LinuxParty

Steve Stasiukonis ha escrito un artículo sobre la ingeniería social basada en las cada vez más populares unidades de memoria USB. En el texto "Social Engineering, the USB Way" demostraba lo sencillo que había sido obtener contraseñas de los usuarios de una empresa utilizando las memorias USB como reclamo. Aunque sea un método curioso, no es nada nuevo. (sigue...)

Según cuenta en su artículo, fue contratado para realizar una auditoría de seguridad en una compañía. Se le pidió expresamente que hiciese hincapié en el escabroso asunto de la ingeniería social, más incluso que en el aspecto técnico. Esto resulta una buena idea, pues a menudo son los usuarios la mayor amenaza para la seguridad de una empresa.

Si anteriormente lo que solía hacer era un acercamiento físico a las personas, de manera que se las engatusaba de alguna forma para que revelaran información importante, en esta ocasión debía ser diferente. Los trabajadores estaban alerta, pues ya conocían que se iba a llevar a cabo una auditoría donde ser realizarían técnicas de ingeniería social. Fue entonces cuando Stasiukonis cambió de técnica.

Recolectó memorias USB obsoletas e introdujo en ellas un troyano que enviaría las contraseñas y demás información sensible al atacante. En vez de intentar de nuevo convencerlos de que usaran aquellas memorias antiguas y de poca capacidad, pensó en abandonarlas casualmente en el aparcamiento, zonas para fumadores y demás áreas frecuentadas por los trabajadores. La curiosidad hizo el resto y poco después el atacante estaba recibiendo decenas de contraseñas. En concreto 15 de las 20 memorias fueron introducidas en un ordenador del trabajo y quedaron infectados.

Este suceso no se diferencia de otras noticias conocidas del pasado. En la "InfoSecurity Europe 2003 conference" se dieron a conocer unas escalofriantes cifras. El 95% de los hombres y el 85% de las mujeres revelaron sus contraseñas a cambio de un bolígrafo barato. También, como ya se habló en un boletín de una-al-día anterior, el experimento de autopromoción llevado a cabo por "The Training Camp" no ofrecía dudas. Bajo la excusa de que el disco contenía información sobre una promoción especial, se iba regalando un CD a los ejecutivos que acudían a su trabajo en Londres. Los compactos no contenían en realidad tal oferta, sino un simple código que permitía informar a la compañía de quién había
ejecutado el programa en su interior. Entre ellos, según la noticia, se encontraba personal de grandes bancos y aseguradoras multinacionales.

Más información y fuente de la noticia, el boletín de seguridad de Hispasec 2790, Jueves, 15 de Junio de 2006