Muchos hacks exitosos comienzan con una publicación desprevenida en las redes sociales.
Es común que las personas publiquen fotografías y videos de su vida cotidiana en sus perfiles de redes sociales, pero dicho contenido generado por el usuario puede plantear importantes problemas de seguridad. Las redes sociales son excelentes para recopilar información sobre las personas. Así es como los piratas informáticos recopilan y explotan precisamente esta información.
La recopilación de inteligencia es el primer paso para la piratería
Lo primero que hacen los hackers antes de atacar un sistema es recopilar información. A veces, este proceso puede llevar minutos, horas, meses o años. Este período de tiempo varía según la capacidad del sistema de destino, el número de empleados, el tamaño del ataque y las medidas defensivas. El objetivo aquí es identificar todas las debilidades del sistema objetivo y crear una estrategia de ataque.
Por ejemplo, imagine una persona cuyo nombre de usuario de Instagram es
víctimausuario tiene un correo electrónico de empresa con la extensión ejemplo.com, y han comprado un billete de avión para realizar un viaje de negocios al extranjero. Resulta que el usuario víctima está muy entusiasmado con esto y decide subir una foto para compartir la emoción con sus seguidores y amigos en Instagram. En esta foto subida por el usuario víctima se puede ver cierta parte del billete de avión. UH oh. Esta es una información muy útil para un hacker.Aunque el billete de avión completo no es visible en la foto compartida por el usuario víctima, dado que el billete de cada compañía es diferente, el hacker puede entender a qué compañía pertenece este billete. Luego, el hacker leerá la descripción debajo de la foto. Si victimuser compartió la fecha y hora del vuelo, el trabajo del hacker será más fácil. Pero incluso si esta información no está disponible públicamente, el pirata informático puede hacerse pasar por un cliente, ingresar al sitio web oficial de la compañía aérea y examinar los planes de vuelo. Esto significa que los piratas informáticos pueden predecir el día y la hora del vuelo perteneciente al usuario víctima.
En este punto, el hacker comienza a pensar en los vectores de ataque mientras que el usuario víctima continúa pensando que está haciendo una publicación inocente.
Usando el poder de Google, el hacker comienza a buscar los boletos de la compañía de vuelo aprendidos del usuario víctima. Entonces el primer paso que tomará el hacker es hacer tonterías de Google.
Con Google dorking, puede buscar extensiones de archivo específicas en un sitio determinado. En este caso, el hacker busca archivos PDF de la compañía de vuelo del usuario víctima. El hacker descarga este archivo PDF y lo manipula para satisfacer sus necesidades.
Algunos piratas informáticos engañan y defraudan a los usuarios objetivo a través de un proceso conocido como ingeniería social. En esta etapa, el pirata informático creará una dirección de correo electrónico realista y el texto del cuerpo que la acompaña. Luego pueden adjuntar un archivo PDF modificado que contenga malware. Si victimuser abre este correo electrónico, el hacker ha logrado su objetivo.
Si el hacker conoce la hora y el día del vuelo del usuario víctima, por supuesto, el correo electrónico falso será mucho más realista, pero la mayoría de las veces, esto puede no ser necesario. Si hay un sistema de membresía en el sitio de la compañía de vuelos, el pirata informático puede convertirse en miembro y recibir un correo electrónico de la compañía de vuelos. Esto ayudará al hacker a aprender el diseño y el estilo HTML del correo electrónico utilizado por la compañía de vuelo.
Después de preparar el correo electrónico falso, el hacker ahora necesitará obtener una dirección de correo electrónico con un dominio que pertenezca a la compañía de vuelo, pero esto es casi imposible de hacer. Es por eso que el pirata informático prepara una dirección de correo electrónico de la compañía de vuelo falsa. Pueden poner una dirección de correo electrónico diferente delante de una cuenta de correo electrónico normal para enmascararla y, a menos que el usuario objetivo haga clic en esta dirección, no verá la dirección de correo electrónico real detrás de ella. Es un truco fácil del que caer.
Después de que el pirata informático haya preparado una dirección de correo electrónico falsa, solo queda un paso: averiguar la dirección de correo electrónico del usuario víctima. El pirata informático puede recurrir a la opción de contraseña olvidada para esto.
Después de la opción de contraseña olvidada, el pirata informático puede descubrir el nombre de dominio de correo electrónico del usuario objetivo. En este ejemplo, victimuser tiene un dominio llamado example.com y parece tener una dirección de correo electrónico como v******[email protected]. Por supuesto, el hacker puede comprender de inmediato que la parte marcada con * es el nombre de usuario de la victimuser. Si no fuera tan simple, el hacker podría haber buscado con Google dorking para ver si hay otras direcciones de correo electrónico con el dominio example.com. Sin embargo, ahora el hacker tiene el correo electrónico de la víctima.
Cómo se ven las cosas desde la perspectiva de la víctima
Un correo electrónico urgente llega al usuario víctima, y este correo electrónico es tan convincente que el usuario víctima cae en esta trampa. Después de todo, este correo electrónico contiene el billete de avión, la información del vuelo y políticas de vuelo importantes. Además, la dirección de correo electrónico se parece a la dirección de correo electrónico de la compañía aérea. Todo parece legítimo.
Además, dado que el usuario víctima tomará este vuelo para un viaje de negocios, se toma en serio este correo electrónico. En la parte inferior del correo electrónico, hay un enlace como "documentos que debe completar para completar los trámites de su vuelo". Tan pronto como el usuario víctima hace clic en este enlace, el hacker obtiene lo que busca.
¿Qué nos dice esta historia?
La mayoría de nosotros no somos diferentes de los usuarios víctimas, y es importante ser consciente de esto. El error que cometió el usuario víctima en este escenario de ejemplo fue compartir públicamente la información del ticket, que es información personal y privada. Y aquí está la cosa: esta era una historia real. Así que piénselo dos veces antes de compartir información relacionada con su negocio o su vida personal.