11 octubre 2010

En la pasada Defcon celebrada en Las Vegas se puso en marcha un interesante reto de 'Ingeniería social', el objetivo era sonsacar información corporativa a empleados de unas cuantas de las principales compañías Estadounidenses (El famoso Fortune 500).

Las empresas seleccionadas fueron: Google, Wal-Mart, Symantec, Cisco, Microsoft, Pepsi, Ford y Coca-Cola

De ellas fueron seleccionados 135 empleados, luego actuando casi como Copp en Origen, se dedicaron a intentar sonsacar información sobre la compañía en cuestión. El objetivo era obtener datos aparentemente 'inocuos' tales como el sistema operativo, la marca de antivirus o -y esto es realmente genial- intentar que el objetivo de la llamada visitase una web externa preparada para el concurso. Lo sorprendente fue que consiguieron que muchos empleados la visitasen. 

No cuesta imaginar dos cosas: Sabiendo el sistema operativo / modelo de navegador y antivirus, resulta extremadamente fácil hacer una criba rápida a la hora de diseñar un ataque. Y dos: si puedes convencer a alguien para que se conecte a una URL bajo tu control, montar una web con un 'kit de infección' puede ser demoledor y si combinamos uno y dos, letal

De entre todos los empleados solo 5 (todas mujeres) se negaron a revelar ninguna información y colgaron la llamada al ver que algo raro había. Tres de ellas tienen puestos de responsabilidad en sus respectivas compañías

Muchas veces las organizaciones tienen la vista puesta en Firewalls, IPSs, sistemas de autenticación segura y obvian un punto clave a la hora de plantear su estrategia en materia de seguridad: la concienciación a todos los niveles

2 comments :

rusty73 dijo...

No me extraña, no se puede engañar a las que han creado este tipo de ataque :PPPPP.

Anónimo dijo...

Recurriendo a los tópicos
1 La desconfianza de las mujeres lo llevan en los genes
2 No tienen ni idea ni de qué sistema operativo usan y por eso no supieron ayudar.al atacante.

Tómese el comentario con humor o ignorelo