Good evening teacher, classmates, everyone present.

My partner Lester Berry and my person

kristel rios, we are pleased to tell you about the
Methodology of information gathering and tests in social engineering.

To answer the question of whether the use of social engineering techniques as part of a
penetration test is acceptable, one must first demonstrate why social engineering has been
successful:
Techniques work because all people, certain characteristics or characters have weaknesses that
can be exploited.
As usual, among the client's employees, direct influence is exercised in the use of social
engineering techniques to verify their reliability and safety awareness, which could cause
discomfort to those affected. This could be all the more so when social engineering techniques
are carried out without prior notice and are "solved".
The use of social engineering, therefore, must be considered very carefully. The evaluator has
the authority in all cases about the possible consequences of social engineering.
1. Compilation of information for social engineering.
Test steps:
Analysis of information on the website of the target organization.
Analysis of information from printed media or databases.
Search the newsgroups for the email addresses of the employees and the applications of the
target organization that were published in the publications.
Requirements:
Name of the company or name of the institution.
Expected results:
Identification of the relevant departments.
List of people working in relevant departments Name, job descriptions, email addresses of
possible targets
Organigrams of the target organization with the different hierarchical levels and managerial
positions (heads of department, etc.)
Structure of email addresses, internal mailing lists and typical sender of internal mail
2. Compilation of information for computer-based social engineering.

Test steps:
Analysis of the website of the target organization to obtain information about the operating
systems and applications used
Research for the organization's work in terms of embedded computer systems.
Research in support forums for announcements of employees of the target organization.
Identification of the mail programs of the organization / employees of destination according to
the heading
Requirements:
Information about departments / people / organization, etc.
Expected results:
List of IT systems and IT applications in the different departments that will be used
3. Compilation of information for personal social engineering.
Test steps:
Analysis of contact information on the website of the target organization.
Contact analysis and customer information from print media or databases.
Observation of the building of the objective organization.
Identification of service companies through telephone consultations.

Requirements:
Information about departments / people / organization, etc.
Expected results:
List of service companies, which are active for the target organization.
List of important clients of the target organization.
Information on the location of the different departments within the building.

Methods
1. Computational social engineering.
An attempt is made to influence a person to use the appropriate techniques of computer
technology manipulation, for example. When exploiting out of curiosity or utility, the rights of
the system to obtain.
Test steps:
Contact the target person by email
Target people cheat and install special programs, for example, Keylogger
Target person by fake system messages for entries from the username and password
Requirements:
Information about target systems, applications and people.
Expected results:
Access to the network or organization systems.
List of system and application passwords
Risk:
The attack could be noticed as such and cause irritation between the target person.
Specific programs could interfere with the operation.
2. Direct and personal social engineering with physical access.
An attempt is made by direct contact with a person (for example, by visiting) so that privileged
knowledge has access to confidential information. In this case, for example, attempts under the
pretext of a relationship of trust, the respondent to disclose information to move.
Test steps:
Personal contact with the target person (for example, as a service technician, new employees,
etc.)
The pretense of a relationship of trust with the respondent to move the publication of information
(for example, the publication of a password or the disclosure of passwords)
Requirements:
Information about target systems, applications and people.
Expected results:
Relevant information such as passwords, system configurations, etc.
Risk:
The attack could be noticed as such and cause irritation between the target person. If it is about the
publication of relevant information, this circumstance after the penetration test is dissolved and the
subject is their misconduct is aware of the tension relationship between the target person and the
target organization.
(Especially when it comes to taking an employee from the target organization)

Buenas noches profesor, compañeros, todos los presentes. Mi compañero Lester Berry y mi persona
tenemos el placer de hablarles de la

Metodología de recopilación de información y pruebas en ingeniería social.

Para responder a la pregunta de si el uso de técnicas de ingeniería social como parte de una prueba de
penetración es aceptable, primero se debe demostrar por qué la ingeniería social ha tenido éxito:

Las técnicas funcionan porque todas las personas, ciertas características o caracteres tienen debilidades
que pueden ser explotadas.

Como de costumbre, entre los empleados del cliente, la influencia directa se ejerce en el uso de técnicas
de ingeniería social para verificar su confiabilidad y conciencia de seguridad, lo que podría causar
incomodidad a los afectados. Esto podría ser tanto más cuando las técnicas de ingeniería social se llevan
a cabo sin previo aviso y se "resuelven".

El uso de la ingeniería social, por lo tanto, debe considerarse muy cuidadosamente. El evaluador tiene la
autoridad en todos los casos sobre las posibles consecuencias de la ingeniería social.

1. Recopilación de información para la ingeniería social.

Pasos de prueba:

Análisis de la información en el sitio web de la organización objetivo.

Análisis de información de medios impresos o bases de datos.

Busque en los grupos de noticias las direcciones de correo electrónico de los empleados y las
aplicaciones de la organización objetivo que se publicaron en las publicaciones.

Requisitos:

Nombre de la empresa o nombre de la institución.

Resultados previstos:

Identificación de los departamentos relevantes.

Lista de personas que trabajan en los departamentos pertinentes Nombre, descripciones de funciones,
direcciones de correo electrónico de posibles objetivos

Organigramas de la organización objetivo con los distintos niveles jerárquicos y cargos directivos (jefes
de departamento, etc.)

Estructura de las direcciones de correo electrónico, listas de correo internas y remitente típico de
correos internos

2. Recopilación de información para ingeniería social basada en computadora.

Pasos de prueba:

Análisis del sitio web de la organización objetivo para obtener información sobre los sistemas operativos
y aplicaciones usados

Investigación por trabajo de la organización en términos de sistemas informáticos insertados.

Investigación en foros de soporte para anuncios de empleados de la organización objetivo.

Identificación de los programas de correo de la organización / empleados de destino en función del

encabezado

Requisitos:

Información sobre departamentos / personas / organización, etc.

Resultados previstos:

Lista de sistemas de TI y aplicaciones de TI en los distintos departamentos que se utilizarán

3. Recopilación de información para la ingeniería social personal.

Pasos de prueba:

Análisis de la información de contacto en el sitio web de la organización objetivo.

Análisis de contacto e información de clientes desde medios impresos o bases de datos.

Observación del edificio de la organización objetivo.

Identificación de empresas de servicios a través de consultas telefónicas.

Requisitos:

Información sobre departamentos / personas / organización, etc.

Resultados previstos:

Listado de empresas de servicios, que están activas para la organización objetivo.

Lista de clientes importantes de la organización objetivo.

Información sobre la ubicación de los distintos departamentos dentro del edificio.

Los metodos

1. Ingeniería social computacional.

Se hace un intento de influir en una persona para usar las técnicas apropiadas de manipulación de
tecnología informática, por ejemplo. Al explotar por curiosidad o utilidad, los derechos del sistema a
obtener.

Pasos de prueba:

Contactar a la persona objetivo por correo electrónico

Las personas objetivo engañan e instalan programas especiales, por ejemplo, Keylogger

Persona de destino por mensajes de sistema falsos para entradas desde el nombre de usuario y la
contraseña

Requisitos:

Información sobre sistemas de destino, aplicaciones y personas.

Resultados previstos:

Acceso a la red o sistemas de organización.

Lista de contraseñas del sistema y de la aplicación

Riesgo:

El ataque podría notarse como tal y provocar irritación entre la persona objetivo.

Los programas específicos podrían interferir con la operación.

2. Ingeniería social directa y personal con acceso físico.

Se realiza un intento por contacto directo con una persona (por ejemplo, visitando) para que un
conocimiento privilegiado tenga acceso a información confidencial. En este caso, por ejemplo, los
intentos bajo el pretexto de una relación de confianza, el encuestado a revelar información para mover.

Pasos de prueba:

Contacto personal con la persona objetivo (por ejemplo, como técnico de servicio, nuevos empleados,
etc.)

La pretensión de una relación de confianza con el encuestado para mover la publicación de información
(por ejemplo, la publicación de una Clave o la divulgación de contraseñas)

Requisitos:

Información sobre sistemas de destino, aplicaciones y personas.

Resultados previstos:

Información relevante como contraseñas, configuraciones del sistema, etc.

Riesgo:

El ataque podría notarse como tal y provocar irritación entre la persona objetivo. Si se trata de la
publicación.

de información relevante, ¿podría esta circunstancia después de que se haya disuelto la prueba de
penetración y el sujeto sea su mala conducta es consciente de la

tensar la relación entre la persona objetivo y la organización objetivo, especialmente cuando se trata de
tomar una

Empleado de la organización objetivo.

3. Ingeniería social indirecta, personal sin acceso físico.

Se realiza un intento por contacto telefónico con una persona que posee un conocimiento privilegiado
para explorar secretos. Se hace un intento, por ejemplo, bajo pretexto de relación.

de confianza para mover a la persona objetivo a la divulgación de información.

Cuando la persona objetivo puede ser sobre el empleado

La organización u otro acto interno. En este sentido, se convierte en la ingenuidad del empleado, la
organización objetivo y su necesidad involucrada y útil para su utilización.

Pasos de prueba:

Contactar a la persona objetivo por teléfono o correo electrónico

La pretensión de una relación de confianza con el encuestado para mover la publicación de la
información (por ejemplo, problema como administrador, empleado, supervisor remoto, etc.)

Requisitos:

Información sobre sistemas de destino, aplicaciones y personas.

Resultados previstos:

Información relevante como contraseñas, configuraciones del sistema, etc.

Riesgo:

El ataque podría notarse como tal y provocar irritación entre la persona objetivo. Si se trata de la
publicación de información relevante, esta circunstancia después de que se disuelva la prueba de
penetración y el sujeto es su mala conducta es consciente de la relación de tensión entre la persona
objetivo y la organización objetivo.

(Especialmente cuando se trata de tomar un empleado de la organización objetivo)