EL ARTE DEL ENGAÑO

Controlling el factor humano de la Seguridad

KEVIN D. Mitnick
Y William L. Simon Foreword por Steve Wozniak

Analizados por kineticstomp, revisado y ampliado por el rápido

For Reba Vartanian, Jaffe Shelly, Leventhal Chickie, y Mitchell Mitnick, y por la tarde Alan Mitnick, Mitnick Adán, y Jack Biello For Arynne, Victoria y David, Sheldon, Vincent, y Elena. Ingeniería social Social Ingeniería utiliza la influencia y la persuasión para engañar a la gente by convencerlos de que el ingeniero social es alguien que no es, o por la manipulación. Como resultado, el ingeniero social es capaz de tomar advantage de personas para obtener información con o sin el uso de tecnología.

Conte nts
Foreword Prefacio Introducción Parte 1 Detrás de las escenas Chapteeslabón más débil r 1 Seguridad Parte 2 El arte del atacante Chapter 2 Cuando la información no es inocuo Chapter 3 El Ataque Directo: Sólo preguntaba por ella Chapter 4 Building Trust Capítulo 5 "Let Me Help You" Capítulo 6 "¿Puedes ayudarme?" Chapter 7 sitios falsos y archivos adjuntos peligrosos Chapter 8 Sympathy Uso, Culpabilidad e intimidación Chapter 9 The Sting inversa Parte 3 Intruder Alert Chapter 10 Introducción de los locales Chapter 11 Combinando tecnología y la ingeniería social ChapteR 12 ataques contra el empleado de nivel de entrada Capítulo 13 Cons inteligentes Chapter 14 Espionaje Industrial Part 4 Raising the Bar Capítulo 15 Información Security Awareness y Formación Capítulo 16 Recomendado políticas corporativas de seguridad de la información Fuentes de seguridad en un Vistazo Agradecimientos

Foreword
Whumanos e nacen con un impulso interno para explorar la naturaleza de nuestro entorno. En cuanto a los jóvenes, tanto Kevin Mitnick y yo éramos una gran curiosidad por el mundo y con ganas de ponernos a prueba. Nos premiaron a menudo en nuestros intentos por aprender cosas nuevas, resolver rompecabezas y ganar en los juegos. Pero al mismo tiempo, el mundo que nos rodea nos enseñó las reglas de comportamiento que limitaban nuestro impulso interior hacia la exploración libre. Para nuestros más audaces científicos y emprendedores tecnológicos, así como para la gente como Kevin Mitnick, a raíz de este impulso interior ofrece las mayores emociones, permitiéndonos lograr cosas que otros creen que no se puede hacer. Kevin Mitnick es una de las mejores personas que conozco. Pregunta a él, y él dirá directamente que lo que solía hacer - la ingeniería social - entrana gente órdenes de maniobra. Pero Kevin ya no es un ingeniero social. E incluso cuando se fue, nunca su motivo era enriquecerse a sí mismo oa otros daños. Eso no quiere decir que no son criminales peligrosos y destructivos por ahí who utilizar la ingeniería social para causar verdadero daño. De hecho, eso es exactamente por qué Kevin escribió este libro - para advertirle sobre ellos. ThArt of Deception e indica cuán vulnerables somos todos - gobierno, los negocios, y cada uno de nosotros personalmente - a las intrusiones de la ingeniería social. En esta era consciente de la seguridad, se gastan sumas enormes en la tecnología para proteger nuestras redes y datos informáticos. Este libro señala lo fácil que es engañar a información privilegiada y eludir toda esta protección tecnológica. Que paer a trabajar en los negocios o el gobierno, este libro ofrece una guía de gran alcance para ayudarle a entender cómo trabajan los ingenieros sociales y lo que puede hacer para foil ellos. Utilizando historias de ficción que son a la vez entretenida y reveladora, Kevin y co-autor Bill Simon dar vida a las técnicas de la ingeniería social inframundo. Después de cada historia, ofrecen directrices prácticas para ayudarle a protegerse contra las violaciones y amenazas que están descritos. Technological seguridad deja grandes vacíos que la gente como Kevin nos puede ayudar a cerrar. Lea este libro y que finalmente se dan cuenta de que todos tenemos que girar a la de Mitnick entre nosotros como guía. Steve Wozniak

Precara
Somhackers destruir archivos electrónicos de la gente o todo el disco duro, sino que son llamados crackers o vándalos. Algunos hackers novatos no se molestan en aprender la tecnología, sino simplemente descargar herramientas de hackers de irrumpir en los sistemas informáticos, sino que son llamados script kiddies. Hackers más experimentados con conocimientos de programación desarrollar programas de hackers y publicarlas en la web y sistemas de tablones. Y luego están las personas que no tienen interés en la tecnología, sino simplemente usar la computadora como una herramienta para ayudar en el robo de dinero, bienes o servicios. A pesar del mito creado por los medios de Kevin Mitnick, yo no soy un hacker malicioso. Pero me estoy adelantando a mí mismo. INICIACIÓN Mcamino y se estableció probablemente temprano en la vida. Yo era un niño feliz y despreocupado, pero aburrido. Después de que mi padre se separaron cuando yo tenía tres años, mi madre trabajaba como camarera para que nos apoyen. Para mí, ver a continuación - un hijo único criado por una madre que se pone en los días largos y apresurados en un horario a veces errático - habría ido a ver a un youngster en sus propias casi todas sus horas de vigilia. Yo era mi propio babysitter. Gremando en una comunidad del Valle de San Fernando me dio todo de Los Angeles para explorar, ya la edad de doce años que había descubierto una manera de viajar gratis en todo el conjunto mayor área de Los Ángeles. Me di cuenta un día mientras el autobús que la seguridad de la transferencia de bus que había comprado se basó en el patrón inusual de la perforadora de papel, de que los controladores utilizan para marcar días, el tiempo y la vía en las hojas de transferencia. Un conductor amable, respondiendo a mi pregunta cuidadosamente plantado, me dijo dónde comprar ese tipo especial de ponche. Thtransferencias electrónicas están diseñados para hacerle cambiar de autobús y continuar un viaje a su destino, pero he trabajado en cómo usarlos para viajar a cualquier lugar que quería ir de forma gratuita. La obtención de las transferencias en blanco fue un paseo por el parque. Thcontenedores de correos basura en las terminales de autobuses estaban llenos siempre con los libros utilizados sólo en parte de las transferencias que los controladores tiró al final de los turnos. Con una almohadilla de espacios en blanco y ponche, yo podría marcar mis propios traslados y viajar a cualquier parte que los autobuses de LA fue. En poco tiempo, yo casi había memorizado los horarios de los autobuses de todo el sistema. (Esto fue un ejemplo temprano de mi

memoria sorprendente para algunos tipos de información; todavía puedo, hoy, recordar números de teléfono, contraseñas y otros detalles aparentemente triviales ya en mi infancia.) Another interés personal que surgió a muy temprana edad fue mi fascinación con la realización de magia. Una vez que aprendí un nuevo truco funcionó, se practican,

practice, y practicar un poco más hasta que lo domina. Hasta cierto punto, fue a través de la magia que he descubierto el placer en la obtención de conocimientos secretos. De Phreak teléfono para Hacker Mencuentro y en primer lugar con lo que eventualmente aprendería a llamar ingeniería social se produjo durante mis años de escuela secundaria cuando conocí a otro estudiante que se vio envuelto en un pasatiempo llamado phreakin teléfono. Phreaking telefónico es un tipo de hacking que permite explorar la red telefónica mediante la explotación de los sistemas telefónicos y los empleados de la compañía telefónica. Me mostró truquitos que podía hacer con un teléfono, como la obtención de cualquier información a la compañía telefónica tenido en cualquier clienteY el uso de un número de prueba secreta para hacer llamadas de larga distancia gratis. (En realidad era gratis sólo para nosotros. Supe mucho más tarde que no era un número de prueba en absoluto secreto. Las llamadas eran, de hecho, se factura a cuenta de alguna empresa pobre MCI). That fue mi introducción a la ingeniería social, mi jardín de infantes, por así decirlo. Mi amigo y otro phreaker teléfono conocí poco después me dejó escuchar en cada uno de ellos como pretexto hicieron llamadas a la compañía telefónica. He oído las cosas que dijeron que los hacía sonar creíble, aprendí acerca de las diferentes oficinas de la compañía telefónica, jerga y procedimientos. Pero ese "entrenamiento" no duró mucho tiempo, no tenía que hacerlo. Pronto estaba haciendo todo por mi cuenta, a medida que iba aprendiendo, haciendo que sea aún mejor que mis primeros maestros. Thcurso de e mi vida iba a seguir para los próximos quince años se había fijado. En la escuela secundaria, uno de mis todos los tiempos travesuras favoritas era ganar acceso no autorizado a la telephone interruptor y el cambio de la clase de servicio de un phreaker compañero. Blancoen él había intente realizar una llamada desde su casa, había un mensaje diciéndole que depositar una moneda de diez centavos porque el interruptor compañía telefónica había recibido de entrada que indicaba que estaba llamando desde un teléfono público. Yo se absorbió en todo lo relacionado con los teléfonos, no sólo a los productos electrónicos, interruptores y equipos, sino también de la organización corporativa, los procedimientos y la terminología. Después de un tiempo, que probablemente sabía más sobre el sistema de teléfono de cualquier empleado. Y yo había desarrollado mis habilidades de ingeniería social hasta el punto de que, a los diecisiete años, tuve la oportunidad de hablar mayoría de los empleados de telecomunicaciones en casi cualquier cosa, si yo estaba hablando con ellos en persona o por teléfono.

Mi muy publicitada carrera de hacking en realidad comenzó cuando yo estaba en la escuela secundaria. Aunque no puedo describir el detalle, baste decir que una de las fuerzas impulsoras de mis primeros hacks iba a ser aceptado por los chicos en el grupo de hackers. En aquel entonces usamos el término hacker para referirse a una persona que pasaba mucho tiempo con pequeños ajustes de hardware y software, ya sea para desarrollar programas más eficientes o para evitar pasos innecesarios y hacer el trabajo más rápido. La

term se ha convertido en un peyorativo, que lleva el significado de "criminal malicioso". En estas páginas que uso el término de la manera que siempre lo han utilizado - en su anterior, el sentido más benigno. Laespués de la escuela secundaria, estudié las computadoras en el Centro de Aprendizaje de Computación en Los Angeles. A los pocos meses, el gerente de la escuela de computación di cuenta de que había encontrado la vulnerabilidad en el sistema operativo y ganó todos los privilegios administrativos en su minicomputadora IBM. Los mejores expertos informáticos en su personal docente no podía entender cómo yo había hecho esto. En lo que podría haber sido uno de los primeros ejemplos de "contratar el hacker," Me dieron una oferta que no podía rechazar: ¿Es un proyecto de honores para mejorar la seguridad de la escuela computadora o suspensión cara para hackear el sistema. Por supuesto, he optado por hacer el proyecto honores, y terminó graduándose cum laude con honores. Convertirse en un ingeniero social Sompersonas e salir de la cama cada mañana temiendo su rutina de trabajo diario en ªe salinas proverbiales. He tenido la suerte de disfrutar de mi trabajo. n particular, no se puede imaginar el desafío, la recompensa y el placer que tuve el tiempo que pasé como un private investigador. Estaba afilando mis habilidades en el arte de performance llamado sociales INGENIERÍAg (hacer que la gente a hacer cosas que normalmente no haría por un extraño) y se paga por ello. For mí no fue difícil convertirse en experto en ingeniería social. Lado de mi padre de la familia había estado en el campo de las ventas para las generaciones, por lo que el arte de la persuasión y la influencia que podría haber sido un rasgo hereditario. Cuando se combina ese rasgo con una inclinación para engañar a la gente, usted tiene el perfil de un ingeniero social típico. You podría decir que hay dos especialidades dentro de la clasificación de puestos de estafador. Alguien que estafas y los trucos de su dinero pertenece a una subespecialidad, ªe grifter. Somebody who utilizars engaño, influir, und persuasión contra las empresas, por lo general la orientación de su información, pertenece a la otra sub-especialidad, el ingeniero social. Desde el momento de mi bus de transferencia de truco, cuando yo era demasiado joven para saber que había algo malo en lo que estaba haciendo, yo había empezado a reconocer un talento para descubrir los secretos que no se suponía que debía tener. Construí ese talento mediante engaño, conociendo el idioma, y el desarrollo de una habilidad bien afinado de manipulación. Ene manera que trabajé en el desarrollo de las habilidades de mi oficio, si se me

permite llamarlo un oficio, iba a escoger alguna pieza de información que no le importaba y ver si podía hablar con alguien en el otro extremo del teléfono en su prestación, sólo para mejorar mis habilidades. De la misma manera que solía practicar mis trucos de magia, practiqué

pretexting. A través de estos ensayos, pronto me di cuenta que podía adquirir prácticamente cualquier información que dirigida. Las que describí en testimonio ante el Congreso antes de senadores Lieberman y Thompson años más tarde: He tenido acceso no autorizado a sistemas informáticos a algunas de las corporaciones más grandes del planeta, y han penetrado con éxito en algunos de los sistemas informáticos más resistentes se haya desarrollado. He utilizado los medios tanto técnicos como no técnicos para obtener el código fuente para varios sistemas operativos y dispositivos de telecomunicaciones para estudiar sus vulnerabilidades und su funcionamiento interno. All de esta actividad fue realmente para satisfacer mi propia curiosidad, para ver lo que podía hacer, y descubrir información secreta sobre los sistemas operativos, teléfonos celulares y cualquier otra cosa que despertó mi curiosidad. REFLEXIONES FINALES I've reconocido desde mi arresto que las acciones que tomé eran ilegales, y que yo COMITÉd invasiones de privacidad. MY fechorías estaban motivados por la curiosidad. Yo quería saber lo más que pueda acerca de cómo las redes de telefonía funcionaba y las ins-y-outs de la seguridad informática. Pasé de ser un niño a quien le gustaba hacer trucos de magia para convertirse en hacker más famoso del mundo, temido por las corporaciones y el gobierno. Al reflexionar sobre mi vida durante los últimos 30 años, admito que algunas decisiones extremadamente pobres, impulsados por la curiosidad, el deseo de aprender acerca de la tecnología, y la necesidad de un buen desafío intelectual. I 'm una persona diferente ahora. Me estoy convirtiendo mi talento y el conocimiento extenso que he reunido información acerca de las tácticas de ingeniería y de seguridad social para ayudar a los gobiernos, empresas, und individuals evitar, detectar, und resd tseguridad de la información o las amenazas. This libro es una manera más que puedo utilizar mi experiencia para ayudar a otros a evitar los esfuerzos de los ladrones de información maliciosas del mundo. Creo que usted encontrará las historias agradables, abrir los ojos y educativa.

Introducció n
This libro contiene una gran cantidad de información sobre seguridad de la información y la ingeniería social. Para ayudarle a encontrar el camino, he aquí una breve explicación sobre cómo se organiza este libro: YoParte 1 n voy a revelar eslabón más débil de la seguridad y mostrarle por qué usted y su empresa están expuestos a los ataques de ingeniería social. YoParte n 2 verá cómo los ingenieros sociales juguete con su confianza, su deseo de ser útil, su simpatía y su credulidad humana para conseguir lo que quieren. Los cuentos de ficción de ataques típicos demostrar que los ingenieros sociales pueden usar muchos sombreros y muchos rostros. Si crees que nunca he encontrado uno, usted está probablemente equivocado. ¿Va a reconocer el escenario que he experimentado en estas historias y me pregunto si tuvo un roce con la ingeniería social? Usted bien podría hacerlo. Pero una vez que usted ha leído los capítulos 2 a 9, usted sabrá cómo obtener la ventaja cuando el ingeniero social próximo viene llamando. Part 3 es la parte del libro donde se ve cómo los altos ingenieros sociales del ante, en inventadas historias que muestran cómo se puede avanzar en sus instalaciones corporativas, robar el tipo de secreto que puede hacer o romper su compañía, y frustrar sus hi-tech medidas de seguridad. Los escenarios de esta sección le hará consciente de las amenazas que van desde simple empleado venganza con el terrorismo cibernético. Si el valor de la información para mantener el funcionamiento de negocios y la privacidad de sus datos, usted querrá leer los capítulos 10 al 14, de principio a fin. Ess importante tener en cuenta que a menos que se indique lo contrario, las anécdotas de este libro son puramente ficticios. En la Parte 4 I habla por hablar acerca de cómo las empresas exitosas para prevenir los ataques de ingeniería social en su organización. El capítulo 15 proporciona un plan para el éxito de la seguridad-programa de entrenamiento. Y el capítulo 16 sólo podría salvar su cuello - es una política de seguridad completa que usted puede personalizar para su organización y poner en práctica de inmediato para mantener su empresa y la información de seguridad. Finalmente, He incluido una sección de Seguridad en un vistazo, que incluye listas de verificación, tablas y gráficos que resumen la información clave que puede utilizar para ayudar a sus empleados frustrar un ataque de ingeniería social en el trabajo. Estas herramientas también proporcionan información valiosa que puede utilizar en la elaboración de su propio programa de entrenamiento de seguridad. Throughout el libro también encontrarás varios elementos útiles: Cajas de Lingo

proporcionar definiciones de la ingeniería social y la terminología hacker, Mitnick ofrecer mensajes breves palabras de sabiduría para ayudar a fortalecer su seguridad

strategy, y las notas y las barras laterales dar fondo interesante o información adicional.

Parte 1 Behiª Las Escenas

Chapter 1 Seridad más Enlace

débil

de

Una empresa puede haber comprado las mejores tecnologías de seguridad que el dinero puede comprar, entrenado a su gente tan bien que encierran todos sus secretos antes de ir a casa por la noche, y contrató a guardias de la construcción de la mejor empresa de seguridad en la empresa. That compañía sigue siendo totalmente vulnerable. Individuals puede seguir cada práctica recomendada de seguridad recomendado por los expertos, servilmente instalar cada producto de seguridad recomendada, y estar completamente alerta sobre la configuración adecuada del sistema y la aplicación de parches de seguridad. Those individuos siguen siendo totalmente vulnerable. THE FACTOR HUMANO Testifying ante el Congreso no hace mucho tiempo, me explicó que muchas veces podía llegar contraseñas y otras piezas de información sensible de su empresa, haciéndose pasar por otra persona y sólo pedirlo. Ess natural que anhelan una sensación de seguridad absoluta, lo que lleva a muchas personas a conformarse con un falso sentido de seguridad. Considere la posibilidad de que el propietario responsable y amoroso que tiene un Medico, una cerradura conocida como pickproof, instalado en la puerta principal de proteger a su mujer, a sus hijos ya su casa. Ahora está cómodo que él ha hecho su familia mucho más seguro contra los intrusos. Pero ¿qué pasa con el intruso-que se rompe una ventana, o se agrieta el código para el abridor de puerta de garaje? ¿Cómo sobre la instalación de un sistema de seguridad robusto? Mejor, pero todavía no hay garantía. Cerraduras caro o no, el propietario sigue siendo vulnerable. ¿Por qué? Debido a que el factor humano es verdaderamente eslabón más débil de seguridad. Security es a menudo más que una ilusión, una ilusión a veces agrava aún más cuando la credulidad, la ingenuidad o ignorancia entran en juego. Científico más respetado del mundo del siglo XX, Albert Einstein, es citado diciendo, "Sólo dos cosas son infinitas, el universo y la estupidez humana, y no estoy seguro de la primera". Al final, los ataques de ingeniería social puede tener éxito cuando la gente es estúpida o, más comúnmente, simplemente ignorantes acerca de buenas

prácticas de seguridad. Con la misma actitud que nuestra seguridad-consciente propietario, tecnologías de la información muchos (TI) se aferran a la idea errónea de que han hecho sus empresas en gran medida inmune a los ataques debido a que han desplegado los productos estándar de seguridad - cortafuegos, sistemas de detección de intrusos, o fuertes autenticación

dispositivos tales como los basados en el tiempo fichas o tarjetas inteligentes biométricas. Cualquiera que piense que los productos de seguridad de solo ofrecer verdadera seguridad es la solución para. la ilusión de seguridad. Es un caso de vivir en un mundo de fantasía: Inevitablemente, más adelante, si no antes, sufrir un incidente de seguridad. Las señaló el consultor de seguridad Bruce Schneier dice, "La seguridad no es un producto, es un proceso." Por otra parte, la seguridad no es un problema de la tecnología - es un pueblo y problemas de gestión. Las developers inventariot continually better security tecnologías, momando que increasingly difíciles de explotar las vulnerabilidades técnicas, los atacantes se volverá cada vez más a la explotación del elemento humano. Descifrando el servidor de seguridad humana es a menudo fácil, no requiere ninguna inversión más allá del costo de una llamada telefónica, e implica un riesgo mínimo. Un caso clásico de DECEPTION ¿Qués la mayor amenaza para la seguridad de los activos de su negocio? Eso es fácil: la sociaingeniero l - un mago sin escrúpulos que le ha ver a su mano izquierda mientras con la derecha roba sus secretos. Este personaje suele ser muy amable, locuaz y complaciente que estás agradecido por haberlo encontrado. Take un vistazo a un ejemplo de ingeniería social. No mucha gente hoy todavía recuerdo el joven llamado Stanley Marcos Rifkin y su pequeña aventura con la ahora extinta Security Pacific National Bank en Los Angeles. Los relatos de su escapada variar, y Rifkin (como yo) nunca ha dicho a su propia historia, por lo que el siguiente se basa en los informes publicados. Código Breaking Endía e en 1978, Rifkin moseyed a la Seguridad Pacífico autorizados-personalsólo cable de transferencia de habitación, donde el personal enviado y recibido transferencias por un total de varios miles de millones de dólares todos los días. He estaba trabajando para una empresa bajo contrato para desarrollar un sistema de copia de seguridad para los datos de la Sala de cable en caso de que su ordenador principal siempre fue abajo. Ese papel le dio acceso a los procedimientos de transferencia, incluyendo cómo los funcionarios del banco organizó una transferencia para ser enviados. Había aprendido que los oficiales bancarios que fueron autorizados para ordenar transferencias bancarias se les asigna un código muy bien guardado diario cada mañana para llamar al la sala de alambre.

Yon el cuarto alambre de los empleados se ahorró la molestia de tratar de memorizar el código de cada día: Ellos escribieron el código en un trozo de papel y lo puso donde

lay podía ver con facilidad. Este particular noviembre día Rifkin tenía una razón específica para su visita. Quería echar un vistazo a ese papel. Arriving en la sala de alambre, tomó algunas notas sobre los procedimientos de operación, supuestamente para asegurarse de que el sistema de copia de seguridad encajaría bien con los sistemas regulares. Mientras tanto, subrepticiamente leer el código de seguridad de la hoja de papel publicado, y memorizó. Unos minutos más tarde se fue. Como dijo más tarde, se sintió como si hubiera ganado la lotería. Hay esta cuenta bancaria en Suiza ... Leaving de la habitación a las 3 de la tarde, se dirigió directamente hacia el teléfono público en el vestíbulo de mármol del edificio, donde depositó una moneda y marcó en el cuarto alambre de transferencia. Luego cambió sombreros, transformándose de Stanley Rifkin, consultor bancario, a Mike Hansen, miembro del Departamento Internacional del Banco. According con una fuente, la conversación fue algo como esto: "Hola, Este es Mike Hansen en Internacional ", le dijo a la joven mujer que contestó el teléfono. She preguntó por el número de la oficina. Eso era un procedimiento estándar, y estaba preparado: "286", dijo. La niña le preguntó: "Bueno, ¿cuál es el código?" Rifkin ha dicho que su adrenalina con motor sin pensarlo "cogió su ritmo" en este punto. Él respondió sin problemas ", 4789." Luego se fue a dar instrucciones para el cableado "Diez millones, doscientos mil dólares exactamente" a la Sociedad Irving Trust en Nueva York, para el crédito del Banco Wozchod Handels de Zurich, Suiza, donde se había establecido ya una cuenta. The niña y dijo: "Está bien, ya entendí. Y ahora necesito el número asentamiento entre oficinas." Rifkin se rompió a sudar, lo que fue una pregunta que él no había previsto, algo que se había caído por las grietas en su investigación. Pero se las arregló para permanecer en el personaje, actuó como si todo estaba bien, y en el acto respondió sin titubear: "Déjame ver,. Te llamo de vuelta" Cambió sombreros de nuevo a llamar a otro departamento en el banco, esta vez dice ser un empleado de la sala de alambre de transferencia. Obtuvo el número de asentamiento y llamó a la chica de vuelta. She tomó el número y dijo: "Gracias". (En estas circunstancias, su agradeciéndole tiene que ser considerado muy irónico.)

Achieving Cierre Unos días más tarde Rifkin voló a Suiza, recogió su dinero en efectivo, y entregado $8 millones a una agencia rusa para un montón de diamantes. Voló de vuelta, pasando por Aduanas de EE.UU. con las piedras ocultas en un cinturón de dinero. Se había quitado ªe el mayor banco atraco de la historia - y lo ha hecho sin necesidad de utilizar un arma de fuego, incluso sin una computadora. Curiosamente, su travesura finalmente lo hizo en las páginas del Libro Guinness de los Récords en la categoría de "mayor fraude informático". STANLey Rifkin habían utilizado el arte del engaño - las habilidades y técnicas que hoy se llama ingeniería social. La planificación minuciosa y un buen regalo de gab es todo lo que realmente tomó. Und eso es lo que trata este libro - las técnicas de ingeniería social (a la que este servidor es competente) y la forma de defenderse de que se utilicen en su empresa. LA NATURALEZA DE LA AMENAZA La historia Rifkin deja perfectamente claro cómo engañar a nuestro sentido de seguridad puede ser. Incidentes como este - bueno, tal vez no $ 10 millones, pero los robos incidentes perjudiciales no obstante - se suceden todos los días. Usted puede estar perdiendo dinero en este momento, o alguien puede robar los planes de nuevos productos, y ni siquiera lo saben. Si aún no lo ha pasado a tu empresa, no es una cuestión de si ocurrirá, sino cuándo. Una preocupación creciente The Instituto de Seguridad Informática, en su encuesta de 2001 de los delitos informáticos, informó THAt 85 por ciento de las organizaciones que respondieron habían detectado violaciones de seguridad informática en los últimos doce meses. Eso es un número asombroso: Solamente quince de cada cien organizaciones que respondieron fueron capaces de decir que had no tenía una brecha de seguridad durante el año. Igualmente sorprendente fue el número de organizaciones que informaron de que habían sufrido pérdidas financieras debido a la computadora breaches: 64 por ciento. Bastante más de la mitad de las organizaciones habían sufrido financieramente. En un solo año. MY experiencias propias me llevan a creer que los números en los informes como este son un poco inflados. Sospecho de la agenda de las personas que realizan la encuesta. Pero eso no quiere decir que el daño no es muy extensa, sino que lo es. Los que no tel plan o por un incidente de seguridad están planeando para el fracaso.

Commercial productos de seguridad desplegados en la mayoría de las empresas tienen como objetivo principal brindar protección contra el intruso informático aficionado, al igual que los jóvenes conocidos como script kiddies. De hecho, estos aspirantes a hackers con el software descargado en su mayoría son sólo una molestia. Las pérdidas mayores, las amenazas reales y provienen de los atacantes sofisticados con metas bien definidas que están motivados por

Financial ganancia. Estas personas se centran en un objetivo a la vez más que, al igual que los aficionados, tratando de infiltrarse en tantos sistemas como sea posible. Mientras que los intrusos informáticos aficionados simplemente ir por cantidad, los profesionales de la información de destino de calidad y valor. Las tecnologías como los dispositivos de autenticación (para demostrar la identidad), control de acceso (para gestionar el acceso a los archivos y recursos del sistema), y los sistemas de detección de intrusos (el equivalente electrónico de alarmas contra robo) son necesarios para un programa de seguridad corporativa. Sin embargo, es típico hoy para una empresa a gastar más dinero en café que en la implementación de medidas de lucha para proteger a la organización contra los ataques de seguridad. Así como la mente criminal no puede resistir la tentación, el espíritu hacker está impulsado a buscar formas de evadir las protecciones de seguridad de gran alcance de la tecnología. Y en muchos casos, lo hacen apuntando a la gente que utiliza la tecnología. Prácticas engañosas Hay un dicho popular que un ordenador seguro es aquel que está apagado. Inteligente, pero falso: El pretexter simplemente alguien habla en ir a la oficina y convertir esa computadora. Un enemigo que desea que su información puede obtenerla, por lo general en cualquiera de varias maneras diferentes. Es sólo una cuestión de tiempo, paciencia, personalidad y persistencia. Ahí es donde el arte del engaño entra en juego Para derrotar a medidas de seguridad, un atacante, intruso, o ingeniería social tiene que encontrar una manera de engañar a un usuario de confianza en la información reveladora, o engañar a incautos en una marca que le proporcione acceso. Cuando los empleados de confianza son engañados, influenciado, o manipulados para revelar información sensible, o la realización de acciones que crean un agujero de seguridad para el atacante a deslizarse por él, no hay tecnología en el mundo puede proteger un negocio. Así como criptoanalistas son a veces capaces de revelar el texto de un mensaje codificado por encontrar un punto débil que les permite eludir el cifradotecnología, el engaño uso social ingenieros practicado en sus empleados para eludir la tecnología de seguridad. ABUSO DE CONFIANZA Yon la mayoría de los casos, el éxito de los ingenieros sociales tienen fuertes habilidades de la gente. Son encantador, Corteses, y fácil de como - los rasgos sociales necesarias para establecer una relación rápida y confianza. Un ingeniero social experimentado es capaz de tener acceso a la información en cualquier objetivo mediante el uso de

las estrategias y tácticas de su oficio. SavvY tecnólogos han desarrollado cuidadosamente seguridad de la información de soluciones para minimizar los riesgos relacionados con el uso de las computadoras, aún queda sin resolver la vulnerabilidad más importante, el factor humano. A pesar de nuestro intelecto,

humanos - tu, yo y todos los demás - siguen siendo la amenaza más grave para la seguridad mutua. Nuestro carácter nacional We're no Consciente de la amenaza, especialmente en el mundo occidental. En los Estados Unidos Estados por encima de todo, no estamos capacitados para sospechar unos de otros. Se nos enseña a "amar a tu prójimo" y tener confianza y fe en sí. Considere lo difícil que es para las organizaciones de vigilancia vecinal para que la gente cerrar sus casas y automóviles. Este tipo de vulnerabilidad es obvio, Y sin embargo, parece ser pasar por altod por muchos que prefieren vivir en un mundo de ensueño hasta que se queme. We sabe que no todas las personas son amables y honestos, pero demasiado a menudo vivimos como si lo fueran. Esta encantadora inocencia ha sido la tela de la vida de los estadounidenses y es doloroso renunciar a ella. Como nación, hemos incorporado en nuestro concepto de libertad que los mejores lugares para vivir son aquellos en los que las cerraduras y llaves son los menos necesario. Mospersonas t ir en el supuesto de que no se deje engañar por otros, basados en la creencia de que la probabilidad de ser engañado es muy bajo, el atacante, la comprensión de esta creencia común, hace que el sonido de su petición tan razonable que suscita ninguna sospecha, todo mientras que la explotación de la confianza de la víctima. Inocencia Organizacional Esa inocencia que es parte de nuestro carácter nacional volvió evidente cuando los equipos fueron los primeros en estar conectados remotamente. Recordemos que el ARPANET (el Departamento de Defensa de Proyectos de Investigación Avanzada de la Agencia Network), el predecesor de Internet, fue diseñado como una manera de compartir información de investigación entre el gobierno, la investigación y las instituciones educativas. El objetivo era enformación Freedom, como bien como technological adelanto. Hombrey eduinstituciones educativas por lo tanto establecer los primeros sistemas informáticos con poca o ninguna seguridad. Uno observó software libertario, Richard Stallman, incluso se negó a proteger a su cuenta con una contraseña. But con el Internet que se utiliza para el comercio electrónico, los peligros de seguridad débil en nuestro mundo interconectado han cambiado dramáticamente. Implementación de más tecnología no va a resolver el problema de la seguridad humana.

Just ver en nuestros aeropuertos hoy. La seguridad ha convertido en algo fundamental, sin embargo, estamos alarmados por informes de los medios de viajeros que han sido capaces de burlar la seguridad y llevar armas potenciales más allá de los puntos de control. ¿Cómo es esto posible en un momento en que nuestros aeropuertos se encuentran en tal estado de alerta? ¿Los detectores de metales fallando? No, el problema no son las máquinas. El problema es el factor humano: La gente manejando las máquinas. Las autoridades del aeropuerto puede encauzar la Guardia Nacional y

instalarl detectores de metales y sistemas de reconocimiento facial, sino educar al personal de seguridad de primera línea sobre cómo inspeccionar a los pasajeros correctamente es mucho más probable que ayude. The same problem existirs within gubernament, negocios, und EDUCACIONl las instituciones de todo el mundo. A pesar de los esfuerzos de los profesionales de la seguridad, la información en todas partes sigue siendo vulnerable y seguirá siendo visto como un blanco maduro por los atacantes con conocimientos de ingeniería social, hasta que el eslabón más débil de la cadena de seguridad, el vínculo humano, se ha fortalecido. Ahora más que nunca tenemos que aprender a dejar de hacerse ilusiones y llegar a ser más conscientes de las técnicas que están siendo utilizados por aquellos que intentan atacar la confidencialidad, integridad y disponibilidad de los sistemas informáticos y redes. Hemos llegado a aceptar la necesidad de una conducción defensiva, es el momento de aceptar y aprender la práctica de la computación en la defensiva. Thamenaza e de un robo que viole su privacidad, su mente, o los sistemas de información de su empresa puede no parecer real hasta que sucede. Para evitar una dosis tan costoso de la realidad, todos tenemos que tomar conciencia, educado, atento, y agresivamente protección de nuestros activos de información, nuestra información personal y las infraestructuras vitales de la nación. Y debemos poner en práctica esas medidas hoy. TERRORISTAS Y DECEPCIÓN Of supuesto, el engaño no es una herramienta exclusiva de la ingeniería social. Físico terrorism hace la gran noticia, y nos hemos dado cuenta de que nunca que el mundo es un lugar peligroso. La civilización es, después de todo, sólo una fina capa. Thataques electrónicos contra Nueva York y Washington, DC, en septiembre de 2001 la tristeza y el miedo infundido en los corazones de cada uno de nosotros no sólo los estadounidenses, pero bien intencionadas personas de todas las naciones. Estamos alertados del hecho de que hay terroristas obsesivos ubicados en todo el mundo, así capacitados - y esperando para lanzar nuevos ataques contra nosotros. The intensificado recientemente esfuerzo por nuestro gobierno ha incrementado los niveles de nuestra conciencia de seguridad. Tenemos que estar alerta, en guardia contra toda forma de terrorismo. Necesitamos entender cómo los terroristas traidoramente crear identidades falsas, asumir roles como estudiantes y vecinos, y se derriten into la muchedumbre. Ellos ocultan sus verdaderas creencias mientras que conspiran contra nosotros - practicando trucos de engaño similares a las que se lee en estas páginas.

Unmientras que d, a lo mejor de mi conocimiento, los terroristas no han utilizado artimañas de ingeniería social para infiltrarse en las corporaciones, las plantas de tratamiento de agua, instalaciones eléctricas de generación, u otros componentes vitales de nuestra infraestructura nacional, el potencial está ahí. Es demasiado fácil. La concienciación sobre la seguridad y las políticas de seguridad

THAt espero que se puso en marcha y ejecutadas por la alta gerencia corporativa por este libro llegará justo a tiempo. ACERCA DE ESTE LIBRO Corporate la seguridad es una cuestión de equilibrio. Demasiado poca seguridad deja la compañía vulnerable, pero un énfasis excesivo en la seguridad se interpone en el camino de asistir a los negocios, inhibiendo el crecimiento de la empresa y la prosperidad. El reto consiste en conseguir un equilibrio entre la seguridad y la productividad. Other libros sobre seguridad de la empresa se centran en la tecnología de hardware y software, y no cubren adecuadamente la amenaza más grave de todas: engaño humano. El propósito de este libro, en cambio, es para ayudarle a entender cómo usted, sus compañeros de trabajo, y otros en su empresa están siendo manipulados, y las barreras que pueden levantar para dejar de ser víctimas. La abucheok se centra principalmente en los métodos no técnicos que intrusos hostiles utilizan para robar información, comprometer la integridad de la información que se cree que es segura, pero no lo es., destruir o producto de la empresa de trabajo. Mtarea y se hace más difícil por una simple verdad: Cada lector habrá sido manipulado por los expertos grandes de todos los tiempos en la ingeniería social sus padres. Ellos encontraron la manera de que usted consigue - "por su propio bien" - para hacer AMSt mejor les parecía. Los padres se convierten en grandes narradores de la misma manera que sociales ingenieros skillfully devElop very plausible historias, razones, und justificaciónimplicaciones para el logro de sus objetivos. Sí, nos moldea todo por nuestros padres: benevolent (ya veces no tan benevolente) ingenieros sociales. Acondicionadosd por que la formación, que se han vuelto vulnerables a la manipulación. Queremos vivir una vida difícil si tuviéramos que estar siempre en guardia, desconfiado de los demás, preocupados de que podría convertirse en el juguete de alguien que trata de aprovecharse de nosotros. En un mundo perfecto implícitamente a confiar en los demás, confiando en que las personas que encontramos vamos a ser honestos y dignos de confianza. Pero no vivimos en un mundo perfecto, y por eso tenemos que ejercer un nivel de vigilancia para repeler los esfuerzos engañosas de nuestros adversarios. The porciones principales de este libro, partes 2 y 3, se compone de historias que muestran ingenieros sociales en acción. En estas secciones podrás leer sobre: • ¿Quphreaks t telefónicas descubrieron hace años: Un método de pulido para obtener un número de teléfono de uso restringido de la compañía telefónica.

• Cortaral los diferentes métodos utilizados por los atacantes para convencer incluso a los empleados sospechosos de alerta, a revelar sus nombres de usuario y contraseñas de computadoras. • Cómo un gerente del Centro de Operaciones cooperó al permitir a un atacante steal que su compañía de productos de más información en secreto.

• Thmétodos electrónicos de un atacante que engañó a una señora para que descarguen software que espía a cada golpe de teclado que hace y envía por correo electrónico los detalles para él. • Hoinvestigadores privados w obtener información sobre su empresa, y sobre tí, personalmente, que prácticamente se puede garantizar enviará un escalofrío en la columna vertebral. You podría pensar al leer algunas de las historias en las partes 2 y 3 que no son posible, que nadie podría realmente tener éxito en conseguir acabar con las mentiras, trucos sucios, y los planes de, descrito en estas páginas. La realidad es que en todos los casos, estas historias representan eventos que pueden ocurrir y de hecho, muchos de ellos están pasando todos los días en algún lugar del planeta, tal vez incluso a su negocio mientras usted lee este libro. Thmateriales e en este libro será una verdadera revelación cuando se trata de proteger su negocio, pero también personalmente desviar los avances de un ingeniero social para proteger la integridad de la información en su vida privada. Yon la parte 4 de este libro que cambiar de marcha. Mi objetivo aquí es ayudar a crear las políticas empresariales y la formación necesarias conciencia para minimizar las posibilidades de que sus empleados siempre siendo engañados por un ingeniero social. Comprender las estrategias, métodos y tácticas de la ingeniería social le ayudará a prepararse para implementar controles razonables para proteger sus activos de TI, sin menoscabo de la productividad de su empresa. Yon resumen, he escrito este libro para elevar su conciencia sobre la grave amenaza que representa la ingeniería social, y para ayudarle a asegurarse de que su empresa y sus empleados tienen menos probabilidades de ser explotados de esta manera. Or tal vez debería decir, mucho menos propensos a ser explotados nunca más.

Parte 2 The Arte del atacante

Chapter 2 When Información inocuo no es
¿Qut hacer la mayoría de la gente cree que es la amenaza real de los ingenieros sociales? ¿Qué hay que hacer para estar en guardia? Yof el objetivo es capturar algún premio de gran valor - por ejemplo, un componente vital del capital intelectual de la empresa - tal vez entonces lo que se necesita es, en sentido figurado, a un salto más fuerte y más fuertemente guardias armados. ¿Cierto? But en realidad penetrar la seguridad de una compañía a menudo comienza con el chico malo de obtener algún tipo de información o algún documento que parece tan inocente, tan cotidiano y sin importancia, que la mayoría de las personas en la organización no veo ninguna razón para que el elemento protegido y restringido HiddeN VALOR DE LA INFORMACIÓN Much de la información aparentemente inocua en posesión de una empresa es muy apreciado por un atacante ingeniería social, ya que puede jugar un papel vital en su esfuerzo para vestirse con un manto de credibilidad. Throughout estas páginas, yo te voy a mostrar cómo los ingenieros sociales hacen AMSt lo hacen, ya que permite "testigo" de los ataques por sí mismo - a veces la presentación de la acción desde el punto de vista de las personas que son víctimas, lo que le permite ponerse en sus zapatos y medidor de cómo usted (o tal vez uno de sus empleados o compañeros de trabajadores) podría haber respondido. En muchos casos, usted también experimentará los mismos hechos desde la perspectiva de la ingeniería social. The historia primero mira a una vulnerabilidad en el sector financiero. CREDITCHEX Fora largo tiempo, los británicos soportar un sistema bancario muy congestionada. Como ordinario, Honrado ciudadano, no se podía caminar por la calle y abrir una cuenta bancaria. No, el banco no tendría la posibilidad de aceptar como cliente a menos que algún persona que ya está bien establecida como un cliente le proporcionó una carta de recomendación. Una gran diferencia, por supuesto, en el mundo de la banca aparentemente igualitaria de hoy. Y nuestra moderna facilidad de hacer negocios está en ninguna

parte más evidente que en un amistoso, democrático Latina, donde casi cualquier persona puede entrar en un banco y fácilmente abrir una cuenta corriente, ¿verdad? Bueno, no exactamente. La verdad es que los bancos understandably tienen una resistencia natural a abrir. una cuenta para alguien que

just tenga un historial de escribir cheques sin fondos - que sería tan bienvenida como un prontuario de robo a un banco o por malversación de fondos. Así que es una práctica habitual en muchos bancos para conseguir una rápida pulgar hacia arriba o hacia abajo-en un nuevo cliente potencial. Ene de las principales empresas que contratan a los bancos para que esta información es un equipo al que llamaremos CreditChex. Ellos proporcionan un valioso servicio a sus clientes, pero al igual que muchas empresas, también pueden, sin saberlo, prestar un servicio útil para saber ingenieros sociales. La primera llamada: Kim Andrews "National Banco, se trata de Kim. ¿Usted desea abrir una cuenta hoy en día? " "Hola, Kim. Tengo una pregunta para usted. ¿Ustedes utilizan CreditChex? "" Sí ". "When su teléfono para CreditChex, ¿cómo se llama el número que les da - ¿Es una 'identificación del comerciante " Una pausa, ella estaba sopesando la cuestión, preguntándose de qué se trataba y si ella debe responder. Thpersona que llama ae en un tiempo continuado sin perder el ritmo: "Porque, Kim, estoy trabajando en un libro. Se trata de investigaciones privadas. "" Sí, "dijo ella, respondiendo a la pregunta con la confianza de nuevo, encantado de ser helping escritor. "So lo que se llama una identificación del comerciante, ¿no? "" Uh huh ". "Okay, genial. Porque quería masculino que tuve la jerga de la derecha. Para el libro. Agradecers por vuestra ayuda. Adiós, Kim. " La segunda llamada: Chris Talbert "National Banco, nuevas cuentas, se trata de Chris. " "Hola, Chris. Se trata de Alex, "dijo la persona que llama." Soy un representante de servicio al cliente con CreditChex. Estamos haciendo una encuesta para mejorar nuestros servicios. ¿Me puede ahorrar un par de minutos? " Ella se alegró, y la persona que llama se

encendió: "Okay - ¿qué es el horario de su rama está abierta a los negocios ", respondió ella, y continuó respondiendo a su cadena de preguntas. "How muchos empleados en su sucursal usar nuestro servicio? " "How Con qué frecuencia nos llama con una consulta? "

"Which de nuestros 800-números te hemos asignado para llamar a nosotros? "" ¿Nuestros representantes siempre ha sido cortés? " "¿CómoEs nuestro tiempo de respuesta? " "How tiempo ha estado en el banco? "" ¿Qué identificación del comerciante está utilizando actualmente? " "Have ¿Alguna vez se ha encontrado ningún inexactitudes con la información que nos ha facilitado usted? " "Yof ¿Ha tenido alguna sugerencia para mejorar nuestro servicio, ¿cuáles serían? " Y: "Would ¿Estaría dispuesto a llenar cuestionarios periódicos si se los enviamos a su oficina? " Ella estuvo de acuerdo, charlaron un poco, el llamante colgó, y Chris volvió al trabajo. La tercera llamada: Henry McKinsey "CreditChex, Se trata de Henry McKinsey, ¿en qué puedo ayudarle? " Thpersona que llama e dijo que era de Banco Nacional. Dio la identificación del comerciante adecuado y luego dio el nombre y número de seguro social de la persona que estaba buscando información sobre. Henry pidió la fecha de nacimiento, y la persona que llama le dio eso. Después de unos momentos, Henry leer la lista de la pantalla de su ordenador. "Buenos Fargo informó NSF en 1998, una vez, la cantidad de 2.066 dólares "NSF -. fondos no suficientes - es la jerga bancaria familiar para los cheques que han sido escritos cuando no hay dinero suficiente en la cuenta para cubrirlos. "Cualquier actividad desde entonces?" "No hay actividades". "¿Ha habido alguna otra pregunta?" "Vamos as ver. Bueno, dos de ellos, tanto el mes pasado. Tercera Credit Union de Chicago. "Él tropezó sobre el nombre del próximo, Inversiones Schenectady mutuos, y tenía que escribir." Eso está en estado de Nueva York ", agregó.

Private Investigador en el Trabajo Altres de esas llamadas l fueron hechas por la misma persona: un investigador privado que vamos a llamar a Grace Oscar. Grace tenía un nuevo cliente, una de sus primeras. Un policía hasta unos meses antes, se encontró que parte de este nuevo trabajo era algo natural, pero algunos ofrecen un desafío a sus recursos e inventiva. Este vino abajo con firmeza en la categoría de desafío.

Los ojos duros privados de ficción - las espadas de Sam y la Marlowes Philip - Pasar largas horas de la noche sentados en coches esperando para atrapar a un cónyuge infiel. De la vida real PIs hacer lo mismo. También tienen un menor escrito sobre, pero no menos importante tipo de espionaje para los cónyuges en conflicto, un método que se apoya más en los sociales INGENIERÍAg habilidades que en la lucha contra el aburrimiento de las vigilias de la noche. Nuevo cliente de Grace era una mujer que parecía como si tuviera un presupuesto bastante cómodo para la ropa y las joyas. Entró en su oficina un día y se sentó en el sillón de cuero, la única que no tenía papeles apilados sobre ella. Se acomodó su gran bolso de Gucci en su escritorio con el logo se volvió hacia él y le anunció que tenía la intención de decirle a su marido que quería el divorcio, pero admitió que "sólo un problema muy poco". Yot Parecía que su marido estaba un paso por delante. Él ya se había retirado el dinero de su cuenta de ahorros y una cantidad aún mayor de su cuenta de corretaje. Quería saber dónde están sus activos habían sido recaudo, y su abogado de divorcio no era ninguna ayuda en absoluto. Grace conjeturó el abogado fue uno de esos uptown, rascacielos consejeros que no ensuciarse las manos en algo sucio como dónde fue el dinero. Podría ayudar a Grace? He le aseguró que sería una brisa, citando a un cargo, los gastos facturados al costo, y se recogió un cheque por el primer pago. Luego se enfrentó a su problema. ¿Qué hacer si usted nunca ha manejado un trabajo como esto antes y no sé muy bien cómo hacer el seguimiento de un rastro del dinero? Usted se mueve hacia adelante por pequeños pasos. Aquí, de acuerdo mg a nuestra fuente, es la historia de Grace. Yo sabía de CreditChex y cómo los bancos utilizan el equipo - mi ex-esposa trabajaba en un banco. Pero yo no conocía la jerga y los procedimientos, y tratar de hacer a mi ex-Sería una pérdida de tiempo. Step uno: Obtener la terminología recta y encontrar la manera de hacer la solicitud para que suene como si supiera lo que estoy hablando. En el banco me llamó, la primera dama joven, Kim, era sospechoso cuando le pregunté acerca de la forma en que se identifican cuando CreditChex teléfono. Ella vaciló, ella no sabía si me lo digas. Estaba yo deje intimidar por eso? Ni un poco. De hecho, las dudas me dio una pista importante, una señal de que yo tenía que proporcionar una razón que ella iba a encontrar creíble. Cuando trabajaba en el con ella acerca de hacer la investigación para un libro, aliviado sus sospechas. Dices que eres un autor o un escritor de cine, y todo el mundo se abre.

She tenido otro conocimiento que habría ayudado - cosas como la reforma CreditChex requiere identificar a la persona que está llamando, qué información usted puede pedir, y el grande, lo que era comerciante de Kim banco número de identificación. Yo estaba dispuesto a hacer esas preguntas, pero su vacilación envió la bandera roja. Compró la historia investigación libro, pero ella ya tenía una sospecha persistente pocos. Si ella hubiera sido mucho más dispuestos a la derecha, me he preguntado a revelar más detalles acerca de sus procedimientos. LINGO MARK:The víctima de una estafa. BURN LA FUENTE: Laatacante n se dice que quemó la fuente cuando se permite a la víctima a reconocer que el ataque haya tenido lugar. Una vez que la víctima se da cuenta y le avisa a otros empleados o la gestión de la tentativa, se hace extremadamente difícil de explotar la misma fuente en futuros ataques. You tiene que seguir su instinto, escucha con atención lo que la marca está diciendo y cómo lo está diciendo. Esta señora sonaba lo suficientemente inteligente como para las campanas de alarma a empezar a ir si yo Preguntas más inusuales de más. Y a pesar de que ella no sabía quién era o qué número me llama, aún en este business no quieres a nadie poner la palabra que estar en la mirada hacia fuera para llamar a alguien para obtener información sobre el negocio. Eso es porque no quiere quemar la fuente - es posible que desee llamar a la oficina misma en otro momento. I 'Siempre estoy a la caza de pequeñas señales que me dan una lectura de cómo cooperativa es una persona, en una escala que va desde "Hablas como una buena persona y creo que todo lo que estás diciendo" a "Llama a la policía, avisar al Guardia Nacional, este tipo es para nada bueno. " Leí Kim como un poco en el borde, así que acaba de llamar a alguien en una rama diferente. En mi segunda convocatoria con Chris, el truco encuesta jugó como un encanto. La táctica aquí es deslizar las preguntas importantes entre los inconsecuentes que se utilizan para crear un sentido de credibilidad. Antes de que se me cayó la pregunta sobre el número de identificación del comerciante con CreditChex, me encontré con un poco de último momento de prueba, pidiéndole una pregunta personal acerca de cuánto tiempo había estado con el banco. Una pregunta personal es como una mina terrestre - algunas personas paso pie derecho sobre él y nunca notar, por otras personas, explota y los envía corriendo por la seguridad. Así que si hago una pregunta personal y contesta la pregunta y el tono de su voz no cambia, lo que significa que probablemente no se muestra escéptico acerca de la naturaleza de la solicitud. Que con seguridad puede pedir a la buscada después de la pregunta sin despertar sus sospechas, y probablemente me va a dar la respuesta que estoy buscando.

Ene más de una cosa buena PI sabe: nunca poner fin a la conversación después de recibir la información clave. Otros dos o tres preguntas, una pequeña charla, y entonces está bien decir adiós. Más tarde, cuando la víctima recuerda nada de lo que me pediste, que probablemente será el último par de preguntas. El resto suele ser olvidado. So Chris me dio su número de identificación del comerciante y el número de teléfono que llamar para hacer peticiones. Me habría sido más feliz si hubiera llegado a hacer algunas preguntas sobre la cantidad de información que puede obtener de CreditChex. Pero era mejor no forzar mi suerte. Yot era como tener un cheque en blanco en CreditChex. Ahora podía llamar y obtener información cada vez que quería. Ni siquiera tienen que pagar por el servicio. Al final resultó que, el representante CreditChex estaba feliz de compartir exactamente la información que buscaba: dos lugares marido de mi cliente había solicitado recientemente para abrir una cuenta. Entonces, ¿dónde estaban los bienes de su pronto-a-ser-ex esposa estaba buscando? ¿Dónde más sino en las instituciones bancarias el chico de CreditChex en la lista? LaCon el nalyzing Thiardid s estaba basado en una de las tácticas fundamentales de sociales ingeniería: el acceso a la información de que un empleado de la compañía considera como inocuo, cuando no lo es. Thdependiente e primer banco confirmó la terminología para describir el número de identificación usado en la llamada CreditChex: la identificación del comerciante. El segundo siempre que el número de teléfono para llamar CreditChex, y la pieza más importante de información, número del banco Merchant ID. Toda esta información se presentó al secretario que ser inocua. Después de todo, el empleado de banco pensó que estaba hablando con alguien de CreditChex-así lo que podría ser el daño al revelar el número? All de esto sentó las bases para la tercera llamada. Grace tenía todo lo que necesitaba para llamar a CreditChex, hacerse pasar por un representante de uno de los bancos con sus clientes, Nacional, y simplemente pedir la información que buscaba. Ingenioh tanta habilidad en el robo de información como un estafador bueno ha de robar su dinero, Grace tenía bien afinado talento para la lectura de las personas. Sabía que la táctica común de enterrar a las preguntas claves entre los inocentes. Sabía una pregunta personal pondría a prueba la voluntad del segundo empleado de cooperar, antes inocentemente preguntando por el número de identificación del comerciante. Therror e primer secretario en la confirmación de la terminología para el número de identificación CreditChex sería casi imposible proteger contra. La información

es tan ampliamente conocido en la industria bancaria que parece que no tienen importancia - el modelo mismo de la inocuidad. Pero el segundo empleado, Chris, no debería haber sido

so dispuesto a responder a las preguntas de manera positiva sin verificar que la llamada era realmente quien decía ser. Ella debería, por lo menos, han tomado su nombre y número y volvió a llamar, de esta manera, si alguna pregunta surgió más tarde, ella pudo haber llevado un registro de qué número de teléfono de la persona que había utilizado. En este caso, hacer una llamada como esa habría sido mucho más difícil para el atacante hacerse pasar por un representante de CreditChex. Mitnick MENSAJE Una identificación del comerciante en esta situación es similar a una contraseña. Si el personal del banco treado como si fuera un PIN del cajero automático, se puede apreciar la naturaleza sensible de la información. ¿Hay un código interno o el número de su organización que la gente no tratar con cuidado lo suficiente? Better todavía habría sido una llamada a CreditChex usar un banco monja ya tenía en el expediente - no es un número proporcionado por el llamante - para verificar que la persona realmente trabajaba allí, y que la empresa estaba haciendo una encuesta entre los clientes. Teniendo en cuenta los aspectos prácticos del mundo real y las presiones de tiempo que la mayoría de las personas trabajan menos de hoy, sin embargo, este tipo de llamada de verificación de teléfono es mucho esperar, excepto cuando un empleado es sospechoso de que algún tipo de ataque se está realizando.

LA TRAMPA DEL INGENIERO Yot es ampliamente conocido que los cazadores de cabeza las empresas utilizan la ingeniería social para reclutar talento corporativo. He aquí un ejemplo de cómo se puede pasar. A finales de 1990, una agencia de empleo no es muy ético firmado un nuevo cliente, una empresa que busca ingenieros eléctricos con experiencia en el sector de la telefonía. El mandamás en el proyecto era una mujer dotada de una voz gutural y manera sexy que ella había aprendido a utilizar para desarrollar la confianza y la simpatía inicial por teléfono. The señora decidió llevar a cabo una redada en un proveedor de servicios de telefonía celular para ver si podía localizar a algunos ingenieros que podrían verse tentados a cruzar la calle a un competidor. No exactamente podríamos llamar el tablero del interruptor y decir: "Déjame hablar con alguien con cinco años de experiencia en ingeniería". En cambio, por razones que quedarán claras en un momento, ella comenzó el asalto talento mediante la búsqueda de una pieza de información que parecía no tener sensibilidad en absoluto, la información que la

gente de la empresa dar a conocer a casi nadie que pregunte. La primera llamada: El recepcionista The atacante, usando el nombre Didi Sands, hizo una llamada a las oficinas corporativas de ªservicio de correo teléfono celular. En parte, la conversación fue así:

Recepcionista: Buenas tardes. Se trata de Marie, ¿en qué puedo ayudarle? Didi: ¿Se puede conectar conmigo al Departamento de Transporte? R: No estoy seguro de si tenemos uno, voy a buscar en mi directorio. ¿Quién llama? D: Es Didi. R: ¿Está usted en el edificio, o ... ? D: No, yo estoy fuera del edificio. R: ¿Sei quién? D: Didi Sands. Tuve la extensión de Transporte, pero se me olvidó lo que era. R: One momento. To disipar las sospechas, en este punto Didi hizo una pregunta casual, simplemente conversando diseñado para demostrar que ella estaba en el "interior", familiarizarse con las ubicaciones de la empresa. D: ¿Qué edificio en que está - Lakeview o Plaza Principal? R: Plaza Principal. (Pause) es 805 555 6469. To proporcionar a sí misma con una copia de seguridad en caso de que la llamada a Transporte no dio lo que estaba buscando, Didi dijo que ella también quería hablar con bienes raíces. La recepcionista le dio ese número, también. Cuando Didi pidió ser conectado al número de Transportes, la recepcionista intentó, pero la línea estaba ocupada. Lan ese punto Didi pidió un número de teléfono distinto, por cuentas por cobrar, que se encuentra en un centro corporativo en Austin, Texas. La recepcionista le pidió que esperara un momento, y se salió de la línea. Presentación de informes a la seguridad que tenía una llamada telefónica sospechosa y pensaba que había algo sospechoso pasa? No, en absoluto, y Didi no tenía la más mínima preocupación. Ella estaba siendo un poco molesto, pero a la recepcionista que era todo parte de un día de trabajo típico. Después de aproximadamente un minuto, el recepcionista regresó en la línea, buscó el número de cuentas por cobrar, lo probé, y poner a través de Didi. La segunda llamada: Peggy Thconversación e siguiente fue así: Peggy: Cuentas por cobrar, Peggy. Didi: ¡Hola, Peggy. Se trata de Didi, en Thousand Oaks. P: ¡Hola, Didi. D¿Cómo te va? P: Aletae.

¿SeLuego utiliza un término familiar en el mundo corporativo que describe el código de carga para la asignación de gastos contra el presupuesto de una organización o grupo de trabajo: D: Excellent. Tengo una pregunta para usted. ¿Cómo puedo averiguar el centro de coste para un departamento particular? P: You 'd tiene que obtener una bodega de la analista de presupuesto para el departamento. D: Do sabes quién sería el analista de presupuesto de Thousand Oaks - Sede? Estoy tratando de llenar un formulario y no sé el centro de coste adecuado. P: Yo j u s sabe cuando ustedes necesitan un número de centro de costo, llame a su analista de presupuesto. D: Do tiene un centro de coste para su departamento de allí en Texas? P: We tenemos nuestro propio centro de costos, pero no nos dan una lista completa de ellos. D: How muchos dígitos es el centro de coste? Por ejemplo, ¿cuál es su centro de costos? P: Well, como, usted está con 9WC o con el SAT? ¿Seno tenía ni idea de qué departamentos o grupos de éstos se refiere, pero no importaba. Ella respondió: D: 9WC. P: Lan por lo general cuatro dígitos. ¿Quién dijiste que estabas? D: Headquartres - Thousand Oaks. P: Well, aquí está uno para Thousand Oaks. Es 1A5N, que es n como en Nancy. By simplemente pasar el tiempo suficiente con alguien dispuesto a ayudar, Didi tenía el número de centros de coste que necesitaba - una de esas piezas de información que no se piensa para proteger, ya que parece como algo que no podía ser de cualquier valor a un extraño . La tercera llamada: un número equivocado ha sido útil Didi 's paso siguiente sería valerse el número de centros de coste en algo de real value usándolo como un chip de póquer. She inició llamando al departamento de Bienes Raíces, fingiendo que había llegado a un número equivocado. A partir de un "Perdona que te moleste, pero ...." ella afirmó que era un empleado que había perdido a su directorio de la empresa, y le pidió que se suponía que llamar para obtener una nueva copia. El hombre dijo que la copia impresa estaba fuera de fecha, ya que estaba disponible en el sitio intranet de la compañía.

¿Sei dijo que prefería utilizar una copia impresa, y el hombre le dijo que llamara Publicaciones, Y luego, sin haber sido invitada - tal vez sólo para mantener lasexy

sounding señora en el teléfono un poco más - amablemente buscó el número y se lo dio a ella. La Cuarta Convocatoria: Bart en Publicaciones YoPublicaciones n, habló con un hombre llamado Bart. Didi dijo que era de Thousand Oaks, y tenían un nuevo consultor que necesitaba una copia de la guía de empresas. Ella le dijo a una copia impresa sería más apropiado para el consultor, aunque fuera un poco fuera de fecha. Bart le dijo que tendría que llenar un formulario de solicitud y enviar el formulario a él. ¿SeLe dije que estaba fuera de forma y fue una ráfaga, y podría ser una novia de Bart y rellene el siguiente formulario para ella? Estuvo de acuerdo con un entusiasmo poco demasiado, y Didi le dio los detalles. Para obtener la dirección del contratista ficticio, ella arrastrando las palabras el número de lo que los ingenieros sociales llaman un apartado de correos,yon este caso un Mail Boxes Etc. tipo de actividad comercial donde la empresa alquiló cajas para situaciones como esta. El trabajo preparatorio antes ahora era práctica: Habría un cargo por el costo y el envío de la guía. Fine - Didi dio el centro de coste para Thousand Oaks: "IA5N, que es n como en Nancy ". Unos días más tarde, cuando el directorio de la empresa llegó, Didi nos pareció que era una recompensa aún más grande de lo que esperaba: no sólo una lista de nombres y números de teléfono, pero también mostró que trabajaba para los cuales - la estructura corporativa de la organización. ThLady E de la voz ronca estaba listo para comenzar a hacer llamadas a su cazador de cabezas, la gente-incursiones telefónicas. Ella había estafado la información que necesitaba para lanzar su ataque con el don de la palabra perfeccionado para un buen pulido por cada ingeniero social especializada. Ahora estaba listo para la recompensa. LINGO MAIL DROP: The ingeniero social del plazo de un buzón de alquiler, típicamente alquilado under un nombre falso, que son utilizados para presentar documentos o paquetes que la víctima haya sido engañado en el envío de Mitnick MENSAJE Al igual que las piezas de un rompecabezas, cada pieza de información puede ser irrelevante

itself. Sin embargo, cuando las piezas se unen, surge una imagen clara. En este

Me caso, la imagen del ingeniero social que vi fue toda la estructura interna de la empresa. LaCon el nalyzing Yon este ataque de ingeniería social, Didi iniciado por conseguir números de teléfono de tres departamentos en la empresa objetivo. Esto fue fácil, porque los números que estaba pidiendo era ningún secreto, especialmente a los empleados. Un ingeniero social aprende a hablar como un iniciado, y Didi era experto en este game. Uno de los números de teléfono de la condujo a una serie de centros de coste, que luego utiliza para obtener una copia del directorio de empleados de la empresa. Thherramientas electrónicas que necesitaba principales: haciendo sonar ambiente, utilizando algunos jerga corporativa, y, con la última víctima, lanzando en una pestaña-verbal poco bateo. Und una herramienta más, un elemento esencial no adquiere fácilmente - las técnicas de manipulación de la ingeniería social, refinados a través de la práctica extensa y las enseñanzas no escritas de las generaciones pasadas de los hombres de confianza. MORE "SIN VALOR" INFO Junto asa costar número del centro y las extensiones de teléfono internas, ¿qué otra información aparentemente inútil puede ser extremadamente valiosa para su enemigo?. Llamar Peter Abel Teléfono "Hola," la voz en el otro extremo de la línea dice. "Se trata de Tom en el Travel Parkhurst. Ustedr entradas a San Francisco están listos. ¿Quieres, pues a entregarlos, o quieres a recogerlos? " "San Francisco?" Peter dice. "Yo no voy a San Francisco." "¿Esto es Peter Abels?" "Sí, Pero yo no tengo ninguna excursiones por venir. " "Bueno, "La persona que llama dice con una sonrisa amistosa" ¿Seguro que no quieres ir a la San Francisco? " "Yoi usted piensa que usted puede hablar a mi jefe en él ... "dice Pedro, tocando junto con la conversación amistosa. "Sounds como una confusión ", la persona que llama dice." En nuestro sistema, los acuerdos cuaderno bajo el número de empleado. Tal vez alguien utiliza el número equivocado. ¿Cuál es su número de empleado? " Peter amablemente recita su número. Y por qué no? Saldrá a casi todos los que forman el personal rellena, un montón de personas de la empresa tienen acceso a la misma - los recursos humanos, nómina, y, obviamente, la agencia de viajes

afuera. Nadie trata a un número de empleado como una especie de secreto. ¿Qué diferencia podría hacerlo? Threspuesta e no es difícil de entender. Dos o tres piezas de información podría ser todo lo que se necesita para preparar una respuesta eficaz suplantación - el encubrimiento ingeniero social a sí mismo en identidad de otra persona. Agarre el nombre del empleado, su teléfono

número, Su número de empleado - y tal vez, por si acaso, el nombre de su director y su número de teléfono - y un ingeniero social a medio camino-competente está equipado con más de lo que es probable que necesite para que suene auténtico al siguiente objetivo que llama. Yof alguien que dijo que era de otro departamento de la compañía había llamado ayer, dada una razón plausible, y le pidió su número de empleado, ¿hubiera tenido alguna reticencia en dárselo a él? Und Por cierto, ¿cuál es su número de seguro social? Mitnick MENSAJE The moraleja de la historia es, no dar ninguna empresa o personal interno information o identificadores para cualquier persona, a menos que su voz es reconocible y el solicitante tiene una necesidad de saber. PREVENTING CON EL Ustedr empresa tiene la responsabilidad de hacer que los empleados tomen conciencia de cómo un error grave puede ocurrir por mal manejo de la información pública no. Un bien pensado política de seguridad de la información, junto con la educación y formación adecuadas, aumentará dramáticamente la conciencia de los empleados sobre el manejo adecuado de la información comercial de las empresas. Una política de clasificación de datos le ayudará a poner en práctica adecuada controlars ingenioh respectivamentet to disclosing información. Without un datun classification política, toda la información interna debe ser considerada confidencial, a menos que se especifique lo contrario. Take estos pasos para proteger su empresa de la liberación de información aparentemente inocua: The Información del Departamento de Seguridad necesita para llevar a cabo capacitación en conciencia que detalla los métodos utilizados por los ingenieros sociales. Un método, tal como se describe más arriba, es la obtención de información sensible y aparentemente no lo utilizan como una ficha de póquer para ganar a corto plazo la confianza. Todos y cada empleado tiene que ser consciente de que cuando una persona tiene conocimiento acerca de los procedimientos de la empresa, la jerga y los identificadores internos no es así de ninguna manera, forma o forma autenticar al solicitante o autorizar a él o ella que tiene una necesidad de saber. Una persona que llama puede ser un ex empleado o contratista con el requisite ensider enformación. LacCordingly, cada corporation huns unresponsabilidy para determinar el método de autenticación adecuado para ser utilizado cuando los empleados interactúan con personas que no reconocen en persona o por teléfono. Thpersona e o personas con el papel y la responsabilidad de redactar una política

de clasificación de datos deben examinar los tipos de datos que pueden ser utilizados para obtener

acceso para los empleados legítimos que parecen inofensivas, pero pueden dar lugar a la información, es decir, sensible. A pesar de que nunca le daría las claves de acceso de su tarjeta de cajero automático, le diría a alguien que servidor que se utiliza para desarrollar productos de la empresa de software? Puede que la información sea utilizada por una persona que finge ser alguien que tenga acceso legítimo a la red corporativa? Sometimes el hecho de saber dentro de la terminología puede hacer que el ingeniero social aparecen con autoridad y conocimiento. El atacante a menudo se basa en esta idea falsa común para engañar a sus víctimas en el cumplimiento. Por ejemplo, una identificación del comerciante es un identificador que la gente en el departamento de contabilidad de un banco de Nueva casualmente utilizan cada día. Pero dicho identificador exactamente el mismo como una contraseña. Si cada empleado comprenda la naturaleza de esta identificación - que se utiliza para autenticar positivamente un solicitante - a ellos les puede tratar con más respeto. Mitnick MENSAJE Las dice el viejo refrán - incluso los paranoicos tienen enemigos reales probablemente. Debemos suponiendoe que cada negocio tiene sus enemigos, también - los atacantes que se dirigen a la infraestructura de red para comprometer secretos comerciales. No llegar a ser una estadística sobre delitos informáticos - es hora de apuntalar las defensas necesarias mediante la implementación de controles adecuados a través de las políticas de seguridad bien fuera del pensamiento y los procedimientos. Nempresas o - bien, muy pocos, por lo menos - dar a conocer los números de teléfono de marcación directa de su director general o presidente del consejo. La mayoría de las empresas, sin embargo, no tienen ninguna preocupación por dar números de teléfono para la mayoría de los departamentos y grupos de trabajo de la organización, - sobre todo para alguien que es, o parece ser, un empleado. Un posible contramedida: Implementar una política que prohíbe dar números de teléfono internos de los empleados, contratistas, consultores, y trabajadores temporales a los extranjeros. Más importante aún, desarrollar un procedimiento paso a paso para identificar claramente si la persona que llama pidiendo números de teléfono es realmente un empleado. CuentaAdemásg códigos para grupos de trabajo y departamentos, así como copias del directorio de la empresa (ya sea impreso, los datos de archivo o directorio telefónico electrónico en la intranet) son blancos frecuentes de los ingenieros sociales. Todas las empresas necesitan un escrito, bien publicitada política sobre la divulgación de este tipo de información. Las garantías deben incluir el mantenimiento de un registro de auditoría que registra casos en los que la información confidencial sea revelada a personas ajenas a la empresa. Information como un número de empleado, por sí mismo, no se debe utilizar como cualquier tipo de autenticación. Todos los empleados deben ser entrenados

para verificar no sólo la identidad de un solicitante, pero también la necesidad del solicitante a la información.

Yon su entrenamiento de seguridad, considere enseñar a los empleados este enfoque: Cuando hice una pregunta o pedido un favor a un desconocido, aprende primero a declinar educadamente hasta que la solicitud puede ser verificada. Entonces - antes de ceder al deseo natural de ser el Sr. o la Sra. útiles - políticas de la compañía seguir y procedimientos con respecto a la verificación y la divulgación de la información pública no. Este estilo puede ir en contra de nuestra tendencia natural a ayudar a los demás, pero un poco de paranoia saludable puede ser necesario para evitar ser víctima siguiente el ingeniero social. Las las historias de este capítulo han mostrado, la información aparentemente inocua puede ser la llave a los secretos más preciados de su empresa.

Chapter 3 The Ataque Directo: Just Asking For It
Muchos ataques de ingeniería social son complejos, involucrando a un número de pasos y la planificación elaborada, que combina una mezcla de manipulación y conocimientos tecnológicos. But Siempre me parece sorprendente que un hábil ingeniero social a menudo puede lograr su objetivo con un simple ataque simple y directa. Sólo preguntaba abiertamente de la información puede ser todo lo que se necesita - como ya lo verás. LaN MLAC QUICKIE Whormiga saber el número de teléfono de alguien no cotizan en bolsa? Un ingeniero social puede decirle halfa docena de formas (y usted encontrará algunos de ellos se describe en otras historias en estas páginas), pero probablemente el escenario más simple es aquella que utiliza una sola llamada telefónica, como éste. Número, por favor El atacante marcó el número de teléfono de la empresa privada para la MLAC, el Línea de mecanizado Centro de Asignación. Para la mujer que respondió, dijo: "Hey, Este es Paul Anthony. Soy un empalmador de cable. Escucha, una caja de bornes aquí tienes frito en un incendio. Los policías que algunos fluencia intentó quemar su propia casa por el seguro. Me trajeron aquí solo tratando de volver a colocar todo este 200 pares de terminales. Me vendría bien un poco de ayuda en estos momentos. ¿Qué instalaciones deben estar trabajando en 6723 South Main? " Yon otras partes de la compañía telefónica, la persona que llama se sabe que la información de búsqueda inversa en el pub no (no publicado) números se supone que debe ser entregado solamente a MLAC autorizado compañía telefónica se supone que es conocido sólo a los empleados de la empresa. Y aunque nunca dar información al público, ¿quién querría rechazar un poco de ayuda para un hombre de la compañía para hacer frente a esa tarea de servicio pesado?. Ella siente lástima por él, que ha tenido un mal día en el trabajo ella misma, y ella va a bend las reglas un poco para ayudar a un compañero de trabajo con un problema. Ella le da el cable y los pares y cada número de trabajo asignado a la dirección. Mitnick MENSAJE

Ess naturaleza humana confiar en el prójimo, especialmente cuando la solicitud se ajusta a la prueba de ser razonable. Los ingenieros sociales utilizan este conocimiento para explotar a sus víctimas y lograr sus metas.

LaCon el nalyzing Las te darás cuenta repetidamente en estas historias, el conocimiento de la jerga de la empresa, y of su estructura corporativa - sus distintas oficinas y departamentos de lo que cada uno hace y lo que cada uno tiene la información - es parte esencial de la bolsa de trucos del éxito social ingeniero. YOUNG MAN ON THE RUN Un hombre al que llamaremos Frank Parsons había estado prófugo durante años, todavía buscado por la federal gobierno por ser parte de un grupo contra la guerra subterránea en la década de 1960. En los restaurantes se sentó frente a la puerta y él tenía una manera de mirar por encima de su shoulder de vez en cuando que las demás personas encontraron desconcertante. Se trasladó cada pocos años. Lat un punto de Frank aterrizó en una ciudad que no conocía, y se dedicó a la búsqueda de empleo. Para alguien como Frank, con sus habilidades informáticas bien desarrolladas (y habilidades de ingeniería social también, incluso, aunque nunca figuran las relativas a una solicitud de empleo), encontrar un buen trabajo por lo general no era un problema. Excepto en momentos en que la economía está muy apretado, las personas con un buen conocimiento técnico informático suelen encontrar sus talentos en alta demanda y tienen aterrizaje pequeño problema en sus pies. Frank rápidamente encuentra un pozo - oportunidad de trabajo remunerado en un gran centro de primer nivel, la atención a largo plazo cerca de donde él vivía. Just el billete, pensó. Pero cuando empezó a andar con paso pesado a su manera a través de los formularios de solicitud, se encontró con un uh-oh: El empleador requiere que el solicitante presente una copia de su registro de antecedentes penales del Estado, el cual tuvo que obtener de la policía estatal. La pila de papeles de trabajo incluye un formulario para solicitar este documento y la forma tenía una pequeña caja para proporcionar una huella digital. A pesar de que estaban pidiendo una impresión de sólo el dedo índice derecho, si coincide con su impresión con una base de datos del FBI, lo más probable era pronto a trabajar en el servicio de comida en un centro turístico con fondos federales. On Por otro lado, se le ocurrió a Frank que tal vez, sólo tal vez, todavía podría ser capaz de salirse con la suya. Tal vez el Estado no envió las muestras de huellas digitales al FBI en absoluto. ¿Cómo iba a saberlo? Cómo? Él era un ingeniero social - ¿Cómo crees que se enteró? Él hizo una

llamada telefónica a la patrulla estatal: "Hola Estamos haciendo un estudio para el Departamento de Estado de Justicia Estamos investigando los requisitos para implementar un sistema de identificación de huellas dactilares nuevo ¿Puedo hablar con alguien allí que es muy familiar... lo que estás haciendo lo mejor que nos puede ayudar? "

Und cuando el experto local se puso al teléfono, Frank hizo una serie de preguntas acerca de lo que los sistemas que utilizaban, y capacidades de los que buscar y almacenar datos de huellas dactilares. Si hubieran tenido problemas en el equipo? Estaban ligados a búsquedas en el Centro Nacional de Información Criminal de huellas digitales (NCIC) o sólo dentro del estado? ¿El equipo es bastante fácil para todo el mundo para aprender a usar? Astutamente, Él deslizó la pregunta clave entre el resto. La respuesta era música para sus oídos: No, no estaban atados en el NCIC, sólo comprueba con el Índice de Información Criminal (CII). MITNICK MESSGAE SavvY estafadores información tienen ningún reparo en sonar hasta federales, estatales o Locafuncionarios gubernamentales l para conocer los procedimientos de aplicación de la ley. Con esa información en mano, el ingeniero social puede ser capaz de burlar los controles estándar de seguridad de su compañía. That era Frank necesitaba saber. Él no tenía ningún registro en ese estado, por lo que presentó su solicitud, fue contratado para el trabajo, y nadie se presentó en su escritorio un día con el saludo: "Estos señores son del FBI y les gusta habían a tener una pequeña charla con usted. " Y, Según él, resultó ser un empleado modelo. En el umbral YoA pesar n del mito de la oficina sin papeles, las empresas siguen para imprimir resmas of periódico todos los días. Información en la impresión de su empresa puede ser vulnerable, incluso si se utiliza precauciones de seguridad y acabar con la confidencialidad. Here de una historia que muestra cómo los ingenieros sociales pueden obtener sus documentos más secretos.

Loop-Around Deception Cada año, la empresa de telefonía publica un volumen titulado El número de prueba Directory (o al menos solían hacerlo, y porque todavía estoy en libertad bajo supervisión, no voy a preguntar si todavía lo hacen). Este documento fue valorado muy positivamente por phreakers porque estaba lleno de una lista de todos los números de teléfono utilizados celosamente guardados por los artesanos de la empresa, técnicos, otros por cosas como un tronco de prueba o comprobación de

números que suenan siempre ocupado.

Ene de estos números de prueba, conocido en la jerga como bucle alrededor,wcomo particularmente útiles. Phreakers lo utilizó como una forma de encontrar otros phreaks teléfono para charlar con, sin costo alguno para ellos. Phreaks telefónicas también se utiliza una forma de crear un número de devolución de llamada a dar, por ejemplo, un banco. Un ingeniero social le diría a alguien en el banco el número de teléfono para llamar a llegar a su oficina. Cuando el banco volvió a llamar al número de prueba (loop-around) el phreaker sería capaz de recibir la llamada, sin embargo, tenía la protección de haber utilizado un número de teléfono que no se pudo localizar de nuevo a él. Un Directorio Número de prueba proporciona una gran cantidad de información ordenada que podría ser utilizado por cualquier información-comedor, phreak testosteroned teléfono. Así que cuando los nuevos directorios se publican cada año, eran codiciadas por muchos jóvenes cuyos afición estaba explorando la red telefónica. Mitnick MENSAJE Security capacitación con respecto a la política de la compañía diseñado para proteger la información culoets tiene que ser para todos en la empresa, no cualquier empleado que tenga acceso electrónico o físico a los activos de TI de la empresa. Estafa de Stevie NaturallY las compañías telefónicas no hacen estos libros fáciles de conseguir, así teléfono Phreaks tiene que ser creativo para conseguir uno. ¿Cómo pueden hacer esto? Un joven impaciente con una inclinación mente en adquirir el directorio podría promulgar un escenario como este. LComimos un día, una noche suave en el otoño del sur de California, un tipo al que llamaré Stevie teléfonos de una empresa pequeña central telefónica, que es la construcción de las líneas telefónicas ejecutar a todos los hogares y negocios en el área de servicio establecido. When el guardagujas de servicio responde a la llamada, Stevie anuncia que él es de la división de la compañía telefónica que publica y distribuye materiales impresos. "Tenemos el Directorio de nuevo número de prueba," dice. "Pero por razones de seguridad, nosotros no podemos entregar su copia hasta que recoja el viejo. Y el tipo de entrega se hace tarde. Si quieres dejar tu copia justo fuera de su puerta, se puede girar por, recoger el suyo, deje caer el nuevo uno y estar en su camino. " Thguardagujas e inocente parece pensar que suena razonable. Él es exactamente como se le preguntó, sacando a las puertas de la construcción de su copia del

directorio, su portada claramente marcado en grandes letras rojas con el "EMPRESA CONFIDENCIAL - CUANDO YA NO ES NECESARIO ESTE DOCUMENTO DEBE SER desmenuzado ".

Stevie impulsa de modo y mira a su alrededor cuidadosamente para detectar cualquier policía o la gente de la compañía telefónica de seguridad que podrían estar al acecho detrás de los árboles o mirando para él de coches aparcados. Nadie a la vista. Casualmente recoge el directorio codiciado y se va. Esto es sólo un ejemplo más de lo fácil que puede ser para un ingeniero social para conseguir lo que quiere, siguiendo el sencillo principio de "sólo pedirlo." GeorgiaS ATAQUE No sólo los activos de la empresa están en riesgo en un escenario de ingeniería social. A veces es clientes de la compañía que son víctimas. Working como empleado de servicio al cliente trae su cuota de frustraciones, su cuota de risas, y su cuota de errores inocentes - algunos de los cuales pueden tener consecuencias infelices para los clientes de una empresa. JaniHistoria e Acton Janie Acton había sido la dotación de un cubículo como un servicio al cliente Procedencia f rep Electric El poder, en Washington, DC, hace poco más de tres años. Fue considerado como uno de los mejores vendedores, inteligente y consciente Yot fue la semana de Acción de Gracias cuando esta llamada en particular uno entró la persona que llama, dijo: "Este es Eduardo en el departamento de facturación. Tengo una dama en espera, ella es una secretaria en las oficinas ejecutivas que trabaja para uno de los vicepresidentes , y ella ha solicitado información y no puedo usar mi computadora recibí un correo electrónico de esta chica en Recursos Humanos que dice 'ILOVEYOU'. y cuando abrí el archivo adjunto, que no podía usar mi máquina más. Un virus . Me quedó atrapado por un virus estúpido. De todas formas, ¿podría buscar alguna información de los clientes para mí? " "Claro", contestó Janie. "Se estrelló su computadora? Eso es terrible." "Sí". "How puedo ayudar? ", preguntó Janie. Hantes de que el atacante se llama en la información de su investigación antes de hacerse sonar auténtico. Había aprendido que la información que él, quería que se almacenó en algo llamado el Sistema de Información de facturación al cliente, y él se había enterado de cómo los empleados se refiere al sistema. Él preguntó: "¿Se puede abrir una cuenta en CBIS?" "Sí, ¿cuál es el número de cuenta.?"

"Yo no tengo el número, te necesito para que aparezca por nombre "" Muy bien, ¿cómo se llama? ". "Ess Marning Heather. "Se escribe el nombre, y Janie lo escrito pulg

"Está bien, Lo tengo arriba. " "Genial. ¿Es la cuenta corriente?" "Uh huh, es actual." "¿Cuál es el número de cuenta?" , se preguntó. "Do tiene un lápiz? "" Ready de escribir. " "CdCuent número BAZ6573NR27Q ". Leyó el número de vuelta y luego dijo: "¿Y cuál es la dirección de servicio?" Ella le dio la dirección. "¿Y cuál es el teléfono?" Janie amablemente leer esa información, también. Thpersona que llama e le dio las gracias, se despidió y colgó. Janie pasó a la próxima convocatoria, sin pensar más en ello. ArProyecto de Investigación t Sealy Lart Sealy había dejado de trabajar como editor freelance para editoriales pequeñas when descubrió que podía ganar más dinero haciendo una investigación para escritores y empresas. Pronto se descubrió que los honorarios que pueden cobrar aumentaron de forma proporcional a la proximidad de la misión lo llevó a la línea a veces confusa entre lo legal y lo ilegal. Sin siquiera darse cuenta, desde luego sin darle un nombre, el arte se convirtió en un ingeniero social, utilizando técnicas familiares para todos los agentes de información. Él resultó tener un talento innato para los negocios, averiguar por sí mismo las técnicas que la mayoría de los ingenieros sociales tenían que aprender de los demás. Después de un rato, él cruzó la línea sin la menor punzada de culpabilidad. Un hombre puso en contacto conmigo que estaba escribiendo un libro sobre el Consejo de Ministros en los años de Nixon, y fue en busca de un investigador que podría conseguir la primicia sobre William E. Simon, que había sido secretario del Tesoro de Nixon. Sr. Simon había muerto, pero el autor tenía el nombre de una mujer que había estado en su personal. Estaba bastante seguro de que ella seguía viviendo en DC, pero no había sido capaz de obtener una dirección. Ella no tenía teléfono en su nombre, o por lo menos ninguna que se enumeran. Así que cuando me llamó. Yo le dije, claro, no hay problema. This es el tipo de trabajo que por lo general puede llevar apagado en una llamada telefónica o dos, si sabes lo que estás haciendo. Cada compañía local de servicios públicos en general, se puede contar con que dar la información de distancia. Por supuesto, usted tiene que BS un poco. Pero lo que es una mentira piadosa de vez en cuando - a la derecha? Me gusta usar un enfoque diferente cada vez, sólo para mantener las cosas

interesantes. "Esto es así-y-así que en las oficinas ejecutivas" siempre ha funcionado bien para mí. Así ha "tengo a alguien en la línea de la oficina del Vicepresidente Somebody", que funcionó esta vez, también.

Mitnick MENSAJE Never que todos los ataques de ingeniería social deben ser elaborados ardides tan complejas THAt es probable que para ser reconocida antes de que pueda completarse. Algunos son de entrada y de salida, huelga-y-desaparecen, ataques muy simples que no son más que .., bueno, sólo pedirlo. You tiene que desarrollar una especie de instinto que el ingeniero social, el tener una idea de cómo la cooperativa a la persona en el otro extremo va a estar con ustedes. Esta vez tuve suerte con una señora amable y servicial. En una sola llamada telefónica, tenía la dirección y número de teléfono. Misión cumplida. LaCon el nalyzing Certainly Janie knew THAt customer information yos sensible. She would Nunca discutir cuenta de un cliente con otro cliente, o dar información privada a la pública. Pero, naturalmente, para una persona que llama desde dentro de la empresa, se aplican reglas diferentes. Por un compañero de trabajo que es todo acerca de ser un jugador de equipo y ayudarse unos a otros hacer el trabajo. El hombre de facturación hubiera podido mirar los detalles sí mismo si su equipo no había estado abajo con un virus, y se alegró de poder ayudar a un compañero de trabajo. Lart construido gradualmente a la información clave fue realmente después, hacer preguntas along la forma de las cosas que realmente no necesita, como el número de cuenta. Sin embargo, al mismo tiempo, la información del número de cuenta proporcionado un retorno: Si el empleado se había convertido en sospechoso, que llamaría a un segundo time y tienen una mejor oportunidad de éxito, porque conociendo la cuenta número le haría parecer aún más auténtico al secretario siguiente llegó. Yot Nunca se le ocurrió a Janie que alguien en realidad podría mentir sobre algo así, que la persona que llama en realidad no puede ser desde el departamento de facturación en absoluto. Por supuesto, la culpa no recae en los pies de Janie. Ella no estaba muy versado en el Estado trata de asegurarse de que usted sabe con quién está hablando antes de discutir la información en el expediente del cliente. Nadie había jamás le habló del peligro de una llamada telefónica como la del art. No estaba en la política de la empresa, no era parte de su formación, y su supervisor no lo había mencionado. PREVENTING CON EL Un punto a incluir en su entrenamiento de seguridad: El hecho de que un comunicante o visitante conoce ªnombres e de algunas personas en la empresa, o sabe algo de la jerga corporativa

o procedimientos, no significa que él es quien dice ser. Y definitivamente no

establish él como alguien autorizado a dar información interna, o el acceso a su sistema informático o red. Securitformación y tiene que destacar: En caso de duda, verificar, verificar, verificar. En épocas anteriores, el acceso a la información dentro de una empresa era una marca de rango y privilegio. Trabajadores avivaron los hornos, corrió las máquinas, escribió las letras, y presentó los informes. El capataz o jefe les diga qué hacer, cuándo y cómo. Era el capataz o jefe que sabía cuantas baratijas cada trabajador debe producir en un turno, cuántos y en qué colores y tamaños de la fábrica necesaria para convertir esta semana, la próxima semana, y para el final del mes. Obreros manejard máquinas und herramientas und materiales, und bosses información que se maneja. Los trabajadores necesitan sólo la información específica a sus puestos de trabajo específicos. Thimagen e es un poco diferente hoy en día, ¿no es así? Muchos trabajadores de fábricas utilizan algún tipo de equipo o de la máquina por ordenador. Para una gran parte de la fuerza de trabajo, la información crítica se empuja hacia abajo a los escritorios de los usuarios, para que puedan cumplir con su responsabilidad de hacer su trabajo. En el entorno actual, casi todo lo que hacen los empleados implica el manejo de la información. Esos por qué la política de una empresa de seguridad debe ser distribuido en toda la empresa, independientemente de su posición. Todo el mundo debe entender que no se trata sólo de los jefes y ejecutivos que tienen la información que un atacante puede ser posterior. Hoy en día, workers a todos los niveles, incluso a aquellos que no usan una computadora, son susceptibles de ser atacados. El representante de nuevo ingreso en el grupo de servicio al cliente puede ser el eslabón débil que se rompe un ingeniero social para lograr su objetivo. La formación en seguridad y las políticas de seguridad corporativas necesidad de fortalecer ese vínculo.

Chapter 4 Building Trust
Some de estas historias podrían llevar a pensar que creo que todo el mundo en los negocios es un idiota completo, listo, incluso ansioso, para regalar todos los secretos en su posesión. El ingeniero social sabe que no es cierto. ¿Por qué son los ataques de ingeniería social tan exitoso? No es porque la gente es estúpida o la falta de sentido común. Pero nosotros, como seres humanos todos somos vulnerables a ser engañados porque la gente puede perder su confianza, si manipular de cierta manera. The ingeniero social, se anticipa a la sospecha y la resistencia, y siempre está dispuesto a convertir la desconfianza en confianza. Un ingeniero de bien social planea su ataque como un juego de ajedrez, anticipándose a las preguntas de su objetivo podrían hacer para que pueda estar preparados con las respuestas correctas. Ene de sus técnicas comunes implica la construcción de un sentido de confianza por parte de sus víctimas. ¿Cómo puede un hombre hacer con usted confiar en él? Confía en mí, es él. CONFIANZA: LA CLAVE PARA EL ENGAÑO Cuanto más un ingeniero social puede hacer que su contacto parecer lo de siempre, el more le alivia sospecha. Cuando las personas no tienen una razón para sospechar, es fácil para un ingeniero social para ganar su confianza. Once que tiene su confianza, el puente levadizo se baja y la puerta se abrió de golpe castillo para que pueda entrar y tener toda la información que quiere. NOTA You puede notar me refiero a los ingenieros sociales, phreakers, y con juegooperadors como "él" a través de la mayor parte de estas historias Esto no es chauvinismo,... simplemente refleja la verdad de que la mayoría de los profesionales en estos campos son hombres, pero aunque no hay muchas mujeres ingenieros sociales, el número está creciendo Hay suficientes mujeres ingenieros sociales por ahí que no se debe bajar la guardia porque oye la voz de una mujer. De hecho, las mujeres ingenieros sociales tienen una clara ventaja, ya que pueden utilizar su sexualidad para obtener cooperación. Encontrarás un pequeño número de llamado sexo débil representados en estas páginas La primera llamada: Andrea Lopez Andrea López contestó el teléfono en la tienda de alquiler de videos donde trabajaba,

und en un momento estaba sonriendo: Siempre es un placer cuando un cliente se toma la molestia de decir que está contento con el servicio. Esta persona que llamó dijo que había tenido una experiencia muy buena frente a la tienda, y él quería enviar el gestor de un letter al respecto.

He le preguntó por el nombre del gerente y la dirección de correo, y ella le dijo que era Tommy Allison, y le dio la dirección. Cuando estaba a punto de colgar, él tenía otra idea y dijo: "Puede ser que desee escribir en su sede de la empresa, también. ¿Cuál es su número de la tienda?" Ella le dio esa información, también. Dijo que gracias, agregó algo agradable acerca de lo útil que había sido, y nos despedimos. "Una llamada así ", pensó," siempre parece hacer el cambio por ir más rápido. ¡Qué bueno sería si la gente hiciera eso más a menudo. " La segunda llamada: Ginny "Graciass para video llamada Studio. Esta es Ginny, ¿en qué puedo ayudarle? " "Hola, Ginny,"La persona que llamó dijo con entusiasmo, sonando como si hablara a Ginny cada semana más o menos." Es Tommy Allison, director de Forest Park, tienda 863. Tenemos un cliente en aquí que quiere alquilar Rocky 5 und todos estamos de copias. ¿Se puede comprobar en lo que tienes? " Ella Californiamatrás e en la línea después de unos momentos y dijo: "Sí, tenemos tres copias. " "Está bien, Voy a ver si él quiere conducir por allí. Oye, gracias. Si alguna vez necesitas ayuda en nuestra tienda, solo llame y pregunte por Tommy. Estaré encantado de hacer lo que pueda por ti. " Threveces e o cuatro más el próximo par de semanas, Ginny Recibí llamadas de Tommy para ayudar con una cosa u otra. Eran peticiones aparentemente legítimos, y él era siempre muy amable sin sonar como si estuviera tratando de llegar a ella. Era un conversador poco en el camino, también - "¿Has oído hablar del gran incendio en Oak Park Manojo de calles cerradas por ahí,?" Y similares. Las llamadas eran un pequeño descanso de la rutina del día, y Ginny siempre se alegraba de saber de él. Ene día llamado Tommy sonar estresado. Él preguntó: "¿Han estado teniendo problemas con sus computadoras?" "No,"Ginny respondió." ¿Por qué? " "Un tipo se estrelló su coche contra un poste de teléfono, y la compañía telefónica reparador dice toda una parte de la ciudad perderán sus teléfonos e Internet connection hasta que arreglar esto. "" Oh, no. ¿El hombre herido? " "They se lo llevaron en una ambulancia. De todos modos, me vendría bien un poco de ayuda. Tengo un cliente suyo aquí que quiere alquilar Godfather II und no tiene su tarjeta consigo. ¿Podría verificar su información para mí? " "Sí, claro".

Tommy le dio el nombre del cliente y la dirección, y Ginny le encontraron en el ordenador. Ella dio a Tommy el número de cuenta. "Unay vuelve tarde o saldo adeudado ", se preguntó Tommy." Nada muestra ". "Está bien, Muy bien. Lo voy a firmar a mano para una cuenta aquí y ponerlo en nuestra base de datos más adelante, cuando los equipos vienen de nuevo. Y quiere poner esta carga en la tarjeta Visa que utiliza en su tienda, y él no lo tiene con él. ¿Cuál es el número de tarjeta y fecha de caducidad? " She se lo dio a él, junto con la fecha de caducidad. Tommy dijo: "Oye, gracias por la ayuda. Hablamos pronto", y colgó. DoylHistoria e Lonnegan de Lonnegan no es un hombre joven que le gustaría encontrar espera al abrir ustedr puerta delantera. Un hombre colección única vez por malas deudas de juego, él todavía hace un favor ocasional, si no lo puso fuera mucho. En este caso, se le ofreció un paquete considerable de dinero para poco más que hacer algunas llamadas telefónicas a una tienda de videos. Suena bastante fácil. Es que ninguno de sus "clientes" sabía cómo manejar este contexto, necesitaban a alguien con talento Lonnegan y el know-how. People no escribir cheques para cubrir sus apuestas cuando están de mala suerte o estúpido en la mesa de poker. Todo el mundo lo sabe. ¿Por qué estos amigos de mine seguir jugando con un tramposo que no tenía verde sobre la mesa? No le pida. Tal vez son un poco de luz en el departamento IQ. Pero ellos son amigos míos - ¿qué puede hacer? This chico no tenía dinero, así que tomaron un cheque. Les pido! En caso de lo condujo a un cajero automático, es lo que deben de hacer. Pero no, un cheque. Para $ 3.230. Naturalmente, Que rebotó. ¿Qué se puede esperar? Así que me llaman, ¿puedo ayudarle? No cierro las puertas en los nudillos de la gente nunca más. Además, hay mejores maneras hoy en día. Yo les dije, el 30 por ciento de comisión, que vería lo que podía hacer. Así que me diera su nombre y dirección, y subo en el equipo para ver cuál es la tienda más cercana vídeo a él. Yo no estaba en un gran apuro. Cuatro llamadas telefónicas para adular a la gerente de la tienda, y luego, bingo, tengo el truco número de tarjeta Visa. Otro amigo mío posee un bar topless. Durante cincuenta dólares, que puso dinero de poker del individuo a través de Visa como un cargo en el bar. Vamos a explicar el truco que a su esposa. ¿Crees que se podría tratar de decirle Visa no es su cargo? Piense otra vez. Él sabe que nosotros sabemos quién es. Y si pudiéramos conseguir su número de Visa, va a descubrir que pudimos conseguir mucho más además. No

hay ningún problema en ese aspecto.

LaCon el nalyzing Tommy 'Llamadas iniciales a Ginny eran simplemente para construir confianza. Cuando llegó el momento de el ataque real, ella bajó la guardia y aceptado Tommy por quien decía ser, el gerente de otra tienda de la cadena. Und ¿por qué no iba a aceptarlo - ella ya lo sabía. Ella sólo lo había conocido por teléfono, por supuesto, pero que habían establecido una amistad de negocios que es la base para la confianza. Una vez que ella lo había aceptado como una figura de autoridad, un administrador de la misma empresa, la confianza que se había establecido y el resto fue un paseo por el parque. Mitnick MENSAJE Thtécnica e picadura de construcción de confianza es uno de lo social más eficaz INGENIERÍAg tácticas. Usted tiene que pensar si realmente conoces a la persona que está hablando. En algunos casos raros, la persona podría no ser quien dice ser. Por lo tanto, todos tenemos que aprender a observar, pensar y cuestionar la autoridad. VARIATISOBRE EN UN TEMA: Tarjeta de Captura Buildinga sentido de confianza no necesariamente exigen una serie de llamadas telefónicas a la víctima, como lo sugiere la historia anterior. Recuerdo un incidente que presencié en el que cinco minutos fue todo lo que necesitó. Surprise, papá Una vez sentado en una mesa en un restaurante con Henry y su padre. En el curso de conversación, Henry reprendió a su padre para dar su número de tarjeta de crédito como si fuera su número de teléfono. "Por supuesto, usted tiene que dar su número de tarjeta cuando compra algo", dijo. "Pero le da a una tienda que presenta su número en sus registros - que es verdadero tonto". El único lugar donde hacerlo es en Video Studio ", dijo Conklin, nombrando a la misma cadena de tiendas de video." Pero yo voy por mi cuenta Visa cada mes. Si ellos empezaron a correr los cargos, yo lo sé. Claro,"Dijo Henry," pero una vez que tenga su número, es tan fácil para alguien a robar " ¿Te refieres a un empleado deshonesto ". No, Cualquier persona - no sólo un empleado ". You're hablando a través de su sombrero ", dijo Conklin. Puedo llamar ahora mismo y conseguir que me diga su número de Visa ", disparó

a Henry. No, No se puede ", dijo su padre. "Puedo hacerlo en cinco minutos, aquí delante de usted sin tener que abandonar la mesa. "

Sr.. Conklin parecía apretado alrededor de los ojos, la mirada de los sentimientos a alguien seguro de sí mismo, pero no quería demostrarlo. "Yo digo que no sé de que estás hablando", le gritó, sacando su cartera y la cuenta bofetadas cincuenta dólares sobre la mesa. "Si usted puede hacer lo que usted dice, eso es suyo. "No quiero tu dinero, papá ", dijo Henry. He sacó su teléfono celular, le pidió a su padre que él utilizó rama, y llamó a Asistencia de Directorio para el número de teléfono, así como el número de la tienda en las cercanías de Sherman Oaks. HE A continuación, llamó a la tienda Sherman Oaks. Con más o menos el mismo método descrito en el artículo anterior, se puso rápidamente el nombre del director y el número de tienda. Luego llamó a la tienda donde su padre tenía una cuenta. Sacó el viejo suplantarla-manager truco, utilizando el nombre del director como propio y dando el número de tienda que acababa de obtener. Luego se utilizó el mismo truco: "Are su equipos de trabajo ¿de acuerdo? La nuestra ha estado arriba y abajo. "Él escuchó su respuesta y luego dijo:" Bueno, mira, yo tengo uno de sus clientes aquí que quiere alquilar un vídeo, pero los ordenadores son ahora mismo. Te necesito para buscar la cuenta de cliente y asegúrese de que es un cliente en su oficina ". Henry le dio el nombre de su padre. Luego, con sólo una ligera variación en la técnica, que hizo la solicitud a leer la información de la cuenta: dirección, phonnúmero e, y la fecha de apertura de la cuenta. Y luego dijo: "Oye, oye, yo estoy sosteniendo una larga lista de clientes aquí. Cuál es la acreedorest número de tarjeta y fecha de caducidad? " Gallinary held el teléfono celular a la oreja con una mano mientras le escribió en una servilleta de papel con la otra. Al terminar la llamada, deslizó la servilleta delante de su padre, que lo miró con la boca abierta. El tipo de pobre looked totalmente sorprendido, como si todo su sistema de confianza acababa de down ªe desagüe. LaCon el nalyzing Delgadok de su propia actitud cuando alguien no conoce le pide something. Si un extraño mal estado viene a su puerta, no es probable que lo dejó entrar, y si un extranjero viene a su puerta bien vestido, los zapatos lustrados, el pelo perfecto, ingeniomanera cortés h y una sonrisa, es muy probable que sea mucho menos sospechoso. Tal vez es realmente Jason de la FridaY, el 13 de cine, Pero que está dispuesto a empezar confiando en esa persona, siempre y cuando se ve normal y no tiene un cuchillo en la mano. ¿Qués menos obvio es que juzgar a la gente por teléfono la misma manera. ¿Suena esto como persona que está tratando de venderme algo? ¿Es amable y outgoingo puedo sentir algún tipo de hostilidad o presión? ¿Él o ella tienen la

speech de una persona educada? Juzgamos a estas cosas y tal vez una docena de otros inconscientemente, en un instante, a menudo en los primeros momentos de la conversación. Mitnick MENSAJE Ess naturaleza humana pensar que es poco probable que usted está siendo engañado en ningún sentido transacción, Por lo menos hasta que haya alguna razón para creer lo contrario. Nos sopesar los riesgos y, a continuación, la mayoría de las veces, dar a la gente el beneficio de la duda. Ese es el comportamiento natural de las personas civilizadas .., por lo menos la gente civilizada que nunca han sido engañados o manipulados o engañados con una gran cantidad de dinero. Las los niños nuestros padres nos enseñaron a no confiar en los extraños. Tal vez todos deberíamos prestar atención a este principio antiguo en el lugar de trabajo de hoy. Lat trabajo, la gente hace pedidos de nosotros todo el tiempo. ¿Tiene una dirección de correo electrónico de este tipo? ¿Dónde está la última versión de la lista de clientes? ¿Quién es el subcontratista en esta parte del proyecto? Por favor, envíenme la última actualización del proyecto. Necesito la nueva versión del código fuente. Und adivinen qué: A veces la gente que hace esas peticiones son gente de tu personalmente no conozco, gente que trabaja para alguna otra parte de la empresa, o dicen que hacen. Pero si la información que dan los cheques, y parecen estar en el saber ("Marianne dijo ...", "Es en el servidor de K-16 ..."; "... 26 revisión de los planes de nuevos productos "), ampliamos nuestro círculo de confianza para incluirlos, y alegremente les dan lo que están pidiendo. Seguro, Se puede tropezar un poco, preguntándonos "¿Por qué alguien en la planta de Dallas que ver los planes de nuevos productos?" o "¿Podría doler nada para dar a conocer el nombre del servidor que quieres hacer?" Así que les pedimos otra pregunta o dos. Si las respuestas parecen razonables y la forma de la persona tranquilizador, que bajar la guardia, vuelve a nuestra inclinación natural a confiar en el prójimo o mujer, y hacer (dentro de lo razonable) lo que sea que se les está pidiendo que hacer. Und no piense ni por un momento que el atacante sólo se centrará en las personas 'Ho uso de los sistemas informáticos de la empresa. ¿Qué pasa con el hombre en la sala de correo? "¿Me haces un favor rápido? Abandonar esta compañía en la bolsa de correo intra?" ¿Tiene el secretario de sala de correo sabemos que contiene un disquete con un programa especial para la pequeña secretaria del CEO? Ahora el atacante obtiene su propia copia personal de correo electrónico del CEO. Wow! ¿Podría realmente suceder en su empresa? La respuesta es, absolutamente.

THE ONE CENT-CELULAR HombreY la gente mire a su alrededor hasta que el), encontrar una oferta mejor, los ingenieros sociales no se ven fora mucho mejor, encuentran una manera de hacer una oferta mejor. Por ejemplo, a veces una

compañía lanza una campaña de marketing que es por lo que difícilmente puede soportar la idea de dejar pasar, mientras que el ingeniero social analiza la oferta y se pregunta cómo puede endulzar el trato. Not hace mucho tiempo, una compañía de telefonía móvil en todo el país tuvo una gran promoción en curso que ofrece un teléfono nuevo para un solo centavo cuando se inscribió en uno de sus planes de llamadas. Las de un montón de personas han descubierto demasiado tarde, hay muchas buenas preguntas un comprador prudente debe hacer antes de inscribirse en un plan de teléfono celular llamando si el servicio es analógico, digital, o una combinación de ambos, el número de minutos en cualquier momento se puede utilizar en un mes, si las tarifas de itinerancia están incluidos .., y sigue, y sigue. Especialmente importante entender desde el principio es el plazo del contrato de compromiso - ¿cuántos meses o años va a tener que comprometerse a? Imagen de un ingeniero social en Filadelfia que se siente atraída por un modelo de teléfono barato ofrecido por una empresa de telefonía móvil en la muestra-para arriba, pero él odia el plan de llamadas que va con ella. No es un problema. He aquí una manera que podría manejar la situación. La primera llamada: Ted En primer lugar, los diales de ingeniería social de un almacén de cadena de electrónicos en West Girard. "Electron Ciudad. Se trata de Ted ". "Hola, Ted. Este es Adán. Escucha, estuve en un par de noches atrás hablando con un tipo de ventas de un teléfono celular. Le dije que lo llamara cuando me decidí por el plan que yo quería, y me olvidé su nombre. ¿Quién es el tipo que trabaja en ese departamento en el turno de noche? "Hays más de uno. ¿Fue William? " "No estoy conectadoNo estoy seguro. Tal vez fue William. ¿Qué aspecto tiene? "" Un tipo alto. Un poco flaca. " "Creo que es él. ¿Cuál es su apellido, otra vez? ". Hadley H - A - D - L - E Y." "Si, Eso suena bien. Cuándo él va a estar? " "Don 't saber su horario de esta semana, pero la gente de noche vienen en unos cinco años. "" Bien. Lo voy a intentar esta noche, entonces. Gracias, Ted ". La segunda llamada: Katie La siguiente llamada es a una tienda de la misma cadena en la calle North Broad.

"Hola, Electron City. Habla Katie, ¿en qué puedo ayudarle? " "Katie, hi. Se trata de William Hadley, más en la tienda de West Girard. ¿Cómo estás hoy? "

"Little lento, ¿qué pasa? " "Tengo un cliente que vino para que el programa de células de un centavo teléfono. Ya sabes a cuál me refiero?" "Derecha. He vendido un par de ellos la semana pasada. " "You todavía tiene algunos de los teléfonos que van con ese plan? "" ¿Tienes un montón de ellos. " . "Great Porque acaba de vender uno a un cliente El tipo pasó de crédito;.... Que lo inscribió en el contrato que nos registramos el inventario maldito y no tenemos todos los teléfonos dejaron Estoy tan avergonzado puedes hacer Hazme un favor? le voy a enviar a tu tienda a recoger un teléfono. ¿Puedes vender el teléfono por un centavo y escribir ¡Holam hasta un recibo? Y se supone que me llamen de vuelta una vez que tiene el teléfono de modo que Californian le hable a través de la forma de programarlo. "" Sí, claro. Envía sobre él. " "Está bien. Su nombre es Ted. Yancy Ted ". When el tipo que se hace llamar Yancy Ted se presenta en el North Broad St. tienda, Katie escribe de una factura y le vende el teléfono celular por un centavo, tal como ella le había pedido hacer by su "compañero de trabajo". Se enamoró de la gancho acondicionado, línea y plomada. When es el momento de pagar, el cliente no tiene monedas de un centavo en el bolsillo, así que mete la mano en el plato pequeño de monedas en el mostrador de la caja, toma uno y se lo da a la chica de la caja registradora. Se pone el teléfono sin tener que pagar ni siquiera un centavo por ello. Éls entonces libre para ir a otra compañía de telefonía móvil que utiliza el mismo modelo de teléfono, y elegir cualquier plan de servicio que le gusta. Preferiblemente uno sobre una base mes a mes, sin compromiso necesario. LaCon el nalyzing Es natural que las personas tengan un mayor grado de aceptación para cualquier persona que reclamars de ser un compañero de trabajo, y quién sabe procedimientos de la compañía, Lingo d. El ingeniero social en esta historia tomó ventaja de que al enterarse de los detalles de una promoción, que se identificó como una empresa empleado, Y pidiendo un favor a otra biblioteca. Esto sucede between las sucursales de las tiendas y entre departamentos de una empresa, las personas están físicamente separados y trato con los compañeros de trabajo que no tienen en realidad

my día tras día. HackinG EN LA FEDS People muchas veces no nos detenemos a pensar en qué materiales está haciendo su organización dise en la Web. Por mi programa semanal en la radio KFI en Los Angeles,

ªproductor e hice una búsqueda en línea y encontró una copia de un manual de instrucciones para el acceso a la base de datos, del Centro Nacional de Información Criminal. Más tarde se encontró con el manual real NCIC sí mismo en la línea, un documento sensible que da todas las instrucciones para recuperar información de la base de datos nacional del crimen del FBI. The manual es una guía para las agencias de aplicación de la ley que le da el formato y los códigos para la recuperación de información sobre delincuentes y los crímenes de la base de datos nacional. Representaciones en todo el país, puede buscar en la misma base de datos para obtener información para ayudar a resolver crímenes en su propia jurisdicción. El manual contiene los códigos utilizados en la base de datos para la designación de todo, desde diferentes tipos de tatuajes, para cascos de barcos diferentes, a las denominaciones de dinero robado y bonos. Anybody con acceso al manual puede consultar la sintaxis y los comandos para extraer información de la base de datos nacional. Luego, siguiendo las instrucciones de la guía de procedimientos, con un poco de nervio, cualquier persona puede extraer información de la base de datos. El manual también ofrece números de teléfono para pedir apoyo en el uso del sistema. Es posible que tenga manuales similares en su compañía ofrecen códigos de los productos o códigos para recuperar información sensible. The FBI casi seguro que nunca se ha descubierto que su manual de instrucciones de procedimiento sensible y están disponibles para cualquier persona en línea, y yo no creo que estaría muy feliz por eso si lo supieran. Una copia fue enviada por un departamento gubernamental en Oregon, el otro por una agencia de aplicación de la ley de Texas. ¿Por qué? En cada caso, alguien probablemente pensó que la información no tenía ningún valor y la publicación no podía hacer ningún daño. Tal vez alguien lo publicado en su intranet sólo como una comodidad para sus propios empleados, sin darse cuenta de que lo hizo la información a disposición de todos en Internet que tiene acceso a un buen motor de búsqueda como Google incluyendo la recién llano-curioso, la aspirante a policía, hacker, y el jefe del crimen organizado. Aprovechando el sistema de The principio de utilizar esa información para engañar a alguien en el gobierno o una businesajuste s es la misma: Debido a que un ingeniero social sabe cómo acceder a bases de datos o aplicaciones específicas, o sabe los nombres de los servidores de un ordenador de una empresa, o similares, gana credibilidad. La credibilidad genera confianza. Una vez que el ingeniero social tiene estos códigos, obtener la información que necesita yoEs un proceso fácil. En este ejemplo, se podría empezar por llamar a un vendedor en un local de la policía estatal teletipo oficina, y haciendo una pregunta de uno de los códigos en el manual - por ejemplo, el código de ofensa. Podría

decir algo como: "Cuando hago una investigación OFF en el NCIC, me estoy poniendo un" Sistema es abajo "error. ¿Usted está consiguiendo lo mismo cuando haces un OFF? ¿Quieres intentarlo por mí "O tal vez diría que estaba tratando de buscar un wpf - Discusión policía por la persona buscada arch ivo.

The oficinista teletipo en el otro extremo del teléfono que recoger la señal THAt la persona que llama estaba familiarizado con los procedimientos de operación y los comandos para consultar la base de datos del NCIC. ¿Quién más que no sea una persona capacitada en el uso de NCIC sabría estos procedimientos? En popaer el empleado ha confirmado que su sistema está funcionando bien, la conversación podría ser algo como esto: "Me vendría bien un poco de ayuda. "" ¿Qué estás buscando? " "Necesito que hagas una orden DES en Reardon, Martin. Fecha de nacimiento 10118/66." "¿Cuál es el Sosh?" (Personas de policía a veces se refieren al número de la seguridad social como la Sosh.) "700-14-7435." En popaer en busca de la lista, podría volver con algo así como: "Tiene un 2602." The atacante sólo tendría que mirar el NCIC en línea para encontrar el significado del número: El hombre tiene un caso de estafa en su historial. LaCon el nalyzing Un ingeniero social consumado no paraba un momento para reflexionar sobre la manera de breaking en la base de datos del NCIC. ¿Por qué iba, cuando una simple llamada a su departamento de policía local, y un poco de hablar suave por lo que suena convincente como un iniciado, es todo lo que se necesita para obtener la información que quiere? Y la próxima vez, simplemente llama a una agencia de policía diferente y utiliza el mismo pretexto. LINGO Sosh: Ley del argot para la aplicación de un número de seguro social You podría preguntarse, ¿no es arriesgado para llamar a un departamento de policía, estación del alguacil, o una oficina de la Patrulla de Caminos? ¿No considera el atacante ejecutar un gran riesgo? La respuesta es no. . . y por una razón específica. La gente en la legislación aplica-ción, como la gente en el ejército, han arraigado en ellos desde el primer día en la academia el respeto a la jerarquía. Mientras que el ingeniero social se hace pasar por un sargento o teniente - una categoría superior a la persona que está hablando - la víctima se regirá por la lección bien aprendida que diga que no pongo en duda las personas que están en una posición de autoridad sobre ti. Rank, en otras palabras, tiene sus privilegios, en particular, el privilegio de no ser impugnada por las personas de rango inferior.

But No creo que la policía y los militares son los únicos lugares donde se puede a este respecto por el rango explotadas por el ingeniero social. Los ingenieros sociales utilizan a menudo la autoridad o rango en la jerarquía corporativa como un arma en sus ataques a las empresas - como una serie de historias en estas páginas demuestran.

PREVENTING CON EL ¿Qut son algunos pasos que su organización puede tomar para reducir la probabilidad de que sociaingenieros l aprovechará instinto natural de sus empleados a confiar en la gente? Aquí están algunas sugerencias. Proteja a sus clientes Yon esta era electrónica, muchas empresas que venden al consumidor mantenga las tarjetas de crédito on archivo. Hay muchas razones para esto: ahorra al cliente la molestia de tener que proporcionar la información de su tarjeta de crédito cada vez que visita la tienda o el sitio Web para realizar una compra. Sin embargo, la práctica no es aconsejable. Yof debe mantener los números de tarjetas de crédito en el archivo, este proceso debe ir acompañado por las disposiciones de seguridad que van más allá de cifrado o el uso de control de acceso. Los empleados deben ser entrenados para reconocer las estafas de ingeniería social como los descritos en este capítulo. Ese compañero de trabajo que nunca he conocido en persona, sino que se ha convertido en un amigo de teléfono no puede ser que él o ella dice ser. Puede que no tenga la "necesidad de saber" para acceder a la información confidencial de los clientes, porque en realidad no puede trabajar para la compañía en absoluto. Mitnick MENSAJE Todo el mundo debe ser consciente del modus operandi del ingeniero social de: Reúna much información sobre el objetivo como sea posible y utilizar esa información para obtener la confianza como un allegado. A continuación, vaya a la yugular! Confía Sabiamente Ess no sólo las personas que tienen acceso a la información claramente sensible el softwaringenieros electrónicos, la gente de I + D, etc - que necesitan estar a la defensiva frente a intrusiones. Casi todas las personas en su organización necesita capacitación para proteger a la empresa de espías industriales y ladrones de información. Laying las bases para esto debe comenzar con un estudio de los activos de información en toda la empresa, buscando por separado a cada activo sensible, crítico, o valioso, y preguntando cuáles son los métodos que un atacante podría utilizar para comprometer esos activos mediante el uso de tácticas de ingeniería social. Una formación adecuada de las personas que han confiado en el acceso a esa información debería ser diseñado en torno a las respuestas a estas preguntas. When cualquier persona que usted no conoce personalmente solicita alguna información o medios materiales, o le pide que realice alguna tarea en su

computadora, haga que sus empleados se preguntan algunos. preguntas. Si me dio esta información a mi peor enemigo, podría ser utilizada para herir a mí oa mi empresa? ¿Debo entender completamente el efecto potencial de los comandos se me pide entrar en mi ordenador?

We no quiero ir por la vida siendo sospechoso de cada nueva persona que encontramos. Sin embargo, la mayor confianza que somos, mayor es la probabilidad de que el próximo ingeniero social para llegar a la ciudad será capaz de engañarnos a renunciar a información confidencial de la empresa. ¿Qué pertenece en su Intranet? Partes de la intranet pueden estar abiertos al mundo exterior, otras partes restringido a empleados. ¿Cómo es cuidadoso de su empresa en asegurar la información sensible no se coloquen en lugares que es accesible al público que la intención de protegerlo de? ¿Cuándo fue la última vez que alguien en su organización revisa para ver si cualquier información sensible information en la intranet de su empresa había sido inadvertidamente puesta a disposición a través de las áreas de acceso público de su sitio Web? Yof su empresa ha implementado servidores proxy como intermediario para proteger a la empresa contra las amenazas de seguridad electrónica, tienen esos servidores han comprobado recientemente para asegurarse de que está configurado correctamente? Yon hecho, ¿alguien nunca comprobared la seguridad de la intranet?

Chapter 5 "Let Me Help You "
We're todos agradecidos cuando estamos plagados de un problema y alguien con el conocimiento, la habilidad y la voluntad viene ofreciendo a echarnos una mano. El ingeniero social que entiende y sabe cómo sacar provecho de ella. He también sabe causandoeun problema para usted .., entonces te hacen agradecido cuando él resuelve el problema .. y, finalmente, jugar en tu gratitud para extraer alguna información o un favor de usted, que dejará su empresa (o tal vez, de forma individual) mucho peor off para el encuentro. Y usted ni siquiera sepa que has perdido algo de valor. He aquí algunas formas típicas que los ingenieros sociales un paso adelante para "ayudar". LA CORTE DE RED Day / hora: lunes, 12 de febrero, 15:25 Lugar: Oficinas de estribor construcción naval La primera llamada: Tom Delay "ParaDeLay m, teneduría de libros. " "Hey, Tom, este es Eddie Martin de la Mesa de Ayuda. Estamos tratando de solucionar un problema de red informática. ¿Sabe si algún miembro de su grupo ha estado teniendo problemas para mantenerse en línea? "" Uh, no que yo sepa. " "Unad no vas a tener ningún problema por usted mismo. "" No, parece estar bien. " "Está bien, Eso es bueno. Escucha, estamos llamando a las personas que pudieran resultar afectadas "causa importante ITLS usted nos deja saber inmediatamente si se pierde la conexión de red." "That no suena bien. ¿Crees que podría pasar? "" Esperamos que no, pero te llamaré si lo hace, ¿verdad? " "You mejor que lo creas. " "Escucha, Suena como que tu conexión de red descender sería un problema para ti ... " "Yousertyot lo haría. " "... así que mientras estamos Working en esto, te voy a dar mi número de teléfono celular. A continuación, puede ponerse en contacto conmigo directamente si es necesario. " "Esod ser grande. Adelante. "

"Ess 555 867 5309. " "555 867 5309. Lo tengo. Hey, gracias. ¿Cuál era su nombre? " "Es Eddie Oye, otra cosa -. Tengo que comprobar que el puerto de su ordenador está conectado a echar un vistazo en el ordenador y ver si hay una etiqueta adhesiva. en alguna parte que dice algo así como "Número de puerto".

"Hang en No, No veo nada de eso. " "Okay, a continuación, en la parte posterior de la computadora, se puede reconocer el cable de red. "" Sí ". "Seguirle la pista a donde sea enchufado ver si hay una etiqueta en la toma es Plugged a ". "Hold un segundo. Sí, espera un minuto - Tengo que agacharse aquí para que pueda acercarse lo suficiente para leerlo. Está bien - dice Port 6 tablero 47 ". "Good - eso es lo que tienes abajo como, simplemente asegurarse ". La segunda llamada: El tipo lo Dos días más tarde, llegó una llamada a través de operaciones de red de la misma compañía Center. "Hola, Este es Bob, estoy en la oficina de Tom DeLay en Contabilidad. Estamos tratando de solucionar un problema de cableado. Te necesito para desactivar el puerto 6-47. " The IT tipo dijo que se llevaría a cabo en tan sólo unos pocos minutos, y para hacerles saber que cuando estuviera listo para tenerlo habilitado. La Tercera Convocatoria: Obtención de ayuda desde el Enemigo About Una hora más tarde, el hombre que se hacía llamar Eddie Martin estaba de compras en Circuit City cuando sonó su teléfono móvil. Miró el identificador de llamadas, vio la llamada era de la empresa de construcción naval, y corrió a un lugar tranquilo antes de contestar. "Atención al cliente, Eddie." "Oh, Hey, Eddie. Usted tiene un eco, ¿dónde estás? "" Yo, eh, en un armario de cableado. ¿Quién es? "Ess ADeLay m. Vaya, me alegro de que echó mano de usted. Tal vez usted recuerde que usted me llamó el otro día? Mi conexión de red sólo cayó como usted lo dijo fuerza, Y estoy un poco de pánico aquí ". "Si, Tenemos un montón de gente ahora mismo. Deberíamos haberlo atendido por el final del día. ¿Está bien? " "NO! Maldita sea, me pondré muy atrás si estoy abajo tanto tiempo. ¿Qué es lo mejor que puedes hacer por mí? " "How prensado es usted? " "Podría hacer algunas otras cosas por ahora. Cualquier posibilidad de que usted puede tomar el cuidado de él en media hora? " "HALF por hora! Usted no quiere mucho. Bueno, mira, voy a dejar lo que estoy haciendo y ver si puedo hacerle frente a ti. "" Hey, yo realmente aprecio eso, Eddie. "

La Cuarta Convocatoria: Gotcha! Cuarenta y cinco minutos más tarde ...

"Tom? Es Eddie. Siga adelante y probar su conexión de red "Después de un par de momentos.: "Oh, Bueno, está funcionando. Eso es simplemente genial. "" Bueno, me alegro de que podía tomar el cuidado de él para usted. "" Sí, muchas gracias. " "Escucha, Si usted quiere asegurarse de que su conexión no baja más, hay algunos programas que deberías estar en ejecución. Basta con echar un par de minutos. " "Ahora"s no es el mejor momento ". "Entiendo ... Podría salvarnos ambos grandes dolores de cabeza la próxima vez que este problema de la red que pasa ". "Well. . . si es sólo unos minutos. "" Esto es lo que hacen ... " EddiE A continuación, llevó a Tom a través de los pasos de la descarga de una pequeña aplicación desde un sitio Web. Después de que el programa se había descargado, Eddie le dijo a Tom que hacer doble clic en él. Lo intentó, pero informó: "Ess no funciona. No está haciendo nada. " "Oh, ¡Qué dolor. Algo debe estar mal con el programa. Vamos a deshacernos de él, podemos volver a intentarlo en otro momento. "Y habló Tom a través de los pasos de borrar el programa por lo que no se pudo recuperar. Total Tiempo transcurrido doce minutos. El atacante Historia Bobby Wallace siempre pensé que era de risa cuando recogió un buen assignment como éste y su cliente pussyfooted torno a la pregunta no formulada pero obvia de por qué querían la información. En este caso, sólo podría delgadok por dos razones. Tal vez representó un equipo que estaba interesado en buying la empresa objetivo, Starboard la construcción naval, y quería saber qué tipo de condiciones financieras que eran realmente - en especial todo lo objetivo posible que desee mantener oculto a un comprador potencial. O tal vez representado a inversionistas que pensaban que había algo sospechoso acerca de la manera en que se maneja el dinero y quería saber si algunos de los ejecutivos tenido un caso of manos en la cookie-jar. Und tal vez su cliente tampoco quería decirle la verdadera razón porque, si Bobby sabía lo valiosa que la información era, probablemente querrá más dinero para

hacer el trabajo.

Hay un montón de maneras de crack en los archivos más secretos de la empresa. Bobby pasó unos días dándole vueltas a las opciones y haciendo un poco de control alrededor antes de decidir sobre un plan. Se decidió por uno que pidió un enfoque que le gustaban especialmente, donde el objetivo está configurado de modo que el atacante le pide ayuda. Foarrancadores r, Bobby cogió un teléfono celular $ 39,95 en una tienda de conveniencia. Él hizo una llamada al hombre a quien había elegido como su objetivo, se hizo pasar por ser del help desk empresa, y arreglar las cosas para que el hombre se llama Bobby teléfono celular de un momento se encontró con un problema con su conexión de red. He izquierda de una pausa de dos días para no ser demasiado obvio, y luego hizo una llamada al centro de operaciones de red (NOC) en la empresa. Él decía que era la solución de problemas en un problema para Tom, el objetivo, y pidió que disponen de conexión a red de Tom desactivada. Bobby sabía que era la parte más difícil de la aventura entera - en muchas empresas, la gente del mostrador de ayuda trabajar en estrecha colaboración con el CON, de hecho, sabía que la mesa de ayuda es a menudo parte de la organización de TI. Pero el tipo indiferente NOC habló con el llamado tratado como rutina, no preguntó por el nombre de la persona del mostrador de ayuda que supuestamente estaba trabajando en el problema de redes, y accedió a desactivar el puerto de destino de la red. Cuando haya terminado, Tom estaría totalmente aislado de la intranet de la empresa, no puede recuperar archivos desde el servidor, los archivos de intercambio con sus compañeros de trabajo, descargue su correo electrónico, o incluso enviar una página de datos a la impresora. En el mundo de hoy, que es como vivir en una cueva. Las Bobby era de esperar, no pasó mucho tiempo antes de que su teléfono celular sonó. Por supuesto que lo hizo sonar con ganas de ayudar a este pobre "compañero de trabajo" en apuros. Luego llamó a la NOC y tenía conexión del hombre de la red turned nuevo. Por último, llamó al hombre y lo manipuló una vez más, esta vez haciéndolo sentir culpable por decir que no después de Bobby le había hecho un favor. Tom accedió a la petición de que descargar un software en su ordenador. Of supuesto, lo que él acordó no era exactamente lo que parecía. El software que Tom le dijo que mantener su conexión de red de descender, era realmente un caballo de Troya, una aplicación de software que hizo por computadora Tom es lo que el engaño original hizo para los troyanos: Trajo al enemigo en el interior del campamento. Tom informó que no pasó nada cuando se hace doble clic en el icono del software, el hecho es que, por diseño, no podía ver que pase nada, a pesar de la pequeña aplicación se instala un programa secreto que permitiera el acceso a encubierto infiltrado de Tom computadora. Ingenioh, el software que se ejecuta, Bobby se le proporcionó un control total

sobre la computadora de Tom, un acuerdo conocido como un shell de comandos remoto. Cuando Bobby accede equipo de Tom, él podría buscar los archivos de contabilidad que

might ser de su interés y copiarlos. Luego, en sus ratos de ocio, los había examinar la información que daría a sus clientes lo que ellos estaban buscando. LINGO TRojan CABALLO: Un programa que contiene código malicioso o dañino, diseñado para dañar la computadora de la víctima o archivos, o para obtener información de la computadora de la víctima o de red. Algunos troyanos están diseñados para ocultar en el sistema operativo del ordenador y espiar a cada golpe de teclado o acción, o aceptar instrucciones través de una conexión de red para realizar alguna función, todo ello sin que la víctima sea consciente de su presencia. Und eso no fue todo. Él podría volver en cualquier momento para buscar a través de los mensajes de correo electrónico y notas privadas de los ejecutivos de la empresa, realizar una búsqueda de texto para palabras que puedan revelar alguna cositas interesantes de información. Latitude en la noche que estafó a su destino en la instalación del software de caballo de Troya, Bobby tiró el teléfono celular en un contenedor de basura. Por supuesto, él tuvo la precaución de borrar la memoria primero y tire de la batería antes de que él la arrojó - la última cosa que quería era que alguien a llamar al número del teléfono celular por error y tiene el sonido de inicio teléfono! LaCon el nalyzing El atacante unas telas para convencer al objetivo que tiene un problema de que, de hecho, doesn'T realmente existen - o, como en este caso, un problema que no ha sucedido todavía, pero el atacante sabe que va a pasar porque él lo va a hacer. Luego presenta himselF uns ªe person who cun Provide ªe solución. The setup yonthis parientesd oF attACK yos particularmente juicy for ªe attacker: Debido a la semilla plantada por adelantado, cuando el objetivo descubre que tiene un problema, se hace la llamada para pedir ayuda. El atacante sólo se sienta y espera a que suene el teléfono, una táctica cariñosamente conocido en el comercio como ingeniería social inversa.Un atacante que puede hacer la blanco llamarlo gana credibilidad instantánea: Si hago una llamada a alguien que creo que es en la mesa de ayuda, I 'No voy a empezar a hacer él para probar su identidad. Fue entonces cuando el atacante tiene que hacer. LINGO DISTANCIA shell de comandos: Una interfaz no gráfica que acepte texto based comandos para realizar determinadas funciones o ejecutar programas. Un atacante que explote las vulnerabilidades técnicas o es capaz de instalar un programa troyano en el ordenador víctimas puede ser capaz de obtener acceso

remoto a un shell de comandos

REVERSE INGENIERÍA SOCIAL: Un ataque de ingeniería social en el que el atacante configura una situación en la que la víctima se encuentra con un problema y hace contacto con el atacante para obtener ayuda. Otra forma de ingeniería social inversa da la vuelta sobre el atacante. El objetivo reconoce el ataque, y utiliza los principios psicológicos de la influencia de extraer tanta información como sea posible del atacante para que el negocio pueda salvaguardar los activos específicos. Mitnick MENSAJE Yodesconocido fa te hace un favor, entonces le pide un favor, no sin reciprocidad thinking cuidadosamente acerca de lo que está pidiendo. Yona con como éste, el ingeniero social trata de elegir un objetivo que es probable que tenga un conocimiento limitado de las computadoras. Cuanto más se sabe, más probable es que él va a sospechar, o simplemente figura llanura que está siendo manipulado. Lo que a veces llaman la computadora-desafió trabajador, que es menos conocedores de la tecnología y los procedimientos, es más probable que cumplan. Es tanto más probabilidades de caer en una trampa como "Sólo tienes que descargar este pequeño programa," porque no tiene idea del daño potencial de un programa de software puede infligir. Lo que es más, hay una probabilidad mucho menor que lo entenderá el valor de la información en la red informática que está poniendo en riesgo. UNA PEQUEÑA AYUDA PARA EL NUEVO GAL New empleados son un blanco propicio para los atacantes. No conozco a mucha gente, sin embargo, no conocen los procedimientos o tareas pendientes y no hacer el de la empresa. Y, en nombre de hacer una buena primera impresión, están ansiosos por mostrar cómo cooperativo y rápido a responder que puede ser. Andrea ha sido útil "Human Recursos, Andrea Calhoun. " "Andrea, Hola, este es Alex, con seguridad corporativa. "" ¿Si? " "How're vas a hacer hoy? " "Está bien. ¿Qué puedo ayudarte? " "Escucha, Estamos desarrollando un seminario de seguridad para los nuevos empleados y tenemos que reunir a algunas personas a probarlo en. Quiero obtener el nombre y número de teléfono of todos los nuevos contratados en el último mes. ¿Me puede ayudar con eso? "" No voy a ser capaz de llegar a ella 'hasta esta tarde. ¿Te parece bien? "¿Qen casa de su

extensión? " "Claro, está bien, que es 52. . . oh, uh, pero voy a estar en la mayoría de las reuniones de hoy. Te llamaré cuando estoy de vuelta en mi oficina, probablemente después de cuatro ".

BlancoAlex es llamada alrededor de las 4:30, Andrea tuvo la lista, y le leyó los nombres y extensiones. Un Mensaje para Rosemary RosEmary Morgan estaba encantada con su nuevo trabajo. Nunca había trabajado para una revista antes y fue encontrar a la gente mucho más amable de lo que esperaba, una sorpresa debido a la presión incesante la mayoría del personal era siempre bajo para obtener un nuevo tema terminado para la fecha límite mensual. La llamada que recibió un jueves por la mañana volvió a confirmar esa impresión de amistad. "Yos que Rosemary Morgan? " "Sí". "Hola, Rosemary. Esto es Jorday Bill, con el grupo de seguridad de la información. "" ¿Si? " "Hacualquier persona s de nuestro departamento discuten las mejores prácticas de seguridad con usted? "" Yo no lo creo. " "Bueno, Vamos a ver. Para empezar, no se permite a nadie para instalar software traídos de fuera de la empresa. Eso es porque no queremos ninguna responsabilidad por unlicensed uso de software. Y para evitar cualquier problema con el software que pueda tener un gusano o un virus. " "Está bien." "Are al tanto de nuestras políticas de email? "" No. " "¿Qués su dirección de correo electrónico actual? " "Rosemary@ttrzine.net." "Do inicies sesión bajo el romero nombre de usuario? "" No, es R subrayar Morgan ". "En este. Nos gusta hacer que todos nuestros nuevos empleados conscientes de que puede ser peligroso abrir cualquier archivo adjunto de correo electrónico que no se esperaba. Muchos de los virus y gusanos son enviadas alrededor y vienen en los correos electrónicos que parecen provenir de personas que conoce. Así que si usted recibe un correo electrónico con un archivo adjunto que no esperabas siempre debe check para asegurarse de que la persona que figura como remitente realmente le envía el mensaje. ¿Entiendes? " "Sí, He oído hablar de eso ". "Good. Y nuestra política es que usted cambie su contraseña cada noventa días. ¿Cuándo fue la última vez que cambie su contraseña? " "I've estado aquí sólo tres semanas, todavía estoy usando la primera vez que un ajuste ". "Está bien, Eso está bien. Usted puede esperar el resto de los noventa días. Pero tenemos que estar seguro que la gente está usando contraseñas que no son

demasiado fáciles de adivinar. ¿Está utilizando un password que se compone de letras y números? " "No." We que arreglar eso. ¿Qué contraseña está usando ahora "" Es el nombre de mi hija -. Annette "? "Esos realmente no es una contraseña segura. Nunca se debe elegir una contraseña que sea bobre la base de información de la familia. Bueno, vamos a ver .., se puede hacer lo mismo que yo.

Ess bien usar lo que usted está usando ahora como la primera parte de la contraseña, pero luego cada vez que lo cambie, añada un número para el mes en curso. " "So si lo hacía ahora, en marzo, se debe utilizar tres o oh y tres. "" Eso depende de ti. ¿Qué estaría usted más cómodo? " "Creo que Annette y tres." "Fine. ¿Quieres que te guiará a través de cómo hacer el cambio? "" No, yo sé cómo hacerlo ". "Good. Y una cosa más que tenemos que hablar. Usted tiene un software antivirus en su equipo y es importante mantenerlo al día. Nunca se debe desactivar la actualización automática, incluso si el equipo se ralentiza de vez en mientras que. ¿De acuerdo? "" Claro ". "Ver.y bueno. ¿Y que nuestro número de teléfono por aquí, así que usted puede llamarnos si tiene problemas con su ordenador? " ShE no. Le dio el número, lo escribió con cuidado, y volvió a su trabajo, una vez más, satisfecho de lo bien cuidada que sentía. LaCon el nalyzing This historia refuerza un tema subyacente que encontrará en este manual: El most información común que un ingeniero social quiere de un empleado, independientemente de su objetivo final, es el objetivo credenciales de autenticación. Con un nombre de cuenta y contraseña en la mano de un solo empleado en el área de derecho de la empresa, el atacante tiene lo que necesita para entrar y encontrar toda la información que busca. Tener esta información es como encontrar las llaves del reino, y con ellas en la mano, se puede mover libremente por el paisaje corporativo y encontrar el tesoro que busca. Mitnick MENSAJE Antes de que los nuevos empleados se les permite el acceso a todos los sistemas informáticos de la empresa, lay deben estar capacitados para aplicar buenas prácticas de seguridad, en especial las políticas de nunca revelar sus contraseñas. NOT tan seguro como usted piensa "Thempresa e que no hace un esfuerzo por proteger su información sensible es jussimple negligencia. t "Mucha gente estaría de acuerdo con esa afirmación. Y el mundo sería un lugar mejor si la vida fuera tan obvio y tan simple. La verdad es que incluso las empresas que hacen un esfuerzo para proteger la información

confidencial puede ser en grave riesgo.

Aquí 'una historia que ilustra una vez más cómo las empresas se engañan todos los días en el pensamiento de sus prácticas de seguridad, diseñadas por expertos, profesionales competentes, no puede eludirse. Historia de Steve Cramer Yot no fue un gran jardín, no uno de esos márgenes sembradas caro. Se obtuvo ninguna Envidio. Y ciertamente no era lo suficientemente grande para darle una excusa para comprar una cortadora de brazos caídos, que estaba bien porque no se han utilizado de todos modos. Steve disfrutada cortando el césped con una segadora de mano, ya que tomó más tiempo, y la tarea proporcionó una excusa conveniente para centrarse en sus propios pensamientos, en vez de listeninga Anna contándole historias sobre la gente en el banco donde trabajaba o explicar recados para él hacerlo. Odiaba hacer esas listas de miel que se había convertido en una parte integral de sus fines de semana. Se dirigió aunque su mente que el 12 - años de edad, Pete era maldito inteligente para unirse al equipo de natación. Ahora tendría que estar en una práctica o satisfacer todos los sábados para que no se queden con las tareas del sábado. Sompersonas e podría pensar trabajo de Steve diseñar nuevos dispositivos para GeminiMed productos médicos era aburrido, Steve sabía que él estaba salvando vidas. Steve pensó en sí mismo como en una línea creativa de la obra. Artista, compositor, ingeniero - a la vista de Steve todos ellos enfrentan el mismo tipo de desafío que él hizo: Crearon algo que nadie había hecho antes. Y su último trabajo, un nuevo tipo de stent curiosamente inteligente corazón, sería su mayor logro aún. Yot era casi las 11:30 de este sábado en particular, y Steve estaba molesto porque había casi terminado de cortar el césped y que no había hecho ningún verdadero progress en encontrar la manera de reducir la demanda de potencia en el stent cardíaco, el obstáculo que quedaba. Un problema perfecto para reflexionar sobre mientras corta el césped, pero la solución no había llegado. Anauna apareció en la puerta, con el pelo cubierto en el pañuelo rojo de Paisley del vaquero que siempre usaba cuando el polvo. "Llamada de teléfono", le gritó a él. "Alguien de trabajo". "¿Quién?"Steve gritó de nuevo." Algo Ralph. Yo pienso ". Ralph? Steve no podía recordar a nadie en GeminiMed llamado Ralph al que podía llamar a un fin de semana. Pero Anna probablemente tenía el nombre equivocado. "Steve, esto es Ramón Pérez en Soporte Técnico "Ramon -. Cómo en el mundo

hizo Anaa obtener de un nombre hispano a Ralph, Steve preguntó. "This es sólo una visita de cortesía, Ramón estaba diciendo. "Tres de los servidores están inactivos, pensamos que tal vez un gusano, y tenemos que limpiar las unidades de disco y restauración desde copia de seguridad. Debemos ser capaces de tener sus archivos en marcha by Wiércoles o Jueves. Si tenemos suerte ".

"Absolutely inaceptable ", dijo Steve con firmeza, tratando de no dejar que su frustración se haga cargo. ¿Cómo podría esta gente ser tan estúpido? ¿De verdad crees que podría manejar sin acceso a sus archivos de fin de semana y la mayor parte de la semana que viene?" no hay manera. Voy a sentarme en mi terminal hogar en casi dos horas y que tendrá acceso a mis archivos. ¿Estoy haciendo esto claro? " "Si, Bueno, todo el mundo me ha llamado hasta ahora quiere estar en la parte superior de la lista. Renuncié a mi fin de semana para venir y trabajar en esto y no es divertido tener a todo el mundo que hablo se enojó conmigo. " "Estoy en un plazo breve, la empresa cuenta con esto, tengo que conseguir trabajo done esta tarde. ¿Qué parte de esto no entiendes? " "Todavía tengo un montón de gente para llamar antes de que pueda empezar ", puesto Ramon." ¿Qué tal si dices que vas a tener tus archivos para el martes? " "Not martes no, el lunes, en la actualidad. ¡AHORA! ", Dijo Steve, preguntando quién iba a llamar si no podía obtener su punto a través del cráneo grueso de este tipo. "Está bien, Está bien, "dijo Ramón, y Steve le oía respirar un suspiro de fastidio." Déjame ver qué puedo hacer para que te va. Se utiliza el RM22 server, ¿no? " "RM22 y el GM16. Las dos cosas." ". Haga Está bien, puedo cortar algunas esquinas, ahorrar un poco de tiempo - I'Ll necesitamos su nombre de usuario y contraseña." Uh oh, Steve pensó. ¿Qué está pasando aquí? ¿Por qué iba a necesitar mi contraseña? ¿Por qué sería, más que nadie, pregunte por ella? "¿Qut has dicho tu apellido era? ¿Y quién es tu supervisor? "" Ramón Pérez. Mira, te diré algo, cuando lo contrataron, había una forma que tenía que llenar para obtener su cuenta de usuario, y que tenía que poner una contraseña. Podía mirar eso y demostrar que lo tenemos en los archivos aqui. ¿De acuerdo? " Steve reflexionó que durante unos instantes, y luego estuvo de acuerdo. Colgó con creciente impaciencia mientras que Ramón fue a recuperar documentos de un archivador. Finalmente back en el teléfono, Steve le oía arrastrando los pies a través de una pila de papeles. "¡Ah!, Aquí está, "Ramón dijo al fin." Put You down 'Janice. "La contraseña" Janice, Steve pensó. Era el nombre de su madre, y se había hecho, a veces se utiliza como una contraseña. Muy bien podría haber puesto que por su contraseña al completar sus nuevos papeles de alquiler. "Sí, Eso es correcto ", reconoció. "Está bien, Estamos perdiendo el tiempo aquí. Sabes que soy de verdad, quieres que utilizar el acceso directo y obtener los archivos de nuevo a toda prisa, te vas a tener que help me out here

". "Mi ID es s, d, subrayado, cramer -. Cramer La contraseña es" un pelícano ". "Voy a tener derecho a ella ", dijo Ramón, sonando útil al fin." Dame un par de horas. " Steve terminado el césped, en el almuerzo, y cuando llegó a su ordenador que se encuentra THAt sus archivos habían sido efectivamente restaurado. Estaba satisfecho de sí mismo para el manejo de

THAno coopera t TI chico con tanta fuerza, y esperaba que Anna había oído hablar de la firmeza de él. Sería bueno para dar al hombre o ¡Holas un jefe attaboy, pero él sabía que era una de esas cosas que nunca había de moverse a hacer.

CHistoria de Raig Cogburne Craig Cogburne había sido un vendedor de una empresa de alta tecnología, y hace bien en lo. Después de un tiempo, empezó a darse cuenta de que tenía una habilidad para la lectura de un cliente, entendiendo que la persona era resistente y reconociendo some debilidad o vulnerabilidad que hace que sea fácil para cerrar la venta. Comenzó a delgadok sobre otras maneras de utilizar este talento, y el camino que le llevó a un campo mucho más lucrativo: el espionaje corporativo. This fue un encargo caliente. No parecía que me llevara mucho tiempo y vale la pena lo suficiente como para pagar un viaje a Hawai. O tal vez Tahití. Thtipo e que me contrató, él no me dijo el cliente, por supuesto, pero pensé que alguna empresa que quería ponerse al día con la competencia en un rápido salto grande, fácil. Todo lo que tendría que hacer es conseguir los diseños y productos especulacións para un nuevo aparato llamado stent cardíaco, fuera lo que fuera. La empresa se llamaba GeminiMed. Nunca he oído hablar de él, pero era un traje de Fortune 500 con oficinas en lugares de media docena - que hace el trabajo más fácil que una compañía más pequeña donde hay una buena posibilidad que el tipo que está hablando sabe que el tipo con el que estás afirmando ser y sabe que no lo son. Esto, al igual que los pilotos decir de un choque en el aire, puede arruinar su día. My cliente me envió un fax, un poco de la revista algún doctor que dijo GeminiMed estaba trabajando en un stent con un nuevo diseño radical y que sería llamado el STH-IO0. Por el amor de Dios, algún periodista ya ha hecho un gran pedazo del trabajo de campo para mí. Yo tenía una cosa que necesitaba, incluso antes de que se inició, el nombre del nuevo producto. Firsproblema t: Obtener los nombres de las personas en la empresa que trabajaron en el STH-100 o que tenga que ver los diseños. Así que llamé a la operadora y le dijo: "Le prometí a una de las personas de su grupo de ingeniería me ponía en contacto con él y que no recuerdo su apellido, pero su nombre comenzó con una S." Y ella dijo: "Tenemos un arquero Scott y un Davidson Sam". Tomé un tiro largo. "Lo que se trabaja en el grupo STH100?" Ella no lo sabía, así que sólo nos recogió Scott Archer al azar, y ella llamó a su teléfono.

When me contestó, le dije: "Hey, este es Mike, en la sala de correo. Tenemos un FedEx aquí que es para el equipo de Proyecto Corazón Stent STH-100. ¿Alguna idea de quién debería ir?" Me dio el nombre del responsable del proyecto, Jerry Mendel. Incluso llegué a él para buscar el número de teléfono para mí. Me llamó. Mendel no estaba allí, pero su mensaje de correo de voz le dijo que estaría de vacaciones hasta el XIII, lo que significaba que tenía otra semana para esquiar o lo que sea, y cualquiera que necesitaba algo, mientras tanto, se debe llamar a Michelle en 9137. Muy útil, a estas personas. Muy útil. Colgué el teléfono y llamó a Michelle, tiene ella por teléfono y le dijo: "Este es Bill Thomas. Jerry me dijo que tenía que llamar cuando tuve la especificación listo THAt quería que los chicos de su equipo de revisión. Usted está trabajando en el stent corazón, ¿verdad? "Ella dijo que eran. Now estábamos llegando a la parte sudoroso de la estafa. Si ella empezó a sonar sospechoso, que estaba listo para jugar la carta acerca de cómo me estaba tratando de do un favor a Jerry me había pedido. Le dije: "¿Qué sistema está usted?" "System?" "Which servidores computadora usa su grupo? " "Oh,"Ella dijo," RM22. Y algunos miembros del grupo también utilizan GM16. "Bien. Lo necesitaba, y era una pieza de información que pude conseguir de ella sin hacerla sospechosa. ¿Qué le ablandó el siguiente bit, hecha con tanta naturalidad como pude hombreedad. "Jerry dijo que me podía dar una lista de direcciones de correo electrónico de las personas en el equipo de desarrollo", le dije, y contuve el aliento. "Claro. La lista de distribución es demasiado largo para leer, ¿puedo enviar por correo electrónico a usted? " Oops. Cualquier dirección de correo electrónico que no terminó en GeminiMed.com sería una gran bandera roja. "¿Y tú por fax a mí?" He dicho. She tenido ningún problema en hacer eso. "Our máquina de fax está en un abrir y cerrar. Voy a tener que conseguir el número de otro. Te llamo de vuelta en un poco ", le dije, y colgué. Ahora, Se podría pensar que tenía que cargar con un problema pegajoso aquí, pero es más que otro truco habitual del comercio. Esperé un rato para que mi voz no sonara familiar a la recepcionista, a continuación, la llamó y le dijo: "Hola, soy Bill Thomas, nuestra máquina de fax no funciona aquí, ¿me das un fax enviado a

su máquina?" Ella dijo que sí, y me dio el número. Lan Acabo de entrar y recoger el fax, ¿no? Por supuesto que no. Primera regla: Nunca visitar las instalaciones a menos que sea absolutamente necesario. Ellos tienen dificultad para identificar si usted es sólo una voz en el teléfono. Y si no se puede identificar

usted, No se puede detener. Es difícil poner las esposas en torno a una voz. Así que llamé a la recepcionista de nuevo después de un rato y le preguntó, llegó mi fax? "Sí," dijo ella. "Mira,"Yo le dije:" Tengo que conseguir que a un consultor que estamos usando. ¿Podría usted enviar a mí "Ella estuvo de acuerdo y por qué no -. ¿Cómo podría un recepcionista se espera que reconocer los datos sensibles Mientras que envió el fax a la" consultor ", tuve mi ejercicio para el día caminando hacia una papelería cerca de mí, el que tiene el cartel de fuera "faxes enviados / rcvd." Mi fax debía llegar antes que yo, y como se esperaba, que estaba allí esperando para mí cuando entré Seis páginas en $ 1,75. Por un billete de $ 10 y cambio, tenía toda la lista del grupo de los nombres y direcciones de email. Conseguir el interior Bueno, Así que por ahora había hablado con tres o cuatro personas diferentes en sólo un par de horas und era ya un gran paso más cerca de conseguir dentro de las computadoras de la empresa. Pero yo iba a necesitar un par de piezas antes de que yo estaba en casa. Number fue el número de teléfono para llamar al servidor de Ingeniería desde el exterior. Llamé de nuevo GeminiMed y pidió a la telefonista para el departamento de TI, y le pidió al hombre que respondió a alguien que pudiera darme alguna ayuda de la computadora. Me traslado, y me puse un acto de ser confundido y un poco estúpido por nada técnico. "Estoy en casa, acaba de comprar un nuevo ordenador portátil, y necesito para configurarlo o me puede llamar desde el exterior." Thprocedimiento e era obvio pero con paciencia dejar que me hable a través de él hasta que llegó a la marcación número de teléfono. Me dio el número como si fuera una pieza más habitual de la información. Entonces le hice esperar mientras que lo intenté. Perfecto. So ahora me había pasado el obstáculo de la conexión a la red. Marqué el número y encontró que se crearon con un servidor de terminal que permitiría a una persona que llama conectar a cualquier ordenador de su red interna. Después de un montón de intentos me encontré con ordenador de alguien que tenía una cuenta de invitado sin contraseña requerida. Algunos sistemas operativos, cuando se instala por primera vez, dirigir al usuario a configurar una ID y una contraseña, sino que también proporcionan una cuenta de invitado. El usuario se supone que para establecer la contraseña de su propia para la cuenta de invitado o desactivarla, pero la mayoría de la gente no sabe acerca de esto, o simplemente no te molestes. Este sistema fue probablemente acaba de crear y el propietario no se había molestado en deshabilitar la cuenta de invitado. LINGO

PasswoHASH PRD: Una cadena de galimatías que resulta de un proceso password a través de un proceso unidireccional de cifrado. El proceso es supuestamente

irreversible, Es decir, su creyó que no es posible reconstruir la contraseña a partir del hash Agradecers de la cuenta de invitado, ahora tenía acceso a una computadora, que resultó estar ejecutando una versión anterior del sistema operativo UNIX. En UNIX, el sistema operativo mantiene un archivo de contraseñas que con-lluvias las contraseñas cifradas de todo el mundo autorizado para acceder a ese ordenador. El archivo de contraseña contiene el hash unidireccional (es decir, una forma de cifrado que es irreversible) de la contraseña de cada usuario. Con un hash unidireccional una contraseña real, tales como, por ejemplo, "justdoit" estaría representada por una almohadilla en forma cifrada, en este caso el hash sería convertida por UNIX a trece caracteres alfanuméricos. When Billy Bob por el pasillo quiere transferir algunos archivos a una computadora, se requiere que se identifique al proporcionar un nombre de usuario y contraseña. El programa del sistema que "revisa su autorización cifra la contraseña que entra, y luego compara el resultado con la contraseña encriptada (hash) que figura en el archivo de contraseñas, si las dos coinciden, ha dado acceso. Debido a que las contraseñas en el archivo fueron cifrados, el mismo archivo se ha puesto a disposición de cualquier usuario en la teoría de que no hay una forma conocida de descifrar las contraseñas. No me hagas reír - He descargado el archivo, publicó un ataque de diccionario en el mismo (véase el Capítulo 12 para más información sobre este método) y encontró que uno de los ingenieros del equipo de desarrollo, un tipo llamado Steven Cramer, tiene actualmente una cuenta en el equipo con la contraseña "Janice". Sólo por si acaso, he intentado entrar en su cuenta con esa contraseña en uno de los servidores de desarrollo, si hubiera funcionado, me habría ahorrado un poco de tiempo y un poco riesgo. No lo hizo. That significaba que tendría que engañar al hombre que me dijera su nombre de usuario y contraseña. Por eso, me gustaría esperar hasta el fin de semana. 70 Ya sabes el resto. El sábado me llamó Cramer y lo condujo a través de un ardid de un gusano y los servidores tienen que ser restaurado a partir de copia de seguridad para superar sus sospechas. ¿Qut sobre el cuento que le dije, el de la inclusión de una contraseña cuando llenó sus papeles empleados? Yo contaba con él, no recuerdo que nunca había sucedido. Un nuevo empleado llena de tantas formas que, años más tarde, ¿quién recuerda? Y de todos modos, si me hubiera golpeado con él, todavía tenía esa larga lista de otros nombres. Ingenioh su nombre de usuario y contraseña, me metí en el servidor, rebuscó durante un rato, y luego encuentra los archivos de diseño para la STH-100. Yo no estaba muy seguro de cuáles eran fundamentales, por lo que acaba de transferir

todos los archivos a un drop dead, un sitio FTP gratuito en China, donde podrían ser almacenado sin nadie a sospechar. Que el tipo de cliente a través de la basura y encontrar lo que quiere.

LINGO DEADROP D Un lugar para dejar información en que es improbable que se encuentran por otros. En el mundo de los espías tradicionales, esto podría estar detrás de una piedra suelta en una pared, en el mundo del hacker, es comúnmente un sitio de Internet en un país remoto. LaCon el nalyzing For el hombre que llamamos Craig Cogburne, o alguien como él, igualmente experto en ªe larcenous-pero-no-siempre-ilegales artes de la ingeniería social, el desafío se presenta aquí es casi una rutina. Su objetivo era localizar y descargar archivos storojo en un equipo corporativo seguro, protegido por un firewall y todas las tecnologías de seguridad habituales. La mayor parte de su trabajo era tan fácil como atrapar el agua de lluvia en un barril. Comenzó by haciéndose pasar por alguien de la sala de correo y amueblado un sentido adicional de urgencia, alegando que había un paquete de FedEx espera de ser entregado. Este engaño producido el nombre del líder del equipo para la ingeniería de corazón stent grupo, que estaba de vacaciones, pero - conveniente para cualquier ingeniero social que intenta robar información - que había dejado amablemente el nombre y número de teléfono de su asistente. Llamar a ella, Craig desactivaron las sospechas al afirmar que él estaba respondiendo a una petición del jefe de equipo. Con el líder del equipo fuera de la ciudad, Michelle no tenía forma de verificar su reclamo. Ella lo aceptó como la verdad y no tenía ningún problema con una lista de las personas del grupo - para Craig, una necesaria y altamente premiod conjunto de información. She incluso no llegar a sospechar cuando Craig quería que la lista enviada por fax en vez de por correo electrónico, normalmente más conveniente para ambas partes. ¿Por qué era tan crédulo? Al igual que muchos empleados, que no quería que su jefe para volver a la ciudad y encontrar que había trabas a la persona que llama que sólo estaba tratando de hacer algo que el jefe le había pedido. Además, la persona que llamó dijo que el jefe no había autorizado sólo la petición, pero le pidió su ayuda. Una vez más, aquí hay un ejemplo de alguien que muestra el fuerte deseo de ser un jugador de equipo, lo que hace la mayoría de las personas susceptibles al engaño. Craig evitar el riesgo de entrar en el edificio físicamente, simplemente por tener el fax enviado a la recepcionista, a sabiendas de que es probable que sea útil. Los recepcionistas son, después de todo, por lo general elegido por su personalidad encantadora y su capacidad para causar una buena impresión. Haciendo pequeños favores como recibir un fax y enviarlo en territorio viene con la recepcionista, un

hecho que Craig fue capaz de aprovechar. Lo que estaba terminando fuera pasado a ser una información que podría haber hecho sonar la alarma de que nadie sepa el valor de la información - pero ¿cómo podría receptionist esperar para saber qué información es benigno y que sensible?

Usínga estilo diferente de la manipulación, Craig actuó confundido e ingenuo para convencer al chico de las operaciones de computadora que le proporcione el dial hasta el número de acceso al servidor de terminales de la compañía, el hardware que se utiliza como punto de conexión a otros sistemas informáticos dentro de la red interna. Mitnick MENSAJE Todo el mundos primera prioridad en el trabajo es conseguir el trabajo hecho. Bajo esta presión, sprácticas de eguridad a menudo ocupan el segundo lugar y se pasan por alto o ignorado. Los ingenieros sociales se basan en esto cuando la práctica de su oficio. Craig fue capaz de conectarse fácilmente al tratar una contraseña por defecto que no se había cambiado, uno de los manifiestos, abiertos lagunas que existen en muchas redes que se basan en la seguridad firewall. De hecho, las contraseñas por defecto para muchos sistemas operativos, routers y otros tipos de productos, including PBX, son disponible en línea. Cualquier ingeniero social, hacker, o un espía industrial, así como la curiosidad simplemente, puede ver la lista de http://www.phenoelit.de / dpl / dpl.html. (Es absolutamente increíble lo fácil que Internet hace que la vida para los que saben dónde buscar. Y ahora usted sabe, también.) CogburnE A continuación, se las arregló para convencer a un sospechoso cauteloso, hombre ("¿Qut has dicho tu apellido era? ¿Quién es tu supervisor? ") A divulgar su nombre de usuario y contraseña para poder acceder a los servidores utilizados por el corazónStent sarrolloent equipo. Esto fue como salir de Craig con una puerta abierta para explorar los secretos mejor guardados de la compañía y descarga ªe plans para ªe nordestew producto. Blancomenos si Steve Cramer había seguido a sospechar acerca de la llamada de Craig? Era poco probable que él haría cualquier cosa acerca de cómo informar sus sospechas hasta que se presentó en el trabajo en la mañana del lunes, lo que habría sido demasiado tarde to prevenciónt ªe atacar. Entecla e para la última parte de la estratagema: Craig en un primer momento se hizo sonar indiferente y desinteresado en las preocupaciones de Steve, luego cambió de parecer und sonaba como si estuviera tratando de ayudar para que Steve pudiera hacer su trabajo. La mayoría de las veces, si la víctima cree que usted está tratando de ayudarlo o

hacerlo él somclase favor, que lo hará parte de la información confidencial que lo haría have otra manera cuidadosamente protegidos.

e

de de

PREVENTING CON EL Ene de los trucos más poderosos de la ingeniería social consiste en darle la vuelta. Esoes lo que ha visto en este capítulo. El ingeniero social crea el problema, y luego por arte de magia resuelve el problema, engañando a la víctima a proporcionar acceso a los secretos mejor guardados de la compañía. ¿Sus empleados se encuentran en este

type de engaño? ¿Usted ha tomado la molestia de redactar y distribuir las normas específicas de seguridad que pueden ayudar a prevenirlo? Educar, educar y educar ... No hays una vieja historia sobre una visita a Nueva York que se detiene a un hombre en la calle y le pregunta: "¿Cómo se llega a Carnegie Hall?" El hombre responde: "Práctica, práctica, práctica". Todo el mundo es tan vulnerable a los ataques de ingeniería social que una empresa única defensa efectiva es educar y formar a sus empleados, dándoles la práctica que necesitan para detectar un ingeniero social. Y luego seguir recordando a la gente sobre una base consistente de lo que aprendieron en el entrenamiento, pero son muy propensos a olvida r. Everyone en la organización deben estar capacitados para ejercer un adecuado grado de sospecha y cautela cuando fue contactado por alguien a quien no conoce personalmente, sobre todo cuando ese alguien está pidiendo ningún tipo de acceso a una computadora o red. Es la naturaleza humana querer confiar en los demás, pero como dicen los japoneses, el negocio es la guerra. Su negocio no puede permitirse el lujo de bajar la guardia. Política de seguridad corporativa debe definir claramente el comportamiento apropiado e inapropiado. Security no es una talla única para todos. Personal de la empresa por lo general tienen papeles y responsabilidades diferentes y cada posición se ha asociado vulnerabilidades. Hay hombrod un nivel básico de formación que todos en la empresa se obliga a cumplir, y entonces la gente también deben ser capacitados de acuerdo a su perfil de trabajo para cumplir con ciertos procedimientos que reduzcan la posibilidad de que se conviertan en parte del problema. Las personas que trabajan con información sensible o se colocan en posiciones de confianza debería recibir una formación especializada adicional. Mantener segura la información confidencial BlancoPeople en les acerca un desconocido que ofrece a ayudar, como se ve en las historias de este capítulo, tienen que recurrir a la política de seguridad de la empresa que se adapte adecuada a las necesidades de la empresa, el tamaño, y la cultura de su empresa. NOTA Personalmente, No creo que cualquier negocio debe permitir que cualquier cambio de contraseñas. Es mucho más fácil establecer una regla que prohíbe al personal de nunca compartir o intercambiar contraseñas confidenciales. Su más seguro. Sin embargo, cada empresa tiene que evaluar los propia cultura y los problemas de seguridad en la toma de esta decisión

Nsiempre cooperar con un desconocido que le pide que busque información, ingresar comandos desconocidos en un ordenador, realizar cambios en la configuración del software o - la más potencialmente desastroso de todos - abrir un archivo adjunto de correo electrónico o descargar software sin marcar. Cualquier programa de software - incluso uno que parece no hacer nada en absoluto - puede no ser tan inocente como parece.

There ciertos procedimientos que, no importa lo bueno que nuestra formación, que tienden a crecer descuidado en el tiempo. Entonces nos olvidamos de que la formación en tiempo de crisis, justo cuando lo necesitamos. Se podría pensar que no dar su nombre de cuenta y la contraseña es algo que casi todo el mundo sabe (o debería saber) y no necesita que le digan: es simple sentido común. Pero, de hecho, cada empleado necesita que se le recuerde con frecuencia que dar el nombre de cuenta y contraseña para su computadora de oficina, computadora de su casa, o incluso la máquina de franqueo en la sala de correo es equivalente a dar el número PIN de su tarjeta de cajero automático. Hay ocasiones - muy de vez en cuando - una circunstancia muy válido cuando es necesario, perhaps vísperan importante, to give someone else Confidential información. Por esta razón, no es apropiado hacer una regla absoluta de "nunca". Sin embargo, sus políticas y procedimientos de seguridad tiene que ser muy específico acerca de las circunstancias bajo las cuales un empleado puede dar a conocer su contraseña y lo más importante - que está autorizado para solicitar la información. Considere la fuente Yon la mayoría de las organizaciones, la regla debe ser que toda la información que sea posible causar daño a la compañía oa un archivo. compañero de trabajo sólo podrá ser otorgada a una persona que se sabe sobre una base cara a cara, o cuya voz es tan familiar que lo reconoce sin lugar a dudas. Yon de alta seguridad, las situaciones, las únicas solicitudes que deben otorgarse son los delivered en persona o con una forma de autenticación fuerte - por ejemplo, dos elementos distintos, como un secreto compartido y una muestra basada en el tiempo. Datunos procedimientos de clasificación debe designar que no se informe de una parte de la organización involucrada con el trabajo sensible a cualquier persona que no conozco personalmente o avalado de alguna manera. NOTA Increíblemente, Incluso buscar el nombre y número de teléfono de la persona que llama en la base de datos de empresa, empleado y lo llamaba de nuevo no es una garantía absoluta ingenieros sociales conocen la manera de plantar nombres en una base de datos corporativa o redirigir las llamadas telefónicas. So ¿cómo manejar una solicitud legítima de sonido para obtener información de otro trabajador de la empresa, tales como la lista de los nombres y correos electrónicos de personas en su grupo? De hecho, ¿cómo dar a conocer lo que un artículo como este, que es claramente menos importante que, por ejemplo, una

hoja de especificaciones de un producto en fase de desarrollo, se reconoce como algo sólo para uso interno? Una parte importante de la solución: Designar a los empleados de cada departamento que se encargará de todas las solicitudes de información que se envía fuera del grupo. La seguridad avanzada

tprograma lloviendo entonces se debe proporcionar para que estos empleados designados al tanto de los procedimientos de verificación especiales que debe seguir. Forjart Nobody Anyonae en un tiempo puede recitar de un tirón la identidad de las organizaciones dentro de la empresa que necesitan un alto grado de protección contra ataques maliciosos. Pero a menudo pasan por alto otros lugares que son menos obvios, pero muy vulnerable. En una de estas historias, la solicitud de un fax que se envía a un número de teléfono dentro de la compañía parecía inocente y lo suficientemente seguro, sin embargo, el atacante se aprovechó de esta seguridad escapatoria. The Lesson aquí: Nuncaybody from secretAries unnd administrativasistentes electrónicos a ejecutivos y gerentes de alto nivel debe tener una formación especial de seguridad para que puedan estar atentos a este tipo de trucos. Y no se olvide de guardar la puerta de entrada: Recepcionistas, también, a menudo son los principales objetivos de los ingenieros sociales y también debe estar al tanto de las técnicas engañosas utilizadas por algunos visitantes y personas que llaman. Corporate seguridad debe establecer un único punto de contacto como una especie de centro de información para los empleados que piensan que puede haber sido el blanco de una treta de ingeniería social. Tener un lugar único para reportar incidentes de seguridad será una eficaz sistema de alerta temprana que hará más querido cuando un ataque coordinado está en marcha, por lo que cualquier daño puede ser controlado inmediatamente.

Chapter 6 "Can ¿me ayudar? "

pueden

You've visto cómo los ingenieros sociales engañar a la gente, ofreciendo a help.Another enfoque preferido vuelta a las tablas: El ingeniero social manipula al pretender que necesita la otra persona que le ayude. Todos podemos simpatizar con la gente en una situación difícil, y el enfoque resulta eficaz una y otra vez para permitir que un ingeniero social para alcanzar su meta. EL OUT-OF TOWNER Una historia en el capítulo 3 mostró cómo un atacante puede hablar de una víctima para que revele su employenúmero e. Este utiliza un enfoque diferente para lograr el mismo resultado, y luego muestra cómo el atacante puede hacer uso de esa El continuar con el Joneses En Silicon Valley hay una cierta compañía global que será sin nombre. La soficinas de ventas cattered y otras instalaciones de campo de todo el worldare todos conectados a la sede de esa compañía a través de una WAN, una red de área amplia. El intruso, un hombre inteligente, luchadora llamado Brian Atterby, sabía que era casi siempre es más fácil entrar en una red en uno de los sitios remotos donde la seguridad está prácticamente garantizado para ser más laxos que en la sede. Thintruso e telefoneó a la oficina de Chicago y pidió hablar con el señor Jones. La recepcionista me preguntó si conocía a nombre del señor Jones, sino que respondió, "Lo había aquí, yo estoy buscando. Cómo Joneses tienen ustedes? "Ella dijo:" Tres. ¿Qué departamento iba a estar? " He dijo: "Si usted me leyó los nombres, tal vez lo reconozca." Y así lo hizo: "Barry, José, y Gordon." "Joe. I 'Estoy bastante seguro THAt Washingtons que," he sayuda. "Unad he fue yon .. which departamento? " "Desarrollo de Negocios. " "Fine. ¿Me puede conectarse, por favor? " She Vuelva a colocar la llamada. Cuando Jones respondió que el atacante dijo: "Sr. Jones? Hola, soy Tony en nómina. Acabamos de poner a través de su solicitud para que ustedr cheque depositado directamente a su cuenta de la cooperativa de crédito. " "¿QUÉ???!!! Tienes que estar bromeando. No hizo ninguna petición de esa manera. Yo don 'Ni siquiera tiene una cuenta en una

cooperativa de crédito. "" Oh, maldita sea, yo ya lo hice pasar. " Jones era más que un poco molesto ante la idea de que su cheque de pago puede ser que vaya a la cuenta de otro, y estaba empezando a pensar que el hombre en el otro extremo del teléfono debe ser un poco lento. Antes de que pudiera responder, la

atacante dijo: "Será mejor que ver lo que pasó. cambios de nómina se introducen por número de empleados. ¿Cuál es tu número de empleado?" Jones dio el número. La persona que llamó dijo: "No, tienes razón, la solicitud no era de usted, entonces." Consiguen más estúpido cada año, Jones pensó. "Mira, Voy a ver que ha atendido. Voy a poner en una corrección en estos momentos. Así que no se preocupe - usted obtendrá su próximo cheque de pago bien ", dijo el tipo tranquilizador. Un viaje de negocios Not mucho tiempo después, el administrador del sistema en Austin, Texas, las ventas de la compañía oficina recibió una llamada telefónica. "Se trata de Joseph Jones", anunció el llamador. "Estoy en el Business Desarrollo de las empresas. Estaré en que, durante la semana, en el Hotel Driskill. Me gustaría que usted me tendió una trampa con una cuenta temporal para que pueda acceder a mi correo electrónico sin hacer una llamada de larga distancia ". "Let sacarme ese nombre otra vez, y me dan su número de empleados ", dijo el administrador del sistema. El falso Jones dio el número y continuó:" ¿Tiene usted alguna High Speed Dial-up números. "Hold, amigo. Tengo que verificar que en la base de datos. "Después de un rato, dijo:" Está bien, Joe. Dime, ¿cuál es tu número edificio? "El atacante había hecho su tarea y tenía la respuesta preparada Mitnick MENSAJE Don 't confiar en las garantías de red y servidores de seguridad para proteger su información. Buscar to su punto más vulnerable. Generalmente, usted encontrará que la vulnerabilidad está en su gente. "Está bien,"El sistema administrador le dijo:" me has convencido. " Era tan simple como eso. El administrador del sistema ha verificado el nombre de Joseph Jones, el departamento y el número de empleado, y "Joe" había dado la respuesta correcta a la pregunta de la prueba. "Tu nombre de usuario que va a ser el mismo que su ser corporativo, jbjones", dijo el administrador del sistema ", y yo te voy a dar una contraseña inicial de 'Changeme ".

LaCon el nalyzing Won un par de llamadas telefónicas y quince minutos de tiempo, el atacante había ganado el acceso a la red de la compañía de área amplia. Esta era una empresa que, como muchos, tenía lo que se refiere a la seguridad de caramelo, después de una primera descripción utilizada por dos investigadores de Bell Labs, Steve Bellovin y Cheswick Steven. Ellos describieron tal seguridad como "una cáscara crujiente duro con un centro masticable oft" - como un caramelo de M & M.

Thconcha e exterior, el firewall, Bellovin y Cheswick argumentó, no es protección suficiente, porque una vez que un intruso es capaz de burlar los sistemas informáticos internos tienen la seguridad suave y masticable. La mayoría de las veces, no están adecuadamente protegidos. This historia se ajusta a la definición. Con un número telefónico y una cuenta, el atacante ni siquiera tiene que molestarse tratando de derrotar a un servidor de seguridad de Internet y, una vez dentro, era fácilmente capaz de poner en peligro la mayoría de los sistemas de la red interna. Through mis fuentes, entiendo que esta artimaña exacta en que se trabajó en uno de los mayores fabricantes de programas informáticos del mundo. Se podría pensar que los administradores de sistemas en una empresa serían entrenados para detectar este tipo de artimaña. Pero en mi experiencia, nadie está completamente seguro yoF un s o c i a ingeniero l es inteligente y persuasivo suficiente. LINGO CANDY SEGURIDAD Un término acuñado por Bellovin y Cheswick de Bell Labs para describir un escenario de seguridad en el perímetro exterior, tales como firewall, es fuerte, pero la infraestructura que hay detrás es débil. El término se refiere a los dulces M & M, que tiene una cáscara exterior dura y un centro blando. LINGO SPEAKEASY SEGURIDAD Seguridad que se basa en el conocimiento de que la información deseada es, y el uso de una palabra o nombre para obtener acceso a dicho sistema de información o de ordenador. SPEAKEASY SEGURIDAD Yon los viejos tiempos de los clubes nocturnos clandestinos - la era de la Prohibición en los llamados bathtub ginebra fluido - un cliente a los posibles ganó la admisión al presentarse en la puerta y llamar. Después de unos momentos, una pequeña solapa en la puerta se abren y un rostro duro e intimidante que mirar hacia fuera. Si el visitante se encontraba en el saber, él no habla el nombre de un patrón frecuente del lugar ("Joe me ha enviado" era a menudo suficiente), con lo cual el interior gorila se abra la puerta y dejarlo entrar The truco real estaba en conocimiento de la ubicación de la taberna clandestina porque la puerta estaba sin marcas, y los dueños no exactamente colgar letreros de neón para marcar su presencia. En su mayor parte, al presentarse en el lugar indicado era todo lo que se tardó en entrar el mismo grado de custodia es, lamentablemente, una práctica generalizada en el mundo empresarial,

proporcionando un nivel de protección sin que llamar a seguridad clandestino.

Lo vi en el cine He aquí un ejemplo de una película favorita que mucha gente va a recordar. En Los tres días del Cóndor el personaje central, Turner (interpretado por Robert Redford), Trabaja para una pequeña empresa de investigación contratado por la CIA. Un día regresa de un largo almuerzo para encontrar que todos sus compañeros de trabajo han sido asesinados abajo. Ha dejado de averiguar quién ha hecho esto y por qué, sabiendo todo el tiempo THAt los malos, sean quienes sean, están en busca de él. Latitude en la historia, Turner se las arregla para obtener el número de teléfono de uno de los chicos malos. Pero, ¿quién es esta persona, y cómo puede Turner precisar su ubicación? Él está de enhorabuena: El guionista, David Rayfiel, felizmente ha dado Turner un fondo que incluya la formación como un hombre de línea telefónica con el Cuerpo de Señales del Ejército, haciéndole conocedor de las técnicas y prácticas de la compañía telefónica. Con el número de teléfono del chico malo en la mano, Turner sabe exactamente qué hacer. En el guión, la escena se lee así: TurneR vuelve a conectar y grifos OUT otro número. ANILLO! ANILLO! Entonces: MUJERSVOICE (FILTER) CNA, La Sra. Coleman habla. TURNER (en conjunto de pruebas) Se trata de Harold Thomas, la señora Coleman. Servicio al Cliente. CNA en 202-555-7389, por favor. MUJERSVOICE (FILTER) Ene momento, por favor. (Almost

a la vez) Leonard Atwood, 765 MacKensie Lane, Chevy Chase, Maryland. Ignoring el hecho de que el guionista erróneamente utiliza un código de área de Washington, DC, for un Maryland dirección, Californianyou spot AMSt just happened aquí? Tornero, Debido a su formación como instalador de líneas de teléfono, sabía a qué número marcar para llegar a una oficina de la compañía de teléfono llamado CNA, el Cliente Nombre und oficina de Dirección. CNA está configurado para la conveniencia de instaladors und other el personal autorizado de la compañía telefónica. Un instalador podría Californial

CNA, und dar lam un número de teléfono. El recepcionista de la CNA wouldrespond proporcionando el nombre de la persona que el teléfono pertenece a andhis dirección. Fooling la compañía telefónica Yonªe mundo real, el número de teléfono de la CNA es un secreto muy bien guardado.

Although las compañías telefónicas finalmente tuvo éxito y hoy en día son menos generosos acerca de la entrega de información tan fácilmente, a la vez que opera ona variación de seguridad clandestino que los profesionales de la seguridad requieren seguridad a través de la oscuridad. Se presume que quien llama CNA y knew ªe propejerga r ("servicio al cliente. CNA en 555-1234, por favor, por ejemplo) era una persona autorizada para disponer de la información. LINGO SECURITY por oscuridad Un método ineficaz de ordenador security que se basa en mantener en secreto los detalles de cómo el sistema funciona (Protocolos, Los algoritmos y los sistemas internos). Seguridad por oscuridad se basa en la falsa suposición de que nadie fuera de un grupo de confianza de la gente será capaz de burlar el sistema. MITNICK MESSGAE Security through obscurity gamas not have uny efectivat yon Blocking social ataques de ingeniería. Todos los sistemas de computadora en el mundo tiene al menos un humano que lo utilice. Por lo tanto, si el atacante es capaz de manipular a las personas que usan los sistemas, ªoscuridad e del sistema es irrelevante. There había necesidad de verificar o identificar uno mismo, no hay necesidad de dar un número de empleado, sin necesidad de una contraseña que se cambia todos los días. Si supieras el número a llamar y le sonaba auténtica, entonces usted debe tener derecho a la información. That no era una suposición muy sólido por parte de la compañía telefónica. Su único esfuerzo de seguridad era para cambiar el número de teléfono en l base periódica, al menos una vez al año. Aun así, el número actual en cualquier momento en particular fue muy conocido entre phreakers, que se deleitaban en el aprovechamiento de esta fuente conveniente de información y en compartir el cómo-a-hacer-él con sus compañeros phreaks. El CN-fue truco Oficina de una de las primeras cosas que aprendí cuando estaba en el hobby de phreaking telefónico como un adolescente. Throughout el mundo de los negocios y el gobierno, la seguridad clandestino. está todavía muy extendido. Es probable que sobre los departamentos de su empresa, las personas, y la jerga. A veces les para que eso: A veces, un número de teléfono interno es todo lo que se necesita. THE Computer Manager CARELESS Thougempleados h muchas organizaciones son negligentes, indiferentes, o no tienen conocimiento

of peligros de seguridad, lo que espera a alguien con el administrador de título en el centro de cómputo de una empresa Fortune 500 para estar bien informado acerca de las prácticas recomendadas de seguridad, ¿no?

You no esperaría que un administrador del centro informático - alguien que forma parte del departamento de su empresa Tecnología de la información - a ser víctima de un simple y obvio juego social con la ingeniería. Especialmente el ingeniero social no es más que un niño, acababa de salir de su adolescencia. Pero a veces sus expectativas pueden estar equivocados. Sintoniza ndo Años atrás era un pasatiempo divertido para muchas personas a mantener una radio sintonizada en la local policía o las frecuencias del cuerpo de bomberos, la escucha en las conversaciones ocasionales altamente cargados sobre un atraco a un banco en curso, un edificio de oficinas en fuego, O una persecución a alta velocidad, como el evento se desarrollaba. Las frecuencias de radio utilizadas por los organismos policiales y de bomberos solían estar disponibles en libros en la librería de la esquina, hoy se proporcionen en anuncios en la web, y de un libro se puede comprar en Radio Shack para las frecuencias locales, del condado, estatales , y, en algunos casos, incluso las agencias federales. Of supuesto, no se trataba sólo a los curiosos que estaban escuchando pulg ladrones roban una tienda en medio de la noche podía sintonizar para oír si un coche de policía estaba siendo enviado a la ubicación. Los traficantes de drogas podrían mantener un control sobre las actividades de los agentes locales de la droga de la Agencia de Ejecución. Un pirómano podría aumentar su placer enfermizo al encender una hoguera y después de escuchar todo el tráfico de radio, mientras los bomberos luchaban por apagar. Over desarrollos años recientes en la tecnología informática han hecho posible cifrar mensajes de voz. Como ingenieros encontrado maneras de meter más y más poder de computación en un solo microchip, empezaron a construir pequeñas radios encriptados, para hacer cumplir la ley que mantuvo los tipos malos y curiosos de escuchar pulg

Danny el espía Un entusiasta del escáner y el hacker experto que llamaremos Danny decidió ver si couldn 't encontrar una manera de conseguir sus manos en el software de cifrado de super-secreto - el código fuente - de uno de los principales fabricantes de sistemas de radio seguras. Tenía la esperanza de un estudio del código le permitiría aprender a escuchar en la ley ejecución, y posiblemente también utilizan la tecnología para que incluso los más poderosos organismos gubernamentales tendrían dificultades para controlar sus conversaciones con sus amigos.

ThDannys E del oscuro mundo de los piratas pertenecen a una categoría especial THAt cae en algún lugar entre lo meramente curioso, pero totalmente benigno y lo peligroso. Dannys tienen el conocimiento del experto, junto con la

mischievouhackers s el deseo de entrar en los sistemas y redes para el desafío intelectual y por el placer de hacerse una idea de cómo funciona esta tecnología. Pero su ruptura y que entran electrónico trucos son sólo eso - trucos. Esta gente, estos hackers benignos, entran ilegalmente en sitios para la pura diversión y emoción de probar que pueden hacerlo. Ellos no roban nada, no hacen ningún dinero de sus hazañas, que no destruyen los archivos, interrumpir las conexiones de red, o bloquear cualquier sistema informático. El mero hecho de estar allí, atrapando copias de archivos y buscar mensajes de correo electrónico para las contraseñas detrás de las espaldas de los guridad y los administradores de red, ajustes de las narices de las personas responsables de mantener alejados a los intrusos como ellos. La una superioridad es una parte importante de la satisfacción. YoEn armonía con este perfil, nuestro Danny quería examinar los detalles del producto más celosamente guardado de su compañía objetivo, sólo para satisfacer su curiosidad ardiente propio y admirar lo innovaciones inteligentes del fabricante podría haber ocurrido. Thdiseños de productos electrónicos fueron, ni que decir, celosamente guardados secretos comerciales, tan preciosa y protegida como casi cualquier cosa en posesión de la empresa. Danny sabía. Y no le importa un poco. Después de todo, era sólo una gran empresa, sin nombre. But cómo obtener el código fuente del software? Al final resultó que, el acaparamiento de las joyas de la corona del grupo seguro de la compañía de comunicaciones resultó ser demasiado fácil, a pesar de que la empresa era una de las que utiliza autenticación de dos factores, un acuerdo en virtud del cual las personas están obligadas a usar no uno, sino dos identificadores separados para probar su identidad. Here un ejemplo probablemente ya está familiarizado. Cuando la tarjeta de crédito de renovación llega, se le pide que llame a la compañía emisora para hacerles saber que la tarjeta está en posesión del cliente intención, y no alguien que robó el sobre del correo. Las instrucciones con la tarjeta en estos días generalmente decirle a llamar desde su casa. Cuando llame, software de la compañía de tarjetas de crédito analiza la ANI, la identificación automática de número, que es proporcionada por el conmutador telefónico de llamadas gratuitas que la compañía de tarjetas de crédito está pagando. Un equipo de la compañía de tarjetas de crédito utiliza el número de la persona que llama proporcionada por la ANI, y coincide con el número de bases de datos en contra de la compañía de los titulares de tarjetas. En el momento en el empleado viene en la línea, su o su pantalla muestra la información de la base de datos que da detalles sobre el cliente. Así que el empleado ya conoce la llamada proviene de la casa de un cliente, esa es una forma de autenticación.

LINGO DOS FACTOR AUTENTICACIÓN The uso de dos tipos diferentes de authentication para verificar la identidad. Por ejemplo, una persona podría tener que identificarse llamando desde una ubicación identificable cierto y saber una contraseña. El empleado elige un elemento de la información que aparece acerca de usted - lo más a menudo el número de seguro social, fecha de nacimiento o el nombre de soltera de su madre - y le pide que por este pedazo de información. Si usted le da el derecho unswer, eso es una segunda forma de autenticación - basado en la información que usted debe saber. Lat la empresa que fabrica los sistemas de radio seguras en nuestra historia, todos los empleados con acceso a la computadora tenía su nombre de cuenta y contraseña habituales, sino que además contaba con un pequeño dispositivo electrónico llamado Secure ID. Esto es lo que se llama una muestra basada en el tiempo. Estos dispositivos vienen en dos tipos: uno es la mitad del tamaño de una tarjeta de crédito, pero un poco más gruesa, y otra es lo suficientemente pequeño que la gente simplemente se adhieren a sus llaveros. Derivard en el mundo de la criptografía, este gadget en particular tiene una pequeña ventana que muestra una serie de seis dígitos. Cada sesenta segundos, la pantalla cambia para mostrar un diferente número de seis dígitos. Cuando una persona autorizada necesita acceder a la red desde fuera de la oficina, primero debe identificarse como usuario autorizado, escriba su PIN en secreto y los dígitos que aparecen en su dispositivo token. Una vez verificado por el sistema interno, que luego se autentica con su nombre de cuenta y contraseña. For el joven hacker de Danny para obtener el código fuente que tan codiciado, que tendría que no sólo comprometen nombre de algún empleado de la cuenta y la contraseña (no es un gran reto para el ingeniero social con experiencia), sino también conseguir alrededor de la señal en función del tiempo. Defeating autenticación de dos factores-la de un token basado en el tiempo combinado con un código de usuario PIN secreto suena como un desafío a la derecha de Misión Imposible. Pero para los ingenieros sociales, el desafío es similar a la lució por un jugador de póquer que tiene más de la habilidad usual en la lectura de sus oponentes. Con un poco de suerte, cuando se sienta en una mesa que él sabe que es probable que a pie con un gran montón de dinero de otras personas. El asalto a la fortaleza Danny comenzó a hacer su tarea. En poco tiempo se las había arreglado para poner together suficientes piezas para hacerse pasar por un empleado real. Él tenía el nombre de un empleado, departamento, número de teléfono y número de

empleados, así como el nombre del administrador y número de teléfono.

Now es la calma antes de la tormenta. Literalmente. A juzgar por el plan que había elaborado, Danny necesitaba una cosa más antes de que pudiera dar el siguiente paso, y era algo que no tenía control sobre: Necesitaba una tormenta de nieve. Danny necesitaba un poco de ayuda de la madre naturaleza en forma de tiempo tan malo que podría evitar que los trabajadores caigan en la oficina. En el invierno en Dakota del Sur, donde se encuentra la planta de producción de que se trate, cualquiera que espere para el mal tiempo no tenía mucho tiempo para esperar. El viernes por la noche, una tormenta llegó. Lo que había empezado como la nieve rápidamente se convirtió en lluvia helada para que, por la mañana, las calles se cubrieron con una sábana resbaladiza y peligrosa de hielo. Para Danny, esto era una oportunidad perfecta. He telefoneó a la planta, pidió el aula de informática y alcanzó una de las obreras de la informática, un operador de computadora que se anunció como Roger Kowalski. Giving el nombre del empleado real, que había obtenido, Danny dijo: "Este es Bob Billings. Trabajo en el Secure Communications Group. Estoy en casa ahora mismo y no puedo conducir debido a la tormenta. Y el problema es que necesito para acceder a mi puesto de trabajo y el servidor de casa, y me fui de mi identificación segura en mi escritorio. ¿Puedes ir a buscar para mí? ¿O puede alguien? Y luego leer mi código cuando tengo que entrar? Porque mi equipo tiene un plazo crítico y no hay manera de que pueda hacer mi trabajo, y no hay manera de que pueda llegar a la oficina -. las carreteras son demasiado peligrosas a mi manera. El operador del equipo dijo: "No puedo dejar el Centro de Cómputo". Danny saltó en: "¿Tiene una identificación segura a ti mismo?". "Hays uno aquí en el Centro de Cómputo ", dijo." Mantenemos una para los operadores en caso de una emergencia. " "Escucha,"Danny, dijo." ¿Puedes hacerme un gran favor? Cuando tengo que marcar into la red, puedes dejar que me preste su ID seguro? Sólo hasta que sea seguro para conducir pulg " "¿Qo usted es nuevo? ", preguntó Kowalski." ¿A quién trabaja. "For Ed Trenton. " "Oh, sí, lo conozco." When, es obligado a enfrentarse con trineos duro, un ingeniero bien social va más allá de la cantidad normal de la investigación. "Yo estoy en el segundo piso," Danny fue sucesivamente. "Junto a Roy Tucker."

He conocía ese nombre, también. Danny volvió a trabajar en él. "Sería mucho más fácil simplemente ir a buscar a mi escritorio y mi ID segura para mí."

Danny estaba bastante seguro de que el chico no iba a comprar en esto. En primer lugar, no querría dejar en el medio de su turno para ir penosamente por los pasillos y escaleras hasta algún lugar distante del edificio. No quiso también quieren tener la pata a través de algún otro servicio, violando el espacio personal de alguien. No, era una apuesta segura que no le gustaría hacer eso. Kowalskyo no quería decir que no a un tipo que necesitaba ayuda, pero él no quería decir que sí y se meten en problemas, tampoco. Así que se dejó de lado la decisión: voy a tener que pedirle a mi jefe. . Espera "Me puso el teléfono, y Danny le oyó levantar otro teléfono, poner en la convocatoria, y explicar la petición Kowalski entonces hizo algo inexplicable:.. De hecho avalado por el hombre utilizando los nombres de Bob Billings" Yo saber él ", le dijo a su manager." Trabaja para Ed Trenton. ¿Podemos dejarle utilizar el ID Secure Danny en el Centro de Cómputo ", aferrándose al teléfono, se sorprendió al oír este apoyo extraordinario e inesperado para su causa. No podía dar crédito a sus oídos o su suerte. Laespués de un par de momentos, Kowalski regresó al teléfono y dijo: "Mi jefe quiere hablar con usted mismo," y le dio el nombre del hombre y la célula phonnúmero e. Danny llamó el director y me fui a través de toda la historia una vez más, añadiendo detalles sobre el proyecto que estaba trabajando o equipo y por qué su producto es necesario para cumplir con una fecha límite crítico. "Sería más fácil si alguien just goes y obtiene mi tarjeta ", dijo." Yo no creo que el escritorio está bloqueado, debe estar allí en el cajón superior izquierdo. " "Bueno,", Dijo el gerente," sólo por el fin de semana, creo que puede dejarle utilizar el uno en el Centro de Cómputo. Les diré a los chicos de guardia que cuando usted llama, deben leer el código de acceso aleatorio para usted ", y le dio el número PIN para utilizar con él. Para el fin de semana, cada vez que Danny quería entrar en el sistema informático corporativo, sólo tenía que llamar al Centro de Cómputo y pedirles que leer los seis dígitos que aparecen en la ficha de identificación segura. An Inside Job Una vez que estuvo dentro del sistema informático de la empresa, entonces ¿qué? Cómo haría DAnny encontrar el camino al servidor con el software que quería? Él ya había preparado para esto. Muchos usuarios de computadoras están familiarizados con los grupos de noticias, que amplia serie de tablones de anuncios electrónicos donde la gente puede publicar preguntas que otros responden, o encontrar compañeros virtuales que comparten un interés en la música, computadoras, o cualquiera de los cientos

de otros temas.

¿Qut pocas personas se dan cuenta cuando publicar cualquier mensaje en un sitio de grupo de noticias es que su mensaje permanecerá en línea y disponibles desde hace años. Google, por ejemplo, ahora mantiene un archivo de setecientos millones de mensajes, algunos que datan de veinte años! Danny comenzó por ir a la dirección Web http://groups.google.com. Latérminos de búsqueda, Danny entró en las comunicaciones de radio "cifrado" y el nombre de la empresa, y encontró un mensaje años de edad, sobre el tema de un empleado. Fue un anuncio que se había hecho de nuevo cuando la compañía estaba desarrollando el producto, probablemente mucho antes de que los departamentos de policía y agencias federales habían considerado descifrar señales de radio. Thmensaje de correo que figura la firma del remitente, lo que no sólo el nombre del hombre, Scott Press, pero su número de teléfono e incluso el nombre de su grupo de trabajo, ªe Secure Communications Group. Danny cogió el teléfono y marcó el número. Parecía una posibilidad remota - que todavía estará trabajando en los próximos años la organización misma tarde? ¿Estaría trabajando en un fin de semana tormentoso? El teléfono sonó una vez, dos veces, tres veces, y luego se oyó una voz en la línea. "Se trata de Scott," dijo. Claiming ser de la empresa de TI del Departamento de Prensa Danny manipulada (en una de las formas ya familiares a usted de los capítulos anteriores) para que revele los nombres de los servidores que utilizan para el trabajo de desarrollo. Estos fueron los servidores que se podrían esperar para contener el código fuente que contiene el algoritmo de encriptación propietario y firmware utilizado en productos de la empresa de radio seguras. Danny se movía más y más, y su emoción fue la construcción. Él estaba anticipando las prisas, el gran sumo que siempre se sintió cuando sucedió a algo que sabía que sólo un número muy limitado de personas podría lograr. Todavía, Él no estaba en casa libre todavía. Para el resto del fin de semana que sería capaz de entrar en la red de la empresa cada vez que quería, gracias a que el gerente de centro de computación cooperativa. Y sabía que los servidores que querían acceder. Sin embargo, cuando marcó en el servidor de terminal que iniciar sesión para no permitirle que se conectan a los sistemas seguros de comunicaciones para el desarrollo del Grupo. Debe haber habido un firewall o un router interno la protección de los sistemas informáticos de ese grupo. Tendría que encontrar otra manera pulg The paso siguiente tuvo nervio: Danny volvió a llamar a Kowalski en Operaciones con el ordenador y se quejó de "Mi servidor no me deja conectar", y le dijo al chico de TI, "Necesito que me tendió una trampa con una cuenta en uno de los equipos de su departamento para que pueda utilizar Telnet para conectar

con el sistema. "

Thgestor de correo ya había aprobado revelar el código de acceso aparece en el token basado en el tiempo, por lo que esta nueva petición no parece irrazonable. Kowalski configurar una cuenta y una contraseña temporal en uno de los ordenadores del centro de operaciones, y dijo a Danny a "llámame cuando no lo necesita más y lo voy a quitar." Una vez conectado a la cuenta temporal, Danny fue capaz de conectarse a través de la red a los sistemas informáticos del Grupo Secure Communications. Después de una hora de la búsqueda en línea para una vulnerabilidad técnica que le permitan el acceso a un servidor principal de desarrollo, se sacó la lotería. Al parecer, el sistema o el administrador de red no ha sido vigilante en mantenerse al día con las últimas noticias sobre fallos de seguridad en el sistema operativo que permite el acceso remoto. Pero Danny era. Withina corto tiempo había localizado los archivos de código fuente que estaba tras ellos y fue la transferencia de forma remota a un sitio de comercio electrónico que ofrece espacio de almacenamiento gratuito. En este sitio, incluso si los archivos se han descubierto nunca, nunca se puede remontar de nuevo a él. He tenido un paso final antes de firmar: el proceso metódico de borrar sus huellas. Terminó antes de que el programa de Jay Leno había salido del aire durante la noche. Danny imaginé esto hubiera sido un trabajo un fin de semana muy bien. Y nunca había tenido que ponerse personalmente en peligro. Fue una emoción embriagadora, incluso mejor que el snowboard o el paracaidismo. Danny se emborrachó esa noche, no en whisky, ginebra, cerveza o sake, pero en su sentido de poder y de logro mientras vertía a través de los archivos que había robado, acercándose a la elusiva software, radio extremadamente secreto. LaCon el nalyzing Las en la historia anterior, esta estratagema funcionó sólo porque un empleado de la compañía era demasiado dispuestos a aceptar sin más que un llamador era realmente el empleado que decía ser. Ese afán de ayudar a un compañero de trabajo con un problema es, por un lado, parte de lo que engrasa las ruedas de la industria, y parte de lo que hace a los empleados de algunas compañías más agradables para trabajar que los empleados de los demás. Pero por otro lado, esta utilidad puede ser una vulnerabilidad importante que un ingeniero social intentarán explotar. Ene poco de manipulación Danny utilizado fue deliciosa: Cuando hizo la petición de que alguien obtener su ID seguro de su escritorio, él siempre decía que quería a alguien para "buscar" para él. Fetch es un comando le da a su perro. Nadie quiere que le digan a buscar algo. Con esa palabra, Danny hizo que todo sea más cierta la petición debe ser rechazada y alguna otra solución aceptada por el contrario, que era exactamente lo que quería.

The operador de Centro de Cómputo, "Kowalski, fue recogida por Danny dejar caer los nombres de las personas Kowalski sucedido sé, pero ¿por qué gestor de Kowalski -. un gerente de TI, nada menos - permitir algún acceso ajeno a la red interna de la empresa, simplemente porque la llamada ayuda puede ser una herramienta poderosa y persuasiva en el arsenal del ingeniero social. Mitnick MENSAJE This almacenamientoy goes to show THAt de base de tiempod tokens und similar formularios de autenticación no son una defensa contra el astuto ingeniero social. La única defensa yosun conscientious employee who seguirs security Politicassund understands cómo otros maliciosamente puede influir en su comportamiento. Could algo como eso nunca sucede en su empresa? ¿Tiene ya? PREVENTING CON EL Yot parece ser un elemento a menudo repetido en estas historias que un atacante organiza to conectarse a una red de ordenadores de fuera de la empresa, sin que la persona que le ayuda a tomar las medidas suficientes para verificar que la persona que llama es realmente una empleado y tienen derecho a acceso. ¿Por qué volver a este tema tan a menudo? Porque realmente es un factor en los ataques de ingeniería tantas sociales. Para el ingeniero social, que es la forma más fácil de llegar a su meta. ¿Por qué un atacante pasar horas tratando de entrar, cuando puede hacerlo en su lugar con una simple llamada telefónica? Ene de los métodos más poderosos para el ingeniero social para llevar a cabo esta parientesd de ataque es la táctica simple de pretender necesita ayuda - un enfoque frecuentemente utilizado por los atacantes. Usted no quiere dejar a sus empleados de ser útil a los compañeros de trabajo o clientes, por lo que necesita para armar a los procedimientos específicos de verificación para usar con cualquier persona presente una solicitud de acceso a la computadora o la información confidencial. De esa manera puede ser útil para aquellos que merecen ser ayudados, pero al mismo tiempo proteger los activos de información de la organización y de los sistemas informáticos. CompanY los procedimientos de seguridad deben explicar en detalle qué tipo de mecanismos de verificación se debe utilizar en diversas circunstancias. El capítulo 17 ofrece una lista detallada de los procedimientos, pero aquí hay algunas pautas a tener en cuenta: Ene buena manera de verificar la identidad de una persona que ha solicitado es para llamar al número de teléfono que aparece en el directorio de la empresa para esa persona. Si la persona que hace la solicitud es en realidad un atacante, la

llamada de verificación o bien le permitirá hablar con la persona real en el teléfono mientras el impostor está en espera, o se llega correo del empleado voz para que pueda escuchar el sonido de su voz y compararla con thespeech del atacante.

Yonúmeros f empleados se utilizan en su empresa para verificar la identidad, entonces esos números tienen que ser tratados como información confidencial, protegida con cuidado y no entregados a los extraños. Lo mismo ocurre con todos los otros tipos de identificadores internos, tales como números de teléfono, identificadores internos de los departamentos de facturación, e incluso direcciones de correo electrónico. Corporatformación e debe llamar la atención de todos a la práctica común de aceptar a las personas desconocidas como los empleados por motivos legítimos que suenan autoridad o conocimiento. El hecho de que alguien conoce una práctica empresarial o utiliza terminología interna hay ninguna razón para suponer que su identidad no tiene que ser verificado por otros medios. SecuritY los funcionarios y administradores de sistemas no debe limitar su enfoque a fin de que sólo se alerta a la forma consciente de la seguridad a todos los demás es ser. También deben asegurarse de que se están siguiendo las mismas reglas, procedimientos y prácticas. Contraseñas y similares deben, por supuesto, nunca será compartida, pero la restricción en contra de compartir es aún más importante con el tiempo basados en tokens y otras formas seguras de autenticación. Debe ser una cuestión de sentido común que compartir alguno de estos artículos violan el punto central de la compañía de haber instalado los sistemas. Compartir significa que no puede haber rendición de cuentas. Si un incidente de seguridad se lleva a cabo o algo sale mal, usted no será capaz de determinar quién es la parte responsable. Al reiterar lo largo de este libro, los empleados deben estar familiarizados con las estrategias de ingeniería social y los métodos para analizar cuidadosamente las solicitudes que reciben. Considere el uso de juegos de rol como una parte estándar de formación de seguridad, de modo que los empleados puedan llegar a una mejor comprensión de cómo funciona la ingeniería social.

Chapter 7 PhonY los peligrosos

sitios

y

archivos

adjuntos

No hays un viejo dicho que nunca conseguir algo por nada, Todavía, La táctica de ofrecer algo gratis sigue siendo una gran atracción para ambos legítimo ("Pero espere -! Hay más llamadas en este momento y vamos a lanzar en un juego de cuchillos y un popper de las palomitas") y no tan - legítimos ("¡Comprar un acre de tierra pantanosa en Florida y obtener un acre segundo libre") empresas. Y la mayoría de nosotros estamos tan ansiosos de obtener algo gratis que puede distraerse pensando clearly about ªe deer or ªe promise being mAde. Wabemos la advertencia familiar, "el comprador tenga cuidado", pero es hora de prestar atención a otra advertencia: ¡Cuidado con-venir en archivos adjuntos de correo electrónico y de software libre. El atacante inteligente usará casi cualquier medio para entrar en la red corporativa, incluyendo apelar a nuestro deseo natural de conseguir un regalo gratis. Éstos son algunos ejemplos. Wouldn 'E l TE GUSTA UN LIBRE (EN BLANCO)? " Just como los virus han sido una maldición para la humanidad y los médicos ya que el beginning de tiempo, por lo que el virus informático bien llamada representa una maldición similar a los usuarios de la tecnología. Los virus informáticos que obtienen la mayor parte de la atención y terminar en el centro de atención, no por casualidad, hacer el mayor daño. Estos son los producciónt de vándalos informáticos. Calcularnerds r volvió maliciosa, vándalos informáticos se esfuerzan por demostrar lo listos que son. A veces, sus actos son como un rito de iniciación, significó para impulse los piratas informáticos más avanzados y experimentados. Estas personas están motivadas para crear un gusano o un virus tuvo intención de infligir daño. Si su trabajo destruye archivos, discos duros destroza todo a sí mismo, y correos electrónicos a miles de personas inocentes, vándalos bocanada de orgullo por sus logros. Si el virus provoca el caos suficiente que los periódicos escriben sobre ella y las emisiones de noticias de la red advierten en contra de ella, tanto mejor. Much se ha escrito sobre los vándalos y sus virus, libros, programas de software y compañías enteras han sido creados para ofrecer protección, y no vamos a tratar

aquí las defensas contra los ataques de sus técnicos. Nuestro interés en este momento es menor en los actos destructivos de los vándalos que en los esfuerzos más específicos de su primo lejano, el ingeniero social. Yot Llegó en el correo electrónico Es probable que reciba mensajes no solicitados todos los días que llevan publicidad mensajes u ofrecer un libre algo-o-otro que no necesitan ni quieren. Usted

know el estilo. Prometen asesoramiento de inversión, descuentos en ordenadores, televisores, cámaras, vitaminas, o de viaje, ofertas de tarjetas de crédito que no necesita, un dispositivo que le permitirá recibir canales de televisión paga libre, formas de mejorar su salud o su vida sexual, y así sucesivamente. But de vez en cuando aparece una oferta en su buzón de correo electrónico para algo que te llame la atención. Tal vez es un juego gratuito, una oferta de fotos de su estrella favorita, un programa de calendario gratuito, o compartir barata "de consumo que protegerá su computadora contra los virus. Sea cual sea la oferta, el correo electrónico que usted dirige para descargar el archivo con los objetos valiosos que el mensaje ha convencido de que usted intente. O tal vez usted recibirá un mensaje con una línea de asunto que dice Don, te echo de menos ", o" Ana, ¿por qué no me has escrito ", o" ¡Hola Tim, aquí está la foto sexy que te prometí. "Esto no podía ' t ser correo basura publicidad, piensas, ya que cuenta con su propio nombre en él y suena tan personal. Así se abre el archivo adjunto para ver la foto o leer el mensaje. All oF these acciones - descargar cualquierg software you lganado about from un advertising-mail, al hacer clic en un enlace que te lleva a un sitio que no han oído hablar de antes, la apertura de un archivo adjunto de alguien que no se sabe muy bien - son invitaciones a problemas. Claro, la mayoría de las veces lo que se obtiene es exactamente lo que se esperaba, o en el peor, algo decepcionante u ofensivo, pero inofensivo. Pero a veces lo que se obtiene es la obra de un vándalo. Sendincódigo malicioso g al ordenador es sólo una pequeña parte del ataque. El atacante necesita de persuadirte para descargar el archivo adjunto para que el ataque tenga éxito. NOTA Enelectrónico del tipo de programa conocemos en el underground informático como una rata, o un troyano de acceso remoto, le da al atacante acceso completo a su ordenador, como si estuviera sentado en su teclado. The formas más dañinas de código malicioso - gusanos con nombres como Love Letter, SirCam y Kournikiva Anna, por nombrar unos pocos - han confiado en las técnicas de ingeniería social del engaño y el aprovechamiento de nuestro deseo de obtener algo a cambio de nada para ser propagarse. El gusano llega como un archivo adjunto a un correo electrónico que ofrece algo tentador, como información confidencial, la pornografía gratuita, o - un ardid muy inteligente - un mensaje que indica que el archivo adjunto es el recibo de algún artículo caro que supuestamente ordenado. Esta última táctica le lleva a abrir el archivo adjunto por temor a su tarjeta de crédito ha sido acusado de un elemento que no funcionaba.

Ess sorprendente cuántas personas caen en estos trucos, incluso después de ser dicho y le dijo otra vez sobre los peligros de abrir archivos adjuntos de correo electrónico, la conciencia del peligro se desvanece con el tiempo, dejando a cada uno de nosotros vulnerable. Spotting Malicious Software Another tipo de malware - acrónimo de software malicioso - pone un programa en ustedr computadora que funciona sin su conocimiento o consentimiento, o realiza una tarea sin su conocimiento. El malware puede parecer bastante inocente, puede ser incluso un documento de Word o una presentación de PowerPoint o cualquier programa que tenga la funcionalidad de macro, pero en secreto se instalará un programa no autorizado. Por ejemplo, malware puede ser una versión del Caballo de Troya se habla en el capítulo 6. Una vez que este software está instalado en su máquina, puede alimentar a cada golpe de teclado que escriba al atacante, incluyendo todas sus contraseñas y números de tarjetas de crédito. There son otros dos tipos de software malicioso que puede encontrar chocante. Se puede alimentar al atacante cada palabra que dices dentro del alcance del micrófono de la computadora, incluso cuando usted piensa que el micrófono está apagado. Peor aún, si havea cámara web conectada al equipo, el atacante utiliza una variación de esta técnica puede ser capaz de capturar todo lo que sucede delante de su terminal, aún cuando se piensa que la cámara está apagada, el día o la noche. LINGO MALWAREArgot de software malicioso, un programa informático, como un virus, gusano, O Caballo de Troya, que realiza tareas perjudiciales. Mitnick MENSAJE Bewson de frikis que llevan los regalos, de otra manera su empresa puede soportar la misma grasae como la ciudad de Troya. En caso de duda, para evitar una infección, usar protección. Un hacker con un sentido del humor malicioso podría tratar de plantar un pequeño programa diseñado para ser perversamente molesto en su ordenador. Por ejemplo, puede hacer que su bandeja de la unidad CD siguen apareciendo abierto, o el archivo que está trabajando en mantener a minimizar. O podría causar un archivo de audio para reproducir un grito a todo volumen en el medio de la noche. Ninguno de ellos es mucho más divertido cuando estás tratando de dormir o realizar su trabajo .., pero por lo menos no hacen ningún daño duradero.

MessagE DE UN AMIGO Thescenarios e puede empeorar aún más, a pesar de sus precauciones. Imagina: Has decided no correr ningún riesgo. Ya no descargar ningún archivo excepto de sitios seguros que usted conoce y confía, como SecurityFocus.com o Amazon.com. Ya no haga clic en enlaces de correo electrónico

from desconocidos fuentes. Usted ya no está abierto los archivos adjuntos en cualquier correo electrónico que usted no esperaba. Y usted comprueba su página del navegador para asegurarse de que es un símbolo sitio seguro en cada sitio que visita para las transacciones de comercio electrónico o para intercambiar información confidencial. Und Hasta que un día recibe un correo electrónico de un amigo o de negocios que lleva un archivo adjunto. No puede haber nada malicioso si se trata de alguien que usted conoce bien, ¿verdad? Sobre todo porque usted sabe que la culpa de que sus datos informáticos sufrieron daños. You abrir el archivo adjunto, y ... BOOM! Usted acaba de ser golpeado con un gusano o caballo de Troya. ¿Por qué iba alguien hacer esto? Debido a que algunas cosas no son como parecen. Usted ha leído acerca de esto: el gusano que llega en el ordenador de alguien, y luego se envía por correo electrónico a todo el mundo en la agenda de esa persona. Cada una de estas personas recibe un correo electrónico de alguien que conoce y confía, y cada uno de los correos electrónicos de confianza contiene el gusano, que se propaga como las ondas de una piedra arrojada a un estanque tranquilo. Thrazón e esta técnica es tan eficaz es que sigue la teoría de matar dos pájaros de un tiro: la capacidad de propagarse a otras víctimas inocentes, y la apariencia que se originó a partir de una persona de confianza. Mitnick MENSAJE Mamán ha inventado muchas cosas maravillosas que han cambiado el mundo y nuestras way de la vida. Pero por cada buen uso de la tecnología, ya sea un ordenador, teléfono, o por Internet, siempre hay alguien que va a encontrar una manera de abusar de ella para sus propios fines. Es un hecho triste de la vida en el estado actual de la tecnología que puede llegar un correo electrónico de alguien cercano a usted y todavía tiene que preguntarse si es seguro abrir. VARIATIONS en un tema Yon esta era de la Internet, hay un tipo de fraude que involucra desviando usted to un sitio Web que no es lo que esperaba. Esto sucede regularmente, y se necesita una variedad de formas. Este ejemplo, que se basa en una estafa real perpetrada el Internet, es representativo. Feliz Navidad. . . Un vendedor de seguros jubilado llamado Edgar recibió un correo electrónico un día de PayPal, una empresa que ofrece una manera rápida y conveniente de hacer pagos

en línea. Este tipo de servicio es especialmente útil cuando una persona en una parte del del país (o del mundo, para el caso) es la compra de un artículo de una persona que

doesn 'sé. PayPal cobra a la tarjeta de crédito del comprador y transfiere el dinero directamente a la cuenta del vendedor. Como coleccionista de antigüedades Edgar tarros de cristal hizo un montón de negocios a través de eBay de subastas en línea de la compañía. Él usó PayPal menudo, a veces varias veces por semana. Así que Edgar estaba interesado cuando recibió un correo electrónico en la temporada de vacaciones de 2001, que parecía ser de PayPal, y le ofreció una recompensa para la actualización de su cuenta PayPal. El mensaje decía: Felices Fiestas Estimado cliente de PayPal; Cuando se acerca el Año Nuevo y como todos se preparan para mover un año antes, PayPal le gustaría darle un $ 5 acreedorest a tu cuenta! All que tiene que hacer para reclamar su regalo de $ 5 de nosotros es la actualización ustedr información en nuestro sitio seguro Pay Pal por el 1 de enero 2002. Un año trae una gran cantidad de cambios, mediante la actualización de su information con nosotros, se le permitirá que continuemos ofreciendo a usted ya nuestro valioso servicio al cliente con un servicio excelente y al mismo tiempo, mantener los registros de derecho! To actualizar su información ahora y reciba $ 5 en su cuenta PayPal inmediatamente, haga clic en este enlace: http://www, Paypal-seguro. com / cgibin Dek por utilizar PayPal.com y ayudarnos a crecer para ser el más grande de los nuestros! Sinceramente desearle una muy "Feliz Navidad y Feliz Año Nuevo," Equipo de PayPal Una nota e.Commerce sobre sitios web

You probablemente conocemos a personas que se resisten a comprar productos en línea, incluso de las empresas de marca como Amazon o eBay, o los sitios web de Old Navy, Target, o Nike. En cierto modo, tienen razón para sospechar. Si su navegador utiliza el estándar actual de encriptación de 128-bits, la información que envíe a cualquier sitio seguro sale de su computadora encriptada. Estos datos podrían no cifrada con mucho esfuerzo, pero probablemente no se puede romper en un período razonable de tiempo, excepto quizás por la Agencia de Seguridad Nacional (NSA y, hasta el momento 98, como sabemos, no ha mostrado ningún interés en el robo de crédito números de tarjetas de ciudadanos estadounidenses o tratando de averiguar quién está ordenando cintas de vídeo o ropa interior sexy rizado). Estos archivos cifrados en realidad podría ser roto por cualquier persona con el tiempo y los recursos. Pero realmente, ¿qué tonto iría a todo ese esfuerzo para robar un número de tarjeta de crédito cuando muchas empresas de comercio

electrónico en el error de almacenar toda su información financiera del cliente sin encriptar en sus bases de datos? Peor aún, un número

de las empresas de comercio electrónico que utilizan un determinado software de base de datos SQL mal compuesto ªe problema: Lay have nevér changed ªe default sistema contraseña de administrador para el programa. Cuando tomaron el software de la caja, la contraseña es "nulo", y aún así es "nulo" en la actualidad. Por lo tanto el contenido de la base de datos están disponibles para cualquier usuario de Internet que decide intentar conectar con el servidor de base de datos. Estos sitios están siendo atacados todo el tiempo y la información se roban, sin que nadie se diera cuenta, On Por otra parte, las mismas personas que no van a comprar por Internet porque tienen miedo de que su información de tarjeta de crédito robada have ningún problema con la compra de la tarjeta de crédito mismo en una tienda de ladrillo y mortero, o pagar por el almuerzo, la cena o las bebidas con la tarjeta incluso en un bar de la calle de nuevo o restaurante que no tomarían su madre. Recibos de tarjetas de crédito roban de estos lugares todo el tiempo, o pescado de los contenedores de basura en el callejón. Y cualquier empleado sin escrúpulos o camarero puede anotar su nombre y la información de la tarjeta, o utilizar un aparato fácilmente disponibles en el Internet, un dispositivo de tarjeta de deslizar que almacena los datos de cualquier tarjeta de crédito pasa a través de él, para su posterior recuperación. There son algunos de los riesgos a las compras en línea, pero es probable que sea tan seguro como comprar en una tienda de ladrillo y mortero. Y las compañías de tarjetas de crédito le ofrecen la misma protección cuando utilice su tarjeta en línea - si cualquier cargo fraudulento se efectuarán en la cuenta, usted es sólo responsable de los primeros $ 50. So en mi opinión, el miedo a las compras en línea es más que otro fuera de lugar preocu parse. Edgar no vi ninguna de las varias señales reveladoras de que algo andaba mal con este correo electrónico (por ejemplo, el punto y coma después de la línea de saludo, y el texto confuso sobre "nuestro servicio al cliente valorado con un servicio excelente"). Hizo clic en el enlace, introducir la información solicitada nombre, información de tarjeta de dirección, número de teléfono y de crédito - y se sentó. atrás para esperar a que el crédito de cinco dólares para aparecer en su próximo proyecto de ley de tarjetas de crédito. Lo que apareció en su lugar había una lista de cargos por artículos que nunca compró. LaCon el nalyzing Edgar se había dejado engañar por una estafa de Internet común. Es una estafa que viene yon una gran variedad de formas. Uno de ellos (que se detallan en el capítulo 9) consiste en una pantalla de inicio de sesión señuelo creado por el atacante que

parece idéntico a la cosa real. La diferencia es que la pantalla falsa no da acceso al sistema de ordenador que el usuario yos tratando de alcanzar, sino que alimenta su nombre de usuario y contraseña al hacker. Edgar se había dejado engañar por una estafa en la que los ladrones habían registrado un sitio web con el nombre de "paypal-secure.com" - que suena como si hubiera sido un

securpágina electrónica en el sitio de PayPal legítima, pero no lo es. Cuando entró en la información de dicho sitio, los atacantes dieron exactamente lo que queríamos. Mitnick MENSAJE While no es infalible (sin seguridad es), cada vez que visite un sitio que pide information you consir private, always garantie THAt ªe connection se autenticand y cifrado. Y aún más importante, no automáticamente, haga clic en Sí en cualquier cuadro de diálogo que puede indicar un problema de seguridad, como por ejemplo un certificado no válido, caducado o revocado digital. VARIATIONS EN LA VARIACIÓN ¿Cuántas otras formas hay para engañar a los usuarios para que ir a un falso Web sitio donde proporcionan información confidencial? No creo que alguien tiene una respuesta válida, exacta, pero "mucho, mucho" servirá al propósito. El eslabón perdido Ene truco aparece regularmente: El envío de un correo electrónico que ofrece un motivo tentador visita sitio, y proporciona un enlace para ir directamente a ella. Salvo que el enlace no te lleva al sitio que crees que vas a, ya que el vínculo en realidad sólo se asemeja a un enlace para ese sitio. He aquí otro ejemplo de pastel que en realidad ha sido utilizado en Internet, también implica el mal uso del nombre de PayPal: www. PayPai. com Lata mirada rápida, esto se ve como si dice PayPal. Incluso si los avisos de las víctimas, se puede pensar que es sólo un ligero defecto en el texto que hace que el "yo" de la mirada de Pal como una "i". ¿Y quién se daría cuenta a simple vista que: www. PayPal. com utiliza el número 1 en lugar de una letra L minúscula? Hay bastante gente que acepta faltas de ortografía y mala dirección a otros para hacer esta táctica continuamente popular entre los bandidos de tarjetas de crédito. Cuando la gente va al sitio falso, parece que el sitio que esperaban ir, y ellos alegremente ingrese su información de tarjeta de crédito. Para configurar uno de estos sustos, un atacante sólo necesita registrar el nombre de dominio falso, enviará a sus correos electrónicos, y esperar a que aparezcan los retoños, listo para ser engañado. Yon A mediados de 2002, recibí un correo electrónico, al parecer parte de un

envío masivo que se ha caracterizado por ser de "Ebay @ ebay.com."El mensaje que se muestra en la Figura 8.1.

Figure 8,1. El enlace en este o cualquier otro correo electrónico debe ser utilizado con precaución. ---------------------------------------------------------------------------------------------------------------msg: Usuario eBay Dear, Yot se ha hecho muy notable que otra parte ha sido la corrupción de su cuenta de eBay y ha violado nuestra política de Acuerdo del usuario en la lista: 4. Puja y la compra You está obligado a completar la transacción con el vendedor si usted compra un artículo a través de uno de nuestros formatos de precio fijo o al mejor postor, como se describe a continuación. Si usted es el mejor postor al final de una subasta (cumplen el mínimo de puja correspondiente o requerimientos de encaje) y su oferta es aceptada por el vendedor, usted está obligado a completar la transacción con el vendedor, o la operación esté prohibida por la ley o por el presente Acuerdo. Usted recibió este aviso de eBay, ya que ha llegado a nuestra atención que su cuenta corriente ha provocado interrupciones con otros usuarios de eBay y eBay requiere la verificación inmediata de su cuenta. Por favor, verifique su cuenta o la cuenta puede llegar a ser desactivada. Haga clic aquí para verificar su cuenta http://error ebay.tripod.com Las marcas comerciales y las marcas mencionadas son propiedad de sus respectivos dueños, eBay y el logotipo de eBay son marcas comerciales de eBay Inc. ------------------------------------------------------------------------------------------------------------------Víctimas que han hecho clic en el enlace fue a una página Web que se parecía mucho a una página de eBay. De hecho, la página estaba bien diseñada, con un logotipo de eBay auténtica, y en "Examinar", "Vender" y otros vínculos de navegación que, si se hace clic, se llevó al visitante en el sitio de eBay real. También hubo un logotipo de seguridad en la esquina inferior derecha. Para disuadir a la víctima inteligente, el diseñador había utilizado incluso HTML cifrado para ocultar que la información proporcionada por el usuario se está enviando. Yot es un ejemplo excelente de un malicioso basado en computadoras ataque de ingeniería social. Sin embargo, no estuvo exenta de varios defectos.

Thmensaje de correo electrónico no estaba bien escrito y, en particular, el párrafo que comienza "Usted recibió esta notificación" es torpe e inepto (las personas responsables de estos engaños no contratar a un profesional para editar su copia, y eso se nota siempre). Además, cualquiera que estaba prestando mucha atención se habría convertido en sospechoso

eBay PayPal pidiendo información de los visitantes, no hay razón eBay le pediría a un cliente para obtener esta información privada con la participación de una empresa diferente. Und nadie bien informado sobre el Internet probablemente reconocería que el hipervínculo no se conecta al dominio de eBay, pero a tripod.com, que es un servicio de alojamiento web gratuito. Este fue un claro indicativo de que el correo electrónico no era legítimo. Sin embargo, apuesto a que mucha gente entró en su información, incluyendo un número de tarjeta de crédito, en esta página. NOTA Blancoy son personas autorizadas para registrar nombres de dominio engañosos u inapproprate?. Debido a que con la ley vigente y la política en línea, cualquier persona puede registrar cualquier nombre de sitio que 'aún no está en uso. Compañías tratar de luchar contra este uso de las direcciones de imitación, pero tenga en cuenta lo que está en contra. General Motors expediented suit against un company THAt registeredf ** kgeneralmotors.com (pero sin los asteriscos) y señaló la dirección URL del sitio Web de General Motors. GM perdió. Esté alerta Las de los usuarios individuales de Internet, todos tenemos que estar alerta, por lo que de manera consciente dECISIÓN acerca de cuándo puede introducir información personal, contraseñas, números de cuenta, PINs y similares. How muchas personas conoce usted que podría decirte si una página de Internet en particular que están viendo cumple con los requisitos de una página segura? ¿Cuántos empleados hay en su empresa sabe lo que debe buscar? Everyone que utiliza el Internet debe saber sobre el pequeño símbolo que aparece a menudo en algún lugar de una página Web y se parece a un dibujo de un candado. Ellos deben saber que cuando el cerrojo está cerrado, el sitio ha sido certificado como seguro. Cuando el cerrojo abierto o el icono del candado no se encuentra, el sitio Web no se autentica como genuino, y cualquier información transmitida está en el claro - es decir, sin cifrar. CómoAlguna vez, un atacante que logre comprometer privilegios de administrador en un ordenador de la empresa puede ser capaz de modificar o parchear el código del sistema operativo para cambiar la percepción del usuario de lo que está sucediendo realmente. Por ejemplo, las instrucciones de programación en el software del navegador que indican certificado digital de un sitio Web no es válido puede ser modificado para omitir la comprobación. O el sistema puede ser modificado con algo llamado rootkit, la instalación de una o

más puertas traseras en el nivel de sistema operativo, que son más difíciles de detectar.

Una conexión segura autentica el sitio como genuino, y cifra la información que se comunica, por lo que un atacante no puede hacer uso de los datos que se interceptadas. ¿Puedes confiar en cualquier sitio Web, incluso uno que utiliza una conexión segura? No, porque el propietario del sitio puede no estar alerta sobre la aplicación de todos los parches de seguridad necesarios, o forzar a los usuarios o administradores para respetar las buenas prácticas de contraseña. Así que no se puede asumir que cualquier sitio supuestamente seguro es invulnerable a los ataques. LINGO Puerta trasera Un punto de entrada encubierta que proporciona una forma secreta a un usuario de calcularr que es desconocido para el usuario. También se utiliza por los programadores mientras que el desarrollo de un programa de software para que puedan entrar en el programa para corregir problemas Secure HTTP (Hypertext Transfer Protocol) o SSL (Secure Sockets Layer) proporciona un mecanismo automático que utiliza certificados digitales no sólo para cifrar la información que se envía al sitio remoto, sino también para proporcionar autenticación (una garantía de que usted se está comunicando con la red real sitio). Sin embargo, este mecanismo de protección no funciona para los usuarios que no pueden prestar atención a si el nombre del sitio en la barra de dirección es de hecho la dirección correcta del sitio al que está tratando de acceder. Another problema de seguridad, en su mayoría ignorados, aparece como un mensaje de advertencia que dice algo así como "Este sitio no es seguro o el certificado de seguridad ha caducado. ¿Quieres ir a la página de todos modos?" Muchos usuarios de Internet no entienden el mensaje, y cuando aparece, simplemente haz clic en Aceptar o Sí y continuar con su trabajo, sin darse cuenta de que pueden estar en arenas movedizas. Tenga cuidado: En un sitio Web que no utiliza un protocolo seguro, nunca se debe introducir la información confidencial, como su dirección o número de teléfono, tarjeta de crédito o números de cuentas bancarias o cualquier otra cosa que desee mantener en privado. Thomas Jefferson dijo que mantener nuestra libertad requiere "vigilancia eterna". Mantener la privacidad y la seguridad en una sociedad que utiliza la información como moneda de cambio exige nada menos. Convertirse Savvy Virus Una nota especial sobre el software de virus: Es esencial para la intranet corporativa, pero also esencial para cada empleado que usa una computadora. Más allá de contar con software antivirus instalado en sus máquinas, los usuarios obviamente necesita tener el software activado (el cual muchas personas no les gusta porque

inevitablemente retrasa algunas funciones del ordenador). Ingenioh software anti-virus que hay otro procedimiento importante tener en

mente, Así: Mantener las definiciones de virus actualizadas. A menos que su empresa se creó para distribuir software o actualizaciones a través de la red para todos los usuarios, cada usuario debe llevar la responsabilidad de la descarga de la última serie de definiciones de virus por sí solo. Mi recomendación personal es que todo el mundo establecer las preferencias de software antivirus para que las nuevas definiciones de virus se actualizan automáticamente todos los días. LINGO SECURE Sockets Layer Un protocolo desarrollado por Netscape que provee authentication de cliente y servidor en una comunicación segura en Internet. Simply poner, eres vulnerable a menos que las definiciones de virus se actualizan regularmente. Y aun así, usted todavía no está completamente a salvo de virus o gusanos que las empresas de software anti-virus aún no conocen o no han publicado aún un archivo de patrones de detección para. All empleados con privilegios de acceso remotos desde sus computadoras portátiles o computadoras personales que han actualizado el software antivirus y un firewall personal en esas máquinas en un mínimo. Un atacante sofisticado a ver el panorama completo para buscar el eslabón más débil, y eso es donde va a atacar. Recordando a las personas con equipos remotos regularmente sobre la necesidad de servidores de seguridad personales y actualizado, el software de virus activo es una responsabilidad de las empresas, ya que no se puede esperar que los trabajadores, directivos, personal de ventas y otros remotas de un departamento de TI recordar los peligros de dejando a sus computadoras sin protección. Beyond estos pasos, os recomiendo el uso de los menos comunes, pero no menos importante, los paquetes de software que protegen contra ataques de caballo de Troya, los denominados anti-troyano software. En el momento de escribir estas líneas, dos de los programas más conocidos son The Cleaner (Www.moosoft.com) Y Troya Defensa Sweep (Www.diamondcs.com.au). Aletaaliado, lo que probablemente es el mensaje de seguridad más importante de todo para las empresas que no escanear los correos electrónicos peligrosos en el gateway corporativo: Ya que todos tienden a ser olvidadizo o negligente de las cosas que parecen periférico para conseguir nuestros trabajos realizados, los empleados deben ser recordó una y otra vez, de diferentes maneras, acerca de no abrir archivos adjuntos de correo electrónico a menos que esté seguro de que la fuente es una persona u organización que pueden confiar. Además, la gestión también tiene que recordar a los empleados que deben usar software antivirus activo y software anti-troyano que proporciona una protección valiosa contra el correo electrónico aparentemente confiable que puede contener una carga destructiva.

Chapter 8 Usi ng La simpatía, la culpa y la intimidación
Las en el Capítulo 15, un ingeniero social usa la psicología de influencia para llevar a su destino para cumplir con su solicitud. Calificados ingenieros sociales son muy hábiles para el desarrollo de un ardid que estimula las emociones, como el miedo, la excitación, o culpa. Lo hacen mediante el uso de disparadores psicologicos - los mecanismos automáticos que llevan a las personas a responder a las peticiones sin un análisis profundo de toda la información disponible. We todos queremos evitar situaciones difíciles para nosotros y los demás. Sobre la base de este impulso positivo, el atacante puede jugar en la simpatía de una persona, hacer que su víctima se sienta culpable, o usar la intimidación como arma. Here algunas lecciones de la escuela de posgrado en las tácticas populares que juegan con las emociones. UNA VISITA AL ESTUDIO Have ¿Has notado cómo algunas personas pueden caminar hasta el guardia de la puerta de, say, un salón de un hotel donde alguna reunión, fiesta privada o una función de lanzamiento de libro está en marcha, y sólo a pie más allá de esa persona sin que se le pidió su boleto o pase? De la misma manera, un ingeniero social puede hablar su camino en lugares que no habría creído posible - como la siguiente historia sobre la industria del cine pone de manifiesto. The Phone Call "Rooficina n Hillyard, se trata de Dorothy ". "Dorothy, Hola. Mi nombre es Kyle Bellamy. Acabo de subir a bordo para trabajar en desarrollo de animación en el personal Brian Glassman. Ustedes que hacen cosas diferentes aquí ". "Supongo. Nunca he trabajado en cualquier otra película mucho, así que no lo sé. ¿Qué puede hacer Que haga por ti? " "To digo la verdad, me siento una especie de estúpido. Tengo un escritor a venir esta tarde para una sesión de paso y no sé que se supone que debo hablar con él acerca de cómo obtener en el lote. La gente aquí en la oficina de Brian son muy bonitas pero no me gusta seguir molestando, ¿cómo puedo hacer esto, ¿cómo puedo hacer eso. Es como si acaba de empezar la secundaria y no puedo encontrar mi camino al baño. ¿Sabes lo que quiero decir? "

Dorothy se echó a reír. "You quiere hablar con seguridad. Marque 7 y, a continuación 6138. Si usted recibe Lauren, dígale a su Dorothy dijo que debería tomar buena cuidar de ti. " "Gracias, Dorothy. Y si no puedo encontrar el baño de hombres, puede que le devuelva la llamada "Ellos se echó a reír a más de la idea, y colgó. DaviHistoria d Harold Me encantan las películas y cuando me mudé a Los Angeles, pensé que iba a llegar a meeT Todos los tipos de personas en el mundo del cine y que me llevaría a lo largo de a partes y me tienen a almorzar en los estudios. Bueno, yo estaba allí para una año, Yowcomo encender veintiséis años de edad, y lo más cerca que se puso en marcha fue on ªe Universal Studios gira con todas las buenas personas de Phoenix y Cleveland. Así que finalmente llegó al punto en el que pensé, si no me van a invitar, me voy a invitar. ¿Qué es lo que hice. Compré un ejemplar de Los Angeles Times y leyó la columna de entretenimiento fora par de días, y escribió los nombres de algunos productores en diferentes estudios. Decidí intentar golpear a uno de los grandes estudios primero. So que llamé a la centralita y pidió a la oficina de este productor tenía read about yon ªe papel. El secretario respondió que sonaba como el tipo maternal, así que pensé que había tenido suerte, y si era una chica joven que estaba allí esperando que ella estaría descubierto, Probablemente no me hubiera dado la hora del día. But este Dorothy, que sonaba como si alguien que tuviera un gatito perdido, alguien que me siento por el chico nuevo que se sentía un poco abrumado en el nuevo trabajo. Y estoy seguro que tiene el toque justo con ella. No todos los días te tratan de engañar a alguien y te dan más de lo que pidió. Por piedad, no sólo me dio el nombre de una de las personas en materia de seguridad, pero me dijo que debía decirle a la señora que Dorothy quería que me ayudara. Of supuesto que tenía previsto utilizar el nombre de Dorothy de todos modos. Esto hizo que fuera aún mejor. Lauren abrió justo y ni siquiera se molestó en buscar el nombre que me dieron para ver si estaba realmente en la base de datos de los empleados.

When me dirigí a la puerta de la tarde, no sólo tenía mi nombre en la lista de visitantes, que incluso tenía una plaza de aparcamiento para mí. Tenía un almuerzo tarde en la comisaría, y vagó por el lote hasta el final del día. Incluso se coló en un par de estudios de sonido y los vio películas. ¿No sale hasta las 7. Fue uno de los días más emocionantes jamás.

LaCon el nalyzing Everybody era un empleado nuevo una vez. Todos tenemos recuerdos de lo que en primer lugar day era como, sobre todo cuando éramos jóvenes e inexpertos. Así que cuando un nuevo empleado le pide ayuda, él puede esperar que muchas personas especialmente de nivel básico people - se acordará de su propio nuevo chico en el bloque-, sentimientos y hacen todo lo posible para echar una mano. El ingeniero social lo sabe, y él entiende que él puede utilizar para jugar en las simpatías de sus víctimas. We que sea demasiado fácil para los de afuera a Con su manera en nuestra empresa plantas y oficinas. Incluso con guardias en las entradas y en los procedimientos de inicio de sesión para cualquier persona que no sea un empleado, cualquiera de varias variaciones en el ardid utilizado en this historia permitirá a un intruso obtener un pase de visitante y caminar a la derecha adentro Y yof su empresa requiere que los visitantes serán escoltados? Esa es una buena regla, pero es sólo efectivo si sus empleados son realmente conscientes de detener a cualquier persona con o sin un pase de visitante que se encuentra en el propio, ya interrogarlo. Y luego, si las respuestas no son satisfactorias, sus empleados tienen que estar dispuestos a comunicarse con el Seguro. MakinG Es demasiado fácil para los de afuera a hablar su manera en sus instalaciones pone en peligro la información confidencial de su empresa. En el clima actual, con la amenaza de ataques terroristas que pesan sobre nuestra sociedad, es algo más que la información que podría estar en riesgo. "DO IT NOW" No todo el que utiliza tácticas de ingeniería social es un ingeniero social pulido. Anybody con un conocimiento íntimo de una empresa en particular puede volverse peligroso. El riesgo es aún mayor para cualquier empresa que tiene en sus archivos y bases de datos cualquier información personal de sus trabajadores, los cuales, por supuesto, la mayoría de las empresas hacer. Blancotrabajadores de baño no están educados o capacitados para reconocer los ataques de ingeniería social, la gente determinada como la despechada señora en la siguiente historia puede hacer cosas que las personas más honestas que creen imposible. La historia de Doug Cosas no se había ido del todo bien con Linda de todos modos, y supe tan pronto como Conocí a Erin que ella era la única para mí. Linda es, como, un poco ... Bueno, algo no exactamente inestable pero más o menos puedes ir por las paredes cuando

ella se enoja. Le dije que lo más suave que pude que tenía que salir, y me ayudó a empacar y dejaron que la llevara a un par de CDs Queensryche que eran realmente mío. Tan pronto como se hubo ido me fui a la ferretería de un nuevo bloqueo Medico para poner en la puerta principal y lo puso en la misma noche. A la mañana siguiente llamé por teléfono company, y los hizo cambiar mi número de teléfono, y lo hizo sin publicar.

That me dejó perseguir Erin.

libre

para

Linda 's Story Yo estaba listo para salir, de todos modos, yo no había decidido cuándo. Pero a nadie le gusta sentirse rechazado. Así que era sólo una cuestión de, ¿qué podía hacer para hacerle saber lo que es un idiota que era? Yot No pasó mucho tiempo para averiguarlo. Tenía que haber otra chica, de lo contrario no se me envió de embalaje con tanta prisa. Así que me gustaría esperar un poco y luego empezar a llamarlo tarde en la noche. Ya sabes, todo el tiempo que se lo quiera llamar. Esperé hasta el próximo fin de semana y llamó a 11 de la noche del sábado. Sólo él había cambiado su número de teléfono. Y el nuevo número era apuntar. Eso sólo demuestra qué clase de tipo era el SOB. Yot no era tan grande de un revés. Empecé a hurgar entre los papeles que había conseguido llevar a casa justo antes de irme a mi trabajo en la compañía telefónica. Y allí estaba - había guardado un billete de reparación de una vez cuando había un problema con la línea telefónica a Doug, y enumeró la impresión ªe cable y par para su teléfono. Vea, usted puede cambiar su número de teléfono alTe quiero, pero usted todavía tiene el mismo par de hilos de cobre que va desde su casa to ªe telefonoe company switching oficina, called ªe Central OficinaO CO El conjunto de cables de cobre de cada casa y apartamento es identificados por estos números, llamados el cable y par. Y si usted sabe cómo thempresa e teléfono hace cosas que yo hago, sabiendo cable del objetivo y el par es todo lo que necesita saber el número de teléfono. Tenía una lista con todos los datos objetores de conciencia en la ciudad, con sus direcciones y números de teléfono. Busqué el número del CO en el barrio donde Yo utilizard vivir con Doug el tirón, y llamó, pero, naturalmente, no había nadie. ¿Dónde está el guardagujas cuando realmente lo necesitas? Me llevó todo sobre veinte segundos para llegar a un plan. Empecé a llamar a su alrededor para la other COs y la aletaaliarse encuentra a un chico. Pero él estaba a kilómetros de distancia y que era probable que sitting ªere con los pies hacia arriba. Yo sabía que él no quiere hacer lo que sea necesario. Yo estaba listo con mi plan. "This es Linda, Centro de Reparaciones ", le dije." Tenemos una emergencia. Servicio para un paramunidad edic ha bajado. Tenemos un técnico de campo tratando de

restablecer el servicio, pero no puede encontrar el problema. Necesitamos que ir en coche a la CO Webster inmediatamente y ver si tiene tono de marcar salir de la oficina central ". Und entonces yo le dije: "Te llamo cuando llegue allí", porque, por supuesto, Yo couldn 't lo han llamando al Centro de Reparación y preguntando por mí.

Yo sabía que él no querría dejar la comodidad de la oficina central para Bundle hasta und ir hielo raspado de su parabrisas y la unidad a través del aguanieve por la noche. Pero era una emergencia, así que no podría decir exactamente que estaba muy ocupado. When lo alcancé cuarenta y cinco minutos más tarde en el CO Webster, le dije a check cable de 29 pares 2481, y se acercó a la llama y comprueba y le dijo: Sí, hubo tono de marcado. Lo que por supuesto que ya sabía. So entonces me dijo: "Bueno, yo necesito que hagas un LV", que significa verificación de línea, que se le pide que identifique el número de teléfono. Lo hace por dialing unspecial número que vuelve a leer el número que es llamado desde. Él doesn 't know nada sobre si se trata de un número privado o que está justbeen cambiado, así que hizo lo que le pedí y oí el número que se anuncian a través de su equipo de prueba del instalador de líneas. Hermosa. Todo había funcionado a las mil maravillas. Le dije: "Bueno, el problema debe estar en el campo", como si supiera la,, umber todo el tiempo. Le di las gracias y le dije que nos volveríamos a seguir trabajando en ella, y dijo buenas noches.

Mitnick MENSAJE Oncea ingeniero social sabe cómo funcionan las cosas en el interior de la empresa en cuestión, se becomes fácil de usar ese conocimiento para desarrollar una buena relación con los empleados legítimos. Las empresas deben prepararse para los ataques de ingeniería social de currenempleados o ex t que pueden tener un interés personal. Verificación de antecedentes mamáy ser útil para eliminar a las perspectivas que pueden tener una propensión hacia este tipo de comportamiento. Pero en la mayoría de los casos, estas personas serán extremadamente difíciles de detectar. La única salvaguardia razonable en estos casos es hacer cumplir y los procedimientos de auditoría para la verificación de identidad, incluyendo la situación laboral de la persona, antes de to divulgar cualquier información a nadie personalmente, no sabe que aún con la empresa. So mucho para que Doug y tratando de esconderse de mí detrás de un número privado. La diversión estaba a punto de comenzar. LaCon el nalyzing Thdama joven e en esta historia fue capaz de obtener la información que quería

llevar a cabo su venganza porque ella tenía conocimiento interno: los números de teléfono, los procedimientos y la jerga de la compañía telefónica. Con ella no sólo fue capaz de descubrir un nuevo número de teléfono que no, pero fue capaz de hacerlo en medio de una noche de invierno, el envío de un guardagujas teléfono persiguiendo al otro lado de la ciudad para ella.

"MR. BIGG QUIERE ESTO" Una forma popular y altamente eficaz de intimidación - popular en gran medida porque es muy simple - se basa en la influencia en el comportamiento humano mediante el uso de la autoridad. Sólo el nombre del asistente en la oficina del director general puede ser valiosa. Los investigadores privados e incluso la cabeza cazadores hacen esto todo el tiempo. Van a llamar a la operadora y dicen que quieren estar conectados a la oficina del CEO. Cuando la secretaria o asistente ejecutivo respuestas, ellos dicen que tienen un documento o paquete para el director general, o si se envía un archivo adjunto de correo electrónico, se le imprimirlo? O si no van a preguntar, ¿cuál es el número de fax? Y por cierto, ¿cómo te llamas? Lan que llame a la siguiente, y decir: "Jeannie en el despacho del señor Bigg me dijo que te llame para que me puedas ayudar con algo." Thtécnica e se pronunció el nombre-que caen, y se utiliza generalmente como un método para establecer rápidamente entendimiento influyendo en el destino para creer que el atacante se conecta con alguien en autoridad. Un destino es más probable que lo haga un favor a alguien que conoce a alguien que conoce. Yof el atacante tiene sus ojos puestos en la información altamente sensible, puede utilizar este tipo de enfoque para despertar emociones útiles en la víctima, como el temor a meterse en problemas con sus superiores. He aquí un ejemplo. Scott 's Story "Scott Abrams." "Scott, este es Christopher Dalbridge. Acabo de hablar por teléfono con el Sr. Biggley, y él es más que un poco triste. Él dice que envió una nota hace diez días que ustedes iban a obtener copias de toda su investigación penetración en el mercado a nosotros para su análisis. Nunca nos dieron nada ". "Markeinvestigación penetración t? Nadie me dijo nada al respecto. ¿Qué departamento se encuentra? " "We'rea firma consultora que contrató, y ya estamos retrasados. "" Escucha, I 'Sólo estoy en mi camino a una reunión. Déjame tu número de teléfono y. . . " The atacante ahora sonaba justo antes de realmente frustrado: "¿Es eso lo you quiere que le diga el Sr. Biggley?! Oye, espera que el análisis por mañana por la mañana y tenemos que trabajar en ello esta noche. Ahora, ¿quieres que le diga

que

couldn 't hacerlo porque no pudimos conseguir el informe de usted, o quiere que le diga que usted? ". Un CEO enojado puede arruinar su semana. El objetivo es probable que decida que tal vez esto es algo que mejor tener cuidado de antes de ir a esa reunión. Una vez más, el ingeniero social ha presionado el botón derecho para obtener la respuesta que quería. LaCon el nalyzing Thardid e intimidación por parte de la autoridad de referencia funciona especialmente bien si el other persona está en un nivel bastante bajo en la empresa. El uso del nombre de una persona importante, no sólo supera reticencia normal o sospecha, pero a menudo makes la persona con ganas de agradar, el instinto natural de querer ser útil es multiplied cuando se piensa que la persona que está ayudando es importante o influyente. The ingeniero social sabe, sin embargo, que es mejor cuando se ejecuta este engaño especial para utilizar el nombre de alguien en un nivel superior al propio jefe de la persona. Y esta táctica es difícil de usar dentro de una organización pequeña: El atacante no quiere que su víctima en hacer un comentario oportunidad el vicepresidente de marketing. "Envié a cabo el plan de marketing de producto de que tenía que llamarme tío trata", pueden fácilmente producir una respuesta de "plan de marketing ¿Qué? ¿Qué tipo?" Y eso podría conducir al descubrimiento de que la empresa ha sido víctima. MITNICKS MENSAJE Intimidation puede crear un miedo al castigo, influenciar a la gente a cooperar. Intimidation También puede aumentar el temor a la vergüenza o de ser descalificado de esa nueva promoción. Las personas deben ser entrenados que no es sólo aceptable, pero se espera para desafiar authority cuando la seguridad está en juego. Formación Información de seguridad debe incluir enseñar a la gente a desafiar la autoridad en formas favorables para el cliente, sin dañar las relaciones. Por otra parte, esta expectativa debe ser apoyada desde arriba hacia abajo. Si un empleado no va a ser una copia de seguridad para las personas difíciles, independientemente de su estado, la reacción normal es frenar difícil - justo lo contrario de lo que quieres. WHAT LA ADMINISTRACIÓN DEL SEGURO SOCIAL SOBRE USTED SABE We gusta pensar que las agencias gubernamentales con LES en nosotros mantener la información Safely encerrado lejos de la gente sin una auténtica necesidad de saber. La

realidad es que incluso el gobierno federal no es inmune a la penetración como nos gustaría to imaginar.

MamáLlamada de teléfono y Linn Place: La oficina regional de la Administración del Seguro Social Hora: 1 0:1 08 a.m., jueves por la mañana "Mod Tres. Se trata de mayo Linn Wang ". Thvoz e en el otro extremo del teléfono sonaba apologética, casi tímido. "La Sra. Wang, este es Arthur Arondale, en la Oficina del Inspector General. ¿Puedo llamará 'May'? "Es'May Linn' s ", dijo. "Bueno, Es como este, May Linn. Tenemos a un chico nuevo en que aquí no hay equipo para todavía, y ahora él tiene un proyecto prioritario y está usando la mía. Somos el gobierno de los Estados Unidos, para llorar en voz alta, y dicen que no tienen suficiente dinero en el presupuesto para comprar un equipo para que este tipo de uso. Y ahora mi jefe piensa que estoy cayendo detrás y no quiere escuchar ninguna excusa, you know? " "Yo sé lo que quieres decir, está bien. " "Can ¿Me pueden ayudar con una investigación rápida sobre MCS ", se preguntó, utilizando el nombre del sistema informático para buscar información sobre los contribuyentes. "Claro, What'cha necesito? " "ThLo primero que e necesito que hagas es un ALPHADENT sobre Joseph Johnson, fecha de nacimiento 7/4/69."(ALPHADENT significars a have la búsqueda electrónica de una cuenta alfabéticamente por el nombre del contribuyente, precisado por fecha de nacimiento). Tras una breve pausa, preguntó: "¿Qué necesitas saber?" "¿Qen casa de su número de cuenta? ", dijo, usando la información privilegiada de shorthand para el número de seguro social. Ella lo leyó.

"Está bien, necesito que hagas un numident en ese número de cuenta", dijo la persona que llama. Esa fue una petición para que ella leyó los datos de los contribuyentes básicos y mayo de Linn respondió dando lugar del contribuyente de nacimiento, nombre de soltera de su madre, y el nombre del padre. La persona que llama escucha pacientemente mientras ella también le dio el mes y el año de emisión de la tarjeta, y la oficina del distrito de su emisión por. He next asked for un DEQY. (Pronunciad "consulta detallada ganancias.") "DECK-wee," ess short

Thsolicitud e DEQY trajo la respuesta: "Porque ¿qué año?" El interlocutor contestó: "Año 2001". MamáLinn y dijo: "La cantidad era $ 190.286, el pagador era Johnson MicroTech". "Los salarios de otros?" "No." "Gracias,"Dijo." Usted ha sido muy amable. " Lan trató de organizar a llamarla cada vez que necesitaba información y no pudo llegar a su ordenador, utilizando de nuevo el truco favorito de los ingenieros sociales de siempre tratando de establecer una connection para que pueda seguir yendo a la misma persona, evitando la molestia de tener que encontrar una nueva marca cada vez. "No es la próxima semana", le dijo ella, porque ella iba a Kentucky para la boda de su hermana. " En cualquier otro momento, ella haría lo que pudiera. When ella colgó el teléfono, May Linn sentí bien de que ella había sido capaz de ofrecer una pequeña ayuda a un compañero funcionario público apreciado.

Historia de Keith Carter To juez de las películas y de las novelas más vendidas del crimen, una organización privada investigator es corto y largo plazo sobre la ética en el conocimiento de cómo obtener los datos jugosos sobre las personas. Lo hacen mediante el uso de métodos ilegales a fondo, mientras que apenas hombreenvejecimiento para evitar ser arrestado. La verdad, por supuesto, es que la mayoría de los inhibidores de la proteasa gestión de empresas totalmente legítimos. Debido a que muchos de ellos comenzaron su vida laboral como jurados oficiales de la ley, ellos saben perfectamente bien lo que es legal y lo que no, y la mayoría no se ven tentados a cruzar la línea. There son, sin embargo, excepciones. Algunos Pis - más de unos pocos - de hecho encaja en el molde de los chicos en las historias de crímenes. Estos chicos son conocidos en el mercado como agentes de información, un término cortés para las personas que están dispuestas a romper las reglas. Ellos saben que pueden conseguir cualquier trabajo hecho mucho más rápido y mucho más fácil si se toman algunos accesos directos. Que estos atajos resultan ser delitos mayores potenciales que pudieran aterrizar tras las rejas por unos cuantos años, no parece disuadir a los más inescrupulosos. Meanwhile los inhibidores de la proteasa de lujo - los que trabajan fuera de una suite de oficina de lujo en una zona de alta renta de la ciudad - no hacer este tipo de trabajo ellos mismos. Ellos simplemente contratar a algún agente de

información que lo haga por ellos. Thtipo e llamaremos Keith Carter era el tipo de detective privado sin el estorbo de la ética.

Yot es un caso típico de "¿Dónde se esconde el dinero?" O a veces es "¿Dónde está ella escondiendo el dinero?" A veces era una señora rica que quería saber dónde estaba su marido había escondido su dinero (aunque por qué una mujer se casa con el dinero nunca fue un tipo sin un enigma Keith Carter se preguntó acerca de vez en cuando, pero nunca había encontrado una buena respuesta para). Yon este caso el marido, que se llamaba Joe Johnson, fue el mantener el dinero en el hielo. Él "era un tipo muy inteligente que había creado una empresa de alta tecnología con diez mil dólares que le prestó la familia de su esposa y se instalan en una empresa de cien millones de dólares. Según su abogado de divorcio, él había hecho un trabajo impresionante de ocultar su activos, y el abogado querían un resumen completo. Keith imaginaba que su punto de partida sería la Administración del Seguro Social, dirigido a sus archivos en Johnson, que se llena de información muy útil para una situación como esta. Armado con su información, Keith podía pretender ser el objetivo y lograr que los bancos, casas de bolsa e instituciones offshore para decirle todo. ¡Holacall s primer teléfono fue a una oficina de distrito local, utilizando el mismo número 800 que cualquier miembro de los usos públicos, el número que aparece en la guía telefónica local. Cuando un empleado se puso al teléfono, Keith pidió ser conectado con alguien en las reivindicaciones. Otra espera, y luego una voz. Ahora Keith cambió de marcha, "Hola", comenzó diciendo. "Se trata de Gregory Adams, Oficina del Distrito 329. Escucha, estoy tratando de llegar a un ajustador de seguros que maneja un número de cuenta que termina en 6363, y el número que va a tener una máquina de fax. " "Esos Mod 2, "dijo el hombre. Miró el número y se lo dio a Keith. Next llamó Mod 2. Cuando May Linn respondió él cambió sombreros y pasamos por la rutina de estar en la Oficina del Inspector General, y el problema de otra persona tener que utilizar su ordenador. Ella le dio la información que estaba buscando, y accedió a hacer lo que pudo cuando necesitaba ayuda en el futuro. LaCon el nalyzing ¿Qut hizo este planteamiento eficaz fue la jugada en la simpatía de los empleados con ªe historia de otra persona utilizando su ordenador y "mi jefe no está contento conmigo". La gente no mostrar sus emociones en el trabajo muy a menudo, y cuando lo hacen, es posible roll derecho de otra persona a través de las defensas comunes contra la ingeniería social ataques. La táctica emocional de "estoy en problemas, no me ayudas?" fue todo lo que necesitó para ganar el día.

Inseguridad Social Increíblemente, La Administración del Seguro Social ha publicado una copia de la totalidad de su PrograManual de Operaciones m en la web, repleta de información que es útil para su pueblo, pero también es increíblemente valioso para los ingenieros sociales. Contiene abbreviations, jerga, e instrucciones sobre cómo solicitar lo que desee, como se describe en esta historia. Whormiga para obtener más información sobre el interior de la Administración del Seguro Social? Sólo tienes que buscar en Google o introduzca la siguiente dirección en su navegador: http://policy.ssa.gov / poms.nsf/. A menos que la agencia ya ha leído esta historia y se retira el manual para cuando usted lea esto, que usted encontrará en línea instrucciones que incluso dan información detallada sobre los datos de un empleado de la SSA se le permite dar a las fuerzas del orden. En términos prácticos, esto incluye cualquier comunidad ingeniero social que puede convencer a un empleado de SSA que es de una organización policial. El atacante no podría haber tenido éxito en la obtención de esta información de uno de los oficiales que maneja las llamadas telefónicas del público en general. El tipo de ataque Keith utilizado sólo funciona cuando la persona en el extremo receptor de la llamada es alguien cuyo número de teléfono no está disponible para el público, y que por lo tanto tiene la expectativa de que nadie debe ser llamado a alguien en el interior - otro ejemplo de la taberna clandestina seguridad ". Los elementos que contribuyeron a este ataque a los trabajos incluidos: Knowing el número de teléfono al Ministerio de Defensa. Knowing la terminología que utiliza - numident, ALPHADENT y DEQY. Fingiendog provenir de la Oficina del Inspector General, que cada empleado del gobierno federal conoce como una agencia de investigación de todo el gobierno con amplios poderes. Esto le da al atacante un aura de autoridad. Ensidelight e interesante: los ingenieros sociales parecen saber cómo hacer peticiones para que casi nadie piensa, "¿Por qué me llamas '- aún cuando, lógicamente, hubiera tenido más sentido si la llamada se había ido a alguna otra persona. un departamento completamente diferente. Tal vez simplemente ofrece una ruptura en la monotonía de la rutina diaria para ayudar a la persona que llama que los descuentos a las víctimas lo inusual de la llamada parece. Finalmente, El atacante en este incidente, no está satisfecho con la obtención de la información sólo para el caso que nos ocupa, quería establecer un contacto que podía llamar en forma regular. El otro modo podrían haber sido capaces de utilizar una táctica común para el ataque de simpatía -. "Se me cayó el café en mi

teclado" Eso no era bueno aquí, sin embargo, porque el teclado se puede sustituir en un día. Hcia usó la historia de otra persona usando su computadora, lo que pudo reasonably cadena durante semanas: "Sí, pensé que iba a tener su propia computadora

yesterday, pero entró y otro tipo sacó algún tipo de acuerdo y lo consiguió en su lugar. Así que este payaso sigue apareciendo en mi cubículo. "Y así sucesivamente. Pobre de mí, necesito ayuda. Funciona como un encanto. UNA SIMPLE LLAMADA Ene de los obstáculos principales de un atacante es hacer que su sonido petición razonable something típico de las solicitudes que se presentan en el día de trabajo de la víctima, algo que no ponga a la víctima de forma exagerada. Al igual que con muchas otras cosas en la vida, lo que hace un sonido solicitud lógica puede ser un reto, un día, pero el siguiente, que puede ser un pedazo de pastel. Mary Call H Teléfono Fecha / hora: Lunes, 23 de noviembre, 7:49 A.M. Place: Mauersby & Accounting Storch, Nueva York Tmayoría de las personas o, el trabajo de contabilidad es procesamiento de números y el conteo de frijol, por lo general visto como casi tan agradable como tener un tratamiento de conducto. Afortunadamente, no todo el mundo ve la obra de esa manera. Mary Harris, por ejemplo, encontró su trabajo como contador principal absorbente, parte de la razón por la que fue uno de los empleados de contabilidad más dedicados a su firm e. On este lunes en particular, Mary llegó temprano para conseguir una ventaja en lo que ella espera que sea un día largo, y se sorprendió al encontrar a su teléfono sonando. Lo cogió y le dio su nombre. "Hola, Se trata de Peter Sheppard. Estoy con Soporte Arbuclde, la empresa que hace de soporte técnico para su empresa. Hemos registrado un par de quejas sobre el fin de semana de la gente que tiene problemas con las computadoras allí. Pensé que podría solucionar antes de todo el mundo viene a trabajar esta mañana. ¿Tiene algún problema con el ordenador o la conexión a la red? " She le dijo que no lo sabía aún. Volvió la computadora y mientras se iniciaba, me explicó lo que quería hacer.

"Me gustaría hacer un par de pruebas con usted, dijo. "Soy capaz de ver en la pantalla las pulsaciones de teclado que escribe, y quiero hacer seguro de que van a través de la red correctamente. Así que cada vez que escriba un derrame cerebral, quiero que me digas lo que es, y yo Veremos si la misma letra o número que aparece aquí. ¿De acuerdo? "

Ingenioh visiones de pesadilla de su ordenador no funciona y un día frustrante de no ser capaz de conseguir cualquier trabajo hecho, estaba más que feliz de tener a este hombre que la ayudara. Después de unos momentos, ella le dijo: "Tengo la pantalla de inicio de sesión, y yo voy a escribir mi nombre yo estoy escribiendo ahora -. M ... A. .. R. .. Y.. . D. " "Great hasta el momento ", dijo." Estoy viendo que aquí. Ahora, seguir adelante y escriba su contraseña pero no me digas lo que es. Nunca le digas a nadie tu contraseña, ni siquiera soporte técnico. Voy a ver asteriscos aquí - la contraseña está protegido por lo que no se ve ': Nada de esto era cierto, pero tenía sentido a María.. Y entonces él dijo: "Quiero saber una vez que su ordenador se ha puesto en marcha". When me dijo que estaba en marcha, que tenía su abierto dos de sus aplicaciones, y se informó que se puso en marcha "muy bien". Estropeary se sintió aliviado al ver que todo parecía estar funcionando normalmente. Pedro dijo: "Me alegro de haber podido asegurarse de que usted será capaz de utilizar el equipo está bien. Y escucha", continuó, "nos acaba de instalar una actualización que permitirá a la gente a cambiar sus contraseñas. ¿Estaría usted dispuesto a tomar un par de minutos conmigo para que yo pueda ver si tengo trabajo ¿no? She estaba agradecida por la ayuda que le había dado y de acuerdo fácilmente. Pedro le habló a través de los pasos de poner en marcha la aplicación que permite a los usuarios cambiar las contraseñas, un elemento estándar del sistema operativo Windows 2000. "Adelante, ingrese su contraseña", le dijo. "Pero recuerda que no debes decirlo en voz alta." When que ella había hecho eso, Pedro dijo: "Sólo por esta prueba rápida, cuando se le pide su contraseña nueva, escriba 'test123. A continuación, vuelva a escribirla en el cuadro de verificación y haga clic en Enter ". He la acompañó a través del proceso de desconexión del servidor. La tenía que esperar un par de minutos, a continuación, conecte de nuevo, esta vez intentando iniciar sesión con su nueva contraseña. Funcionó a las mil maravillas, Peter parecía muy contento, y habló a través de su cambio de nuevo a su clave original o elegir uno nuevo - una vez más su advirtiendo acerca de no decir la contraseña en voz alta. "Bueno, María: "Pedro le dijo." No encontramos ningún problema, y eso es genial. Escucha, si hay algún problema no aparecen, simplemente llámenos por aquí en Arbuckle. Normalmente estoy en proyectos especiales, pero alguien aquí que las respuestas pueden ayudarte. "Ella le dio las gracias y se despidieron. La historia de Pedro

Thpalabra e había tenido tiempo de Peter - un número de las personas en su comunidy que había ido a la escuela con él había oído que se convirtió en una especie

ofa genio de las computadoras, que a menudo pueden encontrar información útil que otras personas no podrían conseguir. Cuando Alicia Conrad le llegó a pedir un favor, me dijo que no al principio. ¿Por qué debería ayudarte? Cuando se encontró con ella una vez y trató de pedir una cita, ella había vuelto a él por frío. But su negativa a ayudar a no pareció sorprenderla. Ella dijo que no creía que fuera algo que pudiera hacer de todos modos. Eso fue como un reto, porque por supuesto que estaba seguro de que podía. Y así fue como llegó a acuer do. Alice habían ofrecido un contrato para un trabajo de consultoría para una empresa de marketing, pero los términos del contrato no parecía muy bueno. Antes de que ella regresó a comok para un mejor trato, quería saber qué términos de otros consultores tenido en sus contratos. This es que Pedro nos cuenta la historia. Yo no le diría a Alice, pero me bajé en la gente que quiere que yo haga algo que no creo que pueda, cuando yo sabía que iba a ser fácil. Bueno, no es fácil, no exactamente, esta vez. Haría falta un poco de hacer. Pero eso estaba bien. Podría mostrarle lo inteligente era realmente todo. Un poco después de las 7:30 lunes por la mañana, llamé a las oficinas de la compañía de marketing y nos dieron la recepcionista, me dijo que estaba con la compañía que maneja sus planes de pensiones y necesito hablar con alguien en Contabilidad. ¿Se había dado cuenta si alguna de las personas de Contabilidad había llegado todavía? Ella dijo: "Creo que vi a María entrar hace unos minutos, voy a tratar de usted." Blancoen María cogió el teléfono, le dije que mi pequeña historia acerca de los problemas informáticos, que fue diseñado para darle el nerviosismo por lo que estaría encantado de cooperar. Tan pronto como le había hablado a través de cambiar su contraseña, entonces rápidamente iniciado sesión en el sistema con la misma contraseña temporal que le había pedido que usar, test123. Aquí es donde entra en el dominio - He instalado un pequeño programa que allowed mí para tener acceso al sistema informático de la empresa siempre que quería, utilizando una clave secreta de mi cuenta. Después de colgar con María, mi primer paso fue borrar ªpista de auditoría e incluso para que nadie supiera que había estado en su sistema. Era

fácil. Después de elevar mis privilegios del sistema, tuve la oportunidad de descargar un programa gratuito llamado clearlogs que encontré en un sitio web relacionado con la seguridad en www.ntsecurity.nu.

Tiempo para el trabajo real. Hice una búsqueda de todos los documentos con el contrato de palabra "en el nombre de archivo y los archivos descargados Luego busqué un poco más y entró en la veta madre -.. El directorio que contiene todos los informes de pago de consultores Así que junté todo el contrato archivos y una lista de pagos. AlicE podría poros a través de los contratos y ver la cantidad que estaban pagando otros consultores. Vamos a hacer lo donkeywork de poring a través de todos esos archivos. Yo hubiera hecho lo que ella me lo pidió. From los discos que puse los datos en, imprimí algunos de los archivos, así que could mostrarle la prueba. Le hice mi encuentro y comprar la cena. Deberías haber visto su cara cuando hojeó el montón de papeles. "De ninguna manera," ella dijo. "De ninguna manera". No he traído los discos conmigo. Eran el cebo. Me dijo que tendría que venir a conseguirlos, esperando tal vez que ella quiere mostrar su gratitud por el favor que sólo ella lo hizo. Mitnick MENSAJE Ess sorprendente lo fácil que es para un ingeniero social para que la gente haga las cosas en base on cómo él las estructuras de la solicitud. La premisa es provocar una respuesta automática basada en principios psicológicos y confiar en las personas que toman atajos mentales cuando perciben que la persona que llama como un aliado. LaCon el nalyzing Pedros llamada telefónica a la compañía de marketing representa la forma más básica de social ingeniería - un simple intento que necesitan poca preparación, trabajó en el primer intento, y sólo tardó unos minutos para llevar apagado. Evan mejor, María, la víctima, no tenía ninguna razón para pensar que cualquier tipo de truco o treta había jugado en ella, no hay razón para presentar una denuncia o levantar un alboroto. Thesquema e trabajado a través del uso de Pedro de tres tácticas de ingeniería social. Primero llegó la cooperación inicial de María mediante la generación de miedo - haciéndole pensar que su equipo podría no ser usable. Luego tomó el tiempo para tener su abierto dos de sus aplicaciones para poder estar seguro de que estaban trabajando bien, el fortalecimiento de la relación entre los dos de ellos, un sentido de ser aliados. Por último, se puso su cooperación para la parte esencial de su tarea, jugando con su gratitud por la ayuda que había prestado en asegurarse de que su ordenador estaba bien.

By le decía que ella nunca debe revelar su contraseña, no debe revelar incluso a él, Pedro hizo un buen trabajo pero sutil de convencerla de que le preocupaba

about la seguridad de los archivos de la compañía. Esto incrementó su confianza en que él debe ser legítimo porque estaba protegiéndola y la empresa. THPOLICÍA E RAID Picture esta escena: El gobierno ha estado tratando de tender una trampa a un hombre llamado Arturo Sánchez, que ha sido la distribución de películas gratis a través de Internet. Los estudios de Hollywood dicen que está violando sus derechos de autor, dice que sólo está tratando de empujar a reconocer un mercado tan inevitable que van a empezar a hacer algo acerca de hacer nuevas películas disponibles para descargar. Señala (correctamente) que esta podría ser una enorme fuente de ingresos para los estudios que parecen ser completely haciendo caso omiso. Orden de registro, por favor Coming casa tarde una noche, comprueba las ventanas de su apartamento desde lado de la calle y las comunicaciones de las luces están apagadas, a pesar de que siempre deja un sobre cuando sale. Hlibras correos y golpes en la puerta de un vecino hasta que despierte el hombre, y se entera de que había hecho una redada policial en el edificio. Pero hicieron los vecinos quedarse abajo, y todavía no está seguro de lo que pasó en apartamento. Sólo sabe que dejaron llevar algunas cosas pesadas, sólo les envolvió y no podía decir lo que era. Y no pasó mucho nadie esposado. Arturo comprueba su apartamento. La mala noticia es que hay un documento de la policía pidiendo que llame inmediatamente y hacer una cita para una entrevista en tres días. La peor noticia es que sus computadoras están desaparecidos. Larturo se desvanece en la noche, va a quedar con un amigo. Pero la incertidumbre carcome a él. ¿Cuánto sabe la policía? ¿Han alcanzado a él en pasado, pero le dejó una oportunidad de huir? ¿O se trata de algo completamente distinto, algo que puede aclarar sin tener que salir de la ciudad? Before lea, deténgase y piense por un momento: ¿Puede usted imaginar alguna forma de poder saber lo que la policía sabe de ti? Suponiendo que usted no tiene contactos políticos o amigos en el departamento de policía o la fiscalía s, ¿te imaginas hay alguna manera de que usted, como un ciudadano común, podría obtener esta información? O que incluso alguien con habilidades de ingeniería social podría? Estafa de la Policía Larturo satisfecho su necesidad de conocer la siguiente manera: En primer lugar, se puso el teléfono

Number para una tienda de fotocopias cercana, los llamó, y les pidió su número de fax.

Entonces él llamó a la oficina del fiscal del distrito, y pidió Records. Cuando él estaba conectado con la oficina de registros, se presentó como un investigador de Lake County, y dijo que necesitaba hablar con el empleado que presente las órdenes de registro activo. "Sí", dijo la señora. "Oh, muy bien", respondió. "Debido a que asaltaron anoche un sospechoso y estoy tratando de localizar la declaración jurada". "Les presentar por dirección", le dijo. He dio su dirección, y su voz sonaba casi emocionado. "Oh, sí", burbujea ella, "yo know sobre eso. "El autor Caper '". "EsoEs la elegida ", dijo." Estoy buscando la declaración jurada y la copia de la orden judicial. "Oh, lo tengo aquí mismo." "Gran", Dijo." Escucha, estoy en el campo y tengo una reunión con el Servicio Secreto en este caso, si yo quince minutos. He estado tan distraído últimamente, dejé el archivo en su casa, y nunca voy a hacerlo de ida y vuelta en el tiempo. ¿Puedo obtener copias de ti? " "Claro, No hay problema. Voy a hacer copias;. Puede venir a la derecha por encima y recogerlos "" Fantástico ", dijo" Eso es genial.. Pero escucha, estoy en el otro lado de la ciudad. ¿Es posible puede enviarlos por fax a mí? " That creado un pequeño problema, pero no insuperables. "No tenemos un fax hasta aquí en los registros", dijo. "Pero tienen una planta baja en la oficina del secretario puede ser que me deja utilizar". Él dijo: "Voy a llamar a la oficina del secretario y la levantó". ThLady E en la oficina del secretario dijo que estaría encantado de cuidar de ella, pero quería saber "¿Quién va a pagar por ello?" Ella necesitaba un código contable. "Voy a por el código y te llamo de vuelta ", le dijo. Luego llamó a la oficina del fiscal del distrito, de nuevo se identificó como agente de policía y simplemente le pedimos al recepcionista: "¿Cuál es el código de contabilidad de la oficina del fiscal del distrito?" Sin dudarlo, le dijo.

Calling regresar a la oficina del Secretario de proporcionar el número de contabilidad le dio la excusa para manipular a la dama un poco más allá: Él la convenció para caminar upstairs para obtener las copias de los documentos a enviar por fax.

NOTA How hace un ingeniero social conocer los detalles de la operación tantas - La policía departamdres, los fiscales, las prácticas de las oficinas de la compañía telefónica, la organización de concreto borradoranies THAt unre yon campos nosotroseful yon ¡Holas unttacks, éxitoh como tELECOMUNICACIONES y las computadoras? Porque es su negocio para averiguarlo. Este conocimiento es una acción ingenieros social en el comercio ya que la información puede ayudarle en sus esfuerzos por engañar. Covering His Larturo todavía tenía un par de pasos a tomar. Siempre había una posibilidad de que alguien huele algo raro, y podría llegar a la tienda de copia de encontrar un par de detectives, vestido de manera informal y tratando de parecer ocupado hasta que alguien apareció pidiendo que el fax particular. Esperó un rato, y luego llamó a la oficina del Secretario de nuevo para comprobar que la dama había enviado el fax. Bien hasta ahora. He llamó a otro de almacenamiento de copias de la misma cadena en la ciudad y utilizó la estratagema de cómo él estaba "satisfecho con su manejo de un trabajo y desea escribir al gerente una carta de felicitación, ¿cuál es su nombre?" Con esa pieza esencial de información, llamó a la tienda de la primera copia de nuevo y dijo que quería hablar con el gerente. . Cuando el hombre cogió el teléfono, Arturo dijo: "Hola, soy Edward en la tienda 628 en Hartfield Mi gerente, Anna, me dijo que te llamara Tenemos un cliente que es todo molesto -. Alguien le dio el fax número de la tienda equivocada. Está aquí esperando un fax importante, sólo el número que le dieron es para su tienda. " El director prometió que uno de los suyos localizar el fax y enviarlo al almacén de Hartfield inmediatamente. Larturo ya estaba esperando en la tienda de segunda cuando el fax llegó allí. Una vez que lo tenía en la mano, volvió a llamar a la oficina del Secretario de decir gracias señora, y "Es"No s necesario traer esas copias al piso de arriba, puedes tirar a la basura ahora". Luego llamó a la gerente de la primera tienda y le dijo, también, para tirar su copia del fax. De esta manera no habría ser cualquier registro de lo que había ocurrido, por si acaso alguien más tarde dio la vuelta haciendo preguntas. ingenieros sociales sabe que nunca puede ser demasiado cuidadoso. Organizard esta manera, Arturo no tenía ni siquiera para pagar los gastos en la tienda de la primera copia para recibir el fax y enviarlo de nuevo a la tienda de segunda. Y si resulta que la policía se presentó en la primera tienda, Arturo ya tendría su fax y se han ido por el tiempo que podría hacer arreglos para que la gente a la segunda ubicación. Thfinal e de la historia: La declaración jurada y autorización mostraron que la

policía tenía pruebas bien documentadas de Arturo copiado de películas actividades. Eso era lo que él

needed saber. Hacia la medianoche, había cruzado la frontera del estado. Arturo estaba en camino a una nueva vida, en otro lugar, con una identidad nueva, lista para empezar de nuevo en su campaña. LaCon el nalyzing Thpersonas e que trabajan en cualquier oficina del fiscal de distrito, en cualquier lugar, están en constante contacto wiª ley enforcement deficers- Responder preguntas, momando régimen, teniendo en mensajes. Cualquier persona con agallas suficientes para llamar y decir que es un oficial de policía, diputado sheriff, o lo que es probable que se toma la palabra. A menos que sea obvio que él no conoce la terminología, o si está nervioso y trastabillars sobre sus palabras, o de alguna otra manera no suena auténtico, ni siquiera se le puede pedir a una sola pregunta para verificar su reclamo. Eso es exactamente lo que pasó aquí, con dos diferentes trabajad ores. Mitnick MENSAJE The verdad del asunto es que nadie es inmune a ser engañados por un bien social ingeniero. Debido al ritmo de vida normal, no siempre se toman el tiempo para tomar decisiones bien pensadas, incluso en asuntos que son importantes para nosotros. Situaciones complicadas, falta de tiempo, el estado emocional o la fatiga mental puede distraernos. Así que tomamos un atajo mental, tomar nuestras decisiones sin analizar la información cuidadosa y completamente, respondiendo un proceso mental conocido como automático. Esto es cierto incluso para puestos federales, estatales y locales de las fuerzas del orden. Todos somos humanos. Obtaininga necesita código de carga se maneja con una sola llamada telefónica. Entonces Arturo jugó la carta de condolencia con la historia de "una reunión con el Servicio Secreto en quince minutos, he estado distraído y dejó el expediente en casa". Ella, naturalmente, sintió pena por él, e hizo todo lo posible para ayudarnos. Lan con no uno sino dos tiendas de copiado, Arturo se hizo extremar las precauciones cuando fue a recoger el fax. Una variante de esta que hace que el fax aún más difícil de rastrear: En lugar de tener el documento enviado a otro almacén de copia, el atacante puede dar lo que parece ser un número de fax, pero en realidad es una dirección en un servicio de Internet gratuito que recibirá un fax para usted y automáticamente lo enviará a su dirección de correo electrónico. De esta manera se puede descargar directamente al ordenador del atacante, y nunca tiene que dar la cara en cualquier lugar donde alguien más tarde podría ser capaz de identificarlo. Y la dirección de correo electrónico y número de fax puede ser abandonada tan pronto como la misión ha sido cumplida. Cambiando las tornas

Un hombre joven que llamaré Michael Parker era una de esas personas que descubrió un bit tarde de que los puestos de trabajo mejor remunerados en su mayoría van a las personas con títulos universitarios. Él

tenido la oportunidad de asistir a una universidad local con una beca parcial y préstamos para la educación, pero eso significaba trabajar en las noches y fines de semana para pagar el alquiler, la comida, el gas, y el seguro de coche. Michael, que siempre me ha gustado encontrar atajos, pensé que tal vez había otro camino, uno que dio sus frutos rápidamente y con menos esfuerzo. Debido a que había estado aprendiendo acerca de las computadoras desde que llegó a jugar con uno a diez años de edad y quedó fascinado con descubrir cómo funcionaban, decidió ver si podía "crear" su licenciatura propio acelerado en informática. Graduación - Sin Honores He podría haber irrumpido en los sistemas informáticos de la universidad estatal, que se encuentra el Record de alguien que se había graduado con un agradable B + o A-media, copiar el registro, poner su propio nombre en él, y lo añadió a los registros de graduados de ese año. Pensando en esto, de alguna manera sentía incómodo con la idea, se dio cuenta de que debe haber otros registros de un estudiante de haber estado en la escuela - los registros de pago de matrícula, la oficina de la vivienda, y quién sabe qué más. Crear sólo el registro de cursos y grados dejaría demasiadas lagunas. Plotting allá, tanteando el camino, se le ocurrió que podía llegar a su goal por ver si la escuela tenía un graduado con el mismo nombre que el suyo, que se había ganado un grado de la informática en cualquier momento durante un lapso apropiado de años. Si es así, él podría poner el número de seguro social del otro Michael Parker en los formularios de solicitud de empleo, cualquier empresa que comprobó el nombre y número de seguro social con la universidad se le diría que sí, que sí tenía la reclamared grado. (No sería obvio para la mayoría de la gente, pero era obvio para él que él podría poner un número de seguro social en la solicitud de empleo y luego, si es contratado, puso su número inmobiliarios por cuenta propia en los formularios nuevos empleados. Mayoría de las empresas nunca se le ocurriría para comprobar si un nuevo empleado había usado un número diferente antes en el proceso de contratación.) Logging En Problemas para How para buscar un Michael Parker en los registros de la universidad? Pasó lo siguiente: Going para la biblioteca principal del campus universitario, se sentó en una terminal de computadora, se subió a la Internet, y se puede acceder en el sitio web de la universidad. Luego llamó a la oficina del Registrador. Con la persona que contestó, él fue a través de una de las rutinas de ingeniería por ahora familiares sociales: "Estoy llamando desde el Centro de Cómputo, estamos haciendo algunos cambios en la configuración de la red y queremos asegurarnos de que don ' t disrupciónt su acceso. Qué servidor se puede conectar a? "

"¿Qut Qué quieres decir, servidor, se le preguntó.

"¿Qut equipo se puede conectar a cuando usted necesita para buscar información académica del estudiante. Threspuesta e, admin.rnu.edu, le dio el nombre del equipo en el expediente del estudiante se almacenaron. Esta fue la primera pieza del puzzle: Ahora sabía que su máquina de destino. LINGO TERMINAL MUDO Un terminal que no contiene su propio microprocesador. Las terminales tontas sólo puede aceptar órdenes simples y mostrar caracteres de texto y números. He introducido la URL en el equipo y no obtuvo respuesta - como era de esperar, hubo un firewall bloqueando el acceso. Y corriendo un programa para ver si podía conectar a cualquiera de los servicios que se ejecutan en ese equipo, y encontró un puerto abierto con una carrera de servicio Telnet, que permite a un ordenador conectarse de forma remota a otro ordenador y acceder a ella como si estuviera conectado directamente con un terminal tonto. Todo lo que se necesita para tener acceso sería el ID de usuario y la contraseña estándar. He hizo otra llamada a la oficina de registro, esta vez escuchando cuidadosamente para asegurarse de que estaba hablando con una persona diferente. Llegó una señora, y otra vez se afirma que desde el Centro de Informática de la Universidad. Estaban instalando un nuevo sistema de producción de los registros administrativos, le dijo. Por favor, le gustaría que se conectara al nuevo sistema, aún en modo de prueba, para ver si podía acceder a los expedientes académicos de los estudiantes bien. Le dio la dirección IP para conectarse, y hablamos de ella en el proceso. Yon realidad, la dirección IP se la llevó a la computadora Michael estaba sentado en la biblioteca del campus. Utilizando el mismo procedimiento descrito en el capítulo 8, se había creado un simulador que identificarte - un signo en la pantalla señuelo - mirando justo como la que ella estaba acostumbrada a ver cuando se va en el sistema de archivos del estudiante. "Esto no funciona", le dijo. "Se sigue diciendo 'Login incorrect. By ahora el simulador de inicio de sesión se había alimentado las pulsaciones de su nombre de cuenta y contraseña en el terminal de Michael, misión cumplida. Él le dijo: "¡Oh, algunas de las cuentas que no se han traído todavía a esta máquina. Déjame configurar su cuenta, y yo te llamo". Cuidado de atar los cabos sueltos, como cualquier ingeniero social competente tiene que ser, que sería un punto de llamar más tarde para decir que el sistema de prueba no estaba funcionando bien, sin embargo, y si estaba bien con ella, volvería a llamar con ella o una de las otras personas allí cuando habían descubierto lo que estaba causando el problema.

El Registrador ha sido útil Ahora Michael sabía lo que necesitaba el sistema informático de acceso, y él tenía una utilizarr ID y contraseña. Pero, ¿qué órdenes iba a necesitar para buscar en los archivos para obtener información sobre un graduado de la informática con el nombre correcto y gfecha raduation? La base de datos sería un estudiante un propietario, creado en el campus para satisfacer las necesidades específicas de la universidad y la oficina del Registrador, y que tienen una forma única de acceso a la información en la base de datos. First paso en la limpieza de este último obstáculo: Descubre quién podría guiarlo a través de los misterios de la búsqueda de la base de datos de los estudiantes. Él llamó a la oficina del Registrador de nuevo, esta vez llegando a una persona diferente. Él era de la oficina del Decano de Ingeniería, le dijo a la señora, y le preguntó: "¿Quién se supone que vamos a pedir ayuda cuando estamos teniendo problemas para acceder al rues académico de los estudiantes. Minutos tarde, estaba hablando por teléfono con el administrador de base de datos de la universidad, tirando del acto simpatía: "Yo soy Mark Sellers, en la oficina de registro Te sientes como compadeciéndose de un nuevo tipo Siento que te llama, pero son todos.? en una reunión esta tarde y no hay nadie alrededor para ayudarme. Tengo que recuperar una lista de todos los titulados con un grado ciencias de la computación, entre 1990 y 2000. Lo necesitan para el final del día y si no tengo ello, no puede tener este trabajo por mucho tiempo. ¿Estás dispuesto a ayudar a un chico en problemas? " Ayudar a la gente fuera era parte de lo que este administrador de base de datos, así también fue paciente adicional mientras hablaba Michael paso a paso por el proceso. By el tiempo de colgar, Michael había descargado toda la lista de graduados de informática para esos años. A los pocos minutos que había corrido un buscador, dos Parkers Michael, elegido uno de ellos, y obtuvo el número del tipo de seguridad social, así como otra información pertinente almacenada en la base de datos. He acababa de convertirse en "Michael Parker, Licenciatura en Ciencias de la Computación, graduada con honores, 1998." En este caso, la "B.S." era especialmente apropiado. LaCon el nalyzing Thiataque s utilizado un ardid que no he hablado antes: el atacante pide al organization administrador de base de datos que le guiará por los pasos de la realización de un proceso informático que no sabía cómo hacerlo. Un potente y eficaz turning de las tablas, esto es el equivalente a pedirle al dueño de una tienda para

ayudarle a llevar una caja que contiene los elementos que ya se robaron de sus estantes a su coche.

Mitnick MENSAJE Calcularr los usuarios son a veces ni idea acerca de las amenazas y vulnerabilidades asociard con la ingeniería social que existe en nuestro mundo de la tecnología. Tienen acceso a la información, sin embargo, no tienen el conocimiento detallado de lo que podría ser ser una amenaza para la seguridad. Un ingeniero social se dirigirá a un empleado que tiene poca comprensión del valor que tiene la información que se busca es, por lo que el objetivo es más probable acceder a la petición del desconocido. PREVENTING CON EL Simpatía, La culpa y la intimidación son tres disparadores psicológicos muy populares utilizard por el ingeniero social, y estas historias han demostrado las tácticas de acción. Pero, ¿qué pueden hacer usted y su empresa para evitar este tipo de ataques? PDatos rotecting Some historias de este capítulo enfatizar el peligro de enviar un archivo a alguien you No lo sé, aún cuando esa persona es (o parece ser) un empleado, y el archivo se envía internamente, a una dirección de correo electrónico o de la máquina fiscal en el empresa. Company la política de seguridad tiene que ser muy específico acerca de las garantías de la entrega de los datos de valor para alguien que no conoce personalmente al remitente. Procedimientos rigurosos deben establecerse para la transferencia de archivos con información sensible. Cuando la solicitud es de alguien que no conozco personalmente, tiene que haber pasos claros a seguir para la verificación, con diferentes niveles de autenticación, dependiendo de la sensibilidad de la información. Aquí están algunas técnicas para tener en cuenta: Establish la necesidad de conocer (que puede requerir la obtención de la autorización del titular de información designado). Keepa registro personal o departamental de estas transacciones. Mantenienna lista de personas que han sido especialmente entrenados en los procedimientos y que son de confianza para autorizar el envío de información sensible. Exigir que sólo estas personas serán autorizadas para enviar información a nadie fuera del grupo de trabajo.

Yofa solicitud de los datos se hace por escrito (correo electrónico, fax o correo postal) tomar medidas de seguridad adicionales para verificar que la solicitud viene en realidad la persona que parece haber venido.

Lacombate contraseñas All los empleados que sean capaces de acceder a cualquier información sensible y que hoy means prácticamente todo trabajador que usa una computadora - necesita entender que los actos simples, como cambiar la contraseña, ni siquiera por unos momentos, puede llevar a una major brecha de seguridad. Securitformación y las necesidades a cubrir el tema de las contraseñas, y que tiene que centrarse en parte en cuándo y cómo cambiar la contraseña, lo que constituye una contraseña aceptable, y los peligros de dejar que alguien más involucrado en el proceso. La capacitación necesita especialmente para transmitir a todos los empleados que sean sospechosas de cualquier solicitud que involucra sus contraseñas. A primera vista esto parece ser un simple mensaje a transmitir a los empleados. No lo es, porque para apreciar esta idea requiere que los empleados entender cómo un acto tan simple como cambiar una contraseña puede dar lugar a un riesgo de seguridad. Usted puede decirle a un niño "Mirar a ambos lados antes de cruzar la calle", pero hasta que el niño entienda por qué eso es importante, usted está confiando en la obediencia ciega. Y las reglas que exigen obediencia ciega son generalmente ignorados u olvidados. NOTA Passwords son un foco central de los ataques de ingeniería social que dedicamos una ssección eparate al tema en el capítulo 16, donde se encuentran las políticas específicas recomendadas en la gestión de contraseñas. Un punto de notificación central Ustedr política de seguridad debe proporcionar a una persona o grupo designado como un centro de point para reportar actividades sospechosas que parecen ser intentos de infiltrarse en su organización. Todos los empleados necesitan saber a quién llamar en cualquier momento que sospechar un intento de intrusión electrónica o física. El número de teléfono del lugar make estos informes deben ser siempre a la mano para que los empleados no tienen que cavar para que si llegan a ser sospechoso que un ataque está teniendo lugar. Proteja su red Empleados tienen que entender que el nombre de un servidor de la computadora o la red not información trivial, sino que se puede dar a un atacante el conocimiento

esencial que ayuda a ganar confianza o encontrar la ubicación de la información que desea. Yon particular, las personas como los administradores de bases de datos que trabajan con software pertenecen a esa categoría de personas con conocimientos de tecnología, y que necesitan para operar bajo reglas especiales y muy restrictivas sobre la verificación de la identidad de las personas que los requieran información o asesoramiento.

People que regularmente proporciona ninguna. tipo de ayuda de la computadora tiene que estar bien entrenado en qué tipo de solicitudes deben ser banderas rojas, lo que sugiere que la persona que llama puede intentar un ataque de ingeniería social. Ess la pena señalar, sin embargo, que desde el punto de vista del administrador de base de datos en la última historia en este capítulo, la persona que llama cumplieron con los criterios para ser legítima: Se le llama desde el campus, y estaba obviamente en un sitio que requiere un nombre de cuenta y contraseña. Esto sólo pone de manifiesto una vez más la importancia de contar con procedimientos estandarizados para la verificación de la identidad de cualquier persona solicitar información, sobre todo en un caso como éste, donde la persona que llama le pedía ayuda para obtener acceso a los registros confidenciales. All de este consejo va doble para los colegios y universidades. No es novedad que la piratería informática es un pasatiempo favorito para muchos estudiantes universitarios, y también debería ser ninguna sorpresa que los expedientes de los estudiantes - ya veces los registros de la facultad, así - son un blanco tentador. Este abuso es tan rampante que algunas empresas realmente considerar las escuelas en un entorno hostil, y crear reglas de firewall que bloquean el acceso de las instituciones educativas con las direcciones que terminan en. Edu. The largo y corto de él es que todos los expedientes de los estudiantes y del personal de cualquier tipo debe ser visto como principales objetivos de ataque, y deben estar bien protegidos como información confidencial. Consejos de Formación Most ataques de ingeniería social son ridículamente fácil de defender ... para anyone que sabe lo que estar en busca de. Desde el punto de vista empresarial, hay una necesidad fundamental para un buen entrenamiento. Pero también hay una necesidad de algo más: una variedad de maneras de recordar a la gente de lo que han aprendido. Use pantallas de presentación que aparecen cuando el equipo del usuario está activada, con un mensaje de seguridad diferente cada día. El mensaje debe ser diseñado de modo que no desaparece automáticamente, pero requiere que el usuario haga clic en algún tipo de reconocimiento de que él / ella ha leído. Otro enfoque que yo recomiendo es para iniciar una serie de recordatorios de seguridad. Mensajes recordatorios frecuentes son importantes, un programa de sensibilización debe ser continuo y sin fin. En la entrega de contenido, los recordatorios no debe redactarse el mismo en todos los casos. Los estudios han demostrado que estos mensajes sean más efectivamente recibido cuando varían en su enunciado o cuando se utiliza en diferentes ejemplos.

Un excelente enfoque es utilizar blurbs cortos en el boletín de la empresa. Esto no debería ser una columna completa sobre el tema, aunque una columna de seguridad ciertamente sería valiosa. En su lugar, el diseño de una inserción de dos o tres columnas de ancho, algo así como un anuncio de display pequeño en su periódico local. En cada número del boletín, presentamos un nuevo recordatorio de la seguridad en este corto, atención-catching camino.

Chapter 9 ThReverse e Sting
The picadura, que se menciona en otra parte de este libro (y en mi opinión, probablemente la mejor película que s siempre ha hecho sobre una operación en contra), expone su trama complicada en detalle fascinante. La operación encubierta en la película es una representación exacta de cómo ejecutar mejores timadores "The Wire", uno de los tres tipos de estafas principales conocidos como "contras grandes". Si usted quiere saber cómo un equipo de profesionales se quita una estafa rastrillar en una gran cantidad de dinero en una sola noche, no hay libro de texto mejor. But cons tradicionales, cualquiera que sea su truco particular, ejecute de acuerdo a un patrón. A veces una estratagema se trabajó en la dirección opuesta, lo que se llama una picadura inversa. Este es un giro interesante en el que el atacante configura la situación para que la víctima pide al atacante en busca de ayuda, o un compañero de trabajo ha hecho una petición, que el atacante está respondiendo. How funciona esto? Estás a punto de averiguarlo. LINGO REVERSO STING Una estafa en la que se atacó a la persona pide el atacante ayuda THE ARTE DE Friendly Persuasion Blancoen la persona promedio evoca la imagen de un pirata informático, lo que viene a la mente es la imagen poco halagüeño de un solitario e introvertido empollón cuyo mejor amigo es su equipo y que tiene dificultades para mantener una conversación, sino por mensajería instantánea. El ingeniero social, que a menudo tiene habilidades de hacker, también tiene habilidades de la gente en el extremo opuesto of espectro - bien desarrolladas habilidades para usar y manipular a la gente que le permiten hablar a su manera into la obtención de información en formas que nunca hubiera creído posible. AngLlamadas de ela Lugar: Valley filial, Industrial Federal Bank. Time: 11:27 A.M. Ángelun Wisnowski respondió a una llamada telefónica de un hombre que dijo que estaba a punto de recibir una herencia importante y quería información sobre los diferentes tipos de cuentas de ahorro, certificados de depósito, y las inversiones lo demás que podría ser capaz de sugerir que sería seguro , pero ganar intereses decente. Explicó que había un buen número de opciones y le preguntó si

le gustaría venir y sentarse con ella para hablar de ellos. Él se iba en un viaje tan pronto como el dinero llegó, dijo, y había un montón de arreglos para hacer. Así que empezaron a sugerir algunas de las posibilidades y dándole detalles de los tipos de interés,

AMSt pasa si usted vende un CD temprana, y así sucesivamente, al intentar precisar sus objetivos de inversión. She parece estar haciendo progresos cuando dijo: "Oh, lo siento, tengo que atender esta llamada sí. ¿A qué hora puedo terminar esta conversación con usted para que pueda tomar decisiones? ¿Cuándo te vas a comer?" Ella le dijo a él las 12:30 y me dijo que iba a tratar de volver a llamar antes de esa fecha o al día siguiente. Louis 's de llamadas Major bancos usar los códigos internos de seguridad que cambian todos los días. Cuando alguien from una rama necesita información de la otra rama, que demuestre que tiene derecho a la información, demostrando que conoce el código del día. Para obtener un mayor grado de seguridad y flexibilidad, algunos grandes bancos emitir varios códigos de cada día. En un equipo de West Coast voy a llamar Banco Federal Industrial, a cada empleado se encuentra una lista de los cinco códigos para el día, identificada como A a la E, en su ordenador cada mañana. Lugar: El mismo. Time:. 12:48 mismo día.

"M.,

ese

Louis Halpburn no creo que nada de eso cuando una llamada se produjo en la tarde, una llamada al igual que otras veces en que manejó regularmente varias veces por semana. "Hola,"La persona que llamó dijo." Este es Neil Webster. Llamo desde 3182 en rama Boston. Angela Wisnowski, por favor. "" Ella está en el almuerzo. ¿Puedo ayudarle? " "Bueno, Dejó un mensaje pidiendo que enviar por fax la información sobre uno de nuestros clientes. " Thpersona que llama e sonaba como si hubiera sido un mal día. "Thpersona e que normalmente se ocupa de las peticiones está enfermo ", dijo." Tengo una pila de éstos a hacer, es casi cuatro aquí y se supone que debo estar fuera de este lugar para ir a un doctor cita en media hora ". Thmanipulación e - dando todas las razones por las que la otra persona debería sentir lástima por él - era parte de ablandamiento de la marca. Continuó: "El que

se llevó su mensaje de teléfono, número de fax es ilegible. 213-Es algo. ¿Qué hay del resto?" Louis dio el número de fax y la persona que llamó dijo: "Está bien, gracias. Antes de que pueda enviar por fax esto, necesito pedirte Código B."

"Pero me llamó ", dijo con frialdad sólo lo suficiente para que el hombre de Boston conseguiría el mensaje. This es bueno, la persona que llama se pensaba. Es genial cuando la gente no caiga en la primera suave empujón. Si, no resisten un poco, el trabajo es demasiado fácil y pude comenzar a conseguir perezoso. To Louis, dijo: "Tengo un gerente de la sucursal que acaba de cumplir paranoico acerca de cómo obtener la verificación antes de enviar nada, es todo. Pero escucha, si usted no nos deberá enviar por fax la información, que está bien. No es necesario para verificar ". "Mira,"Louis dijo:" Angela estará de regreso en media hora más o menos. Puedo haberla te llamo. " "Voy a decirle que no podía enviar la información de hoy, ya que no identificó esto como una solicitud legítima por darme el código. Si no estoy enfermo el día de mañana, voy a llamar en ese entonces." "Thmensaje de correo dice: "Urgente". No importa, sin verificación de mis manos están atadas. Tel decirle que trató de enviar pero no te dan el código, ¿de acuerdo? " Louis cedió ante la presión. Un suspiro de fastidio llegó volando su manera abajo de la línea telefónica. "Bueno,"Él dijo," Espera un minuto, tengo que ir a mi ordenador. Qué código querías? " "B", dijo la persona que llama. He poner la llamada en espera y después de un poco recogió la línea de nuevo. "Es 3184." "Eso. 'S no el código correcto "" Sí, lo es - B es 3184. " "Yo no dije B, dije E. "" Oh, maldición. Espera un minuto. " Another pausa mientras miraba de nuevo los códigos. "E es 9697." "9697 - derecha. Voy a tener el fax en el camino. ¿De acuerdo? "" Claro. Gracias ". Walter 's Call "Industrial Federal Bank, este es Walter

". "Hey, Walter, es Bob Grabowski en Studio City, sucursal 38 ", dijo la persona que llama." Te necesito para sacar una tarjeta de señal en una cuenta de cliente y enviarlo por fax a mí. "La tarjeta sig, o tarjeta de firma, tiene algo más que el cliente firma en ella, sino que también ha de información, la identificación de los elementos conocidos, como el número de seguro social, fecha de

nacimiento, El nombre de soltera de su madre, ya veces incluso un número de licencia de conducir. Muy práctico para un ingeniero social. "Sure cosa. ¿Qué es código C? " "Another cajero está usando mi equipo en este momento ", dijo la persona que llama." Pero he utilizado sólo B y E, y me acuerdo de eso. Pídeme una de esas. " "Está bien, ¿qué es E?" "E es 9697." Unos minutos más tarde, Walter enviado por fax la tarjeta de señal a lo solicitado. Donnuna platija de llamadas "Hola, Este es el Sr. Anselmo ". "How le puedo ayudar hoy? " "¿QEs en ese número de 800 que tengo que llamar cuando quiero ver si un depósito ha sido acreditado todavía? " "You're un cliente del banco? " "Sí, Y no he usado el número en un tiempo y ahora no sé donde me wrote hacia abajo. " "Thnúmero e es 800-555-8600. " "OkAy, gracias. " VincHistoria e Capelli The hijo de un policía de Spokane calle, Vince sabía desde una edad temprana que él no era going pasarse la vida trabajando como un burro largas horas y arriesgando su cuello para el salario mínimo. Sus dos objetivos principales en la vida se hizo para salir de Spokane, y entrar en business por sí mismo. Las risas de sus matones en el instituto sólo fuegod él todo el más - que pensaban que era divertido que fue arrestado así

sucesivamente iniciar su propio negocio, pero no tenía idea de qué negocio podría ser. Secretamente Vince sabía que tenían razón. Lo único que se le daba bien estaba jugando receptor en el equipo de béisbol de altura. Pero no lo suficiente para capturar una beca universitaria, de ninguna manera lo suficientemente bueno para el béisbol profesional. Entonces, ¿qué negocio iba a ser capaz de empezar? Ene lo que los chicos en el grupo de Vince nunca imaginado: Cualquier cosa uno de ellos tenía una navaja de muelle --- nuevo, un par de guantes de abrigo elegante, una nueva novia sexy si Vince lo admiraba, en poco tiempo el tema era de él. No se lo roban, or furtivamente a espaldas de nadie, él no tenía que hacerlo. El tipo que tenía lo haría

givE Es de buena gana, y luego se preguntan después de cómo había sucedido. Incluso pidiendo Vince no te habría llegado a ninguna parte: no conocía a sí mismo. La gente parecía que le permitirá tener lo que quisiera. Vince Capelli era un ingeniero social desde una edad temprana, a pesar de que nunca había oído hablar del término. ¡Holas friends dejó de reír una vez que todos ellos tenían diplomas de escuela secundaria en la mano. Mientras los demás slogged por la ciudad en busca de trabajo en el que no tenía que decir "¿Quieres patatas fritas con eso?" Padre de Vince lo mandó a hablar con un amigo viejo policía que había abandonado la fuerza para iniciar su propio negocio de investigación privada en San Francisco. Rápidamente se descubrió el talento de Vince para el trabajo, y lo llevó sucesivamente. That fue hace seis años. Odiaba la parte de conseguir los bienes a los cónyuges infieles, que implicaban horas dolorosamente aburrida de estar sentado y mirando, pero se sentía constantemente cuestionado por las asignaciones para desenterrar la información de activos para los abogados que tratan de averiguar si algún desgraciado era rígido suficientemente rico como para ser digno de demandar . Estos trabajos le dieron muchas oportunidades de usar su ingenio. Like el momento en que tuvo que buscar en las cuentas bancarias de un tipo llamado Joe Markowitz. Joe había funcionado tal vez una componenda con un amigo por una sola vez de la suya, que amigo ahora quería saber si él demandó, fue Markowitz limpiar basta con que el amigo puede ser que consiga algo de su dinero? Vince 's primero paso sería encontrar al menos uno, pero preferiblemente dos, de los códigos de seguridad del banco para el día. Eso suena como un desafío casi imposible: ¿Qué diablos podría inducir un empleado del banco para golpear una grieta en su propio sistema de seguridad? Pregúntate a ti mismo - si usted quería hacer esto, ¿tiene alguna idea de cómo hacerlo? For gente como Vince, es demasiado fácil. People de su confianza si conoce la jerga dentro de su trabajo y su empresa. Es como que le muestra pertenecen a su círculo íntimo. Es como un apretón de manos secreto. No necesité mucho de eso para un trabajo como este. Definitivamente no es cirugía cerebral. Bien está lo que necesitaba para empezar era un número de sucursales. Cuando llamé a la oficina de Beacon Street, en Buffalo, el tipo que contestó sonaba como un cajero. "This es Tim Ackerman, "le dije. Cualquier nombre iba a hacer, él no iba a

escribirlo." ¿Cuál es el número de la sucursal allí? " "Thnúmero e teléfono o el número de sucursales, lo que quería saber, que era bastante estúpido porque yo acababa de marcar el número de teléfono, no tenía yo? "Rama número".

"3182,", Dijo. Sólo así. No," Whad'ya quiero saber por qué "o cualquier cosa. 'Cause información que no es sensible, está escrito en apenas alrededor de cada pedazo de papel que utilizan. Step Dos, llame a la sucursal donde mi destino hizo su banca, obtener el nombre de uno de los suyos, y averiguar si la persona estaría fuera para el almuerzo. Angela. Sale a las 12:30. Hasta ahora, todo bien. Tercer paso, volver a llamar a la misma rama durante el almuerzo de Angela, decir que estoy llamando desde el número de sucursal tal-y-tal en Boston, Angela necesita esta información por fax, dame un código para el día. Esta es la parte difícil, es donde el caucho resuelve el camino. Si yo estaba haciendo una prueba para ser un ingeniero social, me gustaría poner algo como esto en él, donde su víctima empieza a sospechar - por una buena razón - y que todavía se adhieren a ella hasta que él se descomponen y obtener la información que usted necesita. Usted no puede hacer eso por recitar versos de un script o aprender una rutina, tienes que ser capaz de leer su víctima, recuperar el estado de ánimo, jugar como él aterrizar un pez en la que dejó escapar una pequeña línea y carrete en, dejó escapar y carrete pulg Hasta que meterlo en la red y caer él en el barco, ¡plaf! So me lo llevó y tuvo uno de los códigos para el día. Un gran paso. Con la mayoría de los bancos, uno es todo lo que uso, así que yo he estado en casa huir. Industrial Federal Bank utiliza cinco, así que tener sólo uno de cada cinco está pronósticos adversos. Con dos de cada cinco, tendría una mejor oportunidad de conseguir a través de la siguiente acto de este drama poco. Me encanta esa parte de "Yo no dije B, dije E." Cuando funciona, es hermoso. Y funciona la mayor parte del tiempo. Getting un tercero habría sido aún mejor. De hecho, he logrado conseguir tres en una sola llamada - "B", "D" y "E" sonido tan parecidos que pueden afirmar que entendido mal otra vez. Pero hay que estar hablando con alguien que es una persona fácil de convencer real. Este hombre no era. Me quedo con dos. Thcódigos e iba a ser mi día de triunfo para obtener la tarjeta de firma. Que yo llamo, y el chico le pide un código. C que quiere, y sólo tengo B y E. Pero no es el fin del mundo. Tienes que mantener la calma en un momento como este, sonar seguro, manténgase a la derecha en ir, muy suave, le tocó con el de: "Alguien está usando mi computadora, me pregunto a uno de estos otros." We're todos los empleados de la misma empresa, estamos todos juntos en esto, es más fácil en el hombre - que es lo que está esperando la víctima está pensando en un momento como este. Y él jugó al lado de la secuencia de comandos. Tomó una de las opciones que se ofrecen, le di la respuesta correcta, envió el fax de la tarjeta de firma.

Almost casa. Una llamada más me dio el número 800 que los clientes utilizan para el servicio automatizado donde una voz electrónica que lee la información que pide. Desde la tarjeta sig, yo tenía todos mis números de cuenta de destino y su número PIN, ya que el banco utiliza los cinco primeros o los últimos cuatro dígitos del número de seguro social. Pluma en la mano, llamé al número 800 y después de unos minutos de apretar botones, tuve el último balance en los cuatro relatos del tipo, y sólo por si acaso, sus depósitos y retiros más recientes en cada uno. Everything mi cliente había pedido y más. Siempre me gusta dar un poco más por si acaso. Mantener a los clientes contentos. Después de todo, la repetición de negocios es lo que mantiene una operación en marcha, ¿no? LaCon el nalyzing Thtecla e para todo este episodio fue la obtención de los códigos día de suma importancia, ya hacer que el atacante, Vince, que se utiliza varias técnicas diferentes. He inició con un pequeño forcejeo verbal cuando Luis se mostró reacio a darle un código. Louis tenía razón para sospechar - los códigos están diseñados para ser utilizados en la dirección opuesta. Sabía que en el flujo normal de las cosas, la persona que llama desconocido se le da un código de seguridad. Este fue el momento crítico para Vince, que giran en torno a la cual el éxito total de su esfuerzo dependía. Ante la sospecha de Luis, Vince simplemente lo puso sobre la manipulación, utilizando un llamamiento a la solidaridad ("ir al médico"), y la presión ("Tengo un montón de hacer, que es casi 4 horas") y la manipulación ("Dile que no me dan el código"). Hábilmente, Vince no realmente hacer una amenaza, él sólo implicaba una: si no me dan el código de seguridad, no voy a enviar la información de los clientes que necesita su compañero de trabajo, y voy a decirle que tendría lo envió pero no iba a cooperar. Todavía, No hay que ser demasiado apresurado en culpar a Louis. Después de todo, la persona en el teléfono sabía (o por lo menos parecía saber) que un compañero de trabajo Angela había solicitado un fax. La persona que llama sabía acerca de los códigos de seguridad, y sabía que fueron identificados por designación de la letra. La persona que llamó dijo que su gerente de la sucursal fue lo que requiere de una mayor seguridad. Hay realmente no parecía ninguna razón para no darle la verificación que estaba pidiendo. Louis no es el único. Los empleados del Banco abandonar los códigos de seguridad para los ingenieros sociales todos los días. Increíble pero cierto. No haysa línea en la arena donde las técnicas de un investigador privado deja de

ser legal y empezar a ser ilegal. Vince se quedó legal al obtener el número de sucursales. Él incluso nos quedamos legal cuando estafó a Luis para que le diera dos de los

day los códigos de seguridad. Cruzó la línea cuando él tenía información confidencial de un cliente del banco por fax a él. But para Vince y su empleador, es un crimen de bajo riesgo. Al robar dinero o bienes, alguien se dará cuenta de que se ha ido. Al robar información, la mayoría de las veces nadie se dará cuenta porque la información está todavía en su poder. Mitnick MENSAJE Verbal códigos de seguridad son equivalentes a las contraseñas para proporcionar una conveniente y reliable los medios de protección de datos. Sin embargo, los empleados deben estar bien informados acerca de los trucos que utilizan los ingenieros sociales, y no capacitado para dar las llaves de la reino. COPS AS Dupes Fora sombrío detective privado o un ingeniero social, hay ocasiones frecuentes cuando sería útil saber de alguien número de licencia de conducir - por ejemplo, si desea asumir la identidad de otra persona para obtener información about sus saldos bancarios. Short de levantamiento de cartera de la persona o mirando por encima de su hombro en un momento oportuno, saber el número de licencia de conducir debe ser casi imposible. Pero para cualquier persona con conocimientos de ingeniería, incluso modestos sociales, es apenas un desafío. Un ingeniero social particular Eric Mantini, le voy a llamar, necesario para obtener la licencia de conducir y números de registro de vehículos sobre una base regular. Eric pensó que era innecesario aumentar su riesgo de llamar al Departamento de Vehículos Motorizados (DMV) y pasar por el mismo tiempo treta tras otra cada vez que necesitaba esa información. Se preguntó si no habría alguna manera de simplificar el proceso. Probably nadie había pensado en ello antes, pero supuso una manera to conseguir la información en un abrir y cerrar, cada vez que lo quería. Lo hizo mediante el aprovechamiento de un servicio proporcionado por el departamento de su estado de Vehículos Motorizados. Muchos DMV del estado (o lo que el departamento puede ser llamado en su estado) hacer que la información de otra manera con privilegios sobre los ciudadanos a disposición de las empresas de seguros, investigadores privados, y algunos otros grupos que la legislatura estatal ha considerado con derecho a compartirlo por el bien del comercio y la sociedad en general. The DMV, por supuesto, tiene limitaciones apropiadas a qué tipos de datos se dará a cabo. La industria de seguros puede obtener cierto tipo de información de los archivos, pero no en otros. Un conjunto diferente de limitaciones se aplica a

los IP, y así sucesivamente. Para los oficiales encargados de hacer cumplir la ley, una regla diferente se aplica en general: El DMV le facilitará toda la información en los registros a cualquier oficial de policía juramentado a quienes corresponda

identifiés mismo. En el estado de Eric entonces vivía en la identificación requerida era un Código solicitante expedida por el DMV, junto con el número de licencia de conducir del oficial de. El empleado del DMV siempre verificar haciendo coincidir el nombre del oficial contra el número de su licencia de conducir y una pieza de información - por lo general la fecha de nacimiento antes de dar cualquier información. ¿Qut sociales ingeniero Eric quería hacer nada era menos que a sí mismo en encubrir la identidad de un agente de la ley. ¿Cómo lo logró? Mediante la ejecución de una picadura de reversa en la policía! Sting Eric First llamó a información telefónica y le pidió el número de teléfono del DMV headquarters en la capital del estado. Le dieron el número 503555-5000, que, por supuesto, es el número de llamadas del público general. Luego llamó a la estación del sheriff cercano y le pidió Teletipo - la oficina donde las comunicaciones se envían y se reciben de otras agencias del orden público, la base de datos nacional del crimen, warrants locales, y así sucesivamente. Cuando llegó teletipo, dijo que era Looking para el número de teléfono de la policía para usar al llamar al DMV sede estatal. "¿Quién eres tú?" el oficial de policía de teletipo preguntó. "This es al. Estaba llamando 503-555-5753 ", dijo Esto fue en parte una suposición, y en parte un número que él sacó de la nada,. Ciertamente la oficina del DMV especial creada para atender las llamadas fuerzas del orden estaría en el mismo código de área como el número gtyen a cabo para que el público llame y era casi tan seguro de que los próximos tres dígitos, el prefijo, sería lo mismo. también. Todo lo que realmente necesitaba saber era las semifinales. Una habitación sheriff Teletipo no recibe llamadas del público. Y la persona que llama ya tenía la mayor parte del número. Obviamente, él era legítimo. "Es 503-555-6127 ", dijo el oficial. So Eric ahora tenía el número de teléfono especial para los funcionarios encargados de hacer cumplir la ley para llamar al DMV. Pero el número uno no era suficiente para satisfacer, la oficina tendría un buen número más de la línea telefónica, y Eric necesitaba saber cuántas líneas había, y el número de teléfono de cada uno. El Switch Para llevar a cabo su plan, necesitaba tener acceso al conmutador telefónico que manejan las líneas telefónicas de la ley en el DMV. Llamó al estado

TELECOMUNICACIONES wcomo

Departamento und reclamared he from Nortel, la

manufacturer del DMS-100, uno de los conmutadores telefónicos comerciales más ampliamente utilizados. Él dijo: "¿Puedes por favor me traslado a uno de los técnicos del interruptor que funciona en el DMS-100?" When que llegó el técnico, que decía ser con el Centro de Apoyo de Asistencia técnica de Nortel en Texas, y explicó que se estaban creando una base de datos master para actualizar todos los interruptores con las últimas actualizaciones de software. Todo se hace a distancia - sin necesidad de ningún técnico interruptor para participar. Pero necesitaban el número telefónico al conmutador para que pudieran realizar las actualizaciones directamente desde el Centro de Soporte. Yot sonaba completamente plausible, y el técnico Eric dio el número de teléfono. Ahora podía llamar directamente a una de las centrales telefónicas del estado. To defender contra intrusos externos, interruptores comerciales de este tipo están protegidos por contraseña, como cualquier red corporativa. Cualquier buen ingeniero social con un fondo phone-phreaking sabe que los conmutadores Nortel proporcionará un nombre de cuenta predeterminado de actualizaciones de software: NTAS (la abreviatura de Nortel Support Asistencia Técnica; no muy sutil). Pero ¿qué pasa con una contraseña? Eric marcar en varias ocasiones, cada vez que intentaba una de las opciones obvias y de uso común. Entrando en el mismo que el nombre de cuenta, NTAS, no funcionó. Tampoco lo hizo "ayudante". Tampoco "parche". Lan trató de "actualización". . . y él era pulg Típica. Utilización de una contraseña obvia, fácil de adivinar es sólo muy ligeramente mejor que no tener una contraseña. Yot ayuda a estar al día en su campo; Eric probablemente sabía tanto acerca de ese cambio y cómo programar y resolver problemas como el técnico. Una vez que él fue capaz de acceder al conmutador como un usuario autorizado, él tendría el control total sobre las líneas telefónicas que eran su objetivo. Desde su computadora, preguntó el interruptor para el número de teléfono que le habían dado para las llamadas fuerzas del orden para el DMV, 555-6127. Encontró había diecinueve líneas telefónicas otro tipo en el mismo departamento. Obviamente ellos manejan un alto volumen de llamadas. For cada llamada entrante, el switch se ha programado para "cazar" a través de las veinte líneas hasta que encontró uno que no estaba lleno. Tomó la línea número dieciocho en la secuencia, y entró en el código que añade el desvío de llamadas a esa línea. Para obtener el número de reenvío de llamadas, entró en el número de teléfono de su nuevo teléfono barato móvil de prepago, de esas que los narcotraficantes son tan aficionados, porque son lo suficientemente económico para tirar después de que el trabajo ha terminado.

Ingenioh desvío de llamadas activado ahora en la línea XVIII, tan pronto como la oficina se llenaba lo suficiente para tener diecisiete llamadas en curso, la siguiente llamada a entrar no sonaba en la oficina del DMV, sino que sería enviado al teléfono celular de Eric. Se sentó y esperó. Un llamado a la DMV Shortly antes de las 8 de la mañana, el teléfono sonó. Esta parte era la mejor, ªe más delicioso. Aquí estaba Eric, el ingeniero social, hablando con un policía, una persona con la autoridad para venir a arrestarlo, u obtener una orden de registro y llevar a cabo una redada para reunir pruebas en su contra. Und no es sólo un policía llamaría, pero una serie de ellos, uno tras otro. En una ocasión, Eric estaba sentado en un restaurante con comida con amigos, presentando una llamada cada cinco minutos más o menos, escribir la información en una servilleta de papel con un bolígrafo prestado. Él todavía encuentra este hilarante. But hablando con los agentes de policía no perturba un ingeniero de bien social en lo más mínimo. De hecho, la emoción de engañar a estas agencias de la ley probablemente añadida al disfrute Eric s del acto. Accordinga Eric, las llamadas fue algo como esto: "DMV, ¿puedo ayudarle?" "This es el detective Andrew Cole ". "Hola, Detective. ¿Qué puedo hacer por usted hoy? " "Necesito un Soundex en la licencia de conducir 005602789 ", se podría decir, usando el término familiar en la policía para pedir una foto - útil, por ejemplo, cuando los agentes van a arrestar a un sospechoso y me gustaría saber qué aspecto tiene . "Claro, que yo lleve el registro, "Eric iba a decir." Y, Detective Cole, ¿cuál es su agencia? " "Jefferso. n County "Y entonces Eric haría las preguntas calientes:" Detective, ¿cuál es su código de solicitante? ¿Qués el número de su licencia de conducir. "¿Cuál es su fecha de nacimiento" Thpersona que llama e daría su información de identificación personal. Eric pasaría por algún pretexto de verificar la información, y luego decirle a la persona que llama que la información de identificación había sido confirmada, y pregunte por los detalles de lo que la persona que llama quería saber del DMV. Él fingía que empezar a buscar el name, con la persona que llama puede oír el clic de las teclas, y luego decir algo como, "Oh, maldita sea, mi ordenador acaba de ir down otra vez. Arrepentido, detective, my

equipo ha estado en un abrir y cerrar, toda la semana. ¿Te importaría volver a llamar y conseguir otro empleado que te ayude? " This forma que había finalizar la llamada atar los cabos sueltos sin despertar ninguna sospecha de por qué no era capaz de ayudar al oficial con su petición. Mientras tanto, Eric

hada identidad robada - detalles que podría utilizar para obtener confidencial DMV information cada vez que lo necesitaba. Laespués de recibir llamadas durante unas horas y la obtención de decenas de códigos solicitante, Eric marcado en el interruptor y se desactiva el desvío de llamadas. For mes después de eso, él había continuar las tareas jobbed a él por las empresas PI legítimas que no quería saber cómo estaba su información. Cada vez que necesitaba, había marcar de nuevo en el interruptor, encender el desvío de llamadas, y reunir otra serie de credenciales oficiales de policía. LaCon el nalyzing Dejar'S ejecutar una reproducción en el Eric artimañas puso una serie de personas para hacer este engaño trabajo. En el primer paso exitoso, él consiguió un agente del alguacil en una sala de teletipo para dar a conocer un número confidencial DMV teléfono a un desconocido, aceptar al hombre como un diputado sin ser necesaria ninguna verificación. Entonces alguien en el Departamento de Estado de Telecomunicaciones hizo lo mismo, aceptando reclamo de Eric que estaba con un fabricante de equipos y proporcionar al desconocido con un número de teléfono para llamar a la central telefónica al servicio de la DMV. Eric era capaz de entrar en el interruptor, en gran medida debido a las prácticas de seguridad débiles por parte del fabricante del interruptor en el uso de la misma cuenta nombrar a todos sus interruptores. Ese descuido hizo un paseo por el parque para el ingeniero social para adivinar la contraseña, una vez más, a sabiendas de que los técnicos del interruptor, al igual que casi todos los demás, elegir contraseñas que serán un juego de niños para que puedan recordar. Ingenioh acceso al conmutador, fundó el desvío de llamadas desde una de las líneas de teléfono del DMV para hacer cumplir la ley a su propio teléfono celular. Und entonces, la parte más descarada y taponadora, que estafó a un oficial de la ley tras otra para que revele no sólo sus códigos de solicitante, sino su propia información de identificación personal, lo que Eric la capacidad para suplantar. While allí fue sin duda el conocimiento técnico necesario para llevar a cabo este truco, no podría haber funcionado sin la ayuda de una serie de personas que no tenían ni idea de que estaban hablando con un impostor.

This historia era otro ejemplo del fenómeno de por qué la gente no pregunta "¿Por qué yo?" ¿Por qué el oficial de teletipo dar esta información a algún diputado sheriff no sabía - o, en este caso, un extraño punssing apagado como

un sheriff adjunto - en lugar de sugerir que obtener la información de un compañero diputado o su propio sargento? Una vez más, la única respuesta que puedo ofrecer es que la gente rara vez se hacen esta pregunta. No se les ocurre pedir? No quiero sonar desafiante e inútil? Quizás. Cualquier explicación adicional no sería más que conjeturas. Pero los ingenieros sociales no me importa por qué, sino que sólo se preocupan de que este pequeño hecho hace que sea fácil obtener información que de otro modo podrían ser un desafío de obtener. Mitnick MENSAJE Yof tiene un conmutador telefónico en las instalaciones de su empresa, ¿cuál sería la persona yocarga n hacer si recibía una llamada del vendedor, solicitando el número telefónico? Y, por cierto, tiene esa persona nunca cambió la contraseña por defecto del switch? ¿Es eso una contraseña fácil de adivinar la palabra en ningún diccionario? PREVENTING CON EL Un código de seguridad, correctamente utilizado, añade una capa de protección valiosa. Una seguridad bacalaoe incorrectamente utilizado puede ser peor que no tener ninguno en absoluto, ya que da la ilusión de seguridad en los que no existe realmente. ¿De qué sirven los códigos de si sus empleados no las cumplen. secreto? Unempresa y con la necesidad de códigos de seguridad verbales tiene que explicar claramente a sus empleados cuándo y cómo los códigos se utilizan. Correctamente formados, el personaje de la primera historia en este capítulo no habría tenido que confiar en sus instintos, fácil de superar, cuando se le pidió dar un código de seguridad a un extraño. Sintió que no se les debe pedir esta información bajo las circunstancias, pero que carecen de una política clara de seguridad - y el buen sentido común - que fácilmente dio pulg SecuritY también los procedimientos deben establecer los pasos a seguir cuando un empleado campos de una petición inapropiada para un código de seguridad. Todos los empleados deben ser entrenados para reportar inmediatamente cualquier solicitud de credenciales de autenticación, como un código o contraseña diario, realizadas en circunstancias sospechosas. También deben informar cuando un intento de verificar la identidad de un solicitante no está de salida. Lat Por lo menos, el empleado debe registrar el nombre del llamante, número de teléfono y la oficina o departamento, y luego cuelgue. Antes de volver a llamar él debe verificar que la organización tiene realmente un empleado de ese nombre, y que la devolución de llamada número de teléfono coincide con el número de teléfono en el directorio de la empresa en línea o impresos. La mayoría de las veces, esta táctica simple es todo lo que se necesita para verificar que la persona que llama es quien dice ser.

Verifying se convierte en un poco más complicado cuando la empresa tiene una Published directorio telefónico en lugar de una versión on-line. La gente se contrató, la gente deja, la gente

changdepartamentos de correos, puestos de trabajo y teléfono. El directorio de copia impresa ya está fuera de fecha el día después de que se haya publicado, incluso antes de ser distribuidos. Incluso los directorios en línea no siempre se puede confiar, porque los ingenieros sociales saben cómo modificarlos. Si un empleado no puede verificar el número de teléfono de una fuente independiente, debe ser instruido para verificar por otros medios, tales como ponerse en contacto con el gerente del empleado.

Parte 3 Intruder Alert

Chapter 10 Entering los locales
Why que es tan fácil para una persona ajena a asumir la identidad de un empleado de la compañía y llevar una imitación tan convincente que incluso las personas que están muy conscientes de la seguridad se toman en? ¿Por qué es tan fácil para las personas que pueden estar duplicados plenamente conscientes de los procedimientos de seguridad, desconfiar de las personas que no conocen personalmente, y de protección de los intereses de su compañía? Ponder estas preguntas mientras lees las historias de este capítulo. THSEGURIDAD E AVERGONZADO Fecha GUARD / hora: Martes, 17 de octubre, 2:16 A.M. Place: Skywatcher Aviation, Inc. planta de fabricación en las afueras de Tucson, Arizona. Historia de la Guardia de Seguridad Hearing talones de cuero clic en el suelo en los pasillos de la casi desierta plant hizo Leroy Greene se siente mucho mejor que pasar las horas de la noche de su reloj delante de los monitores de vídeo en la oficina de seguridad. Allí no se le permitió hacer nada más que mirar a las pantallas, ni siquiera leer una revista o su Biblia encuadernada en piel. Sólo había que sentarse allí mirando las pantallas de los todavía imágenes en las que nada se movía. But caminando por los pasillos, era lo menos que estira sus piernas, y cuando se acordó lanzar sus brazos y los hombros en el paseo, que le consiguió un poco de ejercicio, también. A pesar de que en realidad no cuenta mucho como ejercicio para un hombre que había jugado el tackle derecho en el equipo All-City campeón de fútbol del instituto. Sin embargo, pensó, un trabajo es un trabajo. Dobló la esquina suroeste y comenzó a lo largo de la galería con vista a la planta de producción de media milla de largo. Miró hacia abajo y vio a dos personas caminando más allá de la línea de helicópteros parcialmente construido. La pareja se detuvo y parecía estar señalando las cosas entre sí. Una extraña visión en este momento de la noche. -Será mejor que comprobar ", pensó. Leroy se dirigió hacia la escalera que lo llevaría a la pista de la línea de producción detrás de la pareja, y no sentir su enfoque hasta que dio un paso al costado. "Buenos días. ¿Puedo ver sus tarjetas de seguridad, por favor", dijo. Leroy siempre intentó mantener su voz suave en momentos como este, sabía que

el gran tamaño de él podría parecer amenazante.

"Hola, Leroy ", dijo uno de ellos, al leer el nombre de su placa." Soy Tom Stilton, de la oficina de marketing de las empresas en Phoenix. Estoy en la ciudad para las reuniones y quería mostrar mi amigo aquí cómo los helicópteros más grandes del mundo se construyen ". "Sí, Señor. Su tarjeta de identificación, por favor ", dijo Leroy. Él no podía dejar de notar lo joven que parecía. El tipo de marketing se veía acababa de salir de la escuela secundaria, el otro tenía el pelo hasta los hombros y miró unos quince años. The uno con el corte de pelo metió la mano en el bolsillo de su placa, y luego comenzó a acariciar todos los bolsillos. Leroy fue de repente empieza a tener un mal presentimiento sobre esto. "Maldita sea", dijo el hombre. "Debe de haber dejado en el coche lo puedo conseguir -.. Sólo me toma diez minutos para salir al estacionamiento y volver" Leroy tenía su almohadilla por esta vez. "¿Qué le dijiste que te llamabas, sr.Preguntó, y anotó cuidadosamente la respuesta. Luego les pidió que fuera con él a la Oficina de Seguridad. Sobre el ascensor hasta el tercer piso, Tom conversó acerca de haber estado con la empresa durante sólo seis meses y esperaba que no iba a conseguir en ningún problema por ello. Yon la sala de control de seguridad, los otros dos en el turno de noche con Leroy se unió a él en el cuestionamiento de la pareja. Stilton dio su número de teléfono, y dijo que su jefe estaba Judy Underwood y dio su número de teléfono y la información de todo el check out en el equipo. Leroy tomó las otras dos personas de seguridad a un lado y hablaron sobre lo que debe hacer. Nadie quería conseguir este mal, los tres coincidieron en que es mejor llamar jefe del chico, aunque eso significaría despertarla en medio de la noche. Leroy llamó a la señora Underwood se explicó quién era y qué tenía que un señor Tom Stilton trabajando para ella? Sonaba como si estuviera todavía medio dormido. "Sí," dijo ella. "Bueno, Lo encontramos abajo en la línea de producción a las 2:30 de la mañana, sin Tarjeta de identificaci ón. " Sra.. Underwood dijo: "Déjame hablar con él." Stilton se puso al teléfono y le dijo: "Judy, me siento mucho acerca de estos chicos con los que despertar en el medio de la noche. Espero que no vamos a hold esta en mi contra. "

He escuchó y luego dijo: "Era sólo que yo tenía que estar aquí en la mañana de todos modos, para una reunión sobre el nuevo comunicado de prensa. De todos modos, ¿recibiste el correo electrónico acerca de la oferta Thompson? Tenemos que cumplir con Jim el lunes mañana, así que no pierdas esto. Y todavía estoy almorzando con ustedes el martes, ¿verdad? "

He escuchado un poco más y dijo adiós y colgó. That Leroy atrapados por sorpresa, había pensado que conseguiría de nuevo el teléfono para que la señora pudiera decirle que todo estaba bien. Se preguntó si tal vez debería llamarla otra vez y preguntarle, pero se lo pensó mejor. Él ya le había molestado una vez en el medio de la noche, y si él llamó una segunda vez, tal vez ella podría molestarse y quejarse a su jefe. "¿Por qué hacer olas?" pensó. Okay si muestro mi amigo el resto de la línea de producción? Stilton preguntó Leroy You quiere venir, mantener un ojo sobre nosotros? "Go, Leroy dijo. "Mire a su alrededor. Pero no se olvide su credencial próxima vez. Y que Security saber si tiene que estar en el piso de la planta después de horas -. es la regla "Lo tendré en cuenta, Leroy", dijo Stilton. Y se fueron. HArdly diez minutos habían transcurrido antes de que el teléfono sonó en la Oficina de Seguridad. La señora Underwood estaba en la línea. "¿Quién era ese tipo?" ella quería saber. Ella dijo que ella seguía tratando de hacer preguntas, pero él siguió hablando de almorzar con ella y ella no sabe quién demonios es. Thlos chicos de seguridad e llama el vestíbulo y el guardia en la puerta del estacionamiento. Ambos informaron que los dos jóvenes habían dejado unos minutos antes. TElling la historia más tarde, Leroy siempre terminaba diciendo: "Dios, qué jefe me masticar un lado y por el otro. Tengo la suerte de que todavía tengo un trabajo." Joe Historia de Harper Sólo para ver lo que podía salirse con la suya, de diecisiete años de edad, Joe Harper había sido sneaking en los edificios durante más de un año, a veces en el día, a veces por la noche. Hijo de un músico y una camarera, tanto de trabajo ªcambio e la noche, Joe tenía demasiado tiempo solo. Su historia de ese mismo incidente cobertizos instructivo luz sobre cómo sucedió todo. Tengo un amigo que Kenny cree que quiere ser piloto de helicóptero. Me preguntó, ¿puedo meterlo en la fábrica Skywatcher para ver la línea de producción donde se fabrican los helicópteros. Él sabe que tengo en otros lugares antes. Es un subidón de adrenalina para ver si se puede caer en lugares que no se supone que sea.

But no simplemente entrar en una fábrica o edificio de oficinas. Tengo que pensar en ello, hace un montón de planificación, y hacer un reconocimiento pleno en el objetivo. Consulte la página web de la compañía para los nombres y títulos, estructura de informes, y números de teléfono. Leer recortes de prensa y artículos de revistas. Investigación meticulosa es mi

propia marca de precaución, para poder hablar con alguien que me retó, con el conocimiento tanto como cualquier otro empleado. So por dónde empezar? Primero busqué en Internet para ver donde la empresa tenía oficinas, y vio a la sede social estaba en Phoenix. Perfecto. Me llamó y me preguntó de Marketing, cada empresa tiene un departamento de marketing. Una señora respondió, y le dije que estaba con gráficos lápiz azul y queríamos ver si podíamos interesarlos en el uso de nuestros servicios y que iba a hablar. Ella dijo que sería Tom Stilton. Le pedí su número de teléfono y me dijo que no dar esa información, pero que me podía pasar. La llamada sonó en el correo de voz, y su mensaje, dijo: "Este es Tom Stilton en gráficos, extensión 3147, por favor deje un mensaje." Claro - no dar a conocer las extensiones, pero este tipo deja a su derecha en su buzón de voz. Así que fue genial. Ahora tenía un nombre y una extensión. Another llamar, de nuevo a la misma oficina. "Hola, yo estaba buscando Tom Stilton. Él no está adentro me gustaría pedir a su jefe una pregunta rápida." El jefe estaba fuera, también, pero por el momento yo estaba terminado, me sabía el nombre del jefe. Y ella había salido bien su número de extensión en su buzón de voz, también. Probablemente podría llevarnos más allá de la guardia del vestíbulo, sin sudor, pero he conducido por la planta y pensé que me acordé de una valla alrededor de la zona de aparcamiento. Una valla significa un guardia que te cheques cuando se trate de conducir pulg Y por la noche, puede ser que anotar los números de licencia, también, así que tendría que comprar una placa vieja en un mercado de pulgas. But primero que tendría que conseguir el número de teléfono en la caseta de seguridad. Esperé un poco por lo que si tengo el mismo operador cuando marqué de nuevo, ella no reconoce mi voz. Después de un rato me llamó y me dijo: "Tenemos una queja de que el teléfono en el Ridge Road guardia choza ha reportado problemas intermitentes - ¿sigue teniendo problemas?" Ella dijo que no lo sabía, pero me conecte. The chico respondió: "Ridge puerta Road, este es Ryan." Le dije: "Hola, Ryan, este es Ben. ¿Le tiene problemas con sus teléfonos ahí?" No es más que un guardia de seguridad con salarios bajos, pero supongo que tenía algún tipo de formación, porque en seguida dijo: "Ben, que - ¿cuál es su apellido" Yo sólo seguía adelante como si yo ni siquiera lo había escuchado. "Alguien informó de un problema antes." Yo podía oír lo sostenía el teléfono y gritando: "Hey, Bruce, Roger, había un problema con este teléfono. Llegó de nuevo y dijo:" No, no hay problemas que conocemos. " "Holíneas telefónicas w muchos Qué tienes

ahí? " He había olvidado de mi nombre. "Dos", dijo. "¿Cuál eres tú ahora?" "3140".

Gotcha! "Y los dos están trabajando bien?" "Parece". Bueno, Le dije. Escucha, Tom, si usted tiene cualquier problema del teléfono, sólo llámenos en Telecom cualquier momento. Estamos aquí para ayudar. " My amigo y yo decidimos visitar la planta de la noche siguiente. Esa misma tarde llamé a la garita de guardia, utilizando el nombre del tipo de comercialización. Le dije: "Hola, soy Tom Stilton en Gráficos. Estamos en un plazo accidente y tengo un par de tipos de conducción a la ciudad para ayudar. Probablemente no estaré aquí hasta la una o las dos de la mañana. Va aún estar en el, entonces? " He era feliz de decir que no, que se bajó a la medianoche. Le dije: "Bueno, acaba de salir de una nota para el tipo de al lado, ¿de acuerdo Cuando dos chicos se presentan y dicen que han venido a ver a Tom Stilton, sólo ola 'em en in -?? Bien" Sí, Dijo, que estaba bien. Bajó mi nombre, departamento y número de extensión y dijo que se ocuparía de ello. We impulsó a la puerta poco después de las dos, me dio el nombre de Tom Stilton, y un guardia somnoliento sólo señaló a la puerta que debe ir y por dónde debo aparcar. When entramos en el edificio, había otro puesto de guardia en el vestíbulo, con el libro usual para después de las horas de inicio de sesión ins. Le dije al guardia que tenía un informe que debía estar listo en la mañana, y este amigo mío quería ver la planta. "Está loco por helicópteros", dije, "Piensa que quiere aprender a pilotar uno." Él me pidió mi tarjeta de identificación. Metí la mano en el bolsillo, luego palmeó la vuelta y me dijo que debía haberlo dejado en el coche, voy a ir a buscarlo. Le dije: "Va a tardar unos diez minutos." Él dijo: No te preocupes, no pasa nada, sólo iniciar sesión " Walking abajo que la línea de producción - lo que es un gas. Hasta ese tronco de un Leroy nos detuvo. Yon la oficina de seguridad, me imaginé a alguien que no pertenece realmente se vería nervioso y asustado. Cuando las cosas se ponen tensos, acabo de empezar a sonar como que estoy realmente al vapor. Como si fuera verdad que yo decía ser y que es molesto que no me crees. When empezaron a hablar de que tal vez debería llamar a la señora que dijo que era mi jefe y fue a buscar su número de teléfono desde el ordenador, me quedé pensando: "Buen momento para hacer un descanso para él." Pero no era esa puerta del aparcamiento - incluso si nos salimos del edificio, cerraban la puerta y que nunca lo hacen fuera.

When Leroy llamó la señora que era el jefe de Stilton y luego me dio el teléfono, la mujer comenzó a gritarme "¿Quién es éste, que eres!" y yo seguía hablando como si estuviéramos teniendo una conversación agradable, y luego colgó. How tiempo se tarda en encontrar a alguien que le puede dar un número de teléfono de la compañía en el medio de la noche? Yo pensé que tenía menos de quince minutos para salir de allí antes de que la señora estaba sonando la oficina de seguridad y poner un bug en sus oídos. We salí de allí lo más rápido que pudimos, sin mirar como si estuviéramos en un apuro. Claro que me alegro cuando el tipo de la puerta sólo nos dejaron pasar. LaCon el nalyzing Ess vale la pena señalar que en el incidente real esta historia está basada en los intrusos, actualiado eran adolescentes. La intrusión fue una broma, sólo para ver si podían salirse con la suya. Pero si fuera tan fácil para una pareja de adolescentes, que habría sido más fácil para los ladrones adultos, espías industriales, o terroristas. How hizo tres oficiales de seguridad experimentados permitir un par de intrusos apenas caminar lejos? Y no sólo cualquier intruso, pero un par tan joven que cualquier persona razonable debería haber sido muy sospechoso? Leroy se hizo lo suficientemente suspicaz, al principio. Él tenía razón al llevarlos a la Oficina de Seguridad, y en cuestionar el tipo que se hacía llamar Tom Stilton y control de los nombres y números de teléfono que él dio. Sin duda era correcto al hacer la llamada al supervisor. But en la final fue llevado por aire al joven de la confianza y la indignación. No era el comportamiento que se espera de un ladrón o intruso - sólo un empleado real habría actuado de esa manera .., o al menos eso se supone. Leroy debería haber sido entrenados para contar con identificación sólida, no percepciones. Blancoy no era él más sospechoso cuando el joven colgó el teléfono sin devolvérselo tan Leroy podía oír la confirmación directamente de Judy Underwood y recibir la seguridad de que el chico tenía una razón de ser en la planta tan tarde en la noche? Leroy fue recogida por una artimaña tan osado que lo que debería haber sido obvio. Pero considere el momento de su perspectiva: un graduado de la escuela secundaria, preocupado por su trabajo, sin saber si podría tener problemas por molestar a un gerente de la empresa, por segunda vez en el medio de la noche. Si usted hubiera estado en sus zapatos, ¿le han hecho la llamada de seguimiento?

Pero, por supuesto, una segunda llamada no fue la única acción posible. ¿Qué más podría el guardia de seguridad lo han hecho? Evan antes de hacer la llamada telefónica, él podría haber pedido tanto de la pareja para mostrar algún tipo de identificación con foto, que conducía a la planta, así que al menos uno de ellos debe tener una licencia de conducir. El hecho de que habían dado nombres falsos originalmente habría sido inmediatamente evidente (un profesional habría venido equipado con identificación falsa, pero estos adolescentes no habían tomado esa precaución). En cualquier caso, Leroy debería haber examinado sus credenciales de identificación y la información escrita. Si ambos insistieron en que no tenían identificación, entonces debe haber caminado ellos o el coche para recuperar la insignia de identificación de la compañía que "Tom Stilton" afirmó que había dejado allí. Mitnick MENSAJE Manipulativpersonas e suelen tener personalidades muy atractivas. Son típicamente fast en los pies y articular bastante. Los ingenieros sociales también son expertos en distraer a los procesos de pensamiento de la gente para que coopere. Pensar que cualquier enpersona e particular no es vulnerable a esta manipulación es subestimar la habilidad y el instinto asesino del ingeniero social. Un ingeniero de bien social, por otra parte, nunca subestima a su adversario. Following de la llamada telefónica, una de las personas de seguridad debería haberse quedado con la pareja hasta que salieron del edificio. Y luego se dirigió a su coche y por escrito el número de la matrícula. Si hubiera sido lo suficientemente observador, habría señalado que la placa (la que el atacante había comprado en un mercado de pulgas) no tenía una calcomanía de registro válido y que debería haber sido razón suficiente para detener a la pareja para análisis adicionales. DUMPSTER BUCEO Dumpster buceo es un término que describe pateando la basura de un objetivo en la búsqueda de información valiosa. La cantidad de información que usted puede aprender acerca de un objetivo es asombrosa. Mospersonas t no dan mucha importancia a lo que están desechando en casa: las facturas de teléfono, estados de cuenta de tarjetas de crédito, botellas de prescripción médica, extractos bancarios, materiales relacionados con el trabajo, y mucho más. Lat trabajo, los empleados deben ser conscientes de que las personas se ven a través de la basura para obtener información que pueda beneficiar. During mis años de escuela secundaria, solía ir hurgando en la basura detrás de

los edificios de la compañía de teléfono locales - a menudo solo, pero de vez en cuando con los amigos que comparten un interés en aprender más acerca de la compañía telefónica. Una vez que

se convirtió en un basurero buzo experimentado, aprender algunos trucos, como la manera de hacer esfuerzos especiales para evitar las bolsas de los baños, y la necesidad de usar guantes. Dumpster buceo no es agradable, pero el resultado fue extraordinario - directorios telefónicos internos de la empresa, manuales informáticos, listas de empleados, las impresiones desechadas para que pueda programar el equipo de conmutación, y mucho más - todo lo que hay para tomar. I 'd periodicidad de las visitas de noches en las que los nuevos manuales se emitían, ya que los contenedores de basura que tiene un montón de los viejos, sin pensar tirado. Y me gustaría ir a otros ratos libres, así, en busca de los memos, cartas, informes, etc, que podrían ofrecer algunas joyas interesantes de información. On llegar me iba a encontrar unas cajas de cartón, sacarlos y dejarlos a un lado. Si alguien me desafió, lo que ocurrió de vez en cuando, yo diría que un amigo se movía y yo estaba buscando cuadros para ayudar a empacar. El guardia no se dio cuenta de todos los documentos que había puesto en las cajas para llevar a casa. En algunos casos, él me decía que se pierden, por lo que acababa de pasar a otra empresa teléfono de la oficina central. LINGO DUMPSTER CONDUCCIÓN Going en la basura de una empresa (a menudo en un outside Dumpster y vulnerable) para encontrar información descartó que por sí misma tiene un valor, o proporciona una herramienta para usar en un ataque de ingeniería social, tales como interna phonnúmeros electrónicos o títulos No sé lo que es hoy en día, pero en aquel entonces era fácil decir que las bolsas pueden contener algo de interés. La basura y la basura del piso cafetería estaban sueltos en las bolsas grandes, mientras que las papeleras de oficina fueron alineados con blanco bolsas de basura desechables, que el equipo de limpieza se levantan uno a uno y se envuelve alrededor de un empate. Entiempo e, mientras buscaba con unos amigos, nos encontramos con algunas hojas de papel arrancadas a mano. Y no sólo roto: alguien se había tomado el trabajo de extracción de las hojas en trozos pequeños, todos convenientemente desechados en una bolsa de basura solo cinco galones. Nos llevamos la bolsa a un local de tienda de donuts, dejó las piezas sobre una mesa, y se empezaron a reunir una por una. We fueron todos los hacedores de rompecabezas, por lo que este ofreció el reto estimulante de un rompecabezas gigante. . . pero resultó tener más de un premio

infantil. Una vez hecho, nos habíamos reconstruido el nombre de cuenta completo y lista de contraseñas para uno de los sistemas informáticos de la empresa críticos.

Were nuestras basurero de buceo hazañas vale la pena el riesgo y el esfuerzo? Ya lo creo que eran. Incluso más de lo que imagina, porque el riesgo es cero. Era verdad entonces y aún hoy en día verdadero: Siempre y cuando usted no está invadiendo, poring a través de otra persona basura es 100 por ciento legal. OPor supuesto f, phreakers y hackers no son los únicos que tienen sus cabezas en botes de basura. Los departamentos de policía de todo el país a través de la pata de basura con regularidad, y un desfile de gente de capos de la mafia a malversadores menores han sido condenados basándose en parte en las pruebas recabadas por la basura. Las agencias de inteligencia, incluido el nuestro, han recurrido a este método desde hace años. Yot puede ser una táctica demasiado bajo para James Bond - cinéfilos preferiría verlo outfoxing el villano y ropa de cama de una belleza que de pie hasta las rodillas en la basura. De la vida real espías son aprensivos cuando menos algo de valor puede ser embolsado entre las cáscaras de plátano y café molido, los periódicos y las listas de la compra. Sobre todo si la recogida de información no los pone en peligro. Cash para la basura Corporacións jugar el juego contenedor de buceo, también. Periódicos tuvieron un día de campo en Junio de 2000, informando de que Oracle Corporation (cuyo CEO, Larry Ellison, es probablemente más abierto enemigo de la nación de Microsoft) había contratado a una empresa de investigación que había sido sorprendido con las manos en la masa. Parece que el investigadors quería basura de un equipo de cabildeo Microsoft-compatible, ACT, pero no quería arriesgarse a ser descubierto. Según informes de prensa, la firma de investigación enviada en una mujer que se ofreció a los trabajadores de limpieza de $ 60 a dejarla tener la basura ACT. Ellos la rechazaron. Fue a la siguiente noche, aumentando la oferta a $ 500 para la limpieza y $ 200 para el supervisor. Thconserjes e la rechazó y luego volvió la in Leading on-line periodista Declan McCullah, tomando una hoja de la literatura, tituló su historia Wired News en el episodio, "'Twas Oracle que espiaba a la EM". La revista Time, clavando Ellison de Oracle, tituló su artículo simplemente "Peeping Larry". LaCon el nalyzing Based en mi propia experiencia y la experiencia de Oracle, uno podría preguntarse por qué alguien se tomaría la molestia de tomar el riesgo de robo de basura de alguien.

Threspuesta e, creo yo, es que el riesgo es nulo y los beneficios pueden ser sustanciales. Bueno, tal vez tratando de sobornar a los trabajadores de limpieza aumenta la probabilidad de consecuencias, pero para cualquiera que esté dispuesto a ensuciarse un poco, los sobornos no son necesarios.

Fora ingeniero social, Dumpster diving tiene sus beneficios. Se puede obtener información suficiente para orientar su asalto contra la empresa objetivo, incluyendo notas, agendas de reuniones, cartas y artículos similares que revelan los nombres, departamentos, cargos, números de teléfono y las tareas del proyecto. La basura puede producir cuadros organizativos de la empresa, información sobre la estructura de las empresas, los horarios de viaje, y así sucesivamente. Todos esos detalles puede parecer trivial a información privilegiada, sin embargo, puede ser información muy valiosa para un atacante. Estropeark Joseph Edwards, en su libro Internet Security con Windows NT, habla de "informes completos descartados debido a errores tipográficos, contraseñas escritas en pedazos de papel," Mientras no estabas "mensajes con números de teléfono, carpetas completas de archivos con documentos todavía en ellos, disquetes y cintas que no fueron borrados o destruidosAl-l de las cuales podrían ayudar a un intruso de los posibles ". Thescritor e pasa a preguntar: "¿Y quiénes son esas personas en su equipo de limpieza? Usted ha decidido que el equipo de limpieza no [se permitirá a] entrar en la sala de ordenadores, pero no se olvide de los otros botes de basura. Si federal agencias consideran necesario hacer verificaciones de antecedentes de las personas que tienen acceso a sus papeleras y trituradoras, probablemente también lo haría. " Mitnick MENSAJE Ustedr basura puede ser el tesoro de tu enemigo. No toman en cuenta más a ªmateriales electrónicos que desechamos en nuestra vida personal, por lo que ¿por qué deberíamos creer que la gente tiene una actitud diferente en el lugar de trabajo? Todo se reduce a la educación de la fuerza de trabajo about ªe Danger (Unscrupulous people Digging for valuable información) y la vulnerabilidad (información sensible no ser destrozado o borrado correctamente). EL JEFE humillado Nobody pensé nada al respecto cuando Harlan Fortis llegaron a trabajar el lunes mañanag como de costumbre en el Departamento de Carreteras del Condado, y dijo que se había ido a casa a toda prisa y olvidado de su tarjeta de identificación. El guardia de seguridad había visto a Harlan entrando y saliendo cada día de la semana durante los dos años que había estado trabajando allí. Ella le hizo firmar para un pase de empleado temporal, se lo dio a él, y él siguió su camino. Yot No fue sino hasta dos días después de que todo el infierno se empezó a romper suelto. La story se extendió a través de todo el departamento como la pólvora. La mitad de las personas que lo oyeron dijeron que no podía ser cierto. Del resto, nadie parecía

saber si reír a carcajadas o sentir lástima por la pobre alma.

Laespués de todo, George Adamson era una persona amable y compasivo, el mejor jefe de departamento que nunca había tenido. No se merecía que esto ocurra a él. Asumiendo que la historia era verdad, por supuesto. Thproblemas e había comenzado cuando George llamado Harlan en su oficina un viernes tarde y le dijo, tan suavemente como pudo, que vienen Lunes Harlan presentaría un informe a un nuevo trabajo. Con el Departamento de Saneamiento. Para Harlan, esto no era como ser despedido. Era peor: era humillante. Él no iba a tener que acostarse. ThaEsa misma noche t se sentó en el porche a ver el tráfico de regreso a casa. Al fin se descubrió el muchacho de barrio llamado David que todos llamaban "La Guerra Juegos de Niños" ir por su ciclomotor en el camino a casa desde la escuela secundaria. Dejó de David, le dio un Código de Red Mountain Dew había comprado especialmente para este propósito, y le ofreció un trato: el reproductor de vídeo más reciente del juego y los juegos de seis a cambio de un poco de ayuda de la computadora y la promesa de mantener la boca cerrada. En popaer Harlan explicó el proyecto - sin renunciar a ninguno de los detalles comprometedores - David estuvo de acuerdo. Él describió lo que él quería Harlan que hacer. Iba a comprar un módem, ir a la oficina, computadora de alguien encontrar donde había un teléfono de repuesto gato cerca, y conecte el módem. Deje el módem en el escritorio donde nadie sería probable que lo veo. Luego vino la parte más arriesgada. Harlan tuvo que sentarse delante del ordenador, instalar un paquete de software de acceso remoto, y ponerlo en marcha. Cualquier momento en que el hombre que trabajaba en la oficina puede ser que aparezca, o alguien puede pasar y verlo en la oficina de otra persona. Estaba tan tenso que apenas podía leer las instrucciones que el chico había escrito para él. Pero tengo hecho y salió del edificio sin que se note. Planting la Bomba Dávido hizo escala después de la cena de esa noche. Los dos se sentaron en la computadora de Harlan y dentro de unos minutos, el muchacho se había marcado en el módem, Obtuvo acceso, y llegó a máquina George Adamson. No es muy difícil, ya que nunca George tenía tiempo para cosas como cambiar de precaución passwords, y siempre estaba haciendo esta o aquella persona que descargar o enviar un archivo por él. Con el tiempo, todos en la oficina sabía que su contraseña. Un poco de caza subió el archivo llamado BudgetSlides2002.ppt, que ªe boy descargar ontordenador o de Harlan. Harlan dijo entonces al niño a go en casa, y volver yon un couple oF horas. ¿Cuándo David regresó, Harlan asked¡Holam to reconexiónt to ªe Carretera Departamento sistema informático y poner el mismo archivo a donde lo habían encontrado, sobreescribiendo la versión anterior. Harlan David mostró el jugador de videojuegos, y prometió que si las cosas iban

bien, había que tener al día siguiente.

Surprising George You no creo que algo que suena tan aburrido como audiencias sobre el presupuesto would ser de mucho interés para cualquier persona, pero la sala de reuniones de la Provincia CONSEJOl estaba lleno, lleno de periodistas, representantes de grupos de intereses especiales, los miembros del público, y hasta dos equipos de noticias de televisión. George siempre sentí que estaba en juego para él en estas sesiones. La Condado Consejo ha mantenido los cordones de la bolsa, ya menos que George podría poner en un convincinpresentación g, el presupuesto de carreteras se redujo. Entonces everyone would empezar a quejarse de los baches y las luces de tráfico Stück und dangerouintersecciones s, y culpar a él, y la vida sería miserableable for ªe comin todog año. Sin embargo, cuando se introdujo por la noche, se levantó con mucha confianza. Él había trabajado seis semanas en esta presentación y las imágenes de PowerPoint, que había probado en su esposa, a su pueblo del personal superior, y algunos amigos respetados. Todos estuvieron de acuerdo que era su mejor carta de presentación siempre. The tres primeras imágenes de PowerPoint jugó bien. Para variar, cada miembro del Consejo estaba prestando atención. Él estaba haciendo sus puntos de manera efectiva. Und entonces de repente todo empezó a ir mal. La cuarta imagen se supone que es una foto hermosa en la puesta del sol de la extensión de la nueva autopista se inauguró el año pasado. En cambio, era algo más, algo muy embarazoso. Una fotografía de una revista como Penthouse y Hustler. He oía el jadeo audiencia como se apresuró a golpear el botón de su ordenador portátil to pasar a la siguiente imagen. This uno era peor. No es una cosa que quedaba a la imaginación. He todavía estaba tratando de hacer clic en otra imagen cuando alguien del público se retiró el cable de alimentación al proyector mientras que el presidente golpeó fuertemente con el martillo y gritó por encima del ruido que se levantó la sesión. LaCon el nalyzing Usando los conocimientos de un hacker adolescente, un empleado descontento logró acceder a la calcularr del jefe de su departamento, descargue una importante presentación en PowerPoint, y sustituir algunas de las diapositivas con algunas imágenes de

causar graves embarrassment. Luego se puso de nuevo la presentación en el ordenador del hombre. Ingenioh el módem conectado a una toma y conectado a uno de los ordenadores de oficina, el joven hacker fue capaz de marcar desde el exterior. El chico se había instalado el software de acceso remoto de antemano a fin de que, una vez conectado a la computadora, tendría pleno acceso a todos los archivos almacenados en el sistema. Dado que el equipo se conecta a la red de la organización y ya

knew el nombre de usuario y la contraseña jefe, fácilmente podría obtener acceso a los archivos del jefe. Including el tiempo para analizar las imágenes de revistas, todo el esfuerzo se había tomado sólo unas pocas horas. Los daños causados a la reputación de un buen hombre estaba más allá de imaginand o. Mitnick MENSAJE The inmensa mayoría de los empleados que son transferidos, despedidos, o dejar en un downsizing are nunca un problema. Sin embargo, sólo se necesita uno para hacer una empresa cuenta demasiado tarde qué medidas podrían haber tomado para evitar el desastre. Experience y las estadísticas han demostrado claramente que la mayor amenaza para la empresa es desde adentro. Son los insiders que tienen un conocimiento íntimo de la valiosa información que reside, y donde golpear a la empresa a causar el mayor daño. EL BUSCADOR DE PROMOCIÓN A última hora de la mañana de un día de otoño agradable, Peter Milton entré en el vestíbulo of las oficinas regionales de Denver Auto Parts honorable, un mayorista de partes nacionales en un mercado de accesorios del automóvil. Esperó en el mostrador de recepción mientras la joven firma en un visitante, dio indicaciones para viajar con la persona que llama, y se refirió al hombre UPS, todos más o menos al mismo tiempo. "So ¿cómo aprender a hacer muchas cosas a la vez? ", dijo Pete cuando tenía tiempo para ayudarlo. Ella sonrió, obviamente complacido que había notado. Era de marketing en la oficina de Dallas, le dijo, y le dijo que Mike Talbott de ventas de campo de Atlanta se iba a haberlo conocido. "Tenemos un cliente a visitar juntos esta tarde", explicó. Voy a esperar aquí en el vestíbulo. " "Marketing."Ella dijo que la palabra casi con nostalgia, y Pete sonrió, esperando escuchar lo que venía." Si yo pudiera ir a la universidad, eso es lo que me gustaría tener ", dijo." Me encantaría trabajar en Marketing. " He sonrió de nuevo. "Kaila," dijo él, leyendo su nombre de la señal en el mostrador: "Tenemos a una señora en la oficina de Dallas que era una secretaria. Consiguió se trasladó a Marketing. Eso fue hace tres años, y ahora es un asistente gerente de marketing, haciendo el doble de lo que era. " Kaila miró soñadora. Él continuó: "¿Se puede usar una computadora?" "Claro", dijo.

"How te gustaría poner su nombre en un trabajo de secretaria en Marketing. Ella estaba radiante. "Por eso yo incluso ir a Dallas". "You're va a amar a Dallas ", dijo." No puedo prometer una apertura inmediata, pero voy a ver qué puedo hacer. "

She pensado que este buen hombre en el traje y corbata y con el bien recortado, cabello bien peinado puede hacer una gran diferencia en su vida laboral. Pete se sentó al otro lado de la entrada, abrió su laptop, y empezábamos a trabajar un poco. Después de diez o quince minutos, dio un paso atrás hacia el mostrador. "Escucha", dijo, "parece que debe de haber sido Mike levantó. ¿Hay una sala de conferencias en el que podía sentarse y revisar mi correo electrónico mientras espero?" Kaila llamar al hombre que coordinó la programación de la sala de conferencias y organizó Pete utilizar uno que no estaba lleno. Siguiendo un patrón recogido de las empresas de Silicon Valley (Apple fue probablemente el primero en hacer esto) algunas de las salas de conferencias se llevan el nombre de personajes de dibujos animados, otros después de las cadenas de restaurantes o estrellas de cine o héroes de cómic. Se le dijo que mirara por la habitación de Minnie Mouse. Ella le hizo firmar en, y le dio instrucciones para encontrar Minnie Mouse. He encuentra la sala, se establecieron en y conectado a su ordenador portátil al puerto Ethernet. ¿Te haces una idea todavía? Derecho - ésimoe intruso se había conectado a la red detrás del firewall corporativo. LaHistoria de nthony Creo que se puede llamar a Anthony Lake, un hombre de negocios perezoso. O tal vez "doblado" se acerca. Instead de trabajar para otras personas, había decidido que quería ir a trabajar para sí mismo, quería abrir una tienda, donde podía estar en un solo lugar todo el día y no tener que correr por todo el campo. Sólo quería tener un negocio que podía ser tan seguro como sea posible que pudiera ganar dinero en. ¿Qut tipo de tienda? No pasó mucho tiempo para averiguarlo. Él sabía sobre la reparación de automóviles, por lo que una tienda de auto partes. Und ¿cómo construir en una garantía de éxito? La respuesta le llegó en un instante: convencer a los mayoristas de piezas de piezas de automóviles Auto honorables que le vendan all la mercancía que necesitaba en su costo. Naturally que no lo haría de buena gana. Pero Anthony sabía cómo engañar a la gente, su amigo Mickey sabía de irrumpir en los ordenadores de otras personas, y juntos elaboraron un plan inteligente. That día de otoño manera convincente se hizo pasar por un empleado llamado

Peter Milton, Y había engañado a su manera dentro de las piezas honorables Auto oficinas y

haYa había conectado su ordenador portátil a su red. Hasta ahora, todo va bien, pero eso fue sólo el primer paso. Lo que él todavía tenía que hacer no iba a ser fácil, sobre todo desde que Anthony se había establecido un límite de tiempo de quince minutos - por más tiempo y que pensó que el riesgo de descubrimiento sería demasiado alto. Mitnick MENSAJE Tlluvia a tu gente a no juzgar un libro por su cubierta solamente - sólo porque alguien yos bien vestido y bien peinado no debe ser más creíble. Yon de una llamada telefónica a principios de pretextos como una persona de apoyo de su proveedor informático, se había puesto un acto de canto y baile. "Su compañía ha comprado un plan de apoyo de dos años y le estamos poniendo en la base de datos para que podamos saber cuando un programa de software que está utilizando ha salido con un parche o una nueva versión actualizada. Así que necesito tenerte dime lo que las aplicaciones que está utilizando. " La respuesta le dio una lista de programas, y un amigo contador identificado el denominado MAS 90 como el blanco - el programa que mantendría su lista de vendedores y la oferta y las condiciones de pago para cada uno. Ingenioh que el conocimiento clave, vuelva a utilizar un programa de software para identifiy, "todos los hosts de trabajo en la red, y no tardó mucho en encontrar el servidor correcto utilizado por el departamento de Contabilidad. Desde el arsenal de herramientas de hackers en su laptop, lanzó un programa y lo utilizó para identificar a todos los usuarios autorizados en el servidor de destino. Con otra, luego se pasó una lista de contraseñas de uso común, tales como "blanco" y "password" itself. "Password" funcionó. No hay sorpresa. La gente pierde toda la creatividad cuando se trata de elegir contraseñas. OnlY seis minutos fue, y el juego era la mitad. Fue pulg Another tres minutos con mucho cuidado agregar su nueva compañía, dirección, número de teléfono y nombre de contacto a la lista de clientes. Y después de la entrada decisiva, la que haría la diferencia, en la entrada que dice todos los artículos iban a ser vendidas a lo menos 1 por ciento sobre el costo de piezas honorables auto '. Yon poco menos de diez minutos, ya estaba hecho. Se detuvo el tiempo suficiente para decir gracias Kaila, fue a través de comprobar sus correos electrónicos. Y había llegado a Mike Talbot, cambio de planes, él estaba en camino a una reunión en la oficina de un cliente. Y no se olvide de recomendarla para ese trabajo en Marketing, tampoco.

LaCon el nalyzing The intruso que se hacía llamar Peter Milton utilizado dos subversión psicológico - técnicas dee planificada, el otro improvisa en el fragor del momento.

He vestido como un trabajador de la gestión de ganar un buen dinero. Traje y corbata, el cabello cuidadosamente decoradas - éstos parecen pequeños detalles, pero hacen una impresión. Lo descubrí a mí mismo, sin darse cuenta. En poco tiempo como programador en GTE California - una compañía telefónica importante ya no existe - Descubrí que si me vino un día sin una tarjeta de identificación, bien vestido pero informal - por ejemplo, una camisa deportiva, chinos, y Estibadores - yo ser detenido e interrogado. ¿Dónde está su placa, quién es usted, ¿dónde trabajas? Otro día me gustaría llegar, aún sin una tarjeta de identificación, pero con un traje y corbata, que parecía muy corporativo. Que haría uso de una variante de la técnica ancestral que lleva a cuestas, que se mezclan con una multitud de personas que entran a un edificio o de una entrada segura. Me pegan a algunas personas mientras se acercaban a la entrada principal, y caminar en la charla con la gente como si yo fuera uno de ellos. Pasé por delante, e incluso si los guardias se dio cuenta que era emblema de menos, no me molesta porque me parecía a la gestión y estuve con personas que llevaban insignias. From esta experiencia, me di cuenta de cuán predecible el comportamiento de los guardias de seguridad lo es. Al igual que el resto de nosotros, que estaban haciendo juicios basados en las apariencias-una grave vulnerabilidad que los ingenieros sociales aprenden a aprovechar. Thatacante e como arma psicológica segundo entró en juego cuando notó el esfuerzo extraordinario que el recepcionista estaba haciendo. Manejo de varias cosas a la vez, ella no consiguió irritable pero se las arregló para hacer que todos sientan que tenía toda su atención. Él tomó esto como la marca de alguien interesado en salir adelante, para demostrar a sí misma. Y luego, cuando él demandó a trabajar en el departamento de Marketing, él miró para ver su reacción, en busca de pistas para indicar si se establece una relación con ella. Él era. Para el atacante, esto sumado a alguien que podía manipular a través de una promesa de tratar de ayudarla a mudarse a un mejor trabajo. (Por supuesto, si hubiera dicho que quería entrar en el departamento de contabilidad, habría reclamado tenía contactos para conseguir un puesto de trabajo allí, en su lugar.) Intrusos también son aficionados de otra arma psicológica utilizada en esta historia: la creación de confianza con un ataque en dos etapas. Se utilizó por primera vez esa conversación locuaz sobre el trabajo en la comercialización, y también se usa "nombre-dropping" - dando el nombre de otro empleado - una persona real, dicho sea de paso, al igual que el nombre que se utilizó fue el nombre de un verdadero empleado. He podría haber seguido la conversación apertura de inmediato con una solicitud para entrar en una sala de conferencias. Pero en vez de eso se sentó por un rato y fingió trabajar, supuestamente esperando a su socio, otra manera de disipar cualquier sospecha de posibles debido a que un intruso no colgar alrededor. No

colgar alrededor por mucho tiempo, sin embargo, los ingenieros sociales saben mejor que alojarse en el lugar de los hechos por más tiempo de lo necesario.

Mitnick MENSAJE Allowinga extraño en un área donde se puede conectar un ordenador portátil en el corporativo Network aumenta el riesgo de un incidente de seguridad. Es perfectamente razonable para un empleado, sobre todo uno de fuera del sitio, que desea comprobar su correo electrónico desde un conferencsala de correo, pero a menos que el visitante se establece como un empleado de confianza o la red está segmentada para evitar conexiones no autorizadas, este puede ser el eslabón débil que permite que los archivos de la empresa se vea comprometida. Just para el registro: Por las leyes en los libros en el momento de escribir estas líneas, Anthony no se había cometido un crimen cuando entró en el vestíbulo. No se había cometido un crimen cuando usó el nombre de un empleado real. No se había cometido un crimen cuando habló su camino a la sala de conferencias. No se había cometido un crimen cuando él enchufado a la red de la empresa y buscó el equipo de destino. Not hasta que realmente se rompió en el sistema informático hizo romper la ley. Espiando a KEVIN Hombrey años atrás, cuando yo estaba trabajando en una pequeña empresa, empecé a notar que cada vez que entré en la oficina que compartía con las tres personas de otro equipo que formaban el departamento de TI, un chico especial (Joe, le voy a llamar aquí) rápidamente cambiar la pantalla de su ordenador a una ventana diferente. De inmediato lo reconoció como sospechoso. Cuando ocurrió dos veces más los sdía ame, yo estaba seguro de que algo estaba pasando que yo deba saber. ¿Qué era ese tipo hasta que él no quería que yo veo? Joe 's equipo actuó como un terminal para acceder a las minicomputadoras de la compañía, así que instalé un programa de vigilancia de la minicomputadora VAX sombrero me permitió espiar lo que estaba haciendo. El programa actúa como si una cámara de televisión estaba mirando por encima del hombro, y me mostró exactamente lo que estaba viendo en su computadora. Mescritorio y estaba al lado de Joe, me di la pantalla lo mejor que pude para ocultar parcialmente su punto de vista, pero podía haber mirado a través de un momento a otro y se dio cuenta Yo wcomo espiar a él. No es un problema, estaba cautivado demasiado en lo que estaba haciendo para darse cuenta. ¿Qut vi hizo que mi mandíbula caída. Observé, fascinado, como el hijo de puta called hasta mis

datos de la nómina. Estaba mirando a mi sueldo! Yo h a d estado allí sólo unos pocos meses en el momento y supuse que Joe no podía stand la idea de que yo podría haber estado haciendo más de lo que era. Unos minutos más tarde vi que estaba descargando las herramientas utilizadas por hackers hackers con menos experiencia que no saben lo suficiente acerca de la programación para elaborar el

herramientas por sí mismos. Así que Joe no tenía ni idea, y no tenía idea de que uno de los hackers más expertos estadounidenses estaba sentada junto a él. Pensé que era muy gracioso. He ya tenía la información acerca de mi sueldo, de modo que era demasiado tarde para detenerlo. Además, cualquier empleado con acceso a una computadora en el IRS o la Administración del Seguro Social puede mirar su salario para arriba. Estoy seguro que no quería inclinar la mano, haciéndole saber que había encontrado lo que estaba haciendo. Mi objetivo principal en el momento de mantener un perfil bajo, y un ingeniero de bien social no hace publicidad de sus habilidades y conocimientos. Siempre quieres que la gente te subestimes, no te ven como una amenaza. So lo dejo ir, y se echó a reír a mí mismo que Joe creía saber algún secreto sobre mí, cuando era al revés: yo tenía la ventaja de saber lo que había estado haciendo. Con el tiempo descubrí que mis tres compañeros de trabajo en el grupo de TI se divertían buscando el dinero que lleva a casa de tal o cual secretario lindo o (para la niña uno en el grupo), de aspecto pulcro hombre que habían visto. Y fueron todos saber el sueldo y las primas de nadie en la empresa tenían curiosidad sobre, incluyendo la alta gerencia. LaCon el nalyzing Esta historia ilustra un problema interesante. Los archivos de nómina son accesibles a ªpersonas e que tenían la responsabilidad de mantener los sistemas informáticos de la empresa. Así que todo se reduce a una cuestión personal: decidir quién se puede confiar. En algunos casos, el personal que le resulte irresistible a husmear. Y tienen la capacidad para hacerlo, porque tienen privilegios que les permiten eludir los controles de acceso a esos archivos. Una salvaguardia sería auditar el acceso a los archivos especialmente sensibles, éxitoh como nómina. Por supuesto, cualquier persona que tenga los privilegios necesarios puede deshabilitar la auditoría o posiblemente eliminar las entradas que apuntan de nuevo a ellos, pero cada paso adicional requiere más esfuerzo para ocultar por parte de un empleado sin escrúpulos. PREVENTING CON EL From pateando en su basura para engañar a un guardia de seguridad o recepcionista, social ingenieros físicamente pueden invadir su espacio corporativo. Sin embargo, se le alegra saber que hay medidas preventivas que puede tomar. Protección After Hours All los empleados que llegan al trabajo sin sus placas les debe exigir que

stop en el vestíbulo o en la oficina de seguridad para obtener una tarjeta de identificación temporal para el día. El incidente en la primera historia de este capítulo podría haber llegado a un muy diferente

estafaconclusión si los guardias de seguridad de la empresa ha tenido un conjunto específico de pasos a seguir cuando se enfrentan a cualquier persona sin la credencial de empleado requerido. Para las empresas o áreas dentro de una empresa, donde la seguridad no es una preocupación de alto nivel, puede que no sea importante insistir en que cada persona tiene una tarjeta de identificación visible en todo momento. Pero en las empresas de las zonas sensibles, esto debería ser un requisito estándar, rígidamente aplicadas. Los empleados deben ser entrenados y motivados para desafiar a las personas que no muestran una insignia, y empleados de niveles superiores deben aprender a aceptar estos desafíos sin causar vergüenza a la persona que se lo impide. Companpolítica y debe informar a los empleados de las penas para aquellos que de forma sistemática no llevar sus insignias, las sanciones podrían incluir el regreso del empleado para el día sin goce de sueldo, o una anotación en su expediente personal. Algunas compañías de instituir una serie de sanciones más estrictas cada vez que pueden incluir notificar el problema al administrador de la persona, entonces la emisión de una advertencia formal. YoAdemás n, donde existe información sensible que proteger, la empresa debe establecer procedimientos para la autorización de las personas que necesitan visitar durante las horas no laborables. Una solución: exigir que se tomen medidas a través de la seguridad social o algún otro grupo designado. Este grupo rutinariamente verificar la identidad de cualquier empleado llamar para concertar una hora fuera de visita por una llamada al supervisor de la persona o algún otro método razonablemente seguro. El tratamiento de la basura con respeto The-Dumpster diving historia se clavaron en los malos usos potenciales de la basura corporativa. The ocho llaves de la sabiduría con respecto a la basura: ClasifY Todos los información sensible basado en el grado de sensibilidad. Establecer en toda la empresa los procedimientos para desechar la información sensible. Insist que toda la información sensible que descartar primero ser desmenuzado, y proporcionar una manera segura para deshacerse de la información importante en trozos de papel demasiado pequeño para la trituración. Trituradoras no debe ser el tipo de presupuesto de gama baja, que resultan tiras de papel que un atacante determinado, paciencia dado lo suficiente, puede volver a montar. En su lugar,

tienen que ser del tipo llamado cross-trituradoras, o los que representar el resultado en pulpa inútil. Providea camino para inutilizar o borrar por completo los medios informáticos disquetes, discos Zip, CD y DVD usados para el almacenamiento de archivos, cintas extraíbles, viejos discos duros y otros medios informáticos - antes de ser desechado. Recordar

THAt borrar archivos en realidad no eliminarlos, sino que todavía se puede recuperar - como ejecutivos de Enron y muchos otros han aprendido a su consternación. Simplemente dejando caer los medios informáticos en la basura es una invitación a su buzo local Dumpster ambiente. (Vea el Capítulo 16 para obtener directrices específicas sobre la disposición de los medios y dispositivos.) Mantenienn un nivel adecuado de control sobre la selección de las personas en sus equipos de limpieza, usando controles de antecedentes, si procede. Reminempleados d periódicamente para reflexionar sobre la naturaleza de los materiales que están arrojando a la basura. Lock contenedores de basura. Nosotrose recipientes de eliminación selectiva de materiales sensibles, y el contrato para que los materiales cedidos por una empresa que se especializa unidos en este trabajo. Saying adiós a los empleados Thletra e se ha hecho anteriormente en estas páginas acerca de la necesidad de procedimientos acorazados cuando un empleado que se marcha ha tenido acceso a información sensible, contraseñas, números de marcado, y similares. Sus procedimientos de seguridad que proporcionan una manera de no perder de vista quién tiene autorización para varios sistemas. Puede ser difícil mantener un ingeniero social determinado se deslice más allá de las barreras de seguridad, pero no hacen que sea fácil para un ex-empleado. Another paso por alto fácilmente: Cuando un empleado que estaba autorizado a recuperar las cintas de copia de seguridad de las hojas de almacenamiento, una política por escrito que debe llamar a la empresa de almacenamiento para ser inmediatamente notificada a quitar su nombre de la lista de autorizaciones. Chapter 16 de este manual se proporciona información detallada sobre este tema vital, pero será útil enumerar aquí algunas de las disposiciones clave de seguridad que deben estar en su lugar, como se destaca en esta historia.: Una lista completa y detallada de los pasos que se deben tomar a la salida de un empleado, con disposiciones especiales para los trabajadores que tenían acceso a los datos confidenciales. Una política de terminar el acceso del empleado ordenador inmediatamente - de preferencia antes de que la persona ha llegado a salir del edificio. Un procedimiento para recuperar insignia de identificación de la persona, así como todas las claves de acceso o dispositivos electrónicos.

Disposicións que requieren guardias de seguridad para ver identificación con foto antes de admitir a cualquier empleado que no tiene que pasar su seguridad, así como para comprobar el nombre en una lista para verificar que la persona sigue siendo empleado de la organización. Algunos pasos más le parecerá excesivo o demasiado costoso para algunas empresas, pero que son apropiados para los demás. Entre estas medidas de seguridad más estrictas son las siguientes: Tarjetas de identificación electrónicas combinadas con escáneres en las entradas, cada uno de los empleados golpetazos ¡Holas badge through ªe scanner for unn instantáneoaneous electrónico determinación de que la persona sigue siendo un empleado actual y con derecho a entrar en el edificio. (Tenga en cuenta, sin embargo, que los guardias de seguridad todavía debe ser entrenado para estar alerta para que lleva a cuestas -. Una persona no autorizada por el deslizamiento en la estela de un empleado legítimo) El requisito de que todos los empleados en el mismo grupo de trabajo que la persona va (sobre todo si la persona está siendo despedido) cambiar sus contraseñas. (¿Esto se parece exagerado? Muchos años después de mi tiempo a trabajar en General Telephone, aprendí que los Pacific Bell personal de seguridad, cuando se enteraron de Teléfono General me había contratado ", rodó por el suelo de risa." Pero cuando al crédito general Telephone se dieron cuenta de que tenían un hacker de renombre trabajando para ellos después de que me despidieron, entonces se requiere que las contraseñas pueden cambiar para todos en la compañía!) You no desea que sus instalaciones para sentirse como cárceles, pero al mismo tiempo es necesario para defenderse contra el hombre que fue despedido ayer, pero hoy ha vuelto intención de hacer daño. No se olvide Cualquiera Security Politicassdiezd to overlook ªe entry-nivel obrero, people like recepcionistas que no manejan información confidencial de la empresa. Hemos visto en otros lugares que las recepcionistas son un blanco útil para los atacantes, y la historia del robo en la empresa de autopartes es otro ejemplo: una persona amable, vestido como un profesional, que dice ser un empleado de la compañía de otro centro puede no ser lo que parece. Recepcionistas deben estar bien capacitados sobre cortésmente pidiendo identificación de la compañía en su caso, y las necesidades de formación de no ser sólo para la recepcionista principal, pero también para todo aquel que se sienta en el alivio en la recepción durante las pausas del almuerzo o el café. For los visitantes de fuera de la empresa, la política debe exigir que una identificación con fotografía y grabado aparecerá la información. No es difícil

conseguir identificaciones falsas, pero al menos exigentes ID hace pre-texting un grado más difícil para el atacante debería-ser.

Yon algunas empresas, tiene sentido seguir una política que requiere que los visitantes serán escoltados desde el lobby y de reunión en reunión. Los procedimientos deberán requerir que el escolta dejar claro al entregar al visitante a su primera cita que esta persona ha entrado en el edificio como un empleado o no empleado. ¿Por qué es esto importante? Porque, como hemos visto en anteriores stories, un atacante suele hacerse pasar en un pretexto para la persona encontraron por primera vez, y como otra persona a otra. Es demasiado fácil para un atacante para aparecer en el vestíbulo, convencer a la recepcionista que tiene una cita con, por ejemplo, un ingeniero .., entonces será escoltado a la oficina del ingeniero en la que afirma ser un representante de una empresa que quiere vender algún producto de la compañía .. y, a continuación, después de la reunión con el ingeniero, tiene acceso libre para vagar por el edificio. Before admitiendo que un empleado fuera de sitio a los procedimientos locales, adecuados se deben seguir para verificar que la persona es verdaderamente un empleado, recepcionistas y guardias deben ser conscientes de los métodos utilizados por los atacantes para pretexto la identidad de un empleado con el fin de tener acceso a edificios de la empresa. How sobre la protección contra el atacante que cons su camino en el interior del edificio y se las arregla para conectar su portátil a un puerto de red detrás del firewall de la empresa? Con la tecnología de hoy en día, se trata de un reto: salas de conferencias, salas de formación y áreas similares no deben salir de los puertos de red no segura, pero debe protegerlos con cortafuegos o routers. Pero una mejor protección que provienen de la utilización de un método seguro para autenticar a los usuarios que se conectan a la red. Secure IT! Una palabra al sabio: En tu propia empresa, todos los trabajadores de TI probablemente sabe o Californian conocer en momentos cuánto ganan, cuánto el director general se lleva a casa, y que está utilizando el avión de la empresa para ir de vacaciones de esquí. Ess posible incluso en algunas empresas para la gente de TI o personas contables para aumentar sus propios salarios, hacer pagos a un proveedor falso, retire las calificaciones negativas de los registros de recursos humanos, y así sucesivamente. A veces es sólo el temor de ser descubierto que los mantiene honesto .., y entonces un día a lo largo viene alguien cuya codicia o deshonestidad nativo hace que él (o ella) ignorar el riesgo y tomar lo que él cree que puede salirse con la suya. There son soluciones, por supuesto. Archivos confidenciales se pueden proteger mediante la instalación de controles de acceso adecuados para que sólo las personas autorizadas pueden abrir. Algunos sistemas operativos tienen controles

de auditoría que se pueden configurar para mantener un registro de ciertos eventos, como cada persona que intenta acceder a un archivo protegido, independientemente de si el intento tiene éxito.

Yof su empresa ha entendido esta cuestión y ha implementado los controles apropiados de acceso y auditoría que protege los archivos confidenciales - usted está tomando medidas de gran alcance en la dirección correcta.

Chapter 11 Comcombinando Ingeniería Tecnología y Social
Vive un ingeniero social por su capacidad para manipular a la gente a hacer cosas que le ayuden a lograr su objetivo, pero el éxito a menudo también requiere un alto grado de conocimiento y destreza con los sistemas informáticos y sistemas telefónicos. Aquí 'sa de muestreo típicas estafas de ingeniería social donde la tecnología jugó un papel importante. HackinG ENTRE REJAS ¿Qut son algunas de las instalaciones más seguras que se pueda imaginar, protegido contra rodaje, Ya sea física de telecomunicaciones, electrónica o en la naturaleza? Fort Knox? Claro. La Casa Blanca? Por supuesto. NORAD, el North American Air Defense instalación enterrada bajo una montaña? Definitivamente. How sobre prisiones federales y centros de detención? Deben ser tan segura como cualquier lugar en el país, ¿no? La gente rara vez escapar, y cuando lo hacen, normalmente son atrapados en el corto plazo. Se podría pensar que una instalación federal sería invulnerable a los ataques de ingeniería social. Pero sería un error - no hay tal cosa como la seguridad a toda prueba y en cualquier lugar. Hace unos años, un par de timadores (estafadores profesionales) se encontró con un problema. Resultó que había levantado un gran paquete de dinero en efectivo de un juez local. La pareja había estado en problemas con la ley y desactivar a través de los años, pero esta vez las autoridades federales tomaron un interés. Se atrapó a uno de los timadores, Charles Gondorff, y lo lanzó en un centro correccional, cerca de San Diego. El juez federal ordenó su reclusión como peligro de fuga y un peligro para la comunidad. ¡Holas amigo Johnny Hooker sabía que Charlie iba a necesitar un abogado defensor. Pero, ¿dónde estaba el dinero que va a venir? la mayoría de los estafadores, su dinero se había ido para siempre buena ropa, leva de lujo y las damas tan rápido como entró Johnny larely tenía lo suficiente para vivir. Thdinero electrónico por un buen abogado tendría que venir corriendo desde otra estafa. Johnny no estaba en condiciones de hacer esto en esta cuenta. Charlie Gondorff siempre había sido el cerebro detrás de sus contras. Pero Johnny no se atrevió a visitar el centro de detención para preguntar Charlie qué no, cuando los federales sabían que habían sido dos hombres involucrados en la estafa y estaban tan ansiosos de poner sus manos sobre la otra. Sobre todo porque la familia sólo se puede visitar. lo que significaba que tendría que mostrar una identificación falsa y afirmar que es un miembro de la familia. Tratar de usar identificación falsa en una prisión federal no sonaba como una buena idea.

No, Que tendría que ponerse en contacto con Gondorff alguna otra manera. Yot no sería fácil. Ningún preso en cualquier instalación federal, estatal o local se le permite recibir llamadas telefónicas. Un letrero colocado por cada teléfono interno en un centro de detención federal dice algo así como: "Este aviso es para informar al usuario de que todo conversacións de teléfono están sujetos a la supervisión. y el uso del teléfono constituye el consentimiento para el seguimiento. Tener gubernamfuncionarios rentes escuchar las llamadas telefónicas mientras se comete un delito tiene una manera de ampliar sus fondos federales planes de vacaciones. Johnny sabía, sin embargo, que algunas de las llamadas telefónicas no fueron controlados: las llamadas entre el recluso y su abogado, protegido por la Constitución como clientcomunicaciones de abogados, por ejemplo. De hecho, la instalación donde Gondorff wcomo mantenidos había teléfonos conectados directamente a la Oficina del Defensor Público Federal. Tome uno de esos teléfonos, y una conexión directa yos hizo para el teléfono correspondiente en el PDO. La compañía telefónica llama a este servicio Direct Connect. Las autoridades desprevenidas asumir el servicio es seguro e invulnerable a las manipulaciones ya saliente llamars sólo puede ir a la DOP y las llamadas entrantes se bloquean. Incluso si alguien were algún modo capaz de averiguar el número de teléfono, los teléfonos are programado en el conmutador de la compañía telefónica como negar terminar, which yos un torpe teléfono plazo de la empresa para el servicio cuando las llamadas entrantes are not permitido. Ya que cualquier estafador medianamente decente está bien versado en el arte del engaño, Johnny pensó que tenía que haber alguna forma de evitar este problema. Desde dentro, Gondorff ya había intentado recoger a uno de los teléfonos con DOP y diciendo: "Este es Tom, en el centro de reparación de teléfonos de la empresa. LINGO DIRECT CONNECT Teléfono plazo de la empresa de una línea telefónica que va directamente a un número específico al recogerlo DENY TERMINE Una compañía de teléfonos opción de servicio donde el equipo de conmutación se establece que las llamadas entrantes no puede ser recibida en un número de teléfono

We're de realizar una prueba en esta línea y yo necesito que lo intentes marcar nueve, y luego cero-cero. "Los nueve habría accedido a una línea externa, el cerocero, entonces habría llegado a un operador de larga distancia. didn 't trabajar la persona que contesta el teléfono en la DOP era moderno ya a ese truco. Johnny estaba teniendo más éxito. Él rápidamente se enteró de que había diez unidades de vivienda en el centro de detención, cada uno con una línea de teléfono de conexión directa a la Oficina del Defensor Público. Johnny se encontró con algunos obstáculos, pero al igual que un ingeniero social, pudo pensar que su camino alrededor de estos tropiezo molesto

bloques. ¿Qué unidad era en Gondorff? ¿Cuál fue el número de teléfono de los servicios de conexión directa en esa unidad de vivienda? ¿Y cómo iba a conseguir inicialmente un mensaje a Gondorff sin que sea interceptado por funcionarios de la prisión? ¿Qut puede parecer imposible para la gente normal, como la obtención de los números de teléfono secretos ubicados en instituciones federales, es muy a menudo no es más que un par de llamadas fuera de un estafador. Después de un par de noches, y lanzando una lluvia de ideas de tornear plan, Johnny se despertó una mormng con todo el asunto expuesto en su mente, en cinco pasos. Primero, Él iba a encontrar los números de teléfono de esos diez teléfonos de conexión directa a la DOP. He'd tienen todos los diez cambiado de modo que los teléfonos permitiría a las llamadas entrantes. Había averiguar qué unidad de vivienda Gondorff estaba en marcha. Lan él averiguaría qué número de teléfono fue a esa unidad. Por último, había arreglos con Gondorff cuándo esperar su llamada, sin que el gobierno sospechaba nada. Pedazo pensó. un pastel ",

Calling Ma Bell ... Johnny comenzó a llamar a la compañía telefónica oficina de negocios con el pretexto de ber de la Administración de Servicios Generales, la agenc responsable de la compra de bienes y servicios para el gobierno federal. He dijo que estaba trabajando en una orden de compra de servicios adicionales y necesarios a conocer la información de facturación de los servicios de conexión directa actualmente en uso, incluidos los números de teléfono de trabajo y el costo mensual de la San Diego detention centavoer. The lady Washingtons happy to ayudar. Just para asegurarse, trató de marcar en una de esas líneas y fue contestado por la grabación audichron típico "Esta línea ha sido desconectada o ya no está en servicio", lo cual significaba que no sabía nada de amable, pero quería decir en cambio que la línea era programado para bloquear las llamadas entrantes, tal como él esperaba.

He sabía por su amplio conocimiento de las operaciones de las compañías telefónicas y los procedimientos que había que llegar a un departamento llamado recientes ChangAutorización e Memory Center o RCMAC (yo siempre pregunto que mAKES hasta estos nombres). Empezó llamando a la compañía telefónica Business Oficina, Dijo que estaba en reparación y necesitaba saber el número de la RCMAC

que maneja el área de servicio para el código de área y el prefijo que dio, que fue notificada de la misma oficina central para todas las líneas telefónicas en el centro de detención. Era una petición de rutina, tal como se contempla para los técnicos en la materia que necesitan algún tipo de asistencia, y el empleado no dudó en darle el número. He llamado RCMAC, dio un nombre falso y otra vez dijo que estaba en reparación He tenido la señora que contestó el acceso a uno de los números de teléfono que había estafado fuera de la oficina de negocios de unas cuantas llamadas antes, cuando ella tenía hasta, Johnny preguntó: "Yos the number set to deny termination? "Sí," dijo ella. "BuenoEso explica por qué el cliente no es capaz de recibir llamadas! ", Dijo Johnny." Oye, ¿me puedes hacer un favor. Te necesito para cambiar la clase de línea bacalaoe o eliminar la función de negar terminar, ¿de acuerdo? "Hubo una pausa mientras se checked otro sistema informático para verificar que una orden de servicio se había colocado a autorizar el cambio. Ella dijo: "Ese número se supone que se restrinja fosaliente r llamars sólo. No hays no sírvicio orden para un cambiar." "Cierto, es un error. Se suponía que íbamos a procesar el pedido ayer, pero el representante de cuenta regular que se encarga de este cliente fue a su casa enfermo y se olvidó de que alguien más se ocupe de la orden para ella. Así que ahora, por supuesto, el cliente está en pie de guerra al respecto ". En popaer una pausa momentánea mientras la señora reflexionado sobre esta solicitud, que estaría fuera de lo común y en contra de los procedimientos operativos estándar, SHe dijo: "Está bien." Podía oír su tipificación, entrando en el cambio. Y unos segundos más tarde, se hizo. The hielo se había roto, una especie de complicidad que se establece entre ellos. Lectura de la actitud de la mujer y su voluntad de ayudar, Johnny no dudó en ir a por todas. Él dijo: "¿Tiene unos minutos más para que me ayude?" "Sí", respondió ella. "¿Qué necesitas?" "I've got a varias líneas de otros que pertenecen a un mismo cliente, y todos tienen el mismo problema. Voy a leer los números, por lo que puede asegurarse de que no está listo para terminar negar - bien "Ella dijo que estaba bien. Unos minutos más tarde, los diez líneas telefónicas habían sido "arreglado" para aceptar llamadas entrantes.

Encontrar Gondorff Próximo, Averiguar qué unidad de vivienda Gondorff estaba en marcha. Esta es la información que el people que dirigen los centros de detención y prisiones definitivamente no queremos forasteros saber. Una vez más, Johnny tuvo que recurrir a sus habilidades de ingeniería social. Él hizo una llamada a una prisión federal en otra ciudad - llamó Miami, but cualquiera hubiera funcionado - y afirmó que estaba llamando desde el centro de detención de Nueva York. Pidió hablar con alguien que trabajaba con el ordenador Sentry de la Mesa, el sistema informático que contiene información sobre todos los prisioneros detenidos en una Oficina de Prisiones facilidad en cualquier parte del país. Blancoen que la persona se puso al teléfono, Johnny se puso el acento de Brooklyn. "Hola", dijo. "Se trata de Thomas en el New York FDC. Nuestra conexión con Sentry sigue bajando, se puede encontrar la ubicación de un prisionero para mí, creo que esto puede ser prisionero de su institución", y dio nombre Gondorff y su número de registro. "No, Él no está aquí ", dijo el chico después de un par de minutos." Está en el centro penitenciario de San Diego. " Johnny fingió estar sorprendido. "San Diego Se suponía que iba a ser trasladado a Miami en puente aéreo el mariscal de la semana pasada ¿Estamos hablando del mismo tipo -? Qué hay fecha de nacimiento del tío" 12/3/60,"El hombre leyó en su pantalla. "Si, Que es el mismo tipo. ¿Qué unidad de vivienda está? " "Éls en Diez Norte ", dijo el hombre - alegremente responder a la pregunta a pesar de que no hay ninguna razón concebible por qué un empleado de la prisión en Nordestew York tendría que saber esto. Johnny ahora se había convertido en los teléfonos para las llamadas entrantes, y sabía que la vivienda Gondorff unidad estaba en marcha. A continuación, averiguar qué número de teléfono conectado a la unidad Diez Norte. This fue un poco difícil. Johnny llamó a uno de los números. Sabía que el timbre

del teléfono se apaga, nadie sabría que estaba sonando. Así que se sentó allí leyendo Europa Fodor} guía de viajes a Great Cities. mientras se escucha el zumbido constante en el altavoz hasta que finalmente alguien recogió. El preso en el otro extremo, por supuesto, tratando de llegar a ser su abogado de oficio. Johnny fue preparado con la respuesta esperada. "La Oficina del Defensor Público", anunció.

When el hombre le pidió su abogado, Johnny dijo: "Voy a ver si está disponible, ¿qué unidad de vivienda está llamando?" Anotó la respuesta del hombre, hace clic en bodega, regresó al cabo de medio minuto y dijo: "Está en la corte, usted tendrá que volver a llamar más tarde", y colgó. He había pasado la mayor parte de la mañana, pero podría haber sido peor, su cuarto intento resultó ser de diez Norte. Así que Johnny ya sabía el número de teléfono en el teléfono PDO en la unidad de vivienda Gondorff. Sincronizar sus relojes Now para llegar un mensaje a Gondorff en cuando a recoger la línea telefónica que conecta directamente los internos a la Oficina del Defensor Público. ] 'La suya era más fácil de lo que parece. Johnny llamó al centro de detención con su oficial de voz con sonido, se identificó como empleado, y pidió ser transferido a Diez Norte. La llamada se puso a través. Cuando el oficial correccional allí recogidos, Johnny lo estafó con abreviatura de la información privilegiada para la recepción y descarga, la unidad que procesa los nuevos internos en y salen los: "Este es Tyson en I + D", dijo. "Necesito hablar con Gondorff preso. Tenemos alguna propiedad de su tenemos que enviar y necesitamos una dirección donde quiere que lo envió. ¿Podrías llamarlo al teléfono de mí?" Johnny podía oír el guardia gritaba a través del cuarto día. Después de varios minutos un impacientes, una voz familiar se puso al teléfono. Johnny le dijo: "No digas nada hasta que me explique de qué se trata". Explicó el pretexto para Johnny podría sonar como si estuviera discutiendo cuando sus bienes se entregará. Johnny dijo entonces: "Si usted puede conseguir en el teléfono a un defensor público esta tarde, no responden. Si no puede, entonces diga una vez que se Californian estar ahí ". Gondorff no respondió. Johnny continuó:" Bien. Estar allí a la una. Te llamo luego. Levante el teléfono. Yon caso de que empiece a sonar a la Defensoría del Pueblo, el flash del gancho conmutador cada veinte segundos. Sigue intentándolo hasta que oigas mi lado en el otro extremo. " A la una, Gondorff cogió el teléfono, y Johnny estaba allí esperándolo. Tenían un hablador, conversación agradable, sin prisas, dando lugar a una serie de llamadas similares a planear la estafa que reunir el dinero para pagar los honorarios legales Gondorff - todo libre de la vigilancia gubernamental. LaCon el nalyzing Este episodio ofrece un excelente ejemplo de cómo un ingeniero social puede hacer que el seeminglimposible y pasar por estafar a varias personas, cada uno haciendo

something que, por sí mismo, parece intrascendente. En realidad, cada acción proporciona una pequeña pieza del rompecabezas hasta que la estafa se ha completado. The primer empleado de compañía de teléfono pensaba que estaba dando información a alguien de la oficina del gobierno federal de Contabilidad General. El empleado de la compañía telefónica próximo sabía que no iba a cambiar la clase de servicio telefónico sin una orden de servicio, pero ayudó al hombre amable de todos modos. Esto hizo posible realizar llamadas a través de las diez de las líneas telefónicas de defensores públicos en el centro de detención. For al hombre en el centro de detención en Miami, la petición para ayudar a alguien en otra instalación federal con un problema parecía perfectamente razonable. Y a pesar de que no parecía haber ninguna razón por la que le gustaría saber la vivienda, ¿por qué no responder a la pregunta? Und la guardia en Diez Norte, que creía que la llamada era realmente desde dentro de la misma instalación, llamando en comisión de servicio? Era una petición muy razonable, así que llamó la Gondorff preso al teléfono. No es gran cosa. Una serie de historias bien planificadas que han añadido hasta completar la picadura. THE SPEEDY DOWNLOAD Tcuarto año después de haber terminado la escuela de derecho, Ned Racine vio a sus compañeros de clase viviendog en casas bonitas con jardines delanteros, pertenecientes a clubes de campo, jugar al golf una vez o dos veces por semana, mientras que él todavía estaba manejo penny-ante los casos para el tipo de gente que nunca tuvo el dinero suficiente para pagar su factura. Los celos pueden ser un compañero desagradable. Finalmente, un día, Ned había tenido suficiente. The un buen cliente que había tenido era una empresa de contabilidad de la pequeña pero muy exitosa que se especializó en fusiones y adquisiciones. No habían utilizado Ned por mucho tiempo, sólo el tiempo suficiente para darse cuenta de que estaban involucrados en negocios que, una vez que lleguen los periódicos, podrían afectar la cotización de las acciones de una o dos empresas que cotizan en bolsa. Ante Penny-, tablón de anuncios, las acciones, pero de alguna manera que era incluso mejor - un pequeño salto en los precios podría representar un gran porcentaje de ganancia en una inversión. Si pudiera aprovechar sus archivos y averiguar lo que estaban trabajando en ... He conocí a un hombre que conocía a un hombre que fue sabio en cosas no exactamente en la corriente principal. El hombre escuchó el plan, fue despedido y

accedió a ayudar. Por un precio menor de lo que generalmente se cobra, frente a un porcentaje del mercado de valores de Ned

matanza, El hombre dio instrucciones Ned sobre qué hacer. También le dio un dispositivo pequeño y práctico de usar, algo totalmente nuevo en el mercado. Fora pocos días en una fila Ned vigilaba el aparcamiento del parque de la pequeña empresa, donde la compañía tenía sus pretensiones de contabilidad, como escaparate-oficinas. La mayoría de las personas que quedaron entre las 5:30 y 6. A las 7, el aparcamiento estaba vacío. El equipo de limpieza se presentaron alrededor de las 7:30. Perfecto. Thnoche e próximo a unos minutos antes de las 8, Ned aparcado al otro lado de la calle de la playa de estacionamiento. Como esperaba, el aparcamiento estaba vacío, excepto por el camión de la empresa de servicios de limpieza. Ned puso su oreja a la puerta y oyó la aspiradora en funcionamiento. Llamó a la puerta muy fuerte, y se quedó esperando en su traje y corbata, sosteniendo su muy gastado maletín. No hubo respuesta, pero era paciente. Llamó de nuevo. Un hombre del equipo de limpieza por fin apareció. "Hola", le gritó Ned a través de la puerta de cristal, mostrando la tarjeta de visita de uno de los socios que había recogido un tiempo anterior. "Cerré mis llaves en mi coche y necesito llegar a mi escritorio." Thhombre e abrió la puerta, la cerró de nuevo detrás de Ned, y luego se fue por el pasillo de encender luces para Ned podía ver por dónde iba. Y por qué no - que estaba siendo amable con una de las personas que ayudaron a poner comida en su mesa. O eso es lo que él tenía todas las razones para pensar. Mitnick MENSAJE Industrial espías e intrusos informáticos a veces hacer una entrada física en ªe dirigido negocio. En lugar de usar una palanca para entrar, el ingeniero social usa el arte del engaño para influir en la persona del otro lado de la puerta se abriera para él. Ned sentó a la computadora de uno de los socios, y la encendió. Mientras que fue puesta en marcha, instaló el pequeño dispositivo que le habían dado en el puerto USB de la computadora, un dispositivo lo suficientemente pequeño para llevar en un llavero, pero capaz de contener más de 120 megabytes de datos. Se registra en la red con el nombre de usuario y la contraseña del secretario de la pareja, los cuales fueron escritos por conveniente en un post-it pegado a la pantalla. En menos de cinco minutos, Ned había descargado cada hoja de cálculo y archivo de documentos almacenados en la estación de trabajo y de directorio de red del socio y estaba en su camino a casa. EASY DINERO When tuve mi primer contacto con las computadoras en la escuela secundaria, había que conectarse a través de un módem para una central de DEC PDP 11 miniordenador en el centro de Los

Angeles

THAt todas las escuelas secundarias de Los Ángeles compartido. El sistema operativo en ese equipo fue llamado RSTS / E, y fue el sistema operativo que aprendió a trabajar. Lan ese momento, en 1981, DEC patrocinó una conferencia anual de usuarios de sus productos, y un año leí que la conferencia iba a celebrarse en Los Ángeles Una revista popular para los usuarios de este sistema operativo llevado a un anuncio sobre un nuevo producto de seguridad, LOCK-11. El producto se está promoviendo una campaña de publicidad inteligente que decía algo así como: "Son las 3:30,. M. y Johnny por la calle de encontrar su número telefónico, 5550336, en su intento 336a. Está en y usted estás fuera. Cómo LOCK-11. " El producto, el anuncio sugiere, era a prueba de hackers. Y que iba a ser expuesta en la conferencia. Yo estaba ansioso por ver el producto por mí mismo. Un compañero de la escuela secundaria y amigo, Vinny, mi compañero de hacking desde hace varios años que luego se convirtió en un informante federal contra mí, compartía mi interés en el nuevo producto de diciembre, y me animó a ir a la conferencia con él. Cash en la línea We Llegamos a encontrar un gran ruido ya dar la vuelta a la multitud en la feria about LOCK-11. Parecía que los desarrolladores estaban apostando dinero en la línea de una apuesta en la que nadie podía entrar en su producto. Sonaba como un reto que no podía resistir. We se dirigió directamente hacia el LOCK-11 cabina y lo encontró tripulada por tres hombres que fueron los creadores del producto, las reconocí y me reconoció incluso en la adolescencia, ya tenía la reputación de ser un phreaker y hacker debido a una gran noticia el diario Los Angeles Times se había quedado con mi primer contacto con las autoridades de menores. El artículo informaba de que había hablado mi camino en un edificio Teléfono Pacífico en medio de la noche y salió con manuales de computadora, justo debajo de la nariz de su guardia de seguridad. (Aparece el Times quería correr una historia sensacionalista y sirvió a sus propósitos de publicar mi nombre, porque yo era todavía menor de edad, el artículo violaba la medida, si no la ley de retener los nombres de los menores acusados de mala conducta.) Blancoen Vinny y yo caminamos hacia arriba, ir creado cierto interés por ambas partes. Hubo un interés de su parte porque me reconoció como el hacker que había leído y que eran un poco sorprendido de verme. Se creó un interés de nuestro lado, porque cada uno de los tres desarrolladores de pie allí con un billete de $ 100 que salen de su placa feria. El dinero del premio para alguien que podía derrotar a su sistema sería el conjunto $ 300 - que sonaba como una gran cantidad de dinero a un par de adolescentes. Casi no podía esperar para empezar.

LOCK-11 fue diseñado en un principio establecido que se basó en dos niveles de seguridad. Un usuario tenía que tener una identificación válida y una contraseña, como siempre, pero además el identificador y la contraseña sólo funciona cuando entraron los terminales autorizados, un enfoque llamado la característica con la seguridad. Para derrotar al sistema, un hacker necesitaría no sólo tener conocimiento de un ID de cuenta y contraseña, pero también tendría que entrar en esa información desde la terminal correcta. El método fue bien establecido, y los inventores de LOCK-11 estaban convencidos de que mantendría a los chicos malos. Decidimos que íbamos a darles una lección, y ganar 300 dólares para arrancar. Un tipo que sabía que era considerado un gurú RSTS / E ya nos había golpeado a la cabina. Años antes había sido uno de los chicos que me habían desafiado a entrar en el equipo interno de desarrollo de diciembre, después de que sus compañeros me había convertido pulg Desde aquellos días se había convertido en un respetado programador. Nos enteramos de que había tratado de derrotar al LOCK-11 programa de seguridad poco antes de llegar, pero no había podido. El incidente se había dado a los desarrolladores una mayor confianza de que su producto realmente era seguro. LINGO TERMINAL-BASED SEGURIDAD Security basado en parte en la identificación of terminal de computadora particular que se utilice, este método de seguridad era especialmente popular entre los ordenadores centrales de IBM. Thconcurso e era un reto sencillo: usted entrar, usted gana el dinero. Un buen truco publicitario .., a menos que alguien fue capaz de avergonzar y tomar el dinero. Estaban tan seguros de su producto que estaban aún lo suficientemente audaces para tener un listado publicado en el stand de dar los números de cuenta y contraseñas correspondientes a algunas cuentas en el sistema. Y no sólo las cuentas de usuarios normales, pero todas las cuentas privilegiadas. That fue en realidad menos arriesgada de lo que parece: En este tipo de configuración, lo sabía, cada terminal está conectado a un puerto en el propio ordenador. No era un genio para averiguar que habían establecido las cinco terminales en la sala de conferencias por lo que un visitante pueda acceder sólo como un usuario sin privilegios - es decir, las conexiones son posibles sólo a las cuentas sin privilegios de administrador del sistema. Parecía que sólo había dos caminos: o bien no utilizan el software de seguridad completo - exactamente lo que el LOCK-11 fue diseñado para prevenir, o de alguna manera eludir el software de forma que los desarrolladores no habían imaginado. Aceptar el desafío Vinny y yo caminamos lejos y habló sobre el desafío, y se me ocurrió una plan. Nos recorriendo el lugar inocentemente, manteniendo un ojo en la cabina

desde la distancia. Al mediodía, cuando la multitud adelgazado, los tres desarrolladores tomaron

advantage de la ruptura y se quitó juntos para conseguir algo de comer, dejando tras de sí a una mujer que podría haber sido la esposa o la novia de uno de ellos. Nos paseó hacia atrás y me distrajo la mujer, hablando en brazos de esto y aquello, "¿Cuánto tiempo ha estado en la compañía?" ¿Qué otros productos tiene su empresa en el mercado? "Y así sucesivamente. Meanwhile Vinny, de su línea de visión, se había ido a trabajar, haciendo uso de una habilidad que él y yo habíamos desarrollado. Además de la fascinación de irrumpir en los ordenadores, y mi propio interés en la magia, ambos habíamos estado intrigado por saber cómo abrir cerraduras. Como un niño pequeño, que había rastreado los estantes de una librería subterránea en el Valle de San Fernando que tenía volúmenes en abrir cerraduras, saliendo de esposas, la creación de identidades falsas - todo tipo de cosas que un niño no debía conocer. Vinny, Como yo, había practicado lock-picking hasta que estuvimos muy bien con cualquier run-of-the-mill ferretería bloqueo. Hubo un momento en que me dieron una patada fuera de bromas que implican bloqueos, como alguien que estaba manchado con dos cerraduras para una mayor protección, recogiendo las cerraduras, y los puso-sonar de nuevo en los lugares opuestos, lo que desconcertar y frustrar el propietario cuando trató de abrir cada uno con la tecla equivocada. Yon la sala de exposiciones, seguí mantener a la mujer joven distraído mientras Vinny, en cuclillas en la parte trasera de la cabina para que no pudiera BeSeen, recogió la cerradura de la caja que albergaba su miniordenador PDP-11 y las terminaciones de cables. Para llamar a un armario cerrado con llave era casi una broma. Se asegura con lo cerrajeros se refieren como una cerradura de la oblea, notoriamente fácil de aprender, incluso para los muy torpes, aficionados lockrecolectores como nosotros. Yot se Vinny todos alrededor de un minuto para abrir la cerradura. Dentro del gabinete se encontró justo lo que había imaginado: la tira de puertos para conectar terminales de usuario, y un puerto para lo que se llama la terminal de consola. Este fue el terminal utilizado por el operador del ordenador o administrador del sistema para controlar todos los equipos. Vinny conectado el cable que va desde el puerto de la consola en uno de los terminales de la sala de exposiciones. That significa este terminal uno fue reconocido ahora como un terminal de consola. Me senté ante la máquina y recabled iniciado sesión con una contraseña los desarrolladores tan audazmente había proporcionado. Debido a que el software LOCK-11 identificado ahora que estaba iniciando sesión desde un terminal autorizado, se me concedió el acceso, y estaba conectado con privilegios de administrador del sistema. Yo parcheado el sistema operativo mediante el cambio de manera que desde cualquiera de los terminales en el piso, yo sería capaz de iniciar una sesión como un usuario con privilegios.

Once mi secreto parche se ha instalado, Vinny volvió a su trabajo de desconectar el cable del terminal de volver a enchufarlo donde había estado originalmente. Luego tomó la cerradura, una vez más, esta vez para sujetar la puerta del armario cerrada. Hice una lista de directorio para saber qué archivos estaban en el equipo, en busca de la cerradura-11 del programa y los archivos asociados y tropezó con algo que me pareció chocante: un directorio que no debería haber estado en esta máquina. Los desarrolladores han estado tan confiado, tan seguro de su software era invencible, que no se había molestado en quitar el código fuente de su nuevo producto. Pasando a la adyacente impresa terminal, empecé a imprimir porciones del código fuente sobre las hojas continuas de papel de rayas verdes equipo utilizado en esos días. Vinny apenas había terminado apenas forzar la cerradura cerrada y se reunió conmigo cuando los muchachos regresaron del almuerzo. Me encontraron sentado en la computadora golpear las teclas mientras la impresora sigue rotación de distancia. "What'cha haciendo, Kevin?" preguntó uno de ellos. "Oh, Sólo imprimir su código fuente, "le dije. Asumieron que estaba bromeando, por supuesto. Hasta que miró a la impresora y vio que realmente u, como el código fuente celosamente guardado por su producto. Lay no creía que fuera posible que yo estaba conectado como un usuario con privilegios. "Escriba un Control-T," ordenó uno de los desarrolladores. Yo lo hice. En la pantalla que aparece en la pantalla confirma mi afirmación. El chico se golpeó la frente, como Vinny dijo: "Trescientos dólares, por favor." Mitnick MENSAJE He aquí otro ejemplo de gente inteligente subestimar al enemigo. ¿Qué hay de usted - are está tan seguro acerca de las garantías de seguridad de su empresa que usted apuesta $ 300 contra un atacante romper en? A veces el camino alrededor de un dispositivo de seguridad tecnológica no es el que esperaba. Lay desembolsadas. Vinny y yo caminamos por la pista de feria para el resto del día con los billetes de cien dólares clavados en insignias de conferencias. Todos los que vieron los billetes sabía lo que representaban. Of curso, Vinny y yo no había derrotado a su software, y si el equipo de desarrollo se le había ocurrido a establecer mejores normas para el concurso, o que habían utilizado un bloqueo muy seguro, o había visto a su equipo con más cuidado, no habría sufrido la humillación de ese día - la humillación a manos de un par de adolescentes.

Más tarde me enteré de que el equipo de desarrollo tuvo que pasar por un banco para conseguir un poco de dinero en efectivo: los billetes de cien dólares representaban todo el dinero del gasto que habían traído con ellos. THE diccionario como una herramienta de ataque When alguien obtiene la contraseña, que es capaz de invadir el sistema. En la mayoría circumstances, usted ni siquiera sabe que algo malo ha sucedido. Un atacante joven que llamaré Ivan Peters tenía un objetivo de recuperar el código fuente de un juego electrónico nuevo. No tenía problemas para entrar en la zona ancha de la compañía red, Porque un amigo hacker de suyo había comprometido ya a uno de los servidores web de la compañía. Después de encontrar una vulnerabilidad sin parche en el software de servidor Web, su amigo tenía casi caído de su silla cuando se dio cuenta de que el sistema se había establecido como host de base dual, lo que significaba que tenía un punto de entrada a la red interna . . Pero una vez que Ivan estaba conectado, luego se enfrentan a un reto que era como estar en el interior del Louvre y la esperanza de encontrar la Mona Lisa. Sin un plan de piso, se puede pasear por semanas. La compañía era global, con cientos de oficinas y miles de servidores de un ordenador, y no proporcionan exactamente un índice de desarrollo de sistemas o los servicios de un guía turístico para dirigirlo a la derecha. Instead de utilizar un enfoque técnico para averiguar qué servidor que tenía que apuntar, Ivan utilizó un enfoque de ingeniería social. Colocó las llamadas telefónicas base de criterios similares a los descritos en otras partes de este libro. En primer lugar, calificándola de apoyo técnico, que decía ser empleado de una empresa que tiene un problema de interfaz en un producto que su grupo estaba diseñando. y le pidió el número de teléfono del responsable del proyecto para el equipo de desarrollo de juegos. Lan llamó el nombre que le habían dado, haciéndose pasar por un chico de TI. "Más tarde esta noche", dijo, "estamos cambiando un enrutador y la necesidad de asegurarse de que las personas de su equipo no pierda la conectividad con el servidor. Así que tenemos que saber qué servidores de su equipo utiliza". La red se está mejorando todo el tiempo. Y dando el nombre del servidor no estaría nada de todos modos, ahora ¿verdad? Ya que era protegido por contraseña, sólo tener el nombre no podía ayudar a nadie romper pulg Así que el tipo le dio al atacante el nombre del servidor. Ni siquiera se molestó en llamar al hombre de regreso a verificar su historia, o anote su nombre y número de teléfono. Él sólo dio el nombre de los servidores, y ATM5 ATM6. The Attack

contraseña Lat este punto, Iván cambió a un enfoque técnico para conseguir la autenticación información. El primer paso en la mayoría de los ataques técnicas sobre los sistemas que proporcionan

capacidad de acceso remoto es identificar una cuenta con una contraseña débil, que proporciona un punto de entrada inicial en el sistema. Blancoes un atacante intenta utilizar herramientas de hacking para identificar contraseñas remotamente, el esfuerzo puede requerir que se mantenga conectado a la red de la compañía durante horas a la vez. Es evidente que lo hace a su propio riesgo: Cuanto más tiempo permanece conectado, mayor será el riesgo de ser descubierto y atrapado recibiendo. Lasa paso preliminar, Ivan haría una enumeración, que revela los detalles de un sistema de destino. Una vez más la Internet convenientemente ofrece software para el propósito (en http://ntsleuth.0catch.com, El personaje antes de "captura" es un cero). Ivan encontró varias herramientas de hacking a disposición del público en la Web que automatizó el proceso de enumeración, evitando la necesidad de hacerlo a mano, lo que llevaría más tiempo y por lo tanto corren un riesgo más alto. Sabiendo que la organización en su mayoría desplegados servidores basados en Windows, se descargó una copia de NBTEnum, un NetBIOS (básico de entrada / salida del sistema) la utilidad enumeración. Entró en el IP (Internet Protocol) del servidor ATM5, y comenzó a correr el programa. La herramienta de enumeración fue capaz de identificar varias cuentas que existían en el servidor. LINGO ENUMERATIEN Un proceso que revela el servicio habilitado en el objetivo sistema, La plataforma de sistema operativo, y una lista de nombres de cuentas de los usuarios que tienen acceso al sistema. Once las cuentas existentes habían sido identificados, la herramienta de enumeración mismo tenía la capacidad de lanzar un ataque de diccionario contra el sistema informático. Un ataque de diccionario es algo que muchas personas de seguridad informática e intrusos están íntimamente familiarizados, pero que la mayoría de otras probablemente se sorprenderán al saber que es posible. Tal ataque está dirigido a descubrir la contraseña de cada usuario en el sistema mediante el uso de palabras de uso común. We're todo perezoso en algunas cosas, pero nunca deja de sorprenderme que cuando las personas eligen su contraseñas, Su creatividad y imagination verm a desaparecer. La mayoría de nosotros queremos una contraseña que nos da protección, sino que es a la vez fácil de recordar, lo que normalmente significa algo estrechamente relacionada con nosotros. Nuestros iniciales, nombre, apodo, nombre del esposo, la canción favorita, películas, or cerveza, por ejemplo. El nombre de la calle en que vivimos o la ciudad en que vivimos, el tipo de coche que conducimos, la villa frente a la playa que nos gusta para alojarse en Hawai, o esa secuencia favorita con la mejor pesca de trucha alrededor. Reconocer el patrón aquí? En su mayoría son nombres de personas, nombres de lugares, o palabras de diccionario. Un ataque de diccionario se ejecuta

a través de palabras comunes a un ritmo muy rápido, tratando cada uno como una contraseña en una o más cuentas de usuario.

Ivan dirigió el ataque de diccionario en tres fases. Para el primero, usó una simple lista de alrededor de 800 de las contraseñas más comunes, la lista incluye el trabajo secreto, y la contraseña. También el programa permutado las palabras del diccionario para tratar cada palabra con un dígito adjunto, o de agregar el número del mes en curso. El programa trató cada intento en contra de todas las cuentas de usuario que se habían identificado. No hubo suerte. For el siguiente intento, Iván fue a motor de búsqueda de Google y escribir ", diccionarios, listas de palabras" y fundacionesd mils of sitios ingenioh extensivlistas de palabras e y diccionarios de idiomas inglés y varios. Descargó todo un diccionario Inglés electrónico. Luego mejoró esta descargando un número de palabra listas THAt he fundacionesd ingenioh Google. Ivan chose ªe sentarsee en www.outpost9.com/files/WordLists.html. This sitio le permitió descargar (todo esto es gratis) una selección de archivos, incluidos los nombres de la familia, dado Namek, nombres del Congreso y las palabras, los nombres de actor, y las palabras y los nombres de la Biblia. Another de los muchos sitios que ofrecen listas de palabras que realmente proporciona a través de Oxford Universidad, En ftp://ftp.ox.ac.uk/pub/wordlists. Other sitios ofrecen listas con los nombres de personajes de dibujos animados, las palabras utilizadas en Shakespeare, en la Odisea, Tolkien, y la serie de Star Trek, así como en la ciencia y la religión, y así sucesivamente. (One on-line empresa vende una lista que contiene 4.. 4 millones de palabras y nombres por sólo $ 20) el programa de ataque se puede configurar para poner a prueba los anagramas de las palabras del diccionario, también - otro método favorito que muchos usuarios piensan aumenta su seguridad. Más rápido de lo que piensas Once Iván había decidido qué lista de palabras para usar, y comenzó el ataque, el software corriendo en piloto automático. Él fue capaz de volver su atención a otras cosas. Y aquí está la parte increíble: Se podría pensar que este tipo de ataque permitiría al hacker tomar un Rip van Winkle repetición y el software aún se han hecho pocos progresos cuando se despertó. De hecho, dependiendo de la plataforma de ser atacado, la configuración de seguridad del sistema y la conectividad de red, cada palabra en un diccionario de Inglés puede, increíblemente, se intentará en menos de treinta minutos! While este ataque estaba en marcha, Ivan comenzó otro equipo que ejecuta un ataque similar en el otro servidor utilizado por el grupo de desarrollo, ATM6.

Veinte minutos más tarde, el software de ataque había hecho lo que los usuarios más confiados gusta pensar que es imposible: había roto una contraseña, que revela que uno de los usuarios ha elegido la contraseña "Frodo", uno de los Hobbits en el libro El Señor de los Anillos.

Ingenioh esta contraseña en la mano, Iván pudo conectar con el servidor ATM6 utilizando la cuenta del usuario. There era una buena noticia y una mala noticia para nuestro atacante. La buena noticia fue que la cuenta de que tenía agrietado privilegios de administrador, lo que sería esencial para el siguiente paso. La mala noticia es que el código fuente del juego no estaba en ninguna parte ser encontrado. Debe ser, después de todo, en la otra máquina, el ATM5, que él ya sabía que era resistente a un ataque de diccionario. Pero Iván no iba a abandonar por el momento, todavía tenía algunos trucos más para probar. On algunos de Windows y los sistemas operativos UNIX, hashes de contraseñas (passwords encriptadas) están a disposición de cualquiera que tenga acceso al ordenador que está almacenada. El razonamiento es que las contraseñas cifradas no se puede romper y por lo tanto no necesitan ser protegidos. La teoría es errónea. Utilizando otra herramienta llamada pwdump3, también disponible en Internet, que fue capaz de extraer los hashes de contraseñas de la máquina ATM6 y descargarlos. Un archivo típico de los hashes de contraseñas se ve así: Administrador: 500:95 E4321A38AD8D6AB75EOC8D76954A50: 2E48927AO BO4F3BFB341E26F6D6E9A97 ::: akasper 1110:5 A8D7E9E3C3954F642C5C736306CBFEF: 393CE7F90A8357 F157873D72D0490821::: excavadora: D15 1111:5COD58DD216C525AD3B83FA6627C7 17AD564144308B4 2B8403DOIAE256558 ::: ellgan 1112:2017 D4A5D8D1383EFF17365FAFIFFE89: O7AEC950C22CBB9 C2C734EB89320DB13::: :

: :

tabeck: 1115:9 F5890B3FECCAB7EAAD3B435B51404EE: 1FO115A72844721 2FCO5EID2D820B35B ::: vkantar 1116:81 A6A5DO35596E7DAAD3B435B51404EE: B933D36DD12258 946FCC7BD153F1CD6E ::: :

vwallwick: 1119: 25904EC665BA30F4449AF42E1054F192: 15B2B7953FB6 32907455D2706A432469 ::: mmcdonald: 1121: A4AEDO98D29A3217AAD3B435B51404EE: E40670F936B7 9C2ED522F5ECA9398A27 ::: kworkman : 1141: C5C598AF45768635AAD3B435B51404EE: DEC8E827A1212 73EFO84CDBF5FD1925C ::: Ingenioh hashes ahora la descarga en su ordenador, Ivan utilizado otra herramienta que realiza un sabor diferente de ataque conocida como contraseña de fuerza bruta. Este tipo de ataque intenta todas las combinaciones de caracteres alfanuméricos y símbolos más especiales. Ivan utiliza una utilidad de software denominada L0phtcrack3 (pronunciado loft grieta, disponible en www.atstake.comY otro de origen de algunas herramientas de recuperación de contraseñas es una excelente www.elcomsoft.com). Los administradores de sistemas utilizar L0pht-crack3 para auditar contraseñas débiles, los atacantes lo utilizan para romper contraseñas. La función de la fuerza bruta en LC3 trata de contraseñas con combinaciones de letras, números y símbolos como la mayoría de los ! @ # $%^ &. Se trata sistemáticamente todas las combinaciones posibles de la mayoría de los personajes. (Obsérvese, sin embargo, que si se utilizan caracteres no imprimibles, LC3 será incapaz de descubrir la contraseña) Thprograma de correo tiene una velocidad casi increíble, que puede alcanzar hasta un máximo de 2,8 millones de intentos por segundo en un equipo con un procesador de 1 GHz. Incluso con esta velocidad, y si el administrador del sistema ha configurado el sistema operativo Windows correctamente (deshabilitar el uso de hashes LANMAN), rompiendo una contraseña aún puede tomar una cantidad excesiva de tiempo. LINGO BRUTE FUERZA DE ATAQUE A stategy detección contraseña que trata cada posible combinación de caracteres alfanuméricos y símbolos especiales. For esta razón, el atacante suele descarga los hashes y ejecuta el ataque contra él o en otra máquina, en lugar de permanecer en la línea de la red de la empresa objetivo y correr el riesgo de detección. For Ivan, la espera no fue tan larga. Varias horas más tarde, el programa lo presentó con contraseñas para cada uno de los miembros del equipo de desarrollo. Pero éstas eran las contraseñas de los usuarios de la máquina ATM6, y él ya conocía el código fuente del juego que buscaba no estaba en este servidor.

¿Qut ahora? Él todavía no había sido capaz de obtener una contraseña de una cuenta en el Cajero automático5 máquina. Con su mentalidad hacker, la comprensión de los hábitos de seguridad pobres

of usuarios típicos, supuso uno de los miembros del equipo podrían haber elegido la misma contraseña para ambos equipos. De hecho, eso es exactamente lo que encontró. Uno de los miembros del equipo estaba usando la contraseña "graneros" en tanto ATM5 y ATM6. Thpuerta de par en par e había abierto a Iván a buscar alrededor hasta que encontró los programas que él buscaba. Una vez que se encuentra el árbol de código fuente y lo descargó alegremente, tomó un paso más típico de las galletas del sistema: Se cambió la contraseña de una cuenta inactiva que poseyera derechos de administrador, por si quería obtener una versión actualizada del software en algún momento en el futuro. LaCon el nalyzing Yon este ataque que pidió a las vulnerabilidades tanto técnicas como la gente de base, la attacker comenzó con una llamada telefónica pretexto para obtener la ubicación y los nombres de los servidores de desarrollo que sostenían la información confidencial. HE A continuación, utiliza una utilidad de software para identificar de usuario válidas cuenta-los nombres de todos los que tenían una cuenta en el servidor de desarrollo. A continuación se llevó a cabo dos ataques sucesivos de contraseñas, incluyendo un ataque de diccionario, que busca las contraseñas utilizadas por tratar todas las palabras en un diccionario de Inglés, a veces aumentada por varias listas de palabras que contienen los nombres, lugares y temas de interés especial. Debido a que ambas herramientas de hacking comerciales y de dominio público, se puede obtener por cualquier persona para cualquier propósito que tiene en mente, que es aún más importante que estar vigilantes en la protección de los sistemas empresariales de ordenador y su infraestructura de red. Thmagnitud e de esta amenaza no puede ser sobrestimada. Según la revista Computer World, un análisis en New York, Oppenheimer Funds llevado a un descubrimiento sorprendente. El presidente de la empresa vicepresidente de seguridad de la red y la recuperación de desastres publicó un ataque de contraseña contra los empleados de su empresa usando uno de los paquetes de software estándar. La revista informó que en tres minutos se las arregló para romper las contraseñas de los 800 empleados. Mitnick MENSAJE Yon la terminología del juego Monopoly, si utiliza una palabra del diccionario para su password - Ir directamente a la cárcel. No pase vas, no te cobrará $ 200. Hay que enseñar a los empleados cómo elegir contraseñas que verdaderamente protejan sus

activos.

PREVENTING CON EL Ataques de ingeniería social puede llegar a ser aún más destructivas cuando el atacante añadirs de un elemento de la tecnología. La prevención de este tipo de ataques suele implicar la adopción de medidas en los planos técnicos y humanos. Just Say No En la primera historia de este capítulo, la compañía telefónica secretario RCMAC no debe have quitado el negar suprimir la calidad de las diez líneas de teléfono cuando no existía orden de servicio que se autoriza el cambio. No es suficiente para que los empleados conocen las políticas y procedimientos de seguridad, los empleados deben entender la importancia de estas políticas están a la empresa en la prevención de daños. SecuritY las políticas deberían desalentar desviación del procedimiento a través de un sistema de recompensas y consecuencias. Naturalmente, las políticas deben ser realistas, pidiendo a los empleados para llevar a cabo medidas tan gravosas que son susceptibles de ser ignorado. Además, un programa de concienciación sobre la seguridad tiene que convencer a los empleados que, si bien es importante para completar las asignaciones de trabajo en el momento oportuno, tomando un atajo que evita los procedimientos adecuados de seguridad pueden ser perjudiciales para la empresa y sus colaboradores. Thprecaución e igual debe estar presente al proporcionar información a un desconocido en la teléfono. No mateer how persuasively ªe person presentars sí mismo, independientemente de la condición de la persona o la antigüedad en la empresa, absolutamente ninguna información debe ser siempre que no sea designado como disponible al público hasta que la identidad de la persona que llama ha sido verificado positivamente. Si esta política se ha observado estrictamente, el esquema de ingeniería social en esta historia habría fracasado y Gondorff detenido federal nunca habría sido capaz de planear una amenaza de nuevo con su amigo Johnny. This un punto es tan importante que lo reitero en este manual: Comprobar, verificar, verificar. Cualquier solicitud no se hizo en persona nunca debe ser aceptado sin verificar la identidad del solicitante - y punto. ClHasta eaning For cualquier empresa que no tiene guardias de seguridad durante todo el día, el esquema en el que un atacante obtiene acceso a una oficina fuera del horario presenta un desafío. Gente de limpieza normalmente se trata con respeto a nadie que parezca estar con

ªEmpresa E y parece legítimo. Después de todo, se trata de alguien que pudiera obtener laestoy en problemas o cocido. Por esa razón, la limpieza de los equipos, ya sean internos o contratados a partir de una agencia externa, debe estar capacitado en materia de seguridad física. Jel trabajo no es exactamente anitorial requieren una educación universitaria, o incluso la capacidad de hablar Inglés, y el entrenamiento habitual, en su caso, los trabajos no de los problemas de seguridad relacionados

éxitoh como qué tipo de producto de limpieza a utilizar para diferentes tareas. Generalmente, estas personas no reciben una instrucción como: "Si alguien te pide que les deje entrar después de horas, usted necesita ver a su tarjeta de identificación de la empresa, y luego llamar a la oficina de la empresa de limpieza, explicar la situación y esperar la autorización." Lan organización debe planificar para una situación como la que en este capítulo antes de que suceda y capacitar en consecuencia. En mi experiencia personal, he encontrado que la mayoría, si no todas, las empresas del sector privado son muy laxos en este ámbito de la seguridad física. Usted puede tratar de abordar el problema desde el otro extremo, poniendo la carga sobre los propios empleados de la empresa. Una empresa sin servicio de guardia de 24 horas debe informar a sus empleados que para llegar después de esta hora, deben traer sus propias llaves o tarjetas electrónicas de acceso y nunca debe poner la gente de limpieza en posición de decidir que está bien admitirlo. Entonces dile a la empresa de limpieza que su gente siempre debe estar entrenado que nadie puede ser admitido en sus instalaciones por ellos en cualquier momento. Esta es una regla simple: No abras la puerta a nadie. Si es apropiado, se podría poner por escrito como condición del contrato con la empresa de limpieza. También, cleaning tripulacións hombrod be trained about piggybacking techniques (personas no autorizadas a raíz de una persona autorizada en una entrada segura). También deben ser entrenados para no permitir que otra persona les siguen en el edificio sólo porque la persona parece que podría ser un empleado. Follow de vez en cuando - por ejemplo, tres o cuatro veces al año - mediante la organización de una prueba de penetración o de evaluación de la vulnerabilidad. Pídale a alguien que se muestran en la puerta cuando el equipo de limpieza está en el trabajo y tratar de convencer a su manera en el edificio. En lugar de utilizar sus propios empleados, usted puede contratar a una empresa que se especializa en este tipo de pruebas de penetración. Pass It On: Proteja sus contraseñas MorE y más organizaciones están cada vez más atentos a la aplicación de seguridad políticas a través de medios técnicos - por ejemplo, la configuración del sistema operativo para hacer cumplir las políticas de contraseñas y limitar el número de intentos de acceso no válidos que se pueden hacer antes de bloquear la cuenta. De hecho, Microsoft Windows Business plataformas generalmente have this Feature built en. Sin embargo, reconociendo la facilidad con clientes insatisfechos son de características que requieren de más esfuerzo, Los productos se entregan normalmente con funciones de seguridad desactivadas. Realmente es hora de que los fabricantes de software deje de ofrecer productos con características de seguridad deshabilitadas de forma predeterminada, cuando debería ser al revés. (Sospecho que van a resolver esto

pronto.) Of supuesto, la política de seguridad de la empresa debe ordenar los administradores de sistemas para hacer cumplir la política de seguridad a través de medios técnicos siempre que sea posible, con el objetivo

oF no confiar en los seres humanos falibles más de lo necesario. Es una obviedad que cuando se limita el número de intentos de acceso no válidos sucesivas a una cuenta en particular, por ejemplo, hacer que la vida de un atacante mucho más difícil. Cada organización se enfrenta a ese difícil equilibrio entre la seguridad fuerte y productividad de los empleados, lo que lleva a algunos empleados a hacer caso omiso de las políticas de seguridad, no se aceptan como estas garantías son esenciales para proteger la integridad de la información corporativa sensible. Si las políticas de la empresa dejo algunas cuestiones sin abordar, los empleados pueden utilizar el camino de menor resistencia a la acción y hacer lo que sea más conveniente y hace su trabajo más fácil. Algunos empleados pueden resistirse al cambio y abiertamente caso omiso de los buenos hábitos de seguridad. Es posible que haya encontrado con un empleado, que sigue las reglas impuestas sobre la longitud de la contraseña y la complejidad, pero a continuación, escribe la contraseña en un post-it y desafiante que se pega a su monitor. Una parte vital de la protección de su organización es el uso de hard-to-descubrir contraseñas, combinado con la configuración de seguridad fuertes en su tecnología. Fora discusión detallada de las políticas de contraseñas recomendadas, consulte el Capítulo 16.

Chapter 12 Atacars en el empleado de nivel de entrada
Las muchas de las historias aquí demostrar, el ingeniero social especializada a menudo se dirige de nivel inferior pERSONAL yon la organizaciónhierarchy. Lo Californian sereasy para manipular a estas personas para que revelen información aparentemente inocua que el atacante utiliza para avanzar un paso más hacia la obtención de información de la compañía más sensible. Un atacante dirige a los empleados de nivel de entrada, ya que suelen ser conscientes del valor de la información específica de la empresa o de los posibles resultados de ciertas acciones. Además, tienden a ser fácilmente influenciado por algunos de los más comunes métodos de ingeniería social - Una llamada de alguien que llama a la autoridad, una persona que parece amable y simpático, una persona que parece conocer a la gente de la empresa que sean conocidas por la víctima; una solicitud para que el atacante afirma que es urgente, o la inferencia de que la víctima obtendrá algún tipo de favor o reconocimiento. Estos son algunos ejemplos de los ataques en el empleado de menor nivel en la acción. THGUARDIA DE SEGURIDAD E ÚTIL Estafadors la esperanza de encontrar a una persona que es codicioso, ya que son los más likely caer en una estafa. Los ingenieros sociales, al apuntar a alguien como miembro de una tripulación de saneamiento o de un guardia de seguridad, la esperanza de encontrar a alguien que es bondadoso, amable, y confiar en los demás. Ellos son los más propensos a estar dispuesto a ayudar. Eso es justo lo que el atacante tenía en mente en la siguiente historia. Elliot 's View Dcomió / hora: 3:26 de la mañana del martes por la mañana en febrero de 1998. Ubicación: Marchand Microsystems instalación, Nashua, Nueva Hampshire Elliot Staley sabía que no iba a dejar su puesto cuando él no estaba en sus rondas programadas. Pero fue el medio de la noche, por el amor de Dios, y que no había visto una sola persona desde que había llegado de turno. Y ya era hora de hacer sus rondas de todos modos. El pobre hombre en el teléfono sonaba como si realmente necesitaba ayuda. Y hace que una persona se sienta bien cuando pueden hacer algo bueno por alguien.

Bill 's Story Bill Goodrock tenía un objetivo simple, que él se había aferrado a, sin alteraciones, ya que la edad doce: A jubilarse a la edad de veinticuatro años, no tener que tocar un centavo de su fondo fiduciario.

To mostrar a su padre, el todopoderoso y banquero implacable, que podía ser un éxito por su cuenta. OnlY dos años más y es por ahora perfectamente claro que no va a hacer su fortuna en los próximos veinticuatro meses por ser un brillante hombre de negocios y no va a hacerlo por ser un inversor agudo. En una ocasión pregunté a robar bancos con una pistola, pero eso es sólo cosa de ficción - el riesgo-beneficio trade-off es muy malo. En su lugar, soñando con hacer una Rifkin - robar un banco electrónicamente. El proyecto de ley última vez fue en Europa con la familia, abrió una cuenta bancaria en Mónaco con 100 francos. Todavía tiene sólo 100 francos en él, pero él tiene un plan que pueda ayudar a llegar a él siete dígitos en un apuro. Tal vez hasta ocho si tiene suerte. Bill 's novia Anne-Marie trabajó en M & A para un gran banco de Boston. Un día, mientras esperaba en sus oficinas hasta que ella salió de una reunión de tarde, cedió a la curiosidad y el portátil enchufado a un puerto Ethernet en la sala de conferencias que estaba usando. Sí - él estaba en su red interna, conectada dentro de la red del banco .., detrás del firewall corporativo. Eso le dio una idea. He combinaron su talento con un compañero de clase que conocía a una joven llamada Julia, una brillante informática Ph.D. candidato haciendo una pasantía en Microsystems Marchand. Julia parecía una gran fuente de información privilegiada esencial. Le dijeron que estaban escribiendo un guión para una película y que en realidad les creyó. Ella pensó que era divertido inventando una historia con ellos y darles todos los detalles sobre cómo usted puede llevar fuera de la travesura que había descrito. Ella pensó que la idea era brillante, en realidad, y siguió acosando ellos acerca de darle un crédito en pantalla, también. Lay le advirtió acerca de la frecuencia con las ideas de guión roban y le hizo jurar que nunca le diría a nadie. Suitably dirigido por Julia, Bill hizo la parte arriesgada sí mismo y nunca dudó de que pudiera llevar apagado. Me llamó por la tarde y logró averiguar que el supervisor nocturno de la fuerza de seguridad fue un hombre llamado Isaías Adams. A las 9:30 de la noche llamé al edificio y habló con el guardia de la oficina de seguridad del vestíbulo. Mi historia se basa todo en la urgencia y me hice sonar un poco de pánico. "Estoy teniendo problemas con el coche y no puedo llegar a la instalación", le dije. "Tengo esta emergencia y necesito tu ayuda. Traté de llamar al supervisor de guardia, Isaías, pero él no está en casa. ¿Puedes hacerme este favor sola vez, de verdad te lo agradecería?"

Thhabitaciones e instalaciones en que eran grandes cada una etiquetada con un código electrónico de parada así que le di el correo-stop del laboratorio de computación y le preguntó si sabía dónde estaba. Él dijo que sí, y accedió a ir allí para mí. Él dijo que él tome unos minutos para llegar a la habitación, y me dijo que lo llamaría en el laboratorio, con la excusa de que estaba usando la línea de teléfono disponible sólo para mí y yo lo usaba para llamar a la red para tratar de solucionar el problema. Él ya estaba allí, esperando el momento en que llamó, y le dijo dónde encontrar la consola me interesaba, en busca de un papel con una pancarta que decía "Elmer" el host que Julia había dicho que se utilizó para construir la liberar las versiones del sistema operativo que la empresa comercializa. Cuando dijo que había encontrado, yo sabía a ciencia cierta que Julia nos había estado pasando información buena y mi corazón dio un vuelco. Yo le había golpeado la tecla Intro un par de veces, y me dijo que imprimió un signo libra. Lo que me dijo el equipo estaba conectado como root, la cuenta de super-usuario con todos los privilegios del sistema. Él era un mecanógrafo caza-y-picotea y tiene todo a sudar cuando traté de hablar con él a través de entrar en mi comando siguiente, que era más que un poco de trampa: ech«solución: x: 0:0 :: / :/ bin / sh 'o >> / etc / passwd Finally él lo hizo bien, y nos ha proporcionado ahora una cuenta con un nombre fijo. Y luego le pedí que escriba ech"arreglo :: 10300:0:0 'o 55 / etc / shadow This establecido la contraseña de cifrado, que va entre los dos puntos dobles. Poner nada entre esos dos puntos significó la cuenta tendría una contraseña nula. Entonces, sólo esos dos comandos bastó para añadir la solución cuenta con el archivo de contraseñas con una contraseña nula. Lo mejor de todo, la cuenta tendría los mismos privilegios que un usuario super-. ThLo siguiente correo que lo tenía hacer era introducir un comando de directorio recursivo que imprime una larga lista de nombres de archivos. Entonces le pedí que haga avanzar el papel hacia adelante, lo rompa, y llevarla con él a su escritorio guardia porque "puede necesitar que me lea algo de él en el futuro." La belleza de esto es que no tenía idea de que había creado una nueva cuenta. Y le hice imprimir el listado del directorio de nombres de archivos porque tenía que asegurarse de que las órdenes que se escriben antes que abandonar la sala de ordenadores con él. De esta forma el administrador del sistema o el operador no manchar nada a la mañana siguiente que los alertaría se había producido una violación de la seguridad.

Yo estaba ahora con una cuenta, una contraseña y los privilegios. Un poco antes de la medianoche marqué y seguido las instrucciones Julia había mecanografiado cuidadosamente hacia arriba "por el guión". En un abrir y cerrar tuve acceso a uno de los sistemas de desarrollo que contiene la copia maestra del código fuente de la nueva versión de software de la compañía del sistema operativo. He subido un parche que Julia había escrito, que dijo modificó una rutina en una de las bibliotecas del sistema operativo. Ese parche, en efecto, crear una puerta trasera secreta que permite el acceso remoto al sistema con una contraseña secreta. NOTA Thelectrónico del tipo de backdoor utiliza aquí no cambia el inicio de sesión del sistema operativo de programam en sí, sino una función específica contenida dentro de la biblioteca dinámica usada por el programa de entrada se sustituye para crear el punto de entrada secreta. En los ataques típicos, los intrusos informáticos suelen sustituir o arreglar el programa de entrada en sí, pero los administradores del sistema pueden afilados detectar el cambio comparándolo con la versión incluida en soportes como CD, o mediante métodos de distribución. Con mucho cuidado de seguir las instrucciones que ella había escrito para mí, la primera instalación del parche, y luego tomar las medidas que eliminaron la cuenta de corrección y limpiar todos los registros de auditoría para que no hubiera ni rastro de mis actividades, efectivamente borrar mis huellas. Soon que la empresa comenzará a distribuir la actualización del nuevo sistema operativo para sus clientes: Las instituciones financieras de todo el mundo. Y cada copia que envió incluiría la puerta de atrás yo había colocado en la distribución maestra antes de que fuera enviado, lo que me permite acceder a cualquier sistema informático de todos los bancos y casa de bolsa que instaló la actualización. LINGO PATCHTradicionalmente un trozo de código que, cuando se coloca en un ejecutable programa, Corrige un problema. Por supuesto, yo no estaba en casa gratis - no sería todavía trabajo por hacer. Todavía tendría que tener acceso a la red interna de cada institución financiera que quería "visitar". Entonces yo tendría que averiguar cuál de sus equipos se utilizan para transferencias de dinero, e instalar software de vigilancia para conocer los detalles de sus operaciones y exactamente cómo transferir fondos.

All de que yo pudiera hacer a larga distancia. Desde un ordenador que se encuentre en cualquier lugar. Digamos, con vistas a una playa de arena. Tahiti, aquí vengo.

Llamé a la guardia de nuevo, le dio las gracias por su ayuda, y le dijo que podía seguir adelante y lanzar la impresión. LaCon el nalyzing The guardia de seguridad tenían instrucciones sobre sus funciones, pero aún completa, bien fuera pensada instrucciones no puede prever todas las situaciones posibles. Nadie le había dicho que el daño que se puede hacer tecleando unas pocas teclas en un ordenador para una persona que creía que era un empleado de la compañía. Wi-ésimo de la cooperación de la guardia, que era relativamente fácil de obtener acceso a un sistema crítico que almacena el maestro de distribución, a pesar del hecho de que era detrás de la puerta cerrada de un laboratorio seguro. El guardia, por supuesto, tenía las llaves de todas las puertas cerradas. Incluso un empleado básicamente honesta (o, en este caso, el estudiante de doctorado y becario empresa, Julia) a veces puede ser sobornado o engañados para revelar información de vital importancia para un ataque de ingeniería social, como en el equipo de destino es situado y - la clave para el éxito de este ataque --cuando se va a construir la nueva versión del software para su distribución. Eso es importante, ya que un cambio de este tipo realizado demasiado pronto tiene una mayor probabilidad de ser detectado o anulado si el sistema operativo es reconstruido a partir de una fuente limpia. Did coger el detalle de que el guardia de tomar la impresión de vuelta al vestíbulo y luego destruirlo? Este fue un paso importante. Cuando los operadores de computadoras llegaron a trabajar al siguiente día laboral, el atacante no quería que se encuentra esta evidencia irrefutable en el terminal de copia impresa, o nota a la basura. Dando la guardia una excusa plausible para tomar la impresión con lo evitaba ese riesgo. Mitnick MENSAJE When el intruso equipo no puede tener acceso físico a un sistema informático o Network sí mismo, va a tratar de manipular a otra persona que lo haga por él. En los casos en que el acceso físico es necesario para el plan, con la víctima como un proxy es incluso mejor que hacerlo él mismo, porque el atacante supone mucho menos riesgo de detección y aprehensión. THE parche de emergencia You pensaría que un tipo de soporte técnico se entiende los peligros de dar access con la red informática a un extraño. Pero cuando el intruso es un hábil ingeniero social, haciéndose pasar por un proveedor de software útil, los resultados pueden no ser los esperados.

Una llamada ha sido útil Thpersona que llama e querido saber quién está a cargo de las computadoras allí? y la toperador eléfono le pone en contacto con el tipo de soporte técnico, Paul Ahearn. Thpersona que llama e se identificó como "Edward, con SeerWare, su proveedor de base de datos. Aparentemente un montón de nuestros clientes no reciben el correo electrónico acerca de nuestra actualización de emergencia, por lo que estamos llamando a algunos para un control de calidad comprueba si existe una problema al instalar el parche. ¿Ha instalado la actualización todavía? " Paul dijo que estaba bastante seguro de que no había visto nada parecido. Edward dijo: "Bueno, podría causar la pérdida de datos catastrófica intermitente, por lo que le recomendamos obtener instalado tan pronto como sea posible". Sí, eso era algo que quería hacer desde luego, dijo Paul. "Está bien", respondió la llamada. "Podemos enviarle una cinta o CD con el parche, y yo quiero decirles, es muy crítico - dos compañías ya han perdido varios días de datos para que no deberían hacer esto instalado, tan pronto como llegue, antes de que suceda. a su empresa. " "¿No puedo descargar desde su sitio Web? "Quería que Pablo sabe. "Debe estar disponible pronto - el equipo técnico ha estado poniendo todos estos fuegos. Si lo desea, podemos tener nuestro centro de atención al cliente lo instale para usted, de forma remota. Podemos marcar o utilizar Telnet para conectarse al sistema, si usted puede apoyar eso ". "We no permiten Telnet, especialmente de la Internet - no es seguro ". Pablo respondió" Si usted puede utilizar SSH, que iba a estar bien ", dijo, nombrando a un producto que ofrece transferencias seguras de archivos. "Si. Tenemos SSH. ¿Cuál es la dirección IP?" PauLe di la dirección IP, y cuando Andrés preguntó: "¿y qué nombre de usuario y la contraseña se pueden utilizar", Pablo le dio a ellos, también. LaCon el nalyzing OF couRSETHAt phone Californial might really havenida come from ªe database manucante. Pero la historia no pertenece a este libro. El ingeniero social aquí influido en la víctima, creando una sensación de miedo que los datos críticos se pueden perder, y ofreció una solución inmediata que

resuelva el problema. También, Cuando un ingeniero social dirigido a alguien que conoce el valor de la información, tiene que venir con argumentos muy convincentes y persuasivos para dar acceso remoto. A veces se necesita agregar el elemento de urgencia así lo

ªvíctima e es distraído por la necesidad de apresurarse, y cumple antes de haber tenido la oportunidad de dar mucha importancia a la solicitud. La nueva chica ¿Qut tipo de información en los archivos de su empresa podría querer a un atacante para obtener acceso a? A veces puede ser algo que no creo que sea necesario para proteger a todos. Llamar Sarah "HumaRecursos n, esto es Sarah. " "Hola, Sarah. Se trata de George, en el garaje de estacionamiento. Usted sabe la tarjeta de acceso que se utiliza para entrar en el garaje de estacionamiento y ascensores? Bueno, hemos tenido un problema y tenemos que reprogramar las tarjetas para todas las nuevas contrataciones de los últimos quince días. " "So que necesitan que sus nombres? "" Y sus números de teléfono. " "Puedo revisar nuestra lista de nuevas contrataciones y te llamo de vuelta. ¿Cuál es tu número de teléfono? " "No estoy conectadom a 73. . . Uh, yo estoy pasando. Break, ¿qué tal si te llamo de vuelta en media hora? " "Oh. Bien." When me llamó, me dijo: "Oh, Sí. Bueno, hay sólo dos. Anna Myrtle, en Finanzas, ella es una secretaria. Y ese nuevo vicepresidente, el Sr. Underwood ". "Unad los números de teléfono? " "Derecho Bueno, El Sr. Underwood es 6973. Anna Myrtle es 2127. "" Oye, has sido de gran ayuda. "Gracias". Llamada de Anna "Finanzas, Anna habla ". "No estoy conectadoalegro de haber encontrado a alguien trabajando hasta tarde. Escucha, esto es Ron Vittaro, soy editor de la división de negocio. Yo no creo que hayamos sido presentados. Bienvenido a la empresa ".

"Oh, Gracias. "

"Anna, Estoy en Los Angeles y tengo una crisis. Tengo que tomar unos diez minutos de su tiempo. " "Of curso. ¿Qué necesitas? " "Go hasta mi oficina. ¿Sabes dónde está mi oficina? "No." "Está bien, Es la oficina de la esquina en el decimoquinto piso de la habitación 1502. Te llamaré allí en unos minutos. Al llegar a la oficina, usted tendrá que pulsar el botón de avance en el teléfono, así que mi llamada no ir directamente a mi buzón de voz. " "Está bien, Estoy en mi camino. " Tcuarto minuto después estaba en su despacho, había cancelado su desvío de llamadas y estaba esperando cuando sonó el teléfono. Él le dijo que se sentara en el ordenador e inicie Internet Explorer. Cuando se estaba ejecutando él le dijo que se escriba en una dirección: www.geocities.com / ron-INSEN / manuscript.doc.exe. Aparecerá un cuadro de diálogo apareció, y le dijo que haga clic en Abrir. El equipo parecía empezar a descargar el manuscrito, y luego la pantalla se quedó en blanco. Cuando se informó de que algo parecía estar mal, respondió: "Oh, no, no. Otra vez. He tenido un problema con la descarga de ese sitio Web cada cierto tiempo, pero pensé que era fijo. Pues bien, don ' te preocupes, voy a conseguir el archivo de otra manera en el futuro. " Entonces él le pidió que reiniciar su ordenador para poder estar seguro de que se pondría en marcha correctamente después de que el problema que ella acababa de tener. Él le habló a través de los pasos para reiniciar. When el equipo estaba funcionando de nuevo correctamente, le dio las gracias calurosamente y colgó, y Anna volvió al departamento de finanzas para terminar el trabajo que había estado trabajando. Historia de Kurt Dillon Millard-Fenton Publishers se mostró entusiasmado con el nuevo autor no eran más que about para inscribirse, el CEO jubilado de una compañía Fortune 500 que tenía una historia fascinante que contar. Alguien había conducido al hombre a un gerente de negocios para el manejo de sus negociaciones. El gerente de negocios no quería admitir que sabía zip sobre los contratos de edición, por lo que contrató

a un viejo amigo que le ayudara a averiguar lo que necesitaba saber. El viejo amigo, por desgracia, no era una muy buena elección. Kurt Dillon usó lo que podríamos llamar métodos inusuales en su investigación, los métodos no del todo éticas.

Kurt inscribió en un sitio libre en Geocities, en el nombre de Ron Vittaro, y se carga un programa de spyware en el nuevo sitio. Se cambió el nombre del programa que manuscript.doc.exe, por lo que el nombre parece ser un documento de Word y no levantar sospechas. De hecho, esto funcionó incluso mejor que Kurt había previsto, porque el verdadero Vittaro nunca había cambiado una configuración por defecto en su sistema operativo Windows llamada "Ocultar las extensiones de archivo para tipos de archivo conocidos". Porque de que setting la expediente wuns actuunlly displayed con la name Manuscrito. Lan tuvo una secretaria señora amiga llamada Vittaro de. Después de entrenar Dillon, ella dijo: "Yo soy el asistente ejecutivo Paul Spadone, presidente de Librerías Ultimate, en Toronto. Sr. Vittaro conocí a mi jefe en una feria del libro hace un tiempo, y le pidió que llame para discutir un proyecto que podrían hacer juntos. Sr. Spadone está en el camino mucho, así que me dijo que yo debería saber que el Sr. Vittaro estará en la oficina. " By el momento en que los dos habían terminado de comparar los horarios, la amiga de información suficiente para proporcionar al atacante con una lista de las fechas en que el Sr. Vittaro estaría en la oficina. Lo que significaba que él también sabía cuando Vittaro estaría fuera de la oficina. No había necesitado mucha conversación extra para averiguar que el secretario de Vittaro estaría tomando ventaja de su ausencia para entrar un poco de esquí. Durante un corto espacio de tiempo, tanto estaría fuera de la oficina. Perfecto. LINGO SpywarESoftware especializado que se utiliza para controlar secretamente a actividades informáticas metas. Una forma utilizada para rastrear los sitios visitados por los compradores en Internet para que los anuncios en línea pueden adaptarse a sus hábitos de navegación. La otra forma es análoga a una intervención telefónica, excepto que el dispositivo de destino es un ordenador. El software captura las actividades del usuario, incluyendo contraseñas y las teclas pulsadas, conversaciones de chat, correo electrónico, mensajería instantánea, todos los sitios web visitados, y captura de pantallas de la pantalla de visualización. LINGO Instalación silenciosa Un método de instalación de una aplicación de software sin calcularr usuario o el operador es consciente de que tal acción tiene lugar. Thdías e principio se supone que se ha ido él hizo una llamada urgente pretexto para asegurarme, y me dijeron que la recepcionista que "el señor Vittaro no está

en la oficina y tampoco lo es su secretaria. Ninguno de ellos se espera en cualquier tiempo hoy o mañana o al día siguiente. " ¡Holas primer intento de estafar a un empleado joven a tomar parte en su plan fue exitoso, y ella no parecía parpadear un ojo que le dicen que le ayudará a

descargar cualquierga "manuscrito", que en realidad era un popular, commercialiado de spyware disponible que el atacante había modificado for una instalación silenciosa. Usando este método, la instalación no sería detectado by uny Antivirus software. Por alguna extraña razón, los fabricantes de antivirus no comercializar productos que detectan spyware disponible en el mercado. Inmediately después de que el joven se había cargado el software en el ordenador Vittaro, Kurt volvió a subir al sitio de Geocities y reemplazado el archivo doc.exe con un manuscrito de un libro que encontró en Internet. Por si acaso alguien tropezó con el ardid y regresó al lugar para investigar lo que había ocurrido, lo único que encontraría sería inocua, amateur, un-libro manuscrito publicable. Once el programa ha sido instalado y reiniciado el ordenador, se va a convertir en activa inmediatamente. Ron Vittaro volvería a la ciudad en un few days, comience a trabajar, y el spyware se iniciaría el reenvío todas las pulsaciones de teclado en su computadora, incluyendo todos los correos salientes y capturas de pantalla que muestran lo que se muestra en la pantalla en ese momento. Todo sería enviado a intervalos regulares a un proveedor de servicio de correo electrónico gratuito en Ucrania. Withina pocos días después del regreso de Vittaro, Kurt estaba arando a través de los archivos de registro se acumulan en su buzón de Ucrania y en poco tiempo se había situado correos electrónicos confidenciales que indican hasta qué punto Millard-Fenton Publishing estaba dispuesto a ir a hacer un trato con el autor. Armado con este conocimiento, era fácil para el agente de la autora a negociar condiciones mucho mejores de lo que se ofrece, sin correr el riesgo de perder el negocio por completo. Lo cual, por supuesto, significaba una comisión más grande para el agente. LaCon el nalyzing Yon este ardid, el atacante hizo su éxito sea más probable eligiendo a un nuevo empleado para que actúe como su apoderado, contando con su ser más dispuestos a cooperar y trabajar en equipo, y ser menos propensos a tener conocimiento de la empresa, su gente, y buenas prácticas de seguridad que podría frustrar el intento. Debido a que Kurt se pretextos como vicepresidente en su conversación con Anna, un empleado de Hacienda, sabía que sería muy poco probable que ella pondría en duda su autoridad. Por el contrario, podría entretener la idea de que ayudar a un vicepresidente podría ganar su favor. Und el proceso caminaba a través de Anna que tenía el efecto de la instalación de el software espía apareció inocuo en su cara. Anna no tenía ni idea de que sus

acciones aparentemente inocentes se había puesto a un atacante a obtener información valiosa que podría ser utilizard contra los intereses de la empresa.

¿Y por qué elegir reenviar el mensaje del VP a una cuenta de correo electrónico yon Ucrania? Por varias razones un destino lejano hace el seguimiento o la adopción de medidas contra un atacante mucho menos probable. Este tipo de delitos son considerados de baja prioridad en países como este, donde la policía tienden a mantener la ver que la comisión de un delito a través de Internet no es un delito digno de mención. Por esta razón, el uso de gotas de correo electrónico en los países que tienen pocas probabilidades de cooperar con EE.UU. aplicación de la ley es una estrategia atractiva. PREVENTING CON EL Un ingeniero social siempre preferirán dirigirse a un empleado que es poco probable que reconociendoe que hay algo sospechoso en sus peticiones. Hace que su trabajo no sólo es más fácil, pero también menos arriesgado - como las historias de este capítulo muestran. Mitnick MENSAJE Askinga compañero de trabajo o subordinados a hacer un favor es una práctica común. Social ingenieros saber aprovechar el deseo natural de la gente para ayudar y ser un jugador de equipo. Un atacante explota este rasgo humano positivo para engañar a incautos empleados en la realización de acciones que le avanzar hacia su objetivo. Es importante entender este concepto simple por lo que será más probable que reconocer cuando otra persona está tratando de manipular. Engañar a los incautos I've hizo hincapié en la necesidad de principios de capacitar a los empleados a fondo suficiente como para que nunca se dejen convencer de llevar a cabo las instrucciones de un extraño. Todos los empleados también tienen que entender el peligro de llevar a cabo la solicitud de iniciar cualquier acción en el equipo de otra persona. Política de la empresa debería prohibir esto, excepto cuando sea específicamente autorizado por un administrador. Situaciones permitidos incluyen: When la solicitud sea realizada por una persona bien conocida para usted, con la petición realizada ya sea cara a cara o por teléfono al reconocer la voz inconfundible de la persona que llama. When, positivamente verificar procedimientos aprobados. la identidad del solicitante mediante

When la medida ha sido autorizada por un supervisor u otra persona con autoridad que está personalmente familiarizado con el solicitante. Empleados debe ser entrenado para no asistir a las personas que no conocen personalmente, incluso si la persona que hace la solicitud pretende ser un ejecutivo. Una vez que las políticas de seguridad en materia de verificación se han puesto en marcha, la gerencia debe apoyar

empleados en la adhesión a estas políticas, incluso cuando significa que un trabajador impugna un miembro del personal ejecutivo que está pidiendo al empleado para eludir una política de seguridad. Nuncaempresa y también debe tener políticas y procedimientos que los empleados de guía para responder a las solicitudes que realice ninguna acción con los ordenadores o equipos informáticos. En la historia de la editorial, el ingeniero social dirigida a un nuevo empleado que no habían sido entrenados en las políticas de seguridad de información y procedimientos. Para evitar este tipo de ataque, todos los empleados nuevos y existentes deben ser informados de seguir una regla simple: No use ningún sistema informático para realizar una acción solicitada por un extraño. Periodo. Remember que cualquier empleado que tenga acceso físico o electrónico a un ordenador oa una partida de Equipo relacionado es vulnerable a ser manipulado a tomar algún tipo de acción maliciosa por parte de un atacante. Empleados, Y sobre todo el personal de TI, tienen que entender que lo que una persona ajena a acceder a sus redes informáticas es como dar el número de su cuenta bancaria a un vendedor por teléfono o dar su número de teléfono de la tarjeta telefónica a un extraño en la cárcel. Los empleados deben prestar atención cuidadosa a si la realización de una solicitud puede dar lugar a la revelación de información sensible o comprometer el sistema informático de la empresa. YoGente T también debe estar en guardia contra personas desconocidas se hacen pasar por vendedores. En general, una empresa debe tener en cuenta determinadas personas designadas como contactos para cada proveedor de tecnología, con una política en el lugar que otros empleados no responderán a las solicitudes de los proveedores de información o cambios en cualquier equipo de teléfono o computadora. De esta manera, las personas designadas se familiarice con el personal del proveedor que llaman o visitan, y son menos propensos a ser engañados por un impostor. Si un proveedor de llamadas, incluso cuando la empresa no cuenta con un contrato de soporte técnico, que también debería levantar sospechas. Everyone en la organización debe ser consciente de las amenazas de seguridad de la información y las vulnerabilidades. Tenga en cuenta que los guardias de seguridad y la necesidad como a no dar a capacitación en seguridad, pero la formación en seguridad de la información, también. Debido a que los guardias de seguridad tienen con frecuencia el acceso físico a toda la instalación, que debe ser capaz de reconocer los tipos de ataques de ingeniería social que pueden utilizarse contra ellos. Cuidado con spyware Spyware comercial se utilizaba principalmente por los padres a supervisar lo que

su children estaban haciendo en el Internet, y por los empleadores, supuestamente para determinar qué empleados estaban perdiendo el tiempo navegando por la Internet. Un uso más grave

Washingtons para detectar el robo potencial de los activos de información o espionaje industrial. Los desarrolladores comercializar su software espía, ofreciendo como una herramienta para proteger a los niños, cuando en realidad su verdadero mercado es la gente que quiere espiar a alguien. Hoy en día, la venta de software espía es impulsado en gran medida por el deseo de la gente para saber si su cónyuge o pareja está engañando a ellos. Shortly antes de empezar a escribir la historia de spyware en este libro, la persona que recibe el correo para mí (porque no se me permite utilizar el Internet) halló una publicidad por correo electrónico mensaje de spam a un grupo de productos de software espía. Uno de los artículos que se ofrecen se describe así: FAVORITO! TENER: DEBE

This poderoso monitoreo y un programa espía en secreto captura todas las pulsaciones del teclado y la hora y el título de todas las ventanas activas en un archivo de texto, mientras se ejecuta oculto en el fondo. Los registros pueden ser encriptados y enviados automáticamente a una dirección de correo electrónico especificada, o acaba de grabar en el disco duro. El acceso al programa está protegido por contraseña y se pueden ocultar las teclas CTRL + ALT + SUPR menú. Nosotrose para monitorear mecanografiado URLs, sesiones de chat, correos electrónicos y otras muchas cosas (incluso contraseñas). Yonstalar no se ha detectado en cualquier PC y enviar los registros a ti mismo! Gap Antivirus? Antivirus software no detecta spyware comercial, por lo que el tratamiento de la softwno son maliciosos, aunque la intención es la de espiar a otras personas. Así que el equivalente informático de las escuchas telefónicas pasa desapercibido, creando el riesgo de que cada uno de nosotros podría estar bajo vigilancia ilegal en cualquier momento. Por supuesto, los fabricantes de software antivirus pueden argumentar que el spyware puede ser utilizado para legitimar fines, Y por lo tanto no debe ser entendido como malicioso. Sin embargo, los desarrolladores de ciertas herramientas que se utilizaban en la comunidad de hackers, los cuales están siendo distribuidos gratuitamente o vendidos como relacionada con la seguridad del software, sin embargo, se trata como código malicioso. Hay un doble rasero, y yo me quedo preguntándome por qué. Anotheelemento r ofrecida en el mismo correo electrónico se comprometió a realizar capturas de pantalla de la computadora del usuario, como tener una cámara de vídeo que mira sobre su hombro. Algunos de estos productos de software ni siquiera se requiere acceso físico a la computadora de la víctima. Sólo tiene que instalar y configurar la aplicación de forma remota, y usted tiene un equipo de escuchas telefónicas al instante! El FBI debe amar a la tecnología.

Ingenioh spyware tan fácilmente disponible, su empresa necesita establecer dos niveles de protección. Debe instalar el software de detección de spyware, como SpyCop (disponible en www.spycop.com) En todas las estaciones de trabajo, y usted debe exigir

THAempleados t iniciar exploraciones periódicas. Además, se debe capacitar a los empleados contra el peligro de ser engañado para que descargue un programa o abrir un archivo adjunto de correo electrónico que podría instalar software malicioso. Yodemás de la prevención de spyware se instalen mientras un empleado está lejos de su escritorio para tomar un café, un almuerzo o una reunión, una política que ordena que todos los empleados de bloquear sus sistemas informáticos con una contraseña del protector de pantalla u otro método similar considerablemente a mitigar el riesgo de una persona no autorizada ser capaz de acceder a la computadora de un trabajador. Sin caer en un cubículo de la persona o de la oficina será capaz de acceder a cualquiera de sus archivos, leer su correo electrónico, o instalar spyware o software malicioso. Los recursos necesarios para que la contraseña de protector de pantalla son nulas, y el beneficio de la protección de estaciones de trabajo de los empleados es sustancial. El análisis de costo-beneficio en esta circunstancia debería ser una obviedad.

Chapter 13 Clever Contras
By ahora te has dado cuenta de que cuando un extraño llama con una solicitud de información sensible o algo que podría ser de valor para un atacante, la persona que recibe la llamada debe ser entrenado para obtener el número de teléfono del llamante y volver a llamar para verificar que la persona es realmente quien dice ser - un empleado de la compañía, o un empleado de un socio de negocios, o un representante de soporte técnico de uno de sus proveedores, por ejemplo. Incluso cuando una empresa tiene un procedimiento establecido que los empleados sigan cuidadosamente para verificar que llaman, los atacantes sofisticados todavía son capaces de utilizar una serie de trucos para engañar a sus víctimas haciéndoles creer que son quienes dicen ser. Incluso los empleados preocupados por la seguridad pueden ser engañados por métodos tales como las siguientes. El identificador de llamadas ENGAÑOSA Anyone que haya recibido una llamada en un teléfono celular se ha observado la función sabern como identificador de llamadas - que muestran familiarizados muestra el número de teléfono de la persona que llama. En un entorno empresarial, ofrece la ventaja de permitir a un trabajador a saber de un vistazo si la llamada entrante es de un compañero de trabajo o fuera de la empresa. Hombrey años hace algunos phreakers telefónicos ambiciosos se presentaron a las maravillas de identificación de llamadas antes de que la compañía telefónica le permitió incluso para ofrecer el servicio al público. Tenían un gran momento enloqueciendo a la gente por contestar el teléfono y saludando a la persona que llama por su nombre antes de decir una palabra. Just cuando se pensaba que era seguro, la práctica de la verificación de identidad por confiar en lo que se ve - lo que aparece en la pantalla del identificador de llamadas - es exactamente lo que el atacante puede estar contando. Linda 's Phone Call Day / hora: martes, 23 de julio, 15:12 Lugar. "Las oficinas del Departamento de Finanzas, Starbeat Aviación Lindteléfono a Hill sonó justo cuando ella estaba en el medio de escribir una nota a su jefe. Miró su identificador de llamadas, lo que demuestra que la llamada era de la oficina corporativa en Nueva York, pero de alguien llamado Victor Martin -

no es un nombre que ella reconoce.

She pensado en dejar que el rollo de compra sobre el correo de voz para que no se rompa el hilo del pensamiento en la nota. Pero la curiosidad pudo más que ella. Cogió el teléfono y la persona que llama se presentó y dijo que era de relaciones públicas, y trabajando en algo de material para el director general. "Él está en camino a Boston para reunirse con algunos de nuestros banqueros. Él necesita los datos financieros de primera línea para el trimestre actual", dijo. "Y una cosa más. Él también necesita las proyecciones financieras del proyecto Apache", añadió Víctor, con el nombre en clave de un producto que iba a ser uno de los grandes lanzamientos de la compañía en la primavera. She le pidió su dirección de correo electrónico, pero me dijo que estaba teniendo un problema en la recepción de correo electrónico que soporte técnico estaba trabajando, así que podía enviar por fax su lugar? Ella dijo que iba a estar bien, y él le dio a la extensión telefónica interna para su máquina de fax. Ella envió el fax a los pocos minutos. But Víctor no trabajar para el departamento de relaciones públicas. De hecho, ni siquiera trabajar para la compañía. Jack 's Story Jack Dawkins había comenzado su carrera profesional a una edad temprana como un carterista Working juegos en el Yankee Stadium, en las plataformas del metro lleno de gente, y entre la multitud nocturna de turistas Times Square. Él demostró ser tan ágil y astuta que podía tomar un reloj de muñeca de un hombre sin que él lo sepa. Pero en su difíciles años de la adolescencia se había vuelto torpe y sido capturado. En el pabellón juvenil, Jack aprendió un nuevo oficio con un riesgo mucho menor de tener nabbed. ¡Holas actual asignación llamado para que él consiga ganancias trimestrales de la compañía y la cuenta de pérdidas y flujo de información efectivo, antes de los datos se presentó ante la Comisión de Valores y Bolsa (SEC) y hecho público. Su cliente era un dentista que no quiso explicar por qué quería la información. Para Jack precaución del hombre era risible. Lo había visto antes - el chico probablemente tenía un problema con el juego, o una novia caro que su esposa no se había enterado de su existencia. O tal vez acababa de alardear de su esposa sobre lo inteligente que era en el mercado de valores, ahora que había perdido un paquete y quería hacer una gran inversión en una cosa segura al saber que forma el precio de la acciones de la compañía se iba a ir cuando anunciaron sus resultados trimestrales. People se sorprenden al descubrir lo poco tiempo que tarda un ingeniero social

reflexiva para encontrar una manera de manejar una situación que nunca se ha enfrentado antes. Cuando Jack llegó a casa de su encuentro con el dentista, él ya se había formado un plan. Su amigo Charles Bates trabajaba para una compañía, Panda Importación, que tenía su propio conmutador telefónico o PBX.

Yon términos familiares para los conocedores de los sistemas de teléfono, la central se conecta a un servicio telefónico digital conocido como T1, configurada como interfaz de velocidad primaria ISDN (red digital de servicios integrados) o ISDN PRI. Esto significaba que cada vez que se colocó una llamada de Panda, configuración y otra información de procesamiento de llamadas pasó a lo largo de un canal de datos al conmutador de la compañía telefónica, la información incluida la convocatoria punrty número, which (UNLess comandos) se suministra al dispositivo de identificación de llamada en el extremo receptor. Jacuse de recibo del amigo sabía cómo programar el interruptor para la persona que recibe el Californial vería en su identificador de llamadas, no el número de teléfono real en el Panda oficina, pero whatever número de teléfono que había programado en el interruptor. Este truco funciona porque las compañías telefónicas locales no se molestan en validar el número de llamadas recibidas del cliente en contra de los números de teléfono reales que el cliente está pagando. Todos Jack Dawkins necesitaba era tener acceso a cualquier servicio telefónico tal. Afortunadamente su amigo y alguna vez socio en el crimen, Charles Bates, siempre se alegraba de echar una mano por un precio nominal. En esta ocasión, Jack y Charles temporalmente reprogramado interruptor de la compañía de teléfono para que las llamadas desde una línea telefónica especial ubicado en las instalaciones de Panda número de teléfono interno haría parodia Victor Martin, lo que hace la llamada parecen venir de dentro de Aviación Starbeat. Thidea de que su e identificador de llamadas se pueden hacer para mostrar cualquier número que desea es tan poco conocida que está raramente cuestionada. En este caso, Linda estaba feliz de enviar por fax la información solicitada al tipo con el que pensaba que era de PR. When Jack colgó, Charles reprogramado interruptor de su compañía telefónica, restaurando el número de teléfono a la configuración original. LaCon el nalyzing Somempresas e No queremos que los clientes o proveedores para conocer el teléfono números de sus empleados. Por ejemplo, Ford puede decidir que las llamadas desde su Centro de Atención al cliente debe mostrar el número 800 para el Centro y un nombre como "Apoyo Ford," en lugar de la verdadera línea directa número de teléfono de cada soporte repssentante de realizar una llamada. Microsoft puede dar a sus empleados la opción de decirle a la gente su número de teléfono, en lugar de tener a todos ellos llaman poder echar un vistazo en su identificador de llamadas y conocer su

extensión. De esta manera, la empresa es capaz de mantener la confidencialidad de los números internos. But esta misma capacidad de reprogramación proporciona una táctica útil para el bromista, cobrador, vendedor por teléfono, y, por supuesto, el ingeniero social.

VARIATIEN:

THE PresidenT OF THE UNITED ESTADOS YoS LLAMADA Las co-presentador de un programa de radio en Los Angeles llamado "Dark Side of the Internet" en la KRadio Talk FI, trabajaba bajo la dirección de programa de la emisora. David, una de las personas más comprometidas y trabajadoras que he conocido, es muy difícil llegar a bteléfono y porque está muy ocupado. Es una de esas personas que no responde a un Californial menos que vea el identificador de llamadas que se trata de alguien que tiene que hablar. When yo lo llamara, porque no tengo bloqueo de llamadas en mi teléfono celular, no podía decir quién estaba llamando y no contesta la llamada. Sería la vuelta al correo de voz, y se hizo muy frustrante para mí. Hablé sobre qué hacer acerca de esto con un amigo de mucho tiempo, que es el co-fundador de una empresa de bienes raíces que ofrece espacio de oficinas para empresas de alta tecnología. Juntos se nos ocurrió un plan. Tenía acceso a Meridian interruptor de su compañía telefónica, lo que le da la capacidad de programar el número de la persona que llama, tal como se describe en el artículo anterior. Cada vez que necesitaba para llegar al director del programa y no pudimos conseguir una llamada a través, yo le preguntaba a mi amigo para programar cualquier número de mi elección para que aparezca en el identificador de llamadas. A veces me gustaría que él haga la llamada parece como si viniera de la asistente de la oficina de David, oa veces de la sociedad holding propietaria de la estación. But mi favorita fue la programación de la llamada al parecer del propio David el número de teléfono de casa, que siempre recogido. H1 conceder su crédito al individuo, sin embargo. Él siempre tenía un buen sentido del humor al respecto cuando cogía el teléfono y descubrir que le había engañado una vez más. Las mejores partwas que luego volvería a alojar en la línea de tiempo suficiente como para saber lo que quería y resolver lo que sea la cuestión era. When demostré este pequeño truco en el show de Art Bell, he falsificado mi identificador de llamadas para mostrar el nombre y número de la sede de Los Ángeles del FBI. Arte sorprendió bastante sobre el asunto y me amonestó por haber hecho algo ilegal. Pero yo le señalé que es perfectamente legal, siempre y cuando no sea un intento de cometer fraude. Después de que el programa que he recibido cientos de correos electrónicos pidiéndome que explicar cómo lo había hecho. Ahora lo sabes. This es la herramienta perfecta para construir credibilidad para el ingeniero social. Si, por ejemplo, durante la fase de investigación del ciclo de ataque de ingeniería social, se descubrió que el destino tenía identificador de llamadas, el atacante podría falsificar su número propio como procedentes de una empresa de confianza

o empleado. Un cobrador puede hacer sus llamadas parecen venir de su lugar de trabajo. But detenerse a pensar en las implicaciones. Un intruso informático puede llamar a su casa que dice ser del departamento de TI de su empresa. La persona en el

line necesita urgentemente la contraseña para restaurar los archivos a partir de una caída del servidor. O el identificador de llamadas muestra el nombre y número de su banco o casa de bolsa de valores, la niña bonita que suena sólo tiene que verificar sus números de cuenta y el nombre de soltera de su madre. Por si fuera poco, también tiene que verificar su PIN ATM debido a algún problema en el sistema. Un mercado de valores sala de calderas operación pueden hacer sus llamadas parecen venir de Merrill Lynch o Citibank. Alguien quiere robarle su identidad podría llamar, al parecer de Visa, y convencer a usted para decirle que su número de tarjeta Visa. Un tipo con un rencor podría llamar y dicen ser del IRS o el FBI. Yof usted tiene acceso a un sistema telefónico conectado a un PRI, además de un poco de conocimientos de programación que es probable que pueda adquirir en el sitio web del proveedor del sistema, puede utilizar esta táctica para jugar trucos con tus amigos. Conozco a nadie con exageradas aspiraciones políticas? Usted puede programar el número de referencia como 202 456-1414, y su identificador de llamadas mostrará el nombre de "Casa Blanca". He'll pensar que está recibiendo una llamada del presidente! The moraleja de la historia es simple: identificador de llamadas no se puede confiar, excepto cuando se utiliza para identificar las llamadas internas. Tanto en el trabajo como en casa, todo el mundo tiene que darse cuenta de que el truco identificador de llamadas y reconocer que el nombre o número de teléfono que aparece en una pantalla de identificación de llamadas no siempre se puede confiar en la verificación de la identidad. Mitnick MENSAJE The próxima vez que reciba una llamada y su identificador de llamadas muestra que es de su querido y viejo mamá, Nunca se sabe - que podría ser de un dulce poco viejo ingeniero social. EL EMPLEADO INVISIBLE Shirley Cutlass ha encontrado una nueva y emocionante manera de hacer dinero rápido. No más largas horas en la mina de sal. Se ha unido a los cientos de artistas de la estafa otros involucrados en el crimen de la década. Ella es un ladrón de identidad. TodAy que ha puesto sus ojos en conseguir información confidencial del departamento de servicio al cliente de una compañía de tarjetas de crédito. Después de hacer el tipo de tarea habitual, se llama a la compañía de blanco y le dice a la operadora que contesta que le gustaría ser conectado al Departamento de Telecom. Llegar a Telecom, pide el administrador de correo de voz.

Usíng información obtenida de su investigación, explica que su nombre es Norma Todd de la oficina de Cleveland. El uso de un ardid que ya deberían ser familiares para usted, ella dice que va a viajar a la sede corporativa de una semana, y ella necesita un buzón de voz allí, así que no tendrá que hacer de larga distancia

llamars para comprobar sus mensajes de correo de voz. No hay necesidad de una conexión física de teléfono, dice, sólo un buzón de voz. Él dice que va a tomar el cuidado de él, va a llamar a su espalda cuando se creó para darle la información que necesita. Yona voz seductora, ella dice: "Yo estoy en camino a una reunión, ¿puedo volver a llamar en una hora. Blancoen ella vuelve a llamar, él dice que está todo listo, y le da la información su número de extensión y una contraseña temporal. Él pregunta si ella sabe cómo cambiar la contraseña del correo de voz, y ella lo deja hablar a través de ella los pasos, a pesar de que los conoce por lo menos tan bien como él. "Unad por el camino ", ella pregunta," desde mi hotel, ¿qué número debo llamar para comprobar mis mensajes? "Le da el número. Shiteléfonos, en rley cambia la contraseña, y los registros de su saludo saliente. Shirley ataques Hasta ahora todo ha sido un montaje fácil. Ahora está listo para utilizar el arte del engaño. She llama al servicio de atención al cliente de la compañía. "Estoy con colecciones, en la oficina de Cleveland", dice ella, y luego se lanza a una variación en la excusa por ahora-familiar. "Mi equipo está siendo fijado por el apoyo técnico y necesito tu ayuda levantar esta información". Y ella va a proporcionar el nombre y fecha de nacimiento de la persona cuya identidad se tiene la intención de robar. Luego se muestra la información que quiere: Historia de nombre de soltera de la dirección, de la madre, número de tarjeta, límite de crédito, crédito disponible, y el pago. "Llámame a este número", dice ella, dando el número de extensión interno que el administrador de correo de voz configurado para ella. "Y si no estoy disponible, deje la información en mi correo de voz." She se mantiene ocupado con las diligencias para el resto de la mañana, y luego revisa su correo de voz de la tarde. Todo está ahí, todo lo que pedimos. Antes de colgar, Shirley borra el mensaje de salida, sino que sería imprudente dejar una grabación de su voz detrás. Und robo de identidad, el crimen de más rápido crecimiento en Estados Unidos, el "en" crimen del siglo nuevo, está a punto de tener otra víctima. Shirley utiliza la tarjeta de crédito y la información de identidad que acaba de obtener, y comienza a funcionar los cargos en la tarjeta de la víctima.

LaCon el nalyzing Yon este ardid, el atacante primero engañados administrador de la empresa de correo de voz en believing ella era una empleada, por lo que iba a crear un buzón de voz temporal. Si se molestó en comprobar nada, habría encontrado que el nombre y tnúmero eléfono dio a coincidir los anuncios en la base de datos de los empleados de las empresas. The resto era simplemente una cuestión de dar una excusa razonable acerca de un problema de equipo, solicitando la información deseada, y solicitando que la respuesta se dejó en el buzón de voz. ¿Y por qué ningún empleado se muestren reacios a compartir información con un compañero de trabajo? Dado que el número de teléfono que Shirley siempre fue claramente una extensión interna, no había ninguna razón para que cualquier sospecha. Mitnick MENSAJE Try llamar a su correo de voz de vez en cuando, si oyes un mensaje saliente que 's no es tuyo, es posible que acabamos de encontrar su ingeniero social primero. THE ÚTIL SECRETARIO Cracker Robert Jorday había sido regularmente irrumpir en las obras de ordenador netos oempresa fa global, Rudolfo Shipping, Inc. La empresa finalmente reconoció que había alguien hackear su servidor de terminales, una, que a través de ese servidor que el usuario puede conectarse a cualquier sistema informático de la empresa. Para salvaguardar la red de la empresa, la empresa decide, para solicitar una contraseña de acceso telefónico en cada servidor terminal. Robarert llamado el Centro de Operaciones de Red haciéndose pasar por un abogado del Departamento Legal y dijo que estaba teniendo problemas para conectarse a la red. El administrador de la red llegó explicó que había habido algunos problemas de seguridad recientes, por lo que todos los usuarios de acceso dial-up tendría que obtener la contraseña mensual de su manager. Robert se preguntó qué método se usaba para comunicarse contraseña cada mes a los gerentes y cómo podía obtenerla. La respuesta, se vio después, era que la contraseña para el siguiente mes fue enviado en una nota a través de la oficina, por correo a cada gerente de la empresa. That hace las cosas fáciles. Robert hizo un poco de investigación, llamó a la compañía justo después del primer día del mes, y llegó a la secretaria de un gerente, quien se identificó como Janet. Él dijo: "Janet, hola. Este es Randy Goldstein en Investigación y Desarrollo. Sé que probablemente tiene la nota con la contraseña de este mes para iniciar sesión en el servidor Terminal Server desde fuera de la empresa, pero no puedo encontrar en cualquier lugar. ¿Recibiste su

nota de esto, mes? " Yes, dijo, ella lo entendía.

He le preguntó si quería enviarlo por fax a él, y ella estuvo de acuerdo. Él le dio el número de fax de la recepcionista del vestíbulo en un edificio diferente en el campus de la compañía, donde ya había hecho los arreglos para que los faxes sean mantenidos para él, y luego se encargaría de la contraseña de fax que se transmitirá. Esta vez, sin embargo, Robert utilizó un diferente método de reenvío de faxes. Le dio a la recepcionista un número de fax que se fue a un servicio de fax en línea. Cuando este servicio recibe un fax, el sistema automatizado que envía a la dirección de correo electrónico del suscriptor. The una nueva contraseña llegó a la caída de email muertos que Robert establecido en un servicio gratuito de correo electrónico en China. Estaba seguro de que si el fax se ha trazado alguna vez, el investigador estaría sacando su pelo tratando de obtener la cooperación de las autoridades chinas, que, lo sabía, eran más que un poco reacio a ser útil en asuntos como éste. Lo mejor de todo, nunca había tenido que presentarse físicamente en la ubicación de la máquina de fax.

Mitnick MENSAJE Thsociales e ingeniero experto es muy inteligente a influir a otras personas a hacer favores para él. Recepción de un fax y enviarlo a otro lugar parece tan inofensivo que es muy fácil convencer a una recepcionista o alguien más que estar de acuerdo para hacerlo. Cuando alguien pide un favor que implique una información, si usted no lo sabe o no puede verificar su identidad, simplemente diga no. TráfiC TRIBUNAL Probabltodo el mundo y que haya recibido una multa por velocidad ha soñado about alguna manera de vencerla. No por ir a la escuela de tráfico, o simplemente pagar la multa, o correr el riesgo de tratar de convencer al juez sobre algún tecnicismo como cuánto tiempo ha pasado desde que el velocímetro de coches de policía o la pistola de radar fue comprobado. No, la más dulce de escenario estaría latiendo el billete por burlar el sistema. La Con Although No recomendaría probar este método de golpear a una multa de tráfico (como ªe dice el refrán, no intenten hacer esto en casa) sin embargo, este es un buen ejemplo de cómo el arte de la deception Californian be utilizard to ayudar la tancial ingeniero. Dejar'S llamar a este tráfico violater Paul Durea. Primeros

Pasos "LAPDDe la División Hollenbeck ". "Hola, Me gustaría hablar con el control de citación. "" Soy el secretario de citación ".

"Fine. Esto es abogado John Leland, de Meecham, Meecham y Talbott. Tengo que citar a un funcionario en un caso. " "Está bien, Qué oficial? " "Do tienes Oficial de Kendall en su división? "" ¿Cuál es su número de serie? " "21349". "Sí. ¿Cuándo lo necesitas?" "Somtiempo e el próximo mes, pero tengo que citar a otros testigos en el caso y luego decirle a la corte qué día va a trabajar para nosotros. ¿Hay algún día próximo mes oficial de Kendall no estarán disponibles? " "Vamos as ver ... Tiene días de vacaciones del día 20 al 23, y ha entrenando día, el 8 y el 16. " "Gracias. Eso es todo lo que necesito en estos momentos. Yo te llamo cuando la fecha de corte se establece. " Corte Municipal, Contador secretario Paul: "Me gustaría programar una cita en la corte en esta multa." Secretario: ". Está bien que te puede dar el día 26 del mes que viene." "Bueno, me gustaría hacer una lectura de cargos". "You quiere una comparecencia en una multa de tráfico? "" Sí ". "Está bien. Podemos establecer la comparecencia de mañana en la mañana o en la tarde. ¿Qué te gustaría? " "Por la tarde". "Arraignment es mañana a las 1:30 P.M. en la Sala Seis. "" Gracias. Voy a estar allí. " Corte Municipal, Courtroom Six DComimos: Jueves, 13:45 Secretario: "El señor Durea, por favor acercarse al estrado". Juez: "El señor Durea, ¿entiendes los derechos que se han explicado a usted esta tarde?" Paul: "Sí, Su señoría ". Juez: "Do quieres tener la oportunidad de asistir a la escuela de tráfico? Su caso será despedido después de completar con éxito un curso de ocho horas. He

revisado su expediente y usted es actualmente elegible ". Paul: "No, Su señoría. Solicito respetuosamente que el caso fuera a juicio. Una cosa más, Su Señoría, voy a estar viajando fuera del país, pero estoy disponible en

ªe 8 o 9. ¿Sería posible establecer mi caso a juicio en cualquiera de esos días? Me voy en un viaje de negocios para el futuro de Europa, y vuelvo en cuatro semanas ". Juez: "Ver.y bien. Juicio está programado para el 08 de junio, 8:30 AM, Sala Cuatro ". Paul: "De lo quek usted, su señoría ". Corte Municipal, Sala Cuatro Paul llegó a la corte temprano en el día 8. Cuando el juez entró, el empleado le dio una lista de los casos en los que los agentes no habían aparecido. El juez llamó a los acusados, incluyendo a Pablo, y les dijo que sus casos fueron desestimados. LaCon el nalyzing When un oficial escribe un boleto, que lo firma con su nombre y su número de placa (Or cualquiera que sea su número personal es llamado en su agencia). Encontrar su estación es un pedazo de pastel. Una llamada a la asistencia de directorio con el nombre de la aplicación de la ley agency que aparece en la citación (Patrulla de Caminos, sheriff del condado, o lo que sea) es enough a poner un pie en la puerta. Una vez que el organismo se pone en contacto, se puede transferir la llamada al número de teléfono correspondiente a la recepcionista de citación que sirve el área geográfica donde se realizó la parada de tráfico. Los oficiales de policía son citados para comparecencias ante el tribunal con regularidad, sino que viene con el territorio. Cuando un fiscal o un abogado de la defensa necesita un oficial para declarar, si sabe cómo funciona el sistema, lo primero que comprueba que el oficial estará disponible. Eso es fácil de hacer, sólo se necesita una llamada a la recepcionista de citación para esa agencia. Usually en esas conversaciones, el abogado le pregunta si el funcionario en cuestión estará disponible en tal y tal fecha. Por esta treta, Paul necesitaba un poco de tacto, tenía que ofrecer una razón plausible de por qué el empleado debe decirle qué fechas el oficial no estaría disponible. When primero fue a la sede del tribunal, ¿por qué Pablo no simplemente decir la secretario judicial que fecha que quería? Fácil - por lo que entiendo, la corte de tráfico empleados en la mayoría de lugares no permiten que los miembros del público para seleccionar las fechas de corte. Si un

dcomió el secretario sugiere que no funciona para la persona, que va a ofrecer una alternativa o dos, Pero eso es lo que a ella se doblará. Por otra parte, cualquiera que esté dispuesto a tomar el tiempo adicional de presentarse para la lectura de cargos es probable que tenga más suerte. PauSabía que tenía derecho a pedir una comparecencia. Y sabía que los jueces están dispuestos a acoger una solicitud de una fecha específica. Cuidadosamente pedido

dates que coincidían con los días de entrenamiento del oficial, a sabiendas de que en su estado, el entrenamiento oficial tiene prioridad sobre una aparición en la corte de tráfico. Mitnick MENSAJE Thmente e humano es una creación maravillosa. Es interesante observar cómo imaginativo people puede estar en el desarrollo de formas engañosas para conseguir lo que quieren o para salir de una situación difícil. Usted tiene que usar la misma creatividad e imaginación para proteger la información y los sistemas informáticos en los sectores público y privado. Así que, amigos, la hora de diseñar las políticas de seguridad de su compañía - ser creativo y pensar outside la caja. Und en el corte de tránsito, cuando el oficial no aparece - caso sea desestimado. No multas. No hay clases de tráfico. Sin puntos. Y lo mejor de todo, no hay registro de un delito de tráfico! My supongo que algunos funcionarios policiales, funcionarios judiciales, fiscales y similares leerá esta historia y sacuden sus cabezas, porque saben THAt this ardid funciona. Sin embargo, meneando la cabeza es todo lo que voy a hacer. Nada va a cambiar. Yo estaría dispuesto a apostar por ella. Como el personaje de Cosmo dice en las zapatillas de deporte 1992 de cine: "Es todo acerca de los unos y ceros" - lo que significa que, al final, todo se reduce a la información. Mientras las fuerzas del orden están dispuestos a dar información sobre el horario de un oficial para prácticamente cualquier persona que llama, la capacidad de salir de multas de tráfico siempre existirá. ¿Tiene lagunas similares en su empresa o oprocedimientos RGANIZACIÓN de que un ingeniero social inteligente puede aprovechar para obtener la información que usted preferiría no tener? SAMANTHA REVENGE Samantha Gregson enojado. "S estaba

She había trabajado duro para su título universitario en los negocios, y apilados un montón de préstamos estudiantiles para hacerlo. Siempre se había inculcado a ella que un título universitario es cómo usted tiene una carrera en lugar de un trabajo, cómo usted ganó mucho dinero. Y después se graduó y no podía encontrar un trabajo decente en cualquier lugar. How contento que había sido conseguir que la oferta de Manufactura Lambeck. Claro, era humillante para aceptar un puesto de secretaria, pero el señor Cartright había dicho lo ansiosos que estaban por tenerla, y tomando el trabajo de secretaria se puso en el lugar cuando el próximo no administrativa posición abierto.

Twmeses o más tarde se enteró de que uno de los jefes de producto de menores Cartright se iba. Casi no pude dormir esa noche, imaginándose en el quinto piso, en una oficina con una puerta, asistir a reuniones y tomar decisiones.

Thmañana e siguiente fue lo primero a ver al señor Cartright. Dijo que sentía que necesitaba aprender más sobre la industria antes de estar preparada para una posición profesional. Y luego se fue y contrató a un aficionado de fuera de la empresa que sabía menos acerca de la industria que ella. Yot estaba por entonces que comenzó a caer en ella: la empresa tenía un montón de mujeres, pero eran casi todos los secretarios. Ellos no iban a dar un trabajo de gestión. Ever. Payback Yot la llevó casi una semana para averiguar cómo se las iba a pagar. Alrededor de un mes antes, un chico de una revista comercial de la industria ha tratado de dar con ella cuando entró en el lanzamiento de nuevos productos. Unas semanas más tarde la llamó al trabajo y dijo que si ella le enviaría alguna información previa sobre el producto Cobra 273, que enviaría sus flores, y si era información muy caliente que usó en la revista, que había hacer un viaje especial desde Chicago sólo para llevarla a cenar. She había estado en el cargo el joven señor de Johannson Un día, poco después de que cuando se ha iniciado sesión en la red corporativa. Sin pensarlo, se había visto sus dedos (hombro surf, esto a veces se llama). Había entrado en "marty63" como su contraseña. Élplan de r estaba empezando a unirse. Había una nota que recordaba a escribir poco después de que llegó a la empresa. Ella encontró una copia en los archivos y escribió una nueva versión, con un lenguaje de la original. Su versión decía: A: C. Pelton, departamento de TI. FROM: L. Cartright, Desarrollo Martín Johansson va a trabajar con un equipo de proyectos especiales en mi departamento. Por la presente le autoriza a tener acceso a los servidores utilizados por el grupo de ingeniería. Sr. Johansson perfil de seguridad se va a actualizar a otorgarle los mismos derechos de acceso como desarrollador de productos. Louis Cartright LINGO ShouldeR SURF The acto de ver un tipo de persona en su computadora keyboard para detectar y robar su contraseña o información de otro usuario.

When casi todo el mundo se había ido a almorzar, se cortó la firma del Sr. Cartright desde el memorándum original, lo pegué en su nueva versión, y embadurnado Wite-Out en los bordes. Ella hizo una copia de los resultados, y luego hizo una copia de la copia. Casi no podía ver los bordes alrededor de la firma. Ella envió el fax de la máquina ", cerca de la oficina del Sr. Cartright. Tres días más tarde, se quedó fuera de horario y esperó hasta que todos se fueron. Ella entró a la oficina de Johannson, y trató de iniciar sesión en la red con su nombre de usuario y la contraseña, marry63. Funcionó. Yon minutos que había localizado los archivos de especificación de producto para el Cobra 273, y se han cargado a un disco Zip. El disco estaba a salvo en su bolso mientras caminaba en el frío nocturno brisa para el estacionamiento. Sería en su camino hacia el reportero que noche. LaCon el nalyzing Un empleado descontento, una búsqueda a través de los archivos, una rápida operación de corte de pasta y Wite fuera, un poco creativo, copia y fax a. Y, voila - ella tiene acceso a la comercialización confidencial y especificaciones del producto. Y unos días más tarde, un periodista de la revista el comercio tiene una gran primicia con las especificaciones y los planes de comercialización de un nuevo producto caliente que estará en las manos de los suscriptores de la revista a lo largo de los meses de la industria antes del lanzamiento del producto. Empresas de la competencia tendrá inicio varios meses la cabeza en el desarrollo de productos equivalentes y que sus campañas publicitarias listo para socavar la Cobra 273. Naturally la revista nunca dirá de dónde sacaron la primicia. PREVENTING CON EL When pedido ninguna información valiosa, sensible o crítica que pueda ser de beneficiar a un competidor o cualquier otra persona, los empleados deben ser conscientes de que el uso de la identificación de llamadas como un medio para verificar la identidad de la persona que llama no es aceptable. Algunos otros medios de verificación deben ser utilizados, tales como la comprobación con el supervisor de la persona que la petición era adecuado y que el usuario tiene autorización para recibir la información. Thproceso electrónico de verificación requiere un acto de equilibrio que cada empresa debe definir por sí misma: Seguridad frente a la productividad. ¿Qué prioridad se va a asignar a la aplicación de medidas de seguridad? ¿Los empleados son resistentes a los siguientes procedimientos de seguridad, und

vísperan circumvent tdobladilloyon order to complete their trabajo responsabilidades? ¿Los empleados entienden por qué la seguridad es importante para el

company ya sí mismos? Estas preguntas deben ser respondidas para desarrollar una política de seguridad basada en la cultura corporativa y las necesidades del negocio. Mospersonas inevitablemente t ver cualquier cosa que interfiera con conseguir su trabajo hecho como una molestia, y puede burlar las medidas de seguridad que parecen ser un waste de tiempo. Motivar a los empleados a hacer parte de seguridad de sus responsabilidades diarias a través de la educación y la conciencia es la clave. Althougllamante h servicio de identificación nunca debe ser usado como un medio de autenticación para llamadas de voz desde fuera de la compañía, otro método llamado identificación automática de número (ANI) puede. Este servicio se ofrece cuando una empresa se suscribe a huir al número de servicios que la empresa paga por las llamadas entrantes y es confiable para la identificación. A diferencia de la identificación de llamadas, el interruptor de compañía telefónica no utiliza ningún tipo de información que se envía desde un cliente al proporcionar el número que llama. El número transmitido por ANI es el número de facturación asignado a la parte llamante. Noe que varios fabricantes modernos han añadido una característica de identificador de llamadas en sus productos, la protección de la red corporativa, permitiendo acceso remoto requiere sólo de una lista de números de teléfono ofpreauthorized. Módems de identificación de llamadas son un medio aceptable de autenticación en un entorno de baja seguridad, pero, como debería haber quedado claro, ID spoofing persona que llama es una técnica relativamente fácil para los intrusos informáticos, por lo que no debe ser invocado para probar la identidad de la persona que llama o la ubicación en un entorno de alta seguridad. Para abordar el caso de robo de identidad, como en el cuento de engañar a un administrador crear un buzón de correo de voz en el sistema telefónico corporativo, lo convierten en una política que todo el servicio de teléfono, todos los buzones de correo de voz, y todas las entradas en el directorio de la empresa, tanto en impresa y en línea, debe ser solicitada por escrito, en un formulario previsto a tal efecto. Gerente del empleado debe firmar la solicitud, y el administrador de correo de voz debe verificar la firma. Corporate la política de seguridad debe exigir que nuevas cuentas de equipo o el aumento de los derechos de acceso sólo se concederá después de la verificación positiva de la persona que hace la solicitud, como una devolución de llamada al administrador del sistema o el administrador, o persona que éste designe, en el número de teléfono que aparece en el Directorio de empresas de medios impresos o en línea. Si la empresa utiliza el correo electrónico seguro en el que los empleados pueden firmar digitalmente los mensajes, este método de verificación alternativa también puede ser aceptable. Recuerde que todos los empleados, independientemente de si tiene acceso a los

sistemas informáticos de la compañía, pueden ser engañados por un ingeniero social. Todo el mundo debe ser incluido en la formación de concienciación sobre seguridad. Auxiliares administrativos, recepcionistas, telefonistas y guardias de seguridad, se han familiarizado con los tipos de

ataque de ingeniería social más probabilidades de ser dirigida contra ellos para que puedan estar mejor preparados para defenderse de esos ataques.

Chapter 14 Espionaje industrial
La THReen de enformularioación attacks ungananciast gubernament, corporaciones, und sistemas universidad está bien establecida. Casi todos los días, los medios de comunicación informa de un nuevo virus informático, ataque de denegación de servicio, o el robo de información de tarjetas de crédito desde un sitio Web de comercio electrónico. We leído sobre casos de espionaje industrial, tales como Borland Symantec acusa de robar secretos comerciales, Cadence Design Systems presentar una demanda de carga del robo de código fuente por un competidor. Muchos empresarios leer estas historias y creo que nunca podría ocurrir en su empresa. Ess sucediendo cada día. VARIATISOBRE EN UN ESQUEMA Thardid e describe en la siguiente historia ha sido probablemente quitó muchas veces, a pesar de que suena como algo sacado de una película de Hollywood como El Persona enterada, O desde las páginas de una novela de John Grisham. Class Acción Imagine que un massive claseDe acción lawsuit yos raging against un major compañía farmacéutica, Pharmomedic. La demanda alega que conocía a uno de sus medicamentos muy populares tenían un efecto secundario devastador, pero que no sería evident hasta que un paciente había estado tomando la medicación durante años. La demanda alega que lay tenía los resultados de una serie de estudios de investigación que reveló este peligro, pero suprimió la evidencia y nunca le dio la vuelta a la FDA según sea necesario. William ("Billy") Chaney, el abogado del caso en la cabecera de la firma de abogados de Nueva York, que presentó la demanda de acción de clase, tiene testimonios de dos médicos Pharmomedic base la demanda. Pero ambos están jubilados, ni tiene ningún archivo o documentación, y tampoco sería un testimonio fuerte y convincente. Billy sabe que está en un terreno inestable. A menos que pueda obtener una copia de uno de esos informes, o alguna nota interna o la comunicación entre los ejecutivos de la compañía, su caso todo se vendrá abajo. So que contrata a una empresa que ha usado antes: Andreeson and Sons,

investigadores privados. Billy no sabe cómo Pete y su gente conseguir las cosas que hacen, y que no quiere saber. Todo lo que sabe es que Pete Andreeson es un buen investigador. To Andreeson, una misión de este tipo es lo que él llama un trabajo maletín negro. La primera regla es que nunca las firmas de abogados y empresas que lo contratan a aprender cómo se pone la información a fin de que siempre tengan una negación completa, plausible. Si alguien

yos va a tener los pies metió en el agua hirviendo, va a ser Pete, y por lo que se acumula en las comisiones sobre los grandes puestos de trabajo, él calcula que vale la pena el riesgo. Además, obtiene satisfacción personal, de ser más inteligente que la gente inteligente. Yof los documentos que Chaney quiere que encuentre realmente existió y que no han sido destruidos, van a estar en algún lugar en los archivos de Pharmomedic. Pero la búsqueda de ellos en los archivos masivos de una gran empresa sería una tarea enorme. Por otro lado, supongamos que han convertido copias a su bufete de abogados, Jenkins y Petry? Si los abogados de la defensa sabía que esos documentos existen y no entregarlos como parte del proceso de descubrimiento, entonces se ha violado el canon de la profesión jurídica de la ética, y ha violado la ley, también. En el libro de Pete, que hace que cualquier juego de ataque justo. Pete 's Attack Pete hace un par de sus personas iniciadas en la investigación y en pocos días él sabe AMSt empresa Jenkins y Petty utiliza para almacenar sus copias de seguridad fuera del sitio. Y sabe que la empresa de almacenamiento mantiene una lista de los nombres de las personas a quienes el law firma ha autorizado a recoger las cintas de almacenamiento. También sabe que cada una de estas personas tiene su contraseña propia. Pete envía a dos de su pueblo en un trabajo maletín negro. Thhombres e abordar la cerradura con una ganzúa pistola ordenado en la Web en www.southord.com. Dentro de unos minutos se deslizan en las oficinas de la empresa de almacenamiento de alrededor de 3 am una noche y arrancar un PC. Ellas sonríen cuando ven el logo de Windows 98, ya que significa que este será un juego de niños. Windows 98 no requiere ningún tipo de autenticación. Después de buscar algo exagerado, ubican una base de datos Microsoft Access con los nombres de las personas autorizadas por cada uno de los clientes de almacenamiento de la empresa para recoger las cintas. Añaden un nombre falso a la lista de autorizaciones por Jenkins y Petry, el mismo nombre que uno en una licencia de conducir falsa de uno de los hombres ha obtenido ya. ¿Podrían haber irrumpido en el área de almacenamiento cerrada y trató de localizar las cintas de su cliente quería? Seguro - pero entonces todos los clientes de la compañía, incluyendo la firma de abogados, que sin duda han sido notificados de la infracción. Y los atacantes habrían perdido una ventaja: Profesionales de siempre como para dejar una abertura para acceder en el futuro, en caso de necesidad. Followinga práctica estándar de espías industriales para mantener algo en el bolsillo trasero para un uso futuro, por si acaso, también hizo una copia del archivo que contiene la lista de autorizaciones en un disquete. Ninguno de ellos tenía la menor idea de lo que alguna vez podría ser útil, pero es sólo uno de esos "Estamos aquí, puede ser que sólo así" las cosas que de vez en cuando resulta ser

valiosa.

Thdías e siguiente, uno de los mismos hombres llamó a la compañía de almacenamiento, utiliza el nombre que había añadido a la lista de autorizaciones, y dio la contraseña correspondiente. Pidió que todos los Jenkins y cintas Petry fecha dentro del último mes, y dijo que un servicio de mensajería vendría a recoger el paquete. A media tarde, Andreeson tenía las cintas. Su pueblo restaurado todos los datos en su propio sistema informático, listo para buscar en el ocio. Andreeson estaba muy contento de que la firma de abogados, al igual que la mayoría de los otros negocios, no se molestó en cifrar sus datos de copia de seguridad. Thcintas electrónicas fueron entregados a la empresa de almacenamiento al día siguiente y no había nadie más sabio. Mitnick MENSAJE Valuable información debe ser protegida sin importar la forma que adopte o donde yos ubicado. Lista de una organización cliente tiene el mismo valor, ya sea en copia impresa paramo un archivo electrónico en su oficina o en una caja de almacenamiento. Los ingenieros sociales prefieren siempre los más fáciles de burlar al, defendió el punto de ataque. Una empresa de las instalaciones fuera del sitio de almacenamiento de copia de seguridad se considera que tiene un menor riesgo de detección o conseguir cogido. Toda organización que almacena todos los datos importantes, sensibles o críticos con terceros debe cifrar sus datos para proteger su confidencialidad. LaCon el nalyzing Debido a la seguridad física laxa, los malos eran fácilmente capaces de forzar la cerradura de la empresa de almacenamiento, el acceso a la computadora, y modificar el base de datos que contiene la lista de las personas autorizadas a tener acceso a la unidad de almacenamiento. Agregar un nombre a la lista de permitidos los impostores para obtener las cintas de copia de seguridad informáticos que buscaban, sin tener que entrar en la unidad de almacenamiento de la empresa. Porque la mayoría de las empresas no encriptan los datos de copia de seguridad, la información era de ellos for la toma. Thiincidente s ofrece un ejemplo más de cómo una empresa fabricante que no haga uso de las precauciones razonables de seguridad puede hacer que sea fácil para un atacante comprometer los activos de sus clientes la información. THE nuevo socio de negocios Social ingenieros tienen una gran ventaja sobre los estafadores y timadores, y la ventaja es la distancia. Un estafador sólo se puede engañar al estar en su presencia, lo que le permite dar una buena descripción de él más tarde o incluso

llamar a la policía si se captura a la astucia suficiente antelación. Sociaingenieros l ordinariamente evitar ese riesgo como la peste. A veces, sin embargo, el riesgo es necesario y justificado por la recompensa potencial.

JHistoria de essica Jessica Andover se sentía muy bien en conseguir un trabajo con un pez gordo robótica empresa. Claro, era sólo una start-up y no podían pagar mucho, pero era pequeña, la gente era amable, y allí estaba la emoción de saber que su stock opciones sólo podría llegar a hacerle rico. Bueno, quizás no un millonario como los fundadores de la compañía sería, pero lo suficientemente rico. Which fue cómo sucedió que Rick Daggot tiene una sonrisa radiante cuando entró en el vestíbulo que mañana martes de agosto. En su aspecto caro traje (Armani) y su pesado reloj de pulsera de oro (un Rolex Presidente), con su corte de pelo impecable, tenía esa misma varonil, seguro de sí mismo aire que había llevado a todas las chicas locas cuando Jessica estaba en la secundaria . "Hola", dijo. "Estoy Daggot Rick y yo estoy aquí para mi reunión con Larry". Jessica 's sonrisa se desvaneció. "Larry?" dijo. "Larry está de vacaciones toda la semana." "Tengo una cita con él a la una. Acabo de llegar de Louisville a reunirse con él", dijo Rick, como él sacó su Palm, lo encendió y le mostró. She lo miró y le dio una pequeña sacudida de su cabeza. "El 20", dijo. "Esa es la próxima semana." Dio la espalda bolsillo y se quedó mirándolo. "Oh, no!" él gimió. "No puedo creer lo que un error estúpido que hice." "¿Puedo reservar un vuelo de vuelta para ti, por lo menos? ", Preguntó ella, sintiendo pena por él. While hizo la llamada telefónica, Rick confesó que él y Larry había arreglado para establecer una alianza estratégica de marketing. Compañía de Rick estaba produciendo productos para la línea de fabricación y montaje, los elementos que se complementan perfectamente su nuevo producto, el C2Alpha. Productos de Rick y C2Alpha el conjunto sería una solución fuerte que abriría importantes mercados industriales para ambas compañías. When Jessica había terminado de hacer su reservación en un vuelo de la tarde, Rick dijo: "Bueno, al menos yo podía hablar con Steve si está disponible". Pero Steve, vicepresidente de la compañía y cofundador, también estaba fuera de la oficina. Almiar, Siendo muy amigo de Jessica y coquetear un poco, y luego sugirió que, mientras él estaba allí y su vuelo a casa no fue hasta la tarde, que le gustaría tomar algunas de las personas clave para el almuerzo. Y añadió: "La inclusión de ti, por supuesto - ¿hay alguien que puede llenar para usted en la hora del almuerzo.

Flushed ante la idea de ser incluido, Jessica preguntó: "¿A quién quieres venir?" Tocó su bolsillo otra vez y nombró a algunas personas - dos ingenieros de I + D, las nuevas ventas y marketing, el hombre y el chico financiamiento asignado al proyecto. Rick le sugirió que decirles acerca de su relación con la empresa, y que a él le gustaría presentarse a ellas. Él nombró el mejor restaurante de la zona, un lugar en el que Jessica siempre había querido ir, y dijo que volvería a reservar la mesa de sí mismo, para las 12:30, y volvería a llamar más tarde en la mañana para asegurarse de que todo estaba listo. Blancoen ellos se reunieron en el restaurante - el cuatro de ellas además de Jessica su mesa no estaba lista todavía, así que se establecieron en el bar, y Rick dejó en claro que las bebidas y el almuerzo estaban sobre él. Rick era un hombre con estilo y clase, la clase de persona que te hace sentir cómodo desde el primer momento, de la misma manera que se siente con alguien a quien conozco desde hace años. Siempre parecía saber exactamente lo que hay que decir, tenía una observación animado o algo divertido cada vez que la conversación lag, y te hacía sentir bien sólo estar cerca de él. He compartido sólo detalles suficientes sobre los productos de su propia empresa que se podía imaginar la solución de marketing conjunto parecía tan animada sobre. Llamó a varias compañías Fortune 500 que su empresa ya estaba vendiendo, hasta que todos en la mesa empezó a imaginar su producto convirtiéndose en un éxito desde el día en que las primeras unidades salió de la fábrica. Lan Rick se acercó a Brian, uno de los ingenieros. Mientras los demás charlaban entre sí, Rick compartido algunas ideas en privado con Brian, y lo llevó a cabo sobre las características únicas de la C2Alpha y lo que lo diferencia de cualquier cosa que la competencia tenía. Él se enteró de un par de características que la compañía estaba restándole importancia a que Brian era orgulloso y piensa realmente "puro". Rick se abrió camino a lo largo de la línea, charlando tranquilamente con cada uno. El tipo de marketing estaba feliz por la oportunidad de hablar acerca de la fecha de puesta en marcha y planes de marketing. Y el contador de frijol sacó un sobre de su bolsillo y escribió los detalles de los costos de materiales y de fabricación, nivel de precios y el margen esperado, y qué tipo de acuerdo que estaba tratando de trabajar con cada uno de los vendedores, los cuales se enumeran por su nombre. BY, el momento en que su mesa estaba lista, Rick había intercambiado ideas con todo el mundo y ha ganado admiradores a lo largo de la línea. Al final de la comida, cada uno de ellos dio la mano a Rick a su vez y le dio las gracias. Almiar swapped tarjetas de visita con todos y menciona de pasada a Brian, el ingeniero, que quería tener una discusión más amplia en cuanto Larry regresó.

The día siguiente Brian cogió su teléfono para descubrir que la llamada era de Rick, quien dijo que acababa de hablar con Larry. Estoy yendo a bacuse de recibo en el lunes para resolver algunos de los detalles con él ", dijo Rick", y él quiere que yo esté al tanto de su producto. Dijo que debe enviar los últimos diseños y especificaciones para él. Él va a escoger las piezas que quiere que yo tenga y las enviará a mí. " The ingeniero dijo que iba a estar bien. Bueno, Rick respondió. Él continuó, "quería Larry usted sepa que él está teniendo un problema al recuperar su correo electrónico. Lugar de enviar el material a su cuenta regular, arregló con centro de negocios del hotel para configurar una cuenta de correo de Yahoo para él. Él dice que usted debe enviar los archivos a larryrobotics @ yahoo.com." The después de la mañana del lunes, cuando Larry entró a la oficina buscando bronceado y relajado, Jessica fue preparado y con ganas de chorro sobre Rick. "¡Qué gran tipo. Tomó un montón de nosotros a comer, incluso para mí." Larry miró confundido. "Rick, ¿quién diablos es Rick?" "What're hablas - su nuevo socio de negocios "." ¿Qué!??? " "Unad todo el mundo estaba tan impresionado con lo que las buenas preguntas, se preguntó. "" Yo no conozco a ningún Rick ... " "¿QEs a lo que te pasa? ¿Es una broma, Larry - estás justo engañando conmigo, ¿verdad? " "Obtener el equipo ejecutivo en la sala de conferencias. Como ahora. No importa lo que están haciendo. Y todos los que estaban en ese almuerzo. Incluyéndote a ti." Lay se sentaron alrededor de la mesa en un estado de ánimo sombrío, casi sin hablar. Larry entró, se sentó y dijo: "Yo no conozco a nadie llamado Rick. Yo no tengo un nuevo socio comercial que he estado manteniendo en secreto para todos ustedes. ¿Qué habría pensado era evidente. Si hay una práctica, comodín en medio de nosotros, quiero que hable ahora. " Not un sonido. La habitación parecía estar creciendo más oscuro momento a momento. Finalmente Brian habló. "¿Por qué no dijiste nada cuando te envié THAt e-mail con las especificaciones del producto y el código fuente? " "¿Quemail t! ? " Brian se puso rígido. "Oh ...

mierda!"

Acantilado, El otro ingeniero, intervino in "Él nos dio todas las tarjetas de visita. Sólo tenemos que llamarlo y ver cuál es la campana que está pasando." Brian sacó su ordenador de mano, llamó a una entrada, y deslizó el dispositivo acrosestá la mesa para Larry. Aún esperando contra toda esperanza, que todos vimos como en trance, mientras que Larry marcado. Después de un momento, apuñaló el botón del altavoz y todo el mundo escuchó una señal de ocupado. Después de tratar el número varias veces durante un período de veinte minutos, un frustrado Larry marcó el operador para solicitar una interrupción de emergencia. Unos momentos más tarde, el operador volvió a la línea. Ella dijo en tono desafiante: "Señor, ¿dónde conseguiste este número?" Larry le dijo que estaba en la tarjeta de visita de un hombre que tenía que ponerse en contacto urgentemente. El operador, dijo: "Lo siento. Eso es una compañía de teléfonos número de prueba. Siempre suena ocupado." Larry comenzó a hacer una lista de la información que había sido compartida con Rick. La imagen no era bastante. Two Los detectives de la policía vino y se llevó un informe. Después de escuchar la historia, señalaron que ningún crimen se había cometido estatal, no había nada que pudieran hacer. Se aconseja ponerse en contacto con Larry el FBI porque no tienen jurisdicción sobre los delitos relacionados con el comercio interestatal. Cuando Rick Daggot pidió al ingeniero que transmita los resultados de las pruebas al tergiversar a sí mismo, él pudo haber cometido un delito federal, pero Rick tendría que hablar con el FBI para descubrirlo. Thremeses más tarde e Larry estaba en la cocina leyendo el periódico de la mañana en el desayuno, y casi derramó su café. Lo que había estado temiendo desde que había escuchado por primera vez sobre Rick se había hecho realidad, su peor pesadilla. Allí estaba, en blanco y negro, en la primera página de la sección de negocios: una empresa que nunca había oído hablar de anunciaba el lanzamiento de un nuevo producto que sonaba exactamente igual que el C2Alpha su compañía había estado desarrollando durante los últimos dos años. Through engaño, estas personas lo habían golpeado al mercado. Su sueño fue destruido. Los millones de dólares invertidos en investigación y desarrollo en vano. Y probablemente no pudo probar una sola cosa en su contra. Historia Sammy Sanford Smart lo suficiente como para estar ganando un gran salario en un empleo legítimo, pero lo suficientemente torcida to prefieren ganarse la vida como un estafador, Sammy Sanford había hecho muy bien por sí mismo. Con el tiempo llegó a la atención de un espía que se había

visto obligado a jubilarse anticipadamente debido a un problema con la bebida, amargo y vengativo, el hombre había encontrado la manera de la venta de los talentos que el gobierno había hecho de él un experto pulg Always en busca de personas que podrían utilizar, que había visto la primera Sammy

time que se conocieron. Sammy había resultado fácil, y muy rentable, para cambiar su enfoque de levantar dinero de la gente para levantar secretos de la compañía. Mospersonas t no tendría el valor de hacer lo que hago. Trata de engañar a la gente por teléfono oa través de Internet y nadie lo llega a ver. Sin embargo, cualquier estafador bueno, lo pasado de moda, cara a cara amable (y hay un montón de ellos ahí fuera, más de lo que imagina) le puede mirar a los ojos, decirle una mentira, y te lleva a creer ella. He conocido a un fiscal o dos que creo que es criminal. Creo que es un talento. But no se puede ir caminando a ciegas, tiene el tamaño de las cosas primero. A con calle, se puede tomar la temperatura de un hombre con un poco de conversación amable y par de sugerencias cuidadosamente redactados. Obtenga las respuestas correctas y Bingo - HAS embolsado una paloma. Un trabajo de la empresa es más parecido a lo que llamamos una gran estafa. Tienes que hacer la instalación. Averigüe cuáles son sus botones son, saber lo que quieren. Lo que ellos necesitan. Planee un ataque. Sea paciente, hacer su tarea. Averiguar el papel que va a jugar y aprender sus líneas. Y no entra por la puerta hasta que esté listo. Pasé mejor de tres semanas en ponerse al día para éste. El cliente me dio una sesión de dos días en lo que debo decir "mi" empresa hizo y cómo describir por qué iba a ser una buena alianza de comercialización conjunta. Entonces tuve suerte. Llamé a la compañía y dijo que yo era de una firma de capital de riesgo y que estaban interesados en la creación de una reunión y yo estaba haciendo malabarismos con los horarios de encontrar un momento en que todos nuestros socios estará disponible en algún momento de los próximos dos meses, y estaba allí cualquier intervalo de tiempo que debe evitar, en cualquier período cuando Larry no iba a estar en la ciudad? Y ella dijo: Sí, él no había tenido tiempo de descanso en los dos años desde que se fundó la compañía, pero su esposa lo arrastraba lejos en unas vacaciones de golf en la primera semana de agosto. Eso fue sólo dos semanas. Yo podía esperar. Meanwhile una revista de la industria me dio el nombre de la empresa de la firma de relaciones públicas. Le dije que me gustaba la cantidad de espacio que se reciben a cambio de su cliente empresa de robótica y quería hablar con quien estaba manejando la cuenta sobre el manejo de mi empresa. Resultó ser una dama enérgica joven que le gustaba la idea de que podría ser capaz de traer una nueva cuenta. Durante un almuerzo con bebida caro uno más de lo que realmente quería, ella hizo lo que pudo para convencerme de que eran oh, tan bueno en la

comprensión de los problemas del cliente y encontrar las soluciones adecuadas relaciones públicas. Jugué difícil de convencer. Necesitaba algunos detalles. Con un poco de insistencia, por el tiempo que el

placas se estaban quedando sin ella me había dicho más sobre el nuevo producto y problemas de la empresa de lo que podía haber esperado. Thcosa e iba como un reloj. La historia está tan avergonzado que la reunión fue la semana que viene, pero que también podría reunirse con el equipo todo el tiempo que estoy aquí, la recepcionista tragarse enteras. Incluso sentí lástima por mí en el negocio. El almuerzo me retrasó todo por $ 150. Con punta. Y yo tenía lo que necesitaba. Los números de teléfono, cargos, y un chico muy clave que creía que yo era el que me dijo que yo era. Brian me había engañado, lo admito. Él parecía el tipo de hombre que acababa de enviarme por correo electrónico cualquier cosa que pedimos. Pero su voz sonaba como si estuviera frenando un poco cuando me sacó el tema. Vale la pena esperar lo inesperado. Esa cuenta de correo electrónico en nombre de Larry, que lo tenía en el bolsillo de atrás por si acaso. La gente de Yahoo de seguridad están probablemente todavía allí sentado esperando a que alguien utilice la cuenta de nuevo para que puedan rastrearlo. Van a tener que esperar mucho tiempo. La mujer gorda ha cantado. Me voy en otro proyecto. LaCon el nalyzing Anyone que trabaja con un cara a cara tiene que ocultar a sí mismo en una mirada que se make aceptable a la marca. Él se puso juntos de una manera que aparezca en la pista de carreras, otro para aparecer en un pozo de agua locales, otro para un bar de lujo en un hotel de lujo. Ess de la misma manera con el espionaje industrial. Un ataque puede llamar por un traje y corbata y un maletín caro si el espía se hace pasar por un ejecutivo de una firma establecida, consultor, o un representante de ventas. En otro trabajo, tratando de hacerse pasar por un ingeniero de software, un técnico, o alguien de la sala de correo, la ropa, el uniforme - la mirada del conjunto sería diferente. For infiltrarse en la sociedad, el hombre que se hacía llamar Rick Daggot sabía que tenía que proyectar una imagen de confianza y competencia, respaldada por un conocimiento profundo de productos de la empresa y la industria. Nodificultad t mucho poniendo las manos sobre la información que necesitaba con antelación. Él ideó una estratagema fácil averiguar cuando el CEO estaría lejos. Un pequeño reto, pero todavía no es muy difícil, estaba descubriendo bastantes detalles sobre el proyecto que podría sonar "en el interior" de lo que estaban haciendo. A menudo esta información es conocida por varios proveedores de la empresa, así como los inversores, capitalistas de riesgo han acercado sobre la recaudación de dinero, su banquero, y su bufete de abogados. El atacante tiene que tener cuidado, sin embargo: Encontrar a alguien que se parte con conocimiento de información privilegiada puede ser difícil, pero tratar dos o tres fuentes de subir a alguien que puede ser exprimida para obtener información corre

el riesgo de que las personas

catch en el juego. De esta forma se encuentra el peligro. Los Daggots Rick del mundo que escoger con cuidado y pisar cada ruta de la información una sola vez. Thalmuerzo e era otra proposición pegajosa. Primero fue el problema de organizar las cosas para que tuviera unos minutos a solas con cada persona, fuera del alcance del oído de los otros. Él le dijo a Jessica 12:30 pero reservamos la mesa durante 1 h, en un primer nivel, los gastos de la cuenta tipo de restaurante. Esperaba que eso significaría que tendría que tomar una copa en el bar, que es exactamente lo que pasó. Una oportunidad perfecta para moverse y charlar con cada individuo. Aún así, había muchas maneras de que un paso en falso - una respuesta equivocada o un comentario descuidado podrían revelar Rick ser un impostor. Sólo un espía industrial supremamente confiado y astuto se atrevería a correr el riesgo de exponer a sí mismo de esa manera. Pero los años de trabajo en las calles como un hombre de confianza había construido las habilidades de Rick y le dio la confianza de que, incluso si él cometió un desliz, él sería capaz de cubrir suficientemente bien como para acallar cualquier sospecha. Este fue el más difícil, el tiempo más peligroso de toda la operación, y la alegría que sentía al poner fuera de una picadura como este le hizo darse cuenta de por qué no tiene que conducir coches rápidos o saltar en paracaídas o engañar a su esposa - que tiene un montón de emoción haciendo su trabajo. ¿Cuántas personas, se preguntó, ¿podría decir lo mismo? Mitnick MENSAJE While los ataques de ingeniería más sociales se producen a través del teléfono o correo electrónico, no asuma que un atacante atrevido nunca aparecerá en persona en su negocio. En la mayoría de los casos, el impostor utiliza alguna forma de ingeniería social para obtener acceso a un edificio después de la falsificación de una credencial de empleado usando un programa de software comúnmente disponible como Photoshop. ¿Qut sobre las tarjetas de visita con la línea telefónica de pruebas de la compañía? La televisión show Los casos de Rockford, que era una serie sobre un detective privado, ilustran una técnica ingeniosa y humorística algo. Rockford (interpretado por el actor James Garner) tenía una tarjeta de negocios portátil máquina de impresión en su coche, que se utiliza para imprimir una tarjeta adecuada para cualquiera que sea la ocasión lo requería. En estos días, un ingeniero social puede obtener tarjetas de presentación impresas en una hora en cualquier tienda de copiar o imprimir en una impresora láser. NOTA John Le Carre, autor de El espía que surgió del frío, A Perfect Spy, und muchos otros libros notables, creció como el hijo de un pulido, con la participación de toda la vida el hombre puede. Le Carre fue golpeado cuando era

joven a descubrir que, con éxito ya que su padre era engañar a otro, también era crédulo, una víctima más de una vez a otro estafador o mujer. Lo cual viene a demostrar que todo el mundo está en riesgo de being engañar por un ingeniero social, incluso otro ingeniero social.

Blancoen encabeza un grupo de hombres inteligentes y mujeres a aceptar un impostor? Estamos encima de una situación, tanto por instinto e intelecto. Si la historia se suma - esa es la parte intelecto - y un estafador logra proyectar una imagen creíble, estamos por lo general dispuestos a bajar la guardia. Es la imagen creíble que separa a un hombre con éxito o ingeniero social de uno que rápidamente tierras tras las rejas. Comok ti mismo: ¿Qué tan seguro estoy de que nunca se enamoraría de una historia como la de Rick? Si estás seguro de que no, pregúntese si alguien tiene alguna vez put nada más de ti. Si la respuesta a esta segunda pregunta es sí, es probable que la respuesta correcta a la primera pregunta, también. LEAPFROG Un reto: La siguiente historia no implica espionaje industrial. Como read ella, a ver si puedo entender por qué me decidí a poner en este capítulo! HarrLlegar tarde y fue de nuevo viviendo en su casa, y él era amargo. La Infantería de Marina había parecido un gran escape, hasta que se lava fuera de campo de entrenamiento. Ahora que había regresado a la ciudad natal que odiaba, estaba tomando cursos de informática en la universidad de la comunidad local ", y en busca de una manera de atacar a todo el mundo. FinallY se le ocurrió un plan. Más de cervezas con un chico en una de sus clases, él había estado quejando de su instructor, un sarcástico sabe-lo-todo, y juntos cocinaron un perverso plan para quemar el chico: Habían tomar el código fuente de un populares asistente personal digital (PDA) y enviarlo a la del instructor equipo y asegúrese de dejar un rastro de lo que la compañía podría pensar que el instructor era el malo de la película. El nuevo amigo, Karl Alexander, dijo que él "sabía algunos trucos" y dicen que Harry ¿Cómo llevar esto adelante. Arid salirse con la suya. Doing su tarea Una investigación inicial mostró poco a Harry que el producto había sido diseñado en el Desarrollo Center ubicado en la sede del fabricante de PDA en el extranjero. Pero había también un centro de I + D en los Estados Unidos. Eso era bueno, Karl señalado, ya que para el intento de trabajar tenía que haber algo de instalaciones de la empresa en los Estados Unidos, que también es necesario el acceso al código fuente. Lat ese momento Harry estaba listo para llamar al Centro de Desarrollo de Ultramar. Aquí es donde un alegato en favor de simpatía entró, el "Oh, querido, estoy en problemas, necesito ayuda, por favor, por favor, ayúdame".

Naturalmente, el motivo fue un poco más sutil que eso. Karl escribió un guión, pero Harry parecía completamente falso tratando de leer. Al final, él practicó con Karl para poder decir lo que necesitaba en un tono conversacional.

¿Qut Harry finalmente dijo, con Karl sentado a su lado, fue algo como esto: "Voy a llamar a la I + D Minneapolis. Nuestro camarero tenía un gusano que infectó todo el departamento. Tuvimos que instalar el sistema operativo de nuevo y luego cuando fuimos a restaurar a partir de copia de seguridad, ninguna de las copias de seguridad era bueno. Adivina quién iba a ser el control de la integridad de las copias de seguridad? Atentamente. Así que me estoy poniendo a gritar a mi jefe, y la gestión se levanta en armas que hemos perdido los datos. Mira, tengo que tener la última versión del árbol de código fuente lo más rápido que puedas. Necesito que gzip código fuente y enviar a mí. " Lat este punto Karl le escribió una nota, y Harry le dijo al hombre en el otro extremo del teléfono que él sólo quería que transferir el archivo internamente, a Minneapolis I + D. Esto era muy importante: Cuando el hombre al otro lado del teléfono estaba claro que él estaba pidiendo que enviar el archivo a otra parte de la empresa, su mente estaba a gusto - ¿qué hay de malo en eso? LINGO GZIPTo archivar los archivos en un solo archivo comprimido con una utilidad de Linux GNU. He acuerdo con gzip y enviarlo. Paso a paso, con Karl a su lado, Harry habló el hombre existe por empezar en el procedimiento para comprimir el código fuente enorme en un archivo único y compacto. También le dio un nombre de archivo que se utilizará en el archivo comprimido ", newdata", explicando que este nombre podría evitar cualquier confusión con sus viejos archivos, corruptos. KarTuve que explicar el siguiente paso dos veces antes de que Harry lo consiguió, pero fue fundamental para el pequeño juego de salto de rana Karl había soñado. Harry fue llamar a la I + D Minneapolis y contarle a alguien allí "Quiero enviar un archivo a usted, y luego quiero que lo envíe a otro lugar para mí"-por supuesto, todos vestidos con motivos que hacen que todo suenan plausibles. ¿Qué confundido Harry era el siguiente: Se suponía que iba a decir "yo te voy a enviar un archivo," cuando no iba a ser Harry enviar el archivo en absoluto. Tuvo que hacer el chico que estaba hablando con en el Centro de I + D que el archivo fue viniendo de él, cuando lo que el Centro fue realmente va a recibir era el archivo de código fuente propietario de Europa. "¿Por qué le digo que viene de mí cuando lo que realmente está llegando desde el extranjero?" Harry quería saber. "Thtipo e en el Centro de I + D es la pieza clave ", explicó Karl." Tiene que creo que está haciendo un favor a un compañero de trabajo aquí en los EE.UU., consiguiendo un archivo de usted y luego simplemente reenviar por ti. " Harry finalmente comprendida. Llamó al Centro de I + D, donde pidió a la recepcionista que lo conecte al ordenador del centro, donde pidió hablar con un operador de la computadora. Un hombre se puso al teléfono que sonaba tan joven como Harry

sí mismo. Harry lo saludó, explicó que llamaba desde la división de fabricación de Chicago de la empresa y que tenía el archivo que había estado tratando de enviar a uno de sus compañeros de trabajo en un proyecto con ellos, pero, dijo, "Hemos tiene este problema del router y no puede llegar a su red. Me gustaría transferir el archivo a ti, y después de recibirlo, te voy a llamar por teléfono para que pueda caminar a través de transferirla a la computadora de la pareja. So ahora, todo bien. Harry le preguntó al joven si su centro de cómputo tenía una cuenta de FTP anónimo, una configuración que permite que cualquiera pueda transferir archivos dentro y fuera de un directorio donde no se requiere contraseña. Sí, un FTP anónimo estaba disponible, y él le dio a Harry en el Protocolo de Internet interno (IP) para llegar a ella. LINGO ANONYMOUS FTP Un programa que proporciona acceso a un equipo remoto incluso though no tiene una cuenta utilizando el protocolo de transferencia de archivos (FTP). A pesar de FTP anónimo puede acceder sin contraseña, por lo general el usuario derechos de acceso a determinadas carpetas se encuentran restringidas. Ingenioh esa información en la mano, Harry volvió a llamar al Centro de Desarrollo de Ultramar. Por ahora el archivo comprimido estaba listo, y Harry le dio las instrucciones para transferir el archivo al sitio FTP anónimo. En menos THAn cinco minutos, el comprimido archivo de código fuente se envió a la niña en el Centro de I + D. Configuración de la Víctima Halfway a la meta. Ahora Harry y Karl tuvo que esperar para asegurarse que el fichero tenía llegard antes de continuar. Durante la espera, andaban por la habitación hacia el escritorio del instructor y se hizo cargo de dos pasos necesarios. Se estableció por primera vez un servidor FTP anónimo en su máquina, que serviría como un destino para ªe-file en la última etapa de su plan. Thsegundo paso e dado solución a un problema de otra manera difícil. Está claro que no podía decirle a su hombre en el Centro de I + D para enviar el archivo a una dirección como, por ejemplo, warren@rms.ca.edu. La ". Edu" dominio sería un claro indicativo, ya que cualquier tipo de ordenador medio despierto lo reconocería como la dirección de una escuela, de inmediato soplando toda la operación. Para evitar esto, se fueron a Windows en el ordenador del profesor y miró la dirección IP de la máquina, que darían como la dirección para el envío del archivo.

BY entonces llegó el momento de devolver la llamada al operador de la computadora en el Centro de I + D. Harry le puso al teléfono y le dijo: "Me acaba de transferir el archivo que hablé con usted. ¿Se puede comprobar que la recibió"

Yes, había llegado. Harry le preguntó a intentar reenviarlo, y le dio la dirección IP. Se quedó en el teléfono mientras el joven hizo la conexión y comenzó a transmitir el archivo, y miraban con sonrisas grandes de toda la sala como la luz en el disco duro de la computadora del instructor parpadeó y parpadeó - ocupado recibiendo la descarga. Harry intercambiaron un par de palabras con el chico acerca de cómo las computadoras tal vez un día y periféricos sería más fiable, le dio las gracias y se despidió. The dos copiar el archivo desde la máquina del instructor sobre un par de discos Zip, una para cada uno de ellos, sólo para poder verlo más tarde, como robar una pintura en un museo que se puede disfrutar pero no se atreven a mostrar tus amigos. Excepto que, en este caso, era más como si hubieran tomado un original duplicado de la pintura, y el museo todavía tenía su propio original. Karl entonces habló Harry a través de los pasos de quitar el servidor FTP de la máquina del profesor, y borrar el registro de auditoría para que no hubiera ninguna prueba de lo que habían hecho - sólo el archivo robado, abandonado en el que podría encontrarse fácilmente. Como paso final, se registró una sección del código fuente en Usenet directamente desde el ordenador del profesor. Sólo una sección, por lo que no serviría de nada un gran daño a la empresa, pero dejando huellas claras directamente al instructor. Tendría un poco de difícil explicación. LaCon el nalyzing Although se tomaron la combinación de una serie de elementos para hacer esta escapada trabajo, no habría tenido éxito sin una cierta habilidad playacting-ful de un recurso de simpatía y ayuda: Me voy a gritar a mi jefe, y la gestión es en armas, Y así sucesivamente. Eso, combinado con una explicación puntiagudo de cómo el hombre en el otro extremo del teléfono podría ayudar a resolver el problema, ha demostrado ser una con poderosamente convincente. Funcionó aquí, y ha trabajado en muchas otras ocasiones. The segundo elemento crucial: El hombre que entiende el valor del archivo le pidió que le envíe a una dirección dentro de la empresa. Y la tercera pieza del rompecabezas: El operador de la computadora pudo ver que el expediente había sido transferido a él desde dentro de la empresa. Eso sólo podía significar - o así lo parecía - que el hombre que lo envió a él pudo haberlo enviado al destino final si sólo su conexión de red externa había estado trabajando. ¿Qué podría estar mal con él para ayudar a cabo mediante el envío por él?

But ¿y tener el archivo comprimido le asigna un nombre diferente? Al parecer, un objeto pequeño, pero importante. El atacante no podría producir teniendo una oportunidad de llegar el archivo con un nombre que lo identifica como código fuente, o un nombre relacionado con el producto. Una solicitud para enviar un archivo con un nombre como ese fuera de la empresa podría haber hecho sonar las alarmas. Tener el archivo de re-etiquetados con un nombre inofensivo era crucial. Como elaborado por los atacantes, el segundo joven no tuvo reparos en enviar el archivo fuera de la empresa, un archivo con un nombre como nuevos datos, sin dar ninguna pista en cuanto a la verdadera naturaleza de la información, apenas le haría sospechar. MITNICK MESSGAE The subyacente regla de que cada empleado debe haber plantado firmemente en su cerebro: Salvo con la aprobación de la gestión, no se transfieren archivos a gente que no conozco personalmente, incluso si el destino parece estar dentro de la red interna de su empresa. Aletaaliado, te diste cuenta de qué se está haciendo historia en un capítulo sobre espionaje industrial? Si no, aquí está la respuesta: Lo que estos dos estudiantes hizo como una broma maliciosa podría fácilmente haber sido hecho por un espía industrial profesional, tal vez en el pago de un competidor, o tal vez a sueldo de un gobierno extranjero. En cualquier caso, el daño podría haber sido devastadora para la empresa, erosionando severamente las ventas de su nuevo producto una vez que el producto de la competencia llegó al mercado. ¿Cómo podría el mismo tipo de ataque se llevó a cabo en contra de su compañía? PREVENTING CON EL Industrial espionaje, que siempre ha sido un reto para las empresas, tiene ahora BECOMe el pan y la mantequilla de espías tradicionales que han centrado sus esfuerzos en la obtención de secretos de la compañía por un precio, ahora que la Guerra Fría ha terminado. Los gobiernos extranjeros y las corporaciones están usando independientes espías industriales para robar información. Las empresas nacionales también contratan agentes de información que cruzan la línea en sus esfuerzos para obtener inteligencia competitiva. En muchos casos se trata de antiguos espías militares convertidos en corredores industriales de información que tienen el conocimiento previo y la experiencia para explotar fácilmente las organizaciones, especialmente aquellas que no han logrado implementar medidas de seguridad para proteger su información y educar a su gente. Seguridad Fuera del Sitio ¿Qut podría haber ayudado a la compañía que iba a tener problemas con su ex situ

storaginstalación e? El peligro en este caso se podría haber evitado si la empresa hubiera sido cifrar sus datos. Sí, cifrado requiere tiempo adicional y gastos, pero

ess bien vale la pena el esfuerzo. Los archivos cifrados tienen que ser punto a comprobar regularmente para asegurarse de que el cifrado / descifrado está funcionando sin problemas. No hays siempre el peligro de que las claves de cifrado se pierde o que la única persona que conoce las claves será golpeado por un autobús. Pero el nivel de molestia se puede minimizar, und anyone who almacenars sensitive information off-site ingenioh un commempresa ercial y no utiliza el cifrado está, perdón por ser contundente, un idiota. Es como caminar por la calle en un barrio malo con billetes de veinte dólares que salen de los bolsillos, esencialmente pidiendo ser robado. Leavinmedios de comunicación g de copia de seguridad en la que alguien podía caminar con él es un defecto común en materia de seguridad. Hace varios años, yo trabajaba en una empresa que podría haber hecho mejores esfuerzos para proteger la información del cliente. La operación staff dejó las cintas de respaldo de la empresa fuera de la puerta de la sala de ordenadores bloqueado por un mensajero a recoger cada día. Cualquiera pudo se marchó con las cintas de copia de seguridad, que contenía todos los documentos procesados palabra de la firma en texto sin cifrar. Si los datos de copia de seguridad se cifra, pérdida del material es una molestia, y si no está encriptada - bueno, usted puede imaginar el impacto en su empresa mejor que puedo. La necesidad de las empresas más grandes para el almacenamiento fuera del sitio confiable es casi un hecho. Pero los procedimientos de su empresa de seguridad deben incluir una investigación de su compañía de almacenamiento de conciencia para ver cómo están a punto sus propias políticas de seguridad y las prácticas. Si no están tan dedicados como su propia empresa, todos sus esfuerzos de seguridad podría verse afectada. Smaller empresas tienen una buena opción alternativa para copia de seguridad: Enviar los archivos nuevos y modificados cada noche a una de las empresas que ofrecen almacenamiento en línea. Una vez más, es esencial que los datos sean encriptados. De lo contrario, la información está disponible no sólo para un empleado doblado en la empresa de almacenamiento, pero a cada intruso informático que pueda constituir infracción de la línea en los sistemas informáticos de almacenamiento o de la red de los companys. Und por supuesto, al configurar un sistema de encriptación para proteger la seguridad de sus archivos de copia de seguridad, también debe establecer un procedimiento altamente seguro for almacenar las claves de cifrado o las frases codificadas que desbloquearlos. Las claves secretas usadas para cifrar los datos deben ser almacenados en una caja fuerte o bóveda. Práctica estándar de la compañía debe prever la posibilidad de que el empleado manipular estos datos de forma repentina puede salir, morir, o tomar otro trabajo. Siempre debe haber al menos dos personas que conocen el lugar de

almacenamiento y los procedimientos de cifrado / descifrado, así como las políticas de cómo y cuando las teclas se van a cambiar. Las políticas también deben exigir que las claves de cifrado puede cambiar inmediatamente después de la salida de cualquier empleado que tiene acceso a ellos.

Blancoo ¿Es eso? El ejemplo de este capítulo de un hábil estafador que usa encanto para que los empleados tinformación o acción refuerza la importancia de la verificación de la identidad. Sobre la solicitud de código fuente enviar a un sitio FTP también apunta a la importance de saber que su solicitante. Yon el Capítulo 16 usted encontrará políticas específicas para la verificación de la identidad de cualquier desconocido que formule una solicitud de información o la solicitud de que algún tipo de acción tomar. Hemos hablado de la necesidad de verificación en todo el libro, en el capítulo 16 que obtendrá detalles de cómo debe hacerse.

Parte 4 Elevar el nivel

Chapter 15 Informatio nSecurity sensibilización y formación
Un ingeniero social se ha dado la tarea de obtener los planes para su nuevo producto caliente saldrá a la venta en dos meses. ¿Qués va a detenerlo? El servidor de seguridad? No. Strong dispositivos de autenticación? No. Los sistemas de detección de intrusos? No. cifrado? No. El limitado acceso a los números de teléfono de dial-up módems? No. BacalaoLos nombres de los servidores de correo que hacen que sea difícil para un extranjero para determinar qué servidor puede contener los planes de productos? No. The es verdad que no existe ninguna tecnología en el mundo que puede prevenir un ataque de ingeniería social. SECURITY ThrougH TECNOLOGÍA, FORMACIÓN, Y PROCEDIMIENTOS Compañías que la seguridad de realizar pruebas de penetración informan que sus intentos de bReak en los sistemas informáticos de la compañía cliente por métodos de ingeniería social son casi el 100 por ciento de éxito. Las tecnologías de seguridad puede hacer que estos tipos de ataques más difícil debido a la eliminación de las personas en el proceso de toma de decisiones. Sin embargo, la única manera realmente eficaz para mitigar la amenaza de la ingeniería social yos mediante el uso de tecnologías de seguridad combinadas con políticas de seguridad que establecen las normas básicas para la conducta de los empleados, y la educación y formación adecuadas a los empleados. There es sólo una manera de mantener su producto en los planes de seguro y que es por tener un personal capacitado, consciente y concienzudo a. Esto implica la formación de las políticas y procedimientos, sino también - y probablemente aún más importante - un programa de sensibilización en curso. Algunos expertos recomiendan que el 40 por ciento del presupuesto de una empresa de seguridad global se destinará a formación de sensibilización.

The paso primero es hacer que todos en la empresa consciente de que existen personas inescrupulosas que utilizan el engaño para manipular psicológicamente. Los empleados deben ser educados acerca de qué tipo de información necesita ser protegida, y

how para protegerlo. Una vez que las personas tienen una mejor comprensión de la forma en que se puede manipular, están en una posición mucho mejor reconocer que un ataque está en marcha. Conciencia Seguridad también significa educar a todos en la empresa en las políticas de seguridad de la empresa y los procedimientos. Como se discutió en el Capítulo 17, las políticas son reglas necesarias para orientar la conducta de los empleados para proteger los sistemas de información corporativa e información confidencial. This capítulo y el siguiente ofrecen un plan de seguridad que podría salvarte de ataques costosos. Si usted no tiene personal capacitado y alerta siguiendo procedimientos bien-pensamiento-hacia fuera, no es una cuestión de si, pero cuando se pierde información valiosa para un ingeniero social. No espere a que un ataque a pasar antes de instituir estas políticas: Podría ser devastador para su negocio y para el bienestar de sus empleados. UnderstandinG HOW ATACANTES TAKE AdvantagE DE LA NATURALEZA HUMANA To desarrollar un programa de entrenamiento con éxito, usted tiene que entender por qué las personas son vulnerable a los ataques en el primer lugar. Al identificar estas tendencias en el entrenamiento - por ejemplo, llamando la atención sobre los juegos de rol en los debates - usted puede ayudar a sus empleados a entender por qué todos podemos ser manipulados por los ingenieros sociales. Manipulation ha sido estudiado por los científicos sociales durante al menos cincuenta años. Robert B. Cialdini, escribiendo en la revista Scientific American (febrero de 2001), resumió esta investigación, presenta seis "tendencias básicas de la naturaleza humana" que están involucrados en un intento de obtener el cumplimiento de una solicitud. Estas tendencias son las que seis ingenieros sociales se basan en (consciente o, más a menudo inconscientemente,) en sus intentos de manipular. Autorida d People tienen una tendencia a cumplir cuando se realiza una solicitud por una persona en autoridad. Como se señala en estas páginas, una persona puede estar convencido de cumplir con una solicitud si él o ella cree que el solicitante es una persona con autoridad ora persona que está autorizada para realizar dicha solicitud. Yon su Influencia libro, el Dr. Cialdini escribe acerca de un estudio en tres Midwestern

hospitals en el que las estaciones veintidós enfermeras independientes "fueron contactados por una llamada de alguien que decía ser un médico del hospital, y dado instrucciones para administrar un medicamento a un paciente en la sala. Las enfermeras que recibieron estos instruccións no sabía la persona que llama. Ni siquiera sabía si estaba

realmente un médico (que no era). Ellos recibieron las instrucciones de la receta por teléfono, que era una violación de la política del hospital. La droga se les dijo que no estaba autorizado administrar para su uso en las salas, y la dosis se les dijo que era administrar el doble de la dosis máxima diaria, por lo que podría haber puesto en peligro la vida del paciente. Sin embargo, en el 95 por ciento de los casos, Cialdini informó, "la enfermera procedió a obtener la dosis necesaria en el botiquín y sala estaba en su manera de administrar al paciente" antes de ser interceptado por un observador y habló de la experiencia. Ejemplos de los ataques: A los intentos de ingeniería social para sí mismo encubren con el manto de autoridad al afirmar que él está con el departamento de TI, o que él es un ejecutivo o trabaja para un ejecutivo de la empresa. Gusto People tienen la tendencia a respetar en la persona que hace la solicitud ha sido able para establecerse como agradable o como si tuvieran los mismos intereses, creencias y actitudes como la víctima. Ejemplos de los ataques: A través de la conversación, el atacante consigue aprender un pasatiempo o interés de la víctima, y reclama un interés y entusiasmo por la misma afición o interés. O puede pretender ser del mismo estado o la escuela, o tener metas similares. El ingeniero social también intentará imitar los comportamientos de su objetivo de crear la apariencia de semejanza. Reciprocation We automáticamente puede acceder a una solicitud cuando se nos ha dado o promesad algo de valor. El regalo puede ser un elemento material, o consejo, o ayuda. Cuando alguien ha hecho algo por ti, sientes una inclinación de corresponder. Esta fuerte tendencia a la reciprocidad existe incluso en situaciones en las que ªpersona que recibe el regalo electrónico no ha pedido. Una de las maneras más eficaces para influir en las personas que nos hacen un "favor" (cumplir con la petición) es dando algún tipo de asistencia r regalo que forma la obligación subyacente. Miembros del culto Hare Krishna religiosos eran muy eficaces para influenciar a la gente a donar a su causa, en primer lugar les da un libro o una flor como regalo. Si el destinatario intentaba devolver el regalo, el dador se negaría comentando: "Es nuestro regalo para ti". Este principio de comportamiento de movimiento alternativo fue utilizado por los Krishnas para aumentar sustancialmente las donaciones. Ejemplos de ataques: Un empleado recibe una llamada de una persona que se identifica como procedente del departamento de TI. La persona que llama explica que algunas computadoras de la compañía han sido infectados con un virus nuevo no reconocido por el software antivirus que puede destruir todos los archivos en una computadora, y se ofrece a hablar a la persona

through algunas medidas para evitar problemas. Después de esto, la persona que llama pide al

person para probar una utilidad de software que ha sido recientemente actualizado para permitir a los usuarios cambiar las contraseñas. El empleado se niega a rechazar, porque la persona que llama ha proporcionado ayuda que supuestamente proteger al usuario de un virus. Él retribuye mediante el cumplimiento de la solicitud de la persona que llama. Consistenci a People tienen la tendencia a respetar, después de haber hecho un compromiso público o endorsement por una causa. Una vez que hemos prometido que vamos a hacer algo, no quiero parecer poco fiable o no deseables y tienden a seguir a través con el fin de ser coherentes con nuestra declaración o promesa. Ejemplo de ataque: Los contactos atacante un empleado relativamente nuevo y le informa del acuerdo para cumplir con las políticas de seguridad y procedimientos determinados como condición para que se les permita utilizar los sistemas de información de la empresa. Después de discutir una serie de prácticas de seguridad de unos pocos, la persona que llama le pide al usuario su contraseña "para verificar el cumplimiento" de la política en la elección de una difícil de adivinar la contraseña. Una vez que el usuario revela su contraseña, la persona que llama hace una recomendación para construir contraseñas futuras de tal manera que el atacante será capaz de adivinar. La víctima cumple debido a su acuerdo previo para cumplir con las políticas de la empresa y la asunción de que la persona que llama simplemente verificar su cumplimiento. Social Validación PeoplE tienen la tendencia a ajustarse al hacerlo parece estar en línea con lo que otros están haciendo. La acción de los demás se acepta como validación de que el comportamiento en cuestión es la acción correcta y apropiada. Ejemplos de los ataques: Thpersona que llama e dice que está llevando a cabo una encuesta y otros nombres de personas en el departamento quien dice ya han cooperado con él. La víctima, en la creencia de que la cooperación con otros valida la autenticidad de la solicitud, está de acuerdo en participar. La persona que llama luego hace una serie de preguntas, entre las que destacan las cuestiones que atraen a la víctima para que revele su nombre de usuario y la contraseña de computadora.

Escasez People tienen la tendencia a cumplir cuando se cree que el objeto buscado es escaso y los demás están compitiendo para ello, o que sólo está disponible durante un corto período de tiempo.

Ejemplo de ataque: El atacante envía mensajes de correo electrónico que afirman que las primeras 500 personas que se registren en el sitio web de la compañía nueva ganar entradas gratis para una nueva película caliente. Cuando un empleado desprevenido registra en el sitio, se le pide que

proveer su dirección de correo de la empresa y elegir una contraseña. Muchas personas, motivado por conveniencia, tienen la tendencia a usar la misma o una contraseña similar en todos los sistemas informáticos que utilizan. Aprovechando esto, el atacante intenta comprometer el trabajo del blanco y de los sistemas del ordenador personal con el nombre de usuario y la contraseña que se han introducido durante el proceso de registro en el sitio Web. CreatinG CAPACITACIÓN Y SENSIBILIZACIÓN DE LOS PROGRAMAS Issuing una política de seguridad de la información panfleto o dirigir a los empleados a un intranet página que las políticas de información de seguridad no será, por sí misma, mitigar el riesgo. Cada negocio no sólo debe definir las reglas con las políticas escritas, sino que debe make el esfuerzo extra para todos los que trabajan directamente con la información corporativa o calcularr sistemas para aprender y seguir las reglas. Además, debe asegurarse de que todo el mundo entiende la razón detrás de cada política para que la gente no eludan la regla como una cuestión de conveniencia. De lo contrario, la ignorancia siempre será excusa del trabajador, así como la vulnerabilidad preciso que los ingenieros sociales que explotará. Thobjetivo e central de cualquier programa de concienciación sobre la seguridad es influir en las personas a cambiar su comportamiento y actitudes, motivando a todos los empleados to quiere saltar y hacer su parte para proteger los activos de información de la organización. Una gran motivación en este caso es el de explicar cómo su participación no sólo beneficiará a la empresa, pero los empleados individuales. Desde que la empresa retiene cierta información privada sobre todos los trabajadores, cuando los empleados hacen su parte para proteger la información o los sistemas de información, en realidad están protegiendo su propia información, también. Un programa de entrenamiento de seguridad requiere un apoyo sustancial. El esfuerzo de formación debe llegar a cada persona que tenga acceso a la información sensible o de los sistemas informáticos corporativos, debe ser continuo y debe ser revisado continuamente para actualizar al personal sobre las nuevas amenazas y vulnerabilidades. Los empleados deben ver que la alta dirección está plenamente comprometido con el programa. Ese compromiso debe ser real, no sólo un sello de goma "Le damos nuestra bendición" memo. Y el programa debe estar respaldada con los recursos suficientes para desarrollar, comunicar, probarlo, y para medir el éxito. Objet ivos de The básica directriz que debe tenerse en cuenta durante el desarrollo de un

information entrenamiento de seguridad y programa de concienciación es que el programa tiene que centrarse en la creación de todos los empleados una conciencia de que su empresa podría estar bajo ataque en cualquier momento. Tienen que aprender que cada empleado juega un papel en la defensa contra cualquier intento de entrar a los sistemas informáticos o robar a sensibilidadda tos electrónicos.

Becausaspectos de seguridad e información de muchos involucrar tecnología, es demasiado fácil para los empleados a pensar que el problema está siendo manejado por los cortafuegos y otras tecnologías de seguridad. Un objetivo principal de la formación debería ser la creación de conciencia en cada empleado que ellos son la primera línea para proteger la seguridad general de la organización. La formación en seguridad debe tener un objetivo mucho mayor que simplemente impartir normas. El diseñador del programa de entrenamiento debe reconocer la fuerte tentación por parte de los empleados, bajo la presión de conseguir su trabajo hecho, pasar por alto o ignorar sus responsabilidades de seguridad. El conocimiento de las tácticas de ingeniería social y cómo defenderse de los ataques es importante, pero sólo tendrá valor si el entrenamiento está diseñado para centrarse en gran medida de motivar a los empleados a utilizar el conocimiento. La empresa puede contar con el programa como el cumplimiento de su línea de fondo meta si cada uno de completar la formación está totalmente convencido y motivado por una noción básica: que la seguridad de la información es parte de su trabajo. Empleados debe llegar a apreciar y aceptar que la amenaza de ataques de ingeniería social es real, y que una grave pérdida de información confidencial de la empresa podría poner en peligro la empresa, así como su propia información personal y puestos de trabajo. En cierto sentido, no tener cuidado sobre seguridad de la información en el trabajo es equivalente a ser descuidado con un PIN del cajero automático o el número de tarjeta de crédito. Esto puede ser una analogía de peso para la construcción de entusiasmo por las prácticas de seguridad. El establecimiento del Programa de Capacitación y Sensibilización Thpersona responsable de diseñar e el programa de seguridad de información debe reconociendoe que este no es un proyecto de una sola talla para todos. Más bien, la formación tiene que ser desarrollado para satisfacer las necesidades específicas de diferentes grupos dentro de ªe empresa. Si bien muchas de las políticas de seguridad descritas en el capítulo 16 se aplican a todos los empleados en todos los ámbitos, muchos otros son únicos. Como mínimo, la mayoría de las empresas necesitan programas de formación adaptados a estos grupos distintos: los administradores; personal de TI, los usuarios de computadoras, personal no técnico; asistentes administrativos, recepcionistas, y guardias de seguridad. (Ver el detalle de asignación de trabajo en el Capítulo 16.) Since el personal de la fuerza de una empresa de seguridad industrial no se espera que sea ordinariamente ordenador competente, y, a excepción tal vez de una manera muy limitada, no entren en contacto con los equipos de la empresa, no se

suele considerar en el diseño de la formación de este tipo. Sin embargo, los ingenieros sociales pueden engañar a los guardias de seguridad u otras personas en lo que les permite en un edificio u oficina, o en la realización de una acción que da lugar a una intrusión informática. Mientras que los miembros de la fuerza de guardia desde luego no tienes la formación completa del personal que opere o use

computadoras, Sin embargo, no deben pasarse por alto en el programa de concienciación de seguridad. Within el mundo de la empresa probablemente hay pocos temas sobre los que todos los empleados deben ser educados que son a la vez tan importante y tan intrínsecamente aburrida como la seguridad. Los mejores programas de capacitación diseñados información de seguridad deben informar y captar la atención y el entusiasmo de los alumnos. El objetivo debe ser hacer conciencia sobre la seguridad de la información y la formación una experiencia atractiva e interactiva. Las técnicas pueden incluir la demostración de métodos de ingeniería social a través de juegos de rol, la revisión de los informes de los medios de comunicación de los recientes ataques en otros negocios menos afortunados y discutir las formas en que las empresas podrían haber evitado la pérdida, o mostrar un video de seguridad que es entretenido y educativo al mismo tiempo. Hay varias compañías de sensibilización sobre la seguridad que los videos de mercado y materiales relacionados. NOTA For aquellas empresas que no cuentan con los recursos para desarrollar un programa de incasa, hay varias empresas de formación que ofrecen servicios de seguridad de formación de conciencia. Ferias como la Expo Mundo Seguro (www.secureworldexpo.com) Son lugares de reunión para estas empresas The historias de este libro ofrecen un montón de material para explicar los métodos y tácticas de ingeniería social, para crear conciencia de la amenaza, y para demostrar las vulnerabilidades en el comportamiento humano. Considere el uso de sus escenarios de base para las actividades de juegos de rol. Las historias también ofrecen oportunidades de colores para un animado debate sobre cómo las víctimas podría haber respondido de manera diferente para evitar que los ataques tengan éxito. Un desarrollador de curso hábil y entrenadores hábiles encontrarán una gran variedad de desafíos, pero también un montón de oportunidades, para mantener el tiempo en el aula viva, y, en el proceso, motivar a las personas a convertirse en parte de la solución. Estructura de la Formación Un conocimiento básico de seguridad programa de capacitación debe ser desarrollada que todos los empleados están obligados a asistir. Los nuevos empleados deben ser obligados a asistir a la capacitación como parte de su adoctrinamiento inicial. Recomiendo que ningún empleado se proporcionará acceso a una computadora hasta que haya asistido a una sesión de concienciación

sobre la seguridad básica.

For esta toma de conciencia y la formación iniciales, sugiero una sesión se centró lo suficiente como para mantener la atención, y lo suficientemente corto que los mensajes importantes que recordar. Mientras que la cantidad de material que se cubre ciertamente justifica ya la formación, la importancia de proporcionar sensibilización y motivación, junto con un número razonable de los mensajes esenciales a mi juicio es mayor que cualquier noción de sesiones de medio día o día completo que dejan a la gente con demasiado entumecido información. Thénfasis e de estas sesiones deben ser en transmitir una apreciación del daño que se puede hacer para la empresa y para los empleados de forma individual, a menos que todos los empleados sigan los buenos hábitos de trabajo de seguridad. Más importante que aprender acerca de las prácticas específicas de seguridad es la motivación que lleva a los empleados a aceptar la responsabilidad personal de seguridad. Yon situaciones en las que algunos empleados no fácilmente pueden asistir a clases presenciales, la empresa debe considerar el desarrollo de la formación sensibilización a través de otras formas de instrucción, tales como videos, entrenamiento basado en computadoras, cursos en línea, o materiales escritos. En popaer la sesión inicial de entrenamiento corto, sesiones más largas deben ser diseñados para educar a los empleados acerca de las vulnerabilidades y técnicas específicas de ataque en relación con su posición en la empresa. El adiestramiento de repaso debe exigir al menos una vez al año. La naturaleza de la amenaza y los métodos utilizados para explotar a la gente son siempre cambiantes, por lo que el contenido del programa debe mantenerse actualizado. Por otra parte, la conciencia de la gente y el estado de alerta disminuir con el tiempo, por lo que la formación debe ser repetido a intervalos razonables para reforzar los principios de seguridad. Una vez más, el énfasis debe ser tanto de mantener a los empleados convencidos de la importancia de las políticas de seguridad y motivado para adherirse a ellos, como en la exposición de amenazas específicas y los métodos de ingeniería social. Los gerentes deben establecer un plazo razonable para sus subordinados para familiarizarse con las políticas y procedimientos de seguridad, y para participar en el programa de concienciación de seguridad. Los empleados no deben esperar para estudiar las políticas de seguridad o asistir a clases de seguridad en su propio tiempo. Los nuevos empleados deben contar con tiempo suficiente para revisar las políticas de seguridad y las prácticas de seguridad publicados antes de iniciar sus responsabilidades laborales. Empleados que cambian de posiciones dentro de la organización a un trabajo que implica el acceso a la información sensible o sistemas informáticos deben, por supuesto, se requerirá to complete un seguridad tlloviendo de programam tailored to their nresponsabilidades EW. Por ejemplo, cuando un operador de la computadora se convierte en un administrador de

sistemas o un recepcionista se convierte en un auxiliar administrativo, se requiere una nueva formación.

Contenidos del curso de capacitación Blancoes reducido a sus fundamentos, todos los ataques de ingeniería social tienen la misma elemento común: el engaño. La víctima es llevado a creer que el atacante es un compañero de trabajo o alguna otra persona que esté autorizada a acceder sensible información, O está autorizado para dar instrucciones a las víctimas que implican la adopción de medidas con un ordenador o equipo de informática. Casi todos estos ataques podrían ser frustrado si el empleado específico se limita a seguir dos pasos: VerifŸ La identidad de la persona que realiza la solicitud: Es la persona que realiza la solicitud realmente quien dice ser? Verify si la persona está autorizada: ¿Tiene la persona la necesidad de conocer, o está de otra manera autorizado a hacer esta petición? NOTA Porque

segurity conscienteneps und Training son nnunca perfect, nosotrose seguridad tecnologías siempre que sea posible crear un sistema de defensa en profundidad. Esto significa que la medida de seguridad es proporcionada por la tecnología y no por empleados individuales, por ejemplo, cuando el sistema operativo está configurado para evitar que los empleados de la descarga de software desde Internet, o elegir una contraseña corta, fácil de adivinar. Si las sesiones de sensibilización de formación podrían cambiar el comportamiento para que cada empleado siempre sería coherente sobre cómo probar cualquier petición en contra de estos criterios, el riesgo asociado con los ataques de ingeniería social se reduce drásticamente. Una información de carácter práctico de sensibilización y formación del programa que se ocupa de la conducta humana y los aspectos de ingeniería social debe incluir lo siguiente: Una descripción de cómo los atacantes utilizan técnicas de ingeniería social para engañar a la gente. Los métodos utilizados por los ingenieros sociales para lograr sus objetivos. How para reconocer un posible ataque de ingeniería social. El procedimiento para manejar una petición

sospechosa. Blancoantes de reportar intentos de ingeniería social o ataques exitosos. The importancia de cualquier reto que se presenta una solicitud sospechosa, independientemente de la posición cobró la persona o importancia.

The hecho de que no se debe confiar en los demás implícitamente sin una verificación adecuada, a pesar de que su impulso es dar a otros el beneficio de la duda. The importancia de verificar la identidad y autoridad de cualquier persona que solicite for information or acción. (See "Verificatión und AutoridadesProcedimientos nización ", Capítulo 16, la manera de verificar la identidad.) Procedimientos para proteger la información confidencial, familiaridad con cualquier sistema de clasificación de datos. incluyendo

The ubicación de las políticas de seguridad de la empresa y los procedimientos, y su importancia para la protección de la información y de los sistemas de información corporativos. Un resumen de las políticas de seguridad clave y una explicación de su significado. Por ejemplo, todos los empleados deben ser instruidos enhow idear una difícil de adivinar la contraseña. La obligación de todos los empleados para cumplir con las políticas, y las consecuencias en caso de incumplimiento. Social ingeniería, por definición, implica algún tipo de interacción humana. Un atacante será muy frecuentemente usan una variedad de métodos y tecnologías de comunicación en el intento de alcanzar su objetivo. Por esta razón, un programa de sensibilización bien redondeado debería tratar de abarcar algunos o todos de los siguientes: SecuritY relacionado con las contraseñas de correo de voz de ordenador y políticas. El procedimiento para la divulgación de información confidencial o materiales. Política de uso de correo electrónico, incluyendo las medidas de seguridad para evitar ataques de códigos maliciosos como virus, gusanos y caballos de Troya. Physical requisitos de seguridad tales como el uso de una tarjeta de identificación. Thresponsabilidad e desafiar a la gente en los locales que no llevan una insignia. BesCamiseta de seguridad prácticas de uso de correo de voz.

How para determinar la clasificación de la información, y las salvaguardias adecuadas para proteger la información sensible.

Proper eliminación de documentos sensibles y de los medios informáticos que contienen, o que en cualquier otro momento de los últimos contenidos, materiales confidenciales. También, Si el company planea utilizar las pruebas de penetración para determinar la efectividad de las defensas contra los ataques de ingeniería social, una advertencia se debe dar aviso a poner a los empleados de esta práctica. Deje que los empleados saben que en algún momento pueden recibir una llamada de teléfono u otra comunicación utilizando técnicas de un atacante, como parte de esta prueba. Utilizar los resultados de las pruebas no para castigar, fresa para definir la necesidad de formación adicional en algunas áreas. Details sobre todos los elementos anteriores se encuentran en el Capítulo 16. PRUEBA S Ustedempresa r posible que desee probar empleados en su dominio de la información presentada en la formación de conciencia de seguridad, antes de permitir el acceso del sistema informático. Si diseña las pruebas que deben figurar en línea, muchos programas de diseño de evaluación programas le permiten analizar fácilmente los resultados del examen para determinar las áreas de la formación que necesitan ser fortalecidas. Ustedempresa r también podría considerar la posibilidad de un certificado acreditativo de la realización de la formación en seguridad como una recompensa y motivación del empleado. Lasa parte rutinaria de completar el programa, se recomienda que cada empleado se le pedirá que firme un acuerdo en cumplir las políticas de seguridad y los principios que se enseñan en el programa. La investigación sugiere que una persona que hace que el compromiso de la firma de dicho acuerdo es más probable que hacer un esfuerzo para cumplir con los procedimientos. SENSIBILIZACIÓN EN CURSO Mospersonas camisetas son conscientes de que el aprendizaje, incluso sobre asuntos importantes, tiende a desaparecer a menos que se refuerce periódicamente. Debido a la importancia de mantener a los empleados al día en el tema de la defensa contra los ataques de ingeniería social, un programa permanente de concienciación es vital. Enmétodo e para mantener la seguridad en la vanguardia del pensamiento empleado es hacer de la seguridad una responsabilidad del trabajo de información

específica para cada persona en la empresa. Esto anima a los empleados a reconocer su papel crucial en la seguridad global de la empresa. Si no hay una fuerte tendencia a sentir que la seguridad "no es mi trabajo". Whilresponsabilidad e general para un programa de seguridad de la información es normalmente asignado a una persona en el departamento de seguridad o la tecnología de la información

departament, el desarrollo de un programa de información acerca de la seguridad es probablemente el más estructurado como un proyecto conjunto con el departamento de formación. El programa de sensibilización en curso debe ser creativo y utilizar todos los canales disponibles para comunicar mensajes de seguridad de manera que son memorables para que los empleados se les recuerda constantemente acerca de buenos hábitos de seguridad. Los métodos deben utilizar todos los canales tradicionales, como muchos más no tradicionales como las personas asignadas para desarrollar e implementar el programa puede imaginar. Al igual que con la publicidad tradicional, el humor y ayuda inteligencia. La variación de la redacción de los mensajes les impide ser tan familiares que se ignoran. Thlista de correo de posibilidades para un programa permanente de concienciación pueden incluir: El suministro de copias de este libro a todos los empleados. Including informational Artículos yon ªe companboletín y: artículos, recordatorios en caja (preferiblemente cortas, consiguiendo la atención ítems), o dibujos animados, por ejemplo. Postinga imagen del Empleado de Seguridad del Mes. Colgando carteles en las áreas de los empleados. Posting boletín de noticias a bordo. Providing recintos impreso en sobres sueldo. Envío de recordatorios por correo electrónico. Usíng relacionada con la seguridad protectores de pantalla. BROADCASTINg Seguridad anuncios recordatorios a través del sistema de correo de voz. Impresión de pegatinas de teléfono con mensajes como "¿Es la persona que llama que dice ser? '! Configuración de mensajes de recordatorio para que aparezca en el ordenador cuando se conecta, por ejemplo uns "Si va a enviar información confidencial en un correo electrónico, cifrar". Incluyendo concienciación sobre la seguridad como un elemento estándar en los informes de desempeño de los empleados y revisiones anuales.

Providing Seguridad recordatorios de sensibilización sobre la intranet, tal vez usando dibujos animados o de humor, o de alguna otra manera atraer a los empleados para leerlos.

Usíng un mensaje electrónico tablón de anuncios en la cafetería, con un recordatorio de la seguridad que cambian con frecuencia. Distributing volantes o folletos. Und pensar trucos, tales como galletas de la suerte gratis en la cafetería, que contiene un recordatorio de seguridad en lugar de una fortuna. Thamenaza e es constante; los recordatorios debe ser constante también. WHAT HAY PARA MÍ? " Yodemás de concienciación sobre la seguridad y programas de capacitación, os recomiendo una actividade, y muy publicitado programa de recompensas. Usted debe reconocer a los empleados que han detectado e impedido un intento de ataque de ingeniería social, o de alguna otra manera contribuyeron significativamente al éxito del programa de seguridad de la información. La existencia del programa de recompensas deben darse a conocer a los empleados de todas las sesiones de concienciación de seguridad y violaciónes de seguridad deben ser widely publicidad en toda la organización. On el otro lado de la moneda, la gente debe ser consciente de las consecuencias de no cumplir con las políticas de seguridad de la información, ya sea por descuido o resistencia. A pesar de que todos cometemos errores, violaciónes repetidas de los procedimientos de seguridad no debe ser tolerada. each

Chapter 16 RECOME nded Seguridad

CorporatPolíticas e Información de la

Nine de cada diez grandes corporaciones y agencias del gobierno han sido atacados por intrusos informáticos, a juzgar por los resultados de una encuesta llevada a cabo por el FBI y reportado por la Prensa Asociada en abril de 2002. Curiosamente, el estudio encontró que sólo una empresa de cada tres reportado o reconocido públicamente cualquier ataque. Esa reticencia a revelar su victimización tiene sentido. Para evitar la pérdida de confianza de los clientes y para prevenir nuevos ataques por parte de intrusos que se enteran de que una empresa puede ser vulnerable, la mayoría de las empresas no informan públicamente incidentes de seguridad informática. Parece que no hay estadísticas sobre los ataques de ingeniería social, y si lo hubiera, los números serían muy poco fiables, y en la mayoría de los casos nunca sabe cuando una empresa de un ingeniero social ha "robado" la información, tantos ataques pasan desapercibidos y no se denuncian. Contramedidas eficaces pueden ser puestos en su lugar contra la mayoría de los ataques de ingeniería social. Pero la realidad Seamos realistas aquí - a menos que todos en la empresa entiende que la seguridad es importante y hace que su negocio para conocer y adherirse a las políticas de seguridad de una empresa, ataques de ingeniería social siempre va a presentar un grave riesgo para la empresa. De hecho, como se realizan las mejoras si las armas tecnológicas contra infracciones de seguridad, el enfoque de ingeniería social para uso de las personas para acceder a información de la compañía propietaria o penetrar en la red corporativa es casi seguro que ser significativamente más frecuente y atractivo para los ladrones de información. Un espía industrial naturalmente intentará lograr su objetivo mediante el método más fácil y la que implica el menor riesgo de detección. Como cuestión de hecho, una empresa que ha protegido a sus sistemas informáticos y de red mediante el despliegue del estado de la técnica securitY a partir de entonces las tecnologías pueden correr un mayor riesgo de atacantes que utilizan estrategias de ingeniería social, métodos y tácticas para lograr sus objetivos. This capítulo se presentan las políticas específicas destinadas a minimizar el riesgo de una empresa con respecto a los ataques de ingeniería social. Las políticas frente a los ataques que se basan no estrictamente en la explotación de vulnerabilidades técnicas. Ellos involucran el uso de algún tipo de pretexto o artimaña para engañar a un empleado de confianza en el suministro de información o la realización de una acción que da acceso al agresor a la información empresarial confidencial o en los sistemas informáticos y redes de empresas.

WHAT es una política de seguridad? Las políticas de seguridad son las instrucciones claras que regulen las directrices para los empleados behAvior para salvaguardar la información, y son un elemento fundamental en el desarrollo de controles eficaces para contrarrestar las amenazas de seguridad potenciales. Estas políticas are incluso más importante cuando se trata de prevenir y detectar sociales INGENIERÍAg ataques. Effective los controles de seguridad implementados por la formación de empleados con bien documentadas las políticas y procedimientos. Sin embargo, es importante tener en cuenta que las políticas de seguridad, aún cuando no sean religiosamente seguido por todos los empleados, no están garantizados para prevenir todos los ataques de ingeniería social. Más bien, el objetivo es siempre razonable para mitigar el riesgo a un nivel aceptable. Thpolíticas e presentados aquí incluyen medidas que, aunque no sean estrictamente centrado en cuestiones de ingeniería social, sin embargo, pertenecen aquí porque tienen que ver con las técnicas utilizadas en los ataques de ingeniería social. Por ejemplo, las políticas sobre cómo abrir archivos adjuntos de correo electrónico - que puede instalar software malicioso Caballo de Troya que permite al atacante tomar el control del ordenador de la víctima - dirección un método utilizado frecuentemente por los intrusos informáticos. Pasos para desarrollar un Programa de Un programa de seguridad de la información completa por lo general comienza con un riesgo evaluación destinada a determinar: ¿Qut los activos de información de la empresa deben ser protegidos? ¿Qué hay amenazas específicas contra estos activos? ¿Qut daño sería causado a la empresa si estas potenciales amenazas se materializaran? Thobjetivo primordial de correo evaluación de riesgos es dar prioridad a los activos de información que están en necesidad de garantías inmediatas, y si instituir salvaguardias será rentable sobre la base de un análisis de costo-

beneficio. En pocas palabras, qué activos van a ser protegidos en primer lugar, y cuánto dinero debe ser gastado para proteger estos activos? Ess esencial que la alta dirección en comprar y apoyamos firmemente la necesidad de políticas de seguridad en vías de desarrollo y un programa de seguridad de la información. Al igual que con cualquier programa corporativo otra parte, si un programa de seguridad tenga éxito, la gerencia debe hacer algo más que proporcionar un respaldo, debe demostrar un compromiso con el ejemplo personal. Los empleados deben ser conscientes de que la gestión fuertemente suscribe a la creencia de que la seguridad de la información es vital para la compañía

operación, Que la protección de la información de la empresa de negocios es esencial para que la empresa permanecer en el negocio, y que el trabajo de cada empleado puede depender del éxito del programa. Thpersona e asignada a elaborar políticas de seguridad de información debe comprender que las políticas deben ser escritos en un estilo libre de jerga técnica y fácilmente comprensible para los empleados no técnicos. También es importante que el documento dejan claro por qué cada política es importante, de lo contrario los empleados pueden hacer caso omiso de algunas políticas como una pérdida de tiempo. El escritor política debe crear un documento que presenta las políticas, así como un documento separado para los procedimientos, porque las políticas probablemente va a cambiar mucho menos frecuencia que los procedimientos específicos utilizados para su ejecución. YoAdemás n, el escritor política debe estar al tanto de las formas en que las tecnologías de seguridad se pueden utilizar para hacer cumplir las buenas prácticas de seguridad de la información. Por ejemplo, la mayoría de los sistemas operativos hacen posible requerir que las contraseñas de usuario se ajustan a las especificaciones determinadas, como la longitud. En algunas empresas, una política que prohíbe a los usuarios de descargar programas pueden ser controlados a través de la configuración de directivas locales o globales del sistema operativo. Las políticas deben requerir el uso de la tecnología de seguridad siempre rentable para eliminar humano basado en la toma de decisiones. Empleados debe ser informado de las consecuencias de no cumplir con las políticas y procedimientos de seguridad. Un conjunto de consecuencias apropiadas por violar las políticas deben ser desarrolladas y ampliamente publicitado. Además, un programa de recompensas deben ser creadas para los empleados que demuestran buenas prácticas de seguridad o que reconocer y denunciar un incidente de seguridad. Cuando un empleado es recompensado por frustrar un fallo de seguridad, debe ser ampliamente difundido en toda la empresa, por ejemplo, en un artículo en el boletín de la empresa. Uno de los objetivos de un programa de concienciación sobre la seguridad es comunicar la importancia de las políticas de seguridad y el daño que puede resultar de no seguir estas normas. Dada la naturaleza humana, los empleados, a veces, ignorar o eludir las políticas que aparecen injustificada o demasiado lento. Es responsabilidad de la administración para asegurar que los empleados comprendan la importancia de las políticas y están motivados para cumplir, en lugar de tratarlos como obstáculos que hay que eludir. Ess importante tener en cuenta que las políticas de seguridad de la información no puede ser escrito en piedra. Mientras que el negocio necesita un cambio, como las nuevas tecnologías de seguridad llegan al mercado, y como las vulnerabilidades de seguridad evolucionan, las políticas tienen que ser modificados o completados. Un proceso para la revisión y actualización periódicas debe ser puesto en su lugar.

Haga las políticas de seguridad corporativas y procedimientos disponibles a través de la intranet corporativa o mantener tales políticas en una carpeta pública. Esto aumenta la probabilidad

THAt dichas políticas y procedimientos serán revisados con más frecuencia, y cuenta con un práctico método for empleados to quickly encontrar ªe respuesta a uny seguridad de la información relacionada con la pregunta. Aletaaliado, pruebas de penetración periódicas y evaluaciones de vulnerabilidad mediante métodos de ingeniería social y las tácticas deben llevarse a cabo para exponer cualquier debilidad en la formación o la falta de cumplimiento de las políticas y procedimientos de la empresa. Antes de utilizar cualquier engañosas tácticas de pruebas de penetración, los empleados deben ser puestos sobre aviso de que tales pruebas pueden ocurrir de vez en cuando. Cómo utilizar estas Políticas The políticas detalladas presentadas en este capítulo representan sólo un subconjunto de la information las políticas de seguridad que creo que son necesarias para mitigar los riesgos de seguridad. Por consiguiente, ªe Politicass incluird ellae hombrod not be considerarád uns uncomprehensive lista de políticas de seguridad de la información. Más bien, son la base para la construcción de un amplio conjunto de políticas de seguridad adecuadas a las necesidades específicas de su empresa. PolicY los escritores para que una organización tendrá que elegir las políticas que sean apropiadas según el entorno único de su empresa y sus objetivos de negocio. Cada organización tiene diferentes requisitos de seguridad basados en las necesidades del negocio, requisitos legales, la cultura organizacional y los sistemas de información utilizados por la empresa, tendrá lo que necesita de las políticas presentadas, y omitir el resto. También hay opciones que puedan adoptarse sobre cómo las políticas estrictas estarán en cada categoría. Una empresa pequeña ubicada en un centro único donde la mayoría de los empleados conocen entre sí, no tiene por qué ser mucho más preocupado por un atacante llamar por teléfono y haciéndose pasar por un empleado (aunque, por supuesto, una mascarada impostor mayo como proveedor). Además, a pesar de los mayores riesgos, una compañía framed en torno a una cultura casual, relajado corporativo podría aprobar sólo un subconjunto limitado de las políticas recomendadas para cumplir con sus objetivos de seguridad.

DATA CLASIFICACIÓN Una política de clasificación de datos es fundamental para la protección de una organización de information activos, y establece categorías para las que rige la divulgación de información sensible. This policy proporcionars un

framework for protecting Corporate información haciendo que todos los empleados conscientes del nivel de sensibilidad de cada pieza de información. Operating sin una política de clasificación de datos - el status quo en casi todas las empresas hoy en día - deja la mayor parte de estas decisiones en manos del individuo

workers. Naturalmente, las decisiones de los empleados se basa en gran medida en factores subjetivos, y no en la sensibilidad, la criticidad y el valor de la información. La información también es puesto en libertad porque los empleados ignoran la posibilidad de que en respuesta a una solicitud de la información, pueden ponerlo en las manos de un atacante. The política de clasificación de datos se establecen directrices para la clasificación de la información valiosa en uno de varios niveles. Con cada elemento asignado una clasificación, los empleados pueden seguir una serie de procedimientos de manejo de datos que protegen a la empresa de liberación accidental o negligente de información confidencial. Estos procedimientos mitigar la posibilidad de que los empleados serán engañados para que revelen información confidencial a personas no autorizadas. Nuncaempleado y debe estar capacitado en la política de clasificación de datos corporativa, incluyendo a aquellos que no suelen usar las computadoras o los sistemas de comunicaciones empresariales. Debido a que todos los miembros de la fuerza de trabajo corporativa - incluyendo el equipo de limpieza, la construcción de los guardias y el personal copia de estar, así como a consultores, contratistas, e incluso pasantes - pueden tener acceso a información confidencial, cualquiera podría ser el blanco de un ataque . Management debe asignar un propietario Información a ser responsable de la información que está actualmente en uso en la empresa. Entre otras cosas, la información del propietario es responsable de la protección de los activos de información. Por lo general, el propietario decide qué nivel de clasificación para asignar sobre la base de la necesidad de proteger la información, revisa periódicamente el nivel de clasificación asignado, y decide si es necesario algún cambio. El propietario de la información también puede delegar la responsabilidad de la protección de los datos a un custodio o persona designada. Categorías de clasificación. y definiciones Information deben ser separados en diversos niveles de clasificación en base a su sensibilidad. Una vez que un sistema de clasificación particular es creado, es un proceso costoso y requiere mucho tiempo para reclasificar la información en nuevas categorías. En nuestro ejemplo, la política que elegí cuatro niveles de clasificación, que es apropiado para la mayoría de medianas y grandes empresas. Dependiendo de la cantidad y el tipo de información sensible, las empresas pueden optar por añadir más categorías para controlar aún más los tipos específicos de información. En las empresas más pequeñas, una clasificación de tres niveles sCheme puede ser suficiente. Recuerde - el esquema de la clasificación más compleja, el gasto más para la organización en la formación de los empleados y hacer cumplir el sistema. Confidencial. Esta categoría de información es la más sensible. La información

confidencial es para usarse sólo dentro de la organización. En la mayoría de los casos, sólo se debe compartir con un número muy limitado de personas con un absoluto

de solterad saber. La naturaleza de la información confidencial es tal que cualquier revelación no autorizada podría afectar seriamente a la empresa, sus accionistas, sus socios comerciales, y / o sus clientes. Los elementos de información confidencial generalmente caen en una de estas categorías: La información relativa a secretos comerciales, de código fuente propietario, especificaciones técnicas o funcionales, o la información del producto que podría ser una ventaja para un competidor. Marketing y la información financiera no disponible para el público. Uninformación y otro que es vital para el funcionamiento de la empresa, tales como las estrategias empresariales futuras. Privado. Esta categoría incluye la información de carácter personal que se destina al uso exclusivo dentro de la organización. Cualquier revelación no autorizada de información privada puede afectar seriamente los empleados, o la empresa si se obtiene por personas no autorizadas (especialmente los ingenieros sociales). Los elementos de información privados incluyendoe employee medicina history, health benficios,prohibirkaccount información, historia del salario, o cualquier otra información de identificación personal que no es de dominio público. NOTA Thcategoría e interno de la información a menudo se denomina Sensible por personal de seguridad. Tengo que usar interna debido a que el término en sí mismo explica al público el previsto. He utilizado el término sensible no como una clasificación de seguridad, sino como un método conveniente de referirse a la información confidencial, privada e interna; dicho de otro modo, sensible se refiere a cualquier información de la empresa que no hayan sido expresamente designados como Public. Interna. Thicategoría s de la información puedan prestarse libremente a cualquier persona contratada por la organización. Por lo general, la divulgación no autorizada de información interna no se espera que cause daños graves a la empresa, sus accionistas, sus socios, sus clientes o sus empleados. Sin embargo, las personas expertas en técnicas de ingeniería social pueden utilizar esta información para hacerse pasar por un empleado autorizado, contratista o proveedor para engañar incautos personal que proporcione información más sensible que podría resultar en un acceso no autorizado a sistemas informáticos corporativos. Un acuerdo de confidencialidad debe ser firmado antes de la información interna puede ser revelada a terceros, como los empleados de las empresas de proveedores, mano de obra contratista, empresas asociadas, y así sucesivamente.

La información interna generalmente incluye cualquier cosa usada en el curso de la actividad empresarial diaria que no debe ser puesto en libertad a los extranjeros, como

uns de los organigramas corporativos, números de red de acceso telefónico, nombres internos del sistema, procedimientos de acceso remoto, códigos de centros de coste, etc. Public. La información que está específicamente designada para su divulgación al público. Este tipo de información puede ser distribuido libremente a cualquier persona, como comunicados de prensa, de asistencia al cliente información de contacto, o folletos de productos. Tenga en cuenta que cualquier información que no esté designada como pública debe ser tratada como información confidencial. Classified Datos de Terminología Based de su clasificación, los datos deben ser distribuidos a determinadas categorías de personas. Una serie de políticas en este capítulo se refieren a la información que se da a una persona sin verificar. A los efectos de estas políticas, una persona no verificada es alguien a quien el empleado no conoce personalmente a ser un empleado activo oa b empleado con el rango adecuado para tener acceso a la información, o que no ha sido avalada por un tercero de confianza partido. For los efectos de estas políticas, una persona de confianza es una persona a la que se han encontrado cara a cara que se conoce a usted como un empleado de la compañía, cliente o consultor de la empresa con el rango adecuado para tener acceso a la información. Una persona de confianza también puede ser un empleado de una compañía que tiene una relación establecida con su empresa (por ejemplo, el socio de un cliente, proveedor o estratégica de negocio que ha firmado un acuerdo de confidencialidad). Yon tercera parte que dé fe, una persona de confianza proporciona una verificación de empleo de una persona o situación, y la autoridad de la persona para solicitar información o una acción. Tenga en cuenta que, en algunos casos, estas políticas requieren que se compruebe que la persona de confianza sigue siendo empleado de la compañía antes de responder a una solicitud de información o acción de alguien por quien han avalado. Una cuenta con privilegios es una computadora o una cuenta que requiera permiso de acceso más allá de la cuenta de usuario básico, tal como una cuenta de administrador de sistemas. Los empleados con cuentas privilegiadas suelen tener la capacidad de modificar los privilegios de usuario o realizar funciones del sistema. Un buzón departamental general es un buzón de voz respondió con un mensaje genérico para el departamento. Dicho buzón se utiliza para proteger los nombres y extensiones de teléfono de los empleados que trabajan en un departamento particular.

VERIFICACIÓNEN LOS PROCEDIMIENTOS DE AUTORIZACIÓN Information robars commonly nosotrose deceptivo taConnecticutics a access o obtener estafainformación comercial confidencial haciéndose pasar por empleados legítimos, contratistas, proveedores o socios de negocios. Para mantener la información eficaz

seguridad, un empleado que recibe una solicitud para realizar una acción o proporcionar información sensible debe identificar positivamente la persona que llama y verificar su autorización previa a la concesión de una solicitud. Thprocedimientos e recomendadas que figuran en este capítulo están diseñados para ayudar a un empleado que reciba una solicitud a través de cualquier medio de comunicación, como el teléfono, correo electrónico o fax para determinar si la solicitud y la persona que lo son legítimas. Las peticiones de una persona de confianza Una solicitud de información o acción de una persona de confianza puede requerir: Verification que la empresa emplea a activamente o tiene una relación con la persona, cuando esa relación es una condición para el acceso a esta categoría de información. Esto es para evitar que los empleados despedidos, proveedores, contratistas y otras personas que ya no están asociados con la empresa desde hace pasar por personal activo. Verification que la persona tiene una necesidad de saber, y está autorizado a tener acceso a la información o para solicitar la acción. Requests de una persona no verificada Whena petición es hecha por una Persona sin verificar, una verificación razonable proceso se deben implementar para identificar positivamente a la persona que hace la solicitud como autorizado para recibir la información solicitada, especialmente cuando la solicitud de ninguna manera implica ordenadores o equipos informáticos. Este proceso es el control fundamental de éxito para prevenir ataques de ingeniería social: Si estos procedimientos de verificación se siguen, que reducirá drásticamente el éxito de ataques de ingeniería social. Yot es importante que no hacer el proceso tan engorroso que es un costo prohibitivo, o que los empleados lo ignoran. Las detalla a continuación, el proceso de verificación consiste en tres pasos: Verificar que la persona es que él o ella dice ser. Determining que el solicitante está actualmente empleado o comparte la necesidad de conocer la relación con la empresa. Determining que la persona está autorizada a recibir la información específica o para llamar a la acción solicitada.

Un Paso: Verificación de la Identidad La recommterminó steps for Verificatión are listed below yonorder de eficacia- Cuanto mayor sea el número, más eficaz será el método. También se incluye con cada elemento es un statemen.t acerca de la debilidad de ese particular método, Y la forma en que un ingeniero social puede acabar con o burlar el método para engañar a un empleado. 1. Caller ID (suponiendo que esta característica se incluye en el sistema telefónico de la empresa). En la pantalla de identificación de llamadas, verificar si la llamada es desde dentro o fuera de la empresa, y THAt el nombre o el número de teléfono que se muestra coincide con la identidad proporcionada por el llamante. Debilidad: La información externa identificador de llamadas puede ser falsificado por cualquier persona con acceso a un PBX o conmutador telefónico conectado al servicio de telefonía digital. 2. Devolución de llamada. Busque el solicitante en el directorio de la empresa, y devolver la llamada a la extensión de la lista para verificar que therequester es un empleado. Debilidad: Un intruso con conocimientos suficientes puede llamar a una extensión de avance empresa para que, cuando el empleado coloca la llamada de verificación al número de teléfono listado, la llamada se transfiere al número del atacante teléfono externo. 3. Que dé fe. Una persona de confianza que responde por la identidad del solicitante verifica el solicitante. Debilidad: Los atacantes utilizan un pretexto con frecuencia son capaces de convencer a otro empleado de su identidad, y conseguir que el empleado para responder por ellos. 4. Shared Secret. Utilice un secreto compartido para toda la empresa, como por ejemplo apassword o código diaria. Weakness. "Si muchas personas saben el secreto compartido, que puede ser fácil para un atacante para aprenderlo. 5. Empleado SupervISOR / Manager. Teleteléfono la employee'simmediate supervisor y verificación petición.

Debilidad: Si el solicitante ha proporcionado el número de teléfono para llegar a su gerente, la persona que el empleado llega al llamar el número no puede ser el

administrador real, pero, de hecho, ser cómplice del atacante. 6. Asegure Email. Solicite un mensaje firmado digitalmente.

Debilidad: Si un atacante ha comprometido equipo de un empleado e instaló un capturador de teclado para obtener frase del empleado pase, puede enviar un correo electrónico firmado digitalmente que parece ser del empleado. 7. Reconocimiento de Voz Personal. La persona que recibe la petición se ha ocupado del solicitante (preferiblemente cara a cara), sabe con certeza que la persona realmente es una persona de confianza, y es lo suficientemente familiarizado con la persona a reconocer su voz en el teléfono. Debilidad: Este es un método bastante seguro, no pueden eludir fácilmente por un atacante, pero no sirve de nada si la persona que recibe la solicitud nunca se ha reunido o hablado con el solicitante. 8. Solución contraseña dinámica. El solicitante se autentica a sí mismo mediante el uso de una solución de contraseña dinámico, como un ID segura. Debilidad: Para derrotar a este método, el atacante tendría que obtener uno de los dispositivos de contraseñas dinámicas, así como el número de identificación personal de acompañamiento de los empleados a los que el dispositivo le pertenece, o tendría que engañar a un empleado en la lectura de la información en la pantalla de la dispositivo y proporcionar el PIN. 9. En persona con ID. El solicitante se presenta en persona andpresents una credencial de empleado u otra identificación adecuada, preferiblemente una ID de imagen. Weakness: Los atacantes a menudo son capaces de robar una tarjeta de empleado, o cree una tarjeta de identificación falsa que parece auténtico, sin embargo, los atacantes generalmente rechazan este enfoque, ya que aparece en persona el atacante pone en riesgo significativo de ser identificado y detenido. Segundo Paso: Verificación de Estado de Empleo The mayor amenaza a la seguridad de la información no es el ingeniero social profesional, ni del intruso informático especializado, sino de alguien mucho más cercano: el empleado sólo como combustible en busca de venganza o esperando para establecerse en el negocio utilizando la información robada de la empresa. (Tenga en cuenta que una versión de este procedimiento también se puede utilizar para verificar que alguien todavía disfruta de otro tipo de relación de negocios con su empresa, como un vendedor, asesor o trabajador de contrato.) Before proporcionar Sensitive informatien to Another person or accepting instrucciones para las acciones que implican los equipos informáticos o relacionados con la informática, compruebe que el solicitante sigue siendo un empleado actual mediante uno de estos

métodos:

Directorio de empleados Comprobar. Si la empresa mantiene un directorio de empleados en línea que refleje con precisión los empleados en activo, compruebe que el requester sigue apareciendo. SolicitarVerificación de er Manager. Llame al administrador del solicitante mediante un número de teléfono que aparece en el directorio de la empresa, no un número proporcionado por el solicitante. Solicitante "s Departament or Workgroup VVERIFICACIÓN. Ctodos ªe solicitante "s departamento o grupo de trabajo y determinar de nadie en ese departamento o grupo de trabajo que el solicitante aún trabaja en la empresa. Tercer Paso: Verificación de que necesitas saber Beyond verificar que el solicitante es un empleado actual o tiene una relación ingenioh su empresa, todavía queda la cuestión de si el solicitante está autorizado a tener acceso a la información que se solicita, o está autorizado para solicitar que las acciones específicas que afectan a los ordenadores o equipos informáticos se taken. Thideterminación s se puede hacer mediante el uso de uno de estos métodos: Cónsult título del trabajo / grupo de trabajo / lists responsabilidades. Una empresa puede proporcionar un acceso fácil a la información mediante la publicación de las listas de autorización de que los empleados tienen derecho a la información. Estas listas pueden ser organizados en términos de título laboral de los trabajadores, los departamentos de los empleados y grupos de trabajo, las responsabilidades de los empleados, o por alguna combinación de estos. Dichas listas tendrían que mantenerse en línea que se mantiene actual y proporcionar un acceso rápido a la información de autorización. Por lo general, las fuentes de información se encargará de supervisar la creación y el mantenimiento de las listas de acceso a la información bajo el control del propietario. NOTA Yot es importante tener en cuenta que el mantenimiento de estas listas es una invitación a lo social ingeniero. Considere lo siguiente: Si un atacante se dirige a una empresa se da cuenta de que la empresa mantiene dichas listas, hay una fuerte motivación para obtener uno. Una vez en la mano, como por ejemplo una lista abre muchas puertas para el atacante y coloca a la empresa en situación de riesgo grave. Obten de una Autoridad Manager. Un empleado contacta con su propio director, o el administrador de la solicitante, la autoridad para cumplir con la solicitud.

Obten Autoridad de la información del propietario o su designado. El propietario de la información es el juez final de acceso si una persona en particular debe ser otorgada. El proceso para el control de acceso basado en ordenador es para que el empleado

contact su jefe inmediato para aprobar una solicitud de acceso a la información sobre la base de perfiles de trabajo existentes. Si tal perfil no existe, es responsabilidad del gerente de contacto con el propietario de los datos relevantes para el permiso. Esta cadena de mando se deben seguir para que dueños de la información no son bombardeados con peticiones cuando existe una frecuente necesidad de saber. Obten Autoridad por medio de un paquete de software propietario. Para una gran empresa en una industria altamente competitiva, puede ser práctico para desarrollar un paquete de software propietario que cubre las necesidades de saber autorización. Esta base de datos almacena los nombres de los empleados y privilegios de acceso a la información clasificada. Los usuarios no sería capaz de buscar los derechos de acceso de cada persona, sino que would introduzca el nombre del solicitante, y el identificador asociado con la información que se busca. Entonces, el programa ofrece una respuesta que indica si el empleado está autorizado a acceder a dicha información. Esta alternativa evita el peligro de crear una lista del personal con permisos de acceso correspondientes a valiosa información, crítica o sensible que podría ser robado.

Managemen POLÍTICAS T
The acuerdo con las políticas se refieren a los empleados de nivel gerencial. Estos se dividen en las áreas de clasificación de datos, divulgación de información, la Administración de Telefónica, y políticas diversas. Tenga en cuenta que cada categoría de políticas utiliza una única estructura de numeración para facilitar la identificación de las distintas políticas. Datunas políticas de clasificación Data clasificación se refiere a cómo su compañía clasifica la sensibilidad de la información y quién debe tener acceso a dicha información. 1-1 Asignar datos de clasificación Política: Toda la información comercial valiosa, sensible o crítica debe ser asignado a una categoría de clasificación de la información del propietario designado o delegado. Explicación / Notas: El propietario o un delegado designado asignará la clasificación de datos adecuado a la información utilizan habitualmente para lograr los objetivos de negocio. El propietario también controla quién puede acceder a esa información y qué se puede hacer uso de ella. El propietario de la información puede reasignar la clasificación y podrá designar un período de tiempo para la desclasificación automática. Unartículo y no se notifique lo contrario deben ser clasificados como sensibles. 1 -2 Publique clasificados procedimientos de manejo Política: La empresa debe establecer procedimientos que rigen la divulgación de información en cada categoría. Explicación / Notas."Una vez que las clasificaciones se establecen los procedimientos para la entrega de información a los empleados y para los forasteros se debe configurar como se detalla en los procedimientos de verificación y autorización descritos anteriormente en este capítulo. 1 -3 Etiquete todos los elementos Política."Está claro que marcan tanto los materiales impresos y soportes de almacenamiento que contiene información confidencial, privada o interna para mostrar la clasificación de datos adecuado. Explicación / Notas."Documentos impresos deben tener una portada, con una etiqueta de clasificación en lugar destacado, y una etiqueta de clasificación en cada página que es visible cuando el documento está abierto.

All electrónicamentec expedientes THAt cannot easily be etiquetaed ingenioh CRÉDITOSe datuna base de datos de clasificaciones (o archivos de datos brutos) deben ser protegidos a través de controles de acceso para asegurar que dicha información no se divulguen indebidamente, y que no se puede cambiar, destruidos o inaccesibles.

Almedios de comunicación l ordenador como disquetes, cintas y CD-ROM deben estar etiquetados con la clasificación más alta de cualquier información contenida en el mismo. Yonformación Divulgación Information revelación implica la liberación de información a las distintas partes en función de su identidad y la necesidad de saber. 2 -1 Empleado procedimiento de verificación Política: La empresa debe establecer procedimientos generales para ser utilizard by empleados for verifying ªe identidad, employment estado, und autorización oF unn individual bntes relfacilitando Confidential or Sensitive information o la realización de cualquier tarea que implica el uso de cualquier hardware or software. Explicación / Notas:Where justificado por tamaño de la empresa y las necesidades de seguridad, las tecnologías avanzadas de seguridad se debe utilizar para autenticar la identidad. La práctica recomendada de seguridad sería la de desplegar tokens de autenticación en combinación con un secreto compartido para identificar positivamente las personas que hacen peticiones. Si bien esta práctica sustancialmente minimizar el riesgo, el coste puede ser prohibitivo para algunos negocios. En estas circunstancias, la empresa debe utilizar un secreto compartido para toda la empresa, como una contraseña o código de diario. 2 -2 Entrega de información a terceros Política: Un conjunto de procedimientos recomendados de divulgación de información debe estar disponible y todos los empleados deben estar capacitados para seguirlos. Explicación / Notas: En general, los procedimientos de distribución que se establezcan para: La información disponible en la empresa. Distribution de información a los ciudadanos y empleados de organizaciones que tienen una relación establecida con la empresa, tales como consultores, trabajadores temporales, becarios, empleados de organizaciones que tienen una relación de proveedor o acuerdo de asociación estratégica con la empresa, y así sucesivamente. Información puesta a disposición fuera de la empresa. La información en cada nivel de clasificación, cuando la información se entrega

en persona, por teléfono, por correo electrónico, por fax, por correo de voz, a través del servicio postal, servicio de firma por la entrega y por transferencia electrónica.

2 -3 Distribución de la información confidencial Política: La información confidencial, que es información de la compañía que podrían causar un daño considerable si se obtiene por personas no autorizadas, podrán ser entregados sólo a una persona de confianza que esté autorizado para recibirla. Explicación / Notas: La información confidencial en una forma física (es decir, copia impresa o en un medio de almacenamiento extraíble) puede ser entregado: En persona. By correo interno, sellado y marcado con la clasificación de confidencial. Outside la empresa por un servicio de entrega de confianza (es decir, FedEx, UPS, etc) con la firma del destinatario requerida, o por un servicio postal con una clase certificada o registrada de correo. Confidential información en formato electrónico (archivos de computadora, archivos de bases de datos, correo electrónico) mamáy entregar: Wn el cuerpo del correo electrónico cifrado. En archivo adjunto de correo electrónico, como un archivo cifrado. Por transferencia electrónica a un servidor dentro de la red interna de la empresa. Bya fax programa desde una computadora, a condición de que sólo el destinatario utiliza la máquina de destino, o que el destinatario está esperando en la máquina de destino, mientras que el fax se ha enviado. Como alternativa, facsímiles se pueden enviar sin la presencia del destinatario si envía a través de un enlace telefónico codificado a un servidor de fax protegido por contraseña. Estafainformación confidencial puede ser discutido en persona, por teléfono dentro de la empresa, por teléfono fuera de la empresa cuando estén cifrados; por transmisión de satélite codificada, por enlace de videoconferencia cifrada y encriptada por Voz sobre Protocolo de Internet (VoIP). For transmisión por fax, el método recomendado para el remitente llama para transmitir una página de cubierta, el receptor, al recibir la página, transmite una

página de respuesta, lo que demuestra que él / ella está en la máquina de fax. El remitente transmite entonces el fax. Los siguientes medios de comunicación no son aceptables para discutir o distribuir información confidencial: sin cifrar mensajes de correo electrónico, correo de voz,

regulaciónr electrónico, o cualquier otro método de comunicación inalámbrica (Mensaje celular, corto Servicio o inalámbrico). 2 -4 Distribución de la información privada Política: La información privada, que es información personal acerca de un empleado o empleados que, de difundirse, se podrían utilizar para dañar a los empleados o la empresa, podrá ser entregado solamente a una persona de confianza que esté autorizado para recibirla. Explicación / Notas: La información privada en una forma física (es decir, en papel o datos en un medio de almacenamiento extraíble) puede ser entregado: En persona By correo interno, sellado y marcado con la clasificación privada Por correo ordinario Privae información en formato electrónico (archivos de computadora, archivos de base de datos, correo electrónico) puede ser entregado: Bcorreo electrónico interna. y

Por transferencia electrónica a un servidor dentro de la red interna de la empresa. Bfax y, a condición de que sólo el destinatario utiliza la máquina de destino, o que el destinatario está esperando en la máquina de destino, mientras que el fax se ha enviado. Facsímiles también se pueden enviar a los servidores de fax protegidas por contraseña. Como alternativa, facsímiles se pueden enviar sin la presencia del destinatario si envía a través de un enlace telefónico codificado a un servidor de fax protegido por contraseña. Privae información se pueden discutir en persona, por teléfono, por vía satélite; por enlace de videoconferencia, y por Vole cifrado Los siguientes medios de comunicación no son aceptables para discutir o distribución de la información privada: sin encriptar correo electrónico, mensaje de correo de voz, correo regular, y por cualquier medio de comunicación sin hilos

(celulares, SMS, o inalámbrico). 2 -5 Distribución de la información interna Política: La información interna es la información sea compartida sólo dentro de la empresa o con otras personas de confianza que hayan firmado un acuerdo de confidencialidad. Usted debe establecer directrices para la distribución de información interna.

Explicación / Notas: Internal information mamáy be distribuird yon uny formulario, Incluido el correo electrónico interno, pero no se puede distribuir fuera de la empresa en forma de correo electrónico a menos encriptada. 2-6 Discutir información confidencial a través del teléfono Política: Antes de divulgar cualquier información que no ha sido designada como pública a través del teléfono, la persona que liberar dicha información personal debe reconocer la voz del solicitante a través del contacto hábil anterior, o el sistema de teléfono de la empresa debe identificar la llamada como de un número de teléfono interno que tiene ha asignado to ªe solicitarer. Explicación / Notas: Si la voz del solicitante no se conoce, llame al número de teléfono del solicitante interna para verificar el solicitante voz a través de un mensaje de voz grabado, o tener gerente del solicitante verificar la identidad del solicitante y la necesidad de saber. 2 -7 vestíbulo o procedimientos de personal de recepción Política: El personal debe obtener Lobby identificación con fotografía antes de divulgar cualquier paquete a cualquier persona que no es conocido por ser un empleado activo. Un registro se debe mantener para registrar el nombre de la persona, el número de licencia de conducir, fecha de nacimiento, el elemento recogido, y la fecha y hora de recogida tal. Explicación / Notas: Esta política también se aplica a la entrega de los paquetes salientes a cualquier mensajero o servicio de mensajería como FedEx, UPS, o Airborne Express. Estas compañías emitir tarjetas de identificación que se pueden utilizar para verificar la identidad de un empleado. 2 -8 Transferencia de software a terceros Política: Antes de la transferencia o divulgación de cualquier software, programa o instrucciones de computadora, la identidad del solicitante debe ser verificada de manera positiva, y debe ser FUNDADAd si tal liberación es coherente con la clasificación de datos assigned a dicha información. Por lo general, el software desarrollado internamente en formato de código fuente es considerada altamente propietario, y clasificado confidencial. Explicación / Notas: Determinación de la autorización se basa generalmente en si el solicitante tiene acceso al software para hacer su trabajo. 2 -9 de Ventas y Marketing Calificación de los clientes

potenciales Política: Ventas y marketing personal debe calificar clientes potenciales antes de liberar un número de devolución de llamada interna, planes de productos, contactos, grupo de productos u otra información confidencial a cualquier cliente potencial.

Explicación / Notas: Es una táctica común de los espías industriales que requieren asistencia representante de ventas y marketing y hacerle creer que una compra grande puede estar a la vista. En un esfuerzo por aprovechar la oportunidad de ventas, las ventas y los representantes de marketing a menudo revelar información que puede ser utilizada por el agresor como una ficha de póquer para obtener acceso a información confidencial. 2-10 Transferencia de archivos o datos Política: Los archivos u otros datos electrónicos no deben ser transferidos a cualquier medio extraíble a menos que el solicitante sea una persona de confianza cuya identidad ha sido verificada y que tiene una necesidad de contar con tales datos en ese formato. Explicación / Notas: Un ingeniero social puede engañar a un empleado, proporcionando una petición verosímil por haber información confidencial copia en una cinta, disco Zip, u otros medios extraíbles, y envió a él o se mantiene en el vestíbulo para su recogida. Administración Teléfono Phonlas políticas de la administración electrónica asegurar que los empleados puedan verificar identidad del llamante, y proteger su propia información de contacto de los que piden a la compañía. 3-1 Desvío de llamadas a números de acceso telefónico o fax Política: Llamar a los servicios de reenvío de llamadas que permiten desviar llamadas a números telefónicos externos no se pueden colocar en cualquier módem de acceso telefónico o números de teléfono y fax de la empresa. Explicación / Notas: Los atacantes sofisticados pueden intentar engañar al personal de las compañías telefónicas o los internos trabajadores de telecomunicaciones en números de reenvío interno a una línea telefónica externa bajo el control de un atacante. Este ataque permite al intruso para interceptar faxes, solicitar información confidencial a enviar por fax dentro de la empresa (personal suponer que enviar por fax dentro de la organización debe ser segura) o engañar usuarios de acceso telefónico en la prestación de sus contraseñas de cuentas mediante el envío de las líneas de acceso telefónico a una señuelo ordenador que simula el proceso de inicio de sesión. Depterminando en el servicio telefónico utilizado dentro de la empresa, la función de desvío de llamada puede estar bajo el control del proveedor de comunicaciones, en lugar de el departamento de telecomunicaciones. En tales circunstancias, una solicitud se hará para el proveedor de comunicaciones para asegurar la función de desvío de llamada no está presente en los números de

teléfono asignados a la conexión telefónica y líneas de fax. 3 -2 Caller ID Política: El sistema telefónico corporativo debe proporcionar una identificación de línea de llamada (ID de llamada) en todos los aparatos telefónicos internos, y, si es posible, permitir timbre distintivo para indicar que hay una llamada desde fuera de la empresa.

Explicación / Notas: Si los empleados pueden comprobar la identidad de las llamadas telefónicas desde fuera de la empresa puede ayudar a prevenir un ataque, o identificar al atacante al personal de seguridad apropiadas. 3 -3 teléfonos de cortesía Política: Para evitar que los visitantes haciéndose pasar por trabajadores de la empresa, todos los teléfonos de cortesía indicará claramente la ubicación de la persona que llama (por ejemplo, "Lobby") el identificador de llamada del destinatario. Explicación / Notas."Si el ID de llamada para llamadas internas sólo muestra el número de extensión, el suministro adecuado se debe hacer para las llamadas realizadas desde teléfonos de la compañía en el área de recepción y las áreas públicas. No debe ser posible que un atacante a place un cunll Fromene oF these teléfonos y engañar a un empleado en la creencia de que la llamada ha sido colocado internamente desde un teléfono del empleado. 3-4 Contraseñas por defecto del fabricante suministra con los sistemas de telefonía Política: El administrador del correo de voz debe cambiar todas las contraseñas predeterminadas que se suministran con el sistema de teléfono antes de su uso por el personal de la empresa. Explicación / Notas: Ingenieros sociales pueden obtener listas de contraseñas por defecto de los fabricantes y las utilizan para acceder a las cuentas de administrador. 3 -5 Departamento de buzones de voz Política."Configurar un buzón de voz genérica para todos los departamentos que normalmente está en contacto con el público. Explicación / Notas: El primer paso de la ingeniería social consiste en la recopilación de información sobre la empresa objetivo y su personal. Al limitar la accesibilidad de los nombres y números de teléfono de los empleados, una empresa hace que sea más difícil para el ingeniero social para identificar los objetivos de la empresa, o los nombres de los empleados legítimos para su uso en engañar a otros miembros del personal. 3 -6 Verificación del proveedor del sistema telefónico Política: No hay técnicos de apoyo a los vendedores se les permitirá acceder de forma remota a la empresa teléfono system sin positive identification oF vendor y

authorization para realizar dicho trabajo. Explicación / Notas: Los intrusos informáticos que acceden a los sistemas telefónicos corporativos adquieren la capacidad de crear buzones de correo de voz, mensajes destinados a interceptar a otros usuarios, o hacer llamadas telefónicas gratuitas a cargo de la corporación.

3 -7 Configuración del sistema telefónico Política. "El administrador del buzón de voz hará cumplir los requisitos de seguridad de la configuración de los parámetros de seguridad adecuadas en el sistema telefónico. Explicación / Notas: Sistemas de teléfono se puede configurar con mayor o menor grado de seguridad para los mensajes de correo de voz. El administrador debe ser consciente de las preocupaciones de seguridad de la empresa, y trabajar con el personal de seguridad para configurar el sistema de teléfono para proteger los datos sensibles. 3-8 Llamar función trace Política: En función de las limitaciones del proveedor de comunicaciones, la función de rastreo de llamada se activará a nivel mundial para permitir a los empleados para activar la función de atrapar y de seguimiento cuando la persona que llama es sospechoso de ser un atacante. Explicación / Notas: Los empleados deben ser entrenados en el uso de llamadas de seguimiento y las circunstancias apropiadas, cuando debería ser utilizado. Un rastreo de llamadas se debe iniciar cuando la persona que llama está claramente tratando de obtener acceso no autorizado a los sistemas informáticos de las empresas o de solicitar información sensible. Cada vez que un empleado se activa la función de rastreo de llamada, notificación inmediata debe ser enviada al Grupo de Notificación de Incidentes. 3-9 Sistemas telefónicos automatizados Política."Si la empresa utiliza un sistema telefónico automatizado de respuesta, el sistema debe ser programado de tal manera que las extensiones telefónicas no se anuncian cuando transferir una llamada a un empleado o departamento. Explicación / Notas: Los atacantes pueden utilizar el sistema de una compañía telefónica automatizada para asignar nombres de los empleados a las extensiones telefónicas. Los atacantes pueden entonces usar el conocimiento de esas extensiones de convencer a los receptores de llamadas que son empleados con derecho a la información privilegiada. 3-10 Buzones de voz para quedar incapacitadas tras sucesivos intentos de acceso no válidos Política: Programe el sistema telefónico corporativo para bloquear cualquier cuenta de correo de voz cada vez que un número determinado de intentos de acceso no válidos sucesivos se han hecho.

Explicación / Notas."El administrador de Telecomunicaciones debe bloquear un buzón de voz después de cinco intentos consecutivos no válidos para iniciar la sesión, el administrador debe reiniciar los bloqueos de correo de voz de forma manual. 3-11 Extensiones telefónicas restringidas Política."Todas las extensiones telefónicas internas a los departamentos o grupos de trabajo que

ordinarily no recibe llamadas de personas externas (help desk, sala de informática, soporte técnico empleado, etc) debe ser programado so que estos teléfonos sólo se puede llegar desde las extensiones internas. Alternativamente, pueden ser protegidos con contraseña para que los empleados y otras personas autorizadas que llaman desde el exterior debe introducir la contraseña correcta. Explicación / Notas: Si bien el uso de esta política será bloquear la mayoría de los intentos de los aficionados ingenieros sociales para llegar a sus posibles objetivos, debe tenerse en cuenta que un atacante determinado veces será capaz de hablar a un empleado en llamar a la extensión limitada y pidiendo a la persona que contesta el teléfono a llamar al atacante, o simplemente en la conferencia de extensión restringida. During capacitación en seguridad, este método de engañar a los empleados a asistir al intruso debe ser discutido para aumentar la conciencia de los empleados sobre estas tácticas. MiscellanEO US 4 -1 Empleado diseño distintivo Política: Insignias de los empleados deben ser diseñados para incluir una foto de gran tamaño que se puede reconocer desde lejos. Explicación / Notas: La fotografía de tarjetas de identificación corporativas de diseño estándar es, por razones de seguridad, sólo un poco mejor que nada. La distancia entre una persona que entra en el edificio y la guardia o recepcionista que tiene la responsabilidad de verificar la identificación suele ser tan grande que la imagen es demasiado pequeña como para reconocer cuando la persona pasa por allí. Para la foto para ser de valor en esta situación, un nuevo diseño de la placa es necesario. 4-2 Los derechos de acceso revisar al cambiar de posición o responsabilidades Política: Cuando un empleado cambia de empresa posiciones o se da un aumento o disminución de las responsabilidades del trabajo, el gerente del empleado se le notificará la change en las responsabilidades del empleado de modo que el perfil de seguridad adecuado se pueden asignar. Explicación / Notas: La gestión de los derechos de acceso del personal es necesario to la divulgación de información protegida límite. La regla de privilegios mínimos se aplicarán: Los derechos de acceso asignados a los usuarios será la mínima necesaria para realizar sus trabajos. Cualquier petición de cambios que resultan en elevados derechos de acceso must estar de acuerdo con una política de concesión de derechos de acceso elevados.

Thgerente trabajador e o el departamento de recursos humanos tendrán la responsabilidad de notificar al departamento de tecnología de la información para ajustar adecuadamente los derechos del titular de la cuenta de acceso según sea necesario.

4 -3 especial de identificación para los empleados que no Política: Su empresa debe emitir una credencial foto compañía especial para gente de la entrega de confianza y los empleados no que tienen una necesidad de negocio para entrar en los locales de la empresa sobre una base regular. Explicación / Notas: Los empleados que necesitan para no entrar en el edificio con regularidad (por ejemplo, para hacer entregas de alimentos o bebidas en la cafetería, o para reparar máquinas fotocopiadoras o hacer instalaciones telefónicas) pueden suponer una amenaza para su empresa. Además de emitir la identificación de estos visitantes, asegúrese de que sus empleados están capacitados para identificar a un visitante sin una placa y saber cómo actuar en esa situación. 4-4 Desactivación de cuentas de equipo para los contratistas Política: Cada vez que un contratista que se ha emitido una cuenta de equipo hcomo completado su tarea, o cuando el contrato expire, el responsable manager will immediately notify ªe information tecnología departamento de deshabilitar su cuenta del contratista de ordenador, incluyendo cualquier cuenta utilizado para el acceso de base de datos, acceso telefónico, o el acceso a Internet desde lugares remotos. Explicación / Notas:W-Hen empleo de un trabajador termina, existe el peligro de que él o ella va a utilizar el conocimiento de los sistemas de su empresa y los procedimientos para acceder a los datos. Todas las cuentas de ordenador utilizados por o se sabe que el trabajador debe ser rápidamente desactivada. Esto incluye las cuentas que dan acceso a bases de datos de producción, control remoto de acceso telefónico de las cuentas, así como cualesquiera cuentas utilizadas para acceder a los dispositivos relacionados con la informática. 4-5 Incidente organización informante Política: Una organización de notificación de incidentes se deben establecer o, en las empresas más pequeñas, una persona designada de notificación de incidentes de seguridad individual y, por receiving y distribución de alertas sobre seguridad posible incidentes en progreso. Explicación / Notas: Al centralizar la información sobre incidentes de seguridad sospechosos de un ataque que de otro modo podrían haber pasado inadvertidos pueden ser detectados. En el caso de que los ataques sistemáticos a través de la organización se detectan y se informa, la organización informante incidente puede ser capaz de determinar lo que el atacante se dirige de modo que los esfuerzos

especiales se pueden hacer para proteger estos activos. Empleados asignados a recibir reportes de incidentes deben familiarizarse con los métodos de ingeniería social y tácticas que les permitan evaluar los informes und reconocer cuando un ataque puede estar en curso.

4-6 Incidente Línea de Información Política: Una línea directa con la organización informante incidente o persona, que puede consistir en una extensión de teléfono fácil de recordar, debe ser establecido. Explicación / Notas: Cuando los empleados sospechan que son el blanco de un ataque de ingeniería social, que debe ser capaz de notificar inmediatamente a la organización de notificación de incidentes. Para que la notificación sea oportuna, todos los operadores de la compañía telefónica und recepcionistas must have ªe Number posted or otherwise inmediatamente disponible para ellos. Un sistema en toda la empresa de alerta temprana sustancialmente puede ayudar a la organización de detectar y responder a un ataque en curso. Los empleados deben estar suficientemente capacitado que alguien que él o ella sospecha que ha sido víctima de un ataque de ingeniería social, inmediatamente llame a la línea directa de notificación de incidentes. De acuerdo con los procedimientos publicados, el personal de notificación de incidentes notificará de inmediato a los grupos destinatarios que una intrusión pueden estar en curso para que el personal estará en alerta. Para que la notificación sea oportuna, el número de informes de líneas directas deberá dar amplia difusión a toda la compañía. 4-7 Las zonas sensibles se deben asegurar Política: Un guardia de seguridad se proyectará el acceso a zonas sensibles o seguro y debe requerir dos formas de autenticación. Explicación / Notas: Ene acceptable param oF authentication utilizars un digital cerradura electrónica que requiere que un empleado pase su credencial de empleado e introducir un código de acceso. El mejor método para proteger las zonas sensibles es publicar un guardia de seguridad que observe cualquier entrada de acceso controlado. En las organizaciones donde no es rentable, dos formas de autenticación se debe utilizar para validar la identidad. Dependiendo de riesgo y costo, una tarjeta de acceso biométrico-enabled se recomienda. 4 -8 armarios de red y teléfono Política: Gabinetes, armarios o cuartos que contienen cableado de red, cableado telefónico, o los puntos de acceso a la red debe estar asegurado en todo momento. Explicación / Notas: Sólo el personal autorizado serán permitidos access de armarios telefónicos y de red, habitaciones o armarios. Toda la gente de mantenimiento fuera de los proveedores o personal debe ser positivamente identificados con el

pROCEDIMIENTOS publicado por el departamento responsable de la seguridad de la información. El acceso a las líneas telefónicas, concentradores de red, switches, puentes y otros equipos relacionados podrían ser utilizados por un atacante para comprometer la seguridad informática y de red.

4 -9 bandejas de correo Intracompany Política: Cestos Intracompany correo no deberán estar situados en zonas accesibles al público. Explicación / Notas: Espías industriales o intrusos informáticos que tienen acceso a uny intracompany mafligir pickhasta puntos cunn eaSily enviar foRGEd cartas de autorización o formas internas que autorizan al personal a divulgar información confidencial o realizar una acción. hasta que asiste al atacante. Además, el atacante puede enviar un disquete o medio electrónico con las instrucciones para instalar una actualización de software, o abrir un archivo que se ha incrustado comandos de macro que sirven a los objetivos del intruso. Naturalmente, cualquier solicitud recibida por correo intracompañía se supone que es auténtica por la persona que lo recibe. 4-10 La empresa tablón de anuncios Política: Los tablones de anuncios en beneficio de los trabajadores de la empresa no deben ser colocadas en lugares donde el público tiene acceso. Explicación / Notas: Muchas empresas tienen tablones de anuncios donde se publica empresa privada o información personal para que cualquiera pueda leer. Avisos empleadores, listas de empleados, memorandos internos, los números de contacto de los empleados de origen que figuran en los anuncios y otra información, similar a menudo se publicará en el tablón. Bulletin tableros pueden estar ubicados cerca de las cafeterías de la empresa, o en las proximidades de las zonas de fumadores o de descanso donde los visitantes tienen acceso gratuito. Este tipo de información no debe poner a disposición de los visitantes o al público. 4-11 Computer entrada del centro Política: El centro de la sala de ordenadores o de datos debe ser bloqueado en todo momento y el personal debe autenticar su identidad antes de entrar. Explicación / Notas: Seguridad Corporativa debe considerar la implementación de una tarjeta electrónica o un lector de tarjetas de acceso para todas las entradas pueden ser electrónicamente registrados y auditados. 4.12 Las cuentas de cliente con proveedores de servicios Política: El personal de la compañía que hacen pedidos de servicios con los proveedores que suministran servicios críticos para la empresa debe establecer

una contraseña de cuenta prevenciónt desautorizard personas from placing ordens on BehalF oF ªe

to empresa.

Explicación / Notas: Las empresas de servicios públicos y muchos otros proveedores permiten a los clientes crear una contraseña previa solicitud, la empresa debe establecer contraseñas con todos los proveedores que ofrecen servicios de misión crítica. Esta política es especialmente crítico para los servicios de telecomunicaciones e Internet. Cada vez que los servicios críticos pueden ser

afectado, un secreto compartido es necesario verificar que la persona que llama está autorizada a poner dichas órdenes. Tenga en cuenta, también, identificadores tales uns social seguridad adormecerer, corporate número de identificación del contribuyente, el nombre de soltera de la madre, o identificadores similares no deben ser utilizados. Un ingeniero social podría, por ejemplo, llamar a la compañía telefónica y dar órdenes para agregar características tales como el desvío de llamadas de discado en líneas de módem, o hacer una solicitud al proveedor de servicios de Internet para cambiar la información de traducción para proporcionar una dirección IP falsa cuando los usuarios realizar una búsqueda de nombre de host. 4-13 persona contacto Departamental Política: Su empresa podrá iniciar un programa en el que cada departamento o grupo de trabajo se asigna a un empleado la responsabilidad de actuar como punto de contacto para que cualquier miembro del personal puede fácilmente verificar la identidad de las personas desconocidas que dicen ser from que departament. For ejemplo, ªe help desk mamáy contactort ªe persona encargada del departamento para verificar la identidad de un empleado que solicita la ayuda. Explicación / Notas: Este método de verificación de identidad reduce la cantidad de empleados que están autorizados para dar fe de los empleados dentro de su departamento cuando dichos empleados solicitar apoyo, tales como el restablecimiento de contraseñas u otros problemas informáticos relacionados con la cuenta. Ataques de ingeniería social son exitosos en parte porque el personal de apoyo técnico están presionados por el tiempo y no verificar correctamente la identidad de los solicitantes. Normalmente el personal de apoyo, personalmente, no puede reconocer todo el personal autorizado por el número de empleados en organizaciones más grandes. El método de punto de persona que dé fe limita el número de empleados que el personal de soporte técnico necesitan estar personalmente familiarizado con fines de verificación. 4-14 contraseñas de clientes Política: Los representantes de servicio al cliente no tendrá la posibilidad de recuperar las contraseñas de cuentas de clientes. Explicación / Notas: Los ingenieros sociales con frecuencia llaman departamentos de servicio al cliente y, bajo un pretexto, intentar obtener información de un cliente de autenticación, como la contraseña o número de seguro social. Con esta información, el ingeniero social puede entonces llamar a otro representante de servicio, pretende ser el cliente, y obtener pedidos de información o lugar

fraudulentas. Para evitar estos intentos tengan éxito, los programas de servicio al cliente must estar diseñado de manera que los representantes sólo puede escribir la información de autenticación proporcionada por la persona que llama, y recibir una respuesta por parte del sistema que indica si la contraseña es correcta o no.

4-15 Vulnerabilidad de las pruebas Política: Notificación de uso de la empresa de tácticas de ingeniería social para poner a prueba las vulnerabilidades de seguridad se requiere durante el entrenamiento de concienciación sobre la seguridad y la orientación de empleados. Explicación / Notas: Sin notificación de la ingeniería social, pruebas de penetración, personal de la empresa puede sufrir vergüenza, ira, u otro trauma emocional del uso de tácticas engañosas utilizadas en su contra por otros empleados o contratistas. Mediante la colocación de nuevas contrataciones en conocimiento durante el proceso de orientación que pueden ser objeto de esta prueba, se evita que dicho conflicto. 4-16 Visualización de la información confidencial de la empresa Política: Información de la empresa no haya sido designado para ser hecha pública no se pueden mostrar en cualquier área de acceso público. Explicación / Notas: Además de productos confidencial o información de procedimiento, información de contacto interno, como teléfono interno o listas de empleados, o listas de construcción que contienen una lista del personal de gestión de cada departamento dentro de la empresa también debe mantenerse fuera de la vista. 4-17 de formación sobre protección Política: Todas las personas empleadas por la empresa debe completar un curso de formación de la conciencia de seguridad durante la orientación de los empleados. Además, cada uno empleado debe tomar un curso de concienciación sobre la seguridad de actualización a intervalos periódicos que no exceda de doce meses, según lo requiera el departamento asignado con la responsabilidad de seguridad a la formación. Explicación / Notas: Muchas organizaciones ignorar formación del usuario final la conciencia por completo. De acuerdo con la Encuesta Global 2001 de Seguridad de la Información, sólo el 30 por ciento de las organizaciones encuestadas gastar dinero en actividades de sensibilización de la comunidad de usuarios. La sensibilización es un requisito esencial para mitigar las violaciones de seguridad con éxito utilizando técnicas de ingeniería social. 4-18 de Seguridad curso de formación para el acceso informático Política: El personal debe asistir y completar con éxito un curso de seguridad de la información antes de dar acceso a todos los sistemas informáticos de las

empresas. Explicación / Notas: Los ingenieros sociales con frecuencia buscan nuevos empleados, a sabiendas de que, como grupo, son generalmente los que menos probabilidades de ser conscientes de las políticas de seguridad de la empresa y los procedimientos adecuados para determinar la clasificación y el manejo de información confidencial.

Training debe incluir una oportunidad para que los empleados hacer preguntas acerca de las políticas de seguridad. Después del entrenamiento, el titular de la cuenta debe ser obligado a firmar un documento reconociendo su comprensión de las políticas de seguridad, y su acuerdo en cumplir las políticas. 4-19 credencial de empleado debe ser un código de colores Política: Tarjetas de identificación debe ser un código de colores para indicar si el titular de la tarjeta de identificación es un empleado, contratista, consultor temporal, vendedor, visitante o residente. Explicación / Notas: El color de la placa es una excelente manera de determinar ªe estado de una persona a distancia. Una alternativa sería el uso de letras grandes para indicar el estado del soporte de placa, pero utilizando un esquema de código de colores es inconfundible y fácil de ver. Una táctica común de ingeniería social para obtener acceso a un edificio físico es vestirse como una persona de la entrega o técnico de reparaciones. Una vez dentro de la instalación, el atacante hacerse pasar por otro empleado o mentir acerca de su estado para obtener la cooperación de los empleados incautos. El propósito de esta política es evitar que las personas entren en el edificio legítimamente y luego entrar en las zonas que no deberían tener acceso. Por ejemplo, una persona que entra en la instalación como técnico de reparación de teléfono no sería capaz de hacerse pasar por un empleado: El color de la insignia de lo delataría. InformatiSOBRE POLÍTICAS TECNOLÓGICAS Thinformación e departamento de tecnología de cualquier empresa tiene una necesidad especial de Politicass que le ayudan a proteger los activos de información de las organizaciones. Para reflejar la estructura típica de las operaciones de TI de una organización, he dividido las políticas de TI en general, Atención al cliente, Administración de equipo y operaciones informáticas. General 5 -Un empleado del departamento de TI la información de contacto Política: Números de teléfono y direcciones de correo electrónico de los distintos empleados del departamento de TI no debe ser revelada a cualquier persona sin necesidad de saber. Explicación / Notas: El propósito de esta política es evitar que la información de contacto que se abuse de los ingenieros sociales. Por sólo revelar un número de contacto general o dirección de correo electrónico para TI, los extranjeros serán bloqueados entren en contacto con el personal de TI departamento directamente. La dirección de correo electrónico para el sitio administrativo y técnico contactos

hombrod only consistentet oF generic names éxitoh uns admin@companyname.com, Publicadas números de teléfono debe conectarse a un buzón de voz departamentos, y no a los trabajadores individuales.

Blancoen Información contacto directo está disponible, es fácil para un intruso informático para llegar a determinados empleados de TI y engañarlos para que proporcionen información que se puede utilizar en un ataque, o para hacerse pasar por empleados de TI mediante el uso de sus nombres e información de contacto. 5-2 Solicitudes de soporte técnico Política: Todas las solicitudes de soporte técnico deben ser remitidos al grupo que se encarga de estas solicitudes. Explicación / Notas: Ingenieros sociales pueden tratar de orientar al personal que normalmente no manejan asuntos técnicos de apoyo, y que pueden no ser conscientes de los procedimientos de seguridad adecuados al manejar estas solicitudes. En consecuencia, el personal debe estar capacitado para denegar estas solicitudes y se refieren a la persona que llama el grupo que tiene la responsabilidad de proporcionar apoyo. Help Desk 6 -Un procedimiento de acceso remoto Política: Personal de asistencia no debe divulgar los detalles o instrucciones relativas al acceso remoto, incluyendo los puntos de acceso a redes externas o de acceso telefónico números, a menos que el solicitante ha sido: Verificado lo autorizado para recibir información interna y, Verificado lo autorizado para conectarse a la red corporativa como un usuario externo. A menos conocido a nivel de persona a persona, el solicitante debe ser positivamente identificados de acuerdo con los procedimientos de verificación y autorización descritos al inicio de este capítulo. Explicación / Notas: El servicio de asistencia social es a menudo un objetivo principal para el ingeniero social, tanto por la naturaleza de su trabajo es ayudar a los usuarios relacionados con la informática temas, und because lay usually have elevard sistema privilegios. Todo el personal de mesa de ayuda debe ser entrenado para actuar como un servidor de seguridad humana para evitar la divulgación no autorizada de información que ayude a las personas no autorizadas tengan acceso a los recursos de la empresa. La regla simple es no revelar los procedimientos de acceso remoto a cualquier persona hasta que la verificación positiva de la identidad se ha hecho. 6 -2 Restablecer contraseñas Política: La contraseña para una cuenta de usuario puede poner a cero sólo a petición del titular de la cuenta.

Explicación / Notas: La táctica más común utilizado por los ingenieros sociales es tener reinicio de otra persona cuenta o contraseña cambiado. El atacante se hace pasar por el

employee con el pretexto de que su contraseña se ha perdido u olvidado. En un esfuerzo por reducir el éxito de este tipo de ataque, un empleado de TI recibe una solicitud de restablecimiento de contraseña debe llamar al empleado de nuevo antes de tomar cualquier acción, la llamada de vuelta no se debe hacer a un número de teléfono proporcionado por el solicitante, pero para un número obtenido a partir de la guía telefónica empleado. Consulte los procedimientos de verificación y autorización para más detalles sobre este procedimiento. 6 -3 Cambio de privilegios de acceso Política: Todas las peticiones para aumentar los privilegios de un usuario o de los derechos de acceso deben ser aprobados por escrito por el gerente de la titular de la cuenta. Cuando el cambio se realiza una estafaconfirmación debe ser enviado al gestor requirente a través de intracompañía mAIL. Por otra parte, estas solicitudes deben ser verificadas como auténticas de acuerdo con los procedimientos de verificación y autorización. Explicación / Notas: Una vez que un intruso informático ha puesto en peligro una cuenta de usuario estándar, el siguiente paso es elevar sus privilegios a fin de que el atacante tiene el control completo sobre el sistema comprometido. Un atacante que tenga conocimiento del proceso de autorización puede falsificar una solicitud autorizada cuando el correo electrónico, fax o teléfono son utilizados para transmitirla. Por ejemplo, el atacante puede llamar a soporte técnico o de la mesa de ayuda y tratar de convencer a un técnico para que concedan derechos de acceso a la cuenta comprometida. 6 -4 Autorización Cuenta nueva Política: Una petición para crear una nueva cuenta para un empleado, contratista, or otra persona autorizada deberá presentarse por escrito y firmada por el gerente del empleado, o por correo electrónico firmado digitalmente. Estas solicitudes también deben ser verificadas por el envío de una confirmación de la solicitud a través de correo intracompañía. Explicación / Notas: Dado que las contraseñas y otros datos útiles para irrumpir en los sistemas informáticos son los objetivos más prioritarios de los ladrones de información para el acceso, se requieren medidas especiales. La intención de esta política es evitar que los intrusos informáticos de hacerse pasar por personal autorizado o falsificación de solicitudes de nuevas cuentas. Por lo tanto, todas las solicitudes deben ser positivamente verifica por medio de los procedimientos de verificación y autorización. 6 -5 Entrega contraseñas de nuevas

Política: Las nuevas contraseñas no deben tratarse como información confidencial de la empresa, administrada por métodos seguros incluidos en persona, por un servicio de entrega de firmas requerido, tales como correo certificado, o por UPS o FedEx. Vea las reglas relativas a la distribución de información confidencial.

Explicación / Notas: Intracompany correo también se pueden usar, pero se recomienda que las contraseñas se envían en sobres seguras que oscurecen el contenido. Un método sugerido es establecer un punto de ordenador persona en cada departamento que tiene la responsabilidad de manejar la distribución de datos de la cuenta nueva y dar fe de la Identity oF personnel who lose or forjart their passwords. Yon estos circumstances, personal de apoyo siempre iba a trabajar con un pequeño grupo de empleados que serían reconocidos personalmente. 6 -6 Desactivación de una cuenta Política: Antes de deshabilitar una cuenta de usuario debe requerir la verificación positiva de que la solicitud fue hecha por personal autorizado. Explicación / Notas: La intención de esta política es evitar que un atacante spoofing una solicitud para desactivar una cuenta, y luego llamar para solucionar la incapacidad del usuario para acceder al sistema informático. Cuando las llamadas ingeniero social haciéndose pasar por un técnico que ya tenían conocimiento de la incapacidad del usuario para iniciar la sesión, la víctima suele cumple con una solicitud para revelar su contraseña durante el proceso de solución de problemas. 6 -7 Desactivación de puertos de red o dispositivos Política: Ningún empleado debe desactivar cualquier dispositivo de red o puerto para todo el personal de apoyo técnico no verificadas. Explicación / Notas: La intención de esta política es evitar que un atacante spoofing una solicitud para desactivar un puerto de red, y luego llamar al trabajador para solucionar su incapacidad para acceder a la red. When el ingeniero social, haciéndose pasar por un técnico útil, llama con conocimiento pre-existente de problema en la red del usuario, la víctima suele cumple con una solicitud para revelar su contraseña durante el proceso de solución de problemas. 6.8 Divulgación de los procedimientos para el acceso inalámbrico Política: No debe revelar información personal de los procedimientos para acceder a los sistemas de la empresa a través de redes inalámbricas a las personas no autorizadas a conectarse a la red inalámbrica. Explicación / Notas: Siempre obtener la verificación previa de un solicitante como persona autorizada para conectarse a la red corporativa como un usuario externo antes de lanzar wirelessaccess información. Ver Verificación y Autorización ProcedUres.

6-9 Entradas de los usuarios problemáticos Política: Los nombres de los empleados que han informado de problemas relacionados con la informática no debe ser revelada fuera del departamento de tecnología de la información. Explicación / Notas: En un ataque típico, un ingeniero social llamará al help escritorio y solicitar los nombres de todo el personal que han informado de los recientes problemas informáticos. La persona que llama puede fingir ser un empleado, proveedor, o un empleado de la compañía telefónica. Una vez que obtenga los nombres de las personas que denuncian problemas, el ingeniero social, haciéndose pasar por una mesa de ayuda o soporte técnico pErson, los contactos de los empleados y dice que él / ella está llamando para solucionar el problema. Durante la llamada, el atacante engaña a la víctima para que proporcione la información deseada o en la realización de una acción que facilita el objetivo del atacante. 6-10 Programas de Iniciación ejecutar comandos o ejecutar Política: El personal empleado en el departamento de TI que tienen cuentas con privilegios no debe ejecutar ningún comando o ejecutar cualquier programa de aplicación a petición of cualquier persona que no conozco personalmente a ellos. Explicación / Notas: Un método común atacantes utilizar para instalar un programa caballo de Troya u otro software malicioso es cambiar el nombre de un programa existente, y luego llamar a la mesa de ayuda quejándose de que un mensaje de error aparece cuando se intenta ejecutar el programa. El atacante convence al técnico de mesa de ayuda para ejecutar el programa sí mismo. Cuando el técnico cumple, el software malicioso hereda los privilegios del usuario que ejecuta el programa y realiza una tarea, lo que le da al atacante de los privilegios mismo equipo que el empleado del Help Desk. Esto puede permitir al atacante tomar el control del sistema de la compañía. This política establece una medida para contrarrestar esta táctica, al exigir que el personal de apoyo a verificar la situación laboral antes de ejecutar cualquier programa a petición de una persona que llama. Equipo de administración 7-1 Cambiar el acceso de los derechos globales Política: Una solicitud para cambiar los derechos de acceso globales asociados con un perfil de trabajo electrónico debe ser aprobado por el grupo asignado la responsabilidad de

hombreenvejecimiento de los derechos de acceso a la red corporativa. Explicación / Notas: El personal autorizado analizará cada solicitud para determinar si el cambio puede suponer una amenaza para la seguridad de la información. Si es así, el empleado responsable se ocupará de las cuestiones pertinentes con el solicitante y en conjunto llegar a una decisión acerca de los cambios a realizar.

7 -2 solicitudes de acceso remoto Política: acceso a una computadora remota sólo se proporcionará al personal que haya una necesidad demostrada para acceder a los sistemas informáticos corporativos desde lugares fuera de las instalaciones. La solicitud debe ser hecha por el gerente de un empleado y verificar como se describe en ªe Verificación y Procedimientos de Autorización sección. Explicación / Notas: Reconociendo la necesidad de un acceso fuera de sitio en la red corporativa por personal autorizado, lo que limita dicho acceso sólo a las personas con una necesidad dramática puede reducir el riesgo y la gestión de los usuarios de acceso remoto. Cuanto menor sea el número de personas con acceso telefónico externo privileges, la más pequeña de la piscina de objetivos potenciales para un atacante. No olvides nunca que el atacante también puede dirigirse a usuarios remotos con la intención de secuestrar su conexión a la red corporativa, o haciéndose pasar por ellos durante una llamada de pretexto. 7-3 Restablecimiento de contraseñas privilegiadas cuenta Política: La solicitud para restablecer la contraseña de una cuenta con privilegios deben ser aprobados por el administrador del sistema o el administrador responsable del equipo en el que ªcuenta de correo existe. La nueva contraseña debe ser enviado por correo o entregado intracompañía en persona. Explicación / Notas."Las cuentas privilegiadas tienen acceso a todos los recursos del sistema y ficheros almacenados en su sistema informático. Naturalmente, estas cuentas se merecen la mayor protección posible. 7-4 personal de apoyo exterior de acceso remoto Política: Ninguna persona de apoyo externo (como el personal proveedor de software o hardware) se puede dar ninguna información o el acceso remoto le permitirá acceder a cualquier sistema informático de la empresa o dispositivos relacionados sin verificación positiva de la identidad y la autorización para prestar dichos servicios. Si el proveedor requiere privilegioD Acceso a prestar servicios de apoyo, la contraseña de la cuenta utilizada por el vendedor deberá ser cambiada inmediatamente después de que los proveedores de servicios se han completado. Explicación / Notas: Los atacantes informáticos pueden hacerse pasar por los vendedores para acceder a la computadora corporativa o redes de telecomunicaciones. Por lo tanto, es esencial que la identidad del vendedor puede verificar además de su autorización para realizar cualquier trabajo en el sistema.

Por otra parte, las puertas en el sistema debe cerró de golpe una vez que su trabajo se hace cambiando la contraseña de la cuenta utilizada por el proveedor. No proveedor debe permitir recoger su contraseña para cualquier cuenta propia, aunque sea temporalmente. Algunos vendedores han sido conocidos por usar la misma contraseña o similar a través de los sistemas de varios clientes. Por ejemplo, una red de seguridad

empresa creada cuentas privilegiadas en todos los sistemas de sus clientes con la misma contraseña y, para colmo de males, con acceso desde el exterior Telnet habilitado. 7-5 Autenticación fuerte para el acceso remoto a los sistemas corporativos Política: Todos los puntos de conexión a la red corporativa desde ubicaciones remotas deben ser protegidos a través de la utilización de dispositivos de autenticación fuerte, como contraseñas dinámicas o biometría. Explicación / Notas:HombreY las empresas se basan en contraseñas estáticas como único medio de autenticación para usuarios remotos. Esta práctica es peligrosa porque es inseguro: los intrusos informáticos dirigirse a cualquier punto de acceso remoto que podría ser el eslabón débil en la red de la víctima. Recuerde que nunca se sabe cuando alguien más conoce su contraseña. En consecuencia, uny remote access puntosmust be protected ingenioh fuerte autenticación como los tokens basados en el tiempo, las tarjetas inteligentes o dispositivos biométricos, por lo que las contraseñas interceptadas son de ningún valor para un atacante. When autenticación basada en contraseñas dinámicas es poco práctico, los usuarios deben cumplir religiosamente con la política para la elección difíciles de adivinar. 7-6 Configuración del sistema operativo Política: Los administradores de sistemas velarán por que, siempre que sea posible, los sistemas operativos se configuran de manera que sean compatibles con toda la seguridad pertinente Politicass y procedimientos. Explicación / Notas: Elaboración y difusión de las políticas de seguridad es un paso fundamental hacia la reducción de riesgos, pero en la mayoría de los casos, el cumplimiento es necesariamente deja en manos del empleado. Hay, sin embargo, cualquier número de computadoras relacionados con las políticas que se pueden hacer obligatorio a través de la configuración del sistema operativo, como por ejemplo la longitud requerida de contraseñas. Automatización de las políticas de seguridad de la configuración de los parámetros del sistema operativo eficaz toma la decisión de las manos el elemento humano, aumentando la seguridad general de la organización. 7 -7 caducidad Obligatorio Política: Todas las cuentas de equipo debe estar configurado para

expirar después de un año. Explicación / Notas: La intención de esta política es eliminar la existencia de cuentas de equipo que ya no se utilizan, ya que los intrusos informáticos comúnmente orientar las cuentas inactivas. El proceso asegura que las cuentas de equipo a belonging to former empleados or contractors THAt have sido sin darse cuenta deja en su lugar se desactivan automáticamente.

Lat discreción gestión, puede requerir que los empleados deben tomar un curso de actualización de seguridad de entrenamiento en tiempo de renovación, o debe revisar las políticas de seguridad de la información y firmar un acuse de recibo de su acuerdo a que se adhieran a ellos. 7 -8 direcciones de correo electrónico genéricos Política: El departamento de tecnología de la información deberá configurar una dirección de correo electrónico genérico para cada departamento dentro de la organización que normalmente se comunica con el. público. Explicación / Notas: La dirección de correo electrónico genérico puede ser divulgada al público por los telefonistas o se publicarán en el sitio web de la empresa. De lo contrario, cada empleado sólo tiene que revelar su dirección personal de correo electrónico a las personas que tienen verdadera necesidad de conocer. During la primera fase de un ataque de ingeniería social, el atacante a menudo trata de obtener los números de teléfono, nombres y títulos de los empleados. En la mayoría de los casos, esta información se encuentra a disposición del público en el sitio web de la empresa o simplemente para pedir. Creación de buzones de voz genéricos y / o direcciones de correo electrónico hace que sea difícil asociar nombres de los empleados con determinados departamentos o responsabilidades. 7 -9 Información de contacto para las inscripciones de dominio Política: Cuando se registra para la adquisición de espacio de direcciones de Internet o hosnombres de t, la información de contacto para el personal administrativo, técnico o de otra índole no debe identificar cualquier personal individual por su nombre. En su lugar, hombrod enumerar una dirección de correo electrónico genérico y el número de teléfono principal de la empresa. Explicación / Notas: El propósito de esta política es evitar que la información de contacto de ser abusados por un intruso informático. Cuando los nombres y números de teléfono de las personas se proporcionan, un intruso puede utilizar esta información para contactar a las personas e intentar engañar al sistema de información que revela, o realizar un elemento de acción que facilita el objetivo de un atacante. O el ingeniero social puede hacerse pasar por una persona que cotiza en un esfuerzo por engañar a otros miembros del personal de la empresa. En lugar de una dirección de correo electrónico a un empleado en particular, información de contacto must estar en la forma de administracióntrator@company.com. Telecomunicaciones personal del departamento puede establecer un buzón de voz genérica para fines administrativos o

tcontactos ÉCNICA a fin de limitar la divulgación de información que podría ser útil en un ataque de ingeniería social. 7-10 Instalación de seguridad y actualizaciones del sistema operativo Política: Todos los parches de seguridad para el sistema operativo y software de aplicación se instalará tan pronto como estén disponibles. Si esta política entra en conflicto con la

operation de misión crítica sistemas de producción, dichas actualizaciones se debe realizar tan pronto como sea posible. Explicación / Notas: Una vez que la vulnerabilidad ha sido identificada, el fabricante de software debe ser contactado inmediatamente para determinar si un parche o una solución temporal ha sido puesto a disposición para cerrar la vulnerabilidad. Un sistema informático sin el parche representa una de las mayores amenazas de seguridad a la empresa. Cuando los administradores de sistemas procrastinan acerca de cómo aplicar las correcciones necesarias, la ventana de exposición es abierta para que cualquier atacante puede subir a través. Docenas de vulnerabilidades de seguridad se identifican y se publica semanalmente en Internet. Hasta el personal de tecnología de la información están vigilantes en sus esfuerzos para aplicar todos los parches de seguridad y correcciones lo antes posible, a pesar de que estos sistemas son detrás del firewall de la empresa, la red de la empresa siempre estará en riesgo de sufrir un incidente de seguridad. Es extremadamente importante mantenerse al tanto de las vulnerabilidades de seguridad publicados identificados en el sistema operativo o los programas de aplicación utilizados durante el curso de los negocios. 7-11 Información de contacto en los sitios Web Política: Su página de la Web externo no deberá revelar cualquier detalle de la estructura corporativa o identificar los empleados por su nombre. Explicación / Notas: Información de la estructura corporativa, tales como organigramas, diagramas de jerarquía, los empleados o las listas departamentales, la estructura de presentación de informes, los nombres, cargos, números de contacto, números internos de los empleados, o información similar que se utiliza para los procesos internos no deben ponerse a disposición en los sitios Web de acceso público . Calcularr intrusos a menudo obtener información muy útil en el sitio Web de un objetivo. El atacante utiliza esta información para que aparezca como un conocedor 206 empleado cuando se utiliza un pretexto o artimaña. El ingeniero social es más probable que establecer la credibilidad por tener esta información a su disposición. Por otra parte, el atacante puede analizar esta información para conocer los posibles objetivos que tienen acceso a información valiosa, sensible o crítica. 7-12 Creación de cuentas privilegiadas Política."No cuenta con privilegios deben ser creados o privilegios del sistema concedido a cualquier cuenta menos que sea autorizado por el administrador del sistema o el administrador del sistema.

Explicación / Notas."Intrusos informáticos con frecuencia se hacen pasar por vendedores de software o hardware en un intento de engañar a personal de tecnología de la información en la creación de cuentas no autorizadas. La intención de esta política es bloquear estos ataques

establishing mayor control sobre la creación de cuentas privilegiadas. El administrador del sistema o el administrador del sistema informático debe aprobar cualquier solicitud de creación de una cuenta con privilegios elevados. 7-13 Cuentas de invitado Política: Las cuentas de clientes en todos los sistemas informáticos o relacionados con los dispositivos de red deberán ser desactivados o eliminados, a excepción de un servidor FTP (protocolo de transferencia de archivos) aprobado por la administración con acceso anónimo habilitado. Explicación / Notas: La intención de la cuenta de invitado es facilitar el acceso temporal a las personas que no necesitan tener su propia cuenta. Varios sistemas operativos se instalan de forma predeterminada con una cuenta de invitado habilitada. Las cuentas de invitado siempre debe estar deshabilitada porque su existencia viola el principio de la rendición de cuentas de usuario. Debe ser capaz de auditar cualquier actividad relacionada con la informática y se refieren a un usuario específico. Los ingenieros sociales son fácilmente capaces de tomar ventaja de estas cuentas de invitados de obtener acceso no autorizado, ya sea directamente o por engañar a personal autorizado a utilizar una cuenta de invitado. 7-14 El cifrado de datos de copia de seguridad fuera del sitio Política: Todos los datos de la empresa que se almacenan fuera del sitio debe ser encriptada para evitar el acceso no autorizado. Explicación / Notas: El personal de operaciones debe asegurarse de que todos los datos son recuperables en el caso de que cualquier información necesita ser restaurado. Esto requiere descifrado prueba regular de un muestreo aleatorio de los archivos cifrados para asegurarse de que los datos pueden ser recuperados. Por otra parte, las claves utilizadas para cifrar los datos se plica con un gestor de confianza en el caso de que las claves de cifrado se pierde o no disponible. 7-15 Visitantes el acceso a las conexiones de red Política: Todos los puntos de acceso Ethernet de acceso público debe estar en una red segmentada para evitar el acceso no autorizado a la red interna. Explicación / Notas: La intención de esta política es evitar cualquier forastero que se conecte a la red interna cuando en las instalaciones de la empresa. Conectores Ethernet instaladas en salas de conferencias, la cafetería, centros de formación, u otras áreas accesibles a los visitantes deberán ser filtrada para evitar el acceso no autorizado por los visitantes a los sistemas informáticos corporativos.

The administrador de red o de seguridad puede optar por configurar un virtual Los ÁngelesN en un interruptor, si está disponible, para controlar el acceso a estos lugares.

7-16 Dial-in módems Política: Los módems utilizados para el acceso telefónico en llamadas se pondrá a responder no antes del cuarto anillo. Explicación / Notas: Como se muestra en la película Juegos de guerra, los hackers utilizan una técnica conocida como la guerra de marcación para localizar las líneas telefónicas que tienen módems conectados a ellos. El proceso comienza con el atacante identificar los prefijos telefónicos utilizados en la zona donde se encuentra la compañía de blanco. Un programa de escaneado se utiliza para tratar cada número de teléfono en los prefijos, para localizar los que la respuesta con un módem. Para acelerar el proceso, estos programas están configurados para esperar a que uno o dos anillos para una respuesta de módem antes de pasar a tratar el siguiente número. Cuando una empresa se establece la función de respuesta automática en líneas de módem a por lo menos cuatro anillos, los programas de exploración dejará de reconocer la línea como una línea de módem. 7-17 Software antivirus Política: Cada sistema del ordenador deberá tener versiones actuales de software antivirus instalado y activado. Explicación / Notas: Para aquellas empresas que no empujan hacia abajo automáticamente los archivos de software antivirus y el patrón (programas que reconocen patrones comunes de software antivirus para reconocer virus nuevos) a los escritorios de los usuarios or estaciones de trabajo, los usuarios individuales deben asumir la responsabilidad de instalar y mantener el software en sus propios sistemas, incluidos los sistemas informáticos utilizados para acceder a la red corporativa de forma remota. Yof factible, este software se debe establecer para la actualización automática de firmas de virus y troyanos nocturnas. Cuando las moscas patrón o la firma no se empujan hacia abajo a los escritorios de los usuarios, los usuarios tendrán la responsabilidad de actualizar los archivos de patrones por lo menos una vez por semana. Thesdisposiciones e aplican a todos los equipos de escritorio y portátiles utilizados para acceder a los sistemas informáticos de la empresa, y se aplican si el equipo es propiedad de la empresa o de otra persona. 7-18 archivos adjuntos de correo electrónico entrantes (requisitos de alta seguridad) Política: En una organización con requerimientos de alta seguridad, el firewall de la empresa se puede configurar para filtrar todos los archivos adjuntos de correo electrónico. Explicación / Notas: Esta política se aplica sólo a las empresas con requerimientos de alta seguridad, o para aquellos que no tienen nada que recibir archivos adjuntos

por correo electrónico.

7-19 Autenticación de software Política: Todas las nuevas revisiones de software o software o actualizaciones, ya sea en soporte físico o los obtenidos a través de Internet, debe ser verificada como auténtica antes de la instalación. Esta política es especialmente relevante para la tecnología de la información departament al instalar cualquier software que requiera privilegios de sistema. Explicación / Notas: Aplicaciones informáticas se refiere la presente póliza incluye componentes del sistema operativo, software de aplicaciones, parches, correcciones o cualquier actualización de software. Muchos fabricantes de software han implementado métodos por los cuales los clientes pueden comprobar la integridad de cualquier distribución, por lo general mediante una firma digital. En cualquier caso en que la integridad no puede ser verificada, el fabricante debe ser consultado para comprobar que el software es auténtico. Calcularr atacantes se han sabido para enviar el software a una víctima, envasados para aparecer como si el fabricante de software había producido y enviado a la compañía. Es esencial que se verifique cualquier software que usted recibe como auténtico, especialmente si no solicitado, antes de instalarlo en los sistemas de la empresa. Noe que un atacante sofisticado puede ser que descubra que su organización ha ordenado software de un fabricante. Con esa información en mano, el atacante puede cancelar el pedido con el fabricante real, y ordenar el software sí mismo. El software se modifica para realizar alguna función maliciosa, y es enviado o entregado a su empresa, en su embalaje original, con retractilado si es necesario. Una vez que el producto está instalado, el atacante tiene el control. 7-20 contraseñas predeterminadas Política: Todo el software del sistema operativo y los dispositivos de hardware que inicialmente havea contraseña establecida en un valor por defecto debe tener restablecer sus contraseñas de acuerdo con la directiva de contraseñas de la empresa. Explicación / Notas: Existen varios sistemas operativos y dispositivos relacionados con la informática se envían con contraseñas por defecto - es decir, con la misma contraseña habilitada en cada unidad vendida. Si no cambia las contraseñas por defecto es un grave error que sitúa a la compañía en riesgo. DEFAULT contraseñas son muy conocidos y están disponibles en el Internet sitios. En un ataque, la primera contraseña que un intruso intenta es la contraseña del fabricante s por defecto. 7-21 intentos de acceso no válido bloqueo (menor a seguridad media)

Política: Sobre todo en una organización con bajo con los requisitos de seguridad media, cada vez que un número determinado de sucesivos intentos de conexión no válido para una cuenta en particular se han hecho, la cuenta debe ser bloqueado por un período de tiempo. Explicación / Notas: Todas las estaciones de trabajo y servidores de la empresa se debe establecer

to limitar el número de los sucesivos intentos fallidos para iniciar sesión Esta política es necesaria para prevenir contraseña adivinar por ensayo y error, los ataques de diccionario o de fuerza bruta intenta obtener acceso no autorizado. Thadministrador de correo del sistema debe configurar los ajustes de seguridad para bloquear una cuenta cada vez que el umbral deseado de sucesivos intentos fallidos se ha alcanzado. Se recomienda que una cuenta se bloqueará durante al menos treinta minutos después de siete intentos de conexión sucesivos. 7-22 intentos de acceso no válidos cuenta deshabilitada (alta seguridad) Política: En una organización con requisitos de alta seguridad, cada vez que un número determinado de sucesivos intentos de conexión no válido para una cuenta en particular se ha hecho, la cuenta debe ser desactivada hasta que se restablezca por el grupo responsable de la prestación de apoyo cuenta. Explicación / Notas: Todas las estaciones de trabajo y servidores de la empresa debe estar configurado para limitar el número de los sucesivos intentos fallidos para iniciar sesión Esta política es un control necesario para prevenir contraseña adivinar por ensayo y error, los ataques de diccionario o de fuerza bruta los intentos de obtener acceso no autorizado. Thadministrador de correo del sistema debe configurar los ajustes de seguridad para deshabilitar la cuenta después de cinco intentos de acceso no válidos. A raíz de este ataque, el titular de la cuenta deberá llamar a soporte técnico o el grupo responsable de la cuenta de apoyo para activar la cuenta. Antes de reiniciar la cuenta, el departamento responsable must positivelyidentificaciónfy ªe account titular, following ªe Verificación y Procedimientos de Autorización. 7-23 El cambio periódico de información privilegiada Política: Todos los titulares de cuentas privilegiadas estarán obligados a cambiar sus contraseñas al menos cada treinta días. Explicación / Notas: Dependiendo de las limitaciones del sistema operativo, el administrador de sistemas debe hacer cumplir esta política por la configuración de los parámetros de seguridad en el software del sistema. 7-24 El cambio periódico de contraseñas de usuario Política: Todos los titulares de cuentas deben cambiar sus contraseñas al menos cada sesenta días. Explicación / Notas: Con los sistemas operativos que proporcionan esta función, el administrador de sistemas debe hacer cumplir esta política por la configuración

de los parámetros de seguridad en el software.

7-25 Nueva contraseña de la cuenta creada Política: Las nuevas cuentas de equipo se debe establecer una contraseña inicial que es pre-caducado, lo que requiere el titular de la cuenta para seleccionar una nueva contraseña a su uso inicial. Explicación / Notas: Este requisito asegura que sólo el titular de la cuenta tendrá conocimiento de su contraseña. 7-26 Boot-up contraseñas Política: Todos los sistemas informáticos deben estar configurados para requerir una contraseña de arranque. Explicación / Notas: Los ordenadores deben configurar para que cuando el ordenador está encendido, se necesita una contraseña antes de que el sistema operativo se inicia. Esto evita que personas no autorizadas encender y usar la computadora de otra persona. Esta política se aplica a todos los equipos en las instalaciones de la empresa. 27.7 Requisitos de contraseña para cuentas privilegiadas Política: M1 cuentas privilegiadas deben tener una contraseña segura: La contraseña debe: Not ser una palabra en un diccionario en cualquier idioma Be mixta superior e inferior caso con al menos una letra, un símbolo, y numeral uno Be por lo menos 12 caracteres de longitud Not estar relacionada con la empresa o individuo de ninguna manera. Explicación / Notas: En la mayoría de los casos los intrusos informáticos se centrará en las cuentas específicas que havprivilegios e sistema. OccasionallY, el atacante will explotaciónt otro vulnerabilidades para obtener el control total sobre el sistema. Thcorreos contraseñas primero un intruso intentará son las palabras simples y comunes que se encuentran en el diccionario. Selección de contraseñas mejora la seguridad reduciendo la probabilidad de que un atacante se encuentra la contraseña por ensayo y error, ataque de diccionario, o ataque de fuerza bruta. 7-28 puntos de acceso inalámbricos Política: Todos los usuarios que acceden a una red inalámbrica deben utilizar

VPN (Virtual Private Red) Para proteger la red corporativa. Explicación / Notas: Las redes inalámbricas están siendo atacados por una nueva técnica llamada de conducir la guerra. Esta técnica consiste simplemente conduciendo o caminando por ahí con un ordenador portátil equipado con una tarjeta NIC 802.11b hasta que una red inalámbrica se ha detectado.

HombreY las empresas han desplegado redes inalámbricas sin incluso permitiendo WEP (protocolo inalámbrico equivalencia), que se utiliza para asegurar la conexión inalámbrica a través del uso de la encriptación. Pero incluso cuando se activa, la versión actual de WEP (mediados de 2002) es ineficaz: Se ha agrietado par en par, y varios sitios web están dedicados a proporcionar los medios para la localización de los sistemas inalámbricos abiertos y grietas WEPhabilitado los puntos de acceso inalámbricos. En consecuencia, Es esencial añadir una capa de protección alrededor de la 802.11B PROTOCOLO DEl mediante el despliegue de la tecnología de VPN. 7Actualización de antivirus -29 archivos de patrones Política: Cada sistema debe ser programado para actualizar automáticamente antivirus / anti-troyanos archivos de patrones. Explicación / Notas: Como mínimo, dichas actualizaciones se producen al menos semanalmente. En las empresas donde los empleados dejan sus computadoras encendido, 302 se recomienda que los archivos de patrones se actualizará cada noche. Antivirus de software es ineficaz si no se actualiza para detectar cualquier nuevo tipo de código malicioso. Dado que la amenaza de virus, gusanos, troyanos e infecciones aumenta sustancialmente si los archivos de patrones no se actualizan, es esencial que los productos antivirus de código malicioso o mantenerse al día. Operaciones con el ordenador 8 -1 Los programas de introducción de comandos o ejecutar Política.: Funcionamiento del ordenador personal no debe introducir comandos o ejecutar programas a petición de cualquier persona que no conocían. Si surge una situación en que una persona no verificada parece tener razones para hacer tal solicitud, no debe ser cumplido sin obtener primero la aprobación del administrador. Explicación / Notas.: Operaciones de computación empleados son blancos populares de los ingenieros sociales, desde sus posiciones por lo general requieren acceso a la cuenta privilegiada, y el atacante espera que sean menos experiencia y menos conocimiento sobre procedimientos de la compañía de otros trabajadores de TI. La intención de esta política es agregar un control adecuado y el equilibrio para evitar que los ingenieros sociales de engañar a las operaciones de ordenador personal.

8-2 Los trabajadores con cuentas con privilegios Política: Los empleados con unas cuentas privilegiadas, no debe proporcionar asistencia o información a cualquier persona sin verificar. En particular, esto se refiere a no proporcionar ayuda de la computadora (como la formación en el uso de la aplicación), el acceso a cualquier base de datos de empresa, la descarga de software, ni revelar nombres de las personas que tienen capacidades de acceso remoto,

Explicación / Notas: Los ingenieros sociales a menudo apuntan a los empleados con unas cuentas privilegiadas. La intención de esta política es dirigir al personal de TI con cuentas con privilegios para manejar con éxito las llamadas que pueden representar ataques de ingeniería social. 8 -3 sistemas de información interna Política: El ordenador personal de operaciones nunca deben revelar cualquier información relacionada con los sistemas informáticos de la empresa o dispositivos relacionados positivamente sin verificar la identidad del solicitante. Explicación / Notas: Calcularr entrometersers often contactort calcularr operacións de los empleados para obtener información valiosa como los procedimientos de acceso al sistema, los puntos exteriores de acceso remoto y conexión telefónica a los números de teléfono que tengan un valor sustancial para el atacante. Yon las empresas que tienen personal de apoyo técnico o de una mesa de ayuda, las solicitudes to El personal de explotación para obtener información acerca de los sistemas informáticos o dispositivos relacionados debe considerarse inusual. Toda solicitud de información debe ser scrutinized marco de la política de clasificación de datos corporativos para determinar si el solicitante está autorizado a tener tal información. Cuando la clase de información no se puede determinar, la información debe ser considerada a ser interna. Yon algunos casos, el soporte del proveedor técnica externa tendrá que comunicarse con personas que tienen acceso a los sistemas informáticos de la empresa. Los vendedores deben tener contactos específicos en el departamento de TI a fin de que las personas pueden reconocerse mutuamente para fines de verificación. 8 -4 La revelación de contraseñas Política: El ordenador personal de operaciones nunca debe revelar su contraseña, o unY otras contraseñas que se les confían, sin la aprobación previa de un gerente de tecnología de la información. Explicación / Notas: En términos generales, sin revelar ninguna contraseña a otra está estrictamente prohibido. Esta política reconoce que el personal de operaciones puede ser necesario revelar una contraseña a un tercero cuando las situaciones extremas surgen. Esta excepción a la política general que prohíbe la divulgación de cualquier contraseña que requiere la aprobación específica de un gerente de tecnología de la información. Por precaución adicional, esta

responsabilidad de divulgar la información de autenticación debe limitarse a un pequeño grupo de individuos que han recibido una formación especial sobre los procedimientos de verificación. 8 -5 Los medios electrónicos Política: Todos los medios electrónicos que contienen información no designados para su publicación deberán ser asegurados en un lugar seguro.

Explicación / Notas: La intención de esta política es evitar el robo físico de Sensitive información almacenada en medios electrónicos. 8 -6 medios de copia de seguridad Política: El personal de operaciones debe almacenar los medios de copia de seguridad en un lugar seguro seguro empresa u otra. Explicación / Notas: Copia de seguridad de los medios de comunicación es otro objetivo prioritario de los intrusos informáticos. Un atacante no va a pasar el tiempo tratando de comprometer un sistema informático o red cuando el eslabón más débil de la cadena de medios de copia de seguridad puede ser físicamente desprotegidos. Una vez que los medios de copia de seguridad es robado, el atacante puede comprometer la confidencialidad de los datos almacenados en él, a menos que los datos están cifrados. Por lo tanto, asegurar físicamente los medios de copia de seguridad es un proceso esencial para proteger la confidencialidad de la información corporativa. POLÍTICAS PARA TODOS LOS EMPLEADOS Whether yon YoT or human resouRCE, ªe cuentaAdemásg departamento, or ªe personal de mantenimiento, hay algunas políticas de seguridad que todos los empleados de su empresa debe saber. Estas políticas se dividen en las categorías de General, uso de la computadora, uso de correo electrónico, las políticas para teletrabajadores, uso del teléfono, uso de fax, uso de correo de voz y contraseñas. General 9-1 Reporting llamadas sospechosas Política: Los empleados que sospechen que puedan ser objeto de una violación de seguridad, incluidas las solicitudes sospechosas, a divulgar información o realizar los puntos de acción en un equipo, debe informar inmediatamente el evento al grupo de la compañía de notificación de incidentes. Explicación / Notas.: Cuando un ingeniero social no convence a su objetivo de cumplir con la demanda, el atacante siempre tratará de otra persona. Al informar de una llamada sospechosa o evento, un empleado toma el primer paso de alertar a la empresa que un ataque puede estar en marcha. Por lo tanto, los empleados son la primera línea de defensa contra los ataques de ingeniería social. 9 -2 Documentación de llamadas sospechosas Política: En el caso de una llamada telefónica sospechosa que parece ser un ataque

de ingeniería social, el empleado deberá, en la medida de lo posible, sacar la persona que llama para conocer los detalles que puedan revelar lo que el atacante está tratando de lograr, y tome nota de estos información para los informes.

Explicación / Notas: Cuando se informó al grupo de notificación de incidentes, estos detalles pueden ayudar a identificar el objeto o patrón de un ataque. 9 -3 La divulgación de los números de marcado Política: El personal de la Empresa no deben revelar los números de teléfono del módem de la compañía, pero siempre deben referirse esas solicitudes a la mesa de ayuda o al personal de soporte técnico. Explicación / Notas: Dial-up números de teléfono debe ser tratada como información interna, que se proporcionan a los empleados que tienen la necesidad de conocer dicha información para llevar a cabo sus responsabilidades de trabajo. Social ingenieros habitualmente empleados o departamentos de destino que es probable que sean menos protectores de la información solicitada. Por ejemplo, el atacante puede llamar a la cuentas payable departament masquerading uns un telefonoe company empleado que está tratando de resolver un problema de facturación. El atacante le pregunta por cualquier conocido o fax números de marcado para resolver el problema. El intruso a menudo se dirige a un empleado que no es probable que darse cuenta de los peligros de la liberación de tal información, O que carece de formación con respecto a la política de empresa y procedimientos de divulgación. 9 -4 tarjetas de identificación corporativa Política: Excepto cuando están en su área de oficina inmediata, todo el personal de la empresa, incluyendo dirección y el personal ejecutivo, deben llevar sus tarjetas de identificación de empleados en alveces l. Explicación / Notas: Todos los trabajadores, incluidos los ejecutivos de las empresas, deben estar capacitados y motivados a entender que el uso de una tarjeta de identificación es obligatoria en todas partes dentro de la empresa distintas de las zonas públicas y oficinas de la propia persona o área de grupo de trabajo. 9-5 Desafiando violaciónes de identificación de placas Política: Todos los empleados inmediatamente debe desafiar cualquier persona desconocida que no está usando una tarjeta de empleado o credencial de visitante. Explicación / Notas: Si bien ninguna empresa quiere crear una cultura en la que con ojos de águila empleados buscan una manera de atrapar a los compañeros de trabajo para aventurarse en el pasillo without their insignias,nonetheless uny company concerned con

la protección de su información tiene que tomar en serio la amenaza de un ingeniero social vagar sus instalaciones sin respuesta. Motivación para los empleados que demuestren diligente en ayudar a hacer cumplir la política de divisas, siempre puede ser reconocido en forma familiar, como el reconocimiento de la revista de la empresa o en los tablones de anuncios; unas horas libres con goce de sueldo, o una carta de recomendación en sus expedientes de personal.

9 -6 Piggybacking (que pasa a través de entradas seguras) Política: Los empleados que entran en un edificio no debe permitir que cualquier persona que no conozco personalmente a seguir detrás de ellos cuando han utilizado un medio seguro, como una llave de la tarjeta, para poder entrar (que lleva a cuestas). Explicación / Notas."Los empleados deben entender que no es de mala educación requiere personas desconocidas que se autentiquen antes de facilitar su integración en una instalación o acceder a un área segura. Social ingenieros suelen utilizar una técnica conocida como la que lleva a cuestas, en la que se encuentran a la espera de otra persona que está entrando en una instalación o zona sensible, y lan simplemente entrar con ellos. La mayoría de las personas se sienten incómodas otros desafíos, asumiendo que ellos son probablemente los empleados legítimos. Otra técnica que lleva a cuestas es llevar varias cajas para que un trabajador desprevenido se abre o se sostiene la puerta para ayudar. 9-7 Trituración Los documentos sensibles Política: Los documentos sensibles para ser desechados deben ser cruzadas rallado; medios, incluyendo discos duros que he contenían información sensible o material must se destruirán de conformidad con los procedimientos establecidos por el grupo responsable de la seguridad de la información. Explicación / Notas: Trituradoras estándar no destruir adecuadamente los documentos; transversal trituradoras convertir documentos en pulpa. La mejor práctica de seguridad consiste en suponer que los principales competidores de la organización será rebuscar en los materiales desechados en busca de cualquier información que pueda ser beneficioso para ellos. Industrial espías e intrusos informáticos regularmente obtener información sensible de los materiales arrojados a la basura. En algunos casos, las empresas competidoras se han sabido para intentar el soborno de los equipos de limpieza a entregar la basura de la empresa. En un ejemplo reciente, un empleado de Goldman Sachs descubrió los elementos que fueron utilizados en un programa de información privilegiada de la basura. 9-8 Identificadores personales Política: Los identificadores personales tales como número de empleado, número de seguro social, número de licencia de conducir, fecha y lugar de nacimiento y el nombre de soltera de la madre nunca debe utilizarse como un medio para verificar

la identidad. Estos identificadores no están secret y se puede conseguir por numerosos medios. Explicación / Notas: La social inger Californian obten other peoplE pidentificadores ersonal por un precio. Y de hecho, contrariamente a la creencia popular, cualquier persona con una tarjeta de crédito y el acceso a Internet pueden obtener estos documentos de identificación personal. Sin embargo, a pesar del evidente peligro, los bancos, las compañías de servicios públicos y de tarjetas de crédito

companies suelen utilizar estos identificadores. Esta es una razón por la que el robo de identidad es el delito de más rápido crecimiento de la década. 9 -9 Los organigramas Política."Los detalles que aparecen en el organigrama de la empresa no debe ser revelada a cualquier persona que no sea empleado de la compañía. Explicación / Notas: Información de la estructura corporativa incluye organigramas, diagramas de jerarquía, listas departamentales de los empleados, la estructura de presentación de informes, los nombres de los empleados, las posiciones de los empleados, números de contacto, números internos de los empleados, o información similar. En la primera fase de un ataque de ingeniería social, el objetivo es recoger informatioN sobre la estructura interna de la empresa. Esta información se utiliza entonces para crear una estrategia un plan de ataque. El atacante también puede analizar esta información para determinar qué empleados pueden tener acceso a los datos que él busca. Durante el ataque, el atacante hace que la información aparece como un empleado bien informado, por lo que es más probable que va a engañar a su víctima en el cumplimiento. 10.9 La información privada sobre los empleados Política.: Las solicitudes de información de los empleados privados deben ser referidos a los recursos humanos. Explicación / Notas: Una excepción a esta política puede ser el número de teléfono de un empleado que debe contactarse con respecto a un asunto relacionado con el trabajo o que esté actuando en un rol de guardia. Sin embargo, siempre es preferible obtener el número de teléfono del solicitante, y que el empleado le llamará de vuelta. Computer Use 10 -1 Comandos de entrar en un ordenador Política: El personal de la empresa no debe introducir comandos en una computadora o equipo de informática a petición de otra persona a menos que el solicitante haya sido verificado como un empleado del departamento de tecnología de la información. Explicación / Notas: Una táctica común de los ingenieros sociales es solicitar que un empleado ingrese un comando que realiza un cambio en la configuración del sistema, permite la unttacker a unl acceso la víctima 's calcularr without providinautenticación g, o permite que el atacante recuperar la información que se puede utilizar para facilitar un ataque técnica.

10 -2 convenciones de nombres internos Política: Los empleados no deben revelar los nombres internos de los sistemas informáticos o bases de datos sin comprobación previa de que el solicitante es empleado por el empresa.

Explicación / Notas: Los ingenieros sociales a veces intentará obtener los nombres de los sistemas informáticos de la compañía, una vez que se conocen los nombres, el atacante realiza una llamada a la empresa y se hace pasar por un empleado legítimo teniendo problemas para acceder o utilizar uno de los sistemas. Al conocer el nombre interno asignado al sistema en particular, el ingeniero social gana credibilidad. 10 -3 Solicitudes para ejecutar programas Política: El personal de la empresa nunca debe ejecutar todas las aplicaciones o programas informáticos, a petición de otra persona a menos que el solicitante haya sido verificado como un empleado del departamento de tecnología de la información. Explicación / Notas: Cualquier solicitud para ejecutar programas, aplicaciones o realizar cualquier actividad en un equipo debe ser rechazada a menos que el solicitante es identificado positivamente como empleado en el departamento de tecnología de la información. Si la solicitud se refiere a revelar información confidencial de cualquier archivo o mensaje electrónico, en respuesta a la solicitud debe realizarse de acuerdo con los procedimientos para la divulgación de información confidencial. Ver Política de divulgación de información. Calcularr atacantes engañan a la gente para que ejecute programas que permiten al intruso tomar el control del sistema. Cuando un usuario incauto ejecuta un programa plantado por un atacante, el resultado puede dar el acceso de intrusos al sistema informático de la víctima. Otros programas de registrar las actividades del usuario de la computadora y devolver esa información al atacante. Mientras que un ingeniero social puede engañar a una persona para que ejecute instrucciones de computadora que pueden hacer daño, un ataque de base técnica trucos ªe computER operening syvástago yona ejecución cominstrucciones informáticas que pueden causar el mismo tipo de daño. 10 -4 La descarga o instalación de software Política: El personal de la empresa nunca debe descargar ni instalar software a petición de otra persona, a menos que el solicitante haya sido verificada por cuenta ajena ingenioh, el departamento de tecnología de la información. Explicación / Notas: Los empleados deben estar alerta para cualquier petición inusual que implica cualquier tipo de transacción con equipamientos informáticos. Una táctica común usada por los ingenieros sociales es engañar a las víctimas inocentes que descargue e instale un programa que ayuda a que el atacante o lograr su élr objetivo de comprometer la computadora o de la red. En algunos casos, el

programa de forma encubierta puede espiar al usuario o permitir al atacante tomar el control del sistema informático a través del uso de una aplicación de control remoto encubierta. 10 -5 contraseñas de texto sin formato y el correo electrónico Política: Passwords Shall not be sent through email unless cifrado. Explicación / Notas: Mientras se está desanimado, esta política puede ser renunciada

bY sitios de comercio electrónico en ciertas circunstancias limitadas, tales como: El envío de contraseñas a los clientes que hayan registrado en el sitio. Sending contraseñas de los clientes que han perdido u olvidado sus contraseñas. 10 -6 Seguridad relacionada con el software Política: El personal de la empresa nunca debe quitar o deshabilitar antivirus / Caballo de Troya, firewall u otro software relacionado con la seguridad sin la aprobación previa del departamento de tecnología de la información. Explicación / Notas: Los usuarios de computadoras a veces desactivar la seguridad relacionada con el software sin provocación, pensando que va a aumentar la velocidad de su ordenador. Un ingeniero social puede intentar engañar a un empleado en deshabilitar o quitar software que se necesita para proteger a la empresa contra las amenazas relacionadas con la seguridad. 10 -7 Instalación de módems Política.. No hay módems se pueden conectar a cualquier ordenador hasta la aprobación previa se ha obtenido del departamento de TI. Explicación / Notas.: Es importante reconocer que los módems en los escritorios o estaciones de trabajo en el lugar de trabajo representan una amenaza a la seguridad sustancial, especialmente si está conectado a la red corporativa. En consecuencia, esta política controla los procedimientos de conexión del módem. Hackers usar una técnica llamada guerra de marcado para identificar las líneas de módem activos dentro de un rango de números de teléfono. La misma técnica puede ser utilizada para localizar los números de teléfono conectados a los módems dentro de la empresa. Un atacante fácilmente puede comprometer la red corporativa si él o ella identifica un sistema informático conectado a un módem con software vulnerable acceso remoto, que está configurado con una contraseña difícil de adivinar o no una contraseña. 10 -8 de módem y configuración de respuesta automática Política: M1 escritorios o estaciones de trabajo de TI con los módems aprobados tendrán el módem de respuesta automática función desactivada para evitar que alguien la marcación en el sistema informático.

Explicación / Notas.- Siempre que sea posible, el departamento de tecnología de la información debe desplegar un conjunto de módems de marcación de salida para los empleados que necesitan para marcar a los sistemas informáticos externos a través de módem.

10 -9 herramientas de cracking Política: Los empleados no se descarga ni maneje herramientas de software diseñadas para derrotar a los mecanismos de protección de software. Explicación / Notas: La Internet tiene docenas de sitios dedicados al software diseñado para descifrar los productos de software shareware y comerciales. El uso de estas herramientas no sólo viola los derechos de autor de un software propietario, pero también es extremadamente peligroso. Dado que estos programas provienen de fuentes desconocidas, que pueden contener código malicioso oculto que pueda causar daño a la computadora del usuario o planta un caballo de Troya que le da el autor del programa de acceso a la computadora del usuario. 10.010 empresa Publicar información en línea Política: Los empleados no deben revelar ningún detalle sobre hardware o software empresa de cualquier grupo de noticias público, foro o tablón de anuncios, y no revelará información de contacto que no sea conforme a la política. Explicación / Notas: Cualquier mensaje enviado a la Usenet, foros en línea, Bulletitableros n o listas de correo pueden ser buscados para reunir información sobre una empresa o un individuo objetivo. Durante la fase de investigación de un ataque de ingeniería social, el atacante puede buscar en Internet cualquier mensaje que contienen información útil sobre la compañía, sus productos o sus personas. Sommensajes electrónicos contienen cositas muy útiles de información que el atacante puede utilizar para promover un ataque. Por ejemplo, un administrador de red puede enviar una pregunta sobre la configuración de los filtros de firewall en una determinada marca y modelo de servidor de seguridad. Un atacante que descubre este mensaje aprender información valiosa sobre el tipo y la configuración del servidor de seguridad companys THAt le permite evitar este régimen para obtener acceso a la red de la empresa. This problema puede reducirse o evitarse mediante la aplicación de una política que permite a los empleados para enviar a grupos de noticias de cuentas anónimas que no identifican a la empresa de la que proceden. Naturalmente, la política debe exigir a los empleados a no incluir ninguna información de contacto que pueda identificar a la empresa. 10.011 Los disquetes y otros medios electrónicos Política: Si los medios utilizados para almacenar información de la

computadora, como disquetes discos o CD-ROM se han dejado en un área de trabajo o en el escritorio de un empleado, y que los medios de comunicación es de una fuente desconocida, no debe ser insertado en cualquier sistema informático. Explicación / Notas: Uno de los métodos utilizados por los atacantes para instalar código malicioso es colocar los programas en un disquete o CD-ROM y etiquetarlo con algo muy

tentando (por ejemplo, "Datos de nómina de personal - Confidencial"). A continuación, soltar varios ejemplares en las zonas utilizadas por los empleados. Si una copia se inserta en un ordenador y abrió los archivos en ella, el código malicioso del atacante es ejecutado. Esto puede crear una puerta trasera, que se utiliza para comprometer el sistema, o puede causar otros daños en la red. 10.012 descartes medios extraíbles Política: Antes de deshacerse de cualquier medio electrónico que alguna vez contenían información confidencial de la empresa, incluso si esa información ha sido eliminado, la partida deberá ser completamente desmagnetiza o dañado sin posibilidad de recuperación. Explicación / Notas: Si bien desmenuzado documentos impresos es un lugar común en estos días, los trabajadores de la empresa pueden pasar por alto la amenaza de descartar los medios electrónicos que contenían datos sensibles ar cualquier escarcha. Atacantes informáticos intentará recuperar los datos almacenados en medios electrónicos desechados. Los trabajadores pueden suponer que con sólo eliminar archivos, se aseguran de que esos archivos no se pueden recuperar. Esta presunción es absolutamente incorrecta y puede causar que la información comercial confidencial caiga en las manos equivocadas. En consecuencia, todos los medios electrónicos que contienen información o contenido previamente no hayan sido designados como pública debe ser limpiado o destruidos mediante los procedimientos aprobados por el grupo responsable. 10.013 Protegido por contraseña protectores de pantalla Política: Todos los usuarios de computadoras debe definir una contraseña de protector de pantalla y la inactividad límite de tiempo para bloquear el equipo después de un cierto período de inactividad. Explicación / Notas: Todos los empleados son responsables de establecer una contraseña de protector de pantalla y ajustar el tiempo de espera de inactividad por no más de diez minutos. La intención de esta política es evitar que cualquier persona no autorizada usando la computadora de otra persona. Además, esta política protege los sistemas informáticos de la empresa de ser de fácil acceso para los extranjeros que han accedido al edificio. 10.014 La divulgación o el uso compartido de la declaración de contraseñas Política: Antes de la creación de una nueva cuenta de equipo, el empleado o contratista debe firmar una declaración reconociendo que él o ella entiende que las contraseñas no deben ser divulgados o compartidos con nadie, y que él o ella se compromete a cumplir con esta política. Explicación / Notas: El acuerdo también debe incluir un aviso de que la violación de dicho acuerdo puede dar lugar a una acción disciplinaria hasta e incluyendo el

despido. Email Uso 11 -1 archivos adjuntos de correo electrónico

Política: Los archivos adjuntos de correo electrónico no se debe abrir el archivo adjunto a menos que se esperaba en el curso de los negocios o ha sido enviado por una persona de confianza. Explicación / Notas: Todos los archivos adjuntos de correo electrónico deben ser analizados detenidamente. Usted podrá exigir un preaviso antes de ser dada por una persona de confianza que un archivo adjunto de correo electrónico está siendo enviado antes el destinatario abra ningún archivo adjunto. Esto reducirá el riesgo de que los atacantes utilizan tácticas de ingeniería social para engañar a la gente para que abran archivos adjuntos. Enmétodo electrónico de poner en peligro un sistema informático es engañar a un employee por un programa malicioso que se crea una vulnerabilidad, proporcionando al atacante obtener acceso al sistema. Al enviar un archivo adjunto de correo electrónico que tiene código ejecutable o macros, el atacante puede ser capaz de tomar el control del ordenador del usuario. Un ingeniero social puede enviar un archivo adjunto de correo electrónico malicioso, a continuación, llamar y tratar de persuadir al destinatario a abrir el archivo adjunto. 11 -2 Reenvío automático a direcciones externas Política: Reenvío automático de mensajes entrantes a una dirección de correo electrónico externa está prohibido. Explicación / Notas: La intención de esta política es evitar que un extraño recibir correo electrónico enviado a una dirección de correo electrónico interno. Empleados de vez en cuando configurar el reenvío de correo electrónico de su correo entrante a una dirección de correo electrónico fuera de la empresa cuando se va a estar fuera de la oficina. O un atacante puede ser capaz de engañar a un empleado en la creación de una dirección de correo electrónico interno que reenvía a una dirección fuera de la empresa. El atacante puede hacerse pasar por un insider legítimo por tener una dirección de correo electrónico interno de la empresa y hacer que la gente a enviar información confidencial a la dirección de correo electrónico interno. 11 -3 emails de envío Política: Toda solicitud formulada por una persona no verificada para transmitir un mensaje de correo electrónico a otra persona sin verificar requiere la verificación de la del solicitante identida d.

11 -4 Verificación de correo electrónico Política: Un mensaje de correo electrónico que parece ser de una persona de confianza que contiene una solicitud de información no designada como pública, o para realizar una acción con uny computadora se relacionand Equipment, requiriendoes unn anunciocional form de autenticación. Consulte los procedimientos de verificación y autorización.

Explicación / Notas: Un atacante puede falsificar un mensaje de correo electrónico y su cabecera, haciendo que parezca como si el mensaje se originó en otra dirección de correo electrónico. Un atacante también puede enviar un mensaje de correo electrónico de un sistema informático comprometido, proporcionando autorización para divulgar información falsa o realizar una acción. Incluso al examinar el encabezado de un mensaje de correo electrónico que usted no puede detectar los mensajes de correo electrónico enviados desde un sistema informático comprometido interna. Uso del teléfono 12 -1 Participar en encuestas telefónicas Política: Los empleados no podrán participar en las encuestas, respondiendo a las preguntas de ninguna organización externa o persona. Dichas solicitudes deberán remitirse a la publicaciónc departamento de relaciones o de otra persona designada. Explicación / Notas: Un método utilizado por los ingenieros sociales para obtener información valiosa que puede ser utilizado en contra de la empresa es llamar a un empleado y dicen estar haciendo una encuesta. Es sorprendente la cantidad de personas que están encantados de proporcionar información sobre la empresa y ellos mismos a los extranjeros cuando creen que están tomando parte en la investigación legítima. Entre las preguntas inocuas, el llamante introduzca una serie de preguntas que el atacante quiere saber. Con el tiempo, dicha información puede ser utilizada para comprometer la red corporativa. 12 -2 La divulgación de números de teléfono internos Política: Si una persona no verificada pide a un empleado por su número de teléfono del empleado puede tomar una determinación razonable de si la divulgación es necesariamentey para llevar a cabo negocios de la compañía. Explicación / Notas: La intención de esta política es exigir a los empleados a tomar una decisión sobre si considera la divulgación de su teléfono extension es necesario. Cuando se trate de personas que no han demostrado una verdadera necesidad de conocer la extensión, lo más seguro es requerir que llamen a la principal company número de teléfono y transferir. 12 -3 Las contraseñas en mensajes de correo de voz Política:. Dejar mensajes que contienen información de la contraseña en el buzón de voz de cualquier persona está prohibido.

Explanación / Notas: Un ingeniero social a menudo puede obtener acceso al buzón de voz de un empleado, ya que no está debidamente protegido con un código de acceso fácil de adivinar. En un tipo de ataque, un intruso informático sofisticado es capaz de crear su propio buzón de voz falsa y persuadir a otro empleado para dejar un mensaje de información de la retransmisión contraseña. Esta política derrotas tal artimaña. Fax Utilizar 13 -1 faxes reinstalación

de

Política:No fax pueden ser recibidos y enviados a un tercero sin la verificación de la identidad del solicitante. Explicación / Notas: Los ladrones de información pueden engañar a los empleados de confianza en la información confidencial de fax a un fax ubicado en las instalaciones de la empresa. Antes de que el atacante da el número de fax a la víctima, el impostor teléfono de un empleado desprevenido, como una secretaria o asistente administrativa, y pregunta si un documento puede ser enviado por fax a ellos para su posterior recogida. Posteriormente, después de que el empleado desprevenido recibe el fax, los teléfonos atacante del empleado y pide que se envíe el fax a otro lugar, tal vez alegando que se necesita para una reunión urgente. Puesto que la persona pide que el relé de fax generalmente no tiene ningún conocimiento del valor de la información, él o ella cumple con la petición. 13 -2 Verificación de las autorizaciones de fax Política: Antes de llevar a cabo alguna instrucción recibida por fax, el remitente debe ser verificada como empleado u otra persona de confianza. Hacer una llamada telefónica to el remitente para verificar que la petición es generalmente suficiente. Explicación / Notas: Los empleados deben actuar con cautela cuando las peticiones inusuales son enviados por fax, tales como una solicitud para introducir comandos en una computadora o divulga la información. Los datos en la cabecera de un documento de fax puede ser falseado por cambiar los parámetros de la máquina de fax emisora. Por lo tanto el cabezal en un fax no debe ser aceptada como un medio para establecer la identidad o autorización. 13 -3 Envío de información sensible por fax Política: Antes de enviar información sensible por fax a una máquina que se encuentra en una zona accesible a otros miembros del personal, el emisor enviará una portada. El receptor, al recibir la página, transmite una página de respuesta, lo que demuestra THAt él / ella está presente físicamente en la máquina de fax. El remitente transmite entonces el fax. Explicación / Notas: Este proceso asegura apretón de manos al remitente que el destinatario esté físicamente presente en el extremo receptor. Además, este proceso verifica que el número de teléfono de fax receptor no ha sido remitida a otro lugar. 13 -4 Envío de faxes contraseñas prohibidas Política: Las contraseñas no deben ser enviados por fax en cualquier

circunstancia. Explicación / Notas: Envío de la información de autenticación por fax no es seguro. La mayoría de las máquinas de fax son accesibles a un número de empleados. Además, dependen de la red telefónica pública conmutada, que pueden ser manipulados por llamada

forwarding el número de teléfono de la máquina de fax de forma que el fax sea enviado al atacante en otro número. Uso de correo de voz 14 -1 contraseñas de correo de voz Política: Contraseñas de correo de voz no debe ser revelada a nadie por ningún motivo. Además, las contraseñas de correo de voz se debe cambiar cada noventa días o antes. Explicación / Notas: información confidencial de la empresa se puede dejar mensajes de correo de voz. Para proteger esta información, los empleados deben cambiar sus contraseñas de correo de voz con frecuencia, y no revelarlos. Además, los usuarios del correo de voz hombrod no utilizar las contraseñas de voz igual o similar correo en un plazo de doce meses. 14 -2 contraseñas en varios sistemas Política.. Los usuarios de correo de voz no debe utilizar la misma contraseña en cualquier otro sistema de teléfono o una computadora, ya sea interno o externo a la empresa. Explicación / Notes. "Utilización de una contraseña similar o idéntico para varios dispositivos, éxitoh como correo de voz y un ordenador, hace que sea más fácil para los ingenieros sociales de adivinar todas las contraseñas de un usuario después de la identificación única. 14 -3 Configuración de contraseñas de correo de voz Política: Los usuarios de correo de voz y los administradores deben crear contraseñas de correo de voz que son difíciles de adivinar. No deben estar relacionados de alguna manera con la persona usinG, o la empresa, y no debe contener un patrón predecible que pueda ser adivinado. Explicación / Notas: Las contraseñas no deben contener dígitos secuenciales o repetitivos (por ejemplo, 1111, 1234, 1010), no debe ser el mismo que o basado en el número de extensión del teléfono, y no debe estar relacionada con la dirección, código postal, fecha de nacimiento, la, placa phonnúmero e, peso, coeficiente intelectual, o cualquier otra información personal predecible. 14 -4 mensajes de correo marcados como "viejo" Política: Cuando los mensajes de voz previamente desconocidas de correo no se marcan como mensajes nuevos, el administrador de correo de voz debe ser notificado de una violación de seguridad posible y la contraseña del correo de voz de inmediato debe ser cambiado. Explicación / Notas: Ingenieros sociales pueden tener acceso a un buzón de voz en una variedad de maneras. Un empleado que tenga conocimiento de que los

mensajes que nunca han escuchado no se anuncian como nuevos mensajes deben asumir que otra persona ha obtenido acceso no autorizado al buzón de voz y escuchar los mensajes mismos.

14 -5 externos saludo de correo de voz Política: Los trabajadores de la compañía limitará su divulgación de información sobre su saludo saliente externa en su buzón de voz. Por lo general la información relativa a la rutina diaria de un trabajador o itinerario de viaje no deben ser revelados. Explicación / Notas: Un saludo externo (interpretado para llamadas externas) no debe incluir el apellido, la extensión, o la razón de la ausencia (como los viajes, el calendario de vacaciones o itinerario diario). Un atacante puede utilizar esta información para desarrollar una historia plausible en su intento de engañar a otro personal. 14 -6 patrones de voz electrónico Contraseña Política: Los usuarios de correo de voz no seleccionará una contraseña donde una parte de la contraseña permanece fija, mientras que otra parte los cambios en un patrón predecible. Explicación / Notas: Por ejemplo, no use una contraseña como 743501, 743502, 743503, Y así sucesivamente, donde los dos últimos dígitos corresponden al mes actual. 14 -7 La información confidencial o privada Política: La información confidencial o privada no podrá ser divulgada en un mensaje de correo de voz. Explicación / Notas: El sistema telefónico corporativo suele ser más vulnerables que los sistemas informáticos corporativos. Las contraseñas son por lo general una cadena de dígitos, lo que limita considerablemente el número de posibilidades para un atacante adivinar. Además, en algunas organizaciones, las contraseñas de correo de voz puede ser compartida con los secretarios u otro personal administrativo que tienen la responsabilidad de tomar mensajes para sus directivos. A la luz de lo anterior, no hay información sensible nunca se debe dejar en el buzón de voz de cualquier persona. Contraseñ as 15 -1 Teléfono seguridad Política: Las contraseñas no será revelada a través del teléfono en cualquier momento. Explicación / Notas: Los atacantes pueden encontrar maneras de escuchar en las conversaciones telefónicas, ya sea en persona oa través de un dispositivo

tecnológico. 15 -2 contraseñas informáticas Revelando Política: Bajo ninguna circunstancia, cualquier usuario de la computadora revelar su contraseña a nadie para ningún propósito sin el consentimiento previo y por escrito del director de tecnología de la información responsable. Explicación / Notas: El objetivo de muchos ataques de ingeniería social consiste en engañar unsuspecting personas into revoluciónealing their account names y

passwords. Esta política es un paso crucial en la reducción del riesgo de exitosos ataques de ingeniería social en contra de la empresa. En consecuencia, esta política debe ser seguido religiosamente toda la compañía. 15 -3 contraseñas de Internet Política: El personal no debe usar una contraseña que sea igual o similar al que se utiliza en cualquier sistema corporativo en un sitio de Internet. Explicación / Notas: Los operadores de sitios Web malintencionados puede crear un sitio que pretende ofrecer algo de valor o de la posibilidad de ganar un premio. Para inscribirse, un visitante del sitio debe introducir una dirección de correo electrónico, nombre de usuario y contraseña. Dado que muchas personas utilizan la misma o similar información de inicio de sesión varias veces, el operador del sitio Web malicioso intentará usar la contraseña elegida y variaciones de la misma para atacar el trabajo o el objetivo del sistema de casa-ordenador. El ordenador del visitante trabajo a veces puede ser identificado por la dirección de correo electrónico introducida durante el proceso de registro. 15 -4 Contraseñas en varios sistemas Política: El personal de la compañía nunca deben utilizar la misma contraseña o una similar en más de un sistema. Esto se refiere a la política de los distintos tipos de dispositivos (ordenador o correo de voz); ubicaciones diferentes dispositivos (casa o trabajo), y varios tipos de sistemas, aparatos (router o firewall), o programas de base de datos (o aplicación). Explicación / Notas: Los atacantes se basan en la naturaleza humana para irrumpir en los sistemas informáticos y redes. Ellos saben que, para evitar la molestia de hacer el seguimiento de varias contraseñas, muchas personas utilizan el mismo o contraseña similar en todos los sistemas que acceden. Como tal, el intruso intentará aprender la contraseña de un sistema en el que el objetivo tiene una cuenta. Una vez obtenidos, es muy probable que esta contraseña o una variación del mismo permitirá el acceso a otros sistemas y dispositivos utilizados por el empleado. 15 -5 contraseñas Reutilización Política: No usuario de la computadora deberá utilizar la misma o una contraseña similar dentro del mismo período de dieciocho meses. Explicación / Nota: Si un atacante hace descubrir la contraseña de un usuario, cambio frecuente de la contraseña minimiza el daño que se puede hacer. Hacer la contraseña nueva y única de las contraseñas anteriores hace que sea más difícil para el atacante de adivinar.

15 -6 patrones Contraseña Política."Los empleados no deben seleccionar una contraseña de la que una parte se mantiene fijo, y otros cambios de elementos en un patrón predecible.

Explicación / Notas: Por ejemplo, no use una contraseña como Kevin01, Kevin02, Kevin03, y así sucesivamente, donde los dos últimos dígitos corresponden al mes en curso. 15 -7 Selección de contraseñas Política: Los usuarios de computadoras deben crear o elegir una contraseña que se adhiere a los siguientes requisitos. La contraseña debe: Be por lo menos ocho caracteres de longitud para las cuentas de usuario estándar y por lo menos doce caracteres de longitud para las cuentas privilegiadas. Contumazán al menos un número, al menos un símbolo (por ejemplo, $, -, I, y), al menos una letra minúscula, y al menos una letra mayúscula (en la medida en que tales variables son soportados por el sistema operativo) . Not ser cualquiera de los siguientes elementos: palabras de un cualquier idioma, cualquier palabra que se relaciona con la empleado, hobbies, vehículo, trabajo, matrícula, número de dirección, teléfono, nombre de su mascota, un cumpleaños, contengan esas palabras. diccionario en familia de un seguro social, o frases que

Not ser una variación de una contraseña utilizada anteriormente, con uno de los elementos restantes de la misma y otro elemento cambiante, tal como kevin, kevin 1, kevin2; o kevinjan, kevinfeb. Explicación / Notas: Los parámetros mencionados anteriormente producirá una contraseña que sea difícil para el ingeniero social que adivinar. Otra opción es el método de consonante-vocal, que proporciona una forma fácil de recordar y contraseña pronunciable. Para construir este tipo de consonantes sustitutos de contraseñas para cada letra C y vocales de la letra V, utilizando la máscara de la "CVCVCVCV". Ejemplos de ello serían MIXOCASO; CUSOJENA. 15 -8 contraseñas anotando Política: Los empleados deben escribir contraseñas sólo cuando lo guarde en un lugar seguro lejos de la computadora o la contraseña de otro dispositivo protegido. Explicación / Notas: Empleados are discouraged from vísperar writingdown contraseñas. Bajo ciertas condiciones, sin embargo, puede ser necesario; for ejemplo, para un empleado que tiene varias cuentas en diferentes sistemas informáticos. Las contraseñas escritas deben ser asegurados en un lugar seguro away desde el ordenador. En ningún caso, la contraseña se almacenará under ªe teclado o adjunto a la pantalla del ordenador.

15 -9 las contraseñas en texto plano archivos de computadora

Política: Contraseñas de texto no se pueden guardar en cualquier archivo de computadora o almacenadas como texto llamado pulsando una tecla de función. Cuando sea necesario, las contraseñas se pueden guardar utilizando una herramienta de cifrado aprobado por el departamento de TI para evitar cualquier acceso no autorizado. Explicación / Notas: Las contraseñas pueden ser fácilmente recuperados por un atacante si se almacena en forma no cifrada en los archivos de datos informáticos, archivos por lotes, teclas de función de terminal, los archivos de inicio de sesión, macros o secuencias de comandos, programas o archivos de datos que contienen las contraseñas para los sitios FTP. POLÍTICAS para teletrabajadores Los teletrabajadores están fuera del firewall de la empresa, y por lo tanto más vulnerable tataque o. Estas políticas le ayudará a prevenir los ingenieros sociales del uso de sus empleados teletrabajador como una puerta de acceso a sus datos. 16 -1 Los clientes ligeros Política: Todo el personal de la empresa que hayan sido autorizados para conectarse a través de acceso remoto deberá utilizar un cliente ligero para conectarse a la red corporativa. Explicación / Notas: Cuando un atacante analiza una estrategia de ataque, él o ella tratará de identificar a los usuarios que acceden a la red corporativa desde ubicaciones externas. Como tal, los teletrabajadores son los principales objetivos. Sus computadoras son menos propensos a tener estrictos controles de seguridad, y puede ser un eslabón débil que puede poner en peligro la red corporativa. Unordenador y que se conecta a una red de confianza puede ser una trampa explosiva con capturadores de teclado, o su conexión autenticado puede ser secuestrado. Una estrategia de cliente ligero puede ser usado para evitar problemas. Un cliente ligero es similar a una estación de trabajo sin disco o un terminal tonto, el equipo remoto no tiene capacidad de almacenamiento, sino que el sistema operativo, las aplicaciones y los datos residan en la red corporativa. Acceso a la red a través de un cliente ligero reduce sustancialmente el riesgo que representan los sistemas sin parches, sistemas operativos obsoletos, und malicious código. En consecuencia, mESTIÓN ªe security de teletrabajadores es eficaz y hace más fácil por la centralización de los controles de seguridad. En lugar de confiar en el teletrabajador inexperto para gestionar adecuadamente las cuestiones relacionadas con la seguridad, estas responsabilidades están mejor capacitados izquierda con sistema, red o administradores de seguridad. 16 -2 de software de seguridad para los sistemas informáticos de teletrabajador

Política: Cualquier sistema informático externo que se utiliza para conectarse a la red corporativa debe tener un software antivirus, software anti-Troyano, y un firewall personal (hardware o software). Archivos de antivirus y anti-Trojanpatrón debe ser actualizado al menos una vez por semana.

Explicación / Notas: Por lo general, los teletrabajadores no es experto en temas relacionados con la seguridad, y puede darse cuenta "o negligentemente dejar su sistema informático y de la red corporativa abierta al ataque teletrabajadores por lo tanto, representan un grave riesgo de seguridad si no están debidamente capacitados Además de instalar antivirus.. y anti-Trojan Horse software para proteger contra código malicioso, un firewall es necesario bloquear a cualquier usuario hostiles de obtener el acceso a los servicios habilitados en el sistema de teletrabajador. Thriesgo e de no desplegar las tecnologías de seguridad mínimas para evitar la propagación de código malicioso no puede ser subestimado, como un ataque a Microsoft demuestra. Un sistema informático que pertenece a un teletrabajador Microsoft, que se utiliza para conectarse a la red corporativa de Microsoft, se infectó con un programa caballo de Troya. El intruso o intrusos fueron capaces de utilizar conexión de confianza del teletrabajador a la red de desarrollo de Microsoft para robar el código fuente de desarrollo. PolicieS DE RECURSOS HUMANOS Zumbidoun departamento de recursos tienen una carga especial para proteger a los empleados contra los que tratan de descubrir información personal a través de su lugar de trabajo. Profesionales de recursos humanos también tienen la responsabilidad de proteger a su empresa de las acciones de los ex empleados descontentos. 17 -1 Salida empleados Política: Whenevera persona empleada por la empresa deja o es despedido, Recursos Humanos inmediatamente debe hacer lo siguiente: DESMONTAJEe inclusión de la persona del empleado en línea / directorio telefónico y desactivar o enviar su correo de voz; NotifY el personal en entradas de edificios o grupos de presión de la empresa, y Anunciod nombre del empleado de la lista de salida de los empleados, que será enviado por correo electrónico a todo el personal de no menos de una vez a la semana. Explicación / Notas: Los empleados que están apostados en las entradas del edificio debe ser notificada para evitar que un ex empleado de volver a entrar en el local. Además, la notificación a otro personal puede impedir que el ex empleado con éxito desde hace pasar por un empleado activo y engañando al personal a tomar alguna acción perjudicial para la empresa. En algunas circunstancias, puede ser necesario solicitar a cada usuario dentro del departamento del empleado anterior para cambiar sus contraseñas. (Cuando yo era

terminard de GTE únicamente debido a mi reputación como un hacker, la compañía requería que todos los empleados de toda la empresa a cambiar su contraseña.) 17 -2 IT departamento notificación Política: Cada vez que una persona empleada por la empresa deja o es despedido, Human Recursos hombrod immediately notify ªe information tecnología departamento para desactivar las cuentas de la ex empleada de computación, incluyendo las cuentas utilizadas para el acceso a bases de datos, acceso telefónico, o el acceso a Internet desde lugares remotos. Explicación / Notas:Ess esencial para deshabilitar el acceso a cualquier trabajador antiguo de todos los sistemas informáticos, dispositivos de red, bases de datos, o cualquier otro equipo relacionados con dispositivos inmediatamente después de la terminación. De lo contrario, la empresa puede dejar abierta la puerta de par para un empleado descontento para acceder a los sistemas informáticos de la empresa y causar daños significativos. 17 -3 La información confidencial utilizada en el proceso de contratación Política: Los anuncios publicitarios y otras formas de solicitud pública de candidatos para cubrir vacantes de empleo deberían, en la medida de lo posible, evitar la identificación de hardware y software utilizado por la empresa. Explicación / Notas: Gerentes y personal de recursos humanos sólo debe revelar información relacionada con el hardware y software de la empresa que es razonablemente necesaria para obtener hojas de vida de los candidatos calificados. Calcularr intrusos leer periódicos y comunicados de prensa de la compañía, y visitar Internet sitios, to aletad job anuncios. A menudoen, companiesdisclose ao mucho información sobre los tipos de hardware y software que se utiliza para atraer a los posibles empleados. Una vez que el intruso tenga conocimiento de los sistemas de información del objetivo, que se arma para la siguiente fase del ataque. Por ejemplo, al saber que una determinada empresa utiliza el sistema operativo VMS, el atacante puede realizar llamadas de pretexto para determinar la versión de lanzamiento, a continuación, enviar un parche de emergencia de seguridad falso se hacen aparecer como si viniera desde el desarrollador de software. Una vez instalado el parche, el atacante está adentro 17 -4 Empleado de información personal PolíticaEl departamento de recursos humanos nunca deben divulgar información

personal de ningún empleado actual o anterior, contratista, consultor, trabajadores temporales o en prácticas, salvo previa y expresa autorización por escrito del empleado o gerente de recursos humanos.

Explicación / Notas: Head-hunters, investigadores privados, y la identidad de los ladrones de información del objetivo empleado privado, tales como el número de empleados, números de seguro social, fechas de nacimiento, historial de sueldo, datos financieros, incluyendo información de depósito directo, y relacionada con la salud información sobre beneficios. El ingeniero social puede obtener esta información con el fin de hacerse pasar por el individuo. Además, la divulgación de los nombres de los nuevos empleados puede ser muy valiosa para los ladrones de información. Nuevos empleados puedan cumplir con cualquier solicitud por parte de personas con antigüedad o en una posición de autoridad, o cualquier persona que dice ser de la seguridad corporativa. 17 -5 Verificación de antecedentes Política: Una verificación de antecedentes se requiere para todos los nuevos empleados, contratistas, consultores, trabajadores temporales o en prácticas previas a una oferta de empleo o el establecimiento de una relación contractual. Explicación / Notas: Porque de cost estafasiderations,la REQUIrement para bcontroles NTECEDENTES puede limitarse a posiciones concretas de confianza. Tenga en cuenta, sin embargo, que cualquier persona que tenga acceso físico a las oficinas corporativas pueden ser una amenaza potencial. Por ejemplo, los equipos de limpieza tienen acceso a las oficinas de personal, que les da acceso a todos los sistemas informáticos situados allí. Un atacante con acceso físico a un equipo se puede instalar un capturador de teclado hardware en menos de un minuto para capturar contraseñas. Calcularr intrusos a veces hacer el esfuerzo de conseguir un trabajo como un medio para acceder a los sistemas informáticos de la empresa objetivo y redes. Un atacante puede obtener el nombre del contratista de limpieza de una empresa mediante una llamada al empleado responsable de la empresa objetivo, que dice ser de una empresa de limpieza en busca de su negocio, a continuación, obtener el nombre de la empresa que presta actualmente servicios. PolicieS PARA LA SEGURIDAD FÍSICA Aunque los ingenieros sociales intentan evitar aparecer en persona en un lugar de trabajo que quiere apuntar, hay momentos en los que se violen su espacio. Estas políticas le ayudará a mantener sus instalaciones físicas a salvo de la amenaza. 18 -1 Identificación de los empleados no Política: La gente de entrega y otros empleados no que tienen que entrar en los locales de la empresa sobre una base regular, tienen que tener una tarjeta de identificación especial u otra forma de identificación de acuerdo con la política establecida por la seguridad corporativa.

Explicación / Notas: Los empleados que necesitan para no entrar en el edificio con regularidad (por ejemplo, para hacer entregas de alimentos o bebidas en la cafetería, o reparar

copying máquinas o teléfonos instalar) debe emitir un tipo especial de empresa insignia de identificación para este fin. Otros que necesitan para entrar ocasionalmente o en forma de una sola vez deben ser tratados como visitantes y deben ser escoltados en todo momento. 18 -2 visitantes identificación Política: Todos los visitantes deben presentar una licencia de conducir válida o una identificación con foto para ser admitido en el recinto. Explicación / Notas: El personal de seguridad o recepcionista debe hacer una fotocopia del documento de identificación antes de emitir un pase de visitante. La copia debe mantenerse con el registro del visitante. Alternativamente, la información de identificación puede ser registrada en el registro del visitante por la recepcionista o guardia, los visitantes no se debe permitir que escriba su información de identificación propio. Social ingenieros que tratan de ganar la entrada a un edificio siempre escribirá false información en el registro. A pesar de que no es difícil obtener una identificación falsa y aprender el nombre de un empleado que él o ella puede afirmar que esté visitando, lo que requiere que ªempleado e responsables deben registrar la entrada agrega un nivel de seguridad al proceso. 18 -3 acompañar a los visitantes Política: Los visitantes deben ser escoltados o en compañía de un empleado en todo momento. Explicación / Notas.: Un truco popular de ingenieros sociales es organizar to visitar a un empleado de la empresa (por ejemplo, visitar a un ingeniero de producto, con el pretexto de ser el empleado de un socio estratégico). Después de haber acompañado a la reunión inicial, el ingeniero social asegura a su anfitrión que pueda encontrar su propio camino para volver al vestíbulo. Por este medio se obtiene la libertad para vagar por el edificio y, posiblemente, tener acceso a información sensible. 18 -4 placas temporales Política: Los empleados de la compañía de-otra ubicación que no tienen sus credenciales de empleados con ellos deben presentar una licencia de conducir válida o una identificación con foto y se les expedirá un pase de visitante temporal. Explicación / Notas: Los atacantes a menudo se hacen pasar por empleados de una oficina o de sucursal de una empresa para ganar la entrada a una empresa.

18 -5 de evacuación de emergencia Política: En cualquier situación de emergencia o simulacro, personal de seguridad debe asegurar que todo el mundo ha evacuado a los locales.

Explicación / Notas: El personal de seguridad debe comprobar que no existen rezagados que puedan haber quedado en los baños o áreas de oficina. Conforme a lo autorizado por el departamento de bomberos u otra autoridad a cargo de la escena, la fuerza de seguridad tiene que estar alerta para cualquier persona salir del edificio poco después de la evacuación. Industrial espías o intrusos informáticos avanzados puede causar una distracción para ganar acceso a un edificio o un lugar seguro. Una desviación es utilizado para liberar un producto químico inocuo conocido como butil mercaptano en el aire. El efecto es crear la impresión de que hay una fuga de gas natural. Una vez que el personal de iniciar los procedimientos de evacuación, el atacante utiliza esta audaz desviación de robar cualquier información o para acceder a los sistemas informáticos de la empresa. Otra táctica utilizada por los ladrones de información implica que queda detrás, a veces en un baño o en un armario, en el momento de un simulacro de evacuación programada, o después de salir de una bengala de humo u otro dispositivo para causar una evacuación de emergencia. 18 -6 Visitantes en sala de correo Política: No se debe permitir visitantes en la sala de correo sin la supervisión de un trabajador de la empresa. Explicación / Notas: La intención de esta política es evitar que un usuario ajeno a intercambiar, enviar o robo electrónico intracompañía. 18 -7 números de matrícula de vehículos Política: Si la empresa cuenta con un aparcamiento vigilado, personal de seguridad deberá registrar vehículos matrículas de todos los vehículos de entrar en el área. 18 -8 contenedores de basura Política: Contenedores de basura deben permanecer en las instalaciones de la empresa en todo momento y debe ser inaccesible para el público. Explicación / Notas: Los atacantes informáticos y espías industriales pueden obtener información valiosa de los contenedores de basura de la empresa. Los tribunales han sostenido que la basura se considera propiedad legalmente abandonada, por lo que el acto de Dumpster diving es perfectamente legal, siempre y cuando los contenedores de basura están en propiedad pública. Por esta razón, es importante que los recipientes de basura se sitúa en propiedad de la empresa, donde la compañía tiene el derecho legal para proteger los contenedores y su contenido. PolicieS para recepcionistas

Recepcionistas son a menudo en la primera línea a la hora de tratar con problemas sociales ingenieros, sin embargo, rara vez reciben formación suficiente seguridad para reconocer y evitar que el invasor. Instituir estas políticas para ayudar a su recepcionista proteger mejor su company y sus datos.

19 -Un directorio interno Política: Divulgación de información en el directorio interno de la compañía se debe limitar a las personas empleadas por la empresa. Explicación / Notas: Todos los títulos de los empleados, los nombres, números de teléfono y direcciones contenidas within ªe company directory hombrod be considerarádIntinformación ernal, y sólo debe ser revelada de acuerdo con la política relacionada con la clasificación de los datos y la información interna. Además, Cualquier persona que llama debe tener el nombre o la extensión de la persona que están tratando de ponerse en contacto. Aunque la recepcionista puede poner una llamada a través de un individuo cuando una persona que llama no conoce la extensión, contando ªe callerªe Número de extensión debe ser prohibida. (Para esas personas curiosas que siguen por ejemplo, puede experimentar este procedimiento por calling uny U.S. gubernament agencia y pedir al operador que facilite una extensión.) 19 -2 números telefónicos de los departamentos / grupos específicos Política: Los empleados no deberán proporcionar los números telefónicos directos para el servicio de asistencia empresa, telecomunicaciones departamento de operaciones de la computadora, or sistema de personal de administrador sin verificar que el solicitante tiene una necesidad legítima de comunicarse con estos grupos. La recepcionista, al transferir una llamada a estos grupos, debe anunciar el nombre de la persona que llama. Explicación / Notas: Aunque algunas organizaciones pueden encontrar esta política demasiado restrictivo, Esta norma hace que sea más difícil para un ingeniero social para hacerse pasar por un empleado engañando a los demás empleados en la transferencia de la llamada desde su extensión (que en algunos sistemas de teléfono hace la llamada a parecen originarse desde dentro de la empresa), o demostrar conocimiento de Estas extensiones de la víctima con el fin de crear un sentido de autenticidad. 19 -3 transmisión de información Política: Operadores telefónicos y los recepcionistas no deben tomar mensajes y la información del relé en nombre de cualquiera de las partes, personalmente, no sabe que es un empleado activo. Explicación / Notas: Los ingenieros sociales son expertos en engañar a los empleados en forma inadvertida que dé fe de su identidad. Un truco de ingeniería social para obtener el número de teléfono de la recepcionista y, con un pretexto,

pida a la recepcionista para tomar todos los mensajes que pueden venir por él. Luego, durante una llamada a la víctima, el atacante se hace pasar por un empleado, le pide información sensible o para realizar una tarea, y da el número cuadro principal como un número de devolución de llamada. El atacante luego vuelve a llamar a la recepcionista y se da ningún mensaje dejado para él por la víctima inocente.

19 -4 Artículos faltan para pickup Política: Antes de lanzar cualquier objeto a un mensajero o persona sin verificar otra parte, la guardia recepcionista o de seguridad debe obtener una identificación con foto y escriba la identificacióninformation into ªe pickup he aquíg uns exigird by aprobado proprocedi mientos. Explicación / Notas."Una de las tácticas de ingeniería social para engañar a un empleado en la liberación de materiales sensibles a otro empleado autorizado por supuestamente dejar a esos materiales a la recepcionista o el vestíbulo para su recogida. Naturalmente, la recepcionista o guardia de seguridad asume que el paquete está autorizado para su liberación. Lo social ingeniero bien demostrar a sí mismo oR tiene un servicio de mensajería recoger el paquete. PolicieS PARA EL GRUPO DE NOTIFICACIÓN DE INCIDENTES Cada empresa debe establecer un grupo centralizado que debe ser notificado cuando cualquier forma de ataque a la seguridad de la empresa se identifica. A continuación se presentan algunas pautas para la creación y estructuración de las actividades de este grupo. 20 -Un grupo de reporte de incidentes Política: Un individuo o grupo debe ser designado y los empleados deben ser instruidos para reportar incidentes de seguridad para ellos. Todos los empleados deben estar provistos con la información de contacto para el grupo. Explicación / Notas: Los empleados deben entender cómo identificar una amenaza a la seguridad, y estar capacitados para denunciar cualquier amenaza a un grupo específico de notificación de incidentes. También es importante que una organización establezca procedimientos específicos y la autoridad para dicho grupo de actuar cuando una amenaza se informa. 20 -2 Ataques en curso Política: Cada vez que el grupo de notificación de incidentes ha recibido informes de un ataque de ingeniería social en curso se iniciará inmediatamente los procedimientos para alertar a todos los empleados asignados a los grupos objetivo. Explicación / Notas: El grupo de notificación de incidentes o gerente responsable también debe hacer una determinación sobre si se debe enviar una alerta en toda la compañía. Una vez que la persona responsable o grupo tiene una creencia de

buena fe que un ataque puede ser en progreso, La mitigación del daño debe ser una prioridad, mediante notificación personal de la empresa para estar en guardia.

Seridad de un vistazo
Thlistas de correos y la versión de referencia de cartas después de proporcionar rápidos métodos de ingeniería social discutidos en los capítulos 2 a 14, y los procedimientos de verificación que se detallan en el capítulo 16. Modificar esta información para su organización, y ponerla a disposición de los empleados para referirse a una pregunta de seguridad cuando la información se presenta. IDENTIFICAG UN ATAQUE DE SEGURIDAD Thesmesas electrónicas y listas de comprobación le ayudará en la detección de un ataque de ingeniería social. El Ciclo de Ingeniería Social ACTION / DESCRIPCIÓN Investigación Mamáincluir información y de código abierto como la SEC y los informes anuales, marketing folletos, solicitudes de patentes, recortes de prensa, revistas del sector, el contenido del sitio Web. También basurero de buceo. Desarrollo de relación y confianza Nosotrose de información privilegiada, tergiversando identidad, citando los conocidos víctima, Necesidad de ayuda o autoridad. La explotación de confianza Asking de información o de una acción por parte de la víctima. En picadura inversa, manipular víctima para pedir atacante para obtener ayuda. Utilizar la información Yof la información obtenida es sólo un paso a la meta final, vuelve al atacante antes pasos en el ciclo hasta que meta sea alcanzada. Common métodos de ingeniería social Posing como un compañero

de trabajo Posing como empleado de un proveedor, socio, o aplicación de la ley Posing como autoridad alguien con

Posing como un nuevo empleado para solicitar ayuda

Posing como un proveedor o fabricante de sistemas de llamada a ofrecer un sistema de parche o actualizar Offering ayuda si se produce un problema, entonces lo que se produce el problema, por lo que la manipulación de la víctima para pedir ayuda Sending software libre o parche para instalar víctima Sending un virus o un caballo de Troya como un archivo adjunto de correo electrónico Usínga falso pop-up ventana pidiendo que ingrese de nuevo o firmar con contraseña Capturing pulsaciones víctima con el sistema informático consumible o el programa deja un disquete o CD en todo el lugar de trabajo con software malicioso en él Usando la jerga y la terminología de información privilegiada para ganar la confianza Offeringa premio para registrarse en un sitio Web con nombre de usuario y contraseña soltar un documento o archivo en habitación empresa de mensajería para la entrega intraoffice Modificación de fax de dirigirse a aparecer venir de una recepcionista ubicación interna Inicial para recibir un fax después hacia adelante Asking para que un archivo sea transferido a un lugar aparentemente interno Conseguir un buzón de correo de voz configurado para rellamadas percibir atacante interno Haciéndose pasar por la oficina a distancia y pidiendo acceso al correo electrónico a nivel local Warning Los signos de un ataque La negativa a dar llamar al número de espalda Fuera-of-ordinario

Reclamo petición de la autoridad Subraya la urgencia

Amenazars negativas consecuencias del incumplimiento Mostrars malestar cuando se le preguntó Name soltar piropos o halagos Flirting Los objetivos comunes de ataques OBJETIVO TIPO / Ejemplos Unaware de valor de la información Recepcionistas, Telefonistas, auxiliares administrativos, guardias de seguridad. Speciaprivilegios de l Help escritorio o soporte técnico, administradores de sistemas, operadores de computadoras, los administradores de sistemas telefónicos. Mamánufacturer / proveedor Calcularr hardware, los fabricantes de software, sistemas de correo de voz vendedores. Departamentos específicos Contabilidad, Recursos humanos. Los factores que hacen que las empresas sean más vulnerables a los ataques Un gran número de empleados Multiplinstalaciones e Information sobre el paradero de los empleados a la izquierda en los mensajes de correo de voz Phoninformación e extensión disponible Lacak de capacitación en seguridad Falta de un sistema de clasificación de datos Nincidente o informe / plan de respuesta en el lugar

VERIFICACIÓNEn una clasificación D DATOS Thestablas y diagramas electrónicos le ayudará a responder a las solicitudes de información o acción que pueda ser ataques de ingeniería social. Verificación de Identidad Procedimiento ACTIEN identificador de llamadas / DESCRIPCIÓN Verify llamada es interna, y nombre o número de extensión coincide con la identidad de la persona que llama. Devolución de llamada Lavabok hasta solicitante en el directorio de la empresa y volver a llamar la extensión indicada. Dando fe Comoka de confianza empleado para dar fe de la identidad del solicitante. Secreto compartido común Solicitud para toda la empresa secreto compartido, como una contraseña o código diaria. Supervisor o gerente Contact supervisor inmediato del empleado y la solicitud de verificación de la identidad y employment estado. Asegure el email Request un mensaje firmado digitalmente. Personal reconocimiento de voz Para un interlocutor conocido por los empleados, validar con la voz de quien llama. Contraseñas dinámicas Verify en contra de una solución de contraseña dinámica como la identificación segura o fuerte otra dispositivo de autenticación. En persona Requiriendosolicitante e para presentarse en persona con una credencial de empleado o de otro tipo identificación. Verificación del estado de Procedimiento Laboral

ACTIEN / DESCRIPCIÓN Directorio de Empleados comprobar Verify que solicitante aparece en guías.

Solicitante de verificación del gerente Californiasolicitante l gerente utilizando el número de teléfono que aparece en el directorio de la empresa. Solicitante del departamento o grupo de trabajo de verificación Californial departamento solicitante o el grupo de trabajo y determinar que solicitante sigue siendo empleado de la empresa. Procedimiento para Determinar necesita saber ACTION / DESCRIPCIÓN Cónsult marea trabajo / grupo de trabajo / responsabilidades lista Check publicado listas de las cuales los empleados tienen derecho a la información clasificada específica. Obten autoridad de administrador Contact su gerente, o el administrador de la solicitante, la autoridad para cumplir ingenioh la solicitud. Obtener autorización del propietario de la información o la persona designada ComoPropietario k de información si un solicitante tiene necesidad de saber. Obten autoridad con una herramienta automatizada Check base de datos de software propietario para el personal autorizado. Cririos para comprobar la no-Empleados CriteriON / ACCIÓN relación Compruebe que la empresa solicitante cuenta con un proveedor, socio estratégico, o de otro tipo adecuado relación. Yodentity Verify identidad solicitante y la situación laboral en la empresa de proveedor / socio. Nondisclosure Verifique que el solicitante tiene un acuerdo de confidencialidad firmado en el expediente. Acceso Refer la solicitud a la administración cuando la información está clasificada por encima Interna. Los datos de clasificación

CLASSIFICATIEN

/

DescriptiEN

/

PROCEDURE

Públic a Californian libremente disposición del público No Necesidad de verificar. Interno For utilizar dentro de la empresa

a

Verify identidad del solicitante como empleado activo o verificar el acuerdo de confidencialidad en el archivo y aprobación de la gerencia para los empleados de lucro. Datos de Clasificación (Continuación) CLASSIFICATION / DESCRIPCIÓN / PROCEDIMIENTO Privado La información de carácter personal para uso exclusivo dentro de la organización Verify identidad del solicitante como empleado activo o sólo dentro empleado no con la organización, la autorización. Consulte con el departamento de recursos humanos para revelar información privada a los empleados autorizados o Demandantes externos. Confidencial Participaciónd sólo con las personas que tienen una necesidad absoluta de saber dentro de la organización Verifidentidad y del solicitante y necesitan saber de Información del propietario designado. Suelte sólo con el consentimiento previo por escrito del gerente o propietario de la información or designado. Check for nondiscierre agreement en archivo. Sólo mESTIÓN personal puede revelar a personas no empleadas por la empresa.

SOURCE S
CHAPTER 1 FlorecerBecker, Buck. 1990. Delitos informáticos espectaculares: ¿Qué son y cómo cuestan American Business quinientos millones de dólares a Dar. Irwin Professional Publishing. Littman, Jonathan. 1997. El juego fugitivo: en línea con Kevin Mitnick. Poco Frenten & Co. Penenberg, Adam L. 19 de abril 1999. "La demonización de un Hacker". Forbes. CHAPTER 2 ThStanley e historia Rifldn se basa en las siguientes cuentas: Calcularr Seguridad Insitute. Sin fecha. "Las pérdidas financieras debido a las intrusiones de Internet, el robo de secretos comerciales y otros delitos cibernéticos se disparan." Comunicado de prensa. Epstein, Edward Jay. Sin publicar. "El diamante de la invención". Holwick, Rev. David. Cuenta no publicada. Sr.. Rifkin mismo era amable en el reconocimiento de que las cuentas de su hazaña difieren porque ha protegido su anonimato al negarse a ser entrevistado. CHAPTER 16 Cialdini, Robert B. 2000. Influencia: Ciencia y Práctica, 4 ª edición. Allyn y Bacon. Cialdini, Robert B. febrero de 2001. "La ciencia de la persuasión". Científico Estadounidense. 284:2. CHAPTER 17 Sompolíticas e en este capítulo se basan en ideas contenidas en: Madera, Charles Cresson. 1999. "Políticas de Seguridad de la Información Made Easy". Línea de Base Software.

Lacknowledgments
DESDE Kevin Mitnick Truamistad e se ha definido como una mente en dos cuerpos; no hay mucha gente en nadie 's la vida puede ser llamado un verdadero amigo. Jack Biello era una persona amorosa y cariñosa que habló en contra de los malos tratos extraordinario que he sufrido en el manos de periodistas poco éticos y fiscales demasiado entusiastas gobierno. Era una voz clave en el movimiento Free Kevin y un escritor que tenía un talento extraordinario for writing compelling artículos exposing ªe information THAt ªgobierno electrónico no quiere que usted sepa. Jack siempre estaba allí para hablar sin miedo en mi nombre y para trabajar junto conmigo preparar discursos y artículos, y, en un momento, me representaba como un enlace con los medios. This libro está dedicado con tanto amor a mi querido amigo Jack Biello, cuya reciente muerte por cáncer de la misma manera que terminó el manuscrito me ha dejado sentir una gran sensación de pérdida y tristeza. This libro no habría sido posible sin el amor y apoyo de mi familia. Mi madre, Shelly Jaffe, y mi abuela, Reba Vartanian, me han dado amor y apoyo incondicional durante toda mi vida. Me siento muy afortunado de haber sido criado por una madre cariñosa y dedicada, que yo también considero mi mejor amigo. Mi abuela ha sido como una segunda mañana para mí, que me ofreció la misma educación y el amor que sólo una madre puede dar. Como personas bondadosas y compasivas, que me han enseñado los principios de preocuparse por los demás y echar una mano a los menos afortunados. Y o, imitando el patrón de dar y cuidar, yo en cierto sentido seguir los caminos de la vida. Espero que se me perdone de su puesta en el segundo lugar durante el proceso de escribir este libro, dejando pasar oportunidades de verlos con la excusa del trabajo y los plazos a cumplir. Este libro no habría sido posible sin su continuo amor y apoyo que siempre va a tener cerca de mi corazón. How Me gustaría que mi padre, Alan Mitnick, y mi hermano, Adam Mitnick, hubiera vivido lo suficiente para romper una botella de champán conmigo en el día de este libro aparece por primera vez en una librería. Como propietario de un vendedor y de negocios, mi padre me enseñó muchas de las cosas buenas que nunca voy a olvidar. Durante los últimos meses de la vida de mi papá tuve la suerte de poder estar a su lado para consolarla lo mejor que pude, pero fue una experiencia muy dolorosa de la que todavía no se han recuperado. Mi tía Chickie Leventhal siempre tendrá un lugar especial en mi corazón, aunque estaba decepcionado con algunos de los errores estúpidos que he hecho, sin embargo, ella siempre estaba allí para mí, que ofrece su amor y apoyo. Durante mi devoción intensa a la escritura de este libro, he sacrificado muchas

oportunidades para unirse

ella, Mi primo, Mitch Leventhal, y su novio, el Dr. Robert Berkowitz, para nuestra celebración semanal de Shabat. También tengo que dar mi más sincero agradecimiento al novio de mi madre, Steven Knittle, que estaba allí para completar para mi y proporcionar a mi madre con amor y apoyo. Mhermano y padre claramente merece muchos elogios, se podría decir que heredé de mi arte de la ingeniería social del tío Mitchell, que sabía cómo manipular el mundo y su gente de una manera que nunca había esperanza de entender, mucho menos maestro. Por suerte para él, nunca tuvo mi pasión por la tecnología informática durante los años que usaba su encantadora personalidad para influir en alguien que deseaba. Él siempre tendrá el título de ingeniero de Gran Maestro social. Und mientras escribo estos reconocimientos, me doy cuenta de que tengo tanta gente para agradecer y expresar su agradecimiento al por ofrecer su amor, amistad y apoyo. No puedo empezar a recordar los nombres de toda la gente amable y generosa que he conocido en los últimos años, pero basta con decir que iba a necesitar un equipo para almacenar todos. Ha habido tanta gente de todo el mundo que me han escrito con palabras de aliento, elogios y apoyo. Estas palabras han significado mucho para mí, especialmente durante los momentos que más lo necesitaban. I 'especialmente agradecido a todos mis seguidores que estaban junto a mí y pasó su tiempo y energía valiosos hacer correr la voz a quien quisiera escucharlo, expresando su preocupación y oposición sobre mi trato injusto y la hipérbole creado por aquellos que buscaban sacar provecho de la m " El mito de Kevin Mitnick. " He tenido la extraordinaria fortuna de ser asociado con el autor de mayor venta Bill Simon, y trabajamos diligentemente juntos a pesar de nuestros diferentes work patrones. Bill está muy organizado, se levanta temprano y trabaja en un estilo deliberado y bien planificada. Estoy agradecido de que Bill tuvo la amabilidad de satisfacer mi lcomió la noche horario de trabajo. Mi dedicación a este proyecto und largas horas de trabajo me mantuvo despierto hasta bien entrada la madrugada que entraba en conflicto con el horario normal de trabajo de Bill. Not sólo fui afortunado de estar asociado con alguien que podría transformar mis ideas en frases dignas de un lector sofisticado, pero también Bill es (casi) un hombre muy paciente que aguantar a mi estilo programador de centrarse en los detalles. IndEED que lo hicieron posible. Aún así, quiero pedir disculpas

to Bill en estos reconocimientos que siempre se arrepentirá ser la causa de mi orientación a la precisión y el detalle, que le hizo llegar tarde a un plazo para la primera y única vez en su carrera como escritor de largo. Él tiene el orgullo de un escritor que por fin he llegado a comprender y compartir, y esperamos hacer otros libros juntos.

Thdeleite e de estar en la casa de Simón en Rancho Santa Fe para trabajar y ser mimado por la esposa de Bill, Arynne, podría ser considerado como un punto culminante de este proyecto de escritura. Arynne conversación y la cocina se enfrentarán en mi memoria por el primer lugar. Ella es una dama de calidad y sabiduría, lleno de diversión, que ha creado un hogar de calidez y belleza. Y nunca voy a beber un refresco de dieta otra vez sin escuchar la voz de Arynne en el fondo de mi mente me amonestar sobre los peligros del Aspartame, Stacey Kirkland significa mucho para mí. Ella ha dedicado muchas horas de su tiempo ayudando a mi lado en el Macintosh para diseñar los cuadros y gráficos que ayudaron a dar autoridad visual a mis ideas. Admiro sus maravillosas cualidades, ella es verdaderamente una persona amorosa y compasiva que se merece sólo las cosas buenas de la vida. Ella me dio aliento como un buen amigo y es alguien que me preocupan profundamente. Me gustaría darle las gracias por todo su apoyo amoroso, y por estar ahí para mí cuando yo la necesitaba. Cerveza inglesax Kasper, Nexspace, no sólo es mi mejor amigo, pero también un socio de negocios y colega. Juntos fuimos anfitriones de un popular talk show de radio de Internet conocido como "El lado oscuro de Internet" en la KFI AM 640 en Los Ángeles, bajo la guía experta del Programa Director David G. Hall. Alex gentilmente proporcionó su invaluable asistencia y asesoramiento a este proyecto de libro. Su influencia ha sido siempre positiva y útil con una amabilidad y generosidad que a menudo se extiende mucho más allá de la medianoche. Alex y yo recientemente completó una película / vídeo para ayudar a las empresas capacitar a su gente en la prevención de ataques de ingeniería social. Paul Dryman, decisión informada, es un amigo de la familia y fuera de ella. Este investigador muy respetado y de confianza privado me ayudó a comprender las tendencias y procesos of realización de background investigaciones. Conocimiento y la experiencia de Pablo me ayudó a abordar las cuestiones de seguridad personal descritos en la parte 4 de este libro. Ene de mis mejores amigos, Layman Candi, siempre ha me ofreció apoyo y amor. Ella es realmente una persona maravillosa que se merece lo mejor de la vida. Durante los trágicos días de mi vida, Candi ofrecido siempre apoyo y amistad. Tengo la suerte de haber conocido a un ser humano maravilloso, cariñoso y compasivo, y queremos darle las gracias por estar ahí para mí. Seguramente mi primer cheque de regalías irán a mi compañía de teléfono celular durante todo el tiempo que pasé hablando con Erin Finn. Sin lugar a dudas, Erin es como mi alma gemela. Nosotros are Alike yon so mcualquier maneras ess asustadizo. We both have un LOVe por la tecnología, los mismos gustos en la comida, la música y las películas. AT & T Wireless está definitivamente perdiendo dinero por darme todos los "huyen noches y fines de semana", llama a su casa en Chicago. Al menos yo no estoy usando el plan de Kevin Mitnick más. Su entusiasmo y su fe en este libro impulsado el ánimo. Qué suerte tengo de tenerla como un amigo.

I 'm ganas de agradecer a las personas que representan a mi carrera profesional y se dedican de manera extraordinaria. Mis charlas son gestionados por Amy Gray (una persona honesta y cariñosa que admiro y adoro) David Fugate, de Waterside Productions, es un agente literario que fue a batear por mí en muchas ocasiones antes y después de que el contrato se firmó libro, y Los Angeles abogado Gregory Vinson, que estaba en mi equipo de la defensa durante mi año de duración batalla con el gobierno. Estoy seguro de que puede relacionarse con la comprensión y la paciencia de Bill por mi atención a los detalles, sino que ha tenido la misma experiencia trabajando conmigo en informes jurídicos que ha escrito en mi nombre. He tenido demasiadas experiencias con abogados, pero estoy ansioso por tener un lugar para expresar mi agradecimiento por los abogados que, durante los años de mis interacciones negativas con el sistema de justicia penal, se acercó y se ofreció a ayudarme cuando estaba en la desesperada necesita. De las amables palabras que profundo compromiso con mi caso, me encontré con muchas personas que no encajan en absoluto al estereotipo del abogado egocéntrico. Yo he llegado a respetar, admirar y apreciar la bondad y generosidad de espíritu que me ha dado tan libremente por tantos. Cada uno de ellos merece ser reconocido con un párrafo de las palabras favorables, voy a por lo menos mencionarlos a todos por su nombre, por cada uno de ellos vive en mi corazón rodeado de apreciación: Greg Aclin, Carmen Bob, John Dusenbury, Ellison Sherman, Omar Figueroa , Carolyn Hagin, Hale Rob, Alvin Michaelson, Peretz Ralph, Vicki Podberesky, Donald C. Randolph, Dave Roberts, Rubin Alan, Steven Sadowski, Serra Tony, Richard Sherman, Pizarras Skip, Karen Smith, Steingard Richard, el Honorable Robert Talcott, Barry Tarlow, Yzurdiaga Juan, y Vinson Gregory. Agradezco mucho la oportunidad que John Wiley & Sons me ha dado al autor de este libro, y por su confianza en un autor por primera vez. Quiero agradecer a las siguientes personas Wiley que hicieron posible este sueño: Ellen Gerstein, Ipsen Bob, Carol Long (mi editor y diseñador de moda), y Nancy Stevenson. Other miembros de la familia, amigos personales, colegas de trabajo que me han dado consejos y apoyo, y han llegado en muchos aspectos, son importantes para reconocer y reconocer. Ellos son: JJ Abrams, Agger David, Arkow Bob, Stephen Barnes, el Dr. Robert Berkowitz, Coddington Dale, Eric Corley, Cormeny Delin, Ed Cummings, Davis Art, Delio Michelle, Downing Sam, John Draper, Dryman Paul, Duva Nick, Roy Eskapa, Alex Fielding, Lisa Flores, Frank Brock, Steve Gibson, Greenblatt Jerry, Greg Grunberg, mango Bill, David G. Halt, Harrison Dave Herman Leslie, Jim Hill, Dan Howard, Hunt Steve, Johar Rez, Steve Knittle, Gary Kremen, Krugel Barry, Krugel Earl, Adrian Lamo, Laporte Leo, Mitch Leventhal, Cynthia Levin, Little CJ, Jonathan Littman, Maifrett Mark, Brian Martin, McDonald Forrest, McElwee Kerry, McSwain Alan Moore Elliott, Michael Morris, Eddie Muñoz , Patrick Norton, Shawn Nunley, Brenda Parker, Chris Pelton, Poulsen Kevin, Prensa Scott, Linda y Pryor Arte,

Jennifer Reade, Israel y Rosencrantz Rachel, Ross Mark, Royer William, Irv Rubin, Russell Ryan, Saavedra Neil, Schwartu Wynn, Pete Shipley, Sift Joh, Sokol Dan, Spector Trudy, Spergel Matt, Eliza Amadea Sultan, Douglas Thomas, Roy " Ihcker, Turbow Bryan, Ron Wetzel, Don David Wilson, Darci Wood, Kevin Wortman, Steve Wozniak, y todos mis amigos de la W6NUT (147.435 MHz) repetidor en Los Angeles. Und mi oficial de libertad condicional, Larry Hawley, merece un agradecimiento especial por darme permiso para actuar como asesor y consultor en temas relacionados con la seguridad de la autoría de este libro. Und finalmente debo reconocer que los hombres y mujeres de la policía. Yo simplemente no tengo ningún rencor hacia estas personas que están haciendo su trabajo. Creo firmemente que poner el interés del público por delante de uno mismo y dedicar su vida al servicio público es algo que merece respeto, y aunque he sido arrogante, a veces, quiero que todos ustedes sepan que yo amo a este país, y lo hacer todo en mi poder para ayudar a que sea el lugar más seguro del mundo, que es precisamente una de las razones por las que he escrito este libro. BILL DE SIMON Tengo esta idea de que hay una persona adecuada que hay para todo el mundo, es sólo que sompersonas e no tienen la suerte de nunca encontrar su Sr. o Sra.. Otros suerte. Tuve suerte lo suficientemente temprano en la vida para pasar un buen número de años ya (y contar en pasar muchos más) con uno de los tesoros de Dios, mi esposa, Arynne .. Si Yo nunca olvidaré la suerte que tengo, sólo tengo que prestar atención a la cantidad de personas que buscan y aprecian su compañía. Arynne - Le doy las gracias por caminar por la vida conmigo. During la escritura de este libro, he contado con la ayuda de un grupo fiel de amigos que siempre la seguridad de que Kevin y yo estábamos logrando nuestro objetivo de combinar la realidad y la fascinación en este libro inusual. Cada una de estas personas representa un valor verdadero y leal y sabe que él o ella puede ser llamado como me meto en mi proyecto de escritura siguiente. En orden alfabético: JeanClaude Beneventi, Linda Brown, Walt Brown, Ella. El general Don Johnson, Dorothy Ryan, Stark Guri, Steep Chris, Michael Steep, y John Votaw. Special reconocimiento a John Lucich, presidente de la Red de Seguridad Grupo, Que estaba dispuesto a tomar el tiempo para un amigo de la solicitud de un amigo, y para GordoAtuendo n, que amablemente enviaron numerosas llamadas telefónicas sobre operaciones de TI. Sometimes en la vida, un amigo gana un lugar exaltado por presentarle a otra persona que se convierte en un buen amigo. En literarias Productions agencia Waterside, en Cardiff, California, Agente David Fugate fue el responsable de

concebir la idea de este libro, y por ponerme junto con el co-autor que se convirtió en amigo de Kevin. Gracias, David. Y a la cabeza de Waterside, el Bill Gladstone incomparable,

who se las arregla para mantenerme ocupado con el proyecto de libro, uno tras otro: Estoy feliz de tener you yon my esquina. Yon nuestra casa y mi oficina en casa, Arynne es ayudado por un personal capaz, que incluye administrative assistant Jessicun Dudgeon und housekeeper Josie Rodríguez. Agradezco a mis padres Marjorie y Simon IB, que me gustaría que fuese en la tierra para disfrutar de mi éxito como escritor. También agradezco a mi hija, Victoria. Cuando estoy con ella, me doy cuenta de lo mucho que admiro, respeto, y se enorgullecen de lo que es. ----------------------------Escaneados por kineticstomp -----------------------------

_

Complement ar
por SWIFT

[Capítulo 1-Banned Edition]

KeviHistoria n de
Por Mitnick Kevin

Yo me resistía a escribir este artículo porque estaba seguro de que suene egoísta. Bueno, está bien, no es egoísta. Pero he sido contactado por cientos de personas que quieren saber "quién es Kevin Mitnick?". Para los que no les importa un bledo, por favor, consulte el Capítulo 2. Para todos los demás, aquí, por si sirve de algo, es mi historia. Kevin Habla Algunos hackers destruir los archivos de las personas o unidades enteras bardo, que se llaman crackers o vándalos. Somhackers novatos e no se molestan en aprender la tecnología, sino simplemente descargar herramientas de hackers de irrumpir en los sistemas informáticos, sino que son llamados script kiddies. Hackers más experimentados con conocimientos de programación desarrollar programas de hackers y publicarlas en la web y sistemas de tablones. Y luego están las personas que no tienen interés en la tecnología, sino simplemente usar la computadora como una herramienta para ayudar en el robo de dinero, bienes o servicios. A pesar del mito creado por los medios de Kevin Mitnick, yo no soy un hacker malicioso. Lo que hice no estaba aún en contra de la ley cuando empecé, pero se convirtió en un crimen después de que la nueva legislación fue aprobada. Seguí todos modos, y fue capturado. Mi tratamiento por parte del gobierno federal se basó no en los crímenes, sino en hacer un ejemplo de mí. Yo no merecía ser tratado como un terrorista o violento criminal: Después de haber buscado mi casa con una orden de allanamiento en blanco; ser lanzado en solitario durante meses, les niegan los derechos fundamentales constitucionales garantizados a toda persona acusada de un delito, se les niega la libertad bajo fianza, pero no sólo una audiencia de libertad bajo fianza, y se ven obligados a pasar años luchando para obtener la evidencia del gobierno por lo que mi abogado designado por la corte podría preparar mi defensa.

¿Qut sobre mi derecho a un juicio rápido? Durante años me dieron una opción cada seis meses: firmar un documento renunciando a su derecho constitucional a un juicio rápido o ir a juicio con un abogado que no está preparado, me eligió firmar. Pero me estoy adelantando a mi historia. Empezando mi camino fue creada probablemente temprano en la vida. Yo era un-happy-go

suerteniño y, pero aburrido. Después de que mi padre se separaron cuando yo tenía tres años, mi madre trabajaba como camarera para que nos apoyen. To verme luego un hijo único criado por una madre que se pone en los días largos y apresurados en un horario a veces errático habría ido a ver a un joven por su cuenta casi todas sus horas de vigilia. Yo era mi propio babysitter. Crecer en una comunidad del Valle de San Fernando me dio el todo de Los Angeles para explorar, ya la edad de doce años que había descubierto una manera de viajar gratis en toda área metropolitana de Los Ángeles. Me di cuenta un día, mientras viaja en el autobús que la seguridad de la transferencia de autobús que había comprado se basó en el patrón inusual de la perforadora de papel que los conductores utilizan para marcar el día, hora y ruta en las hojas de transferencia. Un conductor amable, respondiendo a mi pregunta con cuidado-plantado, me dijo dónde comprar ese tipo especial de ponche. Las transferencias están destinadas para hacerle cambiar de autobús y continuar un viaje a su destino, pero he trabajado en cómo usarlos para viajar a cualquier lugar que quería ir de forma gratuita. La obtención de las transferencias en blanco fue un paseo por el parque: los contenedores de basura en las terminales de autobuses estaban llenos siempre con los libros solamente-en parte-de las transferencias que utilizan los controladores tiró al final de sus turnos. Con una almohadilla de espacios en blanco y ponche, yo podría marcar mis propios traslados y viajar a cualquier parte que los autobuses de LA fue. En poco tiempo, yo casi había memorizado los horarios de los autobuses de todo el sistema. Este fue un ejemplo temprano de mi memoria sorprendente para ciertos tipos de información, todavía, hoy puedo recordar números de teléfono, contraseñas y otros objetos ya en mi infancia. Another interés personal que surgió a muy temprana edad fue mi fascinación con la realización de magia. Una vez que aprendí un nuevo truco funcionó, me gustaría practicar, practicar y practicar hasta que lo dominé. Hasta cierto punto, fue a través de la magia que he descubierto el placer en engañar a la gente. From Phreak teléfono, a Hacker mi primer encuentro con lo que eventualmente aprendería a llamar ingeniería social se produjo durante mis años de escuela secundaria, cuando conocí a otro estudiante que se vio envuelto en un pasatiempo llamado phone phreaking. Phreaking telefónico es un tipo de hacking que permite explorar la red telefónica mediante la explotación de los sistemas telefónicos y los empleados de la compañía telefónica. He me mostró truquitos que podía hacer con un teléfono, como la obtención de cualquier información a la compañía telefónica tenido en cualquier cliente, y el uso de un número de prueba secreta para hacer largas distancias llamadas gratis realmente libre sólo para nosotros - me enteré mucho después que no era un número de prueba en absoluto secreto: las llamadas eran de hecho se factura a cuenta de alguna empresa pobre MCI). Esa fue mi introducción a la ingeniería social, mi jardín de infantes, por así decirlo. Él y otro phreaker teléfono conocí poco después me dejó escuchar en cada uno de ellos como pretexto hicieron llamadas a la compañía telefónica. He oído las cosas que dijeron que los hacía sonar creíble, aprendí acerca de las diferentes oficinas de la compañía telefónica, jerga y procedimientos. Pero ese "entrenamiento" no duró mucho tiempo, no tenía que hacerlo. Pronto estaba haciendo todo por mi cuenta, a

medida que iba aprendiendo, haciendo que sea aún mejor que los primeros maestros. El curso de mi vida iba a seguir para los próximos quince años se había fijado. Ene de todos los tiempos de mis travesuras favoritas era ganar acceso no autorizado a la central telefónica y el cambio de la clase de servicio de un phreaker compañero.

Blancoen él había intente realizar una llamada desde su casa, había un mensaje diciéndole que depositar un centavo, porque el interruptor compañía telefónica recibida de entrada que indicaba que estaba llamando desde un teléfono público. Yo se absorbió en todo lo relacionado con los teléfonos, no sólo la electrónica, conmutadores y ordenadores; sino también de la organización corporativa, los procedimientos y la terminología. Después de un tiempo, que probablemente sabía más sobre el sistema de teléfono de cualquier empleado. Y, Yo había desarrollado mis habilidades de ingeniería social hasta el punto de que, a los diecisiete años, tuve la oportunidad de hablar mayoría de los empleados Telco en casi cualquier cosa, si yo estaba hablando con ellos en persona o por teléfono. Mi carrera de hacking comenzó cuando yo estaba en la escuela secundaria. En aquel entonces usamos el término hacker para referirse a una persona que pasaba mucho tiempo con pequeños ajustes de hardware y software, ya sea para desarrollar programas más eficientes o para evitar pasos innecesarios y hacer el trabajo más rápido. El término se ha convertido en un peyorativo, que lleva el significado de "criminal malicioso". En estas páginas que uso el término de la manera que siempre lo han utilizado en su anterior, el sentido más benigno. A finales de 1979, un grupo de tipos de hackers compañeros que trabajaban para el Los Angeles Unified School District me atreví a probar la piratería en El Arca, el sistema informático en Digital Equipment Corporation utilizada para el desarrollo de sus RSTS E / software del sistema operativo. Yo quería ser aceptado por los chicos de este grupo de hackers para que pudiera recoger su cerebro para aprender más acerca de los sistemas operativos. Estos nuevos "amigos" habían logrado tener en sus manos el número de acceso telefónico al sistema informático de diciembre Pero sabían que el número de acceso telefónico no me haría ningún bien: Sin un nombre de cuenta y contraseña, que nunca sería capaz de entrar Estaban a punto de descubrir que cuando se subestiman otros, puede volver a morderte en el trasero. Resultó que, para mí, incluso a esa temprana edad, la piratería en el sistema DEC fue pan comido. Profesando ser Anton Chernoff, uno de los principales desarrolladores del proyecto, coloqué una simple llamada telefónica al administrador del sistema. Yo decía que no podía acceder a una de "mis" cuentas, y fue lo suficientemente convincente como para hablar el chico que me diera acceso y que me permite seleccionar una contraseña de mi elección. Como u n n nivel adicional de protección, siempre que alguien marcó en el sistema de desarrollo, el usuario también tuvo que proporcionar una contraseña de acceso telefónico. El administrador del sistema me dijo la contraseña. Se trataba de "bufón", que supongo que describió lo que debe haber sentido como más tarde, cuando se encuentran se enteró de lo que había sucedido. En menos de cinco minutos, yo había tenido acceso a RSTE Digital / sistema de desarrollo de E. Y yo no estaba registrado como tal como un usuario normal, pero como alguien con todos los privilegios de un desarrollador de sistemas. Al principio mis nuevos supuestos amigos se negaron a creer que había ganado acceso a The Ark Uno de ellos marcado el sistema y metió el teclado delante de mí con una mirada desafiante en su rostro. Su boca se abrió

mientras la materia de manera casual iniciado sesión en una cuenta con privilegios. Más tarde me enteré de que se fue a otro lugar y, el mismo día, comenzó a descargar el código fuente de los componentes de la DEC

de Operacióng sistema. Und entonces era mi turno de ser anonadado. Después de haber descargado todo el software que ellos querían, ellos llamaron al departamento de seguridad de la empresa en diciembre y les dijo que alguien había hackeado en la red corporativa de la empresa. Y di mi nombre. Mis supuestos amigos utilizó por primera vez mi acceso para copiar el código fuente altamente sensible, y luego me dio vuelta pulg There fue una lección aquí, pero no uno que logró aprender con facilidad. A través de los años por venir, que en repetidas ocasiones se meten en problemas porque confiaba en la gente que yo creía que eran mis amigos. Después de la secundaria, estudié las computadoras en el ordenador Learning Center en Los Angeles. Withina pocos meses, gerente de informática de la escuela se dio cuenta de que había encontrado una vulnerabilidad en el sistema operativo y ganó todos los privilegios administrativos en su minicomputadora IBM. Los mejores expertos informáticos en su personal docente no podía entender cómo yo había hecho esto. En lo que podría haber sido uno de los primeros ejemplos de "contratar el hacker," Me dieron una oferta que no podía rechazar: ¿Es un proyecto de honores para mejorar la seguridad de la escuela computadora o suspensión cara para hackear el sistema. Por supuesto que me eligió para hacer el proyecto honores, y terminó graduándose Cum Laude con Honores. Convertirse en un ingeniero social que algunas personas salir de la cama cada mañana temiendo su rutina diaria de trabajo en las minas de sal proverbiales. He tenido la suerte de disfrutar de mi trabajo. En particular, no se puede imaginar el desafío, la recompensa y el placer que tenía en el tiempo que pasé como investigador privado. Estaba afilando mis habilidades en el arte de performance llamado ingeniería social para que la gente a hacer cosas que normalmente no haría por un desconocido, y están pagando por ello. For mí no fue difícil convertirse en experto en ingeniería social. Mlado y padre de la familia había estado en el campo de las ventas para las generaciones, por lo que el arte de la persuasión y la influencia que podría haber sido un rasgo hereditario. Cuando se combina una inclinación para engañar a la gente con el talento de influencia y persuasión que llegan al perfil de un ingeniero social. Se podría decir que hay dos especialidades dentro de la clasificación de puestos de estafador. Alguien que estafas y los trucos de su dinero pertenece a una sub-especialidad, el estafador. Alguien que usa el engaño, influencia y persuasión contra las empresas, por lo general la orientación de su información, pertenece a la otra sub-especialidad, el ingeniero social. Desde el momento de mi truco de autobús, cuando yo era demasiado joven para saber que había algo malo en lo que estaba haciendo, yo había empezado a reconocer un talento para descubrir los secretos que no se suponía que debía tener. Construí ese talento mediante engaño, conociendo el idioma, y el desarrollo de una habilidad bien afinado de manipulación. Ene manera que solía trabajar en el desarrollo de las habilidades en mi nave (si se me permite llamarlo un arte) era escoger alguna pieza de información que no le

importaba y ver si podía hablar con alguien en el otro extremo de la teléfono en su prestación, sólo para mejorar mi talento. De la misma manera que solía practicar mis trucos de magia, me

ppretexting racticed. A través de estos ensayos, pronto me di cuenta de que podía adquirir prácticamente cualquier información que dirigida. En testimonio ante el Congreso antes de que los senadores Lieberman y Thompson años más tarde, les dije: "Yo he tenido acceso no autorizado a sistemas informáticos a algunas de las corporaciones más grandes del planeta, y han penetrado con éxito en algunos de los sistemas informáticos más resistentes se haya desarrollado. Tengo utilizan medios tanto técnicos como no técnicos para obtener el código fuente de varios sistemas operativos y dispositivos de telecomunicaciones para estudiar sus vulnerabilidades y su funcionamiento interno ". Todo esto fue realmente para satisfacer mi propia curiosidad, ver lo que podía hacer, y descubrir información secreta sobre los sistemas operativos, teléfonos celulares y cualquier otra cosa que agita mi curiosidad. La serie de acontecimientos que cambiarían mi vida empezó cuando se convirtió en el tema de un 04 de julio 1994 en primera plana, por encima de la doble historia en el New York Times. Durante la noche, que la historia de una vuelta a mi imagen de una molestia poco conocida de un hacker en enemigo público número uno del ciberespacio. John Markoff, estafador de los Medios "La combinación de magia técnica con la astucia años de edad, de un estafador, Kevin Mitnick es un programador de computadoras fuera de control. "(The New York Times, 7/4/94). Combinando el deseo siglos de antigüedad para alcanzar fortuna inmerecida con el poder de publicar historias falsas y difamatorias sobre sus súbditos en la primera página del New York Times, John Markoff fue realmente un reportero tecnología fuera de control. Markoff fue para ganarse más de $ 1 millón por sí solo crear lo que yo llamo "El mito de Kevin Mitnick . "Se hizo muy rico a través de la misma técnica que utiliza para comprometer los sistemas y redes en todo el mundo: el engaño. Yon este caso, sin embargo, la víctima del engaño no era un usuario de la computadora individual o administrador del sistema, era toda persona que confiaba en las noticias publicadas en las páginas de los más buscados del Times.Cyberspace New York 's Markoff artículo del Times fue claramente diseñado para conseguir un contrato para un libro sobre la historia de mi vida. Nunca he conocido a Markoff, y sin embargo se ha convertido literalmente en un millonario por su calumniosa y difamatoria "información" acerca de mí en los últimos tiempos y en su libro de 1991, Cyberpunk. En su artículo, incluyó algunas decenas de denuncias sobre mí que declaró como un hecho sin citar sus fuentes, y que incluso un blancaal proimpuesto oF hecho-chEcking (Which Yo aunquet all primeroDe tasa periódicos exigieron a sus reporteros a hacer) habría revelado como falso o no probadas. Yon que solo artículo falso y difamatorio, Markoff me etiqueta como "ciberespacio más buscados", y como "uno de los criminales de la nación informáticos más buscados", sin justificación, razón o evidencia de apoyo, con discreción no es más que un escritor de un supermercado tabloide. Yon su artículo calumnioso, Markoff falsamente que había intervenidas el FBI (que no tenía), que había irrumpido en las computadoras de la NORAD (que ni siquiera están conectados a ninguna red en el exterior), y que yo era un ordenador "vandalismo", a pesar del hecho de que nunca había

dañado intencionalmente cualquier equipo que he accedido. Estas, entre otras acusaciones escandalosas, eran completamente falsas y están diseñadas para crear un

sense de miedo acerca de mis capacidades. En otra violación de la ética periodística, Markoff no reveló en ese artículo y en todos sus artículos-una posterior relación pre-existente conmigo, una animosidad personal basada en mi haberse negado a participar en el libro Cyberpunk Además, tuve le costó un montón de ingresos potenciales al negarse a renovar una opción para una película basada en el libro.Martículo Arkoff también fue claramente diseñado para agencias de mofarse de Estados Unidos encargados de hacer cumplir la ley. "... Las fuerzas del orden", Markoff escribió, "parece que no puede ponerse al día con él ...." El artículo se enmarca deliberadamente a echarme en la acción del enemigo público Número del ciberespacio con el fin de influir en el Departamento de Justicia para elevar la prioridad de mi caso. La f e w meses más tarde, Markoff y su cohorte Tsutomu Shimomura que ambos participan como agentes del gobierno de facto en mi detención, en violación de la ley federal y la ética periodística. Ambos serían cerca cuando tres órdenes en blanco fueron utilizadas en un allanamiento ilegal de mi residencia, y estar presente en mi arresto. Y, durante su investigación de mis actividades, los dos también violaría la ley federal mediante la interceptación de una llamada telefónica personal de la mía. Mientras me hace ser un villano, Markoff, en un artículo posterior, configure Shimomura como el primer héroe del ciberespacio. Una vez que estaba violando la ética periodística al no revelar una relación preexistente: este héroe, de hecho, había sido amigo personal de Markoff durante años. Mi primer encuentro con Markoff había llegado en los años ochenta, cuando él y su esposa Katie Hafner me contactaron mientras estaban en el proceso de escribir Cyberpunk, que iba a ser la historia de tres hackers: un chico alemán conocido como Pengo, Robert Morris, y yo mismo. ¿Quería ser mi compensación por participar? Nada. No pude ver el punto de darles mi historia si se beneficiarían de ella y no quiero, así que me negué a ayudar. Markoff me dio un ultimátum: o entrevistados por nosotros, o cualquier cosa que escuchamos de cualquier fuente será aceptado como la verdad. Él se sentía frustrado y molesto claramente que no iba a cooperar, y me dejaba saber que tenía los medios para hacer que me arrepienta. Decidí mantenerme firme y no cooperaría a pesar de sus tácticas de presión. Cuando se publicó, el libro me retrata como "The Hacker Darkside". Llegué a la conclusión de que los autores habían incluido intencionadamente declaraciones falsas sin respaldo, con el fin de vengarse de mí por no cooperar con ellos. Al hacer que mi personaje parece más siniestro y fundición de mí en una luz falsa, probablemente aumentó las ventas del libro. Un productor de cine llamó por teléfono con una gran noticia: Hollywood estaba interesado en hacer una película sobre el Hacker Darkside representado en Cyberpunk. Señalé que la historia estaba llena de inexactitudes y falsedades sobre mí, pero aún estaba muy entusiasmado con el proyecto. Acepté $ 5.000 para una opción de dos años, en contra de un adicional de $ 45.000 si eran capaces de conseguir un acuerdo de producción y seguir adelante. When la opción expiró, la productora pidió una prórroga de seis meses. En ese momento yo era un trabajo remunerado, y por eso tenía poca motivación para ver una película

producida

THAt me mostró, de tal forma desfavorable y falsa. Me negué a ir junto con la extensión. Que mató el reparto de la película para todo el mundo, incluyendo Markoff, quien había esperado probablemente para hacer una gran cantidad de dinero del proyecto. Aquí había una razón más para John Markoff ser vengativo hacia mí. En todo el momento de publicación de Cyberpunk, Markoff tuvo correspondencia electrónica continua con su amigo Shimomura. Ambos estaban interesados extrañamente en mi paradero y lo que estaba haciendo. Sorprendentemente, un mensaje de correo electrónico contiene información que habían aprendido asistía a la Universidad de Nevada, Las Vegas, y tenía uso de la sala de ordenadores del estudiante. ¿Podría ser que Markoff y Shimomura estaban interesados en hacer otro libro sobre mí? De lo contrario, ¿por qué les importa lo que yo estaba haciendo? Markoff en Persecución Dar un paso atrás para finales de 1992. Me estaba acercando a la end oF my supervisard release for compromising Digital Equipo Red de la empresa Corporación. Mientras tanto, me di cuenta de que el gobierno estaba tratando de armar un caso contra mí, esta vez para la realización de contrainteligencia para saber por qué escuchas telefónicas habían sido colocados en las líneas telefónicas de una empresa de Los Angeles p.II. En mi excavación, confirmé mi sospecha: la Pacific Bell personal de seguridad estaban de hecho la investigación de la empresa. Así fue diputado crimen informático del Departamento del Condado de Los Angeles Sheriff. (Ese diputado resulta ser, codicho sea de paso, el hermano gemelo de mi co-autor de este libro. Pequeño es el mundo.) Alrededor de este tiempo, los federales establecer un informante criminal y lo envió a atraparme. Ellos sabían que yo siempre trataba de mantener control sobre cualquier organismo investigador mí. Así que tenían amistad con este informante me incline y me fuera que estaba siendo monitoreado. También compartió conmigo los detalles de un sistema informático utilizado en el Pacific Bell que me permitiría hacer contra-vigilancia de su seguimiento. Cuando descubrí su parcela, rápidamente volvió a las tablas en él y lo expuso el fraude de tarjetas de crédito que estaba conduciendo mientras trabajaba para el gobierno en calidad de informante. Estoy seguro de que los federales apreciado eso! Mvida y cambió el Día de la Independencia de 1994, cuando mi pager me despertó temprano en la mañana. La persona que llamó dijo que inmediatamente debe recoger un ejemplar del New York Times. Yo no lo podía creer cuando vi que Markoff no sólo había escrito un artículo sobre mí, pero los tiempos habían colocado en la primera página. El primer pensamiento que me vino a la mente fue por mi seguridad personal, ahora el gobierno sería aumentar sustancialmente sus esfuerzos para encontrarme. Me sentí aliviado de que en un esfuerzo para demonizar a mí, el Times había utilizado una imagen muy impropia. Yo no tenía miedo de ser reconocido que habían elegido una imagen tan anticuada que no se parece en nada a mí! Las me puse a leer el artículo, me di cuenta de que Markoff se estaba preparando para escribir el libro de Kevin Mitnick, tal como él siempre había querido. Simplemente no podía creer lo que el New York Times, se correría el riesgo de imprimir las declaraciones escandalosamente falsas que él había escrito sobre mí. Me sentía impotente. Incluso si yo hubiera estado en condiciones de responder, ciertamente no tendría una audiencia igual a la New

York Times s para refutar las mentiras escandalosas Markoff. Si bien estoy de acuerdo que había sido un dolor en el culo, nunca había destruido la información, ni utilizar o divulgar a terceros la información que había obtenido. Las pérdidas reales de las empresas

from mis actividades de hacking ascendió el coste de las llamadas telefónicas que había hecho a costa de teléfono-empresa, el dinero gastado por las empresas para tapar las vulnerabilidades de seguridad que mis ataques había revelado, y en algunos casos posiblemente causando a las empresas a instalar sus sistemas operativos y solicitudes de miedo que podría haber modificado el software de una manera que me permitiera acceder en el futuro. Las empresas se han mantenido vulnerable al daño mucho peor si mis actividades no habían hecho conscientes de los eslabones débiles de la cadena de seguridad. Aunque había causado algunas pérdidas, mis acciones e intenciones no eran maliciosas ... y entonces John Markoff cambió la percepción del mundo sobre el peligro que representaba. El poder de un periodista poco ético de tal influyente diario para escribir una historia falsa y difamatoria sobre cualquier persona debe perseguir todos y cada uno de nosotros. El próximo objetivo podría ser usted. Laespués de mi detención fui transportado a la cárcel del condado en Smithfield, Carolina del Norte, donde los EE.UU. Servicio de Alguaciles de los carceleros ordenó ponerme en `el confinamiento solitario hole'-. Dentro de una semana, los fiscales federales y mi abogado llegó a un acuerdo que no pude rechazar. Podría ser trasladado fuera de solitario con la condición de que renunció a mis derechos fundamentales y acordó lo siguiente: a) no audiencia de fianza, b) ninguna audiencia preliminar, y, c) no hay llamadas telefónicas, excepto con mi abogado y dos miembros de la familia. Regístrate y pude salir del aislamiento. Yo signed.The fiscales federales en el caso juega cada truco sucio en el libro hasta que fue liberado hace casi cinco años más tarde. Me vi obligado reiteradamente a renunciar a mis derechos para ser tratado como cualquier otro acusado. Pero este era el caso de Kevin Mitnick: No había reglas. No hay obligación de respetar los derechos constitucionales de los acusados. Mi caso era not abfuera sólohielo, but about ªe Gobierno determinación de ganar a toda costa. Los fiscales habían hecho afirmaciones muy exageradas al tribunal sobre el daño que había causado y la amenaza que representaba, y los medios de comunicación habían ido a la ciudad citando las declaraciones sensacionalistas, ahora ya era demasiado tarde para que los fiscales a retroceder. El gobierno no podía permitirse el lujo de perder el caso Mitnick. El mundo estaba mirando. Yo creo que los tribunales han comprado en el miedo generado por la cobertura de los medios de comunicación, ya que muchos de los periodistas más éticas había recogido los "hechos" de los tiempos estimados de Nueva York y las repitió. El mito mediático generado al parecer incluso miedo funcionarios encargados de hacer cumplir la ley. Un documento confidencial obtenido por mi abogado demostró que el Servicio de Alguaciles de EE.UU. había emitido una advertencia a todos los agentes de la ley no revelar ninguna información personal para mí, de lo contrario, podrían encontrar sus vidas destruidas por vía electrónica. Our Constitución exige que el acusado se presume inocente antes del juicio, por lo que la concesión de todos los ciudadanos el derecho a una audiencia de fianza, cuando el acusado tiene la oportunidad de

ser representado por un abogado, presentar pruebas y testigos, interrogar. Increíblemente, el gobierno había sido capaz de eludir esta protección basada en la histeria falsa generard por irresponsable reporteros like John Markoff. Without

precedente, Que se llevó a cabo como un pre-juicio-detenido a una persona en prisión preventiva o condena-por más de cuatro años y medio. La negativa del juez que me conceda una audiencia de fianza fue litigado todo el camino hasta la Corte Suprema de los EE.UU.. Al final, mi equipo de defensa me aconsejó que me había propuesto otro precedente: yo era el único detenido federal en la historia de EE.UU. negó una audiencia de fianza. Esto significaba que el gobierno nunca tuvo que hacer frente a la carga de probar que no había condiciones de liberación que razonablemente asegurar mi comparecencia ante el tribunal. Lal menos en este caso, los fiscales federales no se atrevió a alegar que podría iniciar una guerra nuclear silbando en un teléfono público, como otros fiscales federales habían hecho en un caso anterior. Las acusaciones más graves contra mí era que yo había copiado código fuente propio para varios teléfonos celulares y los sistemas operativos populares. Vosotrost los fiscales alegaron públicamente y ante el tribunal que le había causado pérdidas colectivas de más de $ 300 millones a varias empresas. Los detalles de las cantidades negativas son todavía bajo el sello de la corte, supuestamente para proteger a las empresas involucradas, mi equipo de la defensa, sin embargo, cree que la petición de la fiscalía para sellar la información se inició para encubrir su mala conducta grave en mi caso. También vale la pena señalar que ninguna de las víctimas en mi caso había reportado pérdidas a la Comisión de Bolsa y Valores como exige la ley. Cualquiera de varias empresas multinacionales violan la ley federal en el proceso de engañar a la SEC, los accionistas y los analistas - o las pérdidas atribuibles a mi hackeo fueron, de hecho, demasiado trivial que se informa. En su libro Juego de Fugitivos, Jonathan Li WAN informa que dentro de una semana del New York Times de primera plana, el agente de Markoff había "negociado un acuerdo global" con el editor Walt Disney Hyperion para un libro sobre la campaña para localizarme . El avance era ser un estimado $ 750.000. Según Littman, no iba a ser una película de Hollywood, también, con Miramax entrega de 200.000 dólares para la opción y "un total de $ 650.000 a pagar a la de inicio del rodaje". Una fuente confidencial recientemente me informó que se ocupan de Markoff fue, de hecho, mucho más que Littman había pensado originalmente. Así que John Markoff tiene un millón de dólares, más o menos, y me he fivaños e. Un libro que examina los aspectos legales de mi caso fue escrito por un hombre que había sido fiscal en la oficina del fiscal de distrito de Los Ángeles, un colega de los abogados que me procesados. En sus Delitos Informáticos espectacular libro, Buck Bloombecker escribió: "Me duele tener que escribir acerca de mis antiguos colegas en menos de términos lisonjeros .... Estoy obsesionado por ingreso fiscal federal adjunto James Asperger que gran parte del argumento utilizado para mantener Mitnick tras las rejas se basaba en rumores que no papán out ". He pasa a decir: "Fue bastante malo que los fiscales los cargos hechos en la corte se extendió a millones de lectores de periódicos de todo el país. Pero es mucho peor que esas acusaciones falsas fueron una gran parte de la base para mantener Mitnick tras bares sin la posibilidad de pagar una fianza? " Continúa con cierta extensión, al escribir sobre las normas éticas que los fiscales

deben vivir, y luego escribe: "El caso de Mitnick sugiere que las denuncias falsas utilizard para mantenerlo en custodia también perjudicados consideración de la corte de una feria

s. entence "En su artículo de 1999 de Forbes, Adam L. Penenberg describió elocuentemente mi situación de esta manera:" los crímenes de Mitnick fueron curiosamente inocuo. Rompió en los ordenadores corporativos, pero no hay evidencia indica que él destruyó los datos. O vende cualquier cosa que copiar. Sí, lo hurtado software, pero, al hacerlo, dejó atrás. "El artículo decía que mi crimen fue" burlarse de los costosos sistemas de seguridad informáticos empleados por las grandes corporaciones. "Y en el libro El juego de Fugitivos, autor Jonathan Littman "La codicia del gobierno podía entender. Sin embargo, un hacker que ejerció el poder por sí mismo ... era algo que no podía comprender. " Elsewhere en el mismo libro, Littman escribió: EE.UU. El abogado James Sanders admitió ante el juez Pfaelzer que el daño de Mitnick a DEC no fue los $ 4 millones que había en los titulares pero $ 160.000. Incluso esa cantidad no era daño hecho por Mitnick, pero el costo aproximado de trazar la debilidad en la seguridad de que sus incursiones habían señalado a la atención de DEC. El gobierno reconoció que no tenía pruebas de las afirmaciones salvajes que habían ayudado a mantener Mitnick sin fianza y en régimen de aislamiento. No Mitnick prueba nunca había comprometido la seguridad de la NSA. No hay pruebas de que Mitnick había emitido nunca un comunicado de prensa falso de Security Pacific Bank. No hay pruebas de que Mitnick cambiado alguna vez el informe de crédito de TRW de un juez. But el juez, tal vez influenciado por la terrible cobertura de los medios, rechazó el acuerdo con el fiscal y condenado a una pena de Mitnick ya continuación, incluso el gobierno quería. Throughout los años que pasó como un hacker aficionado, he ganado notoriedad no deseada, ha escrito en numerosos informes de prensa y revistas artículos, und had four books written about me. MarkofF y Libro calumnioso Shimomura fue hecho en una película llamada Takedown. Cuando el script encontrado su camino en Internet, muchos de mis partidarios protestaron Miramax Films para llamar la atención pública sobre la caracterización inexacta y falsa de mí. Sin la ayuda de muchos tipos y personas generosas, la película seguramente me habría falsamente presentado como el Hannibal Lecter del ciberespacio. Presionado por mis seguidores, la compañía de producción de acuerdo para resolver el caso en términos confidenciales para mí evitar la presentación de una demanda por difamación en su contra. FinaPensamien tos l Despite John Markoff 's outrageous und libelous descriptions oF me, mi crímenes eran simples delitos de allanamiento ordenador y hacer llamadas telefónicas gratuitas. He reconocido desde mi arresto que las acciones que tomé eran ilegales, y que he cometido invasiones de privacidad. Pero sugerir, sin justificación, razón o prueba, como hicieron los artículos Markoff, que me habían privado a los demás de su dinero o propiedad por ordenador o fraude electrónico, es simplemente falsa, y no apoyada por las pruebas. Mis malas acciones fueron motivadas por la curiosidad: quería saber todo lo que pudo sobre cómo las redes telefónicas funcionó, y los pros y contras de la seguridad informática. Pasé de ser

un niño a quien le gustaba hacer trucos de magia para convertirse en hacker más famoso del mundo, temido por las corporaciones y el gobierno. Al reflexionar sobre mi vida durante los últimos treinta años, admito que hice un poco de

decisiones extremadamente pobres, impulsados por la curiosidad, el deseo de aprender acerca de la tecnología, y un buen desafío intelectual. I 'm una persona diferente ahora. Me estoy convirtiendo mi talento y el conocimiento extenso que he reunido información acerca de las tácticas de ingeniería y de seguridad social para ayudar a los gobiernos, empresas e individuos para prevenir, detectar y responder a las amenazas a la seguridad de la información. Esta libro es una manera más en que puedo usar mi experiencia para ayudar a otros a evitar los esfuerzos de los ladrones de información maliciosas del mundo. Creo que usted encontrará las historias agradables, abrir los ojos y educativo. Kevin Mitnick

MitEl capítulo perdido de nick encontrados
Por Michelle Delio wired.com, 05 noviembre 2002 de

Un capítulo que falta del libro de reciente hacker Kevin Mitnick ha sido publicado en Internet. The capítulo fue originalmente programado para ser el primer capítulo en el nuevo libro de Mitnick, The Art of Deception,but no se incluyó en la versión publicada del libro. Chapter Se presentó sólo en alrededor de 300 copias de galera que no consolidados editorial Wiley distribuido a los medios de comunicación de varios meses antes de soltar el libro, según un portavoz de Wiley. The editor decidió suprimir el capítulo poco antes de soltar el libro. Wiley representantes no pudieron comentar de inmediato sobre por qué el capítulo fue extraída. The capítulo contiene el primer relato de Mitnick de su vida como un pirata y un fugitivo, así como la detención, el juicio y la vida en la cárcel. The capítulo también incluye acusaciones de que John Markoff Mitnick, el reportero de tecnología para The New York Times, Las historias impresas sobre Mitnick maliciosos durante el año del hacker como un fugitivo. Thcapítulo e faltante se hizo por primera disposición del público la noche del sábado en un grupo de discusión en Yahoo llamado "Kevin Story". Desde

entonces, ha aparecido en otros sitios web.

Mitnick dijo que no sabía que se había publicado en línea el capítulo. Los e-mails a la dirección que aparece yahoo.com con el post original quedaron sin respuesta. "Me siento muy bien sobre el capítulo que está disponible ", dijo Mitnick." Durante mucho tiempo me fue presentado como el Osama Bin Laden de Internet y que realmente quería ser capaz de decirle a mi lado de la historia. Yo quería ser capaz de explicar exactamente lo que hice y lo que no hacen a la gente que pensaba que me conocía. " Much del material en los "desaparecidos capítulo" Datos Mitnick relaciones con Markoff. Of preocupación primordial de Mitnick es que Markoff "no reconocer una relación pre-existente" con Mitnick en el 4 de julio de 1994, noticia que apareció en la primera plana del ThE New York Times. Markoff 's historia descrita como un hacker Mitnick muy peligroso capaz de irrumpir en los ordenadores del Gobierno críticos e hizo hincapié en que Mitnick había eludido hasta ahora fácilmente las fuerzas del orden. Mitnick acusaciones de que Markoff estaba enojado con él por un reparto de la película no basada en el libro de Markoff 1991, Cyberpunk: Outlaws y hackers en el ordenador Frontier. Lan el momento de la publicación, Mitnick disputado veracidad del libro, pero aceptó más tarde $ 5,000 de una oferta total $ 50.000 para actuar como consultor para la película basada en el libro porque necesitaba el dinero. Twaños o más tarde, cuando el estudio quería renovar el contrato, Mitnick, por entonces empleado, se negó a renovar. Esta negativa, según Mitnick y dos fuentes familiarizadas con el incidente, hizo que el acuerdo para morir. Mitnick dijo Markoff debería haber mencionado el asunto de negocios fracasado en sus artículos posteriores sobre Mitnick. También sostiene que muchos de los hacks que se le atribuyen por Markoff nunca sucedió. "Pero tratar de probar que no hackear algo es imposible si la gente cree que eres lo suficientemente capacitado para evadir la detección ", dijo Mitnick. Markoff rotundamente se negó a comentar sobre ninguno de los alegatos de Mitnick en el capítulo Una. Mitnick dijo que deseaba que el capítulo podría haber sido publicado con el libro, pero que respetaba la decisión de su editor.

"Pero, obviamente, la Internet es una gran manera de obtener información sin censura, sin filtrar al mundo ", agregó Mitnick." Estoy contando los días hasta que pueda ir en línea otra vez. " Mitnick ha prohibido el uso de Internet como una condición de su libertad condicional. Él es libre de ir de nuevo en línea el 21 de enero de 2003, después de casi ocho años offline. Thsitio electrónico primero que visitamos es el blog de su novia. "Ella me dice que ha estado documentando nuestra relación en línea entera ", dijo Mitnick." Me encantaría saber lo que ha estado diciendo acerca de mí. "

_