La ingeniería social es el acto de manipular a las personas para que entreguen información privada o confidencial aparentando ser personas con información privilegiada. Por ejemplo, pedirle ayuda a una persona con su automóvil y decirle que conoce a alguien que puede arreglarlo si le dan las llaves del vehículo. Algunas personas pueden confiar en esa historia y entregar sus llaves, pero otras pueden ser la ingeniería social como una estafa y no entregar ninguna información personal.
Metodología
Footprinting es un asalto que utiliza varios tipos de distracciones para obtener acceso a la oficina o edificio del objetivo sin que surjan sospechas. Esto es beneficioso cuando un atacante quiere hacer algo ilegal, como robar archivos de archivos confidenciales o propietarios en las computadoras de la empresa, cometer fraude, etc. La huella es un método mucho menos sigiloso que la ingeniería social, pero siempre tiene la ventaja de tener un perfil bajo y pocas posibilidades de ser atrapado. Footprinting es útil en los casos en que un atacante no tiene ningún acceso especial al edificio de destino y quiere entrar en él. Por ejemplo, si alguien quisiera cometer un fraude en un banco y no conociera a ningún empleado o no hubiera tenido contacto con bancos anteriormente, se usaría la huella digital para obtener acceso porque un atacante o defraudador no tendría ninguna información previa sobre los empleados del banco o las aduanas que siga, por lo que la huella es la mejor manera para que el encuentre información sobre ellos. Todos estos son datos valiosos cuando se quiere cometer fraude en un banco.
Métodos de recuperación de información
La ingeniería social es el acto de intentar manipular a las personas para que realicen acciones o divulguen información confidencial mediante contacto directo, autoridad falsa o pretendiendo la apariencia de legitimidad. Desde pretender ser un representante de su empresa ra solicitar información confidencial a un usuario por teléfono hasta simplemente caminar detrás de alguien mientras este concentrado en la pantalla de su dispositivo e intentar que revele contraseñas y datos personales, ingeniería social puede ocurrir en cualquier lugar y ofrecer recompensas inmediatas.
- Escuchar a escondidas: escuchar una conversación sin ser notado. Escuchar a escondidas es un tipo de ingeniera social particularmente común y posiblemente el mas efectivo. Escuchamos historias de personas que roban información todos los días a través de la piratería telefónica, pero hay otro tipo de espionaje que representa millones y mollines de violaciones de seguridad cada año, la información se obtiene al acceder a la conversación de alguien sin que se den cuenta.
- Shoulder Surfing: Mirar por encima del hombro de alguien para ver lo que esta mirando en su pantalla sin su consentimiento. En realidad, hay varios tipos diferentes de surfde hombro, y el más común es simplemente mirar por encima de un monitor para ver lo que alguien está viendo.
- Dumpster Diving: una variación de la ingeniera social que involucra tácticas y equipos específicos utilizados en sistemas digitales como teléfonos inteligentes y computadoras portátiles. El acto de recuperar datos o equipos desechados de la basura.
Herramientas de huella:
- Marco de ingeniería social
- Hackers, el Diario
- Huella digital de aplicaciones web vulnerables
- PhishingLabs
- Recopilación de información pasiva
- Base de datos de piratería de Google
Contramedidas:
- Las huellas se pueden dejar de manera que no parezcan obvias para los demás.
- Se puede hacer un footprinting para obtener más información sobre el edificio.
- Los empleados son los únicos que tiene acceso a los edificios y las pertenecías dentro de ellos. La huella de los empleados en un edificio objetivo puede ser útil para un atacante porque puede darle una idea de que códigos o claves necesita ingresar, por ejemplo, si quiere robar algo de un area de segura de un edificio.
- Footprinting también se puede utilizar como un intento de ganarse la confianza de las personas.
Conclusión
Footprinting puede usarse para varios propósitos, todos dependiendo de la situación del atacante, y siempre que no haya razón para ocultar su existencia. Si bien se puede hacer de una manera más sutil en comparación con los métodos de ingeniería social, también se puede hacer de amanera obvia. Footprinting requiere que el atacante tenga información sobre el edificio o la ubicación a la que quiere acceder para que sepa lo que sucede dentro de él. Esto hace que la huella sea muy útil en los casos en que un atacante no tiene ningún acceso especial a un edificio de destino y quiere entrar, pero no tiene conocimiento previo de como funcionan o control quien se protegen