Introducción
- Escenario: Donde se desarrollarán las operaciones. Puede ser físico o lógico.
- Identidad: Necesaria como parte de nuestro rol. Una nueva identidad garantiza anonimato, accesibilidad y viabilidad en los diferentes escenarios que el experto ingeniero social se pueda encontrar.
- Rol: Esta ligado a lo anterior. Con un rol, tendrás una identidad y se actuará en un escenario acorde al rol elegido. Es usada para manipular u obtener información privilegiada de la víctima. En el ámbito de la ingeniería social es muy usada para hacerse pasar por un miembro de la organización empresarial «impersonation».
Estudio dedicado del rol
Es importante un estudio técnico del rol a desempeñar para evitar que salga mal el plan. El tema técnico o especifico se refiere a dominar la informática si el rol es un sysadmin, o de derecho si el rol es ser un abogado…y muchas más disciplinas. Si se tiene especial interés en alguna de estas disciplinas, será un punto más a favor. La información para documentarse se puede encontrar en cursos, páginas web o libros.
Un buen ingeniero social que realiza un estudio minucioso de su rol sabe perfectamente enmascararse en su perfil haciendo creer a su víctima, inspirándole confianza por sus actitudes y acciones, y en definitiva su conocimiento técnico en la disciplina del rol elegida.
La presión inspira nerviosismo al ingeniero social. Para ello es necesario el perfeccionamiento de esta técnica haciéndose pasar el que usa este rol como instructor y el novato ingeniero social haciendo uso del «elicitation» mencionado en la entrada anterior. Un ejemplo sería que el instructor haya conseguido acceso físico a una empresa, y este atento a su compañero para que este le pida el ID de empleado o el número de teléfono de cierta persona y este pueda valorar mediante las facciones corporales y verbales si esta nervioso.
El uso del teléfono móvil para realizar ataques de ingeniería social, es un hecho muy importante como parte del estudio del rol. No requiere presencia física en el lugar y se puede obtener gran cantidad de información valiosa. Digamos que es positivo, ya que al no tener contacto físico con la persona con la que forma parte en la conversación:
- No puede analizar el lenguaje corporal y no saltar alertas de sospecha
- No se expone ante medios de vigilancia de seguridad en la organización empresarial
Tiene una desventaja. Un perfecto «actor» o ingeniero social, si se vale de su encanto y su lenguaje corporal puede obtener más información de la víctima causándole afabilidad, empatía y confortabilidad.
Ejemplos de roles, tenemos muchos y dependiendo de la disciplina tenemos a expertos ingenieros sociales que se hacen pasar por altos ejecutivos, a un simple técnico de mantenimiento.
En el caso de un técnico solo nos vale vestir con un polo de la empresa y un portátil en muchas ocasiones con gran facilidad de acceso físico y sin supervisión. Para empezar nuestro rol basta con decir:
Atacante: «Soy el técnico informático de la empresa X» (Puesta en marcha del rol)
Víctima: «Claro, y ¿cuál es la tarea que va a realizar?» (Se hace patente y realidad el escenario)
Atacante: «Vengo a realizar el mantenimiento de los servidores» (Plan técnico del rol)
Víctima: «Muy bien, ¿me deja su tarjeta de empleado para verificarlo en la BBDD? «
Atacante: «Si, claro por supuesto» (La obtención de información previa, y falsificación de nuestra identidad)
Toda conversación que vaya a formar parte en nuestro plan, debe ser espontánea:
- No puede influir el que se haya preparado el rol durante 2 semanas o más en nuestro comportamiento y se pierda credibilidad debido a expresiones frías y con poca naturalidad.
- Ciertas palabras tales como «eeee» o «ummm» en la conversación implica inseguridad y aparenta cierta desconfianza y poca empatía con la víctima en este caso.
- Saber identificar en la conversación, trozos de información de gran relevancia, para su posterior análisis y obtención de inteligencia.
- No hay que ser muy serio, tener notas de humor de vez en cuando y desvelar una bonita sonrisa causa simpatia y afabilidad.
- Los tiempos de respuesta influyen mucho también.
Conclusión
La psicología al igual que la inteligencia en el ingeniero social es un aspecto importante, ya que la combinación de ambas garantiza que se pueda realizar el plan estudiado del rol con total éxito. Debe ser una persona extrovertida, y con dotes sociales para establecer conversación con personas totalmente desconocidas.