terminal de consola. Me sent ante la mquina y recabled iniciado sesin con una contrasea los desarrolladores tan audazmente haba proporcionado. Debido a que el software LOCK-11 identificado ahora que estaba iniciando sesin desde un terminal autorizado, se me concedi el acceso, y estaba conectado con privilegios de administrador del sistema. Yo parcheado el sistema operativo mediante el cambio de manera que desde cualquiera de los terminales en el piso, yo sera capaz de iniciar una sesin como un usuario con privilegios.

Once mi secreto parche se ha instalado, Vinny volvi a su trabajo de desconectar el cable del terminal de volver a enchufarlo donde haba estado originalmente. Luego tom la cerradura, una vez ms, esta vez para sujetar la puerta del armario cerrada. Hice una lista de directorio para saber qu archivos estaban en el equipo, en busca de la cerradura-11 del programa y los archivos asociados y tropez con algo que me pareci chocante: un directorio que no debera haber estado en esta mquina. Los desarrolladores han estado tan confiado, tan seguro de su software era invencible, que no se haba molestado en quitar el cdigo fuente de su nuevo producto. Pasando a la adyacente impresa terminal, empec a imprimir porciones del cdigo fuente sobre las hojas continuas de papel de rayas verdes equipo utilizado en esos das. Vinny apenas haba terminado apenas forzar la cerradura cerrada y se reuni conmigo cuando los muchachos regresaron del almuerzo. Me encontraron sentado en la computadora golpear las teclas mientras la impresora sigue rotacin de distancia. "What'cha haciendo, Kevin?" pregunt uno de ellos. "Oh, Slo imprimir su cdigo fuente, "le dije. Asumieron que estaba bromeando, por supuesto. Hasta que mir a la impresora y vio que realmente u, como el cdigo fuente celosamente guardado por su producto. Lay no crea que fuera posible que yo estaba conectado como un usuario con privilegios. "Escriba un Control-T," orden uno de los desarrolladores. Yo lo hice. En la pantalla que aparece en la pantalla confirma mi afirmacin. El chico se golpe la frente, como Vinny dijo: "Trescientos dlares, por favor." Mitnick MENSAJE He aqu otro ejemplo de gente inteligente subestimar al enemigo. Qu hay de usted - are est tan seguro acerca de las garantas de seguridad de su empresa que usted apuesta $ 300 contra un atacante romper en? A veces el camino alrededor de un dispositivo de seguridad tecnolgica no es el que esperaba. Lay desembolsadas. Vinny y yo caminamos por la pista de feria para el resto del da con los billetes de cien dlares clavados en insignias de conferencias. Todos los que vieron los billetes saba lo que representaban. Of curso, Vinny y yo no haba derrotado a su software, y si el equipo de desarrollo se le haba ocurrido a establecer mejores normas para el concurso, o que haban utilizado un bloqueo muy seguro, o haba visto a su equipo con ms cuidado, no habra sufrido la humillacin de ese da - la humillacin a manos de un par de adolescentes.

Ms tarde me enter de que el equipo de desarrollo tuvo que pasar por un banco para conseguir un poco de dinero en efectivo: los billetes de cien dlares representaban todo el dinero del gasto que haban trado con ellos. THE diccionario como una herramienta de ataque When alguien obtiene la contrasea, que es capaz de invadir el sistema. En la mayora circumstances, usted ni siquiera sabe que algo malo ha sucedido. Un atacante joven que llamar Ivan Peters tena un objetivo de recuperar el cdigo fuente de un juego electrnico nuevo. No tena problemas para entrar en la zona ancha de la compaa red, Porque un amigo hacker de suyo haba comprometido ya a uno de los servidores web de la compaa. Despus de encontrar una vulnerabilidad sin parche en el software de servidor Web, su amigo tena casi cado de su silla cuando se dio cuenta de que el sistema se haba establecido como host de base dual, lo que significaba que tena un punto de entrada a la red interna . . Pero una vez que Ivan estaba conectado, luego se enfrentan a un reto que era como estar en el interior del Louvre y la esperanza de encontrar la Mona Lisa. Sin un plan de piso, se puede pasear por semanas. La compaa era global, con cientos de oficinas y miles de servidores de un ordenador, y no proporcionan exactamente un ndice de desarrollo de sistemas o los servicios de un gua turstico para dirigirlo a la derecha. Instead de utilizar un enfoque tcnico para averiguar qu servidor que tena que apuntar, Ivan utiliz un enfoque de ingeniera social. Coloc las llamadas telefnicas base de criterios similares a los descritos en otras partes de este libro. En primer lugar, calificndola de apoyo tcnico, que deca ser empleado de una empresa que tiene un problema de interfaz en un producto que su grupo estaba diseando. y le pidi el nmero de telfono del responsable del proyecto para el equipo de desarrollo de juegos. Lan llam el nombre que le haban dado, hacindose pasar por un chico de TI. "Ms tarde esta noche", dijo, "estamos cambiando un enrutador y la necesidad de asegurarse de que las personas de su equipo no pierda la conectividad con el servidor. As que tenemos que saber qu servidores de su equipo utiliza". La red se est mejorando todo el tiempo. Y dando el nombre del servidor no estara nada de todos modos, ahora verdad? Ya que era protegido por contrasea, slo tener el nombre no poda ayudar a nadie romper pulg As que el tipo le dio al atacante el nombre del servidor. Ni siquiera se molest en llamar al hombre de regreso a verificar su historia, o anote su nombre y nmero de telfono. l slo dio el nombre de los servidores, y ATM5 ATM6. The Attack

contrasea Lat este punto, Ivn cambi a un enfoque tcnico para conseguir la autenticacin informacin. El primer paso en la mayora de los ataques tcnicas sobre los sistemas que proporcionan

capacidad de acceso remoto es identificar una cuenta con una contrasea dbil, que proporciona un punto de entrada inicial en el sistema. Blancoes un atacante intenta utilizar herramientas de hacking para identificar contraseas remotamente, el esfuerzo puede requerir que se mantenga conectado a la red de la compaa durante horas a la vez. Es evidente que lo hace a su propio riesgo: Cuanto ms tiempo permanece conectado, mayor ser el riesgo de ser descubierto y atrapado recibiendo. Lasa paso preliminar, Ivan hara una enumeracin, que revela los detalles de un sistema de destino. Una vez ms la Internet convenientemente ofrece software para el propsito (en http://ntsleuth.0catch.com, El personaje antes de "captura" es un cero). Ivan encontr varias herramientas de hacking a disposicin del pblico en la Web que automatiz el proceso de enumeracin, evitando la necesidad de hacerlo a mano, lo que llevara ms tiempo y por lo tanto corren un riesgo ms alto. Sabiendo que la organizacin en su mayora desplegados servidores basados en Windows, se descarg una copia de NBTEnum, un NetBIOS (bsico de entrada / salida del sistema) la utilidad enumeracin. Entr en el IP (Internet Protocol) del servidor ATM5, y comenz a correr el programa. La herramienta de enumeracin fue capaz de identificar varias cuentas que existan en el servidor. LINGO ENUMERATIEN Un proceso que revela el servicio habilitado en el objetivo sistema, La plataforma de sistema operativo, y una lista de nombres de cuentas de los usuarios que tienen acceso al sistema. Once las cuentas existentes haban sido identificados, la herramienta de enumeracin mismo tena la capacidad de lanzar un ataque de diccionario contra el sistema informtico. Un ataque de diccionario es algo que muchas personas de seguridad informtica e intrusos estn ntimamente familiarizados, pero que la mayora de otras probablemente se sorprendern al saber que es posible. Tal ataque est dirigido a descubrir la contrasea de cada usuario en el sistema mediante el uso de palabras de uso comn. We're todo perezoso en algunas cosas, pero nunca deja de sorprenderme que cuando las personas eligen su contraseas, Su creatividad y imagination verm a desaparecer. La mayora de nosotros queremos una contrasea que nos da proteccin, sino que es a la vez fcil de recordar, lo que normalmente significa algo estrechamente relacionada con nosotros. Nuestros iniciales, nombre, apodo, nombre del esposo, la cancin favorita, pelculas, or cerveza, por ejemplo. El nombre de la calle en que vivimos o la ciudad en que vivimos, el tipo de coche que conducimos, la villa frente a la playa que nos gusta para alojarse en Hawai, o esa secuencia favorita con la mejor pesca de trucha alrededor. Reconocer el patrn aqu? En su mayora son nombres de personas, nombres de lugares, o palabras de diccionario. Un ataque de diccionario se ejecuta

a travs de palabras comunes a un ritmo muy rpido, tratando cada uno como una contrasea en una o ms cuentas de usuario.

Ivan dirigi el ataque de diccionario en tres fases. Para el primero, us una simple lista de alrededor de 800 de las contraseas ms comunes, la lista incluye el trabajo secreto, y la contrasea. Tambin el programa permutado las palabras del diccionario para tratar cada palabra con un dgito adjunto, o de agregar el nmero del mes en curso. El programa trat cada intento en contra de todas las cuentas de usuario que se haban identificado. No hubo suerte. For el siguiente intento, Ivn fue a motor de bsqueda de Google y escribir ", diccionarios, listas de palabras" y fundacionesd mils of sitios ingenioh extensivlistas de palabras e y diccionarios de idiomas ingls y varios. Descarg todo un diccionario Ingls electrnico. Luego mejor esta descargando un nmero de palabra listas THAt he fundacionesd ingenioh Google. Ivan chose e sentarsee en www.outpost9.com/files/WordLists.html. This sitio le permiti descargar (todo esto es gratis) una seleccin de archivos, incluidos los nombres de la familia, dado Namek, nombres del Congreso y las palabras, los nombres de actor, y las palabras y los nombres de la Biblia. Another de los muchos sitios que ofrecen listas de palabras que realmente proporciona a travs de Oxford Universidad, En ftp://ftp.ox.ac.uk/pub/wordlists. Other sitios ofrecen listas con los nombres de personajes de dibujos animados, las palabras utilizadas en Shakespeare, en la Odisea, Tolkien, y la serie de Star Trek, as como en la ciencia y la religin, y as sucesivamente. (One on-line empresa vende una lista que contiene 4.. 4 millones de palabras y nombres por slo $ 20) el programa de ataque se puede configurar para poner a prueba los anagramas de las palabras del diccionario, tambin - otro mtodo favorito que muchos usuarios piensan aumenta su seguridad. Ms rpido de lo que piensas Once Ivn haba decidido qu lista de palabras para usar, y comenz el ataque, el software corriendo en piloto automtico. l fue capaz de volver su atencin a otras cosas. Y aqu est la parte increble: Se podra pensar que este tipo de ataque permitira al hacker tomar un Rip van Winkle repeticin y el software an se han hecho pocos progresos cuando se despert. De hecho, dependiendo de la plataforma de ser atacado, la configuracin de seguridad del sistema y la conectividad de red, cada palabra en un diccionario de Ingls puede, increblemente, se intentar en menos de treinta minutos! While este ataque estaba en marcha, Ivan comenz otro equipo que ejecuta un ataque similar en el otro servidor utilizado por el grupo de desarrollo, ATM6.

Veinte minutos ms tarde, el software de ataque haba hecho lo que los usuarios ms confiados gusta pensar que es imposible: haba roto una contrasea, que revela que uno de los usuarios ha elegido la contrasea "Frodo", uno de los Hobbits en el libro El Seor de los Anillos.

Ingenioh esta contrasea en la mano, Ivn pudo conectar con el servidor ATM6 utilizando la cuenta del usuario. There era una buena noticia y una mala noticia para nuestro atacante. La buena noticia fue que la cuenta de que tena agrietado privilegios de administrador, lo que sera esencial para el siguiente paso. La mala noticia es que el cdigo fuente del juego no estaba en ninguna parte ser encontrado. Debe ser, despus de todo, en la otra mquina, el ATM5, que l ya saba que era resistente a un ataque de diccionario. Pero Ivn no iba a abandonar por el momento, todava tena algunos trucos ms para probar. On algunos de Windows y los sistemas operativos UNIX, hashes de contraseas (passwords encriptadas) estn a disposicin de cualquiera que tenga acceso al ordenador que est almacenada. El razonamiento es que las contraseas cifradas no se puede romper y por lo tanto no necesitan ser protegidos. La teora es errnea. Utilizando otra herramienta llamada pwdump3, tambin disponible en Internet, que fue capaz de extraer los hashes de contraseas de la mquina ATM6 y descargarlos. Un archivo tpico de los hashes de contraseas se ve as: Administrador: 500:95 E4321A38AD8D6AB75EOC8D76954A50: 2E48927AO BO4F3BFB341E26F6D6E9A97 ::: akasper 1110:5 A8D7E9E3C3954F642C5C736306CBFEF: 393CE7F90A8357 F157873D72D0490821::: excavadora: D15 1111:5COD58DD216C525AD3B83FA6627C7 17AD564144308B4 2B8403DOIAE256558 ::: ellgan 1112:2017 D4A5D8D1383EFF17365FAFIFFE89: O7AEC950C22CBB9 C2C734EB89320DB13::: :

: :

tabeck: 1115:9 F5890B3FECCAB7EAAD3B435B51404EE: 1FO115A72844721 2FCO5EID2D820B35B ::: vkantar 1116:81 A6A5DO35596E7DAAD3B435B51404EE: B933D36DD12258 946FCC7BD153F1CD6E ::: :

vwallwick: 1119: 25904EC665BA30F4449AF42E1054F192: 15B2B7953FB6 32907455D2706A432469 ::: mmcdonald: 1121: A4AEDO98D29A3217AAD3B435B51404EE: E40670F936B7 9C2ED522F5ECA9398A27 ::: kworkman : 1141: C5C598AF45768635AAD3B435B51404EE: DEC8E827A1212 73EFO84CDBF5FD1925C ::: Ingenioh hashes ahora la descarga en su ordenador, Ivan utilizado otra herramienta que realiza un sabor diferente de ataque conocida como contrasea de fuerza bruta. Este tipo de ataque intenta todas las combinaciones de caracteres alfanumricos y smbolos ms especiales. Ivan utiliza una utilidad de software denominada L0phtcrack3 (pronunciado loft grieta, disponible en www.atstake.comY otro de origen de algunas herramientas de recuperacin de contraseas es una excelente www.elcomsoft.com). Los administradores de sistemas utilizar L0pht-crack3 para auditar contraseas dbiles, los atacantes lo utilizan para romper contraseas. La funcin de la fuerza bruta en LC3 trata de contraseas con combinaciones de letras, nmeros y smbolos como la mayora de los ! @ # $%^ &. Se trata sistemticamente todas las combinaciones posibles de la mayora de los personajes. (Obsrvese, sin embargo, que si se utilizan caracteres no imprimibles, LC3 ser incapaz de descubrir la contrasea) Thprograma de correo tiene una velocidad casi increble, que puede alcanzar hasta un mximo de 2,8 millones de intentos por segundo en un equipo con un procesador de 1 GHz. Incluso con esta velocidad, y si el administrador del sistema ha configurado el sistema operativo Windows correctamente (deshabilitar el uso de hashes LANMAN), rompiendo una contrasea an puede tomar una cantidad excesiva de tiempo. LINGO BRUTE FUERZA DE ATAQUE A stategy deteccin contrasea que trata cada posible combinacin de caracteres alfanumricos y smbolos especiales. For esta razn, el atacante suele descarga los hashes y ejecuta el ataque contra l o en otra mquina, en lugar de permanecer en la lnea de la red de la empresa objetivo y correr el riesgo de deteccin. For Ivan, la espera no fue tan larga. Varias horas ms tarde, el programa lo present con contraseas para cada uno de los miembros del equipo de desarrollo. Pero stas eran las contraseas de los usuarios de la mquina ATM6, y l ya conoca el cdigo fuente del juego que buscaba no estaba en este servidor.

Qut ahora? l todava no haba sido capaz de obtener una contrasea de una cuenta en el Cajero automtico5 mquina. Con su mentalidad hacker, la comprensin de los hbitos de seguridad pobres

of usuarios tpicos, supuso uno de los miembros del equipo podran haber elegido la misma contrasea para ambos equipos. De hecho, eso es exactamente lo que encontr. Uno de los miembros del equipo estaba usando la contrasea "graneros" en tanto ATM5 y ATM6. Thpuerta de par en par e haba abierto a Ivn a buscar alrededor hasta que encontr los programas que l buscaba. Una vez que se encuentra el rbol de cdigo fuente y lo descarg alegremente, tom un paso ms tpico de las galletas del sistema: Se cambi la contrasea de una cuenta inactiva que poseyera derechos de administrador, por si quera obtener una versin actualizada del software en algn momento en el futuro. LaCon el nalyzing Yon este ataque que pidi a las vulnerabilidades tanto tcnicas como la gente de base, la attacker comenz con una llamada telefnica pretexto para obtener la ubicacin y los nombres de los servidores de desarrollo que sostenan la informacin confidencial. HE A continuacin, utiliza una utilidad de software para identificar de usuario vlidas cuenta-los nombres de todos los que tenan una cuenta en el servidor de desarrollo. A continuacin se llev a cabo dos ataques sucesivos de contraseas, incluyendo un ataque de diccionario, que busca las contraseas utilizadas por tratar todas las palabras en un diccionario de Ingls, a veces aumentada por varias listas de palabras que contienen los nombres, lugares y temas de inters especial. Debido a que ambas herramientas de hacking comerciales y de dominio pblico, se puede obtener por cualquier persona para cualquier propsito que tiene en mente, que es an ms importante que estar vigilantes en la proteccin de los sistemas empresariales de ordenador y su infraestructura de red. Thmagnitud e de esta amenaza no puede ser sobrestimada. Segn la revista Computer World, un anlisis en New York, Oppenheimer Funds llevado a un descubrimiento sorprendente. El presidente de la empresa vicepresidente de seguridad de la red y la recuperacin de desastres public un ataque de contrasea contra los empleados de su empresa usando uno de los paquetes de software estndar. La revista inform que en tres minutos se las arregl para romper las contraseas de los 800 empleados. Mitnick MENSAJE Yon la terminologa del juego Monopoly, si utiliza una palabra del diccionario para su password - Ir directamente a la crcel. No pase vas, no te cobrar $ 200. Hay que ensear a los empleados cmo elegir contraseas que verdaderamente protejan sus

activos.

PREVENTING CON EL Ataques de ingeniera social puede llegar a ser an ms destructivas cuando el atacante aadirs de un elemento de la tecnologa. La prevencin de este tipo de ataques suele implicar la adopcin de medidas en los planos tcnicos y humanos. Just Say No En la primera historia de este captulo, la compaa telefnica secretario RCMAC no debe have quitado el negar suprimir la calidad de las diez lneas de telfono cuando no exista orden de servicio que se autoriza el cambio. No es suficiente para que los empleados conocen las polticas y procedimientos de seguridad, los empleados deben entender la importancia de estas polticas estn a la empresa en la prevencin de daos. SecuritY las polticas deberan desalentar desviacin del procedimiento a travs de un sistema de recompensas y consecuencias. Naturalmente, las polticas deben ser realistas, pidiendo a los empleados para llevar a cabo medidas tan gravosas que son susceptibles de ser ignorado. Adems, un programa de concienciacin sobre la seguridad tiene que convencer a los empleados que, si bien es importante para completar las asignaciones de trabajo en el momento oportuno, tomando un atajo que evita los procedimientos adecuados de seguridad pueden ser perjudiciales para la empresa y sus colaboradores. Thprecaucin e igual debe estar presente al proporcionar informacin a un desconocido en la telfono. No mateer how persuasively e person presentars s mismo, independientemente de la condicin de la persona o la antigedad en la empresa, absolutamente ninguna informacin debe ser siempre que no sea designado como disponible al pblico hasta que la identidad de la persona que llama ha sido verificado positivamente. Si esta poltica se ha observado estrictamente, el esquema de ingeniera social en esta historia habra fracasado y Gondorff detenido federal nunca habra sido capaz de planear una amenaza de nuevo con su amigo Johnny. This un punto es tan importante que lo reitero en este manual: Comprobar, verificar, verificar. Cualquier solicitud no se hizo en persona nunca debe ser aceptado sin verificar la identidad del solicitante - y punto. ClHasta eaning For cualquier empresa que no tiene guardias de seguridad durante todo el da, el esquema en el que un atacante obtiene acceso a una oficina fuera del horario presenta un desafo. Gente de limpieza normalmente se trata con respeto a nadie que parezca estar con

Empresa E y parece legtimo. Despus de todo, se trata de alguien que pudiera obtener laestoy en problemas o cocido. Por esa razn, la limpieza de los equipos, ya sean internos o contratados a partir de una agencia externa, debe estar capacitado en materia de seguridad fsica. Jel trabajo no es exactamente anitorial requieren una educacin universitaria, o incluso la capacidad de hablar Ingls, y el entrenamiento habitual, en su caso, los trabajos no de los problemas de seguridad relacionados

xitoh como qu tipo de producto de limpieza a utilizar para diferentes tareas. Generalmente, estas personas no reciben una instruccin como: "Si alguien te pide que les deje entrar despus de horas, usted necesita ver a su tarjeta de identificacin de la empresa, y luego llamar a la oficina de la empresa de limpieza, explicar la situacin y esperar la autorizacin." Lan organizacin debe planificar para una situacin como la que en este captulo antes de que suceda y capacitar en consecuencia. En mi experiencia personal, he encontrado que la mayora, si no todas, las empresas del sector privado son muy laxos en este mbito de la seguridad fsica. Usted puede tratar de abordar el problema desde el otro extremo, poniendo la carga sobre los propios empleados de la empresa. Una empresa sin servicio de guardia de 24 horas debe informar a sus empleados que para llegar despus de esta hora, deben traer sus propias llaves o tarjetas electrnicas de acceso y nunca debe poner la gente de limpieza en posicin de decidir que est bien admitirlo. Entonces dile a la empresa de limpieza que su gente siempre debe estar entrenado que nadie puede ser admitido en sus instalaciones por ellos en cualquier momento. Esta es una regla simple: No abras la puerta a nadie. Si es apropiado, se podra poner por escrito como condicin del contrato con la empresa de limpieza. Tambin, cleaning tripulacins hombrod be trained about piggybacking techniques (personas no autorizadas a raz de una persona autorizada en una entrada segura). Tambin deben ser entrenados para no permitir que otra persona les siguen en el edificio slo porque la persona parece que podra ser un empleado. Follow de vez en cuando - por ejemplo, tres o cuatro veces al ao - mediante la organizacin de una prueba de penetracin o de evaluacin de la vulnerabilidad. Pdale a alguien que se muestran en la puerta cuando el equipo de limpieza est en el trabajo y tratar de convencer a su manera en el edificio. En lugar de utilizar sus propios empleados, usted puede contratar a una empresa que se especializa en este tipo de pruebas de penetracin. Pass It On: Proteja sus contraseas MorE y ms organizaciones estn cada vez ms atentos a la aplicacin de seguridad polticas a travs de medios tcnicos - por ejemplo, la configuracin del sistema operativo para hacer cumplir las polticas de contraseas y limitar el nmero de intentos de acceso no vlidos que se pueden hacer antes de bloquear la cuenta. De hecho, Microsoft Windows Business plataformas generalmente have this Feature built en. Sin embargo, reconociendo la facilidad con clientes insatisfechos son de caractersticas que requieren de ms esfuerzo, Los productos se entregan normalmente con funciones de seguridad desactivadas. Realmente es hora de que los fabricantes de software deje de ofrecer productos con caractersticas de seguridad deshabilitadas de forma predeterminada, cuando debera ser al revs. (Sospecho que van a resolver esto

pronto.) Of supuesto, la poltica de seguridad de la empresa debe ordenar los administradores de sistemas para hacer cumplir la poltica de seguridad a travs de medios tcnicos siempre que sea posible, con el objetivo

oF no confiar en los seres humanos falibles ms de lo necesario. Es una obviedad que cuando se limita el nmero de intentos de acceso no vlidos sucesivas a una cuenta en particular, por ejemplo, hacer que la vida de un atacante mucho ms difcil. Cada organizacin se enfrenta a ese difcil equilibrio entre la seguridad fuerte y productividad de los empleados, lo que lleva a algunos empleados a hacer caso omiso de las polticas de seguridad, no se aceptan como estas garantas son esenciales para proteger la integridad de la informacin corporativa sensible. Si las polticas de la empresa dejo algunas cuestiones sin abordar, los empleados pueden utilizar el camino de menor resistencia a la accin y hacer lo que sea ms conveniente y hace su trabajo ms fcil. Algunos empleados pueden resistirse al cambio y abiertamente caso omiso de los buenos hbitos de seguridad. Es posible que haya encontrado con un empleado, que sigue las reglas impuestas sobre la longitud de la contrasea y la complejidad, pero a continuacin, escribe la contrasea en un post-it y desafiante que se pega a su monitor. Una parte vital de la proteccin de su organizacin es el uso de hard-to-descubrir contraseas, combinado con la configuracin de seguridad fuertes en su tecnologa. Fora discusin detallada de las polticas de contraseas recomendadas, consulte el Captulo 16.

Chapter 12 Atacars en el empleado de nivel de entrada

Las muchas de las historias aqu demostrar, el ingeniero social especializada a menudo se dirige de nivel inferior pERSONAL yon la organizacinhierarchy. Lo Californian sereasy para manipular a estas personas para que revelen informacin aparentemente inocua que el atacante utiliza para avanzar un paso ms hacia la obtencin de informacin de la compaa ms sensible. Un atacante dirige a los empleados de nivel de entrada, ya que suelen ser conscientes del valor de la informacin especfica de la empresa o de los posibles resultados de ciertas acciones. Adems, tienden a ser fcilmente influenciado por algunos de los ms comunes mtodos de ingeniera social - Una llamada de alguien que llama a la autoridad, una persona que parece amable y simptico, una persona que parece conocer a la gente de la empresa que sean conocidas por la vctima; una solicitud para que el atacante afirma que es urgente, o la inferencia de que la vctima obtendr algn tipo de favor o reconocimiento. Estos son algunos ejemplos de los ataques en el empleado de menor nivel en la accin. THGUARDIA DE SEGURIDAD E TIL Estafadors la esperanza de encontrar a una persona que es codicioso, ya que son los ms likely caer en una estafa. Los ingenieros sociales, al apuntar a alguien como miembro de una tripulacin de saneamiento o de un guardia de seguridad, la esperanza de encontrar a alguien que es bondadoso, amable, y confiar en los dems. Ellos son los ms propensos a estar dispuesto a ayudar. Eso es justo lo que el atacante tena en mente en la siguiente historia. Elliot 's View Dcomi / hora: 3:26 de la maana del martes por la maana en febrero de 1998. Ubicacin: Marchand Microsystems instalacin, Nashua, Nueva Hampshire Elliot Staley saba que no iba a dejar su puesto cuando l no estaba en sus rondas programadas. Pero fue el medio de la noche, por el amor de Dios, y que no haba visto una sola persona desde que haba llegado de turno. Y ya era hora de hacer sus rondas de todos modos. El pobre hombre en el telfono sonaba como si realmente necesitaba ayuda. Y hace que una persona se sienta bien cuando pueden hacer algo bueno por alguien.

Bill 's Story Bill Goodrock tena un objetivo simple, que l se haba aferrado a, sin alteraciones, ya que la edad doce: A jubilarse a la edad de veinticuatro aos, no tener que tocar un centavo de su fondo fiduciario.

To mostrar a su padre, el todopoderoso y banquero implacable, que poda ser un xito por su cuenta. OnlY dos aos ms y es por ahora perfectamente claro que no va a hacer su fortuna en los prximos veinticuatro meses por ser un brillante hombre de negocios y no va a hacerlo por ser un inversor agudo. En una ocasin pregunt a robar bancos con una pistola, pero eso es slo cosa de ficcin - el riesgo-beneficio trade-off es muy malo. En su lugar, soando con hacer una Rifkin - robar un banco electrnicamente. El proyecto de ley ltima vez fue en Europa con la familia, abri una cuenta bancaria en Mnaco con 100 francos. Todava tiene slo 100 francos en l, pero l tiene un plan que pueda ayudar a llegar a l siete dgitos en un apuro. Tal vez hasta ocho si tiene suerte. Bill 's novia Anne-Marie trabaj en M & A para un gran banco de Boston. Un da, mientras esperaba en sus oficinas hasta que ella sali de una reunin de tarde, cedi a la curiosidad y el porttil enchufado a un puerto Ethernet en la sala de conferencias que estaba usando. S - l estaba en su red interna, conectada dentro de la red del banco .., detrs del firewall corporativo. Eso le dio una idea. He combinaron su talento con un compaero de clase que conoca a una joven llamada Julia, una brillante informtica Ph.D. candidato haciendo una pasanta en Microsystems Marchand. Julia pareca una gran fuente de informacin privilegiada esencial. Le dijeron que estaban escribiendo un guin para una pelcula y que en realidad les crey. Ella pens que era divertido inventando una historia con ellos y darles todos los detalles sobre cmo usted puede llevar fuera de la travesura que haba descrito. Ella pens que la idea era brillante, en realidad, y sigui acosando ellos acerca de darle un crdito en pantalla, tambin. Lay le advirti acerca de la frecuencia con las ideas de guin roban y le hizo jurar que nunca le dira a nadie. Suitably dirigido por Julia, Bill hizo la parte arriesgada s mismo y nunca dud de que pudiera llevar apagado. Me llam por la tarde y logr averiguar que el supervisor nocturno de la fuerza de seguridad fue un hombre llamado Isaas Adams. A las 9:30 de la noche llam al edificio y habl con el guardia de la oficina de seguridad del vestbulo. Mi historia se basa todo en la urgencia y me hice sonar un poco de pnico. "Estoy teniendo problemas con el coche y no puedo llegar a la instalacin", le dije. "Tengo esta emergencia y necesito tu ayuda. Trat de llamar al supervisor de guardia, Isaas, pero l no est en casa. Puedes hacerme este favor sola vez, de verdad te lo agradecera?"

Thhabitaciones e instalaciones en que eran grandes cada una etiquetada con un cdigo electrnico de parada as que le di el correo-stop del laboratorio de computacin y le pregunt si saba dnde estaba. l dijo que s, y accedi a ir all para m. l dijo que l tome unos minutos para llegar a la habitacin, y me dijo que lo llamara en el laboratorio, con la excusa de que estaba usando la lnea de telfono disponible slo para m y yo lo usaba para llamar a la red para tratar de solucionar el problema. l ya estaba all, esperando el momento en que llam, y le dijo dnde encontrar la consola me interesaba, en busca de un papel con una pancarta que deca "Elmer" el host que Julia haba dicho que se utiliz para construir la liberar las versiones del sistema operativo que la empresa comercializa. Cuando dijo que haba encontrado, yo saba a ciencia cierta que Julia nos haba estado pasando informacin buena y mi corazn dio un vuelco. Yo le haba golpeado la tecla Intro un par de veces, y me dijo que imprimi un signo libra. Lo que me dijo el equipo estaba conectado como root, la cuenta de super-usuario con todos los privilegios del sistema. l era un mecangrafo caza-y-picotea y tiene todo a sudar cuando trat de hablar con l a travs de entrar en mi comando siguiente, que era ms que un poco de trampa: echsolucin: x: 0:0 :: / :/ bin / sh 'o >> / etc / passwd Finally l lo hizo bien, y nos ha proporcionado ahora una cuenta con un nombre fijo. Y luego le ped que escriba ech"arreglo :: 10300:0:0 'o 55 / etc / shadow This establecido la contrasea de cifrado, que va entre los dos puntos dobles. Poner nada entre esos dos puntos signific la cuenta tendra una contrasea nula. Entonces, slo esos dos comandos bast para aadir la solucin cuenta con el archivo de contraseas con una contrasea nula. Lo mejor de todo, la cuenta tendra los mismos privilegios que un usuario super-. ThLo siguiente correo que lo tena hacer era introducir un comando de directorio recursivo que imprime una larga lista de nombres de archivos. Entonces le ped que haga avanzar el papel hacia adelante, lo rompa, y llevarla con l a su escritorio guardia porque "puede necesitar que me lea algo de l en el futuro." La belleza de esto es que no tena idea de que haba creado una nueva cuenta. Y le hice imprimir el listado del directorio de nombres de archivos porque tena que asegurarse de que las rdenes que se escriben antes que abandonar la sala de ordenadores con l. De esta forma el administrador del sistema o el operador no manchar nada a la maana siguiente que los alertara se haba producido una violacin de la seguridad.

Yo estaba ahora con una cuenta, una contrasea y los privilegios. Un poco antes de la medianoche marqu y seguido las instrucciones Julia haba mecanografiado cuidadosamente hacia arriba "por el guin". En un abrir y cerrar tuve acceso a uno de los sistemas de desarrollo que contiene la copia maestra del cdigo fuente de la nueva versin de software de la compaa del sistema operativo. He subido un parche que Julia haba escrito, que dijo modific una rutina en una de las bibliotecas del sistema operativo. Ese parche, en efecto, crear una puerta trasera secreta que permite el acceso remoto al sistema con una contrasea secreta. NOTA Thelectrnico del tipo de backdoor utiliza aqu no cambia el inicio de sesin del sistema operativo de programam en s, sino una funcin especfica contenida dentro de la biblioteca dinmica usada por el programa de entrada se sustituye para crear el punto de entrada secreta. En los ataques tpicos, los intrusos informticos suelen sustituir o arreglar el programa de entrada en s, pero los administradores del sistema pueden afilados detectar el cambio comparndolo con la versin incluida en soportes como CD, o mediante mtodos de distribucin. Con mucho cuidado de seguir las instrucciones que ella haba escrito para m, la primera instalacin del parche, y luego tomar las medidas que eliminaron la cuenta de correccin y limpiar todos los registros de auditora para que no hubiera ni rastro de mis actividades, efectivamente borrar mis huellas. Soon que la empresa comenzar a distribuir la actualizacin del nuevo sistema operativo para sus clientes: Las instituciones financieras de todo el mundo. Y cada copia que envi incluira la puerta de atrs yo haba colocado en la distribucin maestra antes de que fuera enviado, lo que me permite acceder a cualquier sistema informtico de todos los bancos y casa de bolsa que instal la actualizacin. LINGO PATCHTradicionalmente un trozo de cdigo que, cuando se coloca en un ejecutable programa, Corrige un problema. Por supuesto, yo no estaba en casa gratis - no sera todava trabajo por hacer. Todava tendra que tener acceso a la red interna de cada institucin financiera que quera "visitar". Entonces yo tendra que averiguar cul de sus equipos se utilizan para transferencias de dinero, e instalar software de vigilancia para conocer los detalles de sus operaciones y exactamente cmo transferir fondos.

All de que yo pudiera hacer a larga distancia. Desde un ordenador que se encuentre en cualquier lugar. Digamos, con vistas a una playa de arena. Tahiti, aqu vengo.

Llam a la guardia de nuevo, le dio las gracias por su ayuda, y le dijo que poda seguir adelante y lanzar la impresin. LaCon el nalyzing The guardia de seguridad tenan instrucciones sobre sus funciones, pero an completa, bien fuera pensada instrucciones no puede prever todas las situaciones posibles. Nadie le haba dicho que el dao que se puede hacer tecleando unas pocas teclas en un ordenador para una persona que crea que era un empleado de la compaa. Wi-simo de la cooperacin de la guardia, que era relativamente fcil de obtener acceso a un sistema crtico que almacena el maestro de distribucin, a pesar del hecho de que era detrs de la puerta cerrada de un laboratorio seguro. El guardia, por supuesto, tena las llaves de todas las puertas cerradas. Incluso un empleado bsicamente honesta (o, en este caso, el estudiante de doctorado y becario empresa, Julia) a veces puede ser sobornado o engaados para revelar informacin de vital importancia para un ataque de ingeniera social, como en el equipo de destino es situado y - la clave para el xito de este ataque --cuando se va a construir la nueva versin del software para su distribucin. Eso es importante, ya que un cambio de este tipo realizado demasiado pronto tiene una mayor probabilidad de ser detectado o anulado si el sistema operativo es reconstruido a partir de una fuente limpia. Did coger el detalle de que el guardia de tomar la impresin de vuelta al vestbulo y luego destruirlo? Este fue un paso importante. Cuando los operadores de computadoras llegaron a trabajar al siguiente da laboral, el atacante no quera que se encuentra esta evidencia irrefutable en el terminal de copia impresa, o nota a la basura. Dando la guardia una excusa plausible para tomar la impresin con lo evitaba ese riesgo. Mitnick MENSAJE When el intruso equipo no puede tener acceso fsico a un sistema informtico o Network s mismo, va a tratar de manipular a otra persona que lo haga por l. En los casos en que el acceso fsico es necesario para el plan, con la vctima como un proxy es incluso mejor que hacerlo l mismo, porque el atacante supone mucho menos riesgo de deteccin y aprehensin. THE parche de emergencia You pensara que un tipo de soporte tcnico se entiende los peligros de dar access con la red informtica a un extrao. Pero cuando el intruso es un hbil ingeniero social, hacindose pasar por un proveedor de software til, los resultados pueden no ser los esperados.

Una llamada ha sido til Thpersona que llama e querido saber quin est a cargo de las computadoras all? y la toperador elfono le pone en contacto con el tipo de soporte tcnico, Paul Ahearn. Thpersona que llama e se identific como "Edward, con SeerWare, su proveedor de base de datos. Aparentemente un montn de nuestros clientes no reciben el correo electrnico acerca de nuestra actualizacin de emergencia, por lo que estamos llamando a algunos para un control de calidad comprueba si existe una problema al instalar el parche. Ha instalado la actualizacin todava? " Paul dijo que estaba bastante seguro de que no haba visto nada parecido. Edward dijo: "Bueno, podra causar la prdida de datos catastrfica intermitente, por lo que le recomendamos obtener instalado tan pronto como sea posible". S, eso era algo que quera hacer desde luego, dijo Paul. "Est bien", respondi la llamada. "Podemos enviarle una cinta o CD con el parche, y yo quiero decirles, es muy crtico - dos compaas ya han perdido varios das de datos para que no deberan hacer esto instalado, tan pronto como llegue, antes de que suceda. a su empresa. " "No puedo descargar desde su sitio Web? "Quera que Pablo sabe. "Debe estar disponible pronto - el equipo tcnico ha estado poniendo todos estos fuegos. Si lo desea, podemos tener nuestro centro de atencin al cliente lo instale para usted, de forma remota. Podemos marcar o utilizar Telnet para conectarse al sistema, si usted puede apoyar eso ". "We no permiten Telnet, especialmente de la Internet - no es seguro ". Pablo respondi" Si usted puede utilizar SSH, que iba a estar bien ", dijo, nombrando a un producto que ofrece transferencias seguras de archivos. "Si. Tenemos SSH. Cul es la direccin IP?" PauLe di la direccin IP, y cuando Andrs pregunt: "y qu nombre de usuario y la contrasea se pueden utilizar", Pablo le dio a ellos, tambin. LaCon el nalyzing OF couRSETHAt phone Californial might really havenida come from e database manucante. Pero la historia no pertenece a este libro. El ingeniero social aqu influido en la vctima, creando una sensacin de miedo que los datos crticos se pueden perder, y ofreci una solucin inmediata que

resuelva el problema. Tambin, Cuando un ingeniero social dirigido a alguien que conoce el valor de la informacin, tiene que venir con argumentos muy convincentes y persuasivos para dar acceso remoto. A veces se necesita agregar el elemento de urgencia as lo

vctima e es distrado por la necesidad de apresurarse, y cumple antes de haber tenido la oportunidad de dar mucha importancia a la solicitud. La nueva chica Qut tipo de informacin en los archivos de su empresa podra querer a un atacante para obtener acceso a? A veces puede ser algo que no creo que sea necesario para proteger a todos. Llamar Sarah "HumaRecursos n, esto es Sarah. " "Hola, Sarah. Se trata de George, en el garaje de estacionamiento. Usted sabe la tarjeta de acceso que se utiliza para entrar en el garaje de estacionamiento y ascensores? Bueno, hemos tenido un problema y tenemos que reprogramar las tarjetas para todas las nuevas contrataciones de los ltimos quince das. " "So que necesitan que sus nombres? "" Y sus nmeros de telfono. " "Puedo revisar nuestra lista de nuevas contrataciones y te llamo de vuelta. Cul es tu nmero de telfono? " "No estoy conectadom a 73. . . Uh, yo estoy pasando. Break, qu tal si te llamo de vuelta en media hora? " "Oh. Bien." When me llam, me dijo: "Oh, S. Bueno, hay slo dos. Anna Myrtle, en Finanzas, ella es una secretaria. Y ese nuevo vicepresidente, el Sr. Underwood ". "Unad los nmeros de telfono? " "Derecho Bueno, El Sr. Underwood es 6973. Anna Myrtle es 2127. "" Oye, has sido de gran ayuda. "Gracias". Llamada de Anna "Finanzas, Anna habla ". "No estoy conectadoalegro de haber encontrado a alguien trabajando hasta tarde. Escucha, esto es Ron Vittaro, soy editor de la divisin de negocio. Yo no creo que hayamos sido presentados. Bienvenido a la empresa ".

"Oh, Gracias. "

"Anna, Estoy en Los Angeles y tengo una crisis. Tengo que tomar unos diez minutos de su tiempo. " "Of curso. Qu necesitas? " "Go hasta mi oficina. Sabes dnde est mi oficina? "No." "Est bien, Es la oficina de la esquina en el decimoquinto piso de la habitacin 1502. Te llamar all en unos minutos. Al llegar a la oficina, usted tendr que pulsar el botn de avance en el telfono, as que mi llamada no ir directamente a mi buzn de voz. " "Est bien, Estoy en mi camino. " Tcuarto minuto despus estaba en su despacho, haba cancelado su desvo de llamadas y estaba esperando cuando son el telfono. l le dijo que se sentara en el ordenador e inicie Internet Explorer. Cuando se estaba ejecutando l le dijo que se escriba en una direccin: www.geocities.com / ron-INSEN / manuscript.doc.exe. Aparecer un cuadro de dilogo apareci, y le dijo que haga clic en Abrir. El equipo pareca empezar a descargar el manuscrito, y luego la pantalla se qued en blanco. Cuando se inform de que algo pareca estar mal, respondi: "Oh, no, no. Otra vez. He tenido un problema con la descarga de ese sitio Web cada cierto tiempo, pero pens que era fijo. Pues bien, don ' te preocupes, voy a conseguir el archivo de otra manera en el futuro. " Entonces l le pidi que reiniciar su ordenador para poder estar seguro de que se pondra en marcha correctamente despus de que el problema que ella acababa de tener. l le habl a travs de los pasos para reiniciar. When el equipo estaba funcionando de nuevo correctamente, le dio las gracias calurosamente y colg, y Anna volvi al departamento de finanzas para terminar el trabajo que haba estado trabajando. Historia de Kurt Dillon Millard-Fenton Publishers se mostr entusiasmado con el nuevo autor no eran ms que about para inscribirse, el CEO jubilado de una compaa Fortune 500 que tena una historia fascinante que contar. Alguien haba conducido al hombre a un gerente de negocios para el manejo de sus negociaciones. El gerente de negocios no quera admitir que saba zip sobre los contratos de edicin, por lo que contrat

a un viejo amigo que le ayudara a averiguar lo que necesitaba saber. El viejo amigo, por desgracia, no era una muy buena eleccin. Kurt Dillon us lo que podramos llamar mtodos inusuales en su investigacin, los mtodos no del todo ticas.

Kurt inscribi en un sitio libre en Geocities, en el nombre de Ron Vittaro, y se carga un programa de spyware en el nuevo sitio. Se cambi el nombre del programa que manuscript.doc.exe, por lo que el nombre parece ser un documento de Word y no levantar sospechas. De hecho, esto funcion incluso mejor que Kurt haba previsto, porque el verdadero Vittaro nunca haba cambiado una configuracin por defecto en su sistema operativo Windows llamada "Ocultar las extensiones de archivo para tipos de archivo conocidos". Porque de que setting la expediente wuns actuunlly displayed con la name Manuscrito. Lan tuvo una secretaria seora amiga llamada Vittaro de. Despus de entrenar Dillon, ella dijo: "Yo soy el asistente ejecutivo Paul Spadone, presidente de Libreras Ultimate, en Toronto. Sr. Vittaro conoc a mi jefe en una feria del libro hace un tiempo, y le pidi que llame para discutir un proyecto que podran hacer juntos. Sr. Spadone est en el camino mucho, as que me dijo que yo debera saber que el Sr. Vittaro estar en la oficina. " By el momento en que los dos haban terminado de comparar los horarios, la amiga de informacin suficiente para proporcionar al atacante con una lista de las fechas en que el Sr. Vittaro estara en la oficina. Lo que significaba que l tambin saba cuando Vittaro estara fuera de la oficina. No haba necesitado mucha conversacin extra para averiguar que el secretario de Vittaro estara tomando ventaja de su ausencia para entrar un poco de esqu. Durante un corto espacio de tiempo, tanto estara fuera de la oficina. Perfecto. LINGO SpywarESoftware especializado que se utiliza para controlar secretamente a actividades informticas metas. Una forma utilizada para rastrear los sitios visitados por los compradores en Internet para que los anuncios en lnea pueden adaptarse a sus hbitos de navegacin. La otra forma es anloga a una intervencin telefnica, excepto que el dispositivo de destino es un ordenador. El software captura las actividades del usuario, incluyendo contraseas y las teclas pulsadas, conversaciones de chat, correo electrnico, mensajera instantnea, todos los sitios web visitados, y captura de pantallas de la pantalla de visualizacin. LINGO Instalacin silenciosa Un mtodo de instalacin de una aplicacin de software sin calcularr usuario o el operador es consciente de que tal accin tiene lugar. Thdas e principio se supone que se ha ido l hizo una llamada urgente pretexto para asegurarme, y me dijeron que la recepcionista que "el seor Vittaro no est

en la oficina y tampoco lo es su secretaria. Ninguno de ellos se espera en cualquier tiempo hoy o maana o al da siguiente. " Holas primer intento de estafar a un empleado joven a tomar parte en su plan fue exitoso, y ella no pareca parpadear un ojo que le dicen que le ayudar a

descargar cualquierga "manuscrito", que en realidad era un popular, commercialiado de spyware disponible que el atacante haba modificado for una instalacin silenciosa. Usando este mtodo, la instalacin no sera detectado by uny Antivirus software. Por alguna extraa razn, los fabricantes de antivirus no comercializar productos que detectan spyware disponible en el mercado. Inmediately despus de que el joven se haba cargado el software en el ordenador Vittaro, Kurt volvi a subir al sitio de Geocities y reemplazado el archivo doc.exe con un manuscrito de un libro que encontr en Internet. Por si acaso alguien tropez con el ardid y regres al lugar para investigar lo que haba ocurrido, lo nico que encontrara sera inocua, amateur, un-libro manuscrito publicable. Once el programa ha sido instalado y reiniciado el ordenador, se va a convertir en activa inmediatamente. Ron Vittaro volvera a la ciudad en un few days, comience a trabajar, y el spyware se iniciara el reenvo todas las pulsaciones de teclado en su computadora, incluyendo todos los correos salientes y capturas de pantalla que muestran lo que se muestra en la pantalla en ese momento. Todo sera enviado a intervalos regulares a un proveedor de servicio de correo electrnico gratuito en Ucrania. Withina pocos das despus del regreso de Vittaro, Kurt estaba arando a travs de los archivos de registro se acumulan en su buzn de Ucrania y en poco tiempo se haba situado correos electrnicos confidenciales que indican hasta qu punto Millard-Fenton Publishing estaba dispuesto a ir a hacer un trato con el autor. Armado con este conocimiento, era fcil para el agente de la autora a negociar condiciones mucho mejores de lo que se ofrece, sin correr el riesgo de perder el negocio por completo. Lo cual, por supuesto, significaba una comisin ms grande para el agente. LaCon el nalyzing Yon este ardid, el atacante hizo su xito sea ms probable eligiendo a un nuevo empleado para que acte como su apoderado, contando con su ser ms dispuestos a cooperar y trabajar en equipo, y ser menos propensos a tener conocimiento de la empresa, su gente, y buenas prcticas de seguridad que podra frustrar el intento. Debido a que Kurt se pretextos como vicepresidente en su conversacin con Anna, un empleado de Hacienda, saba que sera muy poco probable que ella pondra en duda su autoridad. Por el contrario, podra entretener la idea de que ayudar a un vicepresidente podra ganar su favor. Und el proceso caminaba a travs de Anna que tena el efecto de la instalacin de el software espa apareci inocuo en su cara. Anna no tena ni idea de que sus

acciones aparentemente inocentes se haba puesto a un atacante a obtener informacin valiosa que podra ser utilizard contra los intereses de la empresa.

Y por qu elegir reenviar el mensaje del VP a una cuenta de correo electrnico yon Ucrania? Por varias razones un destino lejano hace el seguimiento o la adopcin de medidas contra un atacante mucho menos probable. Este tipo de delitos son considerados de baja prioridad en pases como este, donde la polica tienden a mantener la ver que la comisin de un delito a travs de Internet no es un delito digno de mencin. Por esta razn, el uso de gotas de correo electrnico en los pases que tienen pocas probabilidades de cooperar con EE.UU. aplicacin de la ley es una estrategia atractiva. PREVENTING CON EL Un ingeniero social siempre preferirn dirigirse a un empleado que es poco probable que reconociendoe que hay algo sospechoso en sus peticiones. Hace que su trabajo no slo es ms fcil, pero tambin menos arriesgado - como las historias de este captulo muestran. Mitnick MENSAJE Askinga compaero de trabajo o subordinados a hacer un favor es una prctica comn. Social ingenieros saber aprovechar el deseo natural de la gente para ayudar y ser un jugador de equipo. Un atacante explota este rasgo humano positivo para engaar a incautos empleados en la realizacin de acciones que le avanzar hacia su objetivo. Es importante entender este concepto simple por lo que ser ms probable que reconocer cuando otra persona est tratando de manipular. Engaar a los incautos I've hizo hincapi en la necesidad de principios de capacitar a los empleados a fondo suficiente como para que nunca se dejen convencer de llevar a cabo las instrucciones de un extrao. Todos los empleados tambin tienen que entender el peligro de llevar a cabo la solicitud de iniciar cualquier accin en el equipo de otra persona. Poltica de la empresa debera prohibir esto, excepto cuando sea especficamente autorizado por un administrador. Situaciones permitidos incluyen: When la solicitud sea realizada por una persona bien conocida para usted, con la peticin realizada ya sea cara a cara o por telfono al reconocer la voz inconfundible de la persona que llama. When, positivamente verificar procedimientos aprobados. la identidad del solicitante mediante

When la medida ha sido autorizada por un supervisor u otra persona con autoridad que est personalmente familiarizado con el solicitante. Empleados debe ser entrenado para no asistir a las personas que no conocen personalmente, incluso si la persona que hace la solicitud pretende ser un ejecutivo. Una vez que las polticas de seguridad en materia de verificacin se han puesto en marcha, la gerencia debe apoyar

empleados en la adhesin a estas polticas, incluso cuando significa que un trabajador impugna un miembro del personal ejecutivo que est pidiendo al empleado para eludir una poltica de seguridad. Nuncaempresa y tambin debe tener polticas y procedimientos que los empleados de gua para responder a las solicitudes que realice ninguna accin con los ordenadores o equipos informticos. En la historia de la editorial, el ingeniero social dirigida a un nuevo empleado que no haban sido entrenados en las polticas de seguridad de informacin y procedimientos. Para evitar este tipo de ataque, todos los empleados nuevos y existentes deben ser informados de seguir una regla simple: No use ningn sistema informtico para realizar una accin solicitada por un extrao. Periodo. Remember que cualquier empleado que tenga acceso fsico o electrnico a un ordenador oa una partida de Equipo relacionado es vulnerable a ser manipulado a tomar algn tipo de accin maliciosa por parte de un atacante. Empleados, Y sobre todo el personal de TI, tienen que entender que lo que una persona ajena a acceder a sus redes informticas es como dar el nmero de su cuenta bancaria a un vendedor por telfono o dar su nmero de telfono de la tarjeta telefnica a un extrao en la crcel. Los empleados deben prestar atencin cuidadosa a si la realizacin de una solicitud puede dar lugar a la revelacin de informacin sensible o comprometer el sistema informtico de la empresa. YoGente T tambin debe estar en guardia contra personas desconocidas se hacen pasar por vendedores. En general, una empresa debe tener en cuenta determinadas personas designadas como contactos para cada proveedor de tecnologa, con una poltica en el lugar que otros empleados no respondern a las solicitudes de los proveedores de informacin o cambios en cualquier equipo de telfono o computadora. De esta manera, las personas designadas se familiarice con el personal del proveedor que llaman o visitan, y son menos propensos a ser engaados por un impostor. Si un proveedor de llamadas, incluso cuando la empresa no cuenta con un contrato de soporte tcnico, que tambin debera levantar sospechas. Everyone en la organizacin debe ser consciente de las amenazas de seguridad de la informacin y las vulnerabilidades. Tenga en cuenta que los guardias de seguridad y la necesidad como a no dar a capacitacin en seguridad, pero la formacin en seguridad de la informacin, tambin. Debido a que los guardias de seguridad tienen con frecuencia el acceso fsico a toda la instalacin, que debe ser capaz de reconocer los tipos de ataques de ingeniera social que pueden utilizarse contra ellos. Cuidado con spyware Spyware comercial se utilizaba principalmente por los padres a supervisar lo que

su children estaban haciendo en el Internet, y por los empleadores, supuestamente para determinar qu empleados estaban perdiendo el tiempo navegando por la Internet. Un uso ms grave

Washingtons para detectar el robo potencial de los activos de informacin o espionaje industrial. Los desarrolladores comercializar su software espa, ofreciendo como una herramienta para proteger a los nios, cuando en realidad su verdadero mercado es la gente que quiere espiar a alguien. Hoy en da, la venta de software espa es impulsado en gran medida por el deseo de la gente para saber si su cnyuge o pareja est engaando a ellos. Shortly antes de empezar a escribir la historia de spyware en este libro, la persona que recibe el correo para m (porque no se me permite utilizar el Internet) hall una publicidad por correo electrnico mensaje de spam a un grupo de productos de software espa. Uno de los artculos que se ofrecen se describe as: FAVORITO! TENER: DEBE

This poderoso monitoreo y un programa espa en secreto captura todas las pulsaciones del teclado y la hora y el ttulo de todas las ventanas activas en un archivo de texto, mientras se ejecuta oculto en el fondo. Los registros pueden ser encriptados y enviados automticamente a una direccin de correo electrnico especificada, o acaba de grabar en el disco duro. El acceso al programa est protegido por contrasea y se pueden ocultar las teclas CTRL + ALT + SUPR men. Nosotrose para monitorear mecanografiado URLs, sesiones de chat, correos electrnicos y otras muchas cosas (incluso contraseas). Yonstalar no se ha detectado en cualquier PC y enviar los registros a ti mismo! Gap Antivirus? Antivirus software no detecta spyware comercial, por lo que el tratamiento de la softwno son maliciosos, aunque la intencin es la de espiar a otras personas. As que el equivalente informtico de las escuchas telefnicas pasa desapercibido, creando el riesgo de que cada uno de nosotros podra estar bajo vigilancia ilegal en cualquier momento. Por supuesto, los fabricantes de software antivirus pueden argumentar que el spyware puede ser utilizado para legitimar fines, Y por lo tanto no debe ser entendido como malicioso. Sin embargo, los desarrolladores de ciertas herramientas que se utilizaban en la comunidad de hackers, los cuales estn siendo distribuidos gratuitamente o vendidos como relacionada con la seguridad del software, sin embargo, se trata como cdigo malicioso. Hay un doble rasero, y yo me quedo preguntndome por qu. Anotheelemento r ofrecida en el mismo correo electrnico se comprometi a realizar capturas de pantalla de la computadora del usuario, como tener una cmara de vdeo que mira sobre su hombro. Algunos de estos productos de software ni siquiera se requiere acceso fsico a la computadora de la vctima. Slo tiene que instalar y configurar la aplicacin de forma remota, y usted tiene un equipo de escuchas telefnicas al instante! El FBI debe amar a la tecnologa.

Ingenioh spyware tan fcilmente disponible, su empresa necesita establecer dos niveles de proteccin. Debe instalar el software de deteccin de spyware, como SpyCop (disponible en www.spycop.com) En todas las estaciones de trabajo, y usted debe exigir

THAempleados t iniciar exploraciones peridicas. Adems, se debe capacitar a los empleados contra el peligro de ser engaado para que descargue un programa o abrir un archivo adjunto de correo electrnico que podra instalar software malicioso. Yodems de la prevencin de spyware se instalen mientras un empleado est lejos de su escritorio para tomar un caf, un almuerzo o una reunin, una poltica que ordena que todos los empleados de bloquear sus sistemas informticos con una contrasea del protector de pantalla u otro mtodo similar considerablemente a mitigar el riesgo de una persona no autorizada ser capaz de acceder a la computadora de un trabajador. Sin caer en un cubculo de la persona o de la oficina ser capaz de acceder a cualquiera de sus archivos, leer su correo electrnico, o instalar spyware o software malicioso. Los recursos necesarios para que la contrasea de protector de pantalla son nulas, y el beneficio de la proteccin de estaciones de trabajo de los empleados es sustancial. El anlisis de costo-beneficio en esta circunstancia debera ser una obviedad.

Chapter 13 Clever Contras

By ahora te has dado cuenta de que cuando un extrao llama con una solicitud de informacin sensible o algo que podra ser de valor para un atacante, la persona que recibe la llamada debe ser entrenado para obtener el nmero de telfono del llamante y volver a llamar para verificar que la persona es realmente quien dice ser - un empleado de la compaa, o un empleado de un socio de negocios, o un representante de soporte tcnico de uno de sus proveedores, por ejemplo. Incluso cuando una empresa tiene un procedimiento establecido que los empleados sigan cuidadosamente para verificar que llaman, los atacantes sofisticados todava son capaces de utilizar una serie de trucos para engaar a sus vctimas hacindoles creer que son quienes dicen ser. Incluso los empleados preocupados por la seguridad pueden ser engaados por mtodos tales como las siguientes. El identificador de llamadas ENGAOSA Anyone que haya recibido una llamada en un telfono celular se ha observado la funcin sabern como identificador de llamadas - que muestran familiarizados muestra el nmero de telfono de la persona que llama. En un entorno empresarial, ofrece la ventaja de permitir a un trabajador a saber de un vistazo si la llamada entrante es de un compaero de trabajo o fuera de la empresa. Hombrey aos hace algunos phreakers telefnicos ambiciosos se presentaron a las maravillas de identificacin de llamadas antes de que la compaa telefnica le permiti incluso para ofrecer el servicio al pblico. Tenan un gran momento enloqueciendo a la gente por contestar el telfono y saludando a la persona que llama por su nombre antes de decir una palabra. Just cuando se pensaba que era seguro, la prctica de la verificacin de identidad por confiar en lo que se ve - lo que aparece en la pantalla del identificador de llamadas - es exactamente lo que el atacante puede estar contando. Linda 's Phone Call Day / hora: martes, 23 de julio, 15:12 Lugar. "Las oficinas del Departamento de Finanzas, Starbeat Aviacin Lindtelfono a Hill son justo cuando ella estaba en el medio de escribir una nota a su jefe. Mir su identificador de llamadas, lo que demuestra que la llamada era de la oficina corporativa en Nueva York, pero de alguien llamado Victor Martin -

no es un nombre que ella reconoce.

She pensado en dejar que el rollo de compra sobre el correo de voz para que no se rompa el hilo del pensamiento en la nota. Pero la curiosidad pudo ms que ella. Cogi el telfono y la persona que llama se present y dijo que era de relaciones pblicas, y trabajando en algo de material para el director general. "l est en camino a Boston para reunirse con algunos de nuestros banqueros. l necesita los datos financieros de primera lnea para el trimestre actual", dijo. "Y una cosa ms. l tambin necesita las proyecciones financieras del proyecto Apache", aadi Vctor, con el nombre en clave de un producto que iba a ser uno de los grandes lanzamientos de la compaa en la primavera. She le pidi su direccin de correo electrnico, pero me dijo que estaba teniendo un problema en la recepcin de correo electrnico que soporte tcnico estaba trabajando, as que poda enviar por fax su lugar? Ella dijo que iba a estar bien, y l le dio a la extensin telefnica interna para su mquina de fax. Ella envi el fax a los pocos minutos. But Vctor no trabajar para el departamento de relaciones pblicas. De hecho, ni siquiera trabajar para la compaa. Jack 's Story Jack Dawkins haba comenzado su carrera profesional a una edad temprana como un carterista Working juegos en el Yankee Stadium, en las plataformas del metro lleno de gente, y entre la multitud nocturna de turistas Times Square. l demostr ser tan gil y astuta que poda tomar un reloj de mueca de un hombre sin que l lo sepa. Pero en su difciles aos de la adolescencia se haba vuelto torpe y sido capturado. En el pabelln juvenil, Jack aprendi un nuevo oficio con un riesgo mucho menor de tener nabbed. Holas actual asignacin llamado para que l consiga ganancias trimestrales de la compaa y la cuenta de prdidas y flujo de informacin efectivo, antes de los datos se present ante la Comisin de Valores y Bolsa (SEC) y hecho pblico. Su cliente era un dentista que no quiso explicar por qu quera la informacin. Para Jack precaucin del hombre era risible. Lo haba visto antes - el chico probablemente tena un problema con el juego, o una novia caro que su esposa no se haba enterado de su existencia. O tal vez acababa de alardear de su esposa sobre lo inteligente que era en el mercado de valores, ahora que haba perdido un paquete y quera hacer una gran inversin en una cosa segura al saber que forma el precio de la acciones de la compaa se iba a ir cuando anunciaron sus resultados trimestrales. People se sorprenden al descubrir lo poco tiempo que tarda un ingeniero social

reflexiva para encontrar una manera de manejar una situacin que nunca se ha enfrentado antes. Cuando Jack lleg a casa de su encuentro con el dentista, l ya se haba formado un plan. Su amigo Charles Bates trabajaba para una compaa, Panda Importacin, que tena su propio conmutador telefnico o PBX.

Yon trminos familiares para los conocedores de los sistemas de telfono, la central se conecta a un servicio telefnico digital conocido como T1, configurada como interfaz de velocidad primaria ISDN (red digital de servicios integrados) o ISDN PRI. Esto significaba que cada vez que se coloc una llamada de Panda, configuracin y otra informacin de procesamiento de llamadas pas a lo largo de un canal de datos al conmutador de la compaa telefnica, la informacin incluida la convocatoria punrty nmero, which (UNLess comandos) se suministra al dispositivo de identificacin de llamada en el extremo receptor. Jacuse de recibo del amigo saba cmo programar el interruptor para la persona que recibe el Californial vera en su identificador de llamadas, no el nmero de telfono real en el Panda oficina, pero whatever nmero de telfono que haba programado en el interruptor. Este truco funciona porque las compaas telefnicas locales no se molestan en validar el nmero de llamadas recibidas del cliente en contra de los nmeros de telfono reales que el cliente est pagando. Todos Jack Dawkins necesitaba era tener acceso a cualquier servicio telefnico tal. Afortunadamente su amigo y alguna vez socio en el crimen, Charles Bates, siempre se alegraba de echar una mano por un precio nominal. En esta ocasin, Jack y Charles temporalmente reprogramado interruptor de la compaa de telfono para que las llamadas desde una lnea telefnica especial ubicado en las instalaciones de Panda nmero de telfono interno hara parodia Victor Martin, lo que hace la llamada parecen venir de dentro de Aviacin Starbeat. Thidea de que su e identificador de llamadas se pueden hacer para mostrar cualquier nmero que desea es tan poco conocida que est raramente cuestionada. En este caso, Linda estaba feliz de enviar por fax la informacin solicitada al tipo con el que pensaba que era de PR. When Jack colg, Charles reprogramado interruptor de su compaa telefnica, restaurando el nmero de telfono a la configuracin original. LaCon el nalyzing Somempresas e No queremos que los clientes o proveedores para conocer el telfono nmeros de sus empleados. Por ejemplo, Ford puede decidir que las llamadas desde su Centro de Atencin al cliente debe mostrar el nmero 800 para el Centro y un nombre como "Apoyo Ford," en lugar de la verdadera lnea directa nmero de telfono de cada soporte repssentante de realizar una llamada. Microsoft puede dar a sus empleados la opcin de decirle a la gente su nmero de telfono, en lugar de tener a todos ellos llaman poder echar un vistazo en su identificador de llamadas y conocer su

extensin. De esta manera, la empresa es capaz de mantener la confidencialidad de los nmeros internos. But esta misma capacidad de reprogramacin proporciona una tctica til para el bromista, cobrador, vendedor por telfono, y, por supuesto, el ingeniero social.

VARIATIEN:

THE PresidenT OF THE UNITED ESTADOS YoS LLAMADA Las co-presentador de un programa de radio en Los Angeles llamado "Dark Side of the Internet" en la KRadio Talk FI, trabajaba bajo la direccin de programa de la emisora. David, una de las personas ms comprometidas y trabajadoras que he conocido, es muy difcil llegar a btelfono y porque est muy ocupado. Es una de esas personas que no responde a un Californial menos que vea el identificador de llamadas que se trata de alguien que tiene que hablar. When yo lo llamara, porque no tengo bloqueo de llamadas en mi telfono celular, no poda decir quin estaba llamando y no contesta la llamada. Sera la vuelta al correo de voz, y se hizo muy frustrante para m. Habl sobre qu hacer acerca de esto con un amigo de mucho tiempo, que es el co-fundador de una empresa de bienes races que ofrece espacio de oficinas para empresas de alta tecnologa. Juntos se nos ocurri un plan. Tena acceso a Meridian interruptor de su compaa telefnica, lo que le da la capacidad de programar el nmero de la persona que llama, tal como se describe en el artculo anterior. Cada vez que necesitaba para llegar al director del programa y no pudimos conseguir una llamada a travs, yo le preguntaba a mi amigo para programar cualquier nmero de mi eleccin para que aparezca en el identificador de llamadas. A veces me gustara que l haga la llamada parece como si viniera de la asistente de la oficina de David, oa veces de la sociedad holding propietaria de la estacin. But mi favorita fue la programacin de la llamada al parecer del propio David el nmero de telfono de casa, que siempre recogido. H1 conceder su crdito al individuo, sin embargo. l siempre tena un buen sentido del humor al respecto cuando coga el telfono y descubrir que le haba engaado una vez ms. Las mejores partwas que luego volvera a alojar en la lnea de tiempo suficiente como para saber lo que quera y resolver lo que sea la cuestin era. When demostr este pequeo truco en el show de Art Bell, he falsificado mi identificador de llamadas para mostrar el nombre y nmero de la sede de Los ngeles del FBI. Arte sorprendi bastante sobre el asunto y me amonest por haber hecho algo ilegal. Pero yo le seal que es perfectamente legal, siempre y cuando no sea un intento de cometer fraude. Despus de que el programa que he recibido cientos de correos electrnicos pidindome que explicar cmo lo haba hecho. Ahora lo sabes. This es la herramienta perfecta para construir credibilidad para el ingeniero social. Si, por ejemplo, durante la fase de investigacin del ciclo de ataque de ingeniera social, se descubri que el destino tena identificador de llamadas, el atacante podra falsificar su nmero propio como procedentes de una empresa de confianza

o empleado. Un cobrador puede hacer sus llamadas parecen venir de su lugar de trabajo. But detenerse a pensar en las implicaciones. Un intruso informtico puede llamar a su casa que dice ser del departamento de TI de su empresa. La persona en el

line necesita urgentemente la contrasea para restaurar los archivos a partir de una cada del servidor. O el identificador de llamadas muestra el nombre y nmero de su banco o casa de bolsa de valores, la nia bonita que suena slo tiene que verificar sus nmeros de cuenta y el nombre de soltera de su madre. Por si fuera poco, tambin tiene que verificar su PIN ATM debido a algn problema en el sistema. Un mercado de valores sala de calderas operacin pueden hacer sus llamadas parecen venir de Merrill Lynch o Citibank. Alguien quiere robarle su identidad podra llamar, al parecer de Visa, y convencer a usted para decirle que su nmero de tarjeta Visa. Un tipo con un rencor podra llamar y dicen ser del IRS o el FBI. Yof usted tiene acceso a un sistema telefnico conectado a un PRI, adems de un poco de conocimientos de programacin que es probable que pueda adquirir en el sitio web del proveedor del sistema, puede utilizar esta tctica para jugar trucos con tus amigos. Conozco a nadie con exageradas aspiraciones polticas? Usted puede programar el nmero de referencia como 202 456-1414, y su identificador de llamadas mostrar el nombre de "Casa Blanca". He'll pensar que est recibiendo una llamada del presidente! The moraleja de la historia es simple: identificador de llamadas no se puede confiar, excepto cuando se utiliza para identificar las llamadas internas. Tanto en el trabajo como en casa, todo el mundo tiene que darse cuenta de que el truco identificador de llamadas y reconocer que el nombre o nmero de telfono que aparece en una pantalla de identificacin de llamadas no siempre se puede confiar en la verificacin de la identidad. Mitnick MENSAJE The prxima vez que reciba una llamada y su identificador de llamadas muestra que es de su querido y viejo mam, Nunca se sabe - que podra ser de un dulce poco viejo ingeniero social. EL EMPLEADO INVISIBLE Shirley Cutlass ha encontrado una nueva y emocionante manera de hacer dinero rpido. No ms largas horas en la mina de sal. Se ha unido a los cientos de artistas de la estafa otros involucrados en el crimen de la dcada. Ella es un ladrn de identidad. TodAy que ha puesto sus ojos en conseguir informacin confidencial del departamento de servicio al cliente de una compaa de tarjetas de crdito. Despus de hacer el tipo de tarea habitual, se llama a la compaa de blanco y le dice a la operadora que contesta que le gustara ser conectado al Departamento de Telecom. Llegar a Telecom, pide el administrador de correo de voz.

Usng informacin obtenida de su investigacin, explica que su nombre es Norma Todd de la oficina de Cleveland. El uso de un ardid que ya deberan ser familiares para usted, ella dice que va a viajar a la sede corporativa de una semana, y ella necesita un buzn de voz all, as que no tendr que hacer de larga distancia

llamars para comprobar sus mensajes de correo de voz. No hay necesidad de una conexin fsica de telfono, dice, slo un buzn de voz. l dice que va a tomar el cuidado de l, va a llamar a su espalda cuando se cre para darle la informacin que necesita. Yona voz seductora, ella dice: "Yo estoy en camino a una reunin, puedo volver a llamar en una hora. Blancoen ella vuelve a llamar, l dice que est todo listo, y le da la informacin su nmero de extensin y una contrasea temporal. l pregunta si ella sabe cmo cambiar la contrasea del correo de voz, y ella lo deja hablar a travs de ella los pasos, a pesar de que los conoce por lo menos tan bien como l. "Unad por el camino ", ella pregunta," desde mi hotel, qu nmero debo llamar para comprobar mis mensajes? "Le da el nmero. Shitelfonos, en rley cambia la contrasea, y los registros de su saludo saliente. Shirley ataques Hasta ahora todo ha sido un montaje fcil. Ahora est listo para utilizar el arte del engao. She llama al servicio de atencin al cliente de la compaa. "Estoy con colecciones, en la oficina de Cleveland", dice ella, y luego se lanza a una variacin en la excusa por ahora-familiar. "Mi equipo est siendo fijado por el apoyo tcnico y necesito tu ayuda levantar esta informacin". Y ella va a proporcionar el nombre y fecha de nacimiento de la persona cuya identidad se tiene la intencin de robar. Luego se muestra la informacin que quiere: Historia de nombre de soltera de la direccin, de la madre, nmero de tarjeta, lmite de crdito, crdito disponible, y el pago. "Llmame a este nmero", dice ella, dando el nmero de extensin interno que el administrador de correo de voz configurado para ella. "Y si no estoy disponible, deje la informacin en mi correo de voz." She se mantiene ocupado con las diligencias para el resto de la maana, y luego revisa su correo de voz de la tarde. Todo est ah, todo lo que pedimos. Antes de colgar, Shirley borra el mensaje de salida, sino que sera imprudente dejar una grabacin de su voz detrs. Und robo de identidad, el crimen de ms rpido crecimiento en Estados Unidos, el "en" crimen del siglo nuevo, est a punto de tener otra vctima. Shirley utiliza la tarjeta de crdito y la informacin de identidad que acaba de obtener, y comienza a funcionar los cargos en la tarjeta de la vctima.

LaCon el nalyzing Yon este ardid, el atacante primero engaados administrador de la empresa de correo de voz en believing ella era una empleada, por lo que iba a crear un buzn de voz temporal. Si se molest en comprobar nada, habra encontrado que el nombre y tnmero elfono dio a coincidir los anuncios en la base de datos de los empleados de las empresas. The resto era simplemente una cuestin de dar una excusa razonable acerca de un problema de equipo, solicitando la informacin deseada, y solicitando que la respuesta se dej en el buzn de voz. Y por qu ningn empleado se muestren reacios a compartir informacin con un compaero de trabajo? Dado que el nmero de telfono que Shirley siempre fue claramente una extensin interna, no haba ninguna razn para que cualquier sospecha. Mitnick MENSAJE Try llamar a su correo de voz de vez en cuando, si oyes un mensaje saliente que 's no es tuyo, es posible que acabamos de encontrar su ingeniero social primero. THE TIL SECRETARIO Cracker Robert Jorday haba sido regularmente irrumpir en las obras de ordenador netos oempresa fa global, Rudolfo Shipping, Inc. La empresa finalmente reconoci que haba alguien hackear su servidor de terminales, una, que a travs de ese servidor que el usuario puede conectarse a cualquier sistema informtico de la empresa. Para salvaguardar la red de la empresa, la empresa decide, para solicitar una contrasea de acceso telefnico en cada servidor terminal. Robarert llamado el Centro de Operaciones de Red hacindose pasar por un abogado del Departamento Legal y dijo que estaba teniendo problemas para conectarse a la red. El administrador de la red lleg explic que haba habido algunos problemas de seguridad recientes, por lo que todos los usuarios de acceso dial-up tendra que obtener la contrasea mensual de su manager. Robert se pregunt qu mtodo se usaba para comunicarse contrasea cada mes a los gerentes y cmo poda obtenerla. La respuesta, se vio despus, era que la contrasea para el siguiente mes fue enviado en una nota a travs de la oficina, por correo a cada gerente de la empresa. That hace las cosas fciles. Robert hizo un poco de investigacin, llam a la compaa justo despus del primer da del mes, y lleg a la secretaria de un gerente, quien se identific como Janet. l dijo: "Janet, hola. Este es Randy Goldstein en Investigacin y Desarrollo. S que probablemente tiene la nota con la contrasea de este mes para iniciar sesin en el servidor Terminal Server desde fuera de la empresa, pero no puedo encontrar en cualquier lugar. Recibiste su

nota de esto, mes? " Yes, dijo, ella lo entenda.

He le pregunt si quera enviarlo por fax a l, y ella estuvo de acuerdo. l le dio el nmero de fax de la recepcionista del vestbulo en un edificio diferente en el campus de la compaa, donde ya haba hecho los arreglos para que los faxes sean mantenidos para l, y luego se encargara de la contrasea de fax que se transmitir. Esta vez, sin embargo, Robert utiliz un diferente mtodo de reenvo de faxes. Le dio a la recepcionista un nmero de fax que se fue a un servicio de fax en lnea. Cuando este servicio recibe un fax, el sistema automatizado que enva a la direccin de correo electrnico del suscriptor. The una nueva contrasea lleg a la cada de email muertos que Robert establecido en un servicio gratuito de correo electrnico en China. Estaba seguro de que si el fax se ha trazado alguna vez, el investigador estara sacando su pelo tratando de obtener la cooperacin de las autoridades chinas, que, lo saba, eran ms que un poco reacio a ser til en asuntos como ste. Lo mejor de todo, nunca haba tenido que presentarse fsicamente en la ubicacin de la mquina de fax.

Mitnick MENSAJE Thsociales e ingeniero experto es muy inteligente a influir a otras personas a hacer favores para l. Recepcin de un fax y enviarlo a otro lugar parece tan inofensivo que es muy fcil convencer a una recepcionista o alguien ms que estar de acuerdo para hacerlo. Cuando alguien pide un favor que implique una informacin, si usted no lo sabe o no puede verificar su identidad, simplemente diga no. TrfiC TRIBUNAL Probabltodo el mundo y que haya recibido una multa por velocidad ha soado about alguna manera de vencerla. No por ir a la escuela de trfico, o simplemente pagar la multa, o correr el riesgo de tratar de convencer al juez sobre algn tecnicismo como cunto tiempo ha pasado desde que el velocmetro de coches de polica o la pistola de radar fue comprobado. No, la ms dulce de escenario estara latiendo el billete por burlar el sistema. La Con Although No recomendara probar este mtodo de golpear a una multa de trfico (como e dice el refrn, no intenten hacer esto en casa) sin embargo, este es un buen ejemplo de cmo el arte de la deception Californian be utilizard to ayudar la tancial ingeniero. Dejar'S llamar a este trfico violater Paul Durea. Primeros

Pasos "LAPDDe la Divisin Hollenbeck ". "Hola, Me gustara hablar con el control de citacin. "" Soy el secretario de citacin ".

"Fine. Esto es abogado John Leland, de Meecham, Meecham y Talbott. Tengo que citar a un funcionario en un caso. " "Est bien, Qu oficial? " "Do tienes Oficial de Kendall en su divisin? "" Cul es su nmero de serie? " "21349". "S. Cundo lo necesitas?" "Somtiempo e el prximo mes, pero tengo que citar a otros testigos en el caso y luego decirle a la corte qu da va a trabajar para nosotros. Hay algn da prximo mes oficial de Kendall no estarn disponibles? " "Vamos as ver ... Tiene das de vacaciones del da 20 al 23, y ha entrenando da, el 8 y el 16. " "Gracias. Eso es todo lo que necesito en estos momentos. Yo te llamo cuando la fecha de corte se establece. " Corte Municipal, Contador secretario Paul: "Me gustara programar una cita en la corte en esta multa." Secretario: ". Est bien que te puede dar el da 26 del mes que viene." "Bueno, me gustara hacer una lectura de cargos". "You quiere una comparecencia en una multa de trfico? "" S ". "Est bien. Podemos establecer la comparecencia de maana en la maana o en la tarde. Qu te gustara? " "Por la tarde". "Arraignment es maana a las 1:30 P.M. en la Sala Seis. "" Gracias. Voy a estar all. " Corte Municipal, Courtroom Six DComimos: Jueves, 13:45 Secretario: "El seor Durea, por favor acercarse al estrado". Juez: "El seor Durea, entiendes los derechos que se han explicado a usted esta tarde?" Paul: "S, Su seora ". Juez: "Do quieres tener la oportunidad de asistir a la escuela de trfico? Su caso ser despedido despus de completar con xito un curso de ocho horas. He

revisado su expediente y usted es actualmente elegible ". Paul: "No, Su seora. Solicito respetuosamente que el caso fuera a juicio. Una cosa ms, Su Seora, voy a estar viajando fuera del pas, pero estoy disponible en

e 8 o 9. Sera posible establecer mi caso a juicio en cualquiera de esos das? Me voy en un viaje de negocios para el futuro de Europa, y vuelvo en cuatro semanas ". Juez: "Ver.y bien. Juicio est programado para el 08 de junio, 8:30 AM, Sala Cuatro ". Paul: "De lo quek usted, su seora ". Corte Municipal, Sala Cuatro Paul lleg a la corte temprano en el da 8. Cuando el juez entr, el empleado le dio una lista de los casos en los que los agentes no haban aparecido. El juez llam a los acusados, incluyendo a Pablo, y les dijo que sus casos fueron desestimados. LaCon el nalyzing When un oficial escribe un boleto, que lo firma con su nombre y su nmero de placa (Or cualquiera que sea su nmero personal es llamado en su agencia). Encontrar su estacin es un pedazo de pastel. Una llamada a la asistencia de directorio con el nombre de la aplicacin de la ley agency que aparece en la citacin (Patrulla de Caminos, sheriff del condado, o lo que sea) es enough a poner un pie en la puerta. Una vez que el organismo se pone en contacto, se puede transferir la llamada al nmero de telfono correspondiente a la recepcionista de citacin que sirve el rea geogrfica donde se realiz la parada de trfico. Los oficiales de polica son citados para comparecencias ante el tribunal con regularidad, sino que viene con el territorio. Cuando un fiscal o un abogado de la defensa necesita un oficial para declarar, si sabe cmo funciona el sistema, lo primero que comprueba que el oficial estar disponible. Eso es fcil de hacer, slo se necesita una llamada a la recepcionista de citacin para esa agencia. Usually en esas conversaciones, el abogado le pregunta si el funcionario en cuestin estar disponible en tal y tal fecha. Por esta treta, Paul necesitaba un poco de tacto, tena que ofrecer una razn plausible de por qu el empleado debe decirle qu fechas el oficial no estara disponible. When primero fue a la sede del tribunal, por qu Pablo no simplemente decir la secretario judicial que fecha que quera? Fcil - por lo que entiendo, la corte de trfico empleados en la mayora de lugares no permiten que los miembros del pblico para seleccionar las fechas de corte. Si un

dcomi el secretario sugiere que no funciona para la persona, que va a ofrecer una alternativa o dos, Pero eso es lo que a ella se doblar. Por otra parte, cualquiera que est dispuesto a tomar el tiempo adicional de presentarse para la lectura de cargos es probable que tenga ms suerte. PauSaba que tena derecho a pedir una comparecencia. Y saba que los jueces estn dispuestos a acoger una solicitud de una fecha especfica. Cuidadosamente pedido

dates que coincidan con los das de entrenamiento del oficial, a sabiendas de que en su estado, el entrenamiento oficial tiene prioridad sobre una aparicin en la corte de trfico. Mitnick MENSAJE Thmente e humano es una creacin maravillosa. Es interesante observar cmo imaginativo people puede estar en el desarrollo de formas engaosas para conseguir lo que quieren o para salir de una situacin difcil. Usted tiene que usar la misma creatividad e imaginacin para proteger la informacin y los sistemas informticos en los sectores pblico y privado. As que, amigos, la hora de disear las polticas de seguridad de su compaa - ser creativo y pensar outside la caja. Und en el corte de trnsito, cuando el oficial no aparece - caso sea desestimado. No multas. No hay clases de trfico. Sin puntos. Y lo mejor de todo, no hay registro de un delito de trfico! My supongo que algunos funcionarios policiales, funcionarios judiciales, fiscales y similares leer esta historia y sacuden sus cabezas, porque saben THAt this ardid funciona. Sin embargo, meneando la cabeza es todo lo que voy a hacer. Nada va a cambiar. Yo estara dispuesto a apostar por ella. Como el personaje de Cosmo dice en las zapatillas de deporte 1992 de cine: "Es todo acerca de los unos y ceros" - lo que significa que, al final, todo se reduce a la informacin. Mientras las fuerzas del orden estn dispuestos a dar informacin sobre el horario de un oficial para prcticamente cualquier persona que llama, la capacidad de salir de multas de trfico siempre existir. Tiene lagunas similares en su empresa o oprocedimientos RGANIZACIN de que un ingeniero social inteligente puede aprovechar para obtener la informacin que usted preferira no tener? SAMANTHA REVENGE Samantha Gregson enojado. "S estaba

She haba trabajado duro para su ttulo universitario en los negocios, y apilados un montn de prstamos estudiantiles para hacerlo. Siempre se haba inculcado a ella que un ttulo universitario es cmo usted tiene una carrera en lugar de un trabajo, cmo usted gan mucho dinero. Y despus se gradu y no poda encontrar un trabajo decente en cualquier lugar. How contento que haba sido conseguir que la oferta de Manufactura Lambeck. Claro, era humillante para aceptar un puesto de secretaria, pero el seor Cartright haba dicho lo ansiosos que estaban por tenerla, y tomando el trabajo de secretaria se puso en el lugar cuando el prximo no administrativa posicin abierto.

Twmeses o ms tarde se enter de que uno de los jefes de producto de menores Cartright se iba. Casi no pude dormir esa noche, imaginndose en el quinto piso, en una oficina con una puerta, asistir a reuniones y tomar decisiones.

Thmaana e siguiente fue lo primero a ver al seor Cartright. Dijo que senta que necesitaba aprender ms sobre la industria antes de estar preparada para una posicin profesional. Y luego se fue y contrat a un aficionado de fuera de la empresa que saba menos acerca de la industria que ella. Yot estaba por entonces que comenz a caer en ella: la empresa tena un montn de mujeres, pero eran casi todos los secretarios. Ellos no iban a dar un trabajo de gestin. Ever. Payback Yot la llev casi una semana para averiguar cmo se las iba a pagar. Alrededor de un mes antes, un chico de una revista comercial de la industria ha tratado de dar con ella cuando entr en el lanzamiento de nuevos productos. Unas semanas ms tarde la llam al trabajo y dijo que si ella le enviara alguna informacin previa sobre el producto Cobra 273, que enviara sus flores, y si era informacin muy caliente que us en la revista, que haba hacer un viaje especial desde Chicago slo para llevarla a cenar. She haba estado en el cargo el joven seor de Johannson Un da, poco despus de que cuando se ha iniciado sesin en la red corporativa. Sin pensarlo, se haba visto sus dedos (hombro surf, esto a veces se llama). Haba entrado en "marty63" como su contrasea. lplan de r estaba empezando a unirse. Haba una nota que recordaba a escribir poco despus de que lleg a la empresa. Ella encontr una copia en los archivos y escribi una nueva versin, con un lenguaje de la original. Su versin deca: A: C. Pelton, departamento de TI. FROM: L. Cartright, Desarrollo Martn Johansson va a trabajar con un equipo de proyectos especiales en mi departamento. Por la presente le autoriza a tener acceso a los servidores utilizados por el grupo de ingeniera. Sr. Johansson perfil de seguridad se va a actualizar a otorgarle los mismos derechos de acceso como desarrollador de productos. Louis Cartright LINGO ShouldeR SURF The acto de ver un tipo de persona en su computadora keyboard para detectar y robar su contrasea o informacin de otro usuario.

When casi todo el mundo se haba ido a almorzar, se cort la firma del Sr. Cartright desde el memorndum original, lo pegu en su nueva versin, y embadurnado Wite-Out en los bordes. Ella hizo una copia de los resultados, y luego hizo una copia de la copia. Casi no poda ver los bordes alrededor de la firma. Ella envi el fax de la mquina ", cerca de la oficina del Sr. Cartright. Tres das ms tarde, se qued fuera de horario y esper hasta que todos se fueron. Ella entr a la oficina de Johannson, y trat de iniciar sesin en la red con su nombre de usuario y la contrasea, marry63. Funcion. Yon minutos que haba localizado los archivos de especificacin de producto para el Cobra 273, y se han cargado a un disco Zip. El disco estaba a salvo en su bolso mientras caminaba en el fro nocturno brisa para el estacionamiento. Sera en su camino hacia el reportero que noche. LaCon el nalyzing Un empleado descontento, una bsqueda a travs de los archivos, una rpida operacin de corte de pasta y Wite fuera, un poco creativo, copia y fax a. Y, voila - ella tiene acceso a la comercializacin confidencial y especificaciones del producto. Y unos das ms tarde, un periodista de la revista el comercio tiene una gran primicia con las especificaciones y los planes de comercializacin de un nuevo producto caliente que estar en las manos de los suscriptores de la revista a lo largo de los meses de la industria antes del lanzamiento del producto. Empresas de la competencia tendr inicio varios meses la cabeza en el desarrollo de productos equivalentes y que sus campaas publicitarias listo para socavar la Cobra 273. Naturally la revista nunca dir de dnde sacaron la primicia. PREVENTING CON EL When pedido ninguna informacin valiosa, sensible o crtica que pueda ser de beneficiar a un competidor o cualquier otra persona, los empleados deben ser conscientes de que el uso de la identificacin de llamadas como un medio para verificar la identidad de la persona que llama no es aceptable. Algunos otros medios de verificacin deben ser utilizados, tales como la comprobacin con el supervisor de la persona que la peticin era adecuado y que el usuario tiene autorizacin para recibir la informacin. Thproceso electrnico de verificacin requiere un acto de equilibrio que cada empresa debe definir por s misma: Seguridad frente a la productividad. Qu prioridad se va a asignar a la aplicacin de medidas de seguridad? Los empleados son resistentes a los siguientes procedimientos de seguridad, und

vsperan circumvent tdobladilloyon order to complete their trabajo responsabilidades? Los empleados entienden por qu la seguridad es importante para el

company ya s mismos? Estas preguntas deben ser respondidas para desarrollar una poltica de seguridad basada en la cultura corporativa y las necesidades del negocio. Mospersonas inevitablemente t ver cualquier cosa que interfiera con conseguir su trabajo hecho como una molestia, y puede burlar las medidas de seguridad que parecen ser un waste de tiempo. Motivar a los empleados a hacer parte de seguridad de sus responsabilidades diarias a travs de la educacin y la conciencia es la clave. Althougllamante h servicio de identificacin nunca debe ser usado como un medio de autenticacin para llamadas de voz desde fuera de la compaa, otro mtodo llamado identificacin automtica de nmero (ANI) puede. Este servicio se ofrece cuando una empresa se suscribe a huir al nmero de servicios que la empresa paga por las llamadas entrantes y es confiable para la identificacin. A diferencia de la identificacin de llamadas, el interruptor de compaa telefnica no utiliza ningn tipo de informacin que se enva desde un cliente al proporcionar el nmero que llama. El nmero transmitido por ANI es el nmero de facturacin asignado a la parte llamante. Noe que varios fabricantes modernos han aadido una caracterstica de identificador de llamadas en sus productos, la proteccin de la red corporativa, permitiendo acceso remoto requiere slo de una lista de nmeros de telfono ofpreauthorized. Mdems de identificacin de llamadas son un medio aceptable de autenticacin en un entorno de baja seguridad, pero, como debera haber quedado claro, ID spoofing persona que llama es una tcnica relativamente fcil para los intrusos informticos, por lo que no debe ser invocado para probar la identidad de la persona que llama o la ubicacin en un entorno de alta seguridad. Para abordar el caso de robo de identidad, como en el cuento de engaar a un administrador crear un buzn de correo de voz en el sistema telefnico corporativo, lo convierten en una poltica que todo el servicio de telfono, todos los buzones de correo de voz, y todas las entradas en el directorio de la empresa, tanto en impresa y en lnea, debe ser solicitada por escrito, en un formulario previsto a tal efecto. Gerente del empleado debe firmar la solicitud, y el administrador de correo de voz debe verificar la firma. Corporate la poltica de seguridad debe exigir que nuevas cuentas de equipo o el aumento de los derechos de acceso slo se conceder despus de la verificacin positiva de la persona que hace la solicitud, como una devolucin de llamada al administrador del sistema o el administrador, o persona que ste designe, en el nmero de telfono que aparece en el Directorio de empresas de medios impresos o en lnea. Si la empresa utiliza el correo electrnico seguro en el que los empleados pueden firmar digitalmente los mensajes, este mtodo de verificacin alternativa tambin puede ser aceptable. Recuerde que todos los empleados, independientemente de si tiene acceso a los

sistemas informticos de la compaa, pueden ser engaados por un ingeniero social. Todo el mundo debe ser incluido en la formacin de concienciacin sobre seguridad. Auxiliares administrativos, recepcionistas, telefonistas y guardias de seguridad, se han familiarizado con los tipos de

ataque de ingeniera social ms probabilidades de ser dirigida contra ellos para que puedan estar mejor preparados para defenderse de esos ataques.

Chapter 14 Espionaje industrial

La THReen de enformularioacin attacks ungananciast gubernament, corporaciones, und sistemas universidad est bien establecida. Casi todos los das, los medios de comunicacin informa de un nuevo virus informtico, ataque de denegacin de servicio, o el robo de informacin de tarjetas de crdito desde un sitio Web de comercio electrnico. We ledo sobre casos de espionaje industrial, tales como Borland Symantec acusa de robar secretos comerciales, Cadence Design Systems presentar una demanda de carga del robo de cdigo fuente por un competidor. Muchos empresarios leer estas historias y creo que nunca podra ocurrir en su empresa. Ess sucediendo cada da. VARIATISOBRE EN UN ESQUEMA Thardid e describe en la siguiente historia ha sido probablemente quit muchas veces, a pesar de que suena como algo sacado de una pelcula de Hollywood como El Persona enterada, O desde las pginas de una novela de John Grisham. Class Accin Imagine que un massive claseDe accin lawsuit yos raging against un major compaa farmacutica, Pharmomedic. La demanda alega que conoca a uno de sus medicamentos muy populares tenan un efecto secundario devastador, pero que no sera evident hasta que un paciente haba estado tomando la medicacin durante aos. La demanda alega que lay tena los resultados de una serie de estudios de investigacin que revel este peligro, pero suprimi la evidencia y nunca le dio la vuelta a la FDA segn sea necesario. William ("Billy") Chaney, el abogado del caso en la cabecera de la firma de abogados de Nueva York, que present la demanda de accin de clase, tiene testimonios de dos mdicos Pharmomedic base la demanda. Pero ambos estn jubilados, ni tiene ningn archivo o documentacin, y tampoco sera un testimonio fuerte y convincente. Billy sabe que est en un terreno inestable. A menos que pueda obtener una copia de uno de esos informes, o alguna nota interna o la comunicacin entre los ejecutivos de la compaa, su caso todo se vendr abajo. So que contrata a una empresa que ha usado antes: Andreeson and Sons,

investigadores privados. Billy no sabe cmo Pete y su gente conseguir las cosas que hacen, y que no quiere saber. Todo lo que sabe es que Pete Andreeson es un buen investigador. To Andreeson, una misin de este tipo es lo que l llama un trabajo maletn negro. La primera regla es que nunca las firmas de abogados y empresas que lo contratan a aprender cmo se pone la informacin a fin de que siempre tengan una negacin completa, plausible. Si alguien

yos va a tener los pies meti en el agua hirviendo, va a ser Pete, y por lo que se acumula en las comisiones sobre los grandes puestos de trabajo, l calcula que vale la pena el riesgo. Adems, obtiene satisfaccin personal, de ser ms inteligente que la gente inteligente. Yof los documentos que Chaney quiere que encuentre realmente existi y que no han sido destruidos, van a estar en algn lugar en los archivos de Pharmomedic. Pero la bsqueda de ellos en los archivos masivos de una gran empresa sera una tarea enorme. Por otro lado, supongamos que han convertido copias a su bufete de abogados, Jenkins y Petry? Si los abogados de la defensa saba que esos documentos existen y no entregarlos como parte del proceso de descubrimiento, entonces se ha violado el canon de la profesin jurdica de la tica, y ha violado la ley, tambin. En el libro de Pete, que hace que cualquier juego de ataque justo. Pete 's Attack Pete hace un par de sus personas iniciadas en la investigacin y en pocos das l sabe AMSt empresa Jenkins y Petty utiliza para almacenar sus copias de seguridad fuera del sitio. Y sabe que la empresa de almacenamiento mantiene una lista de los nombres de las personas a quienes el law firma ha autorizado a recoger las cintas de almacenamiento. Tambin sabe que cada una de estas personas tiene su contrasea propia. Pete enva a dos de su pueblo en un trabajo maletn negro. Thhombres e abordar la cerradura con una ganza pistola ordenado en la Web en www.southord.com. Dentro de unos minutos se deslizan en las oficinas de la empresa de almacenamiento de alrededor de 3 am una noche y arrancar un PC. Ellas sonren cuando ven el logo de Windows 98, ya que significa que este ser un juego de nios. Windows 98 no requiere ningn tipo de autenticacin. Despus de buscar algo exagerado, ubican una base de datos Microsoft Access con los nombres de las personas autorizadas por cada uno de los clientes de almacenamiento de la empresa para recoger las cintas. Aaden un nombre falso a la lista de autorizaciones por Jenkins y Petry, el mismo nombre que uno en una licencia de conducir falsa de uno de los hombres ha obtenido ya. Podran haber irrumpido en el rea de almacenamiento cerrada y trat de localizar las cintas de su cliente quera? Seguro - pero entonces todos los clientes de la compaa, incluyendo la firma de abogados, que sin duda han sido notificados de la infraccin. Y los atacantes habran perdido una ventaja: Profesionales de siempre como para dejar una abertura para acceder en el futuro, en caso de necesidad. Followinga prctica estndar de espas industriales para mantener algo en el bolsillo trasero para un uso futuro, por si acaso, tambin hizo una copia del archivo que contiene la lista de autorizaciones en un disquete. Ninguno de ellos tena la menor idea de lo que alguna vez podra ser til, pero es slo uno de esos "Estamos aqu, puede ser que slo as" las cosas que de vez en cuando resulta ser

valiosa.

Thdas e siguiente, uno de los mismos hombres llam a la compaa de almacenamiento, utiliza el nombre que haba aadido a la lista de autorizaciones, y dio la contrasea correspondiente. Pidi que todos los Jenkins y cintas Petry fecha dentro del ltimo mes, y dijo que un servicio de mensajera vendra a recoger el paquete. A media tarde, Andreeson tena las cintas. Su pueblo restaurado todos los datos en su propio sistema informtico, listo para buscar en el ocio. Andreeson estaba muy contento de que la firma de abogados, al igual que la mayora de los otros negocios, no se molest en cifrar sus datos de copia de seguridad. Thcintas electrnicas fueron entregados a la empresa de almacenamiento al da siguiente y no haba nadie ms sabio. Mitnick MENSAJE Valuable informacin debe ser protegida sin importar la forma que adopte o donde yos ubicado. Lista de una organizacin cliente tiene el mismo valor, ya sea en copia impresa paramo un archivo electrnico en su oficina o en una caja de almacenamiento. Los ingenieros sociales prefieren siempre los ms fciles de burlar al, defendi el punto de ataque. Una empresa de las instalaciones fuera del sitio de almacenamiento de copia de seguridad se considera que tiene un menor riesgo de deteccin o conseguir cogido. Toda organizacin que almacena todos los datos importantes, sensibles o crticos con terceros debe cifrar sus datos para proteger su confidencialidad. LaCon el nalyzing Debido a la seguridad fsica laxa, los malos eran fcilmente capaces de forzar la cerradura de la empresa de almacenamiento, el acceso a la computadora, y modificar el base de datos que contiene la lista de las personas autorizadas a tener acceso a la unidad de almacenamiento. Agregar un nombre a la lista de permitidos los impostores para obtener las cintas de copia de seguridad informticos que buscaban, sin tener que entrar en la unidad de almacenamiento de la empresa. Porque la mayora de las empresas no encriptan los datos de copia de seguridad, la informacin era de ellos for la toma. Thiincidente s ofrece un ejemplo ms de cmo una empresa fabricante que no haga uso de las precauciones razonables de seguridad puede hacer que sea fcil para un atacante comprometer los activos de sus clientes la informacin. THE nuevo socio de negocios Social ingenieros tienen una gran ventaja sobre los estafadores y timadores, y la ventaja es la distancia. Un estafador slo se puede engaar al estar en su presencia, lo que le permite dar una buena descripcin de l ms tarde o incluso

llamar a la polica si se captura a la astucia suficiente antelacin. Sociaingenieros l ordinariamente evitar ese riesgo como la peste. A veces, sin embargo, el riesgo es necesario y justificado por la recompensa potencial.

JHistoria de essica Jessica Andover se senta muy bien en conseguir un trabajo con un pez gordo robtica empresa. Claro, era slo una start-up y no podan pagar mucho, pero era pequea, la gente era amable, y all estaba la emocin de saber que su stock opciones slo podra llegar a hacerle rico. Bueno, quizs no un millonario como los fundadores de la compaa sera, pero lo suficientemente rico. Which fue cmo sucedi que Rick Daggot tiene una sonrisa radiante cuando entr en el vestbulo que maana martes de agosto. En su aspecto caro traje (Armani) y su pesado reloj de pulsera de oro (un Rolex Presidente), con su corte de pelo impecable, tena esa misma varonil, seguro de s mismo aire que haba llevado a todas las chicas locas cuando Jessica estaba en la secundaria . "Hola", dijo. "Estoy Daggot Rick y yo estoy aqu para mi reunin con Larry". Jessica 's sonrisa se desvaneci. "Larry?" dijo. "Larry est de vacaciones toda la semana." "Tengo una cita con l a la una. Acabo de llegar de Louisville a reunirse con l", dijo Rick, como l sac su Palm, lo encendi y le mostr. She lo mir y le dio una pequea sacudida de su cabeza. "El 20", dijo. "Esa es la prxima semana." Dio la espalda bolsillo y se qued mirndolo. "Oh, no!" l gimi. "No puedo creer lo que un error estpido que hice." "Puedo reservar un vuelo de vuelta para ti, por lo menos? ", Pregunt ella, sintiendo pena por l. While hizo la llamada telefnica, Rick confes que l y Larry haba arreglado para establecer una alianza estratgica de marketing. Compaa de Rick estaba produciendo productos para la lnea de fabricacin y montaje, los elementos que se complementan perfectamente su nuevo producto, el C2Alpha. Productos de Rick y C2Alpha el conjunto sera una solucin fuerte que abrira importantes mercados industriales para ambas compaas. When Jessica haba terminado de hacer su reservacin en un vuelo de la tarde, Rick dijo: "Bueno, al menos yo poda hablar con Steve si est disponible". Pero Steve, vicepresidente de la compaa y cofundador, tambin estaba fuera de la oficina. Almiar, Siendo muy amigo de Jessica y coquetear un poco, y luego sugiri que, mientras l estaba all y su vuelo a casa no fue hasta la tarde, que le gustara tomar algunas de las personas clave para el almuerzo. Y aadi: "La inclusin de ti, por supuesto - hay alguien que puede llenar para usted en la hora del almuerzo.

Flushed ante la idea de ser incluido, Jessica pregunt: "A quin quieres venir?" Toc su bolsillo otra vez y nombr a algunas personas - dos ingenieros de I + D, las nuevas ventas y marketing, el hombre y el chico financiamiento asignado al proyecto. Rick le sugiri que decirles acerca de su relacin con la empresa, y que a l le gustara presentarse a ellas. l nombr el mejor restaurante de la zona, un lugar en el que Jessica siempre haba querido ir, y dijo que volvera a reservar la mesa de s mismo, para las 12:30, y volvera a llamar ms tarde en la maana para asegurarse de que todo estaba listo. Blancoen ellos se reunieron en el restaurante - el cuatro de ellas adems de Jessica su mesa no estaba lista todava, as que se establecieron en el bar, y Rick dej en claro que las bebidas y el almuerzo estaban sobre l. Rick era un hombre con estilo y clase, la clase de persona que te hace sentir cmodo desde el primer momento, de la misma manera que se siente con alguien a quien conozco desde hace aos. Siempre pareca saber exactamente lo que hay que decir, tena una observacin animado o algo divertido cada vez que la conversacin lag, y te haca sentir bien slo estar cerca de l. He compartido slo detalles suficientes sobre los productos de su propia empresa que se poda imaginar la solucin de marketing conjunto pareca tan animada sobre. Llam a varias compaas Fortune 500 que su empresa ya estaba vendiendo, hasta que todos en la mesa empez a imaginar su producto convirtindose en un xito desde el da en que las primeras unidades sali de la fbrica. Lan Rick se acerc a Brian, uno de los ingenieros. Mientras los dems charlaban entre s, Rick compartido algunas ideas en privado con Brian, y lo llev a cabo sobre las caractersticas nicas de la C2Alpha y lo que lo diferencia de cualquier cosa que la competencia tena. l se enter de un par de caractersticas que la compaa estaba restndole importancia a que Brian era orgulloso y piensa realmente "puro". Rick se abri camino a lo largo de la lnea, charlando tranquilamente con cada uno. El tipo de marketing estaba feliz por la oportunidad de hablar acerca de la fecha de puesta en marcha y planes de marketing. Y el contador de frijol sac un sobre de su bolsillo y escribi los detalles de los costos de materiales y de fabricacin, nivel de precios y el margen esperado, y qu tipo de acuerdo que estaba tratando de trabajar con cada uno de los vendedores, los cuales se enumeran por su nombre. BY, el momento en que su mesa estaba lista, Rick haba intercambiado ideas con todo el mundo y ha ganado admiradores a lo largo de la lnea. Al final de la comida, cada uno de ellos dio la mano a Rick a su vez y le dio las gracias. Almiar swapped tarjetas de visita con todos y menciona de pasada a Brian, el ingeniero, que quera tener una discusin ms amplia en cuanto Larry regres.

The da siguiente Brian cogi su telfono para descubrir que la llamada era de Rick, quien dijo que acababa de hablar con Larry. Estoy yendo a bacuse de recibo en el lunes para resolver algunos de los detalles con l ", dijo Rick", y l quiere que yo est al tanto de su producto. Dijo que debe enviar los ltimos diseos y especificaciones para l. l va a escoger las piezas que quiere que yo tenga y las enviar a m. " The ingeniero dijo que iba a estar bien. Bueno, Rick respondi. l continu, "quera Larry usted sepa que l est teniendo un problema al recuperar su correo electrnico. Lugar de enviar el material a su cuenta regular, arregl con centro de negocios del hotel para configurar una cuenta de correo de Yahoo para l. l dice que usted debe enviar los archivos a larryrobotics @ yahoo.com." The despus de la maana del lunes, cuando Larry entr a la oficina buscando bronceado y relajado, Jessica fue preparado y con ganas de chorro sobre Rick. "Qu gran tipo. Tom un montn de nosotros a comer, incluso para m." Larry mir confundido. "Rick, quin diablos es Rick?" "What're hablas - su nuevo socio de negocios "." Qu!??? " "Unad todo el mundo estaba tan impresionado con lo que las buenas preguntas, se pregunt. "" Yo no conozco a ningn Rick ... " "QEs a lo que te pasa? Es una broma, Larry - ests justo engaando conmigo, verdad? " "Obtener el equipo ejecutivo en la sala de conferencias. Como ahora. No importa lo que estn haciendo. Y todos los que estaban en ese almuerzo. Incluyndote a ti." Lay se sentaron alrededor de la mesa en un estado de nimo sombro, casi sin hablar. Larry entr, se sent y dijo: "Yo no conozco a nadie llamado Rick. Yo no tengo un nuevo socio comercial que he estado manteniendo en secreto para todos ustedes. Qu habra pensado era evidente. Si hay una prctica, comodn en medio de nosotros, quiero que hable ahora. " Not un sonido. La habitacin pareca estar creciendo ms oscuro momento a momento. Finalmente Brian habl. "Por qu no dijiste nada cuando te envi THAt e-mail con las especificaciones del producto y el cdigo fuente? " "Quemail t! ? " Brian se puso rgido. "Oh ...

mierda!"

Acantilado, El otro ingeniero, intervino in "l nos dio todas las tarjetas de visita. Slo tenemos que llamarlo y ver cul es la campana que est pasando." Brian sac su ordenador de mano, llam a una entrada, y desliz el dispositivo acrosest la mesa para Larry. An esperando contra toda esperanza, que todos vimos como en trance, mientras que Larry marcado. Despus de un momento, apual el botn del altavoz y todo el mundo escuch una seal de ocupado. Despus de tratar el nmero varias veces durante un perodo de veinte minutos, un frustrado Larry marc el operador para solicitar una interrupcin de emergencia. Unos momentos ms tarde, el operador volvi a la lnea. Ella dijo en tono desafiante: "Seor, dnde conseguiste este nmero?" Larry le dijo que estaba en la tarjeta de visita de un hombre que tena que ponerse en contacto urgentemente. El operador, dijo: "Lo siento. Eso es una compaa de telfonos nmero de prueba. Siempre suena ocupado." Larry comenz a hacer una lista de la informacin que haba sido compartida con Rick. La imagen no era bastante. Two Los detectives de la polica vino y se llev un informe. Despus de escuchar la historia, sealaron que ningn crimen se haba cometido estatal, no haba nada que pudieran hacer. Se aconseja ponerse en contacto con Larry el FBI porque no tienen jurisdiccin sobre los delitos relacionados con el comercio interestatal. Cuando Rick Daggot pidi al ingeniero que transmita los resultados de las pruebas al tergiversar a s mismo, l pudo haber cometido un delito federal, pero Rick tendra que hablar con el FBI para descubrirlo. Thremeses ms tarde e Larry estaba en la cocina leyendo el peridico de la maana en el desayuno, y casi derram su caf. Lo que haba estado temiendo desde que haba escuchado por primera vez sobre Rick se haba hecho realidad, su peor pesadilla. All estaba, en blanco y negro, en la primera pgina de la seccin de negocios: una empresa que nunca haba odo hablar de anunciaba el lanzamiento de un nuevo producto que sonaba exactamente igual que el C2Alpha su compaa haba estado desarrollando durante los ltimos dos aos. Through engao, estas personas lo haban golpeado al mercado. Su sueo fue destruido. Los millones de dlares invertidos en investigacin y desarrollo en vano. Y probablemente no pudo probar una sola cosa en su contra. Historia Sammy Sanford Smart lo suficiente como para estar ganando un gran salario en un empleo legtimo, pero lo suficientemente torcida to prefieren ganarse la vida como un estafador, Sammy Sanford haba hecho muy bien por s mismo. Con el tiempo lleg a la atencin de un espa que se haba

visto obligado a jubilarse anticipadamente debido a un problema con la bebida, amargo y vengativo, el hombre haba encontrado la manera de la venta de los talentos que el gobierno haba hecho de l un experto pulg Always en busca de personas que podran utilizar, que haba visto la primera Sammy

time que se conocieron. Sammy haba resultado fcil, y muy rentable, para cambiar su enfoque de levantar dinero de la gente para levantar secretos de la compaa. Mospersonas t no tendra el valor de hacer lo que hago. Trata de engaar a la gente por telfono oa travs de Internet y nadie lo llega a ver. Sin embargo, cualquier estafador bueno, lo pasado de moda, cara a cara amable (y hay un montn de ellos ah fuera, ms de lo que imagina) le puede mirar a los ojos, decirle una mentira, y te lleva a creer ella. He conocido a un fiscal o dos que creo que es criminal. Creo que es un talento. But no se puede ir caminando a ciegas, tiene el tamao de las cosas primero. A con calle, se puede tomar la temperatura de un hombre con un poco de conversacin amable y par de sugerencias cuidadosamente redactados. Obtenga las respuestas correctas y Bingo - HAS embolsado una paloma. Un trabajo de la empresa es ms parecido a lo que llamamos una gran estafa. Tienes que hacer la instalacin. Averige cules son sus botones son, saber lo que quieren. Lo que ellos necesitan. Planee un ataque. Sea paciente, hacer su tarea. Averiguar el papel que va a jugar y aprender sus lneas. Y no entra por la puerta hasta que est listo. Pas mejor de tres semanas en ponerse al da para ste. El cliente me dio una sesin de dos das en lo que debo decir "mi" empresa hizo y cmo describir por qu iba a ser una buena alianza de comercializacin conjunta. Entonces tuve suerte. Llam a la compaa y dijo que yo era de una firma de capital de riesgo y que estaban interesados en la creacin de una reunin y yo estaba haciendo malabarismos con los horarios de encontrar un momento en que todos nuestros socios estar disponible en algn momento de los prximos dos meses, y estaba all cualquier intervalo de tiempo que debe evitar, en cualquier perodo cuando Larry no iba a estar en la ciudad? Y ella dijo: S, l no haba tenido tiempo de descanso en los dos aos desde que se fund la compaa, pero su esposa lo arrastraba lejos en unas vacaciones de golf en la primera semana de agosto. Eso fue slo dos semanas. Yo poda esperar. Meanwhile una revista de la industria me dio el nombre de la empresa de la firma de relaciones pblicas. Le dije que me gustaba la cantidad de espacio que se reciben a cambio de su cliente empresa de robtica y quera hablar con quien estaba manejando la cuenta sobre el manejo de mi empresa. Result ser una dama enrgica joven que le gustaba la idea de que podra ser capaz de traer una nueva cuenta. Durante un almuerzo con bebida caro uno ms de lo que realmente quera, ella hizo lo que pudo para convencerme de que eran oh, tan bueno en la

comprensin de los problemas del cliente y encontrar las soluciones adecuadas relaciones pblicas. Jugu difcil de convencer. Necesitaba algunos detalles. Con un poco de insistencia, por el tiempo que el

placas se estaban quedando sin ella me haba dicho ms sobre el nuevo producto y problemas de la empresa de lo que poda haber esperado. Thcosa e iba como un reloj. La historia est tan avergonzado que la reunin fue la semana que viene, pero que tambin podra reunirse con el equipo todo el tiempo que estoy aqu, la recepcionista tragarse enteras. Incluso sent lstima por m en el negocio. El almuerzo me retras todo por $ 150. Con punta. Y yo tena lo que necesitaba. Los nmeros de telfono, cargos, y un chico muy clave que crea que yo era el que me dijo que yo era. Brian me haba engaado, lo admito. l pareca el tipo de hombre que acababa de enviarme por correo electrnico cualquier cosa que pedimos. Pero su voz sonaba como si estuviera frenando un poco cuando me sac el tema. Vale la pena esperar lo inesperado. Esa cuenta de correo electrnico en nombre de Larry, que lo tena en el bolsillo de atrs por si acaso. La gente de Yahoo de seguridad estn probablemente todava all sentado esperando a que alguien utilice la cuenta de nuevo para que puedan rastrearlo. Van a tener que esperar mucho tiempo. La mujer gorda ha cantado. Me voy en otro proyecto. LaCon el nalyzing Anyone que trabaja con un cara a cara tiene que ocultar a s mismo en una mirada que se make aceptable a la marca. l se puso juntos de una manera que aparezca en la pista de carreras, otro para aparecer en un pozo de agua locales, otro para un bar de lujo en un hotel de lujo. Ess de la misma manera con el espionaje industrial. Un ataque puede llamar por un traje y corbata y un maletn caro si el espa se hace pasar por un ejecutivo de una firma establecida, consultor, o un representante de ventas. En otro trabajo, tratando de hacerse pasar por un ingeniero de software, un tcnico, o alguien de la sala de correo, la ropa, el uniforme - la mirada del conjunto sera diferente. For infiltrarse en la sociedad, el hombre que se haca llamar Rick Daggot saba que tena que proyectar una imagen de confianza y competencia, respaldada por un conocimiento profundo de productos de la empresa y la industria. Nodificultad t mucho poniendo las manos sobre la informacin que necesitaba con antelacin. l ide una estratagema fcil averiguar cuando el CEO estara lejos. Un pequeo reto, pero todava no es muy difcil, estaba descubriendo bastantes detalles sobre el proyecto que podra sonar "en el interior" de lo que estaban haciendo. A menudo esta informacin es conocida por varios proveedores de la empresa, as como los inversores, capitalistas de riesgo han acercado sobre la recaudacin de dinero, su banquero, y su bufete de abogados. El atacante tiene que tener cuidado, sin embargo: Encontrar a alguien que se parte con conocimiento de informacin privilegiada puede ser difcil, pero tratar dos o tres fuentes de subir a alguien que puede ser exprimida para obtener informacin corre

el riesgo de que las personas

catch en el juego. De esta forma se encuentra el peligro. Los Daggots Rick del mundo que escoger con cuidado y pisar cada ruta de la informacin una sola vez. Thalmuerzo e era otra proposicin pegajosa. Primero fue el problema de organizar las cosas para que tuviera unos minutos a solas con cada persona, fuera del alcance del odo de los otros. l le dijo a Jessica 12:30 pero reservamos la mesa durante 1 h, en un primer nivel, los gastos de la cuenta tipo de restaurante. Esperaba que eso significara que tendra que tomar una copa en el bar, que es exactamente lo que pas. Una oportunidad perfecta para moverse y charlar con cada individuo. An as, haba muchas maneras de que un paso en falso - una respuesta equivocada o un comentario descuidado podran revelar Rick ser un impostor. Slo un espa industrial supremamente confiado y astuto se atrevera a correr el riesgo de exponer a s mismo de esa manera. Pero los aos de trabajo en las calles como un hombre de confianza haba construido las habilidades de Rick y le dio la confianza de que, incluso si l cometi un desliz, l sera capaz de cubrir suficientemente bien como para acallar cualquier sospecha. Este fue el ms difcil, el tiempo ms peligroso de toda la operacin, y la alegra que senta al poner fuera de una picadura como este le hizo darse cuenta de por qu no tiene que conducir coches rpidos o saltar en paracadas o engaar a su esposa - que tiene un montn de emocin haciendo su trabajo. Cuntas personas, se pregunt, podra decir lo mismo? Mitnick MENSAJE While los ataques de ingeniera ms sociales se producen a travs del telfono o correo electrnico, no asuma que un atacante atrevido nunca aparecer en persona en su negocio. En la mayora de los casos, el impostor utiliza alguna forma de ingeniera social para obtener acceso a un edificio despus de la falsificacin de una credencial de empleado usando un programa de software comnmente disponible como Photoshop. Qut sobre las tarjetas de visita con la lnea telefnica de pruebas de la compaa? La televisin show Los casos de Rockford, que era una serie sobre un detective privado, ilustran una tcnica ingeniosa y humorstica algo. Rockford (interpretado por el actor James Garner) tena una tarjeta de negocios porttil mquina de impresin en su coche, que se utiliza para imprimir una tarjeta adecuada para cualquiera que sea la ocasin lo requera. En estos das, un ingeniero social puede obtener tarjetas de presentacin impresas en una hora en cualquier tienda de copiar o imprimir en una impresora lser. NOTA John Le Carre, autor de El espa que surgi del fro, A Perfect Spy, und muchos otros libros notables, creci como el hijo de un pulido, con la participacin de toda la vida el hombre puede. Le Carre fue golpeado cuando era

joven a descubrir que, con xito ya que su padre era engaar a otro, tambin era crdulo, una vctima ms de una vez a otro estafador o mujer. Lo cual viene a demostrar que todo el mundo est en riesgo de being engaar por un ingeniero social, incluso otro ingeniero social.

Blancoen encabeza un grupo de hombres inteligentes y mujeres a aceptar un impostor? Estamos encima de una situacin, tanto por instinto e intelecto. Si la historia se suma - esa es la parte intelecto - y un estafador logra proyectar una imagen creble, estamos por lo general dispuestos a bajar la guardia. Es la imagen creble que separa a un hombre con xito o ingeniero social de uno que rpidamente tierras tras las rejas. Comok ti mismo: Qu tan seguro estoy de que nunca se enamorara de una historia como la de Rick? Si ests seguro de que no, pregntese si alguien tiene alguna vez put nada ms de ti. Si la respuesta a esta segunda pregunta es s, es probable que la respuesta correcta a la primera pregunta, tambin. LEAPFROG Un reto: La siguiente historia no implica espionaje industrial. Como read ella, a ver si puedo entender por qu me decid a poner en este captulo! HarrLlegar tarde y fue de nuevo viviendo en su casa, y l era amargo. La Infantera de Marina haba parecido un gran escape, hasta que se lava fuera de campo de entrenamiento. Ahora que haba regresado a la ciudad natal que odiaba, estaba tomando cursos de informtica en la universidad de la comunidad local ", y en busca de una manera de atacar a todo el mundo. FinallY se le ocurri un plan. Ms de cervezas con un chico en una de sus clases, l haba estado quejando de su instructor, un sarcstico sabe-lo-todo, y juntos cocinaron un perverso plan para quemar el chico: Haban tomar el cdigo fuente de un populares asistente personal digital (PDA) y enviarlo a la del instructor equipo y asegrese de dejar un rastro de lo que la compaa podra pensar que el instructor era el malo de la pelcula. El nuevo amigo, Karl Alexander, dijo que l "saba algunos trucos" y dicen que Harry Cmo llevar esto adelante. Arid salirse con la suya. Doing su tarea Una investigacin inicial mostr poco a Harry que el producto haba sido diseado en el Desarrollo Center ubicado en la sede del fabricante de PDA en el extranjero. Pero haba tambin un centro de I + D en los Estados Unidos. Eso era bueno, Karl sealado, ya que para el intento de trabajar tena que haber algo de instalaciones de la empresa en los Estados Unidos, que tambin es necesario el acceso al cdigo fuente. Lat ese momento Harry estaba listo para llamar al Centro de Desarrollo de Ultramar. Aqu es donde un alegato en favor de simpata entr, el "Oh, querido, estoy en problemas, necesito ayuda, por favor, por favor, aydame".

Naturalmente, el motivo fue un poco ms sutil que eso. Karl escribi un guin, pero Harry pareca completamente falso tratando de leer. Al final, l practic con Karl para poder decir lo que necesitaba en un tono conversacional.

Qut Harry finalmente dijo, con Karl sentado a su lado, fue algo como esto: "Voy a llamar a la I + D Minneapolis. Nuestro camarero tena un gusano que infect todo el departamento. Tuvimos que instalar el sistema operativo de nuevo y luego cuando fuimos a restaurar a partir de copia de seguridad, ninguna de las copias de seguridad era bueno. Adivina quin iba a ser el control de la integridad de las copias de seguridad? Atentamente. As que me estoy poniendo a gritar a mi jefe, y la gestin se levanta en armas que hemos perdido los datos. Mira, tengo que tener la ltima versin del rbol de cdigo fuente lo ms rpido que puedas. Necesito que gzip cdigo fuente y enviar a m. " Lat este punto Karl le escribi una nota, y Harry le dijo al hombre en el otro extremo del telfono que l slo quera que transferir el archivo internamente, a Minneapolis I + D. Esto era muy importante: Cuando el hombre al otro lado del telfono estaba claro que l estaba pidiendo que enviar el archivo a otra parte de la empresa, su mente estaba a gusto - qu hay de malo en eso? LINGO GZIPTo archivar los archivos en un solo archivo comprimido con una utilidad de Linux GNU. He acuerdo con gzip y enviarlo. Paso a paso, con Karl a su lado, Harry habl el hombre existe por empezar en el procedimiento para comprimir el cdigo fuente enorme en un archivo nico y compacto. Tambin le dio un nombre de archivo que se utilizar en el archivo comprimido ", newdata", explicando que este nombre podra evitar cualquier confusin con sus viejos archivos, corruptos. KarTuve que explicar el siguiente paso dos veces antes de que Harry lo consigui, pero fue fundamental para el pequeo juego de salto de rana Karl haba soado. Harry fue llamar a la I + D Minneapolis y contarle a alguien all "Quiero enviar un archivo a usted, y luego quiero que lo enve a otro lugar para m"-por supuesto, todos vestidos con motivos que hacen que todo suenan plausibles. Qu confundido Harry era el siguiente: Se supona que iba a decir "yo te voy a enviar un archivo," cuando no iba a ser Harry enviar el archivo en absoluto. Tuvo que hacer el chico que estaba hablando con en el Centro de I + D que el archivo fue viniendo de l, cuando lo que el Centro fue realmente va a recibir era el archivo de cdigo fuente propietario de Europa. "Por qu le digo que viene de m cuando lo que realmente est llegando desde el extranjero?" Harry quera saber. "Thtipo e en el Centro de I + D es la pieza clave ", explic Karl." Tiene que creo que est haciendo un favor a un compaero de trabajo aqu en los EE.UU., consiguiendo un archivo de usted y luego simplemente reenviar por ti. " Harry finalmente comprendida. Llam al Centro de I + D, donde pidi a la recepcionista que lo conecte al ordenador del centro, donde pidi hablar con un operador de la computadora. Un hombre se puso al telfono que sonaba tan joven como Harry

s mismo. Harry lo salud, explic que llamaba desde la divisin de fabricacin de Chicago de la empresa y que tena el archivo que haba estado tratando de enviar a uno de sus compaeros de trabajo en un proyecto con ellos, pero, dijo, "Hemos tiene este problema del router y no puede llegar a su red. Me gustara transferir el archivo a ti, y despus de recibirlo, te voy a llamar por telfono para que pueda caminar a travs de transferirla a la computadora de la pareja. So ahora, todo bien. Harry le pregunt al joven si su centro de cmputo tena una cuenta de FTP annimo, una configuracin que permite que cualquiera pueda transferir archivos dentro y fuera de un directorio donde no se requiere contrasea. S, un FTP annimo estaba disponible, y l le dio a Harry en el Protocolo de Internet interno (IP) para llegar a ella. LINGO ANONYMOUS FTP Un programa que proporciona acceso a un equipo remoto incluso though no tiene una cuenta utilizando el protocolo de transferencia de archivos (FTP). A pesar de FTP annimo puede acceder sin contrasea, por lo general el usuario derechos de acceso a determinadas carpetas se encuentran restringidas. Ingenioh esa informacin en la mano, Harry volvi a llamar al Centro de Desarrollo de Ultramar. Por ahora el archivo comprimido estaba listo, y Harry le dio las instrucciones para transferir el archivo al sitio FTP annimo. En menos THAn cinco minutos, el comprimido archivo de cdigo fuente se envi a la nia en el Centro de I + D. Configuracin de la Vctima Halfway a la meta. Ahora Harry y Karl tuvo que esperar para asegurarse que el fichero tena llegard antes de continuar. Durante la espera, andaban por la habitacin hacia el escritorio del instructor y se hizo cargo de dos pasos necesarios. Se estableci por primera vez un servidor FTP annimo en su mquina, que servira como un destino para e-file en la ltima etapa de su plan. Thsegundo paso e dado solucin a un problema de otra manera difcil. Est claro que no poda decirle a su hombre en el Centro de I + D para enviar el archivo a una direccin como, por ejemplo, warren@rms.ca.edu. La ". Edu" dominio sera un claro indicativo, ya que cualquier tipo de ordenador medio despierto lo reconocera como la direccin de una escuela, de inmediato soplando toda la operacin. Para evitar esto, se fueron a Windows en el ordenador del profesor y mir la direccin IP de la mquina, que daran como la direccin para el envo del archivo.

BY entonces lleg el momento de devolver la llamada al operador de la computadora en el Centro de I + D. Harry le puso al telfono y le dijo: "Me acaba de transferir el archivo que habl con usted. Se puede comprobar que la recibi"

Yes, haba llegado. Harry le pregunt a intentar reenviarlo, y le dio la direccin IP. Se qued en el telfono mientras el joven hizo la conexin y comenz a transmitir el archivo, y miraban con sonrisas grandes de toda la sala como la luz en el disco duro de la computadora del instructor parpade y parpade - ocupado recibiendo la descarga. Harry intercambiaron un par de palabras con el chico acerca de cmo las computadoras tal vez un da y perifricos sera ms fiable, le dio las gracias y se despidi. The dos copiar el archivo desde la mquina del instructor sobre un par de discos Zip, una para cada uno de ellos, slo para poder verlo ms tarde, como robar una pintura en un museo que se puede disfrutar pero no se atreven a mostrar tus amigos. Excepto que, en este caso, era ms como si hubieran tomado un original duplicado de la pintura, y el museo todava tena su propio original. Karl entonces habl Harry a travs de los pasos de quitar el servidor FTP de la mquina del profesor, y borrar el registro de auditora para que no hubiera ninguna prueba de lo que haban hecho - slo el archivo robado, abandonado en el que podra encontrarse fcilmente. Como paso final, se registr una seccin del cdigo fuente en Usenet directamente desde el ordenador del profesor. Slo una seccin, por lo que no servira de nada un gran dao a la empresa, pero dejando huellas claras directamente al instructor. Tendra un poco de difcil explicacin. LaCon el nalyzing Although se tomaron la combinacin de una serie de elementos para hacer esta escapada trabajo, no habra tenido xito sin una cierta habilidad playacting-ful de un recurso de simpata y ayuda: Me voy a gritar a mi jefe, y la gestin es en armas, Y as sucesivamente. Eso, combinado con una explicacin puntiagudo de cmo el hombre en el otro extremo del telfono podra ayudar a resolver el problema, ha demostrado ser una con poderosamente convincente. Funcion aqu, y ha trabajado en muchas otras ocasiones. The segundo elemento crucial: El hombre que entiende el valor del archivo le pidi que le enve a una direccin dentro de la empresa. Y la tercera pieza del rompecabezas: El operador de la computadora pudo ver que el expediente haba sido transferido a l desde dentro de la empresa. Eso slo poda significar - o as lo pareca - que el hombre que lo envi a l pudo haberlo enviado al destino final si slo su conexin de red externa haba estado trabajando. Qu podra estar mal con l para ayudar a cabo mediante el envo por l?

But y tener el archivo comprimido le asigna un nombre diferente? Al parecer, un objeto pequeo, pero importante. El atacante no podra producir teniendo una oportunidad de llegar el archivo con un nombre que lo identifica como cdigo fuente, o un nombre relacionado con el producto. Una solicitud para enviar un archivo con un nombre como ese fuera de la empresa podra haber hecho sonar las alarmas. Tener el archivo de re-etiquetados con un nombre inofensivo era crucial. Como elaborado por los atacantes, el segundo joven no tuvo reparos en enviar el archivo fuera de la empresa, un archivo con un nombre como nuevos datos, sin dar ninguna pista en cuanto a la verdadera naturaleza de la informacin, apenas le hara sospechar. MITNICK MESSGAE The subyacente regla de que cada empleado debe haber plantado firmemente en su cerebro: Salvo con la aprobacin de la gestin, no se transfieren archivos a gente que no conozco personalmente, incluso si el destino parece estar dentro de la red interna de su empresa. Aletaaliado, te diste cuenta de qu se est haciendo historia en un captulo sobre espionaje industrial? Si no, aqu est la respuesta: Lo que estos dos estudiantes hizo como una broma maliciosa podra fcilmente haber sido hecho por un espa industrial profesional, tal vez en el pago de un competidor, o tal vez a sueldo de un gobierno extranjero. En cualquier caso, el dao podra haber sido devastadora para la empresa, erosionando severamente las ventas de su nuevo producto una vez que el producto de la competencia lleg al mercado. Cmo podra el mismo tipo de ataque se llev a cabo en contra de su compaa? PREVENTING CON EL Industrial espionaje, que siempre ha sido un reto para las empresas, tiene ahora BECOMe el pan y la mantequilla de espas tradicionales que han centrado sus esfuerzos en la obtencin de secretos de la compaa por un precio, ahora que la Guerra Fra ha terminado. Los gobiernos extranjeros y las corporaciones estn usando independientes espas industriales para robar informacin. Las empresas nacionales tambin contratan agentes de informacin que cruzan la lnea en sus esfuerzos para obtener inteligencia competitiva. En muchos casos se trata de antiguos espas militares convertidos en corredores industriales de informacin que tienen el conocimiento previo y la experiencia para explotar fcilmente las organizaciones, especialmente aquellas que no han logrado implementar medidas de seguridad para proteger su informacin y educar a su gente. Seguridad Fuera del Sitio Qut podra haber ayudado a la compaa que iba a tener problemas con su ex situ

storaginstalacin e? El peligro en este caso se podra haber evitado si la empresa hubiera sido cifrar sus datos. S, cifrado requiere tiempo adicional y gastos, pero

ess bien vale la pena el esfuerzo. Los archivos cifrados tienen que ser punto a comprobar regularmente para asegurarse de que el cifrado / descifrado est funcionando sin problemas. No hays siempre el peligro de que las claves de cifrado se pierde o que la nica persona que conoce las claves ser golpeado por un autobs. Pero el nivel de molestia se puede minimizar, und anyone who almacenars sensitive information off-site ingenioh un commempresa ercial y no utiliza el cifrado est, perdn por ser contundente, un idiota. Es como caminar por la calle en un barrio malo con billetes de veinte dlares que salen de los bolsillos, esencialmente pidiendo ser robado. Leavinmedios de comunicacin g de copia de seguridad en la que alguien poda caminar con l es un defecto comn en materia de seguridad. Hace varios aos, yo trabajaba en una empresa que podra haber hecho mejores esfuerzos para proteger la informacin del cliente. La operacin staff dej las cintas de respaldo de la empresa fuera de la puerta de la sala de ordenadores bloqueado por un mensajero a recoger cada da. Cualquiera pudo se march con las cintas de copia de seguridad, que contena todos los documentos procesados palabra de la firma en texto sin cifrar. Si los datos de copia de seguridad se cifra, prdida del material es una molestia, y si no est encriptada - bueno, usted puede imaginar el impacto en su empresa mejor que puedo. La necesidad de las empresas ms grandes para el almacenamiento fuera del sitio confiable es casi un hecho. Pero los procedimientos de su empresa de seguridad deben incluir una investigacin de su compaa de almacenamiento de conciencia para ver cmo estn a punto sus propias polticas de seguridad y las prcticas. Si no estn tan dedicados como su propia empresa, todos sus esfuerzos de seguridad podra verse afectada. Smaller empresas tienen una buena opcin alternativa para copia de seguridad: Enviar los archivos nuevos y modificados cada noche a una de las empresas que ofrecen almacenamiento en lnea. Una vez ms, es esencial que los datos sean encriptados. De lo contrario, la informacin est disponible no slo para un empleado doblado en la empresa de almacenamiento, pero a cada intruso informtico que pueda constituir infraccin de la lnea en los sistemas informticos de almacenamiento o de la red de los companys. Und por supuesto, al configurar un sistema de encriptacin para proteger la seguridad de sus archivos de copia de seguridad, tambin debe establecer un procedimiento altamente seguro for almacenar las claves de cifrado o las frases codificadas que desbloquearlos. Las claves secretas usadas para cifrar los datos deben ser almacenados en una caja fuerte o bveda. Prctica estndar de la compaa debe prever la posibilidad de que el empleado manipular estos datos de forma repentina puede salir, morir, o tomar otro trabajo. Siempre debe haber al menos dos personas que conocen el lugar de

almacenamiento y los procedimientos de cifrado / descifrado, as como las polticas de cmo y cuando las teclas se van a cambiar. Las polticas tambin deben exigir que las claves de cifrado puede cambiar inmediatamente despus de la salida de cualquier empleado que tiene acceso a ellos.

Blancoo Es eso? El ejemplo de este captulo de un hbil estafador que usa encanto para que los empleados tinformacin o accin refuerza la importancia de la verificacin de la identidad. Sobre la solicitud de cdigo fuente enviar a un sitio FTP tambin apunta a la importance de saber que su solicitante. Yon el Captulo 16 usted encontrar polticas especficas para la verificacin de la identidad de cualquier desconocido que formule una solicitud de informacin o la solicitud de que algn tipo de accin tomar. Hemos hablado de la necesidad de verificacin en todo el libro, en el captulo 16 que obtendr detalles de cmo debe hacerse.

Parte 4 Elevar el nivel

Chapter 15 Informatio nSecurity sensibilizacin y formacin

Un ingeniero social se ha dado la tarea de obtener los planes para su nuevo producto caliente saldr a la venta en dos meses. Qus va a detenerlo? El servidor de seguridad? No. Strong dispositivos de autenticacin? No. Los sistemas de deteccin de intrusos? No. cifrado? No. El limitado acceso a los nmeros de telfono de dial-up mdems? No. BacalaoLos nombres de los servidores de correo que hacen que sea difcil para un extranjero para determinar qu servidor puede contener los planes de productos? No. The es verdad que no existe ninguna tecnologa en el mundo que puede prevenir un ataque de ingeniera social. SECURITY ThrougH TECNOLOGA, FORMACIN, Y PROCEDIMIENTOS Compaas que la seguridad de realizar pruebas de penetracin informan que sus intentos de bReak en los sistemas informticos de la compaa cliente por mtodos de ingeniera social son casi el 100 por ciento de xito. Las tecnologas de seguridad puede hacer que estos tipos de ataques ms difcil debido a la eliminacin de las personas en el proceso de toma de decisiones. Sin embargo, la nica manera realmente eficaz para mitigar la amenaza de la ingeniera social yos mediante el uso de tecnologas de seguridad combinadas con polticas de seguridad que establecen las normas bsicas para la conducta de los empleados, y la educacin y formacin adecuadas a los empleados. There es slo una manera de mantener su producto en los planes de seguro y que es por tener un personal capacitado, consciente y concienzudo a. Esto implica la formacin de las polticas y procedimientos, sino tambin - y probablemente an ms importante - un programa de sensibilizacin en curso. Algunos expertos recomiendan que el 40 por ciento del presupuesto de una empresa de seguridad global se destinar a formacin de sensibilizacin.

The paso primero es hacer que todos en la empresa consciente de que existen personas inescrupulosas que utilizan el engao para manipular psicolgicamente. Los empleados deben ser educados acerca de qu tipo de informacin necesita ser protegida, y

how para protegerlo. Una vez que las personas tienen una mejor comprensin de la forma en que se puede manipular, estn en una posicin mucho mejor reconocer que un ataque est en marcha. Conciencia Seguridad tambin significa educar a todos en la empresa en las polticas de seguridad de la empresa y los procedimientos. Como se discuti en el Captulo 17, las polticas son reglas necesarias para orientar la conducta de los empleados para proteger los sistemas de informacin corporativa e informacin confidencial. This captulo y el siguiente ofrecen un plan de seguridad que podra salvarte de ataques costosos. Si usted no tiene personal capacitado y alerta siguiendo procedimientos bien-pensamiento-hacia fuera, no es una cuestin de si, pero cuando se pierde informacin valiosa para un ingeniero social. No espere a que un ataque a pasar antes de instituir estas polticas: Podra ser devastador para su negocio y para el bienestar de sus empleados. UnderstandinG HOW ATACANTES TAKE AdvantagE DE LA NATURALEZA HUMANA To desarrollar un programa de entrenamiento con xito, usted tiene que entender por qu las personas son vulnerable a los ataques en el primer lugar. Al identificar estas tendencias en el entrenamiento - por ejemplo, llamando la atencin sobre los juegos de rol en los debates - usted puede ayudar a sus empleados a entender por qu todos podemos ser manipulados por los ingenieros sociales. Manipulation ha sido estudiado por los cientficos sociales durante al menos cincuenta aos. Robert B. Cialdini, escribiendo en la revista Scientific American (febrero de 2001), resumi esta investigacin, presenta seis "tendencias bsicas de la naturaleza humana" que estn involucrados en un intento de obtener el cumplimiento de una solicitud. Estas tendencias son las que seis ingenieros sociales se basan en (consciente o, ms a menudo inconscientemente,) en sus intentos de manipular. Autorida d People tienen una tendencia a cumplir cuando se realiza una solicitud por una persona en autoridad. Como se seala en estas pginas, una persona puede estar convencido de cumplir con una solicitud si l o ella cree que el solicitante es una persona con autoridad ora persona que est autorizada para realizar dicha solicitud. Yon su Influencia libro, el Dr. Cialdini escribe acerca de un estudio en tres Midwestern

hospitals en el que las estaciones veintids enfermeras independientes "fueron contactados por una llamada de alguien que deca ser un mdico del hospital, y dado instrucciones para administrar un medicamento a un paciente en la sala. Las enfermeras que recibieron estos instruccins no saba la persona que llama. Ni siquiera saba si estaba

realmente un mdico (que no era). Ellos recibieron las instrucciones de la receta por telfono, que era una violacin de la poltica del hospital. La droga se les dijo que no estaba autorizado administrar para su uso en las salas, y la dosis se les dijo que era administrar el doble de la dosis mxima diaria, por lo que podra haber puesto en peligro la vida del paciente. Sin embargo, en el 95 por ciento de los casos, Cialdini inform, "la enfermera procedi a obtener la dosis necesaria en el botiqun y sala estaba en su manera de administrar al paciente" antes de ser interceptado por un observador y habl de la experiencia. Ejemplos de los ataques: A los intentos de ingeniera social para s mismo encubren con el manto de autoridad al afirmar que l est con el departamento de TI, o que l es un ejecutivo o trabaja para un ejecutivo de la empresa. Gusto People tienen la tendencia a respetar en la persona que hace la solicitud ha sido able para establecerse como agradable o como si tuvieran los mismos intereses, creencias y actitudes como la vctima. Ejemplos de los ataques: A travs de la conversacin, el atacante consigue aprender un pasatiempo o inters de la vctima, y reclama un inters y entusiasmo por la misma aficin o inters. O puede pretender ser del mismo estado o la escuela, o tener metas similares. El ingeniero social tambin intentar imitar los comportamientos de su objetivo de crear la apariencia de semejanza. Reciprocation We automticamente puede acceder a una solicitud cuando se nos ha dado o promesad algo de valor. El regalo puede ser un elemento material, o consejo, o ayuda. Cuando alguien ha hecho algo por ti, sientes una inclinacin de corresponder. Esta fuerte tendencia a la reciprocidad existe incluso en situaciones en las que persona que recibe el regalo electrnico no ha pedido. Una de las maneras ms eficaces para influir en las personas que nos hacen un "favor" (cumplir con la peticin) es dando algn tipo de asistencia r regalo que forma la obligacin subyacente. Miembros del culto Hare Krishna religiosos eran muy eficaces para influenciar a la gente a donar a su causa, en primer lugar les da un libro o una flor como regalo. Si el destinatario intentaba devolver el regalo, el dador se negara comentando: "Es nuestro regalo para ti". Este principio de comportamiento de movimiento alternativo fue utilizado por los Krishnas para aumentar sustancialmente las donaciones. Ejemplos de ataques: Un empleado recibe una llamada de una persona que se identifica como procedente del departamento de TI. La persona que llama explica que algunas computadoras de la compaa han sido infectados con un virus nuevo no reconocido por el software antivirus que puede destruir todos los archivos en una computadora, y se ofrece a hablar a la persona

through algunas medidas para evitar problemas. Despus de esto, la persona que llama pide al

person para probar una utilidad de software que ha sido recientemente actualizado para permitir a los usuarios cambiar las contraseas. El empleado se niega a rechazar, porque la persona que llama ha proporcionado ayuda que supuestamente proteger al usuario de un virus. l retribuye mediante el cumplimiento de la solicitud de la persona que llama. Consistenci a People tienen la tendencia a respetar, despus de haber hecho un compromiso pblico o endorsement por una causa. Una vez que hemos prometido que vamos a hacer algo, no quiero parecer poco fiable o no deseables y tienden a seguir a travs con el fin de ser coherentes con nuestra declaracin o promesa. Ejemplo de ataque: Los contactos atacante un empleado relativamente nuevo y le informa del acuerdo para cumplir con las polticas de seguridad y procedimientos determinados como condicin para que se les permita utilizar los sistemas de informacin de la empresa. Despus de discutir una serie de prcticas de seguridad de unos pocos, la persona que llama le pide al usuario su contrasea "para verificar el cumplimiento" de la poltica en la eleccin de una difcil de adivinar la contrasea. Una vez que el usuario revela su contrasea, la persona que llama hace una recomendacin para construir contraseas futuras de tal manera que el atacante ser capaz de adivinar. La vctima cumple debido a su acuerdo previo para cumplir con las polticas de la empresa y la asuncin de que la persona que llama simplemente verificar su cumplimiento. Social Validacin PeoplE tienen la tendencia a ajustarse al hacerlo parece estar en lnea con lo que otros estn haciendo. La accin de los dems se acepta como validacin de que el comportamiento en cuestin es la accin correcta y apropiada. Ejemplos de los ataques: Thpersona que llama e dice que est llevando a cabo una encuesta y otros nombres de personas en el departamento quien dice ya han cooperado con l. La vctima, en la creencia de que la cooperacin con otros valida la autenticidad de la solicitud, est de acuerdo en participar. La persona que llama luego hace una serie de preguntas, entre las que destacan las cuestiones que atraen a la vctima para que revele su nombre de usuario y la contrasea de computadora.

Escasez People tienen la tendencia a cumplir cuando se cree que el objeto buscado es escaso y los dems estn compitiendo para ello, o que slo est disponible durante un corto perodo de tiempo.

Ejemplo de ataque: El atacante enva mensajes de correo electrnico que afirman que las primeras 500 personas que se registren en el sitio web de la compaa nueva ganar entradas gratis para una nueva pelcula caliente. Cuando un empleado desprevenido registra en el sitio, se le pide que

proveer su direccin de correo de la empresa y elegir una contrasea. Muchas personas, motivado por conveniencia, tienen la tendencia a usar la misma o una contrasea similar en todos los sistemas informticos que utilizan. Aprovechando esto, el atacante intenta comprometer el trabajo del blanco y de los sistemas del ordenador personal con el nombre de usuario y la contrasea que se han introducido durante el proceso de registro en el sitio Web. CreatinG CAPACITACIN Y SENSIBILIZACIN DE LOS PROGRAMAS Issuing una poltica de seguridad de la informacin panfleto o dirigir a los empleados a un intranet pgina que las polticas de informacin de seguridad no ser, por s misma, mitigar el riesgo. Cada negocio no slo debe definir las reglas con las polticas escritas, sino que debe make el esfuerzo extra para todos los que trabajan directamente con la informacin corporativa o calcularr sistemas para aprender y seguir las reglas. Adems, debe asegurarse de que todo el mundo entiende la razn detrs de cada poltica para que la gente no eludan la regla como una cuestin de conveniencia. De lo contrario, la ignorancia siempre ser excusa del trabajador, as como la vulnerabilidad preciso que los ingenieros sociales que explotar. Thobjetivo e central de cualquier programa de concienciacin sobre la seguridad es influir en las personas a cambiar su comportamiento y actitudes, motivando a todos los empleados to quiere saltar y hacer su parte para proteger los activos de informacin de la organizacin. Una gran motivacin en este caso es el de explicar cmo su participacin no slo beneficiar a la empresa, pero los empleados individuales. Desde que la empresa retiene cierta informacin privada sobre todos los trabajadores, cuando los empleados hacen su parte para proteger la informacin o los sistemas de informacin, en realidad estn protegiendo su propia informacin, tambin. Un programa de entrenamiento de seguridad requiere un apoyo sustancial. El esfuerzo de formacin debe llegar a cada persona que tenga acceso a la informacin sensible o de los sistemas informticos corporativos, debe ser continuo y debe ser revisado continuamente para actualizar al personal sobre las nuevas amenazas y vulnerabilidades. Los empleados deben ver que la alta direccin est plenamente comprometido con el programa. Ese compromiso debe ser real, no slo un sello de goma "Le damos nuestra bendicin" memo. Y el programa debe estar respaldada con los recursos suficientes para desarrollar, comunicar, probarlo, y para medir el xito. Objet ivos de The bsica directriz que debe tenerse en cuenta durante el desarrollo de un

information entrenamiento de seguridad y programa de concienciacin es que el programa tiene que centrarse en la creacin de todos los empleados una conciencia de que su empresa podra estar bajo ataque en cualquier momento. Tienen que aprender que cada empleado juega un papel en la defensa contra cualquier intento de entrar a los sistemas informticos o robar a sensibilidadda tos electrnicos.

Becausaspectos de seguridad e informacin de muchos involucrar tecnologa, es demasiado fcil para los empleados a pensar que el problema est siendo manejado por los cortafuegos y otras tecnologas de seguridad. Un objetivo principal de la formacin debera ser la creacin de conciencia en cada empleado que ellos son la primera lnea para proteger la seguridad general de la organizacin. La formacin en seguridad debe tener un objetivo mucho mayor que simplemente impartir normas. El diseador del programa de entrenamiento debe reconocer la fuerte tentacin por parte de los empleados, bajo la presin de conseguir su trabajo hecho, pasar por alto o ignorar sus responsabilidades de seguridad. El conocimiento de las tcticas de ingeniera social y cmo defenderse de los ataques es importante, pero slo tendr valor si el entrenamiento est diseado para centrarse en gran medida de motivar a los empleados a utilizar el conocimiento. La empresa puede contar con el programa como el cumplimiento de su lnea de fondo meta si cada uno de completar la formacin est totalmente convencido y motivado por una nocin bsica: que la seguridad de la informacin es parte de su trabajo. Empleados debe llegar a apreciar y aceptar que la amenaza de ataques de ingeniera social es real, y que una grave prdida de informacin confidencial de la empresa podra poner en peligro la empresa, as como su propia informacin personal y puestos de trabajo. En cierto sentido, no tener cuidado sobre seguridad de la informacin en el trabajo es equivalente a ser descuidado con un PIN del cajero automtico o el nmero de tarjeta de crdito. Esto puede ser una analoga de peso para la construccin de entusiasmo por las prcticas de seguridad. El establecimiento del Programa de Capacitacin y Sensibilizacin Thpersona responsable de disear e el programa de seguridad de informacin debe reconociendoe que este no es un proyecto de una sola talla para todos. Ms bien, la formacin tiene que ser desarrollado para satisfacer las necesidades especficas de diferentes grupos dentro de e empresa. Si bien muchas de las polticas de seguridad descritas en el captulo 16 se aplican a todos los empleados en todos los mbitos, muchos otros son nicos. Como mnimo, la mayora de las empresas necesitan programas de formacin adaptados a estos grupos distintos: los administradores; personal de TI, los usuarios de computadoras, personal no tcnico; asistentes administrativos, recepcionistas, y guardias de seguridad. (Ver el detalle de asignacin de trabajo en el Captulo 16.) Since el personal de la fuerza de una empresa de seguridad industrial no se espera que sea ordinariamente ordenador competente, y, a excepcin tal vez de una manera muy limitada, no entren en contacto con los equipos de la empresa, no se

suele considerar en el diseo de la formacin de este tipo. Sin embargo, los ingenieros sociales pueden engaar a los guardias de seguridad u otras personas en lo que les permite en un edificio u oficina, o en la realizacin de una accin que da lugar a una intrusin informtica. Mientras que los miembros de la fuerza de guardia desde luego no tienes la formacin completa del personal que opere o use

computadoras, Sin embargo, no deben pasarse por alto en el programa de concienciacin de seguridad. Within el mundo de la empresa probablemente hay pocos temas sobre los que todos los empleados deben ser educados que son a la vez tan importante y tan intrnsecamente aburrida como la seguridad. Los mejores programas de capacitacin diseados informacin de seguridad deben informar y captar la atencin y el entusiasmo de los alumnos. El objetivo debe ser hacer conciencia sobre la seguridad de la informacin y la formacin una experiencia atractiva e interactiva. Las tcnicas pueden incluir la demostracin de mtodos de ingeniera social a travs de juegos de rol, la revisin de los informes de los medios de comunicacin de los recientes ataques en otros negocios menos afortunados y discutir las formas en que las empresas podran haber evitado la prdida, o mostrar un video de seguridad que es entretenido y educativo al mismo tiempo. Hay varias compaas de sensibilizacin sobre la seguridad que los videos de mercado y materiales relacionados. NOTA For aquellas empresas que no cuentan con los recursos para desarrollar un programa de incasa, hay varias empresas de formacin que ofrecen servicios de seguridad de formacin de conciencia. Ferias como la Expo Mundo Seguro (www.secureworldexpo.com) Son lugares de reunin para estas empresas The historias de este libro ofrecen un montn de material para explicar los mtodos y tcticas de ingeniera social, para crear conciencia de la amenaza, y para demostrar las vulnerabilidades en el comportamiento humano. Considere el uso de sus escenarios de base para las actividades de juegos de rol. Las historias tambin ofrecen oportunidades de colores para un animado debate sobre cmo las vctimas podra haber respondido de manera diferente para evitar que los ataques tengan xito. Un desarrollador de curso hbil y entrenadores hbiles encontrarn una gran variedad de desafos, pero tambin un montn de oportunidades, para mantener el tiempo en el aula viva, y, en el proceso, motivar a las personas a convertirse en parte de la solucin. Estructura de la Formacin Un conocimiento bsico de seguridad programa de capacitacin debe ser desarrollada que todos los empleados estn obligados a asistir. Los nuevos empleados deben ser obligados a asistir a la capacitacin como parte de su adoctrinamiento inicial. Recomiendo que ningn empleado se proporcionar acceso a una computadora hasta que haya asistido a una sesin de concienciacin

sobre la seguridad bsica.

For esta toma de conciencia y la formacin iniciales, sugiero una sesin se centr lo suficiente como para mantener la atencin, y lo suficientemente corto que los mensajes importantes que recordar. Mientras que la cantidad de material que se cubre ciertamente justifica ya la formacin, la importancia de proporcionar sensibilizacin y motivacin, junto con un nmero razonable de los mensajes esenciales a mi juicio es mayor que cualquier nocin de sesiones de medio da o da completo que dejan a la gente con demasiado entumecido informacin. Thnfasis e de estas sesiones deben ser en transmitir una apreciacin del dao que se puede hacer para la empresa y para los empleados de forma individual, a menos que todos los empleados sigan los buenos hbitos de trabajo de seguridad. Ms importante que aprender acerca de las prcticas especficas de seguridad es la motivacin que lleva a los empleados a aceptar la responsabilidad personal de seguridad. Yon situaciones en las que algunos empleados no fcilmente pueden asistir a clases presenciales, la empresa debe considerar el desarrollo de la formacin sensibilizacin a travs de otras formas de instruccin, tales como videos, entrenamiento basado en computadoras, cursos en lnea, o materiales escritos. En popaer la sesin inicial de entrenamiento corto, sesiones ms largas deben ser diseados para educar a los empleados acerca de las vulnerabilidades y tcnicas especficas de ataque en relacin con su posicin en la empresa. El adiestramiento de repaso debe exigir al menos una vez al ao. La naturaleza de la amenaza y los mtodos utilizados para explotar a la gente son siempre cambiantes, por lo que el contenido del programa debe mantenerse actualizado. Por otra parte, la conciencia de la gente y el estado de alerta disminuir con el tiempo, por lo que la formacin debe ser repetido a intervalos razonables para reforzar los principios de seguridad. Una vez ms, el nfasis debe ser tanto de mantener a los empleados convencidos de la importancia de las polticas de seguridad y motivado para adherirse a ellos, como en la exposicin de amenazas especficas y los mtodos de ingeniera social. Los gerentes deben establecer un plazo razonable para sus subordinados para familiarizarse con las polticas y procedimientos de seguridad, y para participar en el programa de concienciacin de seguridad. Los empleados no deben esperar para estudiar las polticas de seguridad o asistir a clases de seguridad en su propio tiempo. Los nuevos empleados deben contar con tiempo suficiente para revisar las polticas de seguridad y las prcticas de seguridad publicados antes de iniciar sus responsabilidades laborales. Empleados que cambian de posiciones dentro de la organizacin a un trabajo que implica el acceso a la informacin sensible o sistemas informticos deben, por supuesto, se requerir to complete un seguridad tlloviendo de programam tailored to their nresponsabilidades EW. Por ejemplo, cuando un operador de la computadora se convierte en un administrador de

sistemas o un recepcionista se convierte en un auxiliar administrativo, se requiere una nueva formacin.

Contenidos del curso de capacitacin Blancoes reducido a sus fundamentos, todos los ataques de ingeniera social tienen la misma elemento comn: el engao. La vctima es llevado a creer que el atacante es un compaero de trabajo o alguna otra persona que est autorizada a acceder sensible informacin, O est autorizado para dar instrucciones a las vctimas que implican la adopcin de medidas con un ordenador o equipo de informtica. Casi todos estos ataques podran ser frustrado si el empleado especfico se limita a seguir dos pasos: Verif La identidad de la persona que realiza la solicitud: Es la persona que realiza la solicitud realmente quien dice ser? Verify si la persona est autorizada: Tiene la persona la necesidad de conocer, o est de otra manera autorizado a hacer esta peticin? NOTA Porque

segurity conscienteneps und Training son nnunca perfect, nosotrose seguridad tecnologas siempre que sea posible crear un sistema de defensa en profundidad. Esto significa que la medida de seguridad es proporcionada por la tecnologa y no por empleados individuales, por ejemplo, cuando el sistema operativo est configurado para evitar que los empleados de la descarga de software desde Internet, o elegir una contrasea corta, fcil de adivinar. Si las sesiones de sensibilizacin de formacin podran cambiar el comportamiento para que cada empleado siempre sera coherente sobre cmo probar cualquier peticin en contra de estos criterios, el riesgo asociado con los ataques de ingeniera social se reduce drsticamente. Una informacin de carcter prctico de sensibilizacin y formacin del programa que se ocupa de la conducta humana y los aspectos de ingeniera social debe incluir lo siguiente: Una descripcin de cmo los atacantes utilizan tcnicas de ingeniera social para engaar a la gente. Los mtodos utilizados por los ingenieros sociales para lograr sus objetivos. How para reconocer un posible ataque de ingeniera social. El procedimiento para manejar una peticin

sospechosa. Blancoantes de reportar intentos de ingeniera social o ataques exitosos. The importancia de cualquier reto que se presenta una solicitud sospechosa, independientemente de la posicin cobr la persona o importancia.

The hecho de que no se debe confiar en los dems implcitamente sin una verificacin adecuada, a pesar de que su impulso es dar a otros el beneficio de la duda. The importancia de verificar la identidad y autoridad de cualquier persona que solicite for information or accin. (See "Verificatin und AutoridadesProcedimientos nizacin ", Captulo 16, la manera de verificar la identidad.) Procedimientos para proteger la informacin confidencial, familiaridad con cualquier sistema de clasificacin de datos. incluyendo

The ubicacin de las polticas de seguridad de la empresa y los procedimientos, y su importancia para la proteccin de la informacin y de los sistemas de informacin corporativos. Un resumen de las polticas de seguridad clave y una explicacin de su significado. Por ejemplo, todos los empleados deben ser instruidos enhow idear una difcil de adivinar la contrasea. La obligacin de todos los empleados para cumplir con las polticas, y las consecuencias en caso de incumplimiento. Social ingeniera, por definicin, implica algn tipo de interaccin humana. Un atacante ser muy frecuentemente usan una variedad de mtodos y tecnologas de comunicacin en el intento de alcanzar su objetivo. Por esta razn, un programa de sensibilizacin bien redondeado debera tratar de abarcar algunos o todos de los siguientes: SecuritY relacionado con las contraseas de correo de voz de ordenador y polticas. El procedimiento para la divulgacin de informacin confidencial o materiales. Poltica de uso de correo electrnico, incluyendo las medidas de seguridad para evitar ataques de cdigos maliciosos como virus, gusanos y caballos de Troya. Physical requisitos de seguridad tales como el uso de una tarjeta de identificacin. Thresponsabilidad e desafiar a la gente en los locales que no llevan una insignia. BesCamiseta de seguridad prcticas de uso de correo de voz.

How para determinar la clasificacin de la informacin, y las salvaguardias adecuadas para proteger la informacin sensible.

Proper eliminacin de documentos sensibles y de los medios informticos que contienen, o que en cualquier otro momento de los ltimos contenidos, materiales confidenciales. Tambin, Si el company planea utilizar las pruebas de penetracin para determinar la efectividad de las defensas contra los ataques de ingeniera social, una advertencia se debe dar aviso a poner a los empleados de esta prctica. Deje que los empleados saben que en algn momento pueden recibir una llamada de telfono u otra comunicacin utilizando tcnicas de un atacante, como parte de esta prueba. Utilizar los resultados de las pruebas no para castigar, fresa para definir la necesidad de formacin adicional en algunas reas. Details sobre todos los elementos anteriores se encuentran en el Captulo 16. PRUEBA S Ustedempresa r posible que desee probar empleados en su dominio de la informacin presentada en la formacin de conciencia de seguridad, antes de permitir el acceso del sistema informtico. Si disea las pruebas que deben figurar en lnea, muchos programas de diseo de evaluacin programas le permiten analizar fcilmente los resultados del examen para determinar las reas de la formacin que necesitan ser fortalecidas. Ustedempresa r tambin podra considerar la posibilidad de un certificado acreditativo de la realizacin de la formacin en seguridad como una recompensa y motivacin del empleado. Lasa parte rutinaria de completar el programa, se recomienda que cada empleado se le pedir que firme un acuerdo en cumplir las polticas de seguridad y los principios que se ensean en el programa. La investigacin sugiere que una persona que hace que el compromiso de la firma de dicho acuerdo es ms probable que hacer un esfuerzo para cumplir con los procedimientos. SENSIBILIZACIN EN CURSO Mospersonas camisetas son conscientes de que el aprendizaje, incluso sobre asuntos importantes, tiende a desaparecer a menos que se refuerce peridicamente. Debido a la importancia de mantener a los empleados al da en el tema de la defensa contra los ataques de ingeniera social, un programa permanente de concienciacin es vital. Enmtodo e para mantener la seguridad en la vanguardia del pensamiento empleado es hacer de la seguridad una responsabilidad del trabajo de informacin

especfica para cada persona en la empresa. Esto anima a los empleados a reconocer su papel crucial en la seguridad global de la empresa. Si no hay una fuerte tendencia a sentir que la seguridad "no es mi trabajo". Whilresponsabilidad e general para un programa de seguridad de la informacin es normalmente asignado a una persona en el departamento de seguridad o la tecnologa de la informacin

departament, el desarrollo de un programa de informacin acerca de la seguridad es probablemente el ms estructurado como un proyecto conjunto con el departamento de formacin. El programa de sensibilizacin en curso debe ser creativo y utilizar todos los canales disponibles para comunicar mensajes de seguridad de manera que son memorables para que los empleados se les recuerda constantemente acerca de buenos hbitos de seguridad. Los mtodos deben utilizar todos los canales tradicionales, como muchos ms no tradicionales como las personas asignadas para desarrollar e implementar el programa puede imaginar. Al igual que con la publicidad tradicional, el humor y ayuda inteligencia. La variacin de la redaccin de los mensajes les impide ser tan familiares que se ignoran. Thlista de correo de posibilidades para un programa permanente de concienciacin pueden incluir: El suministro de copias de este libro a todos los empleados. Including informational Artculos yon e companboletn y: artculos, recordatorios en caja (preferiblemente cortas, consiguiendo la atencin tems), o dibujos animados, por ejemplo. Postinga imagen del Empleado de Seguridad del Mes. Colgando carteles en las reas de los empleados. Posting boletn de noticias a bordo. Providing recintos impreso en sobres sueldo. Envo de recordatorios por correo electrnico. Usng relacionada con la seguridad protectores de pantalla. BROADCASTINg Seguridad anuncios recordatorios a travs del sistema de correo de voz. Impresin de pegatinas de telfono con mensajes como "Es la persona que llama que dice ser? '! Configuracin de mensajes de recordatorio para que aparezca en el ordenador cuando se conecta, por ejemplo uns "Si va a enviar informacin confidencial en un correo electrnico, cifrar". Incluyendo concienciacin sobre la seguridad como un elemento estndar en los informes de desempeo de los empleados y revisiones anuales.

Providing Seguridad recordatorios de sensibilizacin sobre la intranet, tal vez usando dibujos animados o de humor, o de alguna otra manera atraer a los empleados para leerlos.

Usng un mensaje electrnico tabln de anuncios en la cafetera, con un recordatorio de la seguridad que cambian con frecuencia. Distributing volantes o folletos. Und pensar trucos, tales como galletas de la suerte gratis en la cafetera, que contiene un recordatorio de seguridad en lugar de una fortuna. Thamenaza e es constante; los recordatorios debe ser constante tambin. WHAT HAY PARA M? " Yodems de concienciacin sobre la seguridad y programas de capacitacin, os recomiendo una actividade, y muy publicitado programa de recompensas. Usted debe reconocer a los empleados que han detectado e impedido un intento de ataque de ingeniera social, o de alguna otra manera contribuyeron significativamente al xito del programa de seguridad de la informacin. La existencia del programa de recompensas deben darse a conocer a los empleados de todas las sesiones de concienciacin de seguridad y violacines de seguridad deben ser widely publicidad en toda la organizacin. On el otro lado de la moneda, la gente debe ser consciente de las consecuencias de no cumplir con las polticas de seguridad de la informacin, ya sea por descuido o resistencia. A pesar de que todos cometemos errores, violacines repetidas de los procedimientos de seguridad no debe ser tolerada. each

Chapter 16 RECOME nded Seguridad

CorporatPolticas e Informacin de la

Nine de cada diez grandes corporaciones y agencias del gobierno han sido atacados por intrusos informticos, a juzgar por los resultados de una encuesta llevada a cabo por el FBI y reportado por la Prensa Asociada en abril de 2002. Curiosamente, el estudio encontr que slo una empresa de cada tres reportado o reconocido pblicamente cualquier ataque. Esa reticencia a revelar su victimizacin tiene sentido. Para evitar la prdida de confianza de los clientes y para prevenir nuevos ataques por parte de intrusos que se enteran de que una empresa puede ser vulnerable, la mayora de las empresas no informan pblicamente incidentes de seguridad informtica. Parece que no hay estadsticas sobre los ataques de ingeniera social, y si lo hubiera, los nmeros seran muy poco fiables, y en la mayora de los casos nunca sabe cuando una empresa de un ingeniero social ha "robado" la informacin, tantos ataques pasan desapercibidos y no se denuncian. Contramedidas eficaces pueden ser puestos en su lugar contra la mayora de los ataques de ingeniera social. Pero la realidad Seamos realistas aqu - a menos que todos en la empresa entiende que la seguridad es importante y hace que su negocio para conocer y adherirse a las polticas de seguridad de una empresa, ataques de ingeniera social siempre va a presentar un grave riesgo para la empresa. De hecho, como se realizan las mejoras si las armas tecnolgicas contra infracciones de seguridad, el enfoque de ingeniera social para uso de las personas para acceder a informacin de la compaa propietaria o penetrar en la red corporativa es casi seguro que ser significativamente ms frecuente y atractivo para los ladrones de informacin. Un espa industrial naturalmente intentar lograr su objetivo mediante el mtodo ms fcil y la que implica el menor riesgo de deteccin. Como cuestin de hecho, una empresa que ha protegido a sus sistemas informticos y de red mediante el despliegue del estado de la tcnica securitY a partir de entonces las tecnologas pueden correr un mayor riesgo de atacantes que utilizan estrategias de ingeniera social, mtodos y tcticas para lograr sus objetivos. This captulo se presentan las polticas especficas destinadas a minimizar el riesgo de una empresa con respecto a los ataques de ingeniera social. Las polticas frente a los ataques que se basan no estrictamente en la explotacin de vulnerabilidades tcnicas. Ellos involucran el uso de algn tipo de pretexto o artimaa para engaar a un empleado de confianza en el suministro de informacin o la realizacin de una accin que da acceso al agresor a la informacin empresarial confidencial o en los sistemas informticos y redes de empresas.

WHAT es una poltica de seguridad? Las polticas de seguridad son las instrucciones claras que regulen las directrices para los empleados behAvior para salvaguardar la informacin, y son un elemento fundamental en el desarrollo de controles eficaces para contrarrestar las amenazas de seguridad potenciales. Estas polticas are incluso ms importante cuando se trata de prevenir y detectar sociales INGENIERAg ataques. Effective los controles de seguridad implementados por la formacin de empleados con bien documentadas las polticas y procedimientos. Sin embargo, es importante tener en cuenta que las polticas de seguridad, an cuando no sean religiosamente seguido por todos los empleados, no estn garantizados para prevenir todos los ataques de ingeniera social. Ms bien, el objetivo es siempre razonable para mitigar el riesgo a un nivel aceptable. Thpolticas e presentados aqu incluyen medidas que, aunque no sean estrictamente centrado en cuestiones de ingeniera social, sin embargo, pertenecen aqu porque tienen que ver con las tcnicas utilizadas en los ataques de ingeniera social. Por ejemplo, las polticas sobre cmo abrir archivos adjuntos de correo electrnico - que puede instalar software malicioso Caballo de Troya que permite al atacante tomar el control del ordenador de la vctima - direccin un mtodo utilizado frecuentemente por los intrusos informticos. Pasos para desarrollar un Programa de Un programa de seguridad de la informacin completa por lo general comienza con un riesgo evaluacin destinada a determinar: Qut los activos de informacin de la empresa deben ser protegidos? Qu hay amenazas especficas contra estos activos? Qut dao sera causado a la empresa si estas potenciales amenazas se materializaran? Thobjetivo primordial de correo evaluacin de riesgos es dar prioridad a los activos de informacin que estn en necesidad de garantas inmediatas, y si instituir salvaguardias ser rentable sobre la base de un anlisis de costo-

beneficio. En pocas palabras, qu activos van a ser protegidos en primer lugar, y cunto dinero debe ser gastado para proteger estos activos? Ess esencial que la alta direccin en comprar y apoyamos firmemente la necesidad de polticas de seguridad en vas de desarrollo y un programa de seguridad de la informacin. Al igual que con cualquier programa corporativo otra parte, si un programa de seguridad tenga xito, la gerencia debe hacer algo ms que proporcionar un respaldo, debe demostrar un compromiso con el ejemplo personal. Los empleados deben ser conscientes de que la gestin fuertemente suscribe a la creencia de que la seguridad de la informacin es vital para la compaa

operacin, Que la proteccin de la informacin de la empresa de negocios es esencial para que la empresa permanecer en el negocio, y que el trabajo de cada empleado puede depender del xito del programa. Thpersona e asignada a elaborar polticas de seguridad de informacin debe comprender que las polticas deben ser escritos en un estilo libre de jerga tcnica y fcilmente comprensible para los empleados no tcnicos. Tambin es importante que el documento dejan claro por qu cada poltica es importante, de lo contrario los empleados pueden hacer caso omiso de algunas polticas como una prdida de tiempo. El escritor poltica debe crear un documento que presenta las polticas, as como un documento separado para los procedimientos, porque las polticas probablemente va a cambiar mucho menos frecuencia que los procedimientos especficos utilizados para su ejecucin. YoAdems n, el escritor poltica debe estar al tanto de las formas en que las tecnologas de seguridad se pueden utilizar para hacer cumplir las buenas prcticas de seguridad de la informacin. Por ejemplo, la mayora de los sistemas operativos hacen posible requerir que las contraseas de usuario se ajustan a las especificaciones determinadas, como la longitud. En algunas empresas, una poltica que prohbe a los usuarios de descargar programas pueden ser controlados a travs de la configuracin de directivas locales o globales del sistema operativo. Las polticas deben requerir el uso de la tecnologa de seguridad siempre rentable para eliminar humano basado en la toma de decisiones. Empleados debe ser informado de las consecuencias de no cumplir con las polticas y procedimientos de seguridad. Un conjunto de consecuencias apropiadas por violar las polticas deben ser desarrolladas y ampliamente publicitado. Adems, un programa de recompensas deben ser creadas para los empleados que demuestran buenas prcticas de seguridad o que reconocer y denunciar un incidente de seguridad. Cuando un empleado es recompensado por frustrar un fallo de seguridad, debe ser ampliamente difundido en toda la empresa, por ejemplo, en un artculo en el boletn de la empresa. Uno de los objetivos de un programa de concienciacin sobre la seguridad es comunicar la importancia de las polticas de seguridad y el dao que puede resultar de no seguir estas normas. Dada la naturaleza humana, los empleados, a veces, ignorar o eludir las polticas que aparecen injustificada o demasiado lento. Es responsabilidad de la administracin para asegurar que los empleados comprendan la importancia de las polticas y estn motivados para cumplir, en lugar de tratarlos como obstculos que hay que eludir. Ess importante tener en cuenta que las polticas de seguridad de la informacin no puede ser escrito en piedra. Mientras que el negocio necesita un cambio, como las nuevas tecnologas de seguridad llegan al mercado, y como las vulnerabilidades de seguridad evolucionan, las polticas tienen que ser modificados o completados. Un proceso para la revisin y actualizacin peridicas debe ser puesto en su lugar.

Haga las polticas de seguridad corporativas y procedimientos disponibles a travs de la intranet corporativa o mantener tales polticas en una carpeta pblica. Esto aumenta la probabilidad

THAt dichas polticas y procedimientos sern revisados con ms frecuencia, y cuenta con un prctico mtodo for empleados to quickly encontrar e respuesta a uny seguridad de la informacin relacionada con la pregunta. Aletaaliado, pruebas de penetracin peridicas y evaluaciones de vulnerabilidad mediante mtodos de ingeniera social y las tcticas deben llevarse a cabo para exponer cualquier debilidad en la formacin o la falta de cumplimiento de las polticas y procedimientos de la empresa. Antes de utilizar cualquier engaosas tcticas de pruebas de penetracin, los empleados deben ser puestos sobre aviso de que tales pruebas pueden ocurrir de vez en cuando. Cmo utilizar estas Polticas The polticas detalladas presentadas en este captulo representan slo un subconjunto de la information las polticas de seguridad que creo que son necesarias para mitigar los riesgos de seguridad. Por consiguiente, e Politicass incluird ellae hombrod not be considerard uns uncomprehensive lista de polticas de seguridad de la informacin. Ms bien, son la base para la construccin de un amplio conjunto de polticas de seguridad adecuadas a las necesidades especficas de su empresa. PolicY los escritores para que una organizacin tendr que elegir las polticas que sean apropiadas segn el entorno nico de su empresa y sus objetivos de negocio. Cada organizacin tiene diferentes requisitos de seguridad basados en las necesidades del negocio, requisitos legales, la cultura organizacional y los sistemas de informacin utilizados por la empresa, tendr lo que necesita de las polticas presentadas, y omitir el resto. Tambin hay opciones que puedan adoptarse sobre cmo las polticas estrictas estarn en cada categora. Una empresa pequea ubicada en un centro nico donde la mayora de los empleados conocen entre s, no tiene por qu ser mucho ms preocupado por un atacante llamar por telfono y hacindose pasar por un empleado (aunque, por supuesto, una mascarada impostor mayo como proveedor). Adems, a pesar de los mayores riesgos, una compaa framed en torno a una cultura casual, relajado corporativo podra aprobar slo un subconjunto limitado de las polticas recomendadas para cumplir con sus objetivos de seguridad.

DATA CLASIFICACIN Una poltica de clasificacin de datos es fundamental para la proteccin de una organizacin de information activos, y establece categoras para las que rige la divulgacin de informacin sensible. This policy proporcionars un

framework for protecting Corporate informacin haciendo que todos los empleados conscientes del nivel de sensibilidad de cada pieza de informacin. Operating sin una poltica de clasificacin de datos - el status quo en casi todas las empresas hoy en da - deja la mayor parte de estas decisiones en manos del individuo

workers. Naturalmente, las decisiones de los empleados se basa en gran medida en factores subjetivos, y no en la sensibilidad, la criticidad y el valor de la informacin. La informacin tambin es puesto en libertad porque los empleados ignoran la posibilidad de que en respuesta a una solicitud de la informacin, pueden ponerlo en las manos de un atacante. The poltica de clasificacin de datos se establecen directrices para la clasificacin de la informacin valiosa en uno de varios niveles. Con cada elemento asignado una clasificacin, los empleados pueden seguir una serie de procedimientos de manejo de datos que protegen a la empresa de liberacin accidental o negligente de informacin confidencial. Estos procedimientos mitigar la posibilidad de que los empleados sern engaados para que revelen informacin confidencial a personas no autorizadas. Nuncaempleado y debe estar capacitado en la poltica de clasificacin de datos corporativa, incluyendo a aquellos que no suelen usar las computadoras o los sistemas de comunicaciones empresariales. Debido a que todos los miembros de la fuerza de trabajo corporativa - incluyendo el equipo de limpieza, la construccin de los guardias y el personal copia de estar, as como a consultores, contratistas, e incluso pasantes - pueden tener acceso a informacin confidencial, cualquiera podra ser el blanco de un ataque . Management debe asignar un propietario Informacin a ser responsable de la informacin que est actualmente en uso en la empresa. Entre otras cosas, la informacin del propietario es responsable de la proteccin de los activos de informacin. Por lo general, el propietario decide qu nivel de clasificacin para asignar sobre la base de la necesidad de proteger la informacin, revisa peridicamente el nivel de clasificacin asignado, y decide si es necesario algn cambio. El propietario de la informacin tambin puede delegar la responsabilidad de la proteccin de los datos a un custodio o persona designada. Categoras de clasificacin. y definiciones Information deben ser separados en diversos niveles de clasificacin en base a su sensibilidad. Una vez que un sistema de clasificacin particular es creado, es un proceso costoso y requiere mucho tiempo para reclasificar la informacin en nuevas categoras. En nuestro ejemplo, la poltica que eleg cuatro niveles de clasificacin, que es apropiado para la mayora de medianas y grandes empresas. Dependiendo de la cantidad y el tipo de informacin sensible, las empresas pueden optar por aadir ms categoras para controlar an ms los tipos especficos de informacin. En las empresas ms pequeas, una clasificacin de tres niveles sCheme puede ser suficiente. Recuerde - el esquema de la clasificacin ms compleja, el gasto ms para la organizacin en la formacin de los empleados y hacer cumplir el sistema. Confidencial. Esta categora de informacin es la ms sensible. La informacin

confidencial es para usarse slo dentro de la organizacin. En la mayora de los casos, slo se debe compartir con un nmero muy limitado de personas con un absoluto

de solterad saber. La naturaleza de la informacin confidencial es tal que cualquier revelacin no autorizada podra afectar seriamente a la empresa, sus accionistas, sus socios comerciales, y / o sus clientes. Los elementos de informacin confidencial generalmente caen en una de estas categoras: La informacin relativa a secretos comerciales, de cdigo fuente propietario, especificaciones tcnicas o funcionales, o la informacin del producto que podra ser una ventaja para un competidor. Marketing y la informacin financiera no disponible para el pblico. Uninformacin y otro que es vital para el funcionamiento de la empresa, tales como las estrategias empresariales futuras. Privado. Esta categora incluye la informacin de carcter personal que se destina al uso exclusivo dentro de la organizacin. Cualquier revelacin no autorizada de informacin privada puede afectar seriamente los empleados, o la empresa si se obtiene por personas no autorizadas (especialmente los ingenieros sociales). Los elementos de informacin privados incluyendoe employee medicina history, health benficios,prohibirkaccount informacin, historia del salario, o cualquier otra informacin de identificacin personal que no es de dominio pblico. NOTA Thcategora e interno de la informacin a menudo se denomina Sensible por personal de seguridad. Tengo que usar interna debido a que el trmino en s mismo explica al pblico el previsto. He utilizado el trmino sensible no como una clasificacin de seguridad, sino como un mtodo conveniente de referirse a la informacin confidencial, privada e interna; dicho de otro modo, sensible se refiere a cualquier informacin de la empresa que no hayan sido expresamente designados como Public. Interna. Thicategora s de la informacin puedan prestarse libremente a cualquier persona contratada por la organizacin. Por lo general, la divulgacin no autorizada de informacin interna no se espera que cause daos graves a la empresa, sus accionistas, sus socios, sus clientes o sus empleados. Sin embargo, las personas expertas en tcnicas de ingeniera social pueden utilizar esta informacin para hacerse pasar por un empleado autorizado, contratista o proveedor para engaar incautos personal que proporcione informacin ms sensible que podra resultar en un acceso no autorizado a sistemas informticos corporativos. Un acuerdo de confidencialidad debe ser firmado antes de la informacin interna puede ser revelada a terceros, como los empleados de las empresas de proveedores, mano de obra contratista, empresas asociadas, y as sucesivamente.

La informacin interna generalmente incluye cualquier cosa usada en el curso de la actividad empresarial diaria que no debe ser puesto en libertad a los extranjeros, como

uns de los organigramas corporativos, nmeros de red de acceso telefnico, nombres internos del sistema, procedimientos de acceso remoto, cdigos de centros de coste, etc. Public. La informacin que est especficamente designada para su divulgacin al pblico. Este tipo de informacin puede ser distribuido libremente a cualquier persona, como comunicados de prensa, de asistencia al cliente informacin de contacto, o folletos de productos. Tenga en cuenta que cualquier informacin que no est designada como pblica debe ser tratada como informacin confidencial. Classified Datos de Terminologa Based de su clasificacin, los datos deben ser distribuidos a determinadas categoras de personas. Una serie de polticas en este captulo se refieren a la informacin que se da a una persona sin verificar. A los efectos de estas polticas, una persona no verificada es alguien a quien el empleado no conoce personalmente a ser un empleado activo oa b empleado con el rango adecuado para tener acceso a la informacin, o que no ha sido avalada por un tercero de confianza partido. For los efectos de estas polticas, una persona de confianza es una persona a la que se han encontrado cara a cara que se conoce a usted como un empleado de la compaa, cliente o consultor de la empresa con el rango adecuado para tener acceso a la informacin. Una persona de confianza tambin puede ser un empleado de una compaa que tiene una relacin establecida con su empresa (por ejemplo, el socio de un cliente, proveedor o estratgica de negocio que ha firmado un acuerdo de confidencialidad). Yon tercera parte que d fe, una persona de confianza proporciona una verificacin de empleo de una persona o situacin, y la autoridad de la persona para solicitar informacin o una accin. Tenga en cuenta que, en algunos casos, estas polticas requieren que se compruebe que la persona de confianza sigue siendo empleado de la compaa antes de responder a una solicitud de informacin o accin de alguien por quien han avalado. Una cuenta con privilegios es una computadora o una cuenta que requiera permiso de acceso ms all de la cuenta de usuario bsico, tal como una cuenta de administrador de sistemas. Los empleados con cuentas privilegiadas suelen tener la capacidad de modificar los privilegios de usuario o realizar funciones del sistema. Un buzn departamental general es un buzn de voz respondi con un mensaje genrico para el departamento. Dicho buzn se utiliza para proteger los nombres y extensiones de telfono de los empleados que trabajan en un departamento particular.

VERIFICACINEN LOS PROCEDIMIENTOS DE AUTORIZACIN Information robars commonly nosotrose deceptivo taConnecticutics a access o obtener estafainformacin comercial confidencial hacindose pasar por empleados legtimos, contratistas, proveedores o socios de negocios. Para mantener la informacin eficaz

seguridad, un empleado que recibe una solicitud para realizar una accin o proporcionar informacin sensible debe identificar positivamente la persona que llama y verificar su autorizacin previa a la concesin de una solicitud. Thprocedimientos e recomendadas que figuran en este captulo estn diseados para ayudar a un empleado que reciba una solicitud a travs de cualquier medio de comunicacin, como el telfono, correo electrnico o fax para determinar si la solicitud y la persona que lo son legtimas. Las peticiones de una persona de confianza Una solicitud de informacin o accin de una persona de confianza puede requerir: Verification que la empresa emplea a activamente o tiene una relacin con la persona, cuando esa relacin es una condicin para el acceso a esta categora de informacin. Esto es para evitar que los empleados despedidos, proveedores, contratistas y otras personas que ya no estn asociados con la empresa desde hace pasar por personal activo. Verification que la persona tiene una necesidad de saber, y est autorizado a tener acceso a la informacin o para solicitar la accin. Requests de una persona no verificada Whena peticin es hecha por una Persona sin verificar, una verificacin razonable proceso se deben implementar para identificar positivamente a la persona que hace la solicitud como autorizado para recibir la informacin solicitada, especialmente cuando la solicitud de ninguna manera implica ordenadores o equipos informticos. Este proceso es el control fundamental de xito para prevenir ataques de ingeniera social: Si estos procedimientos de verificacin se siguen, que reducir drsticamente el xito de ataques de ingeniera social. Yot es importante que no hacer el proceso tan engorroso que es un costo prohibitivo, o que los empleados lo ignoran. Las detalla a continuacin, el proceso de verificacin consiste en tres pasos: Verificar que la persona es que l o ella dice ser. Determining que el solicitante est actualmente empleado o comparte la necesidad de conocer la relacin con la empresa. Determining que la persona est autorizada a recibir la informacin especfica o para llamar a la accin solicitada.

Un Paso: Verificacin de la Identidad La recommtermin steps for Verificatin are listed below yonorder de eficacia- Cuanto mayor sea el nmero, ms eficaz ser el mtodo. Tambin se incluye con cada elemento es un statemen.t acerca de la debilidad de ese particular mtodo, Y la forma en que un ingeniero social puede acabar con o burlar el mtodo para engaar a un empleado. 1. Caller ID (suponiendo que esta caracterstica se incluye en el sistema telefnico de la empresa). En la pantalla de identificacin de llamadas, verificar si la llamada es desde dentro o fuera de la empresa, y THAt el nombre o el nmero de telfono que se muestra coincide con la identidad proporcionada por el llamante. Debilidad: La informacin externa identificador de llamadas puede ser falsificado por cualquier persona con acceso a un PBX o conmutador telefnico conectado al servicio de telefona digital. 2. Devolucin de llamada. Busque el solicitante en el directorio de la empresa, y devolver la llamada a la extensin de la lista para verificar que therequester es un empleado. Debilidad: Un intruso con conocimientos suficientes puede llamar a una extensin de avance empresa para que, cuando el empleado coloca la llamada de verificacin al nmero de telfono listado, la llamada se transfiere al nmero del atacante telfono externo. 3. Que d fe. Una persona de confianza que responde por la identidad del solicitante verifica el solicitante. Debilidad: Los atacantes utilizan un pretexto con frecuencia son capaces de convencer a otro empleado de su identidad, y conseguir que el empleado para responder por ellos. 4. Shared Secret. Utilice un secreto compartido para toda la empresa, como por ejemplo apassword o cdigo diaria. Weakness. "Si muchas personas saben el secreto compartido, que puede ser fcil para un atacante para aprenderlo. 5. Empleado SupervISOR / Manager. Teletelfono la employee'simmediate supervisor y verificacin peticin.

Debilidad: Si el solicitante ha proporcionado el nmero de telfono para llegar a su gerente, la persona que el empleado llega al llamar el nmero no puede ser el

administrador real, pero, de hecho, ser cmplice del atacante. 6. Asegure Email. Solicite un mensaje firmado digitalmente.

Debilidad: Si un atacante ha comprometido equipo de un empleado e instal un capturador de teclado para obtener frase del empleado pase, puede enviar un correo electrnico firmado digitalmente que parece ser del empleado. 7. Reconocimiento de Voz Personal. La persona que recibe la peticin se ha ocupado del solicitante (preferiblemente cara a cara), sabe con certeza que la persona realmente es una persona de confianza, y es lo suficientemente familiarizado con la persona a reconocer su voz en el telfono. Debilidad: Este es un mtodo bastante seguro, no pueden eludir fcilmente por un atacante, pero no sirve de nada si la persona que recibe la solicitud nunca se ha reunido o hablado con el solicitante. 8. Solucin contrasea dinmica. El solicitante se autentica a s mismo mediante el uso de una solucin de contrasea dinmico, como un ID segura. Debilidad: Para derrotar a este mtodo, el atacante tendra que obtener uno de los dispositivos de contraseas dinmicas, as como el nmero de identificacin personal de acompaamiento de los empleados a los que el dispositivo le pertenece, o tendra que engaar a un empleado en la lectura de la informacin en la pantalla de la dispositivo y proporcionar el PIN. 9. En persona con ID. El solicitante se presenta en persona andpresents una credencial de empleado u otra identificacin adecuada, preferiblemente una ID de imagen. Weakness: Los atacantes a menudo son capaces de robar una tarjeta de empleado, o cree una tarjeta de identificacin falsa que parece autntico, sin embargo, los atacantes generalmente rechazan este enfoque, ya que aparece en persona el atacante pone en riesgo significativo de ser identificado y detenido. Segundo Paso: Verificacin de Estado de Empleo The mayor amenaza a la seguridad de la informacin no es el ingeniero social profesional, ni del intruso informtico especializado, sino de alguien mucho ms cercano: el empleado slo como combustible en busca de venganza o esperando para establecerse en el negocio utilizando la informacin robada de la empresa. (Tenga en cuenta que una versin de este procedimiento tambin se puede utilizar para verificar que alguien todava disfruta de otro tipo de relacin de negocios con su empresa, como un vendedor, asesor o trabajador de contrato.) Before proporcionar Sensitive informatien to Another person or accepting instrucciones para las acciones que implican los equipos informticos o relacionados con la informtica, compruebe que el solicitante sigue siendo un empleado actual mediante uno de estos

mtodos:

Directorio de empleados Comprobar. Si la empresa mantiene un directorio de empleados en lnea que refleje con precisin los empleados en activo, compruebe que el requester sigue apareciendo. SolicitarVerificacin de er Manager. Llame al administrador del solicitante mediante un nmero de telfono que aparece en el directorio de la empresa, no un nmero proporcionado por el solicitante. Solicitante "s Departament or Workgroup VVERIFICACIN. Ctodos e solicitante "s departamento o grupo de trabajo y determinar de nadie en ese departamento o grupo de trabajo que el solicitante an trabaja en la empresa. Tercer Paso: Verificacin de que necesitas saber Beyond verificar que el solicitante es un empleado actual o tiene una relacin ingenioh su empresa, todava queda la cuestin de si el solicitante est autorizado a tener acceso a la informacin que se solicita, o est autorizado para solicitar que las acciones especficas que afectan a los ordenadores o equipos informticos se taken. Thideterminacin s se puede hacer mediante el uso de uno de estos mtodos: Cnsult ttulo del trabajo / grupo de trabajo / lists responsabilidades. Una empresa puede proporcionar un acceso fcil a la informacin mediante la publicacin de las listas de autorizacin de que los empleados tienen derecho a la informacin. Estas listas pueden ser organizados en trminos de ttulo laboral de los trabajadores, los departamentos de los empleados y grupos de trabajo, las responsabilidades de los empleados, o por alguna combinacin de estos. Dichas listas tendran que mantenerse en lnea que se mantiene actual y proporcionar un acceso rpido a la informacin de autorizacin. Por lo general, las fuentes de informacin se encargar de supervisar la creacin y el mantenimiento de las listas de acceso a la informacin bajo el control del propietario. NOTA Yot es importante tener en cuenta que el mantenimiento de estas listas es una invitacin a lo social ingeniero. Considere lo siguiente: Si un atacante se dirige a una empresa se da cuenta de que la empresa mantiene dichas listas, hay una fuerte motivacin para obtener uno. Una vez en la mano, como por ejemplo una lista abre muchas puertas para el atacante y coloca a la empresa en situacin de riesgo grave. Obten de una Autoridad Manager. Un empleado contacta con su propio director, o el administrador de la solicitante, la autoridad para cumplir con la solicitud.

Obten Autoridad de la informacin del propietario o su designado. El propietario de la informacin es el juez final de acceso si una persona en particular debe ser otorgada. El proceso para el control de acceso basado en ordenador es para que el empleado

contact su jefe inmediato para aprobar una solicitud de acceso a la informacin sobre la base de perfiles de trabajo existentes. Si tal perfil no existe, es responsabilidad del gerente de contacto con el propietario de los datos relevantes para el permiso. Esta cadena de mando se deben seguir para que dueos de la informacin no son bombardeados con peticiones cuando existe una frecuente necesidad de saber. Obten Autoridad por medio de un paquete de software propietario. Para una gran empresa en una industria altamente competitiva, puede ser prctico para desarrollar un paquete de software propietario que cubre las necesidades de saber autorizacin. Esta base de datos almacena los nombres de los empleados y privilegios de acceso a la informacin clasificada. Los usuarios no sera capaz de buscar los derechos de acceso de cada persona, sino que would introduzca el nombre del solicitante, y el identificador asociado con la informacin que se busca. Entonces, el programa ofrece una respuesta que indica si el empleado est autorizado a acceder a dicha informacin. Esta alternativa evita el peligro de crear una lista del personal con permisos de acceso correspondientes a valiosa informacin, crtica o sensible que podra ser robado.

Managemen POLTICAS T
The acuerdo con las polticas se refieren a los empleados de nivel gerencial. Estos se dividen en las reas de clasificacin de datos, divulgacin de informacin, la Administracin de Telefnica, y polticas diversas. Tenga en cuenta que cada categora de polticas utiliza una nica estructura de numeracin para facilitar la identificacin de las distintas polticas. Datunas polticas de clasificacin Data clasificacin se refiere a cmo su compaa clasifica la sensibilidad de la informacin y quin debe tener acceso a dicha informacin. 1-1 Asignar datos de clasificacin Poltica: Toda la informacin comercial valiosa, sensible o crtica debe ser asignado a una categora de clasificacin de la informacin del propietario designado o delegado. Explicacin / Notas: El propietario o un delegado designado asignar la clasificacin de datos adecuado a la informacin utilizan habitualmente para lograr los objetivos de negocio. El propietario tambin controla quin puede acceder a esa informacin y qu se puede hacer uso de ella. El propietario de la informacin puede reasignar la clasificacin y podr designar un perodo de tiempo para la desclasificacin automtica. Unartculo y no se notifique lo contrario deben ser clasificados como sensibles. 1 -2 Publique clasificados procedimientos de manejo Poltica: La empresa debe establecer procedimientos que rigen la divulgacin de informacin en cada categora. Explicacin / Notas."Una vez que las clasificaciones se establecen los procedimientos para la entrega de informacin a los empleados y para los forasteros se debe configurar como se detalla en los procedimientos de verificacin y autorizacin descritos anteriormente en este captulo. 1 -3 Etiquete todos los elementos Poltica."Est claro que marcan tanto los materiales impresos y soportes de almacenamiento que contiene informacin confidencial, privada o interna para mostrar la clasificacin de datos adecuado. Explicacin / Notas."Documentos impresos deben tener una portada, con una etiqueta de clasificacin en lugar destacado, y una etiqueta de clasificacin en cada pgina que es visible cuando el documento est abierto.

All electrnicamentec expedientes THAt cannot easily be etiquetaed ingenioh CRDITOSe datuna base de datos de clasificaciones (o archivos de datos brutos) deben ser protegidos a travs de controles de acceso para asegurar que dicha informacin no se divulguen indebidamente, y que no se puede cambiar, destruidos o inaccesibles.

Almedios de comunicacin l ordenador como disquetes, cintas y CD-ROM deben estar etiquetados con la clasificacin ms alta de cualquier informacin contenida en el mismo. Yonformacin Divulgacin Information revelacin implica la liberacin de informacin a las distintas partes en funcin de su identidad y la necesidad de saber. 2 -1 Empleado procedimiento de verificacin Poltica: La empresa debe establecer procedimientos generales para ser utilizard by empleados for verifying e identidad, employment estado, und autorizacin oF unn individual bntes relfacilitando Confidential or Sensitive information o la realizacin de cualquier tarea que implica el uso de cualquier hardware or software. Explicacin / Notas:Where justificado por tamao de la empresa y las necesidades de seguridad, las tecnologas avanzadas de seguridad se debe utilizar para autenticar la identidad. La prctica recomendada de seguridad sera la de desplegar tokens de autenticacin en combinacin con un secreto compartido para identificar positivamente las personas que hacen peticiones. Si bien esta prctica sustancialmente minimizar el riesgo, el coste puede ser prohibitivo para algunos negocios. En estas circunstancias, la empresa debe utilizar un secreto compartido para toda la empresa, como una contrasea o cdigo de diario. 2 -2 Entrega de informacin a terceros Poltica: Un conjunto de procedimientos recomendados de divulgacin de informacin debe estar disponible y todos los empleados deben estar capacitados para seguirlos. Explicacin / Notas: En general, los procedimientos de distribucin que se establezcan para: La informacin disponible en la empresa. Distribution de informacin a los ciudadanos y empleados de organizaciones que tienen una relacin establecida con la empresa, tales como consultores, trabajadores temporales, becarios, empleados de organizaciones que tienen una relacin de proveedor o acuerdo de asociacin estratgica con la empresa, y as sucesivamente. Informacin puesta a disposicin fuera de la empresa. La informacin en cada nivel de clasificacin, cuando la informacin se entrega

en persona, por telfono, por correo electrnico, por fax, por correo de voz, a travs del servicio postal, servicio de firma por la entrega y por transferencia electrnica.

2 -3 Distribucin de la informacin confidencial Poltica: La informacin confidencial, que es informacin de la compaa que podran causar un dao considerable si se obtiene por personas no autorizadas, podrn ser entregados slo a una persona de confianza que est autorizado para recibirla. Explicacin / Notas: La informacin confidencial en una forma fsica (es decir, copia impresa o en un medio de almacenamiento extrable) puede ser entregado: En persona. By correo interno, sellado y marcado con la clasificacin de confidencial. Outside la empresa por un servicio de entrega de confianza (es decir, FedEx, UPS, etc) con la firma del destinatario requerida, o por un servicio postal con una clase certificada o registrada de correo. Confidential informacin en formato electrnico (archivos de computadora, archivos de bases de datos, correo electrnico) mamy entregar: Wn el cuerpo del correo electrnico cifrado. En archivo adjunto de correo electrnico, como un archivo cifrado. Por transferencia electrnica a un servidor dentro de la red interna de la empresa. Bya fax programa desde una computadora, a condicin de que slo el destinatario utiliza la mquina de destino, o que el destinatario est esperando en la mquina de destino, mientras que el fax se ha enviado. Como alternativa, facsmiles se pueden enviar sin la presencia del destinatario si enva a travs de un enlace telefnico codificado a un servidor de fax protegido por contrasea. Estafainformacin confidencial puede ser discutido en persona, por telfono dentro de la empresa, por telfono fuera de la empresa cuando estn cifrados; por transmisin de satlite codificada, por enlace de videoconferencia cifrada y encriptada por Voz sobre Protocolo de Internet (VoIP). For transmisin por fax, el mtodo recomendado para el remitente llama para transmitir una pgina de cubierta, el receptor, al recibir la pgina, transmite una

pgina de respuesta, lo que demuestra que l / ella est en la mquina de fax. El remitente transmite entonces el fax. Los siguientes medios de comunicacin no son aceptables para discutir o distribuir informacin confidencial: sin cifrar mensajes de correo electrnico, correo de voz,

regulacinr electrnico, o cualquier otro mtodo de comunicacin inalmbrica (Mensaje celular, corto Servicio o inalmbrico). 2 -4 Distribucin de la informacin privada Poltica: La informacin privada, que es informacin personal acerca de un empleado o empleados que, de difundirse, se podran utilizar para daar a los empleados o la empresa, podr ser entregado solamente a una persona de confianza que est autorizado para recibirla. Explicacin / Notas: La informacin privada en una forma fsica (es decir, en papel o datos en un medio de almacenamiento extrable) puede ser entregado: En persona By correo interno, sellado y marcado con la clasificacin privada Por correo ordinario Privae informacin en formato electrnico (archivos de computadora, archivos de base de datos, correo electrnico) puede ser entregado: Bcorreo electrnico interna. y

Por transferencia electrnica a un servidor dentro de la red interna de la empresa. Bfax y, a condicin de que slo el destinatario utiliza la mquina de destino, o que el destinatario est esperando en la mquina de destino, mientras que el fax se ha enviado. Facsmiles tambin se pueden enviar a los servidores de fax protegidas por contrasea. Como alternativa, facsmiles se pueden enviar sin la presencia del destinatario si enva a travs de un enlace telefnico codificado a un servidor de fax protegido por contrasea. Privae informacin se pueden discutir en persona, por telfono, por va satlite; por enlace de videoconferencia, y por Vole cifrado Los siguientes medios de comunicacin no son aceptables para discutir o distribucin de la informacin privada: sin encriptar correo electrnico, mensaje de correo de voz, correo regular, y por cualquier medio de comunicacin sin hilos

(celulares, SMS, o inalmbrico). 2 -5 Distribucin de la informacin interna Poltica: La informacin interna es la informacin sea compartida slo dentro de la empresa o con otras personas de confianza que hayan firmado un acuerdo de confidencialidad. Usted debe establecer directrices para la distribucin de informacin interna.

Explicacin / Notas: Internal information mamy be distribuird yon uny formulario, Incluido el correo electrnico interno, pero no se puede distribuir fuera de la empresa en forma de correo electrnico a menos encriptada. 2-6 Discutir informacin confidencial a travs del telfono Poltica: Antes de divulgar cualquier informacin que no ha sido designada como pblica a travs del telfono, la persona que liberar dicha informacin personal debe reconocer la voz del solicitante a travs del contacto hbil anterior, o el sistema de telfono de la empresa debe identificar la llamada como de un nmero de telfono interno que tiene ha asignado to e solicitarer. Explicacin / Notas: Si la voz del solicitante no se conoce, llame al nmero de telfono del solicitante interna para verificar el solicitante voz a travs de un mensaje de voz grabado, o tener gerente del solicitante verificar la identidad del solicitante y la necesidad de saber. 2 -7 vestbulo o procedimientos de personal de recepcin Poltica: El personal debe obtener Lobby identificacin con fotografa antes de divulgar cualquier paquete a cualquier persona que no es conocido por ser un empleado activo. Un registro se debe mantener para registrar el nombre de la persona, el nmero de licencia de conducir, fecha de nacimiento, el elemento recogido, y la fecha y hora de recogida tal. Explicacin / Notas: Esta poltica tambin se aplica a la entrega de los paquetes salientes a cualquier mensajero o servicio de mensajera como FedEx, UPS, o Airborne Express. Estas compaas emitir tarjetas de identificacin que se pueden utilizar para verificar la identidad de un empleado. 2 -8 Transferencia de software a terceros Poltica: Antes de la transferencia o divulgacin de cualquier software, programa o instrucciones de computadora, la identidad del solicitante debe ser verificada de manera positiva, y debe ser FUNDADAd si tal liberacin es coherente con la clasificacin de datos assigned a dicha informacin. Por lo general, el software desarrollado internamente en formato de cdigo fuente es considerada altamente propietario, y clasificado confidencial. Explicacin / Notas: Determinacin de la autorizacin se basa generalmente en si el solicitante tiene acceso al software para hacer su trabajo. 2 -9 de Ventas y Marketing Calificacin de los clientes

potenciales Poltica: Ventas y marketing personal debe calificar clientes potenciales antes de liberar un nmero de devolucin de llamada interna, planes de productos, contactos, grupo de productos u otra informacin confidencial a cualquier cliente potencial.

Explicacin / Notas: Es una tctica comn de los espas industriales que requieren asistencia representante de ventas y marketing y hacerle creer que una compra grande puede estar a la vista. En un esfuerzo por aprovechar la oportunidad de ventas, las ventas y los representantes de marketing a menudo revelar informacin que puede ser utilizada por el agresor como una ficha de pquer para obtener acceso a informacin confidencial. 2-10 Transferencia de archivos o datos Poltica: Los archivos u otros datos electrnicos no deben ser transferidos a cualquier medio extrable a menos que el solicitante sea una persona de confianza cuya identidad ha sido verificada y que tiene una necesidad de contar con tales datos en ese formato. Explicacin / Notas: Un ingeniero social puede engaar a un empleado, proporcionando una peticin verosmil por haber informacin confidencial copia en una cinta, disco Zip, u otros medios extrables, y envi a l o se mantiene en el vestbulo para su recogida. Administracin Telfono Phonlas polticas de la administracin electrnica asegurar que los empleados puedan verificar identidad del llamante, y proteger su propia informacin de contacto de los que piden a la compaa. 3-1 Desvo de llamadas a nmeros de acceso telefnico o fax Poltica: Llamar a los servicios de reenvo de llamadas que permiten desviar llamadas a nmeros telefnicos externos no se pueden colocar en cualquier mdem de acceso telefnico o nmeros de telfono y fax de la empresa. Explicacin / Notas: Los atacantes sofisticados pueden intentar engaar al personal de las compaas telefnicas o los internos trabajadores de telecomunicaciones en nmeros de reenvo interno a una lnea telefnica externa bajo el control de un atacante. Este ataque permite al intruso para interceptar faxes, solicitar informacin confidencial a enviar por fax dentro de la empresa (personal suponer que enviar por fax dentro de la organizacin debe ser segura) o engaar usuarios de acceso telefnico en la prestacin de sus contraseas de cuentas mediante el envo de las lneas de acceso telefnico a una seuelo ordenador que simula el proceso de inicio de sesin. Depterminando en el servicio telefnico utilizado dentro de la empresa, la funcin de desvo de llamada puede estar bajo el control del proveedor de comunicaciones, en lugar de el departamento de telecomunicaciones. En tales circunstancias, una solicitud se har para el proveedor de comunicaciones para asegurar la funcin de desvo de llamada no est presente en los nmeros de

telfono asignados a la conexin telefnica y lneas de fax. 3 -2 Caller ID Poltica: El sistema telefnico corporativo debe proporcionar una identificacin de lnea de llamada (ID de llamada) en todos los aparatos telefnicos internos, y, si es posible, permitir timbre distintivo para indicar que hay una llamada desde fuera de la empresa.

Explicacin / Notas: Si los empleados pueden comprobar la identidad de las llamadas telefnicas desde fuera de la empresa puede ayudar a prevenir un ataque, o identificar al atacante al personal de seguridad apropiadas. 3 -3 telfonos de cortesa Poltica: Para evitar que los visitantes hacindose pasar por trabajadores de la empresa, todos los telfonos de cortesa indicar claramente la ubicacin de la persona que llama (por ejemplo, "Lobby") el identificador de llamada del destinatario. Explicacin / Notas."Si el ID de llamada para llamadas internas slo muestra el nmero de extensin, el suministro adecuado se debe hacer para las llamadas realizadas desde telfonos de la compaa en el rea de recepcin y las reas pblicas. No debe ser posible que un atacante a place un cunll Fromene oF these telfonos y engaar a un empleado en la creencia de que la llamada ha sido colocado internamente desde un telfono del empleado. 3-4 Contraseas por defecto del fabricante suministra con los sistemas de telefona Poltica: El administrador del correo de voz debe cambiar todas las contraseas predeterminadas que se suministran con el sistema de telfono antes de su uso por el personal de la empresa. Explicacin / Notas: Ingenieros sociales pueden obtener listas de contraseas por defecto de los fabricantes y las utilizan para acceder a las cuentas de administrador. 3 -5 Departamento de buzones de voz Poltica."Configurar un buzn de voz genrica para todos los departamentos que normalmente est en contacto con el pblico. Explicacin / Notas: El primer paso de la ingeniera social consiste en la recopilacin de informacin sobre la empresa objetivo y su personal. Al limitar la accesibilidad de los nombres y nmeros de telfono de los empleados, una empresa hace que sea ms difcil para el ingeniero social para identificar los objetivos de la empresa, o los nombres de los empleados legtimos para su uso en engaar a otros miembros del personal. 3 -6 Verificacin del proveedor del sistema telefnico Poltica: No hay tcnicos de apoyo a los vendedores se les permitir acceder de forma remota a la empresa telfono system sin positive identification oF vendor y

authorization para realizar dicho trabajo. Explicacin / Notas: Los intrusos informticos que acceden a los sistemas telefnicos corporativos adquieren la capacidad de crear buzones de correo de voz, mensajes destinados a interceptar a otros usuarios, o hacer llamadas telefnicas gratuitas a cargo de la corporacin.

3 -7 Configuracin del sistema telefnico Poltica. "El administrador del buzn de voz har cumplir los requisitos de seguridad de la configuracin de los parmetros de seguridad adecuadas en el sistema telefnico. Explicacin / Notas: Sistemas de telfono se puede configurar con mayor o menor grado de seguridad para los mensajes de correo de voz. El administrador debe ser consciente de las preocupaciones de seguridad de la empresa, y trabajar con el personal de seguridad para configurar el sistema de telfono para proteger los datos sensibles. 3-8 Llamar funcin trace Poltica: En funcin de las limitaciones del proveedor de comunicaciones, la funcin de rastreo de llamada se activar a nivel mundial para permitir a los empleados para activar la funcin de atrapar y de seguimiento cuando la persona que llama es sospechoso de ser un atacante. Explicacin / Notas: Los empleados deben ser entrenados en el uso de llamadas de seguimiento y las circunstancias apropiadas, cuando debera ser utilizado. Un rastreo de llamadas se debe iniciar cuando la persona que llama est claramente tratando de obtener acceso no autorizado a los sistemas informticos de las empresas o de solicitar informacin sensible. Cada vez que un empleado se activa la funcin de rastreo de llamada, notificacin inmediata debe ser enviada al Grupo de Notificacin de Incidentes. 3-9 Sistemas telefnicos automatizados Poltica."Si la empresa utiliza un sistema telefnico automatizado de respuesta, el sistema debe ser programado de tal manera que las extensiones telefnicas no se anuncian cuando transferir una llamada a un empleado o departamento. Explicacin / Notas: Los atacantes pueden utilizar el sistema de una compaa telefnica automatizada para asignar nombres de los empleados a las extensiones telefnicas. Los atacantes pueden entonces usar el conocimiento de esas extensiones de convencer a los receptores de llamadas que son empleados con derecho a la informacin privilegiada. 3-10 Buzones de voz para quedar incapacitadas tras sucesivos intentos de acceso no vlidos Poltica: Programe el sistema telefnico corporativo para bloquear cualquier cuenta de correo de voz cada vez que un nmero determinado de intentos de acceso no vlidos sucesivos se han hecho.

Explicacin / Notas."El administrador de Telecomunicaciones debe bloquear un buzn de voz despus de cinco intentos consecutivos no vlidos para iniciar la sesin, el administrador debe reiniciar los bloqueos de correo de voz de forma manual. 3-11 Extensiones telefnicas restringidas Poltica."Todas las extensiones telefnicas internas a los departamentos o grupos de trabajo que

ordinarily no recibe llamadas de personas externas (help desk, sala de informtica, soporte tcnico empleado, etc) debe ser programado so que estos telfonos slo se puede llegar desde las extensiones internas. Alternativamente, pueden ser protegidos con contrasea para que los empleados y otras personas autorizadas que llaman desde el exterior debe introducir la contrasea correcta. Explicacin / Notas: Si bien el uso de esta poltica ser bloquear la mayora de los intentos de los aficionados ingenieros sociales para llegar a sus posibles objetivos, debe tenerse en cuenta que un atacante determinado veces ser capaz de hablar a un empleado en llamar a la extensin limitada y pidiendo a la persona que contesta el telfono a llamar al atacante, o simplemente en la conferencia de extensin restringida. During capacitacin en seguridad, este mtodo de engaar a los empleados a asistir al intruso debe ser discutido para aumentar la conciencia de los empleados sobre estas tcticas. MiscellanEO US 4 -1 Empleado diseo distintivo Poltica: Insignias de los empleados deben ser diseados para incluir una foto de gran tamao que se puede reconocer desde lejos. Explicacin / Notas: La fotografa de tarjetas de identificacin corporativas de diseo estndar es, por razones de seguridad, slo un poco mejor que nada. La distancia entre una persona que entra en el edificio y la guardia o recepcionista que tiene la responsabilidad de verificar la identificacin suele ser tan grande que la imagen es demasiado pequea como para reconocer cuando la persona pasa por all. Para la foto para ser de valor en esta situacin, un nuevo diseo de la placa es necesario. 4-2 Los derechos de acceso revisar al cambiar de posicin o responsabilidades Poltica: Cuando un empleado cambia de empresa posiciones o se da un aumento o disminucin de las responsabilidades del trabajo, el gerente del empleado se le notificar la change en las responsabilidades del empleado de modo que el perfil de seguridad adecuado se pueden asignar. Explicacin / Notas: La gestin de los derechos de acceso del personal es necesario to la divulgacin de informacin protegida lmite. La regla de privilegios mnimos se aplicarn: Los derechos de acceso asignados a los usuarios ser la mnima necesaria para realizar sus trabajos. Cualquier peticin de cambios que resultan en elevados derechos de acceso must estar de acuerdo con una poltica de concesin de derechos de acceso elevados.

Thgerente trabajador e o el departamento de recursos humanos tendrn la responsabilidad de notificar al departamento de tecnologa de la informacin para ajustar adecuadamente los derechos del titular de la cuenta de acceso segn sea necesario.

4 -3 especial de identificacin para los empleados que no Poltica: Su empresa debe emitir una credencial foto compaa especial para gente de la entrega de confianza y los empleados no que tienen una necesidad de negocio para entrar en los locales de la empresa sobre una base regular. Explicacin / Notas: Los empleados que necesitan para no entrar en el edificio con regularidad (por ejemplo, para hacer entregas de alimentos o bebidas en la cafetera, o para reparar mquinas fotocopiadoras o hacer instalaciones telefnicas) pueden suponer una amenaza para su empresa. Adems de emitir la identificacin de estos visitantes, asegrese de que sus empleados estn capacitados para identificar a un visitante sin una placa y saber cmo actuar en esa situacin. 4-4 Desactivacin de cuentas de equipo para los contratistas Poltica: Cada vez que un contratista que se ha emitido una cuenta de equipo hcomo completado su tarea, o cuando el contrato expire, el responsable manager will immediately notify e information tecnologa departamento de deshabilitar su cuenta del contratista de ordenador, incluyendo cualquier cuenta utilizado para el acceso de base de datos, acceso telefnico, o el acceso a Internet desde lugares remotos. Explicacin / Notas:W-Hen empleo de un trabajador termina, existe el peligro de que l o ella va a utilizar el conocimiento de los sistemas de su empresa y los procedimientos para acceder a los datos. Todas las cuentas de ordenador utilizados por o se sabe que el trabajador debe ser rpidamente desactivada. Esto incluye las cuentas que dan acceso a bases de datos de produccin, control remoto de acceso telefnico de las cuentas, as como cualesquiera cuentas utilizadas para acceder a los dispositivos relacionados con la informtica. 4-5 Incidente organizacin informante Poltica: Una organizacin de notificacin de incidentes se deben establecer o, en las empresas ms pequeas, una persona designada de notificacin de incidentes de seguridad individual y, por receiving y distribucin de alertas sobre seguridad posible incidentes en progreso. Explicacin / Notas: Al centralizar la informacin sobre incidentes de seguridad sospechosos de un ataque que de otro modo podran haber pasado inadvertidos pueden ser detectados. En el caso de que los ataques sistemticos a travs de la organizacin se detectan y se informa, la organizacin informante incidente puede ser capaz de determinar lo que el atacante se dirige de modo que los esfuerzos

especiales se pueden hacer para proteger estos activos. Empleados asignados a recibir reportes de incidentes deben familiarizarse con los mtodos de ingeniera social y tcticas que les permitan evaluar los informes und reconocer cuando un ataque puede estar en curso.

4-6 Incidente Lnea de Informacin Poltica: Una lnea directa con la organizacin informante incidente o persona, que puede consistir en una extensin de telfono fcil de recordar, debe ser establecido. Explicacin / Notas: Cuando los empleados sospechan que son el blanco de un ataque de ingeniera social, que debe ser capaz de notificar inmediatamente a la organizacin de notificacin de incidentes. Para que la notificacin sea oportuna, todos los operadores de la compaa telefnica und recepcionistas must have e Number posted or otherwise inmediatamente disponible para ellos. Un sistema en toda la empresa de alerta temprana sustancialmente puede ayudar a la organizacin de detectar y responder a un ataque en curso. Los empleados deben estar suficientemente capacitado que alguien que l o ella sospecha que ha sido vctima de un ataque de ingeniera social, inmediatamente llame a la lnea directa de notificacin de incidentes. De acuerdo con los procedimientos publicados, el personal de notificacin de incidentes notificar de inmediato a los grupos destinatarios que una intrusin pueden estar en curso para que el personal estar en alerta. Para que la notificacin sea oportuna, el nmero de informes de lneas directas deber dar amplia difusin a toda la compaa. 4-7 Las zonas sensibles se deben asegurar Poltica: Un guardia de seguridad se proyectar el acceso a zonas sensibles o seguro y debe requerir dos formas de autenticacin. Explicacin / Notas: Ene acceptable param oF authentication utilizars un digital cerradura electrnica que requiere que un empleado pase su credencial de empleado e introducir un cdigo de acceso. El mejor mtodo para proteger las zonas sensibles es publicar un guardia de seguridad que observe cualquier entrada de acceso controlado. En las organizaciones donde no es rentable, dos formas de autenticacin se debe utilizar para validar la identidad. Dependiendo de riesgo y costo, una tarjeta de acceso biomtrico-enabled se recomienda. 4 -8 armarios de red y telfono Poltica: Gabinetes, armarios o cuartos que contienen cableado de red, cableado telefnico, o los puntos de acceso a la red debe estar asegurado en todo momento. Explicacin / Notas: Slo el personal autorizado sern permitidos access de armarios telefnicos y de red, habitaciones o armarios. Toda la gente de mantenimiento fuera de los proveedores o personal debe ser positivamente identificados con el

pROCEDIMIENTOS publicado por el departamento responsable de la seguridad de la informacin. El acceso a las lneas telefnicas, concentradores de red, switches, puentes y otros equipos relacionados podran ser utilizados por un atacante para comprometer la seguridad informtica y de red.

4 -9 bandejas de correo Intracompany Poltica: Cestos Intracompany correo no debern estar situados en zonas accesibles al pblico. Explicacin / Notas: Espas industriales o intrusos informticos que tienen acceso a uny intracompany mafligir pickhasta puntos cunn eaSily enviar foRGEd cartas de autorizacin o formas internas que autorizan al personal a divulgar informacin confidencial o realizar una accin. hasta que asiste al atacante. Adems, el atacante puede enviar un disquete o medio electrnico con las instrucciones para instalar una actualizacin de software, o abrir un archivo que se ha incrustado comandos de macro que sirven a los objetivos del intruso. Naturalmente, cualquier solicitud recibida por correo intracompaa se supone que es autntica por la persona que lo recibe. 4-10 La empresa tabln de anuncios Poltica: Los tablones de anuncios en beneficio de los trabajadores de la empresa no deben ser colocadas en lugares donde el pblico tiene acceso. Explicacin / Notas: Muchas empresas tienen tablones de anuncios donde se publica empresa privada o informacin personal para que cualquiera pueda leer. Avisos empleadores, listas de empleados, memorandos internos, los nmeros de contacto de los empleados de origen que figuran en los anuncios y otra informacin, similar a menudo se publicar en el tabln. Bulletin tableros pueden estar ubicados cerca de las cafeteras de la empresa, o en las proximidades de las zonas de fumadores o de descanso donde los visitantes tienen acceso gratuito. Este tipo de informacin no debe poner a disposicin de los visitantes o al pblico. 4-11 Computer entrada del centro Poltica: El centro de la sala de ordenadores o de datos debe ser bloqueado en todo momento y el personal debe autenticar su identidad antes de entrar. Explicacin / Notas: Seguridad Corporativa debe considerar la implementacin de una tarjeta electrnica o un lector de tarjetas de acceso para todas las entradas pueden ser electrnicamente registrados y auditados. 4.12 Las cuentas de cliente con proveedores de servicios Poltica: El personal de la compaa que hacen pedidos de servicios con los proveedores que suministran servicios crticos para la empresa debe establecer

una contrasea de cuenta prevencint desautorizard personas from placing ordens on BehalF oF e

to empresa.

Explicacin / Notas: Las empresas de servicios pblicos y muchos otros proveedores permiten a los clientes crear una contrasea previa solicitud, la empresa debe establecer contraseas con todos los proveedores que ofrecen servicios de misin crtica. Esta poltica es especialmente crtico para los servicios de telecomunicaciones e Internet. Cada vez que los servicios crticos pueden ser

afectado, un secreto compartido es necesario verificar que la persona que llama est autorizada a poner dichas rdenes. Tenga en cuenta, tambin, identificadores tales uns social seguridad adormecerer, corporate nmero de identificacin del contribuyente, el nombre de soltera de la madre, o identificadores similares no deben ser utilizados. Un ingeniero social podra, por ejemplo, llamar a la compaa telefnica y dar rdenes para agregar caractersticas tales como el desvo de llamadas de discado en lneas de mdem, o hacer una solicitud al proveedor de servicios de Internet para cambiar la informacin de traduccin para proporcionar una direccin IP falsa cuando los usuarios realizar una bsqueda de nombre de host. 4-13 persona contacto Departamental Poltica: Su empresa podr iniciar un programa en el que cada departamento o grupo de trabajo se asigna a un empleado la responsabilidad de actuar como punto de contacto para que cualquier miembro del personal puede fcilmente verificar la identidad de las personas desconocidas que dicen ser from que departament. For ejemplo, e help desk mamy contactort e persona encargada del departamento para verificar la identidad de un empleado que solicita la ayuda. Explicacin / Notas: Este mtodo de verificacin de identidad reduce la cantidad de empleados que estn autorizados para dar fe de los empleados dentro de su departamento cuando dichos empleados solicitar apoyo, tales como el restablecimiento de contraseas u otros problemas informticos relacionados con la cuenta. Ataques de ingeniera social son exitosos en parte porque el personal de apoyo tcnico estn presionados por el tiempo y no verificar correctamente la identidad de los solicitantes. Normalmente el personal de apoyo, personalmente, no puede reconocer todo el personal autorizado por el nmero de empleados en organizaciones ms grandes. El mtodo de punto de persona que d fe limita el nmero de empleados que el personal de soporte tcnico necesitan estar personalmente familiarizado con fines de verificacin. 4-14 contraseas de clientes Poltica: Los representantes de servicio al cliente no tendr la posibilidad de recuperar las contraseas de cuentas de clientes. Explicacin / Notas: Los ingenieros sociales con frecuencia llaman departamentos de servicio al cliente y, bajo un pretexto, intentar obtener informacin de un cliente de autenticacin, como la contrasea o nmero de seguro social. Con esta informacin, el ingeniero social puede entonces llamar a otro representante de servicio, pretende ser el cliente, y obtener pedidos de informacin o lugar

fraudulentas. Para evitar estos intentos tengan xito, los programas de servicio al cliente must estar diseado de manera que los representantes slo puede escribir la informacin de autenticacin proporcionada por la persona que llama, y recibir una respuesta por parte del sistema que indica si la contrasea es correcta o no.

4-15 Vulnerabilidad de las pruebas Poltica: Notificacin de uso de la empresa de tcticas de ingeniera social para poner a prueba las vulnerabilidades de seguridad se requiere durante el entrenamiento de concienciacin sobre la seguridad y la orientacin de empleados. Explicacin / Notas: Sin notificacin de la ingeniera social, pruebas de penetracin, personal de la empresa puede sufrir vergenza, ira, u otro trauma emocional del uso de tcticas engaosas utilizadas en su contra por otros empleados o contratistas. Mediante la colocacin de nuevas contrataciones en conocimiento durante el proceso de orientacin que pueden ser objeto de esta prueba, se evita que dicho conflicto. 4-16 Visualizacin de la informacin confidencial de la empresa Poltica: Informacin de la empresa no haya sido designado para ser hecha pblica no se pueden mostrar en cualquier rea de acceso pblico. Explicacin / Notas: Adems de productos confidencial o informacin de procedimiento, informacin de contacto interno, como telfono interno o listas de empleados, o listas de construccin que contienen una lista del personal de gestin de cada departamento dentro de la empresa tambin debe mantenerse fuera de la vista. 4-17 de formacin sobre proteccin Poltica: Todas las personas empleadas por la empresa debe completar un curso de formacin de la conciencia de seguridad durante la orientacin de los empleados. Adems, cada uno empleado debe tomar un curso de concienciacin sobre la seguridad de actualizacin a intervalos peridicos que no exceda de doce meses, segn lo requiera el departamento asignado con la responsabilidad de seguridad a la formacin. Explicacin / Notas: Muchas organizaciones ignorar formacin del usuario final la conciencia por completo. De acuerdo con la Encuesta Global 2001 de Seguridad de la Informacin, slo el 30 por ciento de las organizaciones encuestadas gastar dinero en actividades de sensibilizacin de la comunidad de usuarios. La sensibilizacin es un requisito esencial para mitigar las violaciones de seguridad con xito utilizando tcnicas de ingeniera social. 4-18 de Seguridad curso de formacin para el acceso informtico Poltica: El personal debe asistir y completar con xito un curso de seguridad de la informacin antes de dar acceso a todos los sistemas informticos de las

empresas. Explicacin / Notas: Los ingenieros sociales con frecuencia buscan nuevos empleados, a sabiendas de que, como grupo, son generalmente los que menos probabilidades de ser conscientes de las polticas de seguridad de la empresa y los procedimientos adecuados para determinar la clasificacin y el manejo de informacin confidencial.

Training debe incluir una oportunidad para que los empleados hacer preguntas acerca de las polticas de seguridad. Despus del entrenamiento, el titular de la cuenta debe ser obligado a firmar un documento reconociendo su comprensin de las polticas de seguridad, y su acuerdo en cumplir las polticas. 4-19 credencial de empleado debe ser un cdigo de colores Poltica: Tarjetas de identificacin debe ser un cdigo de colores para indicar si el titular de la tarjeta de identificacin es un empleado, contratista, consultor temporal, vendedor, visitante o residente. Explicacin / Notas: El color de la placa es una excelente manera de determinar e estado de una persona a distancia. Una alternativa sera el uso de letras grandes para indicar el estado del soporte de placa, pero utilizando un esquema de cdigo de colores es inconfundible y fcil de ver. Una tctica comn de ingeniera social para obtener acceso a un edificio fsico es vestirse como una persona de la entrega o tcnico de reparaciones. Una vez dentro de la instalacin, el atacante hacerse pasar por otro empleado o mentir acerca de su estado para obtener la cooperacin de los empleados incautos. El propsito de esta poltica es evitar que las personas entren en el edificio legtimamente y luego entrar en las zonas que no deberan tener acceso. Por ejemplo, una persona que entra en la instalacin como tcnico de reparacin de telfono no sera capaz de hacerse pasar por un empleado: El color de la insignia de lo delatara. InformatiSOBRE POLTICAS TECNOLGICAS Thinformacin e departamento de tecnologa de cualquier empresa tiene una necesidad especial de Politicass que le ayudan a proteger los activos de informacin de las organizaciones. Para reflejar la estructura tpica de las operaciones de TI de una organizacin, he dividido las polticas de TI en general, Atencin al cliente, Administracin de equipo y operaciones informticas. General 5 -Un empleado del departamento de TI la informacin de contacto Poltica: Nmeros de telfono y direcciones de correo electrnico de los distintos empleados del departamento de TI no debe ser revelada a cualquier persona sin necesidad de saber. Explicacin / Notas: El propsito de esta poltica es evitar que la informacin de contacto que se abuse de los ingenieros sociales. Por slo revelar un nmero de contacto general o direccin de correo electrnico para TI, los extranjeros sern bloqueados entren en contacto con el personal de TI departamento directamente. La direccin de correo electrnico para el sitio administrativo y tcnico contactos

hombrod only consistentet oF generic names xitoh uns admin@companyname.com, Publicadas nmeros de telfono debe conectarse a un buzn de voz departamentos, y no a los trabajadores individuales.

Blancoen Informacin contacto directo est disponible, es fcil para un intruso informtico para llegar a determinados empleados de TI y engaarlos para que proporcionen informacin que se puede utilizar en un ataque, o para hacerse pasar por empleados de TI mediante el uso de sus nombres e informacin de contacto. 5-2 Solicitudes de soporte tcnico Poltica: Todas las solicitudes de soporte tcnico deben ser remitidos al grupo que se encarga de estas solicitudes. Explicacin / Notas: Ingenieros sociales pueden tratar de orientar al personal que normalmente no manejan asuntos tcnicos de apoyo, y que pueden no ser conscientes de los procedimientos de seguridad adecuados al manejar estas solicitudes. En consecuencia, el personal debe estar capacitado para denegar estas solicitudes y se refieren a la persona que llama el grupo que tiene la responsabilidad de proporcionar apoyo. Help Desk 6 -Un procedimiento de acceso remoto Poltica: Personal de asistencia no debe divulgar los detalles o instrucciones relativas al acceso remoto, incluyendo los puntos de acceso a redes externas o de acceso telefnico nmeros, a menos que el solicitante ha sido: Verificado lo autorizado para recibir informacin interna y, Verificado lo autorizado para conectarse a la red corporativa como un usuario externo. A menos conocido a nivel de persona a persona, el solicitante debe ser positivamente identificados de acuerdo con los procedimientos de verificacin y autorizacin descritos al inicio de este captulo. Explicacin / Notas: El servicio de asistencia social es a menudo un objetivo principal para el ingeniero social, tanto por la naturaleza de su trabajo es ayudar a los usuarios relacionados con la informtica temas, und because lay usually have elevard sistema privilegios. Todo el personal de mesa de ayuda debe ser entrenado para actuar como un servidor de seguridad humana para evitar la divulgacin no autorizada de informacin que ayude a las personas no autorizadas tengan acceso a los recursos de la empresa. La regla simple es no revelar los procedimientos de acceso remoto a cualquier persona hasta que la verificacin positiva de la identidad se ha hecho. 6 -2 Restablecer contraseas Poltica: La contrasea para una cuenta de usuario puede poner a cero slo a peticin del titular de la cuenta.

Explicacin / Notas: La tctica ms comn utilizado por los ingenieros sociales es tener reinicio de otra persona cuenta o contrasea cambiado. El atacante se hace pasar por el

employee con el pretexto de que su contrasea se ha perdido u olvidado. En un esfuerzo por reducir el xito de este tipo de ataque, un empleado de TI recibe una solicitud de restablecimiento de contrasea debe llamar al empleado de nuevo antes de tomar cualquier accin, la llamada de vuelta no se debe hacer a un nmero de telfono proporcionado por el solicitante, pero para un nmero obtenido a partir de la gua telefnica empleado. Consulte los procedimientos de verificacin y autorizacin para ms detalles sobre este procedimiento. 6 -3 Cambio de privilegios de acceso Poltica: Todas las peticiones para aumentar los privilegios de un usuario o de los derechos de acceso deben ser aprobados por escrito por el gerente de la titular de la cuenta. Cuando el cambio se realiza una estafaconfirmacin debe ser enviado al gestor requirente a travs de intracompaa mAIL. Por otra parte, estas solicitudes deben ser verificadas como autnticas de acuerdo con los procedimientos de verificacin y autorizacin. Explicacin / Notas: Una vez que un intruso informtico ha puesto en peligro una cuenta de usuario estndar, el siguiente paso es elevar sus privilegios a fin de que el atacante tiene el control completo sobre el sistema comprometido. Un atacante que tenga conocimiento del proceso de autorizacin puede falsificar una solicitud autorizada cuando el correo electrnico, fax o telfono son utilizados para transmitirla. Por ejemplo, el atacante puede llamar a soporte tcnico o de la mesa de ayuda y tratar de convencer a un tcnico para que concedan derechos de acceso a la cuenta comprometida. 6 -4 Autorizacin Cuenta nueva Poltica: Una peticin para crear una nueva cuenta para un empleado, contratista, or otra persona autorizada deber presentarse por escrito y firmada por el gerente del empleado, o por correo electrnico firmado digitalmente. Estas solicitudes tambin deben ser verificadas por el envo de una confirmacin de la solicitud a travs de correo intracompaa. Explicacin / Notas: Dado que las contraseas y otros datos tiles para irrumpir en los sistemas informticos son los objetivos ms prioritarios de los ladrones de informacin para el acceso, se requieren medidas especiales. La intencin de esta poltica es evitar que los intrusos informticos de hacerse pasar por personal autorizado o falsificacin de solicitudes de nuevas cuentas. Por lo tanto, todas las solicitudes deben ser positivamente verifica por medio de los procedimientos de verificacin y autorizacin. 6 -5 Entrega contraseas de nuevas

Poltica: Las nuevas contraseas no deben tratarse como informacin confidencial de la empresa, administrada por mtodos seguros incluidos en persona, por un servicio de entrega de firmas requerido, tales como correo certificado, o por UPS o FedEx. Vea las reglas relativas a la distribucin de informacin confidencial.

Explicacin / Notas: Intracompany correo tambin se pueden usar, pero se recomienda que las contraseas se envan en sobres seguras que oscurecen el contenido. Un mtodo sugerido es establecer un punto de ordenador persona en cada departamento que tiene la responsabilidad de manejar la distribucin de datos de la cuenta nueva y dar fe de la Identity oF personnel who lose or forjart their passwords. Yon estos circumstances, personal de apoyo siempre iba a trabajar con un pequeo grupo de empleados que seran reconocidos personalmente. 6 -6 Desactivacin de una cuenta Poltica: Antes de deshabilitar una cuenta de usuario debe requerir la verificacin positiva de que la solicitud fue hecha por personal autorizado. Explicacin / Notas: La intencin de esta poltica es evitar que un atacante spoofing una solicitud para desactivar una cuenta, y luego llamar para solucionar la incapacidad del usuario para acceder al sistema informtico. Cuando las llamadas ingeniero social hacindose pasar por un tcnico que ya tenan conocimiento de la incapacidad del usuario para iniciar la sesin, la vctima suele cumple con una solicitud para revelar su contrasea durante el proceso de solucin de problemas. 6 -7 Desactivacin de puertos de red o dispositivos Poltica: Ningn empleado debe desactivar cualquier dispositivo de red o puerto para todo el personal de apoyo tcnico no verificadas. Explicacin / Notas: La intencin de esta poltica es evitar que un atacante spoofing una solicitud para desactivar un puerto de red, y luego llamar al trabajador para solucionar su incapacidad para acceder a la red. When el ingeniero social, hacindose pasar por un tcnico til, llama con conocimiento pre-existente de problema en la red del usuario, la vctima suele cumple con una solicitud para revelar su contrasea durante el proceso de solucin de problemas. 6.8 Divulgacin de los procedimientos para el acceso inalmbrico Poltica: No debe revelar informacin personal de los procedimientos para acceder a los sistemas de la empresa a travs de redes inalmbricas a las personas no autorizadas a conectarse a la red inalmbrica. Explicacin / Notas: Siempre obtener la verificacin previa de un solicitante como persona autorizada para conectarse a la red corporativa como un usuario externo antes de lanzar wirelessaccess informacin. Ver Verificacin y Autorizacin ProcedUres.

6-9 Entradas de los usuarios problemticos Poltica: Los nombres de los empleados que han informado de problemas relacionados con la informtica no debe ser revelada fuera del departamento de tecnologa de la informacin. Explicacin / Notas: En un ataque tpico, un ingeniero social llamar al help escritorio y solicitar los nombres de todo el personal que han informado de los recientes problemas informticos. La persona que llama puede fingir ser un empleado, proveedor, o un empleado de la compaa telefnica. Una vez que obtenga los nombres de las personas que denuncian problemas, el ingeniero social, hacindose pasar por una mesa de ayuda o soporte tcnico pErson, los contactos de los empleados y dice que l / ella est llamando para solucionar el problema. Durante la llamada, el atacante engaa a la vctima para que proporcione la informacin deseada o en la realizacin de una accin que facilita el objetivo del atacante. 6-10 Programas de Iniciacin ejecutar comandos o ejecutar Poltica: El personal empleado en el departamento de TI que tienen cuentas con privilegios no debe ejecutar ningn comando o ejecutar cualquier programa de aplicacin a peticin of cualquier persona que no conozco personalmente a ellos. Explicacin / Notas: Un mtodo comn atacantes utilizar para instalar un programa caballo de Troya u otro software malicioso es cambiar el nombre de un programa existente, y luego llamar a la mesa de ayuda quejndose de que un mensaje de error aparece cuando se intenta ejecutar el programa. El atacante convence al tcnico de mesa de ayuda para ejecutar el programa s mismo. Cuando el tcnico cumple, el software malicioso hereda los privilegios del usuario que ejecuta el programa y realiza una tarea, lo que le da al atacante de los privilegios mismo equipo que el empleado del Help Desk. Esto puede permitir al atacante tomar el control del sistema de la compaa. This poltica establece una medida para contrarrestar esta tctica, al exigir que el personal de apoyo a verificar la situacin laboral antes de ejecutar cualquier programa a peticin de una persona que llama. Equipo de administracin 7-1 Cambiar el acceso de los derechos globales Poltica: Una solicitud para cambiar los derechos de acceso globales asociados con un perfil de trabajo electrnico debe ser aprobado por el grupo asignado la responsabilidad de

hombreenvejecimiento de los derechos de acceso a la red corporativa. Explicacin / Notas: El personal autorizado analizar cada solicitud para determinar si el cambio puede suponer una amenaza para la seguridad de la informacin. Si es as, el empleado responsable se ocupar de las cuestiones pertinentes con el solicitante y en conjunto llegar a una decisin acerca de los cambios a realizar.

7 -2 solicitudes de acceso remoto Poltica: acceso a una computadora remota slo se proporcionar al personal que haya una necesidad demostrada para acceder a los sistemas informticos corporativos desde lugares fuera de las instalaciones. La solicitud debe ser hecha por el gerente de un empleado y verificar como se describe en e Verificacin y Procedimientos de Autorizacin seccin. Explicacin / Notas: Reconociendo la necesidad de un acceso fuera de sitio en la red corporativa por personal autorizado, lo que limita dicho acceso slo a las personas con una necesidad dramtica puede reducir el riesgo y la gestin de los usuarios de acceso remoto. Cuanto menor sea el nmero de personas con acceso telefnico externo privileges, la ms pequea de la piscina de objetivos potenciales para un atacante. No olvides nunca que el atacante tambin puede dirigirse a usuarios remotos con la intencin de secuestrar su conexin a la red corporativa, o hacindose pasar por ellos durante una llamada de pretexto. 7-3 Restablecimiento de contraseas privilegiadas cuenta Poltica: La solicitud para restablecer la contrasea de una cuenta con privilegios deben ser aprobados por el administrador del sistema o el administrador responsable del equipo en el que cuenta de correo existe. La nueva contrasea debe ser enviado por correo o entregado intracompaa en persona. Explicacin / Notas."Las cuentas privilegiadas tienen acceso a todos los recursos del sistema y ficheros almacenados en su sistema informtico. Naturalmente, estas cuentas se merecen la mayor proteccin posible. 7-4 personal de apoyo exterior de acceso remoto Poltica: Ninguna persona de apoyo externo (como el personal proveedor de software o hardware) se puede dar ninguna informacin o el acceso remoto le permitir acceder a cualquier sistema informtico de la empresa o dispositivos relacionados sin verificacin positiva de la identidad y la autorizacin para prestar dichos servicios. Si el proveedor requiere privilegioD Acceso a prestar servicios de apoyo, la contrasea de la cuenta utilizada por el vendedor deber ser cambiada inmediatamente despus de que los proveedores de servicios se han completado. Explicacin / Notas: Los atacantes informticos pueden hacerse pasar por los vendedores para acceder a la computadora corporativa o redes de telecomunicaciones. Por lo tanto, es esencial que la identidad del vendedor puede verificar adems de su autorizacin para realizar cualquier trabajo en el sistema.

Por otra parte, las puertas en el sistema debe cerr de golpe una vez que su trabajo se hace cambiando la contrasea de la cuenta utilizada por el proveedor. No proveedor debe permitir recoger su contrasea para cualquier cuenta propia, aunque sea temporalmente. Algunos vendedores han sido conocidos por usar la misma contrasea o similar a travs de los sistemas de varios clientes. Por ejemplo, una red de seguridad

empresa creada cuentas privilegiadas en todos los sistemas de sus clientes con la misma contrasea y, para colmo de males, con acceso desde el exterior Telnet habilitado. 7-5 Autenticacin fuerte para el acceso remoto a los sistemas corporativos Poltica: Todos los puntos de conexin a la red corporativa desde ubicaciones remotas deben ser protegidos a travs de la utilizacin de dispositivos de autenticacin fuerte, como contraseas dinmicas o biometra. Explicacin / Notas:HombreY las empresas se basan en contraseas estticas como nico medio de autenticacin para usuarios remotos. Esta prctica es peligrosa porque es inseguro: los intrusos informticos dirigirse a cualquier punto de acceso remoto que podra ser el eslabn dbil en la red de la vctima. Recuerde que nunca se sabe cuando alguien ms conoce su contrasea. En consecuencia, uny remote access puntosmust be protected ingenioh fuerte autenticacin como los tokens basados en el tiempo, las tarjetas inteligentes o dispositivos biomtricos, por lo que las contraseas interceptadas son de ningn valor para un atacante. When autenticacin basada en contraseas dinmicas es poco prctico, los usuarios deben cumplir religiosamente con la poltica para la eleccin difciles de adivinar. 7-6 Configuracin del sistema operativo Poltica: Los administradores de sistemas velarn por que, siempre que sea posible, los sistemas operativos se configuran de manera que sean compatibles con toda la seguridad pertinente Politicass y procedimientos. Explicacin / Notas: Elaboracin y difusin de las polticas de seguridad es un paso fundamental hacia la reduccin de riesgos, pero en la mayora de los casos, el cumplimiento es necesariamente deja en manos del empleado. Hay, sin embargo, cualquier nmero de computadoras relacionados con las polticas que se pueden hacer obligatorio a travs de la configuracin del sistema operativo, como por ejemplo la longitud requerida de contraseas. Automatizacin de las polticas de seguridad de la configuracin de los parmetros del sistema operativo eficaz toma la decisin de las manos el elemento humano, aumentando la seguridad general de la organizacin. 7 -7 caducidad Obligatorio Poltica: Todas las cuentas de equipo debe estar configurado para

expirar despus de un ao. Explicacin / Notas: La intencin de esta poltica es eliminar la existencia de cuentas de equipo que ya no se utilizan, ya que los intrusos informticos comnmente orientar las cuentas inactivas. El proceso asegura que las cuentas de equipo a belonging to former empleados or contractors THAt have sido sin darse cuenta deja en su lugar se desactivan automticamente.

Lat discrecin gestin, puede requerir que los empleados deben tomar un curso de actualizacin de seguridad de entrenamiento en tiempo de renovacin, o debe revisar las polticas de seguridad de la informacin y firmar un acuse de recibo de su acuerdo a que se adhieran a ellos. 7 -8 direcciones de correo electrnico genricos Poltica: El departamento de tecnologa de la informacin deber configurar una direccin de correo electrnico genrico para cada departamento dentro de la organizacin que normalmente se comunica con el. pblico. Explicacin / Notas: La direccin de correo electrnico genrico puede ser divulgada al pblico por los telefonistas o se publicarn en el sitio web de la empresa. De lo contrario, cada empleado slo tiene que revelar su direccin personal de correo electrnico a las personas que tienen verdadera necesidad de conocer. During la primera fase de un ataque de ingeniera social, el atacante a menudo trata de obtener los nmeros de telfono, nombres y ttulos de los empleados. En la mayora de los casos, esta informacin se encuentra a disposicin del pblico en el sitio web de la empresa o simplemente para pedir. Creacin de buzones de voz genricos y / o direcciones de correo electrnico hace que sea difcil asociar nombres de los empleados con determinados departamentos o responsabilidades. 7 -9 Informacin de contacto para las inscripciones de dominio Poltica: Cuando se registra para la adquisicin de espacio de direcciones de Internet o hosnombres de t, la informacin de contacto para el personal administrativo, tcnico o de otra ndole no debe identificar cualquier personal individual por su nombre. En su lugar, hombrod enumerar una direccin de correo electrnico genrico y el nmero de telfono principal de la empresa. Explicacin / Notas: El propsito de esta poltica es evitar que la informacin de contacto de ser abusados por un intruso informtico. Cuando los nombres y nmeros de telfono de las personas se proporcionan, un intruso puede utilizar esta informacin para contactar a las personas e intentar engaar al sistema de informacin que revela, o realizar un elemento de accin que facilita el objetivo de un atacante. O el ingeniero social puede hacerse pasar por una persona que cotiza en un esfuerzo por engaar a otros miembros del personal de la empresa. En lugar de una direccin de correo electrnico a un empleado en particular, informacin de contacto must estar en la forma de administracintrator@company.com. Telecomunicaciones personal del departamento puede establecer un buzn de voz genrica para fines administrativos o

tcontactos CNICA a fin de limitar la divulgacin de informacin que podra ser til en un ataque de ingeniera social. 7-10 Instalacin de seguridad y actualizaciones del sistema operativo Poltica: Todos los parches de seguridad para el sistema operativo y software de aplicacin se instalar tan pronto como estn disponibles. Si esta poltica entra en conflicto con la

operation de misin crtica sistemas de produccin, dichas actualizaciones se debe realizar tan pronto como sea posible. Explicacin / Notas: Una vez que la vulnerabilidad ha sido identificada, el fabricante de software debe ser contactado inmediatamente para determinar si un parche o una solucin temporal ha sido puesto a disposicin para cerrar la vulnerabilidad. Un sistema informtico sin el parche representa una de las mayores amenazas de seguridad a la empresa. Cuando los administradores de sistemas procrastinan acerca de cmo aplicar las correcciones necesarias, la ventana de exposicin es abierta para que cualquier atacante puede subir a travs. Docenas de vulnerabilidades de seguridad se identifican y se publica semanalmente en Internet. Hasta el personal de tecnologa de la informacin estn vigilantes en sus esfuerzos para aplicar todos los parches de seguridad y correcciones lo antes posible, a pesar de que estos sistemas son detrs del firewall de la empresa, la red de la empresa siempre estar en riesgo de sufrir un incidente de seguridad. Es extremadamente importante mantenerse al tanto de las vulnerabilidades de seguridad publicados identificados en el sistema operativo o los programas de aplicacin utilizados durante el curso de los negocios. 7-11 Informacin de contacto en los sitios Web Poltica: Su pgina de la Web externo no deber revelar cualquier detalle de la estructura corporativa o identificar los empleados por su nombre. Explicacin / Notas: Informacin de la estructura corporativa, tales como organigramas, diagramas de jerarqua, los empleados o las listas departamentales, la estructura de presentacin de informes, los nombres, cargos, nmeros de contacto, nmeros internos de los empleados, o informacin similar que se utiliza para los procesos internos no deben ponerse a disposicin en los sitios Web de acceso pblico . Calcularr intrusos a menudo obtener informacin muy til en el sitio Web de un objetivo. El atacante utiliza esta informacin para que aparezca como un conocedor 206 empleado cuando se utiliza un pretexto o artimaa. El ingeniero social es ms probable que establecer la credibilidad por tener esta informacin a su disposicin. Por otra parte, el atacante puede analizar esta informacin para conocer los posibles objetivos que tienen acceso a informacin valiosa, sensible o crtica. 7-12 Creacin de cuentas privilegiadas Poltica."No cuenta con privilegios deben ser creados o privilegios del sistema concedido a cualquier cuenta menos que sea autorizado por el administrador del sistema o el administrador del sistema.

Explicacin / Notas."Intrusos informticos con frecuencia se hacen pasar por vendedores de software o hardware en un intento de engaar a personal de tecnologa de la informacin en la creacin de cuentas no autorizadas. La intencin de esta poltica es bloquear estos ataques

establishing mayor control sobre la creacin de cuentas privilegiadas. El administrador del sistema o el administrador del sistema informtico debe aprobar cualquier solicitud de creacin de una cuenta con privilegios elevados. 7-13 Cuentas de invitado Poltica: Las cuentas de clientes en todos los sistemas informticos o relacionados con los dispositivos de red debern ser desactivados o eliminados, a excepcin de un servidor FTP (protocolo de transferencia de archivos) aprobado por la administracin con acceso annimo habilitado. Explicacin / Notas: La intencin de la cuenta de invitado es facilitar el acceso temporal a las personas que no necesitan tener su propia cuenta. Varios sistemas operativos se instalan de forma predeterminada con una cuenta de invitado habilitada. Las cuentas de invitado siempre debe estar deshabilitada porque su existencia viola el principio de la rendicin de cuentas de usuario. Debe ser capaz de auditar cualquier actividad relacionada con la informtica y se refieren a un usuario especfico. Los ingenieros sociales son fcilmente capaces de tomar ventaja de estas cuentas de invitados de obtener acceso no autorizado, ya sea directamente o por engaar a personal autorizado a utilizar una cuenta de invitado. 7-14 El cifrado de datos de copia de seguridad fuera del sitio Poltica: Todos los datos de la empresa que se almacenan fuera del sitio debe ser encriptada para evitar el acceso no autorizado. Explicacin / Notas: El personal de operaciones debe asegurarse de que todos los datos son recuperables en el caso de que cualquier informacin necesita ser restaurado. Esto requiere descifrado prueba regular de un muestreo aleatorio de los archivos cifrados para asegurarse de que los datos pueden ser recuperados. Por otra parte, las claves utilizadas para cifrar los datos se plica con un gestor de confianza en el caso de que las claves de cifrado se pierde o no disponible. 7-15 Visitantes el acceso a las conexiones de red Poltica: Todos los puntos de acceso Ethernet de acceso pblico debe estar en una red segmentada para evitar el acceso no autorizado a la red interna. Explicacin / Notas: La intencin de esta poltica es evitar cualquier forastero que se conecte a la red interna cuando en las instalaciones de la empresa. Conectores Ethernet instaladas en salas de conferencias, la cafetera, centros de formacin, u otras reas accesibles a los visitantes debern ser filtrada para evitar el acceso no autorizado por los visitantes a los sistemas informticos corporativos.

The administrador de red o de seguridad puede optar por configurar un virtual Los ngelesN en un interruptor, si est disponible, para controlar el acceso a estos lugares.

7-16 Dial-in mdems Poltica: Los mdems utilizados para el acceso telefnico en llamadas se pondr a responder no antes del cuarto anillo. Explicacin / Notas: Como se muestra en la pelcula Juegos de guerra, los hackers utilizan una tcnica conocida como la guerra de marcacin para localizar las lneas telefnicas que tienen mdems conectados a ellos. El proceso comienza con el atacante identificar los prefijos telefnicos utilizados en la zona donde se encuentra la compaa de blanco. Un programa de escaneado se utiliza para tratar cada nmero de telfono en los prefijos, para localizar los que la respuesta con un mdem. Para acelerar el proceso, estos programas estn configurados para esperar a que uno o dos anillos para una respuesta de mdem antes de pasar a tratar el siguiente nmero. Cuando una empresa se establece la funcin de respuesta automtica en lneas de mdem a por lo menos cuatro anillos, los programas de exploracin dejar de reconocer la lnea como una lnea de mdem. 7-17 Software antivirus Poltica: Cada sistema del ordenador deber tener versiones actuales de software antivirus instalado y activado. Explicacin / Notas: Para aquellas empresas que no empujan hacia abajo automticamente los archivos de software antivirus y el patrn (programas que reconocen patrones comunes de software antivirus para reconocer virus nuevos) a los escritorios de los usuarios or estaciones de trabajo, los usuarios individuales deben asumir la responsabilidad de instalar y mantener el software en sus propios sistemas, incluidos los sistemas informticos utilizados para acceder a la red corporativa de forma remota. Yof factible, este software se debe establecer para la actualizacin automtica de firmas de virus y troyanos nocturnas. Cuando las moscas patrn o la firma no se empujan hacia abajo a los escritorios de los usuarios, los usuarios tendrn la responsabilidad de actualizar los archivos de patrones por lo menos una vez por semana. Thesdisposiciones e aplican a todos los equipos de escritorio y porttiles utilizados para acceder a los sistemas informticos de la empresa, y se aplican si el equipo es propiedad de la empresa o de otra persona. 7-18 archivos adjuntos de correo electrnico entrantes (requisitos de alta seguridad) Poltica: En una organizacin con requerimientos de alta seguridad, el firewall de la empresa se puede configurar para filtrar todos los archivos adjuntos de correo electrnico. Explicacin / Notas: Esta poltica se aplica slo a las empresas con requerimientos de alta seguridad, o para aquellos que no tienen nada que recibir archivos adjuntos

por correo electrnico.

7-19 Autenticacin de software Poltica: Todas las nuevas revisiones de software o software o actualizaciones, ya sea en soporte fsico o los obtenidos a travs de Internet, debe ser verificada como autntica antes de la instalacin. Esta poltica es especialmente relevante para la tecnologa de la informacin departament al instalar cualquier software que requiera privilegios de sistema. Explicacin / Notas: Aplicaciones informticas se refiere la presente pliza incluye componentes del sistema operativo, software de aplicaciones, parches, correcciones o cualquier actualizacin de software. Muchos fabricantes de software han implementado mtodos por los cuales los clientes pueden comprobar la integridad de cualquier distribucin, por lo general mediante una firma digital. En cualquier caso en que la integridad no puede ser verificada, el fabricante debe ser consultado para comprobar que el software es autntico. Calcularr atacantes se han sabido para enviar el software a una vctima, envasados para aparecer como si el fabricante de software haba producido y enviado a la compaa. Es esencial que se verifique cualquier software que usted recibe como autntico, especialmente si no solicitado, antes de instalarlo en los sistemas de la empresa. Noe que un atacante sofisticado puede ser que descubra que su organizacin ha ordenado software de un fabricante. Con esa informacin en mano, el atacante puede cancelar el pedido con el fabricante real, y ordenar el software s mismo. El software se modifica para realizar alguna funcin maliciosa, y es enviado o entregado a su empresa, en su embalaje original, con retractilado si es necesario. Una vez que el producto est instalado, el atacante tiene el control. 7-20 contraseas predeterminadas Poltica: Todo el software del sistema operativo y los dispositivos de hardware que inicialmente havea contrasea establecida en un valor por defecto debe tener restablecer sus contraseas de acuerdo con la directiva de contraseas de la empresa. Explicacin / Notas: Existen varios sistemas operativos y dispositivos relacionados con la informtica se envan con contraseas por defecto - es decir, con la misma contrasea habilitada en cada unidad vendida. Si no cambia las contraseas por defecto es un grave error que sita a la compaa en riesgo. DEFAULT contraseas son muy conocidos y estn disponibles en el Internet sitios. En un ataque, la primera contrasea que un intruso intenta es la contrasea del fabricante s por defecto. 7-21 intentos de acceso no vlido bloqueo (menor a seguridad media)

Poltica: Sobre todo en una organizacin con bajo con los requisitos de seguridad media, cada vez que un nmero determinado de sucesivos intentos de conexin no vlido para una cuenta en particular se han hecho, la cuenta debe ser bloqueado por un perodo de tiempo. Explicacin / Notas: Todas las estaciones de trabajo y servidores de la empresa se debe establecer

to limitar el nmero de los sucesivos intentos fallidos para iniciar sesin Esta poltica es necesaria para prevenir contrasea adivinar por ensayo y error, los ataques de diccionario o de fuerza bruta intenta obtener acceso no autorizado. Thadministrador de correo del sistema debe configurar los ajustes de seguridad para bloquear una cuenta cada vez que el umbral deseado de sucesivos intentos fallidos se ha alcanzado. Se recomienda que una cuenta se bloquear durante al menos treinta minutos despus de siete intentos de conexin sucesivos. 7-22 intentos de acceso no vlidos cuenta deshabilitada (alta seguridad) Poltica: En una organizacin con requisitos de alta seguridad, cada vez que un nmero determinado de sucesivos intentos de conexin no vlido para una cuenta en particular se ha hecho, la cuenta debe ser desactivada hasta que se restablezca por el grupo responsable de la prestacin de apoyo cuenta. Explicacin / Notas: Todas las estaciones de trabajo y servidores de la empresa debe estar configurado para limitar el nmero de los sucesivos intentos fallidos para iniciar sesin Esta poltica es un control necesario para prevenir contrasea adivinar por ensayo y error, los ataques de diccionario o de fuerza bruta los intentos de obtener acceso no autorizado. Thadministrador de correo del sistema debe configurar los ajustes de seguridad para deshabilitar la cuenta despus de cinco intentos de acceso no vlidos. A raz de este ataque, el titular de la cuenta deber llamar a soporte tcnico o el grupo responsable de la cuenta de apoyo para activar la cuenta. Antes de reiniciar la cuenta, el departamento responsable must positivelyidentificacinfy e account titular, following e Verificacin y Procedimientos de Autorizacin. 7-23 El cambio peridico de informacin privilegiada Poltica: Todos los titulares de cuentas privilegiadas estarn obligados a cambiar sus contraseas al menos cada treinta das. Explicacin / Notas: Dependiendo de las limitaciones del sistema operativo, el administrador de sistemas debe hacer cumplir esta poltica por la configuracin de los parmetros de seguridad en el software del sistema. 7-24 El cambio peridico de contraseas de usuario Poltica: Todos los titulares de cuentas deben cambiar sus contraseas al menos cada sesenta das. Explicacin / Notas: Con los sistemas operativos que proporcionan esta funcin, el administrador de sistemas debe hacer cumplir esta poltica por la configuracin

de los parmetros de seguridad en el software.

7-25 Nueva contrasea de la cuenta creada Poltica: Las nuevas cuentas de equipo se debe establecer una contrasea inicial que es pre-caducado, lo que requiere el titular de la cuenta para seleccionar una nueva contrasea a su uso inicial. Explicacin / Notas: Este requisito asegura que slo el titular de la cuenta tendr conocimiento de su contrasea. 7-26 Boot-up contraseas Poltica: Todos los sistemas informticos deben estar configurados para requerir una contrasea de arranque. Explicacin / Notas: Los ordenadores deben configurar para que cuando el ordenador est encendido, se necesita una contrasea antes de que el sistema operativo se inicia. Esto evita que personas no autorizadas encender y usar la computadora de otra persona. Esta poltica se aplica a todos los equipos en las instalaciones de la empresa. 27.7 Requisitos de contrasea para cuentas privilegiadas Poltica: M1 cuentas privilegiadas deben tener una contrasea segura: La contrasea debe: Not ser una palabra en un diccionario en cualquier idioma Be mixta superior e inferior caso con al menos una letra, un smbolo, y numeral uno Be por lo menos 12 caracteres de longitud Not estar relacionada con la empresa o individuo de ninguna manera. Explicacin / Notas: En la mayora de los casos los intrusos informticos se centrar en las cuentas especficas que havprivilegios e sistema. OccasionallY, el atacante will explotacint otro vulnerabilidades para obtener el control total sobre el sistema. Thcorreos contraseas primero un intruso intentar son las palabras simples y comunes que se encuentran en el diccionario. Seleccin de contraseas mejora la seguridad reduciendo la probabilidad de que un atacante se encuentra la contrasea por ensayo y error, ataque de diccionario, o ataque de fuerza bruta. 7-28 puntos de acceso inalmbricos Poltica: Todos los usuarios que acceden a una red inalmbrica deben utilizar

VPN (Virtual Private Red) Para proteger la red corporativa. Explicacin / Notas: Las redes inalmbricas estn siendo atacados por una nueva tcnica llamada de conducir la guerra. Esta tcnica consiste simplemente conduciendo o caminando por ah con un ordenador porttil equipado con una tarjeta NIC 802.11b hasta que una red inalmbrica se ha detectado.

HombreY las empresas han desplegado redes inalmbricas sin incluso permitiendo WEP (protocolo inalmbrico equivalencia), que se utiliza para asegurar la conexin inalmbrica a travs del uso de la encriptacin. Pero incluso cuando se activa, la versin actual de WEP (mediados de 2002) es ineficaz: Se ha agrietado par en par, y varios sitios web estn dedicados a proporcionar los medios para la localizacin de los sistemas inalmbricos abiertos y grietas WEPhabilitado los puntos de acceso inalmbricos. En consecuencia, Es esencial aadir una capa de proteccin alrededor de la 802.11B PROTOCOLO DEl mediante el despliegue de la tecnologa de VPN. 7Actualizacin de antivirus -29 archivos de patrones Poltica: Cada sistema debe ser programado para actualizar automticamente antivirus / anti-troyanos archivos de patrones. Explicacin / Notas: Como mnimo, dichas actualizaciones se producen al menos semanalmente. En las empresas donde los empleados dejan sus computadoras encendido, 302 se recomienda que los archivos de patrones se actualizar cada noche. Antivirus de software es ineficaz si no se actualiza para detectar cualquier nuevo tipo de cdigo malicioso. Dado que la amenaza de virus, gusanos, troyanos e infecciones aumenta sustancialmente si los archivos de patrones no se actualizan, es esencial que los productos antivirus de cdigo malicioso o mantenerse al da. Operaciones con el ordenador 8 -1 Los programas de introduccin de comandos o ejecutar Poltica.: Funcionamiento del ordenador personal no debe introducir comandos o ejecutar programas a peticin de cualquier persona que no conocan. Si surge una situacin en que una persona no verificada parece tener razones para hacer tal solicitud, no debe ser cumplido sin obtener primero la aprobacin del administrador. Explicacin / Notas.: Operaciones de computacin empleados son blancos populares de los ingenieros sociales, desde sus posiciones por lo general requieren acceso a la cuenta privilegiada, y el atacante espera que sean menos experiencia y menos conocimiento sobre procedimientos de la compaa de otros trabajadores de TI. La intencin de esta poltica es agregar un control adecuado y el equilibrio para evitar que los ingenieros sociales de engaar a las operaciones de ordenador personal.

8-2 Los trabajadores con cuentas con privilegios Poltica: Los empleados con unas cuentas privilegiadas, no debe proporcionar asistencia o informacin a cualquier persona sin verificar. En particular, esto se refiere a no proporcionar ayuda de la computadora (como la formacin en el uso de la aplicacin), el acceso a cualquier base de datos de empresa, la descarga de software, ni revelar nombres de las personas que tienen capacidades de acceso remoto,

Explicacin / Notas: Los ingenieros sociales a menudo apuntan a los empleados con unas cuentas privilegiadas. La intencin de esta poltica es dirigir al personal de TI con cuentas con privilegios para manejar con xito las llamadas que pueden representar ataques de ingeniera social. 8 -3 sistemas de informacin interna Poltica: El ordenador personal de operaciones nunca deben revelar cualquier informacin relacionada con los sistemas informticos de la empresa o dispositivos relacionados positivamente sin verificar la identidad del solicitante. Explicacin / Notas: Calcularr entrometersers often contactort calcularr operacins de los empleados para obtener informacin valiosa como los procedimientos de acceso al sistema, los puntos exteriores de acceso remoto y conexin telefnica a los nmeros de telfono que tengan un valor sustancial para el atacante. Yon las empresas que tienen personal de apoyo tcnico o de una mesa de ayuda, las solicitudes to El personal de explotacin para obtener informacin acerca de los sistemas informticos o dispositivos relacionados debe considerarse inusual. Toda solicitud de informacin debe ser scrutinized marco de la poltica de clasificacin de datos corporativos para determinar si el solicitante est autorizado a tener tal informacin. Cuando la clase de informacin no se puede determinar, la informacin debe ser considerada a ser interna. Yon algunos casos, el soporte del proveedor tcnica externa tendr que comunicarse con personas que tienen acceso a los sistemas informticos de la empresa. Los vendedores deben tener contactos especficos en el departamento de TI a fin de que las personas pueden reconocerse mutuamente para fines de verificacin. 8 -4 La revelacin de contraseas Poltica: El ordenador personal de operaciones nunca debe revelar su contrasea, o unY otras contraseas que se les confan, sin la aprobacin previa de un gerente de tecnologa de la informacin. Explicacin / Notas: En trminos generales, sin revelar ninguna contrasea a otra est estrictamente prohibido. Esta poltica reconoce que el personal de operaciones puede ser necesario revelar una contrasea a un tercero cuando las situaciones extremas surgen. Esta excepcin a la poltica general que prohbe la divulgacin de cualquier contrasea que requiere la aprobacin especfica de un gerente de tecnologa de la informacin. Por precaucin adicional, esta

responsabilidad de divulgar la informacin de autenticacin debe limitarse a un pequeo grupo de individuos que han recibido una formacin especial sobre los procedimientos de verificacin. 8 -5 Los medios electrnicos Poltica: Todos los medios electrnicos que contienen informacin no designados para su publicacin debern ser asegurados en un lugar seguro.

Explicacin / Notas: La intencin de esta poltica es evitar el robo fsico de Sensitive informacin almacenada en medios electrnicos. 8 -6 medios de copia de seguridad Poltica: El personal de operaciones debe almacenar los medios de copia de seguridad en un lugar seguro seguro empresa u otra. Explicacin / Notas: Copia de seguridad de los medios de comunicacin es otro objetivo prioritario de los intrusos informticos. Un atacante no va a pasar el tiempo tratando de comprometer un sistema informtico o red cuando el eslabn ms dbil de la cadena de medios de copia de seguridad puede ser fsicamente desprotegidos. Una vez que los medios de copia de seguridad es robado, el atacante puede comprometer la confidencialidad de los datos almacenados en l, a menos que los datos estn cifrados. Por lo tanto, asegurar fsicamente los medios de copia de seguridad es un proceso esencial para proteger la confidencialidad de la informacin corporativa. POLTICAS PARA TODOS LOS EMPLEADOS Whether yon YoT or human resouRCE, e cuentaAdemsg departamento, or e personal de mantenimiento, hay algunas polticas de seguridad que todos los empleados de su empresa debe saber. Estas polticas se dividen en las categoras de General, uso de la computadora, uso de correo electrnico, las polticas para teletrabajadores, uso del telfono, uso de fax, uso de correo de voz y contraseas. General 9-1 Reporting llamadas sospechosas Poltica: Los empleados que sospechen que puedan ser objeto de una violacin de seguridad, incluidas las solicitudes sospechosas, a divulgar informacin o realizar los puntos de accin en un equipo, debe informar inmediatamente el evento al grupo de la compaa de notificacin de incidentes. Explicacin / Notas.: Cuando un ingeniero social no convence a su objetivo de cumplir con la demanda, el atacante siempre tratar de otra persona. Al informar de una llamada sospechosa o evento, un empleado toma el primer paso de alertar a la empresa que un ataque puede estar en marcha. Por lo tanto, los empleados son la primera lnea de defensa contra los ataques de ingeniera social. 9 -2 Documentacin de llamadas sospechosas Poltica: En el caso de una llamada telefnica sospechosa que parece ser un ataque

de ingeniera social, el empleado deber, en la medida de lo posible, sacar la persona que llama para conocer los detalles que puedan revelar lo que el atacante est tratando de lograr, y tome nota de estos informacin para los informes.

Explicacin / Notas: Cuando se inform al grupo de notificacin de incidentes, estos detalles pueden ayudar a identificar el objeto o patrn de un ataque. 9 -3 La divulgacin de los nmeros de marcado Poltica: El personal de la Empresa no deben revelar los nmeros de telfono del mdem de la compaa, pero siempre deben referirse esas solicitudes a la mesa de ayuda o al personal de soporte tcnico. Explicacin / Notas: Dial-up nmeros de telfono debe ser tratada como informacin interna, que se proporcionan a los empleados que tienen la necesidad de conocer dicha informacin para llevar a cabo sus responsabilidades de trabajo. Social ingenieros habitualmente empleados o departamentos de destino que es probable que sean menos protectores de la informacin solicitada. Por ejemplo, el atacante puede llamar a la cuentas payable departament masquerading uns un telefonoe company empleado que est tratando de resolver un problema de facturacin. El atacante le pregunta por cualquier conocido o fax nmeros de marcado para resolver el problema. El intruso a menudo se dirige a un empleado que no es probable que darse cuenta de los peligros de la liberacin de tal informacin, O que carece de formacin con respecto a la poltica de empresa y procedimientos de divulgacin. 9 -4 tarjetas de identificacin corporativa Poltica: Excepto cuando estn en su rea de oficina inmediata, todo el personal de la empresa, incluyendo direccin y el personal ejecutivo, deben llevar sus tarjetas de identificacin de empleados en alveces l. Explicacin / Notas: Todos los trabajadores, incluidos los ejecutivos de las empresas, deben estar capacitados y motivados a entender que el uso de una tarjeta de identificacin es obligatoria en todas partes dentro de la empresa distintas de las zonas pblicas y oficinas de la propia persona o rea de grupo de trabajo. 9-5 Desafiando violacines de identificacin de placas Poltica: Todos los empleados inmediatamente debe desafiar cualquier persona desconocida que no est usando una tarjeta de empleado o credencial de visitante. Explicacin / Notas: Si bien ninguna empresa quiere crear una cultura en la que con ojos de guila empleados buscan una manera de atrapar a los compaeros de trabajo para aventurarse en el pasillo without their insignias,nonetheless uny company concerned con

la proteccin de su informacin tiene que tomar en serio la amenaza de un ingeniero social vagar sus instalaciones sin respuesta. Motivacin para los empleados que demuestren diligente en ayudar a hacer cumplir la poltica de divisas, siempre puede ser reconocido en forma familiar, como el reconocimiento de la revista de la empresa o en los tablones de anuncios; unas horas libres con goce de sueldo, o una carta de recomendacin en sus expedientes de personal.

9 -6 Piggybacking (que pasa a travs de entradas seguras) Poltica: Los empleados que entran en un edificio no debe permitir que cualquier persona que no conozco personalmente a seguir detrs de ellos cuando han utilizado un medio seguro, como una llave de la tarjeta, para poder entrar (que lleva a cuestas). Explicacin / Notas."Los empleados deben entender que no es de mala educacin requiere personas desconocidas que se autentiquen antes de facilitar su integracin en una instalacin o acceder a un rea segura. Social ingenieros suelen utilizar una tcnica conocida como la que lleva a cuestas, en la que se encuentran a la espera de otra persona que est entrando en una instalacin o zona sensible, y lan simplemente entrar con ellos. La mayora de las personas se sienten incmodas otros desafos, asumiendo que ellos son probablemente los empleados legtimos. Otra tcnica que lleva a cuestas es llevar varias cajas para que un trabajador desprevenido se abre o se sostiene la puerta para ayudar. 9-7 Trituracin Los documentos sensibles Poltica: Los documentos sensibles para ser desechados deben ser cruzadas rallado; medios, incluyendo discos duros que he contenan informacin sensible o material must se destruirn de conformidad con los procedimientos establecidos por el grupo responsable de la seguridad de la informacin. Explicacin / Notas: Trituradoras estndar no destruir adecuadamente los documentos; transversal trituradoras convertir documentos en pulpa. La mejor prctica de seguridad consiste en suponer que los principales competidores de la organizacin ser rebuscar en los materiales desechados en busca de cualquier informacin que pueda ser beneficioso para ellos. Industrial espas e intrusos informticos regularmente obtener informacin sensible de los materiales arrojados a la basura. En algunos casos, las empresas competidoras se han sabido para intentar el soborno de los equipos de limpieza a entregar la basura de la empresa. En un ejemplo reciente, un empleado de Goldman Sachs descubri los elementos que fueron utilizados en un programa de informacin privilegiada de la basura. 9-8 Identificadores personales Poltica: Los identificadores personales tales como nmero de empleado, nmero de seguro social, nmero de licencia de conducir, fecha y lugar de nacimiento y el nombre de soltera de la madre nunca debe utilizarse como un medio para verificar

la identidad. Estos identificadores no estn secret y se puede conseguir por numerosos medios. Explicacin / Notas: La social inger Californian obten other peoplE pidentificadores ersonal por un precio. Y de hecho, contrariamente a la creencia popular, cualquier persona con una tarjeta de crdito y el acceso a Internet pueden obtener estos documentos de identificacin personal. Sin embargo, a pesar del evidente peligro, los bancos, las compaas de servicios pblicos y de tarjetas de crdito

companies suelen utilizar estos identificadores. Esta es una razn por la que el robo de identidad es el delito de ms rpido crecimiento de la dcada. 9 -9 Los organigramas Poltica."Los detalles que aparecen en el organigrama de la empresa no debe ser revelada a cualquier persona que no sea empleado de la compaa. Explicacin / Notas: Informacin de la estructura corporativa incluye organigramas, diagramas de jerarqua, listas departamentales de los empleados, la estructura de presentacin de informes, los nombres de los empleados, las posiciones de los empleados, nmeros de contacto, nmeros internos de los empleados, o informacin similar. En la primera fase de un ataque de ingeniera social, el objetivo es recoger informatioN sobre la estructura interna de la empresa. Esta informacin se utiliza entonces para crear una estrategia un plan de ataque. El atacante tambin puede analizar esta informacin para determinar qu empleados pueden tener acceso a los datos que l busca. Durante el ataque, el atacante hace que la informacin aparece como un empleado bien informado, por lo que es ms probable que va a engaar a su vctima en el cumplimiento. 10.9 La informacin privada sobre los empleados Poltica.: Las solicitudes de informacin de los empleados privados deben ser referidos a los recursos humanos. Explicacin / Notas: Una excepcin a esta poltica puede ser el nmero de telfono de un empleado que debe contactarse con respecto a un asunto relacionado con el trabajo o que est actuando en un rol de guardia. Sin embargo, siempre es preferible obtener el nmero de telfono del solicitante, y que el empleado le llamar de vuelta. Computer Use 10 -1 Comandos de entrar en un ordenador Poltica: El personal de la empresa no debe introducir comandos en una computadora o equipo de informtica a peticin de otra persona a menos que el solicitante haya sido verificado como un empleado del departamento de tecnologa de la informacin. Explicacin / Notas: Una tctica comn de los ingenieros sociales es solicitar que un empleado ingrese un comando que realiza un cambio en la configuracin del sistema, permite la unttacker a unl acceso la vctima 's calcularr without providinautenticacin g, o permite que el atacante recuperar la informacin que se puede utilizar para facilitar un ataque tcnica.

10 -2 convenciones de nombres internos Poltica: Los empleados no deben revelar los nombres internos de los sistemas informticos o bases de datos sin comprobacin previa de que el solicitante es empleado por el empresa.

Explicacin / Notas: Los ingenieros sociales a veces intentar obtener los nombres de los sistemas informticos de la compaa, una vez que se conocen los nombres, el atacante realiza una llamada a la empresa y se hace pasar por un empleado legtimo teniendo problemas para acceder o utilizar uno de los sistemas. Al conocer el nombre interno asignado al sistema en particular, el ingeniero social gana credibilidad. 10 -3 Solicitudes para ejecutar programas Poltica: El personal de la empresa nunca debe ejecutar todas las aplicaciones o programas informticos, a peticin de otra persona a menos que el solicitante haya sido verificado como un empleado del departamento de tecnologa de la informacin. Explicacin / Notas: Cualquier solicitud para ejecutar programas, aplicaciones o realizar cualquier actividad en un equipo debe ser rechazada a menos que el solicitante es identificado positivamente como empleado en el departamento de tecnologa de la informacin. Si la solicitud se refiere a revelar informacin confidencial de cualquier archivo o mensaje electrnico, en respuesta a la solicitud debe realizarse de acuerdo con los procedimientos para la divulgacin de informacin confidencial. Ver Poltica de divulgacin de informacin. Calcularr atacantes engaan a la gente para que ejecute programas que permiten al intruso tomar el control del sistema. Cuando un usuario incauto ejecuta un programa plantado por un atacante, el resultado puede dar el acceso de intrusos al sistema informtico de la vctima. Otros programas de registrar las actividades del usuario de la computadora y devolver esa informacin al atacante. Mientras que un ingeniero social puede engaar a una persona para que ejecute instrucciones de computadora que pueden hacer dao, un ataque de base tcnica trucos e computER operening syvstago yona ejecucin cominstrucciones informticas que pueden causar el mismo tipo de dao. 10 -4 La descarga o instalacin de software Poltica: El personal de la empresa nunca debe descargar ni instalar software a peticin de otra persona, a menos que el solicitante haya sido verificada por cuenta ajena ingenioh, el departamento de tecnologa de la informacin. Explicacin / Notas: Los empleados deben estar alerta para cualquier peticin inusual que implica cualquier tipo de transaccin con equipamientos informticos. Una tctica comn usada por los ingenieros sociales es engaar a las vctimas inocentes que descargue e instale un programa que ayuda a que el atacante o lograr su lr objetivo de comprometer la computadora o de la red. En algunos casos, el

programa de forma encubierta puede espiar al usuario o permitir al atacante tomar el control del sistema informtico a travs del uso de una aplicacin de control remoto encubierta. 10 -5 contraseas de texto sin formato y el correo electrnico Poltica: Passwords Shall not be sent through email unless cifrado. Explicacin / Notas: Mientras se est desanimado, esta poltica puede ser renunciada

bY sitios de comercio electrnico en ciertas circunstancias limitadas, tales como: El envo de contraseas a los clientes que hayan registrado en el sitio. Sending contraseas de los clientes que han perdido u olvidado sus contraseas. 10 -6 Seguridad relacionada con el software Poltica: El personal de la empresa nunca debe quitar o deshabilitar antivirus / Caballo de Troya, firewall u otro software relacionado con la seguridad sin la aprobacin previa del departamento de tecnologa de la informacin. Explicacin / Notas: Los usuarios de computadoras a veces desactivar la seguridad relacionada con el software sin provocacin, pensando que va a aumentar la velocidad de su ordenador. Un ingeniero social puede intentar engaar a un empleado en deshabilitar o quitar software que se necesita para proteger a la empresa contra las amenazas relacionadas con la seguridad. 10 -7 Instalacin de mdems Poltica.. No hay mdems se pueden conectar a cualquier ordenador hasta la aprobacin previa se ha obtenido del departamento de TI. Explicacin / Notas.: Es importante reconocer que los mdems en los escritorios o estaciones de trabajo en el lugar de trabajo representan una amenaza a la seguridad sustancial, especialmente si est conectado a la red corporativa. En consecuencia, esta poltica controla los procedimientos de conexin del mdem. Hackers usar una tcnica llamada guerra de marcado para identificar las lneas de mdem activos dentro de un rango de nmeros de telfono. La misma tcnica puede ser utilizada para localizar los nmeros de telfono conectados a los mdems dentro de la empresa. Un atacante fcilmente puede comprometer la red corporativa si l o ella identifica un sistema informtico conectado a un mdem con software vulnerable acceso remoto, que est configurado con una contrasea difcil de adivinar o no una contrasea. 10 -8 de mdem y configuracin de respuesta automtica Poltica: M1 escritorios o estaciones de trabajo de TI con los mdems aprobados tendrn el mdem de respuesta automtica funcin desactivada para evitar que alguien la marcacin en el sistema informtico.

Explicacin / Notas.- Siempre que sea posible, el departamento de tecnologa de la informacin debe desplegar un conjunto de mdems de marcacin de salida para los empleados que necesitan para marcar a los sistemas informticos externos a travs de mdem.

10 -9 herramientas de cracking Poltica: Los empleados no se descarga ni maneje herramientas de software diseadas para derrotar a los mecanismos de proteccin de software. Explicacin / Notas: La Internet tiene docenas de sitios dedicados al software diseado para descifrar los productos de software shareware y comerciales. El uso de estas herramientas no slo viola los derechos de autor de un software propietario, pero tambin es extremadamente peligroso. Dado que estos programas provienen de fuentes desconocidas, que pueden contener cdigo malicioso oculto que pueda causar dao a la computadora del usuario o planta un caballo de Troya que le da el autor del programa de acceso a la computadora del usuario. 10.010 empresa Publicar informacin en lnea Poltica: Los empleados no deben revelar ningn detalle sobre hardware o software empresa de cualquier grupo de noticias pblico, foro o tabln de anuncios, y no revelar informacin de contacto que no sea conforme a la poltica. Explicacin / Notas: Cualquier mensaje enviado a la Usenet, foros en lnea, Bulletitableros n o listas de correo pueden ser buscados para reunir informacin sobre una empresa o un individuo objetivo. Durante la fase de investigacin de un ataque de ingeniera social, el atacante puede buscar en Internet cualquier mensaje que contienen informacin til sobre la compaa, sus productos o sus personas. Sommensajes electrnicos contienen cositas muy tiles de informacin que el atacante puede utilizar para promover un ataque. Por ejemplo, un administrador de red puede enviar una pregunta sobre la configuracin de los filtros de firewall en una determinada marca y modelo de servidor de seguridad. Un atacante que descubre este mensaje aprender informacin valiosa sobre el tipo y la configuracin del servidor de seguridad companys THAt le permite evitar este rgimen para obtener acceso a la red de la empresa. This problema puede reducirse o evitarse mediante la aplicacin de una poltica que permite a los empleados para enviar a grupos de noticias de cuentas annimas que no identifican a la empresa de la que proceden. Naturalmente, la poltica debe exigir a los empleados a no incluir ninguna informacin de contacto que pueda identificar a la empresa. 10.011 Los disquetes y otros medios electrnicos Poltica: Si los medios utilizados para almacenar informacin de la

computadora, como disquetes discos o CD-ROM se han dejado en un rea de trabajo o en el escritorio de un empleado, y que los medios de comunicacin es de una fuente desconocida, no debe ser insertado en cualquier sistema informtico. Explicacin / Notas: Uno de los mtodos utilizados por los atacantes para instalar cdigo malicioso es colocar los programas en un disquete o CD-ROM y etiquetarlo con algo muy

tentando (por ejemplo, "Datos de nmina de personal - Confidencial"). A continuacin, soltar varios ejemplares en las zonas utilizadas por los empleados. Si una copia se inserta en un ordenador y abri los archivos en ella, el cdigo malicioso del atacante es ejecutado. Esto puede crear una puerta trasera, que se utiliza para comprometer el sistema, o puede causar otros daos en la red. 10.012 descartes medios extrables Poltica: Antes de deshacerse de cualquier medio electrnico que alguna vez contenan informacin confidencial de la empresa, incluso si esa informacin ha sido eliminado, la partida deber ser completamente desmagnetiza o daado sin posibilidad de recuperacin. Explicacin / Notas: Si bien desmenuzado documentos impresos es un lugar comn en estos das, los trabajadores de la empresa pueden pasar por alto la amenaza de descartar los medios electrnicos que contenan datos sensibles ar cualquier escarcha. Atacantes informticos intentar recuperar los datos almacenados en medios electrnicos desechados. Los trabajadores pueden suponer que con slo eliminar archivos, se aseguran de que esos archivos no se pueden recuperar. Esta presuncin es absolutamente incorrecta y puede causar que la informacin comercial confidencial caiga en las manos equivocadas. En consecuencia, todos los medios electrnicos que contienen informacin o contenido previamente no hayan sido designados como pblica debe ser limpiado o destruidos mediante los procedimientos aprobados por el grupo responsable. 10.013 Protegido por contrasea protectores de pantalla Poltica: Todos los usuarios de computadoras debe definir una contrasea de protector de pantalla y la inactividad lmite de tiempo para bloquear el equipo despus de un cierto perodo de inactividad. Explicacin / Notas: Todos los empleados son responsables de establecer una contrasea de protector de pantalla y ajustar el tiempo de espera de inactividad por no ms de diez minutos. La intencin de esta poltica es evitar que cualquier persona no autorizada usando la computadora de otra persona. Adems, esta poltica protege los sistemas informticos de la empresa de ser de fcil acceso para los extranjeros que han accedido al edificio. 10.014 La divulgacin o el uso compartido de la declaracin de contraseas Poltica: Antes de la creacin de una nueva cuenta de equipo, el empleado o contratista debe firmar una declaracin reconociendo que l o ella entiende que las contraseas no deben ser divulgados o compartidos con nadie, y que l o ella se compromete a cumplir con esta poltica. Explicacin / Notas: El acuerdo tambin debe incluir un aviso de que la violacin de dicho acuerdo puede dar lugar a una accin disciplinaria hasta e incluyendo el

despido. Email Uso 11 -1 archivos adjuntos de correo electrnico

Poltica: Los archivos adjuntos de correo electrnico no se debe abrir el archivo adjunto a menos que se esperaba en el curso de los negocios o ha sido enviado por una persona de confianza. Explicacin / Notas: Todos los archivos adjuntos de correo electrnico deben ser analizados detenidamente. Usted podr exigir un preaviso antes de ser dada por una persona de confianza que un archivo adjunto de correo electrnico est siendo enviado antes el destinatario abra ningn archivo adjunto. Esto reducir el riesgo de que los atacantes utilizan tcticas de ingeniera social para engaar a la gente para que abran archivos adjuntos. Enmtodo electrnico de poner en peligro un sistema informtico es engaar a un employee por un programa malicioso que se crea una vulnerabilidad, proporcionando al atacante obtener acceso al sistema. Al enviar un archivo adjunto de correo electrnico que tiene cdigo ejecutable o macros, el atacante puede ser capaz de tomar el control del ordenador del usuario. Un ingeniero social puede enviar un archivo adjunto de correo electrnico malicioso, a continuacin, llamar y tratar de persuadir al destinatario a abrir el archivo adjunto. 11 -2 Reenvo automtico a direcciones externas Poltica: Reenvo automtico de mensajes entrantes a una direccin de correo electrnico externa est prohibido. Explicacin / Notas: La intencin de esta poltica es evitar que un extrao recibir correo electrnico enviado a una direccin de correo electrnico interno. Empleados de vez en cuando configurar el reenvo de correo electrnico de su correo entrante a una direccin de correo electrnico fuera de la empresa cuando se va a estar fuera de la oficina. O un atacante puede ser capaz de engaar a un empleado en la creacin de una direccin de correo electrnico interno que reenva a una direccin fuera de la empresa. El atacante puede hacerse pasar por un insider legtimo por tener una direccin de correo electrnico interno de la empresa y hacer que la gente a enviar informacin confidencial a la direccin de correo electrnico interno. 11 -3 emails de envo Poltica: Toda solicitud formulada por una persona no verificada para transmitir un mensaje de correo electrnico a otra persona sin verificar requiere la verificacin de la del solicitante identida d.

11 -4 Verificacin de correo electrnico Poltica: Un mensaje de correo electrnico que parece ser de una persona de confianza que contiene una solicitud de informacin no designada como pblica, o para realizar una accin con uny computadora se relacionand Equipment, requiriendoes unn anunciocional form de autenticacin. Consulte los procedimientos de verificacin y autorizacin.

Explicacin / Notas: Un atacante puede falsificar un mensaje de correo electrnico y su cabecera, haciendo que parezca como si el mensaje se origin en otra direccin de correo electrnico. Un atacante tambin puede enviar un mensaje de correo electrnico de un sistema informtico comprometido, proporcionando autorizacin para divulgar informacin falsa o realizar una accin. Incluso al examinar el encabezado de un mensaje de correo electrnico que usted no puede detectar los mensajes de correo electrnico enviados desde un sistema informtico comprometido interna. Uso del telfono 12 -1 Participar en encuestas telefnicas Poltica: Los empleados no podrn participar en las encuestas, respondiendo a las preguntas de ninguna organizacin externa o persona. Dichas solicitudes debern remitirse a la publicacinc departamento de relaciones o de otra persona designada. Explicacin / Notas: Un mtodo utilizado por los ingenieros sociales para obtener informacin valiosa que puede ser utilizado en contra de la empresa es llamar a un empleado y dicen estar haciendo una encuesta. Es sorprendente la cantidad de personas que estn encantados de proporcionar informacin sobre la empresa y ellos mismos a los extranjeros cuando creen que estn tomando parte en la investigacin legtima. Entre las preguntas inocuas, el llamante introduzca una serie de preguntas que el atacante quiere saber. Con el tiempo, dicha informacin puede ser utilizada para comprometer la red corporativa. 12 -2 La divulgacin de nmeros de telfono internos Poltica: Si una persona no verificada pide a un empleado por su nmero de telfono del empleado puede tomar una determinacin razonable de si la divulgacin es necesariamentey para llevar a cabo negocios de la compaa. Explicacin / Notas: La intencin de esta poltica es exigir a los empleados a tomar una decisin sobre si considera la divulgacin de su telfono extension es necesario. Cuando se trate de personas que no han demostrado una verdadera necesidad de conocer la extensin, lo ms seguro es requerir que llamen a la principal company nmero de telfono y transferir. 12 -3 Las contraseas en mensajes de correo de voz Poltica:. Dejar mensajes que contienen informacin de la contrasea en el buzn de voz de cualquier persona est prohibido.

Explanacin / Notas: Un ingeniero social a menudo puede obtener acceso al buzn de voz de un empleado, ya que no est debidamente protegido con un cdigo de acceso fcil de adivinar. En un tipo de ataque, un intruso informtico sofisticado es capaz de crear su propio buzn de voz falsa y persuadir a otro empleado para dejar un mensaje de informacin de la retransmisin contrasea. Esta poltica derrotas tal artimaa. Fax Utilizar 13 -1 faxes reinstalacin

de

Poltica:No fax pueden ser recibidos y enviados a un tercero sin la verificacin de la identidad del solicitante. Explicacin / Notas: Los ladrones de informacin pueden engaar a los empleados de confianza en la informacin confidencial de fax a un fax ubicado en las instalaciones de la empresa. Antes de que el atacante da el nmero de fax a la vctima, el impostor telfono de un empleado desprevenido, como una secretaria o asistente administrativa, y pregunta si un documento puede ser enviado por fax a ellos para su posterior recogida. Posteriormente, despus de que el empleado desprevenido recibe el fax, los telfonos atacante del empleado y pide que se enve el fax a otro lugar, tal vez alegando que se necesita para una reunin urgente. Puesto que la persona pide que el rel de fax generalmente no tiene ningn conocimiento del valor de la informacin, l o ella cumple con la peticin. 13 -2 Verificacin de las autorizaciones de fax Poltica: Antes de llevar a cabo alguna instruccin recibida por fax, el remitente debe ser verificada como empleado u otra persona de confianza. Hacer una llamada telefnica to el remitente para verificar que la peticin es generalmente suficiente. Explicacin / Notas: Los empleados deben actuar con cautela cuando las peticiones inusuales son enviados por fax, tales como una solicitud para introducir comandos en una computadora o divulga la informacin. Los datos en la cabecera de un documento de fax puede ser falseado por cambiar los parmetros de la mquina de fax emisora. Por lo tanto el cabezal en un fax no debe ser aceptada como un medio para establecer la identidad o autorizacin. 13 -3 Envo de informacin sensible por fax Poltica: Antes de enviar informacin sensible por fax a una mquina que se encuentra en una zona accesible a otros miembros del personal, el emisor enviar una portada. El receptor, al recibir la pgina, transmite una pgina de respuesta, lo que demuestra THAt l / ella est presente fsicamente en la mquina de fax. El remitente transmite entonces el fax. Explicacin / Notas: Este proceso asegura apretn de manos al remitente que el destinatario est fsicamente presente en el extremo receptor. Adems, este proceso verifica que el nmero de telfono de fax receptor no ha sido remitida a otro lugar. 13 -4 Envo de faxes contraseas prohibidas Poltica: Las contraseas no deben ser enviados por fax en cualquier

circunstancia. Explicacin / Notas: Envo de la informacin de autenticacin por fax no es seguro. La mayora de las mquinas de fax son accesibles a un nmero de empleados. Adems, dependen de la red telefnica pblica conmutada, que pueden ser manipulados por llamada

forwarding el nmero de telfono de la mquina de fax de forma que el fax sea enviado al atacante en otro nmero. Uso de correo de voz 14 -1 contraseas de correo de voz Poltica: Contraseas de correo de voz no debe ser revelada a nadie por ningn motivo. Adems, las contraseas de correo de voz se debe cambiar cada noventa das o antes. Explicacin / Notas: informacin confidencial de la empresa se puede dejar mensajes de correo de voz. Para proteger esta informacin, los empleados deben cambiar sus contraseas de correo de voz con frecuencia, y no revelarlos. Adems, los usuarios del correo de voz hombrod no utilizar las contraseas de voz igual o similar correo en un plazo de doce meses. 14 -2 contraseas en varios sistemas Poltica.. Los usuarios de correo de voz no debe utilizar la misma contrasea en cualquier otro sistema de telfono o una computadora, ya sea interno o externo a la empresa. Explicacin / Notes. "Utilizacin de una contrasea similar o idntico para varios dispositivos, xitoh como correo de voz y un ordenador, hace que sea ms fcil para los ingenieros sociales de adivinar todas las contraseas de un usuario despus de la identificacin nica. 14 -3 Configuracin de contraseas de correo de voz Poltica: Los usuarios de correo de voz y los administradores deben crear contraseas de correo de voz que son difciles de adivinar. No deben estar relacionados de alguna manera con la persona usinG, o la empresa, y no debe contener un patrn predecible que pueda ser adivinado. Explicacin / Notas: Las contraseas no deben contener dgitos secuenciales o repetitivos (por ejemplo, 1111, 1234, 1010), no debe ser el mismo que o basado en el nmero de extensin del telfono, y no debe estar relacionada con la direccin, cdigo postal, fecha de nacimiento, la, placa phonnmero e, peso, coeficiente intelectual, o cualquier otra informacin personal predecible. 14 -4 mensajes de correo marcados como "viejo" Poltica: Cuando los mensajes de voz previamente desconocidas de correo no se marcan como mensajes nuevos, el administrador de correo de voz debe ser notificado de una violacin de seguridad posible y la contrasea del correo de voz de inmediato debe ser cambiado. Explicacin / Notas: Ingenieros sociales pueden tener acceso a un buzn de voz en una variedad de maneras. Un empleado que tenga conocimiento de que los

mensajes que nunca han escuchado no se anuncian como nuevos mensajes deben asumir que otra persona ha obtenido acceso no autorizado al buzn de voz y escuchar los mensajes mismos.

14 -5 externos saludo de correo de voz Poltica: Los trabajadores de la compaa limitar su divulgacin de informacin sobre su saludo saliente externa en su buzn de voz. Por lo general la informacin relativa a la rutina diaria de un trabajador o itinerario de viaje no deben ser revelados. Explicacin / Notas: Un saludo externo (interpretado para llamadas externas) no debe incluir el apellido, la extensin, o la razn de la ausencia (como los viajes, el calendario de vacaciones o itinerario diario). Un atacante puede utilizar esta informacin para desarrollar una historia plausible en su intento de engaar a otro personal. 14 -6 patrones de voz electrnico Contrasea Poltica: Los usuarios de correo de voz no seleccionar una contrasea donde una parte de la contrasea permanece fija, mientras que otra parte los cambios en un patrn predecible. Explicacin / Notas: Por ejemplo, no use una contrasea como 743501, 743502, 743503, Y as sucesivamente, donde los dos ltimos dgitos corresponden al mes actual. 14 -7 La informacin confidencial o privada Poltica: La informacin confidencial o privada no podr ser divulgada en un mensaje de correo de voz. Explicacin / Notas: El sistema telefnico corporativo suele ser ms vulnerables que los sistemas informticos corporativos. Las contraseas son por lo general una cadena de dgitos, lo que limita considerablemente el nmero de posibilidades para un atacante adivinar. Adems, en algunas organizaciones, las contraseas de correo de voz puede ser compartida con los secretarios u otro personal administrativo que tienen la responsabilidad de tomar mensajes para sus directivos. A la luz de lo anterior, no hay informacin sensible nunca se debe dejar en el buzn de voz de cualquier persona. Contrase as 15 -1 Telfono seguridad Poltica: Las contraseas no ser revelada a travs del telfono en cualquier momento. Explicacin / Notas: Los atacantes pueden encontrar maneras de escuchar en las conversaciones telefnicas, ya sea en persona oa travs de un dispositivo

tecnolgico. 15 -2 contraseas informticas Revelando Poltica: Bajo ninguna circunstancia, cualquier usuario de la computadora revelar su contrasea a nadie para ningn propsito sin el consentimiento previo y por escrito del director de tecnologa de la informacin responsable. Explicacin / Notas: El objetivo de muchos ataques de ingeniera social consiste en engaar unsuspecting personas into revolucinealing their account names y

passwords. Esta poltica es un paso crucial en la reduccin del riesgo de exitosos ataques de ingeniera social en contra de la empresa. En consecuencia, esta poltica debe ser seguido religiosamente toda la compaa. 15 -3 contraseas de Internet Poltica: El personal no debe usar una contrasea que sea igual o similar al que se utiliza en cualquier sistema corporativo en un sitio de Internet. Explicacin / Notas: Los operadores de sitios Web malintencionados puede crear un sitio que pretende ofrecer algo de valor o de la posibilidad de ganar un premio. Para inscribirse, un visitante del sitio debe introducir una direccin de correo electrnico, nombre de usuario y contrasea. Dado que muchas personas utilizan la misma o similar informacin de inicio de sesin varias veces, el operador del sitio Web malicioso intentar usar la contrasea elegida y variaciones de la misma para atacar el trabajo o el objetivo del sistema de casa-ordenador. El ordenador del visitante trabajo a veces puede ser identificado por la direccin de correo electrnico introducida durante el proceso de registro. 15 -4 Contraseas en varios sistemas Poltica: El personal de la compaa nunca deben utilizar la misma contrasea o una similar en ms de un sistema. Esto se refiere a la poltica de los distintos tipos de dispositivos (ordenador o correo de voz); ubicaciones diferentes dispositivos (casa o trabajo), y varios tipos de sistemas, aparatos (router o firewall), o programas de base de datos (o aplicacin). Explicacin / Notas: Los atacantes se basan en la naturaleza humana para irrumpir en los sistemas informticos y redes. Ellos saben que, para evitar la molestia de hacer el seguimiento de varias contraseas, muchas personas utilizan el mismo o contrasea similar en todos los sistemas que acceden. Como tal, el intruso intentar aprender la contrasea de un sistema en el que el objetivo tiene una cuenta. Una vez obtenidos, es muy probable que esta contrasea o una variacin del mismo permitir el acceso a otros sistemas y dispositivos utilizados por el empleado. 15 -5 contraseas Reutilizacin Poltica: No usuario de la computadora deber utilizar la misma o una contrasea similar dentro del mismo perodo de dieciocho meses. Explicacin / Nota: Si un atacante hace descubrir la contrasea de un usuario, cambio frecuente de la contrasea minimiza el dao que se puede hacer. Hacer la contrasea nueva y nica de las contraseas anteriores hace que sea ms difcil para el atacante de adivinar.

15 -6 patrones Contrasea Poltica."Los empleados no deben seleccionar una contrasea de la que una parte se mantiene fijo, y otros cambios de elementos en un patrn predecible.

Explicacin / Notas: Por ejemplo, no use una contrasea como Kevin01, Kevin02, Kevin03, y as sucesivamente, donde los dos ltimos dgitos corresponden al mes en curso. 15 -7 Seleccin de contraseas Poltica: Los usuarios de computadoras deben crear o elegir una contrasea que se adhiere a los siguientes requisitos. La contrasea debe: Be por lo menos ocho caracteres de longitud para las cuentas de usuario estndar y por lo menos doce caracteres de longitud para las cuentas privilegiadas. Contumazn al menos un nmero, al menos un smbolo (por ejemplo, $, -, I, y), al menos una letra minscula, y al menos una letra mayscula (en la medida en que tales variables son soportados por el sistema operativo) . Not ser cualquiera de los siguientes elementos: palabras de un cualquier idioma, cualquier palabra que se relaciona con la empleado, hobbies, vehculo, trabajo, matrcula, nmero de direccin, telfono, nombre de su mascota, un cumpleaos, contengan esas palabras. diccionario en familia de un seguro social, o frases que

Not ser una variacin de una contrasea utilizada anteriormente, con uno de los elementos restantes de la misma y otro elemento cambiante, tal como kevin, kevin 1, kevin2; o kevinjan, kevinfeb. Explicacin / Notas: Los parmetros mencionados anteriormente producir una contrasea que sea difcil para el ingeniero social que adivinar. Otra opcin es el mtodo de consonante-vocal, que proporciona una forma fcil de recordar y contrasea pronunciable. Para construir este tipo de consonantes sustitutos de contraseas para cada letra C y vocales de la letra V, utilizando la mscara de la "CVCVCVCV". Ejemplos de ello seran MIXOCASO; CUSOJENA. 15 -8 contraseas anotando Poltica: Los empleados deben escribir contraseas slo cuando lo guarde en un lugar seguro lejos de la computadora o la contrasea de otro dispositivo protegido. Explicacin / Notas: Empleados are discouraged from vsperar writingdown contraseas. Bajo ciertas condiciones, sin embargo, puede ser necesario; for ejemplo, para un empleado que tiene varias cuentas en diferentes sistemas informticos. Las contraseas escritas deben ser asegurados en un lugar seguro away desde el ordenador. En ningn caso, la contrasea se almacenar under e teclado o adjunto a la pantalla del ordenador.

15 -9 las contraseas en texto plano archivos de computadora

Poltica: Contraseas de texto no se pueden guardar en cualquier archivo de computadora o almacenadas como texto llamado pulsando una tecla de funcin. Cuando sea necesario, las contraseas se pueden guardar utilizando una herramienta de cifrado aprobado por el departamento de TI para evitar cualquier acceso no autorizado. Explicacin / Notas: Las contraseas pueden ser fcilmente recuperados por un atacante si se almacena en forma no cifrada en los archivos de datos informticos, archivos por lotes, teclas de funcin de terminal, los archivos de inicio de sesin, macros o secuencias de comandos, programas o archivos de datos que contienen las contraseas para los sitios FTP. POLTICAS para teletrabajadores Los teletrabajadores estn fuera del firewall de la empresa, y por lo tanto ms vulnerable tataque o. Estas polticas le ayudar a prevenir los ingenieros sociales del uso de sus empleados teletrabajador como una puerta de acceso a sus datos. 16 -1 Los clientes ligeros Poltica: Todo el personal de la empresa que hayan sido autorizados para conectarse a travs de acceso remoto deber utilizar un cliente ligero para conectarse a la red corporativa. Explicacin / Notas: Cuando un atacante analiza una estrategia de ataque, l o ella tratar de identificar a los usuarios que acceden a la red corporativa desde ubicaciones externas. Como tal, los teletrabajadores son los principales objetivos. Sus computadoras son menos propensos a tener estrictos controles de seguridad, y puede ser un eslabn dbil que puede poner en peligro la red corporativa. Unordenador y que se conecta a una red de confianza puede ser una trampa explosiva con capturadores de teclado, o su conexin autenticado puede ser secuestrado. Una estrategia de cliente ligero puede ser usado para evitar problemas. Un cliente ligero es similar a una estacin de trabajo sin disco o un terminal tonto, el equipo remoto no tiene capacidad de almacenamiento, sino que el sistema operativo, las aplicaciones y los datos residan en la red corporativa. Acceso a la red a travs de un cliente ligero reduce sustancialmente el riesgo que representan los sistemas sin parches, sistemas operativos obsoletos, und malicious cdigo. En consecuencia, mESTIN e security de teletrabajadores es eficaz y hace ms fcil por la centralizacin de los controles de seguridad. En lugar de confiar en el teletrabajador inexperto para gestionar adecuadamente las cuestiones relacionadas con la seguridad, estas responsabilidades estn mejor capacitados izquierda con sistema, red o administradores de seguridad. 16 -2 de software de seguridad para los sistemas informticos de teletrabajador

Poltica: Cualquier sistema informtico externo que se utiliza para conectarse a la red corporativa debe tener un software antivirus, software anti-Troyano, y un firewall personal (hardware o software). Archivos de antivirus y anti-Trojanpatrn debe ser actualizado al menos una vez por semana.

Explicacin / Notas: Por lo general, los teletrabajadores no es experto en temas relacionados con la seguridad, y puede darse cuenta "o negligentemente dejar su sistema informtico y de la red corporativa abierta al ataque teletrabajadores por lo tanto, representan un grave riesgo de seguridad si no estn debidamente capacitados Adems de instalar antivirus.. y anti-Trojan Horse software para proteger contra cdigo malicioso, un firewall es necesario bloquear a cualquier usuario hostiles de obtener el acceso a los servicios habilitados en el sistema de teletrabajador. Thriesgo e de no desplegar las tecnologas de seguridad mnimas para evitar la propagacin de cdigo malicioso no puede ser subestimado, como un ataque a Microsoft demuestra. Un sistema informtico que pertenece a un teletrabajador Microsoft, que se utiliza para conectarse a la red corporativa de Microsoft, se infect con un programa caballo de Troya. El intruso o intrusos fueron capaces de utilizar conexin de confianza del teletrabajador a la red de desarrollo de Microsoft para robar el cdigo fuente de desarrollo. PolicieS DE RECURSOS HUMANOS Zumbidoun departamento de recursos tienen una carga especial para proteger a los empleados contra los que tratan de descubrir informacin personal a travs de su lugar de trabajo. Profesionales de recursos humanos tambin tienen la responsabilidad de proteger a su empresa de las acciones de los ex empleados descontentos. 17 -1 Salida empleados Poltica: Whenevera persona empleada por la empresa deja o es despedido, Recursos Humanos inmediatamente debe hacer lo siguiente: DESMONTAJEe inclusin de la persona del empleado en lnea / directorio telefnico y desactivar o enviar su correo de voz; NotifY el personal en entradas de edificios o grupos de presin de la empresa, y Anunciod nombre del empleado de la lista de salida de los empleados, que ser enviado por correo electrnico a todo el personal de no menos de una vez a la semana. Explicacin / Notas: Los empleados que estn apostados en las entradas del edificio debe ser notificada para evitar que un ex empleado de volver a entrar en el local. Adems, la notificacin a otro personal puede impedir que el ex empleado con xito desde hace pasar por un empleado activo y engaando al personal a tomar alguna accin perjudicial para la empresa. En algunas circunstancias, puede ser necesario solicitar a cada usuario dentro del departamento del empleado anterior para cambiar sus contraseas. (Cuando yo era

terminard de GTE nicamente debido a mi reputacin como un hacker, la compaa requera que todos los empleados de toda la empresa a cambiar su contrasea.) 17 -2 IT departamento notificacin Poltica: Cada vez que una persona empleada por la empresa deja o es despedido, Human Recursos hombrod immediately notify e information tecnologa departamento para desactivar las cuentas de la ex empleada de computacin, incluyendo las cuentas utilizadas para el acceso a bases de datos, acceso telefnico, o el acceso a Internet desde lugares remotos. Explicacin / Notas:Ess esencial para deshabilitar el acceso a cualquier trabajador antiguo de todos los sistemas informticos, dispositivos de red, bases de datos, o cualquier otro equipo relacionados con dispositivos inmediatamente despus de la terminacin. De lo contrario, la empresa puede dejar abierta la puerta de par para un empleado descontento para acceder a los sistemas informticos de la empresa y causar daos significativos. 17 -3 La informacin confidencial utilizada en el proceso de contratacin Poltica: Los anuncios publicitarios y otras formas de solicitud pblica de candidatos para cubrir vacantes de empleo deberan, en la medida de lo posible, evitar la identificacin de hardware y software utilizado por la empresa. Explicacin / Notas: Gerentes y personal de recursos humanos slo debe revelar informacin relacionada con el hardware y software de la empresa que es razonablemente necesaria para obtener hojas de vida de los candidatos calificados. Calcularr intrusos leer peridicos y comunicados de prensa de la compaa, y visitar Internet sitios, to aletad job anuncios. A menudoen, companiesdisclose ao mucho informacin sobre los tipos de hardware y software que se utiliza para atraer a los posibles empleados. Una vez que el intruso tenga conocimiento de los sistemas de informacin del objetivo, que se arma para la siguiente fase del ataque. Por ejemplo, al saber que una determinada empresa utiliza el sistema operativo VMS, el atacante puede realizar llamadas de pretexto para determinar la versin de lanzamiento, a continuacin, enviar un parche de emergencia de seguridad falso se hacen aparecer como si viniera desde el desarrollador de software. Una vez instalado el parche, el atacante est adentro 17 -4 Empleado de informacin personal PolticaEl departamento de recursos humanos nunca deben divulgar informacin

personal de ningn empleado actual o anterior, contratista, consultor, trabajadores temporales o en prcticas, salvo previa y expresa autorizacin por escrito del empleado o gerente de recursos humanos.

Explicacin / Notas: Head-hunters, investigadores privados, y la identidad de los ladrones de informacin del objetivo empleado privado, tales como el nmero de empleados, nmeros de seguro social, fechas de nacimiento, historial de sueldo, datos financieros, incluyendo informacin de depsito directo, y relacionada con la salud informacin sobre beneficios. El ingeniero social puede obtener esta informacin con el fin de hacerse pasar por el individuo. Adems, la divulgacin de los nombres de los nuevos empleados puede ser muy valiosa para los ladrones de informacin. Nuevos empleados puedan cumplir con cualquier solicitud por parte de personas con antigedad o en una posicin de autoridad, o cualquier persona que dice ser de la seguridad corporativa. 17 -5 Verificacin de antecedentes Poltica: Una verificacin de antecedentes se requiere para todos los nuevos empleados, contratistas, consultores, trabajadores temporales o en prcticas previas a una oferta de empleo o el establecimiento de una relacin contractual. Explicacin / Notas: Porque de cost estafasiderations,la REQUIrement para bcontroles NTECEDENTES puede limitarse a posiciones concretas de confianza. Tenga en cuenta, sin embargo, que cualquier persona que tenga acceso fsico a las oficinas corporativas pueden ser una amenaza potencial. Por ejemplo, los equipos de limpieza tienen acceso a las oficinas de personal, que les da acceso a todos los sistemas informticos situados all. Un atacante con acceso fsico a un equipo se puede instalar un capturador de teclado hardware en menos de un minuto para capturar contraseas. Calcularr intrusos a veces hacer el esfuerzo de conseguir un trabajo como un medio para acceder a los sistemas informticos de la empresa objetivo y redes. Un atacante puede obtener el nombre del contratista de limpieza de una empresa mediante una llamada al empleado responsable de la empresa objetivo, que dice ser de una empresa de limpieza en busca de su negocio, a continuacin, obtener el nombre de la empresa que presta actualmente servicios. PolicieS PARA LA SEGURIDAD FSICA Aunque los ingenieros sociales intentan evitar aparecer en persona en un lugar de trabajo que quiere apuntar, hay momentos en los que se violen su espacio. Estas polticas le ayudar a mantener sus instalaciones fsicas a salvo de la amenaza. 18 -1 Identificacin de los empleados no Poltica: La gente de entrega y otros empleados no que tienen que entrar en los locales de la empresa sobre una base regular, tienen que tener una tarjeta de identificacin especial u otra forma de identificacin de acuerdo con la poltica establecida por la seguridad corporativa.

Explicacin / Notas: Los empleados que necesitan para no entrar en el edificio con regularidad (por ejemplo, para hacer entregas de alimentos o bebidas en la cafetera, o reparar

copying mquinas o telfonos instalar) debe emitir un tipo especial de empresa insignia de identificacin para este fin. Otros que necesitan para entrar ocasionalmente o en forma de una sola vez deben ser tratados como visitantes y deben ser escoltados en todo momento. 18 -2 visitantes identificacin Poltica: Todos los visitantes deben presentar una licencia de conducir vlida o una identificacin con foto para ser admitido en el recinto. Explicacin / Notas: El personal de seguridad o recepcionista debe hacer una fotocopia del documento de identificacin antes de emitir un pase de visitante. La copia debe mantenerse con el registro del visitante. Alternativamente, la informacin de identificacin puede ser registrada en el registro del visitante por la recepcionista o guardia, los visitantes no se debe permitir que escriba su informacin de identificacin propio. Social ingenieros que tratan de ganar la entrada a un edificio siempre escribir false informacin en el registro. A pesar de que no es difcil obtener una identificacin falsa y aprender el nombre de un empleado que l o ella puede afirmar que est visitando, lo que requiere que empleado e responsables deben registrar la entrada agrega un nivel de seguridad al proceso. 18 -3 acompaar a los visitantes Poltica: Los visitantes deben ser escoltados o en compaa de un empleado en todo momento. Explicacin / Notas.: Un truco popular de ingenieros sociales es organizar to visitar a un empleado de la empresa (por ejemplo, visitar a un ingeniero de producto, con el pretexto de ser el empleado de un socio estratgico). Despus de haber acompaado a la reunin inicial, el ingeniero social asegura a su anfitrin que pueda encontrar su propio camino para volver al vestbulo. Por este medio se obtiene la libertad para vagar por el edificio y, posiblemente, tener acceso a informacin sensible. 18 -4 placas temporales Poltica: Los empleados de la compaa de-otra ubicacin que no tienen sus credenciales de empleados con ellos deben presentar una licencia de conducir vlida o una identificacin con foto y se les expedir un pase de visitante temporal. Explicacin / Notas: Los atacantes a menudo se hacen pasar por empleados de una oficina o de sucursal de una empresa para ganar la entrada a una empresa.

18 -5 de evacuacin de emergencia Poltica: En cualquier situacin de emergencia o simulacro, personal de seguridad debe asegurar que todo el mundo ha evacuado a los locales.

Explicacin / Notas: El personal de seguridad debe comprobar que no existen rezagados que puedan haber quedado en los baos o reas de oficina. Conforme a lo autorizado por el departamento de bomberos u otra autoridad a cargo de la escena, la fuerza de seguridad tiene que estar alerta para cualquier persona salir del edificio poco despus de la evacuacin. Industrial espas o intrusos informticos avanzados puede causar una distraccin para ganar acceso a un edificio o un lugar seguro. Una desviacin es utilizado para liberar un producto qumico inocuo conocido como butil mercaptano en el aire. El efecto es crear la impresin de que hay una fuga de gas natural. Una vez que el personal de iniciar los procedimientos de evacuacin, el atacante utiliza esta audaz desviacin de robar cualquier informacin o para acceder a los sistemas informticos de la empresa. Otra tctica utilizada por los ladrones de informacin implica que queda detrs, a veces en un bao o en un armario, en el momento de un simulacro de evacuacin programada, o despus de salir de una bengala de humo u otro dispositivo para causar una evacuacin de emergencia. 18 -6 Visitantes en sala de correo Poltica: No se debe permitir visitantes en la sala de correo sin la supervisin de un trabajador de la empresa. Explicacin / Notas: La intencin de esta poltica es evitar que un usuario ajeno a intercambiar, enviar o robo electrnico intracompaa. 18 -7 nmeros de matrcula de vehculos Poltica: Si la empresa cuenta con un aparcamiento vigilado, personal de seguridad deber registrar vehculos matrculas de todos los vehculos de entrar en el rea. 18 -8 contenedores de basura Poltica: Contenedores de basura deben permanecer en las instalaciones de la empresa en todo momento y debe ser inaccesible para el pblico. Explicacin / Notas: Los atacantes informticos y espas industriales pueden obtener informacin valiosa de los contenedores de basura de la empresa. Los tribunales han sostenido que la basura se considera propiedad legalmente abandonada, por lo que el acto de Dumpster diving es perfectamente legal, siempre y cuando los contenedores de basura estn en propiedad pblica. Por esta razn, es importante que los recipientes de basura se sita en propiedad de la empresa, donde la compaa tiene el derecho legal para proteger los contenedores y su contenido. PolicieS para recepcionistas

Recepcionistas son a menudo en la primera lnea a la hora de tratar con problemas sociales ingenieros, sin embargo, rara vez reciben formacin suficiente seguridad para reconocer y evitar que el invasor. Instituir estas polticas para ayudar a su recepcionista proteger mejor su company y sus datos.

19 -Un directorio interno Poltica: Divulgacin de informacin en el directorio interno de la compaa se debe limitar a las personas empleadas por la empresa. Explicacin / Notas: Todos los ttulos de los empleados, los nombres, nmeros de telfono y direcciones contenidas within e company directory hombrod be considerardIntinformacin ernal, y slo debe ser revelada de acuerdo con la poltica relacionada con la clasificacin de los datos y la informacin interna. Adems, Cualquier persona que llama debe tener el nombre o la extensin de la persona que estn tratando de ponerse en contacto. Aunque la recepcionista puede poner una llamada a travs de un individuo cuando una persona que llama no conoce la extensin, contando e callere Nmero de extensin debe ser prohibida. (Para esas personas curiosas que siguen por ejemplo, puede experimentar este procedimiento por calling uny U.S. gubernament agencia y pedir al operador que facilite una extensin.) 19 -2 nmeros telefnicos de los departamentos / grupos especficos Poltica: Los empleados no debern proporcionar los nmeros telefnicos directos para el servicio de asistencia empresa, telecomunicaciones departamento de operaciones de la computadora, or sistema de personal de administrador sin verificar que el solicitante tiene una necesidad legtima de comunicarse con estos grupos. La recepcionista, al transferir una llamada a estos grupos, debe anunciar el nombre de la persona que llama. Explicacin / Notas: Aunque algunas organizaciones pueden encontrar esta poltica demasiado restrictivo, Esta norma hace que sea ms difcil para un ingeniero social para hacerse pasar por un empleado engaando a los dems empleados en la transferencia de la llamada desde su extensin (que en algunos sistemas de telfono hace la llamada a parecen originarse desde dentro de la empresa), o demostrar conocimiento de Estas extensiones de la vctima con el fin de crear un sentido de autenticidad. 19 -3 transmisin de informacin Poltica: Operadores telefnicos y los recepcionistas no deben tomar mensajes y la informacin del rel en nombre de cualquiera de las partes, personalmente, no sabe que es un empleado activo. Explicacin / Notas: Los ingenieros sociales son expertos en engaar a los empleados en forma inadvertida que d fe de su identidad. Un truco de ingeniera social para obtener el nmero de telfono de la recepcionista y, con un pretexto,

pida a la recepcionista para tomar todos los mensajes que pueden venir por l. Luego, durante una llamada a la vctima, el atacante se hace pasar por un empleado, le pide informacin sensible o para realizar una tarea, y da el nmero cuadro principal como un nmero de devolucin de llamada. El atacante luego vuelve a llamar a la recepcionista y se da ningn mensaje dejado para l por la vctima inocente.

19 -4 Artculos faltan para pickup Poltica: Antes de lanzar cualquier objeto a un mensajero o persona sin verificar otra parte, la guardia recepcionista o de seguridad debe obtener una identificacin con foto y escriba la identificacininformation into e pickup he aqug uns exigird by aprobado proprocedi mientos. Explicacin / Notas."Una de las tcticas de ingeniera social para engaar a un empleado en la liberacin de materiales sensibles a otro empleado autorizado por supuestamente dejar a esos materiales a la recepcionista o el vestbulo para su recogida. Naturalmente, la recepcionista o guardia de seguridad asume que el paquete est autorizado para su liberacin. Lo social ingeniero bien demostrar a s mismo oR tiene un servicio de mensajera recoger el paquete. PolicieS PARA EL GRUPO DE NOTIFICACIN DE INCIDENTES Cada empresa debe establecer un grupo centralizado que debe ser notificado cuando cualquier forma de ataque a la seguridad de la empresa se identifica. A continuacin se presentan algunas pautas para la creacin y estructuracin de las actividades de este grupo. 20 -Un grupo de reporte de incidentes Poltica: Un individuo o grupo debe ser designado y los empleados deben ser instruidos para reportar incidentes de seguridad para ellos. Todos los empleados deben estar provistos con la informacin de contacto para el grupo. Explicacin / Notas: Los empleados deben entender cmo identificar una amenaza a la seguridad, y estar capacitados para denunciar cualquier amenaza a un grupo especfico de notificacin de incidentes. Tambin es importante que una organizacin establezca procedimientos especficos y la autoridad para dicho grupo de actuar cuando una amenaza se informa. 20 -2 Ataques en curso Poltica: Cada vez que el grupo de notificacin de incidentes ha recibido informes de un ataque de ingeniera social en curso se iniciar inmediatamente los procedimientos para alertar a todos los empleados asignados a los grupos objetivo. Explicacin / Notas: El grupo de notificacin de incidentes o gerente responsable tambin debe hacer una determinacin sobre si se debe enviar una alerta en toda la compaa. Una vez que la persona responsable o grupo tiene una creencia de

buena fe que un ataque puede ser en progreso, La mitigacin del dao debe ser una prioridad, mediante notificacin personal de la empresa para estar en guardia.

Seridad de un vistazo
Thlistas de correos y la versin de referencia de cartas despus de proporcionar rpidos mtodos de ingeniera social discutidos en los captulos 2 a 14, y los procedimientos de verificacin que se detallan en el captulo 16. Modificar esta informacin para su organizacin, y ponerla a disposicin de los empleados para referirse a una pregunta de seguridad cuando la informacin se presenta. IDENTIFICAG UN ATAQUE DE SEGURIDAD Thesmesas electrnicas y listas de comprobacin le ayudar en la deteccin de un ataque de ingeniera social. El Ciclo de Ingeniera Social ACTION / DESCRIPCIN Investigacin Mamincluir informacin y de cdigo abierto como la SEC y los informes anuales, marketing folletos, solicitudes de patentes, recortes de prensa, revistas del sector, el contenido del sitio Web. Tambin basurero de buceo. Desarrollo de relacin y confianza Nosotrose de informacin privilegiada, tergiversando identidad, citando los conocidos vctima, Necesidad de ayuda o autoridad. La explotacin de confianza Asking de informacin o de una accin por parte de la vctima. En picadura inversa, manipular vctima para pedir atacante para obtener ayuda. Utilizar la informacin Yof la informacin obtenida es slo un paso a la meta final, vuelve al atacante antes pasos en el ciclo hasta que meta sea alcanzada. Common mtodos de ingeniera social Posing como un compaero

de trabajo Posing como empleado de un proveedor, socio, o aplicacin de la ley Posing como autoridad alguien con

Posing como un nuevo empleado para solicitar ayuda

Posing como un proveedor o fabricante de sistemas de llamada a ofrecer un sistema de parche o actualizar Offering ayuda si se produce un problema, entonces lo que se produce el problema, por lo que la manipulacin de la vctima para pedir ayuda Sending software libre o parche para instalar vctima Sending un virus o un caballo de Troya como un archivo adjunto de correo electrnico Usnga falso pop-up ventana pidiendo que ingrese de nuevo o firmar con contrasea Capturing pulsaciones vctima con el sistema informtico consumible o el programa deja un disquete o CD en todo el lugar de trabajo con software malicioso en l Usando la jerga y la terminologa de informacin privilegiada para ganar la confianza Offeringa premio para registrarse en un sitio Web con nombre de usuario y contrasea soltar un documento o archivo en habitacin empresa de mensajera para la entrega intraoffice Modificacin de fax de dirigirse a aparecer venir de una recepcionista ubicacin interna Inicial para recibir un fax despus hacia adelante Asking para que un archivo sea transferido a un lugar aparentemente interno Conseguir un buzn de correo de voz configurado para rellamadas percibir atacante interno Hacindose pasar por la oficina a distancia y pidiendo acceso al correo electrnico a nivel local Warning Los signos de un ataque La negativa a dar llamar al nmero de espalda Fuera-of-ordinario

Reclamo peticin de la autoridad Subraya la urgencia

Amenazars negativas consecuencias del incumplimiento Mostrars malestar cuando se le pregunt Name soltar piropos o halagos Flirting Los objetivos comunes de ataques OBJETIVO TIPO / Ejemplos Unaware de valor de la informacin Recepcionistas, Telefonistas, auxiliares administrativos, guardias de seguridad. Speciaprivilegios de l Help escritorio o soporte tcnico, administradores de sistemas, operadores de computadoras, los administradores de sistemas telefnicos. Mamnufacturer / proveedor Calcularr hardware, los fabricantes de software, sistemas de correo de voz vendedores. Departamentos especficos Contabilidad, Recursos humanos. Los factores que hacen que las empresas sean ms vulnerables a los ataques Un gran nmero de empleados Multiplinstalaciones e Information sobre el paradero de los empleados a la izquierda en los mensajes de correo de voz Phoninformacin e extensin disponible Lacak de capacitacin en seguridad Falta de un sistema de clasificacin de datos Nincidente o informe / plan de respuesta en el lugar

VERIFICACINEn una clasificacin D DATOS Thestablas y diagramas electrnicos le ayudar a responder a las solicitudes de informacin o accin que pueda ser ataques de ingeniera social. Verificacin de Identidad Procedimiento ACTIEN identificador de llamadas / DESCRIPCIN Verify llamada es interna, y nombre o nmero de extensin coincide con la identidad de la persona que llama. Devolucin de llamada Lavabok hasta solicitante en el directorio de la empresa y volver a llamar la extensin indicada. Dando fe Comoka de confianza empleado para dar fe de la identidad del solicitante. Secreto compartido comn Solicitud para toda la empresa secreto compartido, como una contrasea o cdigo diaria. Supervisor o gerente Contact supervisor inmediato del empleado y la solicitud de verificacin de la identidad y employment estado. Asegure el email Request un mensaje firmado digitalmente. Personal reconocimiento de voz Para un interlocutor conocido por los empleados, validar con la voz de quien llama. Contraseas dinmicas Verify en contra de una solucin de contrasea dinmica como la identificacin segura o fuerte otra dispositivo de autenticacin. En persona Requiriendosolicitante e para presentarse en persona con una credencial de empleado o de otro tipo identificacin. Verificacin del estado de Procedimiento Laboral

ACTIEN / DESCRIPCIN Directorio de Empleados comprobar Verify que solicitante aparece en guas.

Solicitante de verificacin del gerente Californiasolicitante l gerente utilizando el nmero de telfono que aparece en el directorio de la empresa. Solicitante del departamento o grupo de trabajo de verificacin Californial departamento solicitante o el grupo de trabajo y determinar que solicitante sigue siendo empleado de la empresa. Procedimiento para Determinar necesita saber ACTION / DESCRIPCIN Cnsult marea trabajo / grupo de trabajo / responsabilidades lista Check publicado listas de las cuales los empleados tienen derecho a la informacin clasificada especfica. Obten autoridad de administrador Contact su gerente, o el administrador de la solicitante, la autoridad para cumplir ingenioh la solicitud. Obtener autorizacin del propietario de la informacin o la persona designada ComoPropietario k de informacin si un solicitante tiene necesidad de saber. Obten autoridad con una herramienta automatizada Check base de datos de software propietario para el personal autorizado. Cririos para comprobar la no-Empleados CriteriON / ACCIN relacin Compruebe que la empresa solicitante cuenta con un proveedor, socio estratgico, o de otro tipo adecuado relacin. Yodentity Verify identidad solicitante y la situacin laboral en la empresa de proveedor / socio. Nondisclosure Verifique que el solicitante tiene un acuerdo de confidencialidad firmado en el expediente. Acceso Refer la solicitud a la administracin cuando la informacin est clasificada por encima Interna. Los datos de clasificacin

CLASSIFICATIEN

DescriptiEN

PROCEDURE

Pblic a Californian libremente disposicin del pblico No Necesidad de verificar. Interno For utilizar dentro de la empresa

Verify identidad del solicitante como empleado activo o verificar el acuerdo de confidencialidad en el archivo y aprobacin de la gerencia para los empleados de lucro. Datos de Clasificacin (Continuacin) CLASSIFICATION / DESCRIPCIN / PROCEDIMIENTO Privado La informacin de carcter personal para uso exclusivo dentro de la organizacin Verify identidad del solicitante como empleado activo o slo dentro empleado no con la organizacin, la autorizacin. Consulte con el departamento de recursos humanos para revelar informacin privada a los empleados autorizados o Demandantes externos. Confidencial Participacind slo con las personas que tienen una necesidad absoluta de saber dentro de la organizacin Verifidentidad y del solicitante y necesitan saber de Informacin del propietario designado. Suelte slo con el consentimiento previo por escrito del gerente o propietario de la informacin or designado. Check for nondiscierre agreement en archivo. Slo mESTIN personal puede revelar a personas no empleadas por la empresa.

SOURCE S
CHAPTER 1 FlorecerBecker, Buck. 1990. Delitos informticos espectaculares: Qu son y cmo cuestan American Business quinientos millones de dlares a Dar. Irwin Professional Publishing. Littman, Jonathan. 1997. El juego fugitivo: en lnea con Kevin Mitnick. Poco Frenten & Co. Penenberg, Adam L. 19 de abril 1999. "La demonizacin de un Hacker". Forbes. CHAPTER 2 ThStanley e historia Rifldn se basa en las siguientes cuentas: Calcularr Seguridad Insitute. Sin fecha. "Las prdidas financieras debido a las intrusiones de Internet, el robo de secretos comerciales y otros delitos cibernticos se disparan." Comunicado de prensa. Epstein, Edward Jay. Sin publicar. "El diamante de la invencin". Holwick, Rev. David. Cuenta no publicada. Sr.. Rifkin mismo era amable en el reconocimiento de que las cuentas de su hazaa difieren porque ha protegido su anonimato al negarse a ser entrevistado. CHAPTER 16 Cialdini, Robert B. 2000. Influencia: Ciencia y Prctica, 4 edicin. Allyn y Bacon. Cialdini, Robert B. febrero de 2001. "La ciencia de la persuasin". Cientfico Estadounidense. 284:2. CHAPTER 17 Sompolticas e en este captulo se basan en ideas contenidas en: Madera, Charles Cresson. 1999. "Polticas de Seguridad de la Informacin Made Easy". Lnea de Base Software.

Lacknowledgments
DESDE Kevin Mitnick Truamistad e se ha definido como una mente en dos cuerpos; no hay mucha gente en nadie 's la vida puede ser llamado un verdadero amigo. Jack Biello era una persona amorosa y cariosa que habl en contra de los malos tratos extraordinario que he sufrido en el manos de periodistas poco ticos y fiscales demasiado entusiastas gobierno. Era una voz clave en el movimiento Free Kevin y un escritor que tena un talento extraordinario for writing compelling artculos exposing e information THAt gobierno electrnico no quiere que usted sepa. Jack siempre estaba all para hablar sin miedo en mi nombre y para trabajar junto conmigo preparar discursos y artculos, y, en un momento, me representaba como un enlace con los medios. This libro est dedicado con tanto amor a mi querido amigo Jack Biello, cuya reciente muerte por cncer de la misma manera que termin el manuscrito me ha dejado sentir una gran sensacin de prdida y tristeza. This libro no habra sido posible sin el amor y apoyo de mi familia. Mi madre, Shelly Jaffe, y mi abuela, Reba Vartanian, me han dado amor y apoyo incondicional durante toda mi vida. Me siento muy afortunado de haber sido criado por una madre cariosa y dedicada, que yo tambin considero mi mejor amigo. Mi abuela ha sido como una segunda maana para m, que me ofreci la misma educacin y el amor que slo una madre puede dar. Como personas bondadosas y compasivas, que me han enseado los principios de preocuparse por los dems y echar una mano a los menos afortunados. Y o, imitando el patrn de dar y cuidar, yo en cierto sentido seguir los caminos de la vida. Espero que se me perdone de su puesta en el segundo lugar durante el proceso de escribir este libro, dejando pasar oportunidades de verlos con la excusa del trabajo y los plazos a cumplir. Este libro no habra sido posible sin su continuo amor y apoyo que siempre va a tener cerca de mi corazn. How Me gustara que mi padre, Alan Mitnick, y mi hermano, Adam Mitnick, hubiera vivido lo suficiente para romper una botella de champn conmigo en el da de este libro aparece por primera vez en una librera. Como propietario de un vendedor y de negocios, mi padre me ense muchas de las cosas buenas que nunca voy a olvidar. Durante los ltimos meses de la vida de mi pap tuve la suerte de poder estar a su lado para consolarla lo mejor que pude, pero fue una experiencia muy dolorosa de la que todava no se han recuperado. Mi ta Chickie Leventhal siempre tendr un lugar especial en mi corazn, aunque estaba decepcionado con algunos de los errores estpidos que he hecho, sin embargo, ella siempre estaba all para m, que ofrece su amor y apoyo. Durante mi devocin intensa a la escritura de este libro, he sacrificado muchas

oportunidades para unirse

ella, Mi primo, Mitch Leventhal, y su novio, el Dr. Robert Berkowitz, para nuestra celebracin semanal de Shabat. Tambin tengo que dar mi ms sincero agradecimiento al novio de mi madre, Steven Knittle, que estaba all para completar para mi y proporcionar a mi madre con amor y apoyo. Mhermano y padre claramente merece muchos elogios, se podra decir que hered de mi arte de la ingeniera social del to Mitchell, que saba cmo manipular el mundo y su gente de una manera que nunca haba esperanza de entender, mucho menos maestro. Por suerte para l, nunca tuvo mi pasin por la tecnologa informtica durante los aos que usaba su encantadora personalidad para influir en alguien que deseaba. l siempre tendr el ttulo de ingeniero de Gran Maestro social. Und mientras escribo estos reconocimientos, me doy cuenta de que tengo tanta gente para agradecer y expresar su agradecimiento al por ofrecer su amor, amistad y apoyo. No puedo empezar a recordar los nombres de toda la gente amable y generosa que he conocido en los ltimos aos, pero basta con decir que iba a necesitar un equipo para almacenar todos. Ha habido tanta gente de todo el mundo que me han escrito con palabras de aliento, elogios y apoyo. Estas palabras han significado mucho para m, especialmente durante los momentos que ms lo necesitaban. I 'especialmente agradecido a todos mis seguidores que estaban junto a m y pas su tiempo y energa valiosos hacer correr la voz a quien quisiera escucharlo, expresando su preocupacin y oposicin sobre mi trato injusto y la hiprbole creado por aquellos que buscaban sacar provecho de la m " El mito de Kevin Mitnick. " He tenido la extraordinaria fortuna de ser asociado con el autor de mayor venta Bill Simon, y trabajamos diligentemente juntos a pesar de nuestros diferentes work patrones. Bill est muy organizado, se levanta temprano y trabaja en un estilo deliberado y bien planificada. Estoy agradecido de que Bill tuvo la amabilidad de satisfacer mi lcomi la noche horario de trabajo. Mi dedicacin a este proyecto und largas horas de trabajo me mantuvo despierto hasta bien entrada la madrugada que entraba en conflicto con el horario normal de trabajo de Bill. Not slo fui afortunado de estar asociado con alguien que podra transformar mis ideas en frases dignas de un lector sofisticado, pero tambin Bill es (casi) un hombre muy paciente que aguantar a mi estilo programador de centrarse en los detalles. IndEED que lo hicieron posible. An as, quiero pedir disculpas

to Bill en estos reconocimientos que siempre se arrepentir ser la causa de mi orientacin a la precisin y el detalle, que le hizo llegar tarde a un plazo para la primera y nica vez en su carrera como escritor de largo. l tiene el orgullo de un escritor que por fin he llegado a comprender y compartir, y esperamos hacer otros libros juntos.

Thdeleite e de estar en la casa de Simn en Rancho Santa Fe para trabajar y ser mimado por la esposa de Bill, Arynne, podra ser considerado como un punto culminante de este proyecto de escritura. Arynne conversacin y la cocina se enfrentarn en mi memoria por el primer lugar. Ella es una dama de calidad y sabidura, lleno de diversin, que ha creado un hogar de calidez y belleza. Y nunca voy a beber un refresco de dieta otra vez sin escuchar la voz de Arynne en el fondo de mi mente me amonestar sobre los peligros del Aspartame, Stacey Kirkland significa mucho para m. Ella ha dedicado muchas horas de su tiempo ayudando a mi lado en el Macintosh para disear los cuadros y grficos que ayudaron a dar autoridad visual a mis ideas. Admiro sus maravillosas cualidades, ella es verdaderamente una persona amorosa y compasiva que se merece slo las cosas buenas de la vida. Ella me dio aliento como un buen amigo y es alguien que me preocupan profundamente. Me gustara darle las gracias por todo su apoyo amoroso, y por estar ah para m cuando yo la necesitaba. Cerveza inglesax Kasper, Nexspace, no slo es mi mejor amigo, pero tambin un socio de negocios y colega. Juntos fuimos anfitriones de un popular talk show de radio de Internet conocido como "El lado oscuro de Internet" en la KFI AM 640 en Los ngeles, bajo la gua experta del Programa Director David G. Hall. Alex gentilmente proporcion su invaluable asistencia y asesoramiento a este proyecto de libro. Su influencia ha sido siempre positiva y til con una amabilidad y generosidad que a menudo se extiende mucho ms all de la medianoche. Alex y yo recientemente complet una pelcula / vdeo para ayudar a las empresas capacitar a su gente en la prevencin de ataques de ingeniera social. Paul Dryman, decisin informada, es un amigo de la familia y fuera de ella. Este investigador muy respetado y de confianza privado me ayud a comprender las tendencias y procesos of realizacin de background investigaciones. Conocimiento y la experiencia de Pablo me ayud a abordar las cuestiones de seguridad personal descritos en la parte 4 de este libro. Ene de mis mejores amigos, Layman Candi, siempre ha me ofreci apoyo y amor. Ella es realmente una persona maravillosa que se merece lo mejor de la vida. Durante los trgicos das de mi vida, Candi ofrecido siempre apoyo y amistad. Tengo la suerte de haber conocido a un ser humano maravilloso, carioso y compasivo, y queremos darle las gracias por estar ah para m. Seguramente mi primer cheque de regalas irn a mi compaa de telfono celular durante todo el tiempo que pas hablando con Erin Finn. Sin lugar a dudas, Erin es como mi alma gemela. Nosotros are Alike yon so mcualquier maneras ess asustadizo. We both have un LOVe por la tecnologa, los mismos gustos en la comida, la msica y las pelculas. AT & T Wireless est definitivamente perdiendo dinero por darme todos los "huyen noches y fines de semana", llama a su casa en Chicago. Al menos yo no estoy usando el plan de Kevin Mitnick ms. Su entusiasmo y su fe en este libro impulsado el nimo. Qu suerte tengo de tenerla como un amigo.

I 'm ganas de agradecer a las personas que representan a mi carrera profesional y se dedican de manera extraordinaria. Mis charlas son gestionados por Amy Gray (una persona honesta y cariosa que admiro y adoro) David Fugate, de Waterside Productions, es un agente literario que fue a batear por m en muchas ocasiones antes y despus de que el contrato se firm libro, y Los Angeles abogado Gregory Vinson, que estaba en mi equipo de la defensa durante mi ao de duracin batalla con el gobierno. Estoy seguro de que puede relacionarse con la comprensin y la paciencia de Bill por mi atencin a los detalles, sino que ha tenido la misma experiencia trabajando conmigo en informes jurdicos que ha escrito en mi nombre. He tenido demasiadas experiencias con abogados, pero estoy ansioso por tener un lugar para expresar mi agradecimiento por los abogados que, durante los aos de mis interacciones negativas con el sistema de justicia penal, se acerc y se ofreci a ayudarme cuando estaba en la desesperada necesita. De las amables palabras que profundo compromiso con mi caso, me encontr con muchas personas que no encajan en absoluto al estereotipo del abogado egocntrico. Yo he llegado a respetar, admirar y apreciar la bondad y generosidad de espritu que me ha dado tan libremente por tantos. Cada uno de ellos merece ser reconocido con un prrafo de las palabras favorables, voy a por lo menos mencionarlos a todos por su nombre, por cada uno de ellos vive en mi corazn rodeado de apreciacin: Greg Aclin, Carmen Bob, John Dusenbury, Ellison Sherman, Omar Figueroa , Carolyn Hagin, Hale Rob, Alvin Michaelson, Peretz Ralph, Vicki Podberesky, Donald C. Randolph, Dave Roberts, Rubin Alan, Steven Sadowski, Serra Tony, Richard Sherman, Pizarras Skip, Karen Smith, Steingard Richard, el Honorable Robert Talcott, Barry Tarlow, Yzurdiaga Juan, y Vinson Gregory. Agradezco mucho la oportunidad que John Wiley & Sons me ha dado al autor de este libro, y por su confianza en un autor por primera vez. Quiero agradecer a las siguientes personas Wiley que hicieron posible este sueo: Ellen Gerstein, Ipsen Bob, Carol Long (mi editor y diseador de moda), y Nancy Stevenson. Other miembros de la familia, amigos personales, colegas de trabajo que me han dado consejos y apoyo, y han llegado en muchos aspectos, son importantes para reconocer y reconocer. Ellos son: JJ Abrams, Agger David, Arkow Bob, Stephen Barnes, el Dr. Robert Berkowitz, Coddington Dale, Eric Corley, Cormeny Delin, Ed Cummings, Davis Art, Delio Michelle, Downing Sam, John Draper, Dryman Paul, Duva Nick, Roy Eskapa, Alex Fielding, Lisa Flores, Frank Brock, Steve Gibson, Greenblatt Jerry, Greg Grunberg, mango Bill, David G. Halt, Harrison Dave Herman Leslie, Jim Hill, Dan Howard, Hunt Steve, Johar Rez, Steve Knittle, Gary Kremen, Krugel Barry, Krugel Earl, Adrian Lamo, Laporte Leo, Mitch Leventhal, Cynthia Levin, Little CJ, Jonathan Littman, Maifrett Mark, Brian Martin, McDonald Forrest, McElwee Kerry, McSwain Alan Moore Elliott, Michael Morris, Eddie Muoz , Patrick Norton, Shawn Nunley, Brenda Parker, Chris Pelton, Poulsen Kevin, Prensa Scott, Linda y Pryor Arte,

Jennifer Reade, Israel y Rosencrantz Rachel, Ross Mark, Royer William, Irv Rubin, Russell Ryan, Saavedra Neil, Schwartu Wynn, Pete Shipley, Sift Joh, Sokol Dan, Spector Trudy, Spergel Matt, Eliza Amadea Sultan, Douglas Thomas, Roy " Ihcker, Turbow Bryan, Ron Wetzel, Don David Wilson, Darci Wood, Kevin Wortman, Steve Wozniak, y todos mis amigos de la W6NUT (147.435 MHz) repetidor en Los Angeles. Und mi oficial de libertad condicional, Larry Hawley, merece un agradecimiento especial por darme permiso para actuar como asesor y consultor en temas relacionados con la seguridad de la autora de este libro. Und finalmente debo reconocer que los hombres y mujeres de la polica. Yo simplemente no tengo ningn rencor hacia estas personas que estn haciendo su trabajo. Creo firmemente que poner el inters del pblico por delante de uno mismo y dedicar su vida al servicio pblico es algo que merece respeto, y aunque he sido arrogante, a veces, quiero que todos ustedes sepan que yo amo a este pas, y lo hacer todo en mi poder para ayudar a que sea el lugar ms seguro del mundo, que es precisamente una de las razones por las que he escrito este libro. BILL DE SIMON Tengo esta idea de que hay una persona adecuada que hay para todo el mundo, es slo que sompersonas e no tienen la suerte de nunca encontrar su Sr. o Sra.. Otros suerte. Tuve suerte lo suficientemente temprano en la vida para pasar un buen nmero de aos ya (y contar en pasar muchos ms) con uno de los tesoros de Dios, mi esposa, Arynne .. Si Yo nunca olvidar la suerte que tengo, slo tengo que prestar atencin a la cantidad de personas que buscan y aprecian su compaa. Arynne - Le doy las gracias por caminar por la vida conmigo. During la escritura de este libro, he contado con la ayuda de un grupo fiel de amigos que siempre la seguridad de que Kevin y yo estbamos logrando nuestro objetivo de combinar la realidad y la fascinacin en este libro inusual. Cada una de estas personas representa un valor verdadero y leal y sabe que l o ella puede ser llamado como me meto en mi proyecto de escritura siguiente. En orden alfabtico: JeanClaude Beneventi, Linda Brown, Walt Brown, Ella. El general Don Johnson, Dorothy Ryan, Stark Guri, Steep Chris, Michael Steep, y John Votaw. Special reconocimiento a John Lucich, presidente de la Red de Seguridad Grupo, Que estaba dispuesto a tomar el tiempo para un amigo de la solicitud de un amigo, y para GordoAtuendo n, que amablemente enviaron numerosas llamadas telefnicas sobre operaciones de TI. Sometimes en la vida, un amigo gana un lugar exaltado por presentarle a otra persona que se convierte en un buen amigo. En literarias Productions agencia Waterside, en Cardiff, California, Agente David Fugate fue el responsable de

concebir la idea de este libro, y por ponerme junto con el co-autor que se convirti en amigo de Kevin. Gracias, David. Y a la cabeza de Waterside, el Bill Gladstone incomparable,

who se las arregla para mantenerme ocupado con el proyecto de libro, uno tras otro: Estoy feliz de tener you yon my esquina. Yon nuestra casa y mi oficina en casa, Arynne es ayudado por un personal capaz, que incluye administrative assistant Jessicun Dudgeon und housekeeper Josie Rodrguez. Agradezco a mis padres Marjorie y Simon IB, que me gustara que fuese en la tierra para disfrutar de mi xito como escritor. Tambin agradezco a mi hija, Victoria. Cuando estoy con ella, me doy cuenta de lo mucho que admiro, respeto, y se enorgullecen de lo que es. ----------------------------Escaneados por kineticstomp -----------------------------

Complement ar
por SWIFT

[Captulo 1-Banned Edition]

KeviHistoria n de
Por Mitnick Kevin

Yo me resista a escribir este artculo porque estaba seguro de que suene egosta. Bueno, est bien, no es egosta. Pero he sido contactado por cientos de personas que quieren saber "quin es Kevin Mitnick?". Para los que no les importa un bledo, por favor, consulte el Captulo 2. Para todos los dems, aqu, por si sirve de algo, es mi historia. Kevin Habla Algunos hackers destruir los archivos de las personas o unidades enteras bardo, que se llaman crackers o vndalos. Somhackers novatos e no se molestan en aprender la tecnologa, sino simplemente descargar herramientas de hackers de irrumpir en los sistemas informticos, sino que son llamados script kiddies. Hackers ms experimentados con conocimientos de programacin desarrollar programas de hackers y publicarlas en la web y sistemas de tablones. Y luego estn las personas que no tienen inters en la tecnologa, sino simplemente usar la computadora como una herramienta para ayudar en el robo de dinero, bienes o servicios. A pesar del mito creado por los medios de Kevin Mitnick, yo no soy un hacker malicioso. Lo que hice no estaba an en contra de la ley cuando empec, pero se convirti en un crimen despus de que la nueva legislacin fue aprobada. Segu todos modos, y fue capturado. Mi tratamiento por parte del gobierno federal se bas no en los crmenes, sino en hacer un ejemplo de m. Yo no mereca ser tratado como un terrorista o violento criminal: Despus de haber buscado mi casa con una orden de allanamiento en blanco; ser lanzado en solitario durante meses, les niegan los derechos fundamentales constitucionales garantizados a toda persona acusada de un delito, se les niega la libertad bajo fianza, pero no slo una audiencia de libertad bajo fianza, y se ven obligados a pasar aos luchando para obtener la evidencia del gobierno por lo que mi abogado designado por la corte podra preparar mi defensa.

Qut sobre mi derecho a un juicio rpido? Durante aos me dieron una opcin cada seis meses: firmar un documento renunciando a su derecho constitucional a un juicio rpido o ir a juicio con un abogado que no est preparado, me eligi firmar. Pero me estoy adelantando a mi historia. Empezando mi camino fue creada probablemente temprano en la vida. Yo era un-happy-go

suertenio y, pero aburrido. Despus de que mi padre se separaron cuando yo tena tres aos, mi madre trabajaba como camarera para que nos apoyen. To verme luego un hijo nico criado por una madre que se pone en los das largos y apresurados en un horario a veces errtico habra ido a ver a un joven por su cuenta casi todas sus horas de vigilia. Yo era mi propio babysitter. Crecer en una comunidad del Valle de San Fernando me dio el todo de Los Angeles para explorar, ya la edad de doce aos que haba descubierto una manera de viajar gratis en toda rea metropolitana de Los ngeles. Me di cuenta un da, mientras viaja en el autobs que la seguridad de la transferencia de autobs que haba comprado se bas en el patrn inusual de la perforadora de papel que los conductores utilizan para marcar el da, hora y ruta en las hojas de transferencia. Un conductor amable, respondiendo a mi pregunta con cuidado-plantado, me dijo dnde comprar ese tipo especial de ponche. Las transferencias estn destinadas para hacerle cambiar de autobs y continuar un viaje a su destino, pero he trabajado en cmo usarlos para viajar a cualquier lugar que quera ir de forma gratuita. La obtencin de las transferencias en blanco fue un paseo por el parque: los contenedores de basura en las terminales de autobuses estaban llenos siempre con los libros solamente-en parte-de las transferencias que utilizan los controladores tir al final de sus turnos. Con una almohadilla de espacios en blanco y ponche, yo podra marcar mis propios traslados y viajar a cualquier parte que los autobuses de LA fue. En poco tiempo, yo casi haba memorizado los horarios de los autobuses de todo el sistema. Este fue un ejemplo temprano de mi memoria sorprendente para ciertos tipos de informacin, todava, hoy puedo recordar nmeros de telfono, contraseas y otros objetos ya en mi infancia. Another inters personal que surgi a muy temprana edad fue mi fascinacin con la realizacin de magia. Una vez que aprend un nuevo truco funcion, me gustara practicar, practicar y practicar hasta que lo domin. Hasta cierto punto, fue a travs de la magia que he descubierto el placer en engaar a la gente. From Phreak telfono, a Hacker mi primer encuentro con lo que eventualmente aprendera a llamar ingeniera social se produjo durante mis aos de escuela secundaria, cuando conoc a otro estudiante que se vio envuelto en un pasatiempo llamado phone phreaking. Phreaking telefnico es un tipo de hacking que permite explorar la red telefnica mediante la explotacin de los sistemas telefnicos y los empleados de la compaa telefnica. He me mostr truquitos que poda hacer con un telfono, como la obtencin de cualquier informacin a la compaa telefnica tenido en cualquier cliente, y el uso de un nmero de prueba secreta para hacer largas distancias llamadas gratis realmente libre slo para nosotros - me enter mucho despus que no era un nmero de prueba en absoluto secreto: las llamadas eran de hecho se factura a cuenta de alguna empresa pobre MCI). Esa fue mi introduccin a la ingeniera social, mi jardn de infantes, por as decirlo. l y otro phreaker telfono conoc poco despus me dej escuchar en cada uno de ellos como pretexto hicieron llamadas a la compaa telefnica. He odo las cosas que dijeron que los haca sonar creble, aprend acerca de las diferentes oficinas de la compaa telefnica, jerga y procedimientos. Pero ese "entrenamiento" no dur mucho tiempo, no tena que hacerlo. Pronto estaba haciendo todo por mi cuenta, a

medida que iba aprendiendo, haciendo que sea an mejor que los primeros maestros. El curso de mi vida iba a seguir para los prximos quince aos se haba fijado. Ene de todos los tiempos de mis travesuras favoritas era ganar acceso no autorizado a la central telefnica y el cambio de la clase de servicio de un phreaker compaero.

Blancoen l haba intente realizar una llamada desde su casa, haba un mensaje dicindole que depositar un centavo, porque el interruptor compaa telefnica recibida de entrada que indicaba que estaba llamando desde un telfono pblico. Yo se absorbi en todo lo relacionado con los telfonos, no slo la electrnica, conmutadores y ordenadores; sino tambin de la organizacin corporativa, los procedimientos y la terminologa. Despus de un tiempo, que probablemente saba ms sobre el sistema de telfono de cualquier empleado. Y, Yo haba desarrollado mis habilidades de ingeniera social hasta el punto de que, a los diecisiete aos, tuve la oportunidad de hablar mayora de los empleados Telco en casi cualquier cosa, si yo estaba hablando con ellos en persona o por telfono. Mi carrera de hacking comenz cuando yo estaba en la escuela secundaria. En aquel entonces usamos el trmino hacker para referirse a una persona que pasaba mucho tiempo con pequeos ajustes de hardware y software, ya sea para desarrollar programas ms eficientes o para evitar pasos innecesarios y hacer el trabajo ms rpido. El trmino se ha convertido en un peyorativo, que lleva el significado de "criminal malicioso". En estas pginas que uso el trmino de la manera que siempre lo han utilizado en su anterior, el sentido ms benigno. A finales de 1979, un grupo de tipos de hackers compaeros que trabajaban para el Los Angeles Unified School District me atrev a probar la piratera en El Arca, el sistema informtico en Digital Equipment Corporation utilizada para el desarrollo de sus RSTS E / software del sistema operativo. Yo quera ser aceptado por los chicos de este grupo de hackers para que pudiera recoger su cerebro para aprender ms acerca de los sistemas operativos. Estos nuevos "amigos" haban logrado tener en sus manos el nmero de acceso telefnico al sistema informtico de diciembre Pero saban que el nmero de acceso telefnico no me hara ningn bien: Sin un nombre de cuenta y contrasea, que nunca sera capaz de entrar Estaban a punto de descubrir que cuando se subestiman otros, puede volver a morderte en el trasero. Result que, para m, incluso a esa temprana edad, la piratera en el sistema DEC fue pan comido. Profesando ser Anton Chernoff, uno de los principales desarrolladores del proyecto, coloqu una simple llamada telefnica al administrador del sistema. Yo deca que no poda acceder a una de "mis" cuentas, y fue lo suficientemente convincente como para hablar el chico que me diera acceso y que me permite seleccionar una contrasea de mi eleccin. Como u n n nivel adicional de proteccin, siempre que alguien marc en el sistema de desarrollo, el usuario tambin tuvo que proporcionar una contrasea de acceso telefnico. El administrador del sistema me dijo la contrasea. Se trataba de "bufn", que supongo que describi lo que debe haber sentido como ms tarde, cuando se encuentran se enter de lo que haba sucedido. En menos de cinco minutos, yo haba tenido acceso a RSTE Digital / sistema de desarrollo de E. Y yo no estaba registrado como tal como un usuario normal, pero como alguien con todos los privilegios de un desarrollador de sistemas. Al principio mis nuevos supuestos amigos se negaron a creer que haba ganado acceso a The Ark Uno de ellos marcado el sistema y meti el teclado delante de m con una mirada desafiante en su rostro. Su boca se abri

mientras la materia de manera casual iniciado sesin en una cuenta con privilegios. Ms tarde me enter de que se fue a otro lugar y, el mismo da, comenz a descargar el cdigo fuente de los componentes de la DEC

de Operacing sistema. Und entonces era mi turno de ser anonadado. Despus de haber descargado todo el software que ellos queran, ellos llamaron al departamento de seguridad de la empresa en diciembre y les dijo que alguien haba hackeado en la red corporativa de la empresa. Y di mi nombre. Mis supuestos amigos utiliz por primera vez mi acceso para copiar el cdigo fuente altamente sensible, y luego me dio vuelta pulg There fue una leccin aqu, pero no uno que logr aprender con facilidad. A travs de los aos por venir, que en repetidas ocasiones se meten en problemas porque confiaba en la gente que yo crea que eran mis amigos. Despus de la secundaria, estudi las computadoras en el ordenador Learning Center en Los Angeles. Withina pocos meses, gerente de informtica de la escuela se dio cuenta de que haba encontrado una vulnerabilidad en el sistema operativo y gan todos los privilegios administrativos en su minicomputadora IBM. Los mejores expertos informticos en su personal docente no poda entender cmo yo haba hecho esto. En lo que podra haber sido uno de los primeros ejemplos de "contratar el hacker," Me dieron una oferta que no poda rechazar: Es un proyecto de honores para mejorar la seguridad de la escuela computadora o suspensin cara para hackear el sistema. Por supuesto que me eligi para hacer el proyecto honores, y termin gradundose Cum Laude con Honores. Convertirse en un ingeniero social que algunas personas salir de la cama cada maana temiendo su rutina diaria de trabajo en las minas de sal proverbiales. He tenido la suerte de disfrutar de mi trabajo. En particular, no se puede imaginar el desafo, la recompensa y el placer que tena en el tiempo que pas como investigador privado. Estaba afilando mis habilidades en el arte de performance llamado ingeniera social para que la gente a hacer cosas que normalmente no hara por un desconocido, y estn pagando por ello. For m no fue difcil convertirse en experto en ingeniera social. Mlado y padre de la familia haba estado en el campo de las ventas para las generaciones, por lo que el arte de la persuasin y la influencia que podra haber sido un rasgo hereditario. Cuando se combina una inclinacin para engaar a la gente con el talento de influencia y persuasin que llegan al perfil de un ingeniero social. Se podra decir que hay dos especialidades dentro de la clasificacin de puestos de estafador. Alguien que estafas y los trucos de su dinero pertenece a una sub-especialidad, el estafador. Alguien que usa el engao, influencia y persuasin contra las empresas, por lo general la orientacin de su informacin, pertenece a la otra sub-especialidad, el ingeniero social. Desde el momento de mi truco de autobs, cuando yo era demasiado joven para saber que haba algo malo en lo que estaba haciendo, yo haba empezado a reconocer un talento para descubrir los secretos que no se supona que deba tener. Constru ese talento mediante engao, conociendo el idioma, y el desarrollo de una habilidad bien afinado de manipulacin. Ene manera que sola trabajar en el desarrollo de las habilidades en mi nave (si se me permite llamarlo un arte) era escoger alguna pieza de informacin que no le

importaba y ver si poda hablar con alguien en el otro extremo de la telfono en su prestacin, slo para mejorar mi talento. De la misma manera que sola practicar mis trucos de magia, me

ppretexting racticed. A travs de estos ensayos, pronto me di cuenta de que poda adquirir prcticamente cualquier informacin que dirigida. En testimonio ante el Congreso antes de que los senadores Lieberman y Thompson aos ms tarde, les dije: "Yo he tenido acceso no autorizado a sistemas informticos a algunas de las corporaciones ms grandes del planeta, y han penetrado con xito en algunos de los sistemas informticos ms resistentes se haya desarrollado. Tengo utilizan medios tanto tcnicos como no tcnicos para obtener el cdigo fuente de varios sistemas operativos y dispositivos de telecomunicaciones para estudiar sus vulnerabilidades y su funcionamiento interno ". Todo esto fue realmente para satisfacer mi propia curiosidad, ver lo que poda hacer, y descubrir informacin secreta sobre los sistemas operativos, telfonos celulares y cualquier otra cosa que agita mi curiosidad. La serie de acontecimientos que cambiaran mi vida empez cuando se convirti en el tema de un 04 de julio 1994 en primera plana, por encima de la doble historia en el New York Times. Durante la noche, que la historia de una vuelta a mi imagen de una molestia poco conocida de un hacker en enemigo pblico nmero uno del ciberespacio. John Markoff, estafador de los Medios "La combinacin de magia tcnica con la astucia aos de edad, de un estafador, Kevin Mitnick es un programador de computadoras fuera de control. "(The New York Times, 7/4/94). Combinando el deseo siglos de antigedad para alcanzar fortuna inmerecida con el poder de publicar historias falsas y difamatorias sobre sus sbditos en la primera pgina del New York Times, John Markoff fue realmente un reportero tecnologa fuera de control. Markoff fue para ganarse ms de $ 1 milln por s solo crear lo que yo llamo "El mito de Kevin Mitnick . "Se hizo muy rico a travs de la misma tcnica que utiliza para comprometer los sistemas y redes en todo el mundo: el engao. Yon este caso, sin embargo, la vctima del engao no era un usuario de la computadora individual o administrador del sistema, era toda persona que confiaba en las noticias publicadas en las pginas de los ms buscados del Times.Cyberspace New York 's Markoff artculo del Times fue claramente diseado para conseguir un contrato para un libro sobre la historia de mi vida. Nunca he conocido a Markoff, y sin embargo se ha convertido literalmente en un millonario por su calumniosa y difamatoria "informacin" acerca de m en los ltimos tiempos y en su libro de 1991, Cyberpunk. En su artculo, incluy algunas decenas de denuncias sobre m que declar como un hecho sin citar sus fuentes, y que incluso un blancaal proimpuesto oF hecho-chEcking (Which Yo aunquet all primeroDe tasa peridicos exigieron a sus reporteros a hacer) habra revelado como falso o no probadas. Yon que solo artculo falso y difamatorio, Markoff me etiqueta como "ciberespacio ms buscados", y como "uno de los criminales de la nacin informticos ms buscados", sin justificacin, razn o evidencia de apoyo, con discrecin no es ms que un escritor de un supermercado tabloide. Yon su artculo calumnioso, Markoff falsamente que haba intervenidas el FBI (que no tena), que haba irrumpido en las computadoras de la NORAD (que ni siquiera estn conectados a ninguna red en el exterior), y que yo era un ordenador "vandalismo", a pesar del hecho de que nunca haba

daado intencionalmente cualquier equipo que he accedido. Estas, entre otras acusaciones escandalosas, eran completamente falsas y estn diseadas para crear un

sense de miedo acerca de mis capacidades. En otra violacin de la tica periodstica, Markoff no revel en ese artculo y en todos sus artculos-una posterior relacin pre-existente conmigo, una animosidad personal basada en mi haberse negado a participar en el libro Cyberpunk Adems, tuve le cost un montn de ingresos potenciales al negarse a renovar una opcin para una pelcula basada en el libro.Martculo Arkoff tambin fue claramente diseado para agencias de mofarse de Estados Unidos encargados de hacer cumplir la ley. "... Las fuerzas del orden", Markoff escribi, "parece que no puede ponerse al da con l ...." El artculo se enmarca deliberadamente a echarme en la accin del enemigo pblico Nmero del ciberespacio con el fin de influir en el Departamento de Justicia para elevar la prioridad de mi caso. La f e w meses ms tarde, Markoff y su cohorte Tsutomu Shimomura que ambos participan como agentes del gobierno de facto en mi detencin, en violacin de la ley federal y la tica periodstica. Ambos seran cerca cuando tres rdenes en blanco fueron utilizadas en un allanamiento ilegal de mi residencia, y estar presente en mi arresto. Y, durante su investigacin de mis actividades, los dos tambin violara la ley federal mediante la interceptacin de una llamada telefnica personal de la ma. Mientras me hace ser un villano, Markoff, en un artculo posterior, configure Shimomura como el primer hroe del ciberespacio. Una vez que estaba violando la tica periodstica al no revelar una relacin preexistente: este hroe, de hecho, haba sido amigo personal de Markoff durante aos. Mi primer encuentro con Markoff haba llegado en los aos ochenta, cuando l y su esposa Katie Hafner me contactaron mientras estaban en el proceso de escribir Cyberpunk, que iba a ser la historia de tres hackers: un chico alemn conocido como Pengo, Robert Morris, y yo mismo. Quera ser mi compensacin por participar? Nada. No pude ver el punto de darles mi historia si se beneficiaran de ella y no quiero, as que me negu a ayudar. Markoff me dio un ultimtum: o entrevistados por nosotros, o cualquier cosa que escuchamos de cualquier fuente ser aceptado como la verdad. l se senta frustrado y molesto claramente que no iba a cooperar, y me dejaba saber que tena los medios para hacer que me arrepienta. Decid mantenerme firme y no cooperara a pesar de sus tcticas de presin. Cuando se public, el libro me retrata como "The Hacker Darkside". Llegu a la conclusin de que los autores haban incluido intencionadamente declaraciones falsas sin respaldo, con el fin de vengarse de m por no cooperar con ellos. Al hacer que mi personaje parece ms siniestro y fundicin de m en una luz falsa, probablemente aument las ventas del libro. Un productor de cine llam por telfono con una gran noticia: Hollywood estaba interesado en hacer una pelcula sobre el Hacker Darkside representado en Cyberpunk. Seal que la historia estaba llena de inexactitudes y falsedades sobre m, pero an estaba muy entusiasmado con el proyecto. Acept $ 5.000 para una opcin de dos aos, en contra de un adicional de $ 45.000 si eran capaces de conseguir un acuerdo de produccin y seguir adelante. When la opcin expir, la productora pidi una prrroga de seis meses. En ese momento yo era un trabajo remunerado, y por eso tena poca motivacin para ver una pelcula

producida

THAt me mostr, de tal forma desfavorable y falsa. Me negu a ir junto con la extensin. Que mat el reparto de la pelcula para todo el mundo, incluyendo Markoff, quien haba esperado probablemente para hacer una gran cantidad de dinero del proyecto. Aqu haba una razn ms para John Markoff ser vengativo hacia m. En todo el momento de publicacin de Cyberpunk, Markoff tuvo correspondencia electrnica continua con su amigo Shimomura. Ambos estaban interesados extraamente en mi paradero y lo que estaba haciendo. Sorprendentemente, un mensaje de correo electrnico contiene informacin que haban aprendido asista a la Universidad de Nevada, Las Vegas, y tena uso de la sala de ordenadores del estudiante. Podra ser que Markoff y Shimomura estaban interesados en hacer otro libro sobre m? De lo contrario, por qu les importa lo que yo estaba haciendo? Markoff en Persecucin Dar un paso atrs para finales de 1992. Me estaba acercando a la end oF my supervisard release for compromising Digital Equipo Red de la empresa Corporacin. Mientras tanto, me di cuenta de que el gobierno estaba tratando de armar un caso contra m, esta vez para la realizacin de contrainteligencia para saber por qu escuchas telefnicas haban sido colocados en las lneas telefnicas de una empresa de Los Angeles p.II. En mi excavacin, confirm mi sospecha: la Pacific Bell personal de seguridad estaban de hecho la investigacin de la empresa. As fue diputado crimen informtico del Departamento del Condado de Los Angeles Sheriff. (Ese diputado resulta ser, codicho sea de paso, el hermano gemelo de mi co-autor de este libro. Pequeo es el mundo.) Alrededor de este tiempo, los federales establecer un informante criminal y lo envi a atraparme. Ellos saban que yo siempre trataba de mantener control sobre cualquier organismo investigador m. As que tenan amistad con este informante me incline y me fuera que estaba siendo monitoreado. Tambin comparti conmigo los detalles de un sistema informtico utilizado en el Pacific Bell que me permitira hacer contra-vigilancia de su seguimiento. Cuando descubr su parcela, rpidamente volvi a las tablas en l y lo expuso el fraude de tarjetas de crdito que estaba conduciendo mientras trabajaba para el gobierno en calidad de informante. Estoy seguro de que los federales apreciado eso! Mvida y cambi el Da de la Independencia de 1994, cuando mi pager me despert temprano en la maana. La persona que llam dijo que inmediatamente debe recoger un ejemplar del New York Times. Yo no lo poda creer cuando vi que Markoff no slo haba escrito un artculo sobre m, pero los tiempos haban colocado en la primera pgina. El primer pensamiento que me vino a la mente fue por mi seguridad personal, ahora el gobierno sera aumentar sustancialmente sus esfuerzos para encontrarme. Me sent aliviado de que en un esfuerzo para demonizar a m, el Times haba utilizado una imagen muy impropia. Yo no tena miedo de ser reconocido que haban elegido una imagen tan anticuada que no se parece en nada a m! Las me puse a leer el artculo, me di cuenta de que Markoff se estaba preparando para escribir el libro de Kevin Mitnick, tal como l siempre haba querido. Simplemente no poda creer lo que el New York Times, se correra el riesgo de imprimir las declaraciones escandalosamente falsas que l haba escrito sobre m. Me senta impotente. Incluso si yo hubiera estado en condiciones de responder, ciertamente no tendra una audiencia igual a la New

York Times s para refutar las mentiras escandalosas Markoff. Si bien estoy de acuerdo que haba sido un dolor en el culo, nunca haba destruido la informacin, ni utilizar o divulgar a terceros la informacin que haba obtenido. Las prdidas reales de las empresas

from mis actividades de hacking ascendi el coste de las llamadas telefnicas que haba hecho a costa de telfono-empresa, el dinero gastado por las empresas para tapar las vulnerabilidades de seguridad que mis ataques haba revelado, y en algunos casos posiblemente causando a las empresas a instalar sus sistemas operativos y solicitudes de miedo que podra haber modificado el software de una manera que me permitiera acceder en el futuro. Las empresas se han mantenido vulnerable al dao mucho peor si mis actividades no haban hecho conscientes de los eslabones dbiles de la cadena de seguridad. Aunque haba causado algunas prdidas, mis acciones e intenciones no eran maliciosas ... y entonces John Markoff cambi la percepcin del mundo sobre el peligro que representaba. El poder de un periodista poco tico de tal influyente diario para escribir una historia falsa y difamatoria sobre cualquier persona debe perseguir todos y cada uno de nosotros. El prximo objetivo podra ser usted. Laespus de mi detencin fui transportado a la crcel del condado en Smithfield, Carolina del Norte, donde los EE.UU. Servicio de Alguaciles de los carceleros orden ponerme en `el confinamiento solitario hole'-. Dentro de una semana, los fiscales federales y mi abogado lleg a un acuerdo que no pude rechazar. Podra ser trasladado fuera de solitario con la condicin de que renunci a mis derechos fundamentales y acord lo siguiente: a) no audiencia de fianza, b) ninguna audiencia preliminar, y, c) no hay llamadas telefnicas, excepto con mi abogado y dos miembros de la familia. Regstrate y pude salir del aislamiento. Yo signed.The fiscales federales en el caso juega cada truco sucio en el libro hasta que fue liberado hace casi cinco aos ms tarde. Me vi obligado reiteradamente a renunciar a mis derechos para ser tratado como cualquier otro acusado. Pero este era el caso de Kevin Mitnick: No haba reglas. No hay obligacin de respetar los derechos constitucionales de los acusados. Mi caso era not abfuera slohielo, but about e Gobierno determinacin de ganar a toda costa. Los fiscales haban hecho afirmaciones muy exageradas al tribunal sobre el dao que haba causado y la amenaza que representaba, y los medios de comunicacin haban ido a la ciudad citando las declaraciones sensacionalistas, ahora ya era demasiado tarde para que los fiscales a retroceder. El gobierno no poda permitirse el lujo de perder el caso Mitnick. El mundo estaba mirando. Yo creo que los tribunales han comprado en el miedo generado por la cobertura de los medios de comunicacin, ya que muchos de los periodistas ms ticas haba recogido los "hechos" de los tiempos estimados de Nueva York y las repiti. El mito meditico generado al parecer incluso miedo funcionarios encargados de hacer cumplir la ley. Un documento confidencial obtenido por mi abogado demostr que el Servicio de Alguaciles de EE.UU. haba emitido una advertencia a todos los agentes de la ley no revelar ninguna informacin personal para m, de lo contrario, podran encontrar sus vidas destruidas por va electrnica. Our Constitucin exige que el acusado se presume inocente antes del juicio, por lo que la concesin de todos los ciudadanos el derecho a una audiencia de fianza, cuando el acusado tiene la oportunidad de

ser representado por un abogado, presentar pruebas y testigos, interrogar. Increblemente, el gobierno haba sido capaz de eludir esta proteccin basada en la histeria falsa generard por irresponsable reporteros like John Markoff. Without

precedente, Que se llev a cabo como un pre-juicio-detenido a una persona en prisin preventiva o condena-por ms de cuatro aos y medio. La negativa del juez que me conceda una audiencia de fianza fue litigado todo el camino hasta la Corte Suprema de los EE.UU.. Al final, mi equipo de defensa me aconsej que me haba propuesto otro precedente: yo era el nico detenido federal en la historia de EE.UU. neg una audiencia de fianza. Esto significaba que el gobierno nunca tuvo que hacer frente a la carga de probar que no haba condiciones de liberacin que razonablemente asegurar mi comparecencia ante el tribunal. Lal menos en este caso, los fiscales federales no se atrevi a alegar que podra iniciar una guerra nuclear silbando en un telfono pblico, como otros fiscales federales haban hecho en un caso anterior. Las acusaciones ms graves contra m era que yo haba copiado cdigo fuente propio para varios telfonos celulares y los sistemas operativos populares. Vosotrost los fiscales alegaron pblicamente y ante el tribunal que le haba causado prdidas colectivas de ms de $ 300 millones a varias empresas. Los detalles de las cantidades negativas son todava bajo el sello de la corte, supuestamente para proteger a las empresas involucradas, mi equipo de la defensa, sin embargo, cree que la peticin de la fiscala para sellar la informacin se inici para encubrir su mala conducta grave en mi caso. Tambin vale la pena sealar que ninguna de las vctimas en mi caso haba reportado prdidas a la Comisin de Bolsa y Valores como exige la ley. Cualquiera de varias empresas multinacionales violan la ley federal en el proceso de engaar a la SEC, los accionistas y los analistas - o las prdidas atribuibles a mi hackeo fueron, de hecho, demasiado trivial que se informa. En su libro Juego de Fugitivos, Jonathan Li WAN informa que dentro de una semana del New York Times de primera plana, el agente de Markoff haba "negociado un acuerdo global" con el editor Walt Disney Hyperion para un libro sobre la campaa para localizarme . El avance era ser un estimado $ 750.000. Segn Littman, no iba a ser una pelcula de Hollywood, tambin, con Miramax entrega de 200.000 dlares para la opcin y "un total de $ 650.000 a pagar a la de inicio del rodaje". Una fuente confidencial recientemente me inform que se ocupan de Markoff fue, de hecho, mucho ms que Littman haba pensado originalmente. As que John Markoff tiene un milln de dlares, ms o menos, y me he fivaos e. Un libro que examina los aspectos legales de mi caso fue escrito por un hombre que haba sido fiscal en la oficina del fiscal de distrito de Los ngeles, un colega de los abogados que me procesados. En sus Delitos Informticos espectacular libro, Buck Bloombecker escribi: "Me duele tener que escribir acerca de mis antiguos colegas en menos de trminos lisonjeros .... Estoy obsesionado por ingreso fiscal federal adjunto James Asperger que gran parte del argumento utilizado para mantener Mitnick tras las rejas se basaba en rumores que no papn out ". He pasa a decir: "Fue bastante malo que los fiscales los cargos hechos en la corte se extendi a millones de lectores de peridicos de todo el pas. Pero es mucho peor que esas acusaciones falsas fueron una gran parte de la base para mantener Mitnick tras bares sin la posibilidad de pagar una fianza? " Contina con cierta extensin, al escribir sobre las normas ticas que los fiscales

deben vivir, y luego escribe: "El caso de Mitnick sugiere que las denuncias falsas utilizard para mantenerlo en custodia tambin perjudicados consideracin de la corte de una feria

s. entence "En su artculo de 1999 de Forbes, Adam L. Penenberg describi elocuentemente mi situacin de esta manera:" los crmenes de Mitnick fueron curiosamente inocuo. Rompi en los ordenadores corporativos, pero no hay evidencia indica que l destruy los datos. O vende cualquier cosa que copiar. S, lo hurtado software, pero, al hacerlo, dej atrs. "El artculo deca que mi crimen fue" burlarse de los costosos sistemas de seguridad informticos empleados por las grandes corporaciones. "Y en el libro El juego de Fugitivos, autor Jonathan Littman "La codicia del gobierno poda entender. Sin embargo, un hacker que ejerci el poder por s mismo ... era algo que no poda comprender. " Elsewhere en el mismo libro, Littman escribi: EE.UU. El abogado James Sanders admiti ante el juez Pfaelzer que el dao de Mitnick a DEC no fue los $ 4 millones que haba en los titulares pero $ 160.000. Incluso esa cantidad no era dao hecho por Mitnick, pero el costo aproximado de trazar la debilidad en la seguridad de que sus incursiones haban sealado a la atencin de DEC. El gobierno reconoci que no tena pruebas de las afirmaciones salvajes que haban ayudado a mantener Mitnick sin fianza y en rgimen de aislamiento. No Mitnick prueba nunca haba comprometido la seguridad de la NSA. No hay pruebas de que Mitnick haba emitido nunca un comunicado de prensa falso de Security Pacific Bank. No hay pruebas de que Mitnick cambiado alguna vez el informe de crdito de TRW de un juez. But el juez, tal vez influenciado por la terrible cobertura de los medios, rechaz el acuerdo con el fiscal y condenado a una pena de Mitnick ya continuacin, incluso el gobierno quera. Throughout los aos que pas como un hacker aficionado, he ganado notoriedad no deseada, ha escrito en numerosos informes de prensa y revistas artculos, und had four books written about me. MarkofF y Libro calumnioso Shimomura fue hecho en una pelcula llamada Takedown. Cuando el script encontrado su camino en Internet, muchos de mis partidarios protestaron Miramax Films para llamar la atencin pblica sobre la caracterizacin inexacta y falsa de m. Sin la ayuda de muchos tipos y personas generosas, la pelcula seguramente me habra falsamente presentado como el Hannibal Lecter del ciberespacio. Presionado por mis seguidores, la compaa de produccin de acuerdo para resolver el caso en trminos confidenciales para m evitar la presentacin de una demanda por difamacin en su contra. FinaPensamien tos l Despite John Markoff 's outrageous und libelous descriptions oF me, mi crmenes eran simples delitos de allanamiento ordenador y hacer llamadas telefnicas gratuitas. He reconocido desde mi arresto que las acciones que tom eran ilegales, y que he cometido invasiones de privacidad. Pero sugerir, sin justificacin, razn o prueba, como hicieron los artculos Markoff, que me haban privado a los dems de su dinero o propiedad por ordenador o fraude electrnico, es simplemente falsa, y no apoyada por las pruebas. Mis malas acciones fueron motivadas por la curiosidad: quera saber todo lo que pudo sobre cmo las redes telefnicas funcion, y los pros y contras de la seguridad informtica. Pas de ser

un nio a quien le gustaba hacer trucos de magia para convertirse en hacker ms famoso del mundo, temido por las corporaciones y el gobierno. Al reflexionar sobre mi vida durante los ltimos treinta aos, admito que hice un poco de

decisiones extremadamente pobres, impulsados por la curiosidad, el deseo de aprender acerca de la tecnologa, y un buen desafo intelectual. I 'm una persona diferente ahora. Me estoy convirtiendo mi talento y el conocimiento extenso que he reunido informacin acerca de las tcticas de ingeniera y de seguridad social para ayudar a los gobiernos, empresas e individuos para prevenir, detectar y responder a las amenazas a la seguridad de la informacin. Esta libro es una manera ms en que puedo usar mi experiencia para ayudar a otros a evitar los esfuerzos de los ladrones de informacin maliciosas del mundo. Creo que usted encontrar las historias agradables, abrir los ojos y educativo. Kevin Mitnick

MitEl captulo perdido de nick encontrados

Por Michelle Delio wired.com, 05 noviembre 2002 de

Un captulo que falta del libro de reciente hacker Kevin Mitnick ha sido publicado en Internet. The captulo fue originalmente programado para ser el primer captulo en el nuevo libro de Mitnick, The Art of Deception,but no se incluy en la versin publicada del libro. Chapter Se present slo en alrededor de 300 copias de galera que no consolidados editorial Wiley distribuido a los medios de comunicacin de varios meses antes de soltar el libro, segn un portavoz de Wiley. The editor decidi suprimir el captulo poco antes de soltar el libro. Wiley representantes no pudieron comentar de inmediato sobre por qu el captulo fue extrada. The captulo contiene el primer relato de Mitnick de su vida como un pirata y un fugitivo, as como la detencin, el juicio y la vida en la crcel. The captulo tambin incluye acusaciones de que John Markoff Mitnick, el reportero de tecnologa para The New York Times, Las historias impresas sobre Mitnick maliciosos durante el ao del hacker como un fugitivo. Thcaptulo e faltante se hizo por primera disposicin del pblico la noche del sbado en un grupo de discusin en Yahoo llamado "Kevin Story". Desde

entonces, ha aparecido en otros sitios web.

Mitnick dijo que no saba que se haba publicado en lnea el captulo. Los e-mails a la direccin que aparece yahoo.com con el post original quedaron sin respuesta. "Me siento muy bien sobre el captulo que est disponible ", dijo Mitnick." Durante mucho tiempo me fue presentado como el Osama Bin Laden de Internet y que realmente quera ser capaz de decirle a mi lado de la historia. Yo quera ser capaz de explicar exactamente lo que hice y lo que no hacen a la gente que pensaba que me conoca. " Much del material en los "desaparecidos captulo" Datos Mitnick relaciones con Markoff. Of preocupacin primordial de Mitnick es que Markoff "no reconocer una relacin pre-existente" con Mitnick en el 4 de julio de 1994, noticia que apareci en la primera plana del ThE New York Times. Markoff 's historia descrita como un hacker Mitnick muy peligroso capaz de irrumpir en los ordenadores del Gobierno crticos e hizo hincapi en que Mitnick haba eludido hasta ahora fcilmente las fuerzas del orden. Mitnick acusaciones de que Markoff estaba enojado con l por un reparto de la pelcula no basada en el libro de Markoff 1991, Cyberpunk: Outlaws y hackers en el ordenador Frontier. Lan el momento de la publicacin, Mitnick disputado veracidad del libro, pero acept ms tarde $ 5,000 de una oferta total $ 50.000 para actuar como consultor para la pelcula basada en el libro porque necesitaba el dinero. Twaos o ms tarde, cuando el estudio quera renovar el contrato, Mitnick, por entonces empleado, se neg a renovar. Esta negativa, segn Mitnick y dos fuentes familiarizadas con el incidente, hizo que el acuerdo para morir. Mitnick dijo Markoff debera haber mencionado el asunto de negocios fracasado en sus artculos posteriores sobre Mitnick. Tambin sostiene que muchos de los hacks que se le atribuyen por Markoff nunca sucedi. "Pero tratar de probar que no hackear algo es imposible si la gente cree que eres lo suficientemente capacitado para evadir la deteccin ", dijo Mitnick. Markoff rotundamente se neg a comentar sobre ninguno de los alegatos de Mitnick en el captulo Una. Mitnick dijo que deseaba que el captulo podra haber sido publicado con el libro, pero que respetaba la decisin de su editor.

"Pero, obviamente, la Internet es una gran manera de obtener informacin sin censura, sin filtrar al mundo ", agreg Mitnick." Estoy contando los das hasta que pueda ir en lnea otra vez. " Mitnick ha prohibido el uso de Internet como una condicin de su libertad condicional. l es libre de ir de nuevo en lnea el 21 de enero de 2003, despus de casi ocho aos offline. Thsitio electrnico primero que visitamos es el blog de su novia. "Ella me dice que ha estado documentando nuestra relacin en lnea entera ", dijo Mitnick." Me encantara saber lo que ha estado diciendo acerca de m. "