SET 39 Call For Papers

¿Eres un hacker? Si deseas pasar a formar parte de la historia del hacking hispano, colabora con la próxima edición de SET 39 enviándonos un artículo. No esperes más, esta es tu oportunidad de demostrar lo que sabes. Ayúdanos a construir una revista de hackers para hackers. SET Staff

Como pescar claves en el irc II

      2336

Autor: eljaker
        3. Como pescar claves en el irc II
        ----------------------------------
        El truco de la chica que necesita ayuda
        ---------------------------------------


Por fin la esperada segunda parte de esta serie de art¡culos sobre la
ingenier¡a social. En esta segunda parte empezaremos a hablar de las
t‚cnicas concretas de "ataque". La tactica que usaremos sera, la de
hacernos pasar por una chica y as¡ facilitar nuestro trabajo.

Lo primero que tenemos que hacer es crearnos una segunda personalidad
(femenina) y pensar que papel tomaremos. Decidiremos nuestro caracter
y nuestros rasgos, todos ellos imaginarios. No hace falta ser muy buen actor,
para meterse en el papel de chica en apuros, sobre todo teniendo en cuenta
que en el irc no se ven las caras, pero hay que actuar de una manera
pensada. No se os ocurra referiros a vosotros mismos en masculino,
no os refirais a las mujeres como ellas, sino como nosotras, etc...


Donde atacar:
-Canales de ligue, pero no de sexo. No tienes que parecer salida, sino
simplemente simpatica.
-Canales de novatos, cuanto mas novato sea nuestro objetivo, mas confiado
y facil, sera.
-Busca canales donde la gente que haya sea de mediana edad, 30-50 a¤os,
son los que pican mas facilmente.


A quien atacar:
-Varon, adulto, mediana edad.
-Caracter simpatico y paternal.
-Dispuesto a ayudar y responder dudas.
-Que tenga interes personal en ti. Esto se reconoce muy facilmente,
si en el canal, al hablar se dirige a ti, o te invita a un canal privado,
etc... Que se note que quiere hablar contigo.


Rasgos principales de nuestro personaje:
-Debe ser femenino, hablar como una mujer, no como un camionero. :-)
-Tener un nombre tipico, y que le resulte familiar al sujeto, como
Ana, Maria, Laura, etc...
-Tienen que parecer que no tienes ni idea de informatica, eres una
total principiante en informatica.
-Intenta parecer joven, atractiva, seductora... :-)
-Necesitas ayuda, procura parecer necesitada.
-Crea un personaje creible, no vayas a decir que eres una sueca de 2 metros
y portada del playboy. (Aunque a lo mejor si dices eso, consigues el
password mas rapidamente :-)


Como actuar:
-Al principio actua de una forma insegura, como si fuese la primera vez
que usas el irc.
-Pregunta mucho, pregunta cosas simples, como si conocieses poco la
informatica, pero ojo, no te pases.
-Dale confianzas, hazle creer que puede ligar contigo, o conocerte en
persona.
-Dale datos concretos (pero inventados) sobre ti, eres alta, morena,
etc... De esta forma se confiara mas, porque se cree que te conoce.
-Por supuesto, la conversacion tiene que ser privada, aunque a veces
puede ser util compincharse con un amigo. (Ya lo veremos en otro
articulo)
-Ponte en una posicion de alumna, y el otro de maestro. Tienes que coseguir
que el "sujeto" se encuentre en una situcaion en la que quiera,
voluntariamnete, darte informacion.
-Hazle creer que aunque necesites el password, no lo vas a usar mucho,
porque si le dices que vas a estar llamando a todas horas con su clave,
seguramente pasara de ti.
-Tambien hazle creer, que devido a tus bajos conocimientos de
informatica apenas vas a saber que hacer con el password. Es decir
que aunque te lo de, no vas a saber que hacer.
-Por supuesto, le prometes que todo quedara entre vosotros.


Momento de atacar:
-Cuando lleves un tiempo hablando con el, y se sienta confiado.
-Empieza lanzando indirectas, y luego pasa a perirselo directamente.
-Nunca exijas el password, pidelo por favor, y con tacto.
-No siempre se consigue a la primera,  muchas veces tendras que
intentarlo varias veces. Queda con el otro dia, y vuelve a intentarlo,
cuntas mas veces hableis, mas confiado estara y mas facil sera que
"confiese".


Despues de este ligero guion, voy a poner un ejemplo, para que la tecnica
quede mas clara.

Este ejemplo ha sido sacado de una conversacion real tenida por uno de
los nuestros, hace unos 6 o 7 meses. Ha sido un poco retocada y resumida,
para ahorrar espacio. Fue grabada en un total de tres sesiones, y en la
tercera el sujeto confeso:

[*]Los comentarios entre parentesis significan, trozos borrados
o resumidos.

Lugar: Canal del irc
Hora: Domingo por la tarde (hora ideal)
Sujeto: Jose Luis Vera, casado, cuarentaitantos...


Maria>>(recien llegada al canal) hola

JLuis>>Hola

[Presentaciones, etc...]

JLuis>>Alguien de aqui es de alicante

Maria>>si yo

[...]

JLuis>>Encantado de conocerte, de que parte de Alicante eres

[Peligro!!]

Maria>>de san juan

JLuis>>Ya, yo soy de la capital
JLuis>>Pero los veranos, algunas veces los paso en San Juan

[Uff, salvados por los pelos, parece que las clases de geografia sirvieron
para algo]

Maria>>si, algun dia podriamos quedar y vernos

[Ataque directo, es un poco pronto, pero esta bien hecho]

JL>>Si, a lo mejor un dia de estos
JL>>Oye

M>>si

JL>>Que edad tienes

[Cojonudo, empieza el morbo]

M>>(a ver, a ver) cumplo 23 en julio

JL>>Yo soy un poco mayor, pero eso no importa

[Esto funciona]

M>>no

[Sguen hablando]

JL>>Bueno, tengo que irme
JL>Encantado de conocerte, a ver si nos vemos otro dia,
JL>>en este mismo canal

M>>vale, adios

[Se despiden, hasta otro dia]

[Casualmente se encuentran otro dia]

JL>>(entra en el canal) Hola

M>>hola jose, que tal

[Las confianzas son buenas, porque le haran confiarse a el tambien]

JL>>Hola Maria, otra vez aqui.

[Conversan de varias cosas, Maria le hace un par de preguntas sobre el
uso del mirc :-) y sobre la configuracion del software de infovia,
finalmente quedan para otro dia. Nada interesnate.]

[Y al tercer dia]

M>>el otro dia me dijiste, que habia que poner el password, que te da
M>>tu poveedor de internet, en la casilla de abajo del todo, pero
M>>cuando lo pongo salen asteriscos y no se ve nada

JL>>No se porque saldran, en el mio tambien salen
JL>>creo que es para que nadie vea tu password cuando lo tecleas

[Esto confirma, que es novato en esto de la informatica, parece que elegimos
bien.]

[Siguen hablando sobre la configuracion]

JL>>Mira, por ejemplo mi configuracion es:
JL>>Nombre: CTV
JL>>Telefono: 055
JL>>Usuario: JLuis@ctv
JL>>Clave:
JL>>bueno mi clave no te la digo, pero ahi tienes que poner tu password
JL>>y entonces te saldran unos asterisco

[Casi...]

[etc...]

M>>pues yo estoy usando la cuenta de mi hermano, pero se le acaba
M>>dentro de un par de semanas, y dice que no la va a renovar
M>>porque el la usa poco, y yo solo la uso para el irc

JL>>Es una pena

[Usando varios trucos, consigue ponerse en una situacion de
necesidad]

[Maria le cuenta sus penas a Jose Luis y parece que funciona]

M>>a lo mejor si tu me dejaras tu clave podiamos seguir hablando

[Ataque demasiado brusco, veamos como sale]

JL>>Es que no se...
JL>>En CTV me dijeron que no se lo diese a nadie

M>>venga
M>>si nadie se va a enterar

[algo basico, le promete que todo quedara en privado]

[sigue intentando convencerle]

[y...]

JL>>Bueno, mi password es XXXX

[Bingo!!!]

JL>>Pero no se lo dejs a nadie

M>>vale

[Se despiden]

[Maria se va al canal donde se reunen sus amigos, para vacilar de su
aza¤a y para burlarse un poco de su amigo, que el otro dia intento ligar
con ella :-)  ]

------------------fin de grabacion-----------------

Bueno, es un ejemplo un poco simple, pero espero que os haya servido
para comprender mejor, en que consiste esto de la ingenieria social.

Estas tecnicas, son sencillas de aplicar, pero requieren practica
y experiencia, a si que despues de leer esto, pasaros por el irc
y al ataque.

                                                                eljaker