8/18/2019 Campaña OSINT

1/7

  MundoHacker: ¿Cómo se

realiza una campaña OSINT de

ingeniería social?

Casi a diario oímos que x empresa ha sido “hackeada”. En la mayoría de loscasos, el ataque se salda con miles de datos personales de los clientes o usuarios

de esa compañía, que pasarán a engordar la base de datos de la industria delcrimen.Y lo peor de todo es que para realizar este tipo de ataques no tienes que serun experto en seguridad. Es más, hay una vía mucho más sencilla: Atacar aleslabón más débil, que sigue siendo el trabajador.Pero no nos vale cualquier trabajador, así que en este nuevo capítulo de laserie #MundoHacker, veremos varias de las estrategias habituales paraobtener información crítica de la víctima, ganarnos su confianza, y luegotomar el control de los sistemas informáticos donde están almacenados losdatos que de verdad nos interesan, que espero sirva para que si formas partede una organización avises de los riesgos a los que previsiblemente estáis

expuestos.Empecemos.

Objetivo y elección de la víctimaEs lo primero que alguien interesado en nuestra información va a fijar. Ataques loshay de muchísimos tipos, y según los objetivos finales, interesará obtener enla fase de análisis OSINT una u otra información.

http://www.pabloyglesias.com/?s=%23mundohackerhttp://www.pabloyglesias.com/?s=%23mundohackerhttp://www.pabloyglesias.com/?s=%23mundohackerhttp://www.pabloyglesias.com/valor-fiabilidad-datos-medicos/http://www.pabloyglesias.com/valor-fiabilidad-datos-medicos/http://www.pabloyglesias.com/valor-fiabilidad-datos-medicos/http://www.pabloyglesias.com/valor-fiabilidad-datos-medicos/http://www.pabloyglesias.com/?s=%23mundohacker

8/18/2019 Campaña OSINT

2/7

Pero supongamos que en este ejemplo a priori no tenemos ni idea de cómo atacara esa organización, por lo que haremos un barrido inicial con el fin de encontrarposibles víctimas.¿Qué nos interesa? Alguien que tenga un puesto de responsabilidad, oacceso a la tecnología que está detrás de los sistemas informáticos de la

empresa.Y la mejor manera de empezar a buscar es por la web.

Fase 1: Extracción de información en brutoEntramos en la página de la empresa objetivo. En este caso, me he decidido poruna del sector servicios. Una pyme al azar (la primera que me salió en internetbuscando empresas de ese sector en particular ).Después de navegar un rato por su web, me he dado cuenta que hay poco donderascar. Pero es importante hacer este paso por la sencilla razón de que lo quenecesitamos primero es información. Quizás en su página tengan un blog, yquizás alguna de las entradas nos de alguna idea de por dónde podemos

continuar. En esta web específica, de datos críticos únicamente obtuve elteléfono, ya que ni contaban con página de Quienes Somos ni formulario decontacto. Y tirando del hilo, que la empresa está formada por dos hermanos. Anivel técnico, estamos ante un WordPress (con mirar el código es casi inmediatosaber el tipo de software que están usando), y lamentablemente, elarchivo robots. txt   no nos muestra información extra (a veces este archivo

 puede servirnos para conocer otros archivos o directorios que podrían ser vectorde ataque).Viendo que con esto no voy a ningún sitio, el siguiente punto pasaríapor consultar el WHOIS de la web, y de los servicios disponibles en internet queconozcamos de la víctima. El WHOIS es información pública que todo dominioofrece de sus dueños y de los stakeholders que están involucrados en su buenfuncionamiento (network). A un servidor personalmentele encanta centralops.net (EN) por la gran cantidad de información que ofrece conrealizar una sola búsqueda. Inserto el dominio de la empresa objetivo, y empieza alloverme información:

Con esto se que la página está en Hostinet, y también las fechas de caducidaddel dominio.

http://centralops.net/co/http://centralops.net/co/http://centralops.net/co/http://centralops.net/co/

8/18/2019 Campaña OSINT

3/7

Ya tengo el primer dato. Quienregistró el dominio se llama Ignacio, y viene acompañado de un apellido. Loperfecto hubiera sido que viniera con el nombre completo, pero esperemos que unpoco de hacking con buscadores más adelante desvele más información.Además, podría interesarme la dirección física de la compañía, y sobre todo, elemail, ya que el teléfono ya lo teníamos.

A nivel de Hostinet, también obtengo información interesante:

Estos dos son los contactos que Hostinet ofrece a sus clientes. Datos quecomo veremos pueden ser de vital importancia para el éxito del ataque.Para terminar, recopilo también la información de las DNS, que podrían servirmepara reconocer el tipo de servidor utilizado en algún buscador de tecnologíacomo shodan (EN), conocer el sistema que está detrás (en este caso un UbuntuServer con Apache) y aprovecharme de alguna vulnerabilidad conocida:

http://www.shodanhq.com/http://www.shodanhq.com/http://www.shodanhq.com/http://www.shodanhq.com/

8/18/2019 Campaña OSINT

4/7

Fase 2: Extracción de conocimiento a partir de lainformación brutoLlega el momento del hacking con buscadores.Tenemos un correo, que probaremos (por si hay suerte) a buscarloen Pastebin (EN) o servicios como ZoneH (EN) utilizados habitualmente por los

crackers para difundir las listas de correos sustraídas de bases de datosrobadas. La mayoría de las veces no encontraremos nada, pero vaya, que porintentarlo no sea.

Luego nos vamos a Google, que es la mejor herramienta de un auditor deseguridad, y buscaremos por el nombre y apellido de nuestra potencial víctima:nuestro amigo Ignacio, acortando por el sector profesional al que pertenece.

http://pastebin.com/http://pastebin.com/http://pastebin.com/http://www.zone-h.org/archive/special=1http://www.zone-h.org/archive/special=1http://www.zone-h.org/archive/special=1http://www.zone-h.org/archive/special=1http://pastebin.com/

8/18/2019 Campaña OSINT

5/7

 Como era de esperar, obtenemos su nombre completo, e incluso alguno de susperfiles en redes como LinkedIn (tiene perfil, pero está muy abandonado). Aquípodríamos seguir tirando del hilo como hicimos en el tutorial ¿Qué datos sepueden obtener de una persona en Internet?. Información crítica quepodríamos usar más adelante, para por ejemplo hacernos pasar por unapreciosa rusa o un potencial cliente. También para realizarle cualquier tipo deextorsión que se nos ocurra (seguramente nuestro amigo Ignacio tenga un perfilen Facebook del que podríamos sacar oro).Además, he visto que Ignacio mantiene relaciones profesionales con los miembrosde un grupo de afiliados que le suministran las herramientas paradesempeñar su trabajo, y del que públicamente tengo acceso a su número demiembro.Con esta información, no tendría por qué ser descabellado enviarle un emailhaciéndonos pasar por uno de los administradores invitándole a recibir unaoferta en su próximo pedido. La página de aterrizaje sería una copia de la real(que por cierto, tampoco contaba con certificación de seguridad ), en la que sunúmero de usuario ya está escrito, a falta de que inserte la contraseña. ¿Usará

Ignacio una contraseña distinta para cada servicio? ^.^ Teníamos además información sobre el contacto de Hostinet. Este tipo deinformación es muy interesante ya que nos permitirá seguramente usurpar laidentidad de un tercero, en el que para colmo la víctima ya tiene depositadala confianza. 

Hay que tener en cuenta que no siempre nos encontraremos con perfiles comoIgnacio, que aunque no está en el mundo de la tecnología, si parece tener unapresencia relativamente activa en Internet. Pero en el caso de Amaia o Xavier, altrabajar en este sector, tenemos casi asegurado que sus perfiles son de lo máscompleto:

http://www.pabloyglesias.com/obtener-datos-publicos-persona/http://www.pabloyglesias.com/obtener-datos-publicos-persona/http://www.pabloyglesias.com/obtener-datos-publicos-persona/http://www.pabloyglesias.com/obtener-datos-publicos-persona/http://www.pabloyglesias.com/sec2min-contrasenas-seguras/http://www.pabloyglesias.com/sec2min-contrasenas-seguras/http://www.pabloyglesias.com/sec2min-contrasenas-seguras/http://www.pabloyglesias.com/obtener-datos-publicos-persona/http://www.pabloyglesias.com/obtener-datos-publicos-persona/

8/18/2019 Campaña OSINT

6/7

 

Un ataque bastante habitual sería el de hacernos pasar por Xavier o Amaia,teniendo en mano toda la información que tenemos actualmente del cliente.Podríamos enviar un correo desde el supuesto dominio de Hostinet (con unsencillo script en PHP se puede hacer ) o contratando un dominio muy parecido(como explicamos en su día en la guía de cómo ofuscar URLs en campañas dephishing) avisando a Ignacio de un posible problema ( por ejemplo, con la factura),con el fin de que nos envíe los datos de acceso al servicio o a la red interna de laempresa. Y es posible que si resultamos lo suficientemente convincentes, Ignacioacabe por caer en la trampa.Habremos atacado esta pyme sin tener que tirar una sola línea de código.Simplemente analizando fuentes de información abierta, y utilizando la

ingeniería social como arma. 

¿Es tu empresa vulnerable a ataques de ingenieríasocial basados en datos abiertos?  CLICK TO TWEET 

http://www.pabloyglesias.com/ofuscar-urls-falsas/http://www.pabloyglesias.com/ofuscar-urls-falsas/http://www.pabloyglesias.com/ofuscar-urls-falsas/http://www.pabloyglesias.com/ofuscar-urls-falsas/http://www.pabloyglesias.com/mundohacker-ingenieria-social/http://www.pabloyglesias.com/mundohacker-ingenieria-social/http://www.pabloyglesias.com/mundohacker-ingenieria-social/http://www.pabloyglesias.com/mundohacker-ingenieria-social/https://twitter.com/share?text=%C2%BFEs+tu+empresa+vulnerable+a+ataques%C2%A0de+ingenier%C3%ADa+social+basados+en+datos+abiertos%3F&url=http://www.pabloyglesias.com/datos-empresa-mediante-osint/https://twitter.com/share?text=%C2%BFEs+tu+empresa+vulnerable+a+ataques%C2%A0de+ingenier%C3%ADa+social+basados+en+datos+abiertos%3F&url=http://www.pabloyglesias.com/datos-empresa-mediante-osint/https://twitter.com/share?text=%C2%BFEs+tu+empresa+vulnerable+a+ataques%C2%A0de+ingenier%C3%ADa+social+basados+en+datos+abiertos%3F&url=http://www.pabloyglesias.com/datos-empresa-mediante-osint/https://twitter.com/share?text=%C2%BFEs+tu+empresa+vulnerable+a+ataques%C2%A0de+ingenier%C3%ADa+social+basados+en+datos+abiertos%3F&url=http://www.pabloyglesias.com/datos-empresa-mediante-osint/https://twitter.com/share?text=%C2%BFEs+tu+empresa+vulnerable+a+ataques%C2%A0de+ingenier%C3%ADa+social+basados+en+datos+abiertos%3F&url=http://www.pabloyglesias.com/datos-empresa-mediante-osint/https://twitter.com/share?text=%C2%BFEs+tu+empresa+vulnerable+a+ataques%C2%A0de+ingenier%C3%ADa+social+basados+en+datos+abiertos%3F&url=http://www.pabloyglesias.com/datos-empresa-mediante-osint/https://twitter.com/share?text=%C2%BFEs+tu+empresa+vulnerable+a+ataques%C2%A0de+ingenier%C3%ADa+social+basados+en+datos+abiertos%3F&url=http://www.pabloyglesias.com/datos-empresa-mediante-osint/https://twitter.com/share?text=%C2%BFEs+tu+empresa+vulnerable+a+ataques%C2%A0de+ingenier%C3%ADa+social+basados+en+datos+abiertos%3F&url=http://www.pabloyglesias.com/datos-empresa-mediante-osint/http://www.pabloyglesias.com/mundohacker-ingenieria-social/http://www.pabloyglesias.com/mundohacker-ingenieria-social/http://www.pabloyglesias.com/ofuscar-urls-falsas/http://www.pabloyglesias.com/ofuscar-urls-falsas/

8/18/2019 Campaña OSINT

7/7

¿Qué podemos aprender y cómo podemosdefendernos?Las primera pregunta es sencilla de responder. Si sirve de algo esta guía es paraponer cara a uno de los principales riesgos que una empresa tiene que

solventar en pleno siglo XXI: la formación de sus trabajadores  (de todos ellos)en el buen uso de la tecnología y saber localizar los timos por la red al igual quehacen en el mundo físico.El eslabón más débil de la cadena no es la máquina, sino el que está sentadoen la silla. Y como veíamos, no hace falta ser un experto en seguridad parahackear una web, un servicio o una intranet.

Sobre la pregunta de cómo defendernos, hay algunos puntos que sonrelativamente sencillos de aplicar:  Contratar un WHOIS privado: Los WHOIS están ahí para que en buena fe

cualquiera pueda ponerse en contacto con el administrador de un servicioonline y avisarle de que algo no está funcionando bien. Pero en la práctica,

pueden ser utilizados para este tipo de ataques. Por ello, recomendaría quese ofuscara esta información, ya que si en verdad estuviéramos ante undelito, el organismo competente tendría seguramente la potestad de pedirdirectamente al proveedor información sobre quién está gestionando esapágina.

  Una buena política de permisos: En este caso el objetivo era una pymeformada por dos hermanos (desconozco tan siquiera si tendríantrabajadores), pero en la práctica este tipo de ataques podrían realizarse acualquier tipo de empresa. Y conforme más grande es, más posiblesobjetivos tenemos. El trabajador del departamento de IT suele tener acceso(a veces innecesario) a servicios críticos de la compañía, y los directivos, la

mayoría de las veces, también lo tienen (y la mayoría de las veces de formainnecesaria). Establecer una buena política de permisos minimiza los riesgosde fuga de información.

  Formar a los trabajadores: Ya lo hemos dicho pero lo repito por si a alguienno le ha quedado claro. Son el objetivo número 1 de la industria delcrimen. Son fáciles de manipular, y este tipo de campañas salen másbaratas que lanzar una APT específica al sistema de una compañía queseguramente cuente con sus propias contramedidas.

  Estar alerta y forzar la activación de protecciones perimetrales: Este tipode ataques van contra los trabajadores, no contra los sistemas de laempresa. Pero al final tiene que haber un punto en el que los dos mundos se

toquen. Si el email que envíabamos a Ignacio acaba en la bandeja de spam,es posible que evite el daño. Si la cuenta de acceso a administrador requiereuna doble autenticación, ya no solo tendremos que engañar a Ignacio, sinotambién robarle físicamente su smartphone. Todo acaba sumando…  

http://www.pabloyglesias.com/fallos-en-ciberseguridad/http://www.pabloyglesias.com/fallos-en-ciberseguridad/http://www.pabloyglesias.com/fallos-en-ciberseguridad/http://www.pabloyglesias.com/fallos-en-ciberseguridad/http://www.pabloyglesias.com/fallos-en-ciberseguridad/http://www.pabloyglesias.com/fallos-en-ciberseguridad/