Professional Documents
Culture Documents
CI#01 - Methodology of Info Gathering and Testing in Social Eng
CI#01 - Methodology of Info Gathering and Testing in Social Eng
To answer the question of whether the use of social engineering techniques as part of a
penetration test is acceptable, one must first demonstrate why social engineering has been
successful:
Techniques work because all people, certain characteristics or characters have weaknesses that
can be exploited.
As usual, among the client's employees, direct influence is exercised in the use of social
engineering techniques to verify their reliability and safety awareness, which could cause
discomfort to those affected. This could be all the more so when social engineering techniques
are carried out without prior notice and are "solved".
The use of social engineering, therefore, must be considered very carefully. The evaluator has
the authority in all cases about the possible consequences of social engineering.
1. Compilation of information for social engineering.
Test steps:
Analysis of information on the website of the target organization.
Analysis of information from printed media or databases.
Search the newsgroups for the email addresses of the employees and the applications of the
target organization that were published in the publications.
Requirements:
Name of the company or name of the institution.
Expected results:
Identification of the relevant departments.
List of people working in relevant departments Name, job descriptions, email addresses of
possible targets
Organigrams of the target organization with the different hierarchical levels and managerial
positions (heads of department, etc.)
Structure of email addresses, internal mailing lists and typical sender of internal mail
2. Compilation of information for computer-based social engineering.
Test steps:
Analysis of the website of the target organization to obtain information about the operating
systems and applications used
Research for the organization's work in terms of embedded computer systems.
Research in support forums for announcements of employees of the target organization.
Identification of the mail programs of the organization / employees of destination according to
the heading
Requirements:
Information about departments / people / organization, etc.
Expected results:
List of IT systems and IT applications in the different departments that will be used
3. Compilation of information for personal social engineering.
Test steps:
Analysis of contact information on the website of the target organization.
Contact analysis and customer information from print media or databases.
Observation of the building of the objective organization.
Identification of service companies through telephone consultations.
Requirements:
Information about departments / people / organization, etc.
Expected results:
List of service companies, which are active for the target organization.
List of important clients of the target organization.
Information on the location of the different departments within the building.
Methods
1. Computational social engineering.
An attempt is made to influence a person to use the appropriate techniques of computer
technology manipulation, for example. When exploiting out of curiosity or utility, the rights of
the system to obtain.
Test steps:
Contact the target person by email
Target people cheat and install special programs, for example, Keylogger
Target person by fake system messages for entries from the username and password
Requirements:
Information about target systems, applications and people.
Expected results:
Access to the network or organization systems.
List of system and application passwords
Risk:
The attack could be noticed as such and cause irritation between the target person.
Specific programs could interfere with the operation.
2. Direct and personal social engineering with physical access.
An attempt is made by direct contact with a person (for example, by visiting) so that privileged
knowledge has access to confidential information. In this case, for example, attempts under the
pretext of a relationship of trust, the respondent to disclose information to move.
Test steps:
Personal contact with the target person (for example, as a service technician, new employees,
etc.)
The pretense of a relationship of trust with the respondent to move the publication of information
(for example, the publication of a password or the disclosure of passwords)
Requirements:
Information about target systems, applications and people.
Expected results:
Relevant information such as passwords, system configurations, etc.
Risk:
The attack could be noticed as such and cause irritation between the target person. If it is about the
publication of relevant information, this circumstance after the penetration test is dissolved and the
subject is their misconduct is aware of the tension relationship between the target person and the
target organization.
(Especially when it comes to taking an employee from the target organization)
Buenas noches profesor, compañeros, todos los presentes. Mi compañero Lester Berry y mi persona
tenemos el placer de hablarles de la
Para responder a la pregunta de si el uso de técnicas de ingeniería social como parte de una prueba de
penetración es aceptable, primero se debe demostrar por qué la ingeniería social ha tenido éxito:
Las técnicas funcionan porque todas las personas, ciertas características o caracteres tienen debilidades
que pueden ser explotadas.
Como de costumbre, entre los empleados del cliente, la influencia directa se ejerce en el uso de técnicas
de ingeniería social para verificar su confiabilidad y conciencia de seguridad, lo que podría causar
incomodidad a los afectados. Esto podría ser tanto más cuando las técnicas de ingeniería social se llevan
a cabo sin previo aviso y se "resuelven".
El uso de la ingeniería social, por lo tanto, debe considerarse muy cuidadosamente. El evaluador tiene la
autoridad en todos los casos sobre las posibles consecuencias de la ingeniería social.
Pasos de prueba:
Busque en los grupos de noticias las direcciones de correo electrónico de los empleados y las
aplicaciones de la organización objetivo que se publicaron en las publicaciones.
Requisitos:
Resultados previstos:
Lista de personas que trabajan en los departamentos pertinentes Nombre, descripciones de funciones,
direcciones de correo electrónico de posibles objetivos
Organigramas de la organización objetivo con los distintos niveles jerárquicos y cargos directivos (jefes
de departamento, etc.)
Estructura de las direcciones de correo electrónico, listas de correo internas y remitente típico de
correos internos
Pasos de prueba:
Análisis del sitio web de la organización objetivo para obtener información sobre los sistemas operativos
y aplicaciones usados
Requisitos:
Resultados previstos:
Pasos de prueba:
Requisitos:
Resultados previstos:
Los metodos
Se hace un intento de influir en una persona para usar las técnicas apropiadas de manipulación de
tecnología informática, por ejemplo. Al explotar por curiosidad o utilidad, los derechos del sistema a
obtener.
Pasos de prueba:
Las personas objetivo engañan e instalan programas especiales, por ejemplo, Keylogger
Persona de destino por mensajes de sistema falsos para entradas desde el nombre de usuario y la
contraseña
Requisitos:
Resultados previstos:
Riesgo:
El ataque podría notarse como tal y provocar irritación entre la persona objetivo.
Pasos de prueba:
Contacto personal con la persona objetivo (por ejemplo, como técnico de servicio, nuevos empleados,
etc.)
La pretensión de una relación de confianza con el encuestado para mover la publicación de información
(por ejemplo, la publicación de una Clave o la divulgación de contraseñas)
Requisitos:
Resultados previstos:
Riesgo:
El ataque podría notarse como tal y provocar irritación entre la persona objetivo. Si se trata de la
publicación.
de información relevante, ¿podría esta circunstancia después de que se haya disuelto la prueba de
penetración y el sujeto sea su mala conducta es consciente de la
tensar la relación entre la persona objetivo y la organización objetivo, especialmente cuando se trata de
tomar una
Se realiza un intento por contacto telefónico con una persona que posee un conocimiento privilegiado
para explorar secretos. Se hace un intento, por ejemplo, bajo pretexto de relación.
La organización u otro acto interno. En este sentido, se convierte en la ingenuidad del empleado, la
organización objetivo y su necesidad involucrada y útil para su utilización.
Pasos de prueba:
Requisitos:
Resultados previstos:
Riesgo:
El ataque podría notarse como tal y provocar irritación entre la persona objetivo. Si se trata de la
publicación de información relevante, esta circunstancia después de que se disuelva la prueba de
penetración y el sujeto es su mala conducta es consciente de la relación de tensión entre la persona
objetivo y la organización objetivo.