CEH v10 Module 09 - Social Engineering ES PDF

Suscríbete a DeepL Pro para poder editar este documento.
Entra en www.DeepL.com/pro para más información.
Certificado Ethical Hacker v10https://www.ethicalhackx.comfb.com/ethicalhackx

Certificado Ethical Hacker v10https://www.ethicalhackx.comfb.com/ethicalhackx
Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx
v10
Capítulo P: Ingeniería Social

Resumen de la tecnología
En este capítulo, "Ingeniería Gocial", discutiremos los conceptos básicos de la
Ingeniería Gocial y su funcionamiento. Esta técnica es diferente de otras
técnicas de robo de información utilizadas hasta ahora. Todas las herramientas
y técnicas anteriores utilizadas para piratear un sistema son técnicas y
requieren un profundo conocimiento de las redes, los sistemas operativos y
otros dominios. Gocial Engineering es la parte no técnica de la obtención de
información. Es más popular entre otras técnicas debido a su facilidad, ya que
los humanos son más propensos a equivocarse en términos de descuido.
El modelo de seguridad incluye la seguridad de la red, la seguridad de otros
recursos de una red corporativa, pero los seres humanos son el componente
más importante de la seguridad. Todas las medidas de seguridad dependen de.
Si un usuario es negligente al asegurar sus credenciales de inicio de sesión,
todas las arquitecturas de seguridad fallarán. Difundir el conocimiento, la
formación y la información al usuario sobre la ingeniería Gocial, los ataques
de ingeniería Gocial y el impacto de su descuido ayudará a reforzar la
seguridad desde los puntos finales.
Este capítulo cubrirá una visión general de los conceptos de Ingeniería Gocial,
Tipos de ataques de Ingeniería Gocial; aprenderá cómo funcionan las
diferentes técnicas de ingeniería social, qué son las amenazas internas, cómo
puede un atacante hacerse pasar por los sitios de redes sociales, el robo de
identidad y cómo se pueden mitigar estas amenazas de ingeniería social.
Empecemos con Gocial Engineering Concepts.

v10
v10
Conceptos de ingeniería social

Introducción a la Ingeniería Social
La Ingeniería Gocial es un acto de robar información de los humanos. Como
no tiene ninguna interacción con el sistema o red objetivo, se considera un
ataque no técnico. La Ingeniería Gocial es considerada como el arte de
convencer al objetivo para que revele información. Puede ser físicamente una
interacción uno a uno con el objetivo o convencer al objetivo en cualquier
plataforma como los medios sociales es una plataforma popular para la
ingeniería social. Este es el hecho de que la gente es descuidada, o no es
consciente de la importancia de la valiosa información que posee.
Vulnerabilidad a los ataques de la ingeniería social
Una de las principales vulnerabilidades que conducen a este tipo de ataques es
la "Confianza", ya que el usuario confía en otro usuario y no obtiene sus
credenciales de él. Esto puede conducir a un ataque por parte del usuario, a que
la segunda persona revele la información a la tercera.
Las organizaciones que desconocen los ataques de Gocial Engineering, así
como sus contramedidas y precauciones, también son vulnerables a este
ataque. Insuficiente programa de entrenamiento y educación de los empleados
crea una vulnerabilidad en la seguridad contra Gocial Engineering. Cada
organización debe capacitar a sus empleados para que sean conscientes de la
ingeniería social.
Cada organización debe asegurar su infraestructura también físicamente. Un
empleado que tenga un nivel diferente de autoridad debe ser restringido para
cumplir con sus privilegios restringidos. El empleado no puede acceder a los
departamentos, como el departamento de Finanzas, debe estar restringido a los
departamentos permitidos solamente. En el caso de que un empleado sea libre
de desplazarse puede realizar ingeniería social mediante Dumpster Diving o
Ghoulder surfing.
La falta de políticas de seguridad y privacidad también son vulnerables. Las
políticas de seguridad deben ser lo suficientemente fuertes para evitar que un
empleado se haga pasar por otro usuario. La privacidad entre personas o
clientes no autorizados y el empleado de una organización debe ser mantenida
para mantener las cosas seguras contra el acceso no autorizado o el robo.
Fases de un ataque de ingeniería social
Los ataques de Ingeniería Gocial no son el ataque complejo que requiere un fuerte

v10
v10
conocimientos técnicos. Un atacante puede ser personal no técnico como se

definió anteriormente; es un acto de robar información de la gente. Sin
embargo, los ataques de Gocial Engineering se realizan siguiendo los pasos
que se mencionan a continuación: -
Investigación
La fase de investigación incluye una recopilación de información sobre
la organización objetivo. Puede ser recolectado por medio del buceo en
basureros, escaneo de sitios web de la organización, búsqueda de
información en Internet, recolección de información de empleados de la
organización objetivo, etc.
Seleccione Destino
En la selección de la fase de destino, el atacante selecciona el objetivo
entre otros empleados de una organización. Se prefiere un objetivo
frustrado, ya que será más fácil revelar información de él.
Relaciónchip
La fase de relación incluye la creación de una relación con el objetivo de
tal manera que no pueda identificar la intención de que el objetivo confíe
en el atacante. Un mayor nivel de confianza entre el objetivo y el atacante
será más fácil de revelar la información.
Explotar
Explotación de la relación por una colección de información sensible
como nombre de usuario, contraseñas, información de red, etc.

v10
v10
Técnicas de Ingeniería Social

Tipos de ingeniería social
Los ataques de Ingeniería Gocial pueden ser realizados por diferentes
técnicas. Las diferentes técnicas de ataque de la ingeniería social se
clasifican en los siguientes tipos: -
Ingeniería Social Humana
La Ingeniería Gocial basada en el ser humano incluye la interacción uno a uno
con el objetivo. Gocial Engineer recopila información sensible a través de
trucos tales como asegurar la confianza, aprovechando los hábitos, el
comportamiento y la obligación moral.
1. Imperconación
La suplantación de identidad es una técnica de ingeniería social basada en el
ser humano. Suplantar la identidad significa fingir ser alguien o algo. Hacerse
pasar por un ingeniero Gocial es fingir que un atacante es un usuario legítimo
o que es una persona autorizada. Esta suplantación de identidad puede ser
personal o a través de un canal de comunicación como, por ejemplo, al
comunicarse por correo electrónico, teléfono, etc.
La suplantación de identidad se realiza mediante el robo de identidad, cuando
un atacante tiene suficiente información personal sobre una persona
autorizada, el atacante recopila información que se hace pasar por un usuario
legítimo que proporciona la información personal de un usuario legítimo.
Hacerse pasar por un agente de soporte técnico que solicita la credencial es
otra forma de hacerse pasar por y recopilar información.
ß. Eavecdropping y Shoulder Surfing
Escuchar a escondidas es una técnica en la que se revela información al
atacante escuchando la conversación de forma encubierta. No sólo incluye
escuchar conversaciones; incluye leer o acceder a cualquier fuente de
información sin ser notificado.
El Ghoulder Gurfing se define en la sección de Huellas en este libro de trabajo.
Ghoulder Gurfing, en resumen, un método para recopilar información estando
detrás de un objetivo cuando está interactuando con información sensible.

v10
v10
S. Dumpcter Buceo
Dumpster Diving es el proceso de buscar tesoros en la basura. Esta técnica es
más antigua pero sigue siendo efectiva. Incluye el acceso a la basura del
objetivo, como la basura de la impresora, el escritorio del usuario, la basura de
la compañía para encontrar facturas telefónicas, información de contacto,
información financiera, códigos fuente y otros materiales útiles.
4. Reverce Ingeniería Social

Un ataque de ingeniería social inversa requiere la interacción del atacante y la
víctima, donde un atacante convence al objetivo de tener un problema o podría
tener un problema en el futuro. Si la víctima está convencida, proporcionará la
información requerida por el atacante. La ingeniería social inversa se realiza a
través de los siguientes pasos: -
a. Un atacante daña el sistema del objetivo o identifica la vulnerabilidad
conocida.
b. El atacante se anuncia como una persona autorizada para resolver ese
problema.
c. El atacante se gana la confianza del objetivo y obtiene acceso a
información sensible.
d. Una vez que la ingeniería social inversa tiene éxito, el usuario a
menudo puede conseguir la ayuda del atacante.
J. Piggybacking y Tailgating
Piggybacking y Tailgating es una técnica similar. El Piggybacking es la técnica
en la que una persona no autorizada espera a que una persona autorizada entre
en un área restringida, mientras que el Tailgating es la técnica en la que una
persona no autorizada accede al área restringida siguiendo a la persona
autorizada. Al usar identificaciones falsas y cerrar el seguimiento al cruzar el
punto de control, el seguimiento se vuelve fácil.
Ingeniería Social basada en la computadora
Hay diferentes maneras de realizar la Ingeniería Informática de Gocial,
incluyendo ventanas emergentes que requieren credenciales de inicio de
sesión, mensajería por Internet y correos electrónicos tales como cartas de
engaño, cartas en cadena y Gpam.
Phiching
El proceso de phishing es una técnica en la que se utiliza el correo electrónico falso que
se parece a
v10
v10
el correo electrónico legítimo se envía a un host de destino. Cuando el

destinatario abre el enlace, es seducido para que proporcione información.
Típicamente, los lectores son redirigidos a la página web falsa que se asemeja
a un sitio web oficial. El usuario proporciona toda la información sensible a un
sitio web falso creyendo que es un sitio web oficial debido a su parecido.
Lanza Phiching
Gpear Phishing es un tipo de phishing que se centra en un objetivo. Se trata de
un ataque de phishing dirigido a un individuo. El phishing de Gpear genera una
tasa de respuesta más alta en comparación con un ataque de phishing aleatorio.
Ingeniería Social móvil
1. Publicación de Maliciouc Appc
En Mobile-based Gocial Engineering, una técnica es la publicación de
aplicaciones maliciosas en el almacén de aplicaciones para que estén
disponibles para su descarga a gran escala. Estas aplicaciones maliciosas son
normalmente una réplica o una copia similar de una aplicación popular. Por
ejemplo, un atacante puede desarrollar una aplicación maliciosa para
Facebook. El usuario, en lugar de descargar una aplicación oficial, puede
descargar accidental o intencionadamente esta aplicación maliciosa de
terceros. Cuando un usuario inicia sesión, esta aplicación maliciosa enviará las
credenciales de inicio de sesión al servidor remoto controlado por el atacante.

Figura 9-01 Publicación de la APLICACIÓN DE
MALIGIOUC
ß. Reembalaje de una aplicación legítima
En Mobile-based Gocial Engineering, otra técnica es el reenvasado de una
aplicación legítima con malware. El atacante inicialmente descarga una
aplicación popular, la mayoría de las aplicaciones bajo demanda de la tienda
de aplicaciones, típicamente los juegos y los anti-virus son los más
v10
v10 comúnmente usados. Attacker reempaqueta la aplicación con

v10
v10
malware y lo sube a una tienda de terceros. El usuario puede no estar al tanto

de la disponibilidad de esa aplicación en la tienda de aplicaciones u obtener un
enlace para la descarga gratuita de una aplicación de pago. En lugar de
descargar desde una aplicación oficial de una tienda de confianza, un usuario
descarga accidental o intencionadamente esta aplicación reenvasada desde una
tienda de terceros. Cuando un usuario inicia sesión, esta aplicación maliciosa
enviará las credenciales de inicio de sesión al servidor remoto controlado por
el atacante.
Figura 9-0£ REEMPAQUETADO DE LA APLICACIÓN
legítima
S. Aplicación de seguridad falsa

Al igual que la técnica anterior, un atacante puede desarrollar una aplicación
de seguridad falsa. Esta aplicación de seguridad puede ser descargada mediante
una ventana emergente cuando el usuario está navegando por el sitio web en
Internet.
Ataque con información privilegiada
Gocial Engineering no se limita a que un tercero reúna información sobre su
organización. Puede ser una persona con información privilegiada, un
empleado de su organización con privilegios o no, espiando a su organización
por intenciones maliciosas. Un ataque con información privilegiada son
aquellos ataques que se llevan a cabo con información privilegiada. Estos
iniciados pueden ser apoyados por el competidor de una organización. Un
competidor puede apoyar a una persona de su organización para revelar
información confidencial y secretos.
Aparte de espiar, Insider puede tener la intención de vengarse. Una persona
descontenta en una organización puede comprometer la información
v10
v10 confidencial y sensible para vengarse. Un empleado puede estar descontento

v10
v10
persona cuando no está satisfecha con la gestión, problemas con la

organización, descenso de categoría o va a ser despedida.

v10
v10
Suplantación de identidad en sitios de redes sociales

Ingeniería social a través de la suplantación de identidad en sitios de redes sociales
La suplantación de identidad en un sitio de redes sociales es muy popular, fácil
e interesante. El usuario malicioso recopila información personal de un
objetivo de diferentes fuentes, principalmente de sitios de redes sociales. La
información recopilada incluye nombre completo, foto de perfil reciente, fecha
de nacimiento, dirección residencial, dirección de correo electrónico, detalles
de contacto, detalles profesionales, detalles educativos tanto como pueda.
Después de recopilar la información sobre un objetivo, el atacante crea una
cuenta que es exactamente igual a la cuenta en el sitio de redes sociales. Esta
cuenta falsa se presenta a los amigos y grupos a los que se une el objetivo. Por
lo general, las personas no investigan demasiado cuando reciben una solicitud
de amistad, y cuando encuentran información precisa, definitivamente aceptan
la solicitud.
Figura 9-05 Redes COGNITIVAS Citec

Una vez que el atacante se ha unido al grupo de medios sociales donde un
usuario comparte su información personal y organizacional, recibirá
actualizaciones de los grupos. Un atacante también puede comunicarse con los
amigos del usuario objetivo para convencerlos de que revelen información.
Riesgos de las redes sociales en las redes corporativas
Un sitio de redes sociales no está lo suficientemente seguro ya que una red
corporativa asegura la autenticación, identificación y autorización de un
empleado.

v10
Certificado Ethical Hacker Suscríbete a DeepL Pro para poder editar este documento.
https://www.ethicalhackx.com fb.com/ethicalhackx
v10 Entra en www.DeepL.com/pro para más información.
acceder a los recursos. El mayor riesgo de las redes sociales es su

vulnerabilidad en la autenticación. Un atacante puede manipular fácilmente la
autenticación de seguridad y crear una cuenta falsa para acceder a la
información.
Un empleado mientras se comunica en las redes sociales puede no ocuparse de
la información confidencial. Cualquier empleado puede revelar accidental e
intencionadamente la información que puede ser útil para la persona con la que
se está comunicando, o para la tercera persona que supervisa su conversación.
Requiere la necesidad de una política firme contra la fuga de datos.

v10
v10
Robo de Identidad
Identificar el robo 0verview
El robo de identidad es robar la información de identificación de alguien. El
robo de identidad se utiliza popularmente para los fraudes. Cualquier persona
con intenciones maliciosas puede robar su identificación reuniendo
documentos tales como facturas de servicios públicos, información personal y
otra información relevante y crear una nueva tarjeta de identificación para
hacerse pasar por alguien. No todo se trata de una tarjeta de identificación;
puede utilizar esta información para probar la identidad falsa y aprovecharse
de ella.
El proceso de robo de identidad
El proceso de robo de identidad comienza con la fase inicial en la que el
atacante se centra en encontrar toda la información necesaria y beneficiosa,
incluida la información personal y profesional. Dumpster Diving y por el
acceso al escritorio de un empleado es una técnica muy efectiva. Sin embargo,
la Ingeniería Gocial también funciona. El atacante encontrará facturas de
servicios públicos, tarjetas de identificación o documentos que le serán útiles
para obtener una tarjeta de identificación falsa de una fuente autorizada, como
una oficina de licencias de conducir.

v10
v10
Figura 9-04 PROYECTO de Robo de Identidad

Una vez que obtenga una identificación de un emisor autorizado, como los
centros de licencias de conducir, los centros de tarjetas de identificación
nacional y el departamento de administración de la organización, podrá
aprovecharla. No es tan fácil; necesitará facturas de servicios públicos para
probar su identificación, usted ha proporcionado todos los parámetros
requeridos para probarse a sí mismo. Una vez que pase este punto de control,
obtendrá el acceso utilizando el ID haciéndose pasar por otro.
v10
v10
empleado legítimo.
Contramedidas de ingeniería social

Los ataques de Gocial Engineering pueden ser mitigados por varios métodos.
La privacidad en el ambiente corporativo es necesaria para mitigar las
amenazas del"shoulder surfing" y el buceo en basureros. Configurar una
contraseña segura, proteger las contraseñas y mantenerlas en secreto protegerá
contra la ingeniería social. Las redes sociales son siempre un riesgo de fuga de
información, pero ahora, la ingeniería social también se está convirtiendo en
una plataforma importante para el uso de una organización. Mantenga el
monitoreo de las plataformas de redes sociales, el registro, la capacitación, la
concientización y la auditoría puede reducir eficazmente el riesgo de ataques
de ingeniería social.
Mapa Mental

v10
v10
Laboratorio ŒP-1: Ingeniería Social con Kali Linux

Estudio de caso: Estamos usando Kali Linux Gocial Engineering Toolkit para
clonar un sitio web y enviar el enlace de clonación a la víctima. Una vez que
la víctima intente iniciar sesión en el sitio web utilizando el enlace, sus
credenciales se extraerán del terminal Linux.
Procedimiento:
1. Abrir Kali Linux
Figura 9-05 Decktop de Kali Linux
Z. Ir a la solicitud

v10
v10
Figura 9-0ð Kali Linux APPLIGATIONC
s. Haga clic en Herramientas de ingeniería de Gocial

4. Haga clic en Gocial Engineering Toolkit

v10
v10
Figura 9-07 Kit de herramientas de

ingeniería COGNITIVA
5. Introduzca "V" para continuar.

v10
v10
Figura 9-08 Kit de herramientas de

ingeniería COGNITIVA
6. Tipo "1" para Ataques de Ingeniería Gocial

v10
v10
Figura 9-09 Menú del conjunto de

herramientas de ingeniería COGNITIVA
7. Tipo "Z" para el vector de ataque del sitio web

v10
v10
Figura 9-10 Menú ATTAGK de la Ingeniería

COGNITIVA
8. Tipo "s" para el método de ataque de la cosechadora de credenciales

v10
Certificado Ethical Hacker Suscríbete a DeepL Pro para poder editar este documento.
https://www.ethicalhackx.com fb.com/ethicalhackx
v10 Entra en www.DeepL.com/pro para más información.
Figura 9-11 Webcite ATTAGK VEGTOR Optionc
P. Tipo "Z" para Gite Cloner

v10
v10
Figura 9-1£ Método de ATAQUE DEL cosechador

Credentialc
O. Escriba la dirección IP de la máquina Linux de Kali (1O.1O.5O.ZOO en

nuestro caso).

v10
v10
Figura 9-15 Cite Cloner
1. Escriba la URL de destino

v10
v10
Figura 9-14 Clonación
Z. Ahora, se utilizará http://1O.1O.5O.ZOO Podemos usar esta dirección

directamente, pero no es una forma efectiva en escenarios reales. Esta
dirección está oculta en una URL falsa y se reenvía a la víctima. Debido a
la clonación, el usuario no pudo identificar el sitio web falso a menos que
observe la URL. Si accidentalmente hace clic e intenta iniciar sesión, las
credenciales se recuperarán en el terminal de Linux. En la siguiente figura,
estamos utilizando http://1O.1O.5O.ZOO para proceder.
s. Inicio de sesión con nombre de
usuario y contraseña Nombre de
usuario: admin
Contraseña: Admin@1Zs

v10
v10
Figura 9-15 Inicio de sesión en la webcita

GLONEADA
4. Vuelve al terminal Linux y observa.

v10
v10
El nombre de usuario admin y la contraseña se extraen. Si el usuario lo

escribe correctamente, se puede utilizar la ortografía exacta. Sin embargo,
usted obtendrá la estimación más cercana de la identificación de usuario y
contraseña. La víctima observará una redirección de página, y será redirigida
a un sitio legítimo donde podrá volver a intentar conectarse y navegar por el
sitio.

v10

CEH v10 Module 09 - Social Engineering ES PDF

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

CEH v10 Module 09 - Social Engineering ES PDF

Caricato da

Copyright:

Formati disponibili

Suscríbete a DeepL Pro para poder editar este documento.

Entra en www.DeepL.com/pro para más información.

Certificado Ethical Hacker v10https://www.ethicalhackx.comfb.com/ethicalhackx

Capítulo P: Ingeniería Social

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Conceptos de ingeniería social

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

conocimientos técnicos. Un atacante puede ser personal no técnico como se

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Técnicas de Ingeniería Social

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

4. Reverce Ingeniería Social

el correo electrónico legítimo se envía a un host de destino. Cuando el

credenciales de inicio de sesión al servidor remoto controlado por el atacante.

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

malware y lo sube a una tienda de terceros. El usuario puede no estar al tanto

S. Aplicación de seguridad falsa

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

persona cuando no está satisfecha con la gestión, problemas con la

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Suplantación de identidad en sitios de redes sociales

Figura 9-05 Redes COGNITIVAS Citec

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

acceder a los recursos. El mayor riesgo de las redes sociales es su

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Figura 9-04 PROYECTO de Robo de Identidad

Contramedidas de ingeniería social

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Laboratorio ŒP-1: Ingeniería Social con Kali Linux

Figura 9-05 Decktop de Kali Linux

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Figura 9-0ð Kali Linux APPLIGATIONC

s. Haga clic en Herramientas de ingeniería de Gocial

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Figura 9-07 Kit de herramientas de

5. Introduzca "V" para continuar.

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Figura 9-08 Kit de herramientas de

6. Tipo "1" para Ataques de Ingeniería Gocial

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Figura 9-09 Menú del conjunto de

7. Tipo "Z" para el vector de ataque del sitio web

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Figura 9-10 Menú ATTAGK de la Ingeniería

8. Tipo "s" para el método de ataque de la cosechadora de credenciales

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Figura 9-11 Webcite ATTAGK VEGTOR Optionc

P. Tipo "Z" para Gite Cloner

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Figura 9-1£ Método de ATAQUE DEL cosechador

O. Escriba la dirección IP de la máquina Linux de Kali (1O.1O.5O.ZOO en

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Figura 9-15 Cite Cloner

1. Escriba la URL de destino

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Figura 9-14 Clonación

Z. Ahora, se utilizará http://1O.1O.5O.ZOO Podemos usar esta dirección

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

Figura 9-15 Inicio de sesión en la webcita

4. Vuelve al terminal Linux y observa.

Certificado Ethical Hacker https://www.ethicalhackx.com fb.com/ethicalhackx

El nombre de usuario admin y la contraseña se extraen. Si el usuario lo