jueves, 19 de mayo de 2016

Ingeniería Social (III) - Provocando, suscitando y obteniendo información del objetivo

Buenos días hackers!! En la ingeniería social no sólo se usa técnicas psicológicas sino también técnicas de hacking. Poco a poco iré escribiendo diferentes técnicas y PoC interesantes, obviamente todo virtualizado o al menos explicado de forma práctica en formato digital. No solo será ofensivo, obviamente lo más importante es la concienciación y seguridad defensiva antes estos ataques en nuestra sociedad. Seguimos con la tercera parte del volumen Ingeniería Social. En las dos entradas anteriores se hizo una presentación de lo que iba a ser el volumen. Al igual, la segunda entrada hice una introducción sobre que es la ingeniería social. La primera parte del volumen seguirá siendo igual (la gran parte de él) y consecuente explicación sobre la psicología de la ingeniería social.

El objetivo como se dijo en entradas pasadas es enseñar una metodología para el pentester sobre (IS). En la fase psicológica que se esta impartiendo sirve para todos los campos de la IS, y por tanto para la vida cotidiana de convivencia con nuestros amigos y familias. La mayoría de entradas serán sobre la parte psicológica de la IS, aunque incluiré PoC interesantes como el uso de SET y otros framework usados para el Phishing.

En esta parte nos introducimos de lleno, en la "elicitation". Esta palabra de origen anglosajona proviene de to elicit, "provocar, suscitar u obtener".



Según la Wikipedia: "Elicitación (del griego elicitus, "inducido" y elicere, "atrapar") es un término de computación que puede referirse más que nada al traspaso de información de un punto a otro, en forma fluida. Está asociado a la psicología como un concepto que refiere al traspaso de información en forma fluida de un ser humano a otro por medio del lenguaje.
En computación, dicha asociación es similar, pero la información puede fluir desde un software a otro, de un computador a una persona o de persona a persona. La información posee elicitación si está fluyendo entre los programas se pueden ver y compartir con otros contactos sin interrupciones ni dificultades. Por ejemplo, cuando se copia y pega un gráfico o un texto de un software procesador de texto a una hoja de cálculo.
Cabe aclarar que elicitar es un término que no forma parte del Diccionario de la Real Academia Española y una innecesaria adaptación del término inglés to elicit que corresponde a los verbos españoles provocar, suscitar u obtener"


"Elicitation", es la forma de obtención de información a través de preguntas indirectas como parte de una conversación. Dicha obtención permite recabar información sobre su vida, sus hábitos y problemas, y así, de un modo u otro tener un análisis amplio sobre el objetivo para el posterior "gaining access" del lugar físico o lógico.

El arte de la elicitación proviene cuando una persona experta en este campo de la IS, es capaz de crear cierta "influencia" en la persona, influencia positiva y conseguir una sonrisa, o un pensamiento bueno sobre ella. De esta forma tan indirecta se obtiene lo que el experto quiere, para su beneficio personal o económico, dependiendo del tipo de persona que use la ingeniería social. El uso de esta técnica puede producir resultados muy positivos al pentester o ciberdelincuente. Para poder desarrollar esta técnica, debe ser natural entender los cimientos básicos de la comunicación verbal y no verbal entre personas, y saber reaccionar rápido y con creatividad ante imprevistos en la comunicación. "Ser un gran comunicador", esta es la reseña principal de la "elicitation".

Esta conversación puede formar parte en cualquier sitio físico, frecuentemente en lugares públicos. Si nos referimos a lugares privados, significa que hemos conseguido acceso a un sitio privado, como puede ser dentro de las oficinas de una organización empresarial, y si estas dentro es porque has usado a parte del "elicitation", otras técnicas de la ingeniería social (como el pretexting, hablaremos luego brevemente su definición) y uso del hacking.
Por tanto centrándonos en un lugar público como un centro comercial, la "elicitation" tiene menor riesgo que en el caso anterior y es más difícil de descubrir. Supongo que os preguntareis el por qué, bueno es sencillo. Si pensamos que estamos en un lugar público es porque se ha dado cita con el objetivo en la cual tenemos algo de información o simplemente se ha dado el caso mediante un montaje de nuestro "pretext" en un falso escenario. El objetivo de nosotros con mucha probabilidad tendrá muy poca información, quizás solo tenga la que el experto le haya querido proporcionar en Internet. Por tanto al tener una cita, ya sea dado por ella o por el experto, el camino usado puede ser muy diverso. Si estudiamos a la víctima con nuestra fuentes públicas recolectada de redes sociales, se puede crear una cita con ella para hablar de algún hobby suyo o incluso para ligar, sin tener que ser una cita especial de la organización que espera atacar. Tampoco tiene que ser una empresa el objetivo, puede ser sólo a una persona individual para obtener un beneficio ecónomico, muy usado por los ciberdelincuentes. Si existe sospecha y las preguntas que el experto plantea son respondidas con un "Si" o un "No", algo esta haciendo mal. Mediante el uso de preguntas bien diseñadas con un patrón de uso único para cada objetivo particular, se consigue lo previsto por el experto consiguiendo información con las respuestas. Las preguntas formuladas se pueden clasificar según la respuesta obtenida en:
  • Recolectoras de información. Nos sirve para ir reuniendo información que nos puede ser útil para unir similitudes con otras fuentes, ya sea números de teléfonos, nombres de personas conocidas, software usado en los sistemas, problemas familiares etc...
  • Intrusivas. Este tipo de preguntas, deben ser formuladas siempre cuando la parte de la comunicación se ha establecido en un nivel de confianza elevado. Es lógico que sea así debido a que la reacción del objetivo puede ser alterado de forma considerable obteniendo un resultado positivo o no. Depende del nivel de conocimiento del objetivo sobre seguridad y del concienciamiento sobre este tipo de ataques.

Cada persona es un mundo, a esto me refiero que no todas las pautas sirven de forma general, se requiere de un estudio minucioso de cada persona obteniendo la máxima información posible mediante técnicas OSINT o exponiéndose un poco más "you have been exposed", consiguiendo información de terceros sin llegar aún al objetivo y aplicar ese bonito juego de palabras formuladas para hacer uso del "elicitation". Por tanto, cuanta más recolección de información tengamos sobre el objetivo, más sencillo será. Es importante el cómo saber también hasta donde quieres llegar con la conversación y el tipo de objetivo que es, para adoptar un rol (nuestro pretext). Un ejemplo de recolección de información sería saber los días que el objetivo estará en la oficina o de vacaciones y así realizar una planificación de las preguntas que se usarán.
Podemos decir entonces con lo visto que el "information gathering" engloba OSINT + Elicitation.

El rol, es muy importante y eficaz siempre y cuando forme parte del "elicitation" Si la cita con una persona de una empresa es sobre algo relacionado con nuestro pretext, es importante poder llevar a cabo lo siguiente "saber el tema técnico hablado + elicitation". De nada sirve, si no se tiene la capacidad de mantener una conversación técnica sobre un tema relacionado con la empresa, como la inversión en bolsa por ejemplo. La unión de estas dos técnicas, puede ser muy prometedor porque puedes obtener más información del objetivo, información muy valiosa para ser usada posteriormente mediante ataques de acceso lógico a la infraestructura de los sistemas de la empresa, o directamente el acceso físico de la misma. Para el acceso lógico es todo el mundo relacionado con el hacking, tiene muchas ramas de estudio. Y para el acceso físico, la exposición es mucho más elevada que el "hackear" a una compañía usando un simple portátil conectada a una VPN y Tor, junto con su VPS.
Entonces tenemos que con un sólido pretexting ayuda considerablemente a una mayor "information gathering" del uso de OSINT+Elicitation.

La magia de la "elicitation" reside en que la víctima no se de cuenta de que esta siendo de una forma u otra interrogada, por tanto la comunicación debe ser muy distendida y afable. Diciendo lo que quiere escuchar, a todos nos gustan que nos alaben, y en general es difícil decir que no. La mayor parte de las personas son amables ante gente que no conoce, si el experto aparenta ser una persona influyente en parte de la conversación el objetivo le dará más información a sus preguntas indirectas ya que le causa impresión esa persona y quiere por todos los medios causarle buena imagen. Y si el experto, actúa de la misma forma que su objetivo, se asemeja a su lenguaje corporal y facial, posiblemente le ofrezca más información debido a que le causa una buena impresión.

Los principios para ser un experto de la "elicitation" son los siguientes:
  • Ser natural: Al formar parte de una conversación el experto ha de ser natural en toda su implicación. 
  • Conocer nuestras posibilidades: Si resulta que el objetivo es un experto economista, será complicado preparar nuestro "pretext" para poder mantener una conversación con él o ella. Es más factible llevarlo a cabo con sencillez.
  • Ser influyente. Convencer a la víctima que somos una persona con capacidades de liderazgo provocando cierta influencia en ella.
  • Lenguaje facial y corporal. Si una persona no controla sus emociones, físicamente aparentará cierto nerviosismo transmitiendo sospechas por sus gesticulaciones faciales y la posición de su cuerpo. 
  • Uso de preguntas indirectas abiertas. La finalidad es obtener una respuesta abierta, y no un simple "si" o "no", además con el añadido de conseguir la respuesta deseada. Para conseguir respuestas abiertas es muy útil el uso al inicio de la pregunta de ¿Por qué...? o ¿Cómo....?
  • Preguntas directas. El fin es obtener información útil dependiendo de la respuesta. Un ejemplo sería decir "¿Sabe donde vive Daniel?"-"No, lo sé lo siento". El problema rádica que al ser directa puede levantar sospechas el objetivo y quitar el poder al ingeniero social como vimos con anterioridad. Pero es lo más eficaz si sale bien.
  • Preguntas asumiendo un hecho que ha "sucedido". Son preguntas que ayuda a obtener la respuesta que el atacante quiere conseguir, inventándosela o que de verdad ha sucedido y lo sabemos con la recolección de información. Un ejemplo puede ser: "-¿Cómo puede ser que el director general Raúl Fuentes haya despedido a 20 personas?" -"No ha despedido a 20, despidió a 5 personas. Por cierto su nombre es Daviz Sanchez Labrado, pero bueno llevas poco tiempo en la empresa yo también me lió con los nombres".
  • No pecar de agonía. Si las respuestas dadas en la conversación no da el resultado positivo, no insistir y levantar sospechas con el objetivo. Si levantamos sospechas por querer obtener más información, se estará expuesto y tendrá que ir pensando el experto en buscar otra alternativa. 
  • Pocas preguntas en la conversación inspira incomodidad. Justo lo contrario a lo anterior. Todos conocemos los famosos silencios que existen como parte de la conversación entre dos personas y resulta muy incómodo. 
  • No romper los esquemas al objetivo. La parte inicial que consta de la recolección de información esta relacionado con la "elicitation". No debe suponer una amenaza para el objetivo, sino lo estamos haciendo mal.
  • Establecer una metodología secundaria previamente planeada a tu favor que formará parte de la conversación. Así se evitará sospechas en caso de fallos. 
  • Necesidad de ayudar y escuchar con atención.
  • Sentido del humor. Inspira positivismo.
  • Conversación piramidal. Esto se refiere a empezar con preguntas comunes e ir obteniendo la información poco a poco se vaya consiguiendo la confianza y la afabilidad en la conversación.
  • Estar de mutuo acuerdo en la conversación. Inspira confianza
  • Ofrecer información al objetivo. Así de este mismo modo, te la ofrecerá a ti. 
  • Uso del alcohol para la obtención de la información. Es curioso, pero a través de nuestras preguntas indirectas y si el objetivo anda embriagado, se puede obtener gran cantidad de información.

Es complicado diferenciar o descubrir que un experto, esta consiguiendo toda la información que quiere obtener sin que se de cuenta. Es necesario educar a las personas ante este tipo de personas en la materia, y no caer ante aparentes "buenas" intenciones. Cuando se forma parte de una conversación amena y afable con el objetivo, realmente se trasmite gracias un exhaustivo entrenamiento del lenguaje corporal, expresiones faciales, inteligencia ante imprevistos, vestimenta etc..Ligado siempre al rol que tenga, o lo que es lo mismo nuestro "rol".
Todo esto con el fin de que el objetivo piense cosas buenas del experto, tal como "que amable es ", "es muy buena persona", "lo más probable es que quede otra vez con él/ella".
Obviamente estos son dotes innatos, es muy díficil que una persona si no tiene estas características en su personalidad aprender desde cero, pero si perfeccionarla interactuando con las personas. Así que, si quiere poner esto en práctica tenga en cuenta que le puede salir mal, aunque puede empezar entablando una conversación hablando del tiempo y probarse, suele ser la más eficaz, teniendo o no información previa del objetivo (OSINT o HUMINT), o llevado o no un rol planificado.

Una parte importante que aún no he mencionado, es la fase antes de que se produzca la "elicitation". No es sólo el rol que ha de tener este experto ingeniero social antes del encuentro, sino provocarle a la víctima al iniciarse el proceso de la conversación o incluso antes de este evento, un pensamiento sobre lo que nosotros queremos que él o ella tiene que pensar. En cierta manera se puede decir que se esta "manipulando" su pensamiento. Esto tiene grandes beneficios, ya que podemos observar reacciones ante ese pensamiento que le provocamos que piense y cambiar nuestra estrategia en el mismo momento de la conversación, para formular nuevas preguntas indirectas (elicitation).
Un ejemplo de un ciberdelincuente sería el siguiente. El atacante y el supuesto "amigo" van a ver una película en el cine, pero resulta que el "amigo" no le gusta mucho esa película y él esta deseando verla. De un modo u otro tiene que conseguir ver la película a toda costa (pero no siendo su objetivo final). Puede preparar lo siguiente:

Atacante: -Hey, sabes tío me encanta esta gran pelicula llamada XXX. Me permite satisfacer la necesidad que tenemos de poder luchar contra la tiranía de un régimen dictatorial, pero en 3D!
Víctima: -Tiene buena pinta, vi el trailer y la noticia que me dejaste en la mesa de clase y no gustandome mucho la ciencia ficción, me produjo una sensación fascinante; y encima con lo que me acabas de decir.....La tenemos que ver!!. Pero me suelen gustar las películas policíacas, ya que mi padre es policía y trabaja en delitos telemáticos (Information Gathering?¿), y llevo desde pequeño viendo películas de este estilo. El otro día vemos una de policías!
Atacante: -Claro no te preocupes. (ya usaré USB Rubber Ducky en el ordenador de tu padre, a ver que información me puede ofrecer...)

En este sencillo ejemplo y sabiendo que no le gustan las películas de ciencia ficción, ha conseguido "manipular" en cierta manera un pensamiento y conseguir ver la película convenciendole y transmitiendole sentimiento e ilusión, obteniendo la respuesta que se espera, además de analizar el cómo usar la "elicitation" y a su vez recolección de información, ya que ha dicho que su padre es policía sin habérselo preguntado. Quizás lo anterior no siempre sirva dependiendo mucho de la personalidad del objetivo, probablemente se necesiten más medios como insistir en enviarle fotos de la película por móvil o hablarle mucho sobre ese tema. Esto es perfectamente aplicable en todos los ámbitos de la ingeniería social como por ejemplo obtener la respuesta que el atacante quiere que le responda el director general de una organización.

Según la NSA, define la "elicitation" como "the subtle extraction of information during an apparently normal and innocent conversation".
Por ello hace que sea tan efectiva esta técnica y es usada por todos nosotros en diferentes caminos en nuestra vida, no tiene por qué ser usada para malas intenciones. Es efectiva, porque forma parte de una conversación como se dijo anteriormente, afable. Entonces, ¿cómo podemos combatir este tipo de ataques? Realmente es muy difícil, la naturaleza humana y nuestra educación recibida tanto de nuestros padres como la brindada en nuestra sociedad, hace que seamos personas sin sospechas ante un experto ingeniero social. Es muy diferente los ataques de ingeniería social en un entorno lógico, donde si que podemos defendernos ante ataque de "phishing" mediante la concienciación ciudadana sobre seguridad informática.

La solución personal que propongo, es no confiar de primeras de un extraño, por muy buenas intenciones que tenga. Esto es aplicable para todo el mundo. Ser una persona influyente ante el experto atacante, y usar estas mismas técnicas para poder derrumbarle y que no aproveche este vector de ataque hacía ti. Las personas en general tenemos debilidades, así que no es imposible dejar "fuera de servicio" a un atacante con malas intenciones mediante el uso de la psicología.


Un saludo, Naivenom

No hay comentarios:

Publicar un comentario

Google Analytics