La recopilación de información juega un papel crucial en la preparación de cualquier compromiso profesional de ingeniería social. La recopilación de información es la fase más larga y laboriosa del ciclo de ataque, pero suele ser un factor determinante del éxito o el fracaso de la intervención. El ingeniero social profesional debe ser consciente de lo siguiente:
- Herramientas de recopilación de información disponibles gratuitamente en línea
- Lugares en línea que albergan valiosas piezas de datos
- Software para ayudar a encontrar y cotejar los datos
- El valor o el uso de datos aparentemente insignificantes que se recogen en línea, por teléfono o en persona
Cómo recopilar información
Hay muchas formas diferentes de acceder a información sobre una organización o individuo. Algunas de estas opciones requieren habilidades técnicas mientras que otras requieren las habilidades blandas del hacking humano. Algunas opciones se pueden utilizar desde cualquier lugar con acceso a Internet. Mientras que otras sólo pueden hacerse en persona en un lugar específico. Hay opciones que no requieren más equipo que una voz, opciones que sólo requieren un teléfono, y otras que requieren aparatos sofisticados.
Un ingeniero social puede combinar muchas pequeñas piezas de información recogidas de diferentes fuentes en una imagen útil de las vulnerabilidades de un sistema. La información puede ser importante tanto si proviene del conserje como del despacho del director general; cada trozo de papel, empleado con el que se habla o zona visitada por el ingeniero social puede sumar suficiente información para acceder a datos sensibles o recursos de la organización. La lección aquí es que toda la información, no importa lo insignificante que el empleado crea que es, puede ayudar a identificar una vulnerabilidad para una empresa y una entrada para un ingeniero social.
Las fuentes «tradicionales» son típicamente fuentes de información abiertas y disponibles públicamente que no requieren ninguna actividad ilegal para obtenerlas. Mientras que las fuentes «no tradicionales» siguen siendo fuentes de información legales, pero menos obvias y que a menudo se pasan por alto, como la búsqueda en basureros. Es posible que estas fuentes puedan proporcionar datos que un programa de concienciación de seguridad corporativa no tendría o no podría tener en cuenta. Por último, hay formas ilegales de obtener información, como el malware, el robo y la suplantación de las fuerzas del orden o de los organismos gubernamentales. Como puedes imaginar, tratamos esta última categoría en el Marco con cuidado. Sólo apoyamos las actividades legales llevadas a cabo dentro del contexto de una prueba de penetración sancionada.
Investigación/Fuentes
Empiece por definir su objetivo para el éxito. Un objetivo claro determinará qué información es relevante y qué puede ignorar. Después de esto, la recopilación de información para apoyar los ejercicios de ingeniería social es muy parecida a la investigación que se hace para cualquier otra cosa. Esto es válido no sólo para el tipo de información, sino también para la forma de reunirla.
Las fuentes de información sólo están limitadas por la relevancia de la información que pueden proporcionar legalmente. Cuando se lleva a cabo una investigación para la ingeniería social, es posible que se encuentre revisando una amplia gama de fuentes (técnicas o físicas) con el fin de obtener un pequeño pedazo de inteligencia de cada fuente. Estos trozos son como las piezas de un puzzle. Por separado no parecen gran cosa, pero cuando se combinan, surge una imagen más amplia y coherente. Para una exploración más detallada de las fuentes, visite las páginas de recopilación de información técnica y física.
Imagen
https://wall-street.com/better-information-gathering-professionals/