"Aquello que no te mata... debería hacerte más fuerte" ;)
InfoSecMan Blog
Un Ejemplo de Ataque Dirigido
25 July 2007Siempre comentamos en este foro que los ataques y las amenazas que más nos deben preocupar son aquellas que son dirigidas y con intención. Esto es una realidad puesto que al existir intención se emplean más recursos en la utilización de una técnica más elaborada en el tipo de ataque.
El phishing es un tipo de ataque que últimamente estamos viendo en las noticias y que muy probablemente muchos de nosotros recibimos periódicamente a través de mensajes falsos provenientes de nuestros bancos, servicios on-line como PayPal, etc.
Normalmente este tipo de ataques no tienen una gran complejidad y en la mayoría de los casos pueden ser catalogados incluso como “burdos” (traducciones a nuestro idioma espantosas, datos falsos que llaman mucho la atención, etc.), aunque a veces sí que se pueden ever ejemplos de ataques con cierto grado de elaboración.
Me he encontrado un documento muy interesante elaborado por un grupo de trabajo de la facultad de información de la Universidad de Indiana allá en el 2005 en el que describen un experimento muy interesante. Elaboraron un ataque de phishing dirigido hacia sus propios alumnos, y para su desarrollo utilizaron técnicas de ingeniería social con la información pública que de ellos conseguían en Internet y más concretamente en redes sociales como MySpace, LinkEdin, etc. lo que hizo que los mensajes “falseados” fuesen bastante más “creíbles” (con origen de una persona conocida, sobre temas en común, etc.).
Los resultados son muy interesantes y el análisis que realizan del experimento es muy entretenido: desde cómo lo llevaron a cabo técnicamente, hasta los procentajes de ataques exitosos conseguidos (muy altos), su distribución por año en el que estaban estudiando (los “novatos picaban más”), o incluso por estudios (los estudiantes de IT son lo que menos “picaron”, aún así con más de un 30%). Incluyen también el carácter de los comentarios aparecidos en los foros de la universidad relativos al ataque/experimento, etc.
Un texto muy entretenido, cortito (10 páginas), que aunque data de Diciembre de 2005, permanece totalmente actual….
Podéis descargar el artículo completo aquí.
No Comments » | Posted in Documentos, Hacking, Ingenieria Social, Sociedad | del.icio.us |
Últimos "tweets" en InfoSecManBlog
- Genial la música ;) @Pmartin_izertis: @InfosecManBlog Genial Café Central 3 years ago
- #offtopic Enjoying good latin jazz with Pepe Rivero, El Negron, Inoidel Gonzalez & Georvis Pico @Cafe Central (Madrid) http://t.co/glFLMhyb 3 years ago
- FYI: @Security_REC: Security Job: Director NERC Cyber Security Solutions sndts.co/7334fb51d9a946… #security 3 years ago
- “@rmogull: “@securosis: New post: Time to Play Nice with SCADA Kids bit.ly/VIagfh” > from @gattaca“ 3 years ago
- +1000 @cibercrimen: Los alumnos creen que van a aprender de mi y se equivocan. Ya tengo unas ideas para aprender todos 3 years ago
Últimas entradas
- Resumen Semanal desde Twitter (2013-06-07)
- Resumen Semanal desde Twitter (2013-05-31)
- Resumen Semanal desde Twitter (2013-05-24)
- Resumen Semanal desde Twitter (2013-05-17)
- Resumen Semanal desde Twitter (2013-05-10)
- Resumen Semanal desde Twitter (2013-05-03)
- Resumen Semanal desde Twitter (2013-04-26)
- Resumen Semanal desde Twitter (2013-04-19)
- Resumen Semanal desde Twitter (2013-04-12)
- Resumen Semanal desde Twitter (2013-04-05)