Análisis OSINT para la creación de un ataque de ingeniería social

Análisis OSINT para la creación de un ataque de ingeniería social

¿Qué es el Análisis OSINT? El OSINT, siglas de “Open Source Intelligence”, son aquellas fuentes abiertas en las que consultar datos de forma pública. El ejemplo más típico es Internet, donde existe gran cantidad de información pública a la que todo el mundo puede acceder. Un periódico digital, aun siendo de pago, también formaría parte del OSINT, pues no existen restricciones en su consulta.

Análisis OSINT para la creación de un ataque de ingeniería social

Juan Antonio Estévez

Por Juan Antonio Estévez

Perimetral Security Specialist at Telefónica Tech y alumno de la 9ª edición del Máster en Ciberseguridad

Fernando Romero Carmona

Por Fernando Romero Carmona

Cybersecurity / Computer Engineer y alumno de la 9ª edición del Máster en Ciberseguridad

La prueba de concepto realizada corresponde con la creación de dos ataques de ingeniería social a partir de una imagen. A raíz de dicha imagen, se obtienen diversos datos, como descubrir que la foto no es original, y posteriormente averiguar los nombres de las personalidades que aparecen. Tras haber seleccionado un objetivo, el cual ha sido Dmitri Anatólievich Medvédeva, antiguo presidente ruso, se procede a la obtención de todos los datos posibles.

Analisis-OSINT

El camino lleva a su página en la red social VK, el equivalente a Facebook en el territorio ruso. Gracias a la herramienta “The Social Engineering Toolkit” SET, se duplica la página de inicio de sesión de VK. A partir de este punto solo sería necesario proporcionar a la víctima la URL del sitio web duplicado y que esta intentara el acceso, enviando sus credenciales al atacante.

El segundo ataque consiste en conseguir acceso a la Webcan. En este caso, la URL maliciosa será generada mediante la herramienta StormBreaker. Con la ayuda de SET se crea un código QR con la URL maliciosa. Si la víctima accede a la URL que se le envía, permitirá acceso a la cámara del dispositivo.

Conclusiones

En esta pequeña prueba de concepto queda claro la sencillez con la que un atacante, mediante la consulta de información pública (en ningún momento se accede a información confidencial) y el uso de dos sencillas herramientas, puede diseñar ataques dirigidos a un objetivo concreto.

Si quieres ver el proyecto completo de Fernando y Juan Antonio, rellena el formulario y te lo mandamos a tu correo electrónico.