LeStEr ThE TeAcHeR
From Hack Story
Hacker español de los 80/90, muy conocido por sus conocimientos de ingeniería social, que volcó en el documento "Ingeniería Social 1.0", donde relata dos casos protagonizados por él mismo:
Caso 1
Durante aquella época me encontraba desarrollando proyectos para un operador de telefonía cuyo nombre omito. Por razones del corto tiempo para el desarrollo total del proyecto y la escasez de personal ( dos males endémicos de los proyectos tecnológicos en nuestro país), no era raro que saliéramos del edificio a altas horas de la madrugada.
El trabajo se desarrollaba en un lugar de aquel edificio situado en los sótanos, muy cerca de la cafetería donde las chicas de atención al cliente tomaban sus cafés nocturnos, y también muy cerca de la maquina fotocopiadora descomunal que servia a todo el edificio. Así las cosas no era difícil entablar conversación en algún momento de descanso con aquellas chicas tan simpáticas que un poco cansadas de sus condiciones de trabajo contaban con tranquilidad casi cualquier cosa que se les preguntara abiertamente. El simple hecho de encontrarse en aquel edificio a las 3 de la mañana, como ellas, era razón suficiente para que te incluyeran en la lista de “profesionales maltratados que comparten sus penas”.
Días después de que el azar me hiciera conocer a aquella chica menudita de ojos despiertos aunque un poco tristes la vi aparecer por el pasillo un poco despistada con un montón de papel en la mano, por fin asomo la cabeza por nuestro despacho un poco vacilante.
.- Hola, me puedes decir donde esta la maquina de fotocopias? Llevo poco aquí y tengo que fotocopiar esto.
“esto” era el manual completo de operador del sistema de facturación de aquella operadora de telefonía. Mas o menos unas 150 paginas a 2 caras cuya importancia no radicaba en que explicara como debían hacerse los procesos operativos sino, y esto es a veces mas normal de lo que se puede uno imaginar, porque explicaba con pelos y señales las cosas que “nunca” debían hacerse. Se detallaban cosas como la manera de conectarse desde un PC de aquella compañía a diferentes direcciones IP donde se encontraban las maquinas que almacenaban todo el sistema de cobros y facturación a los usuarios y los programas que debían ejecutarse. Como modificar la facturación de un cliente o eliminar sus llamadas, como darlo de baja o de alta, como modificar los parámetros de facturación, precio por paso, etc.
Para “facilitarle las cosas” a mi nueva amiga la acompañe al cuarto de las copias y tras pedirle el manual yo mismo me encargue de hacer las copias. Mientras ella charlaba tranquilamente conmigo y tomábamos un café haciendo tiempo, la maquina realizo las 2 copias que aquella chica necesitaba y solo me quedo entregárselas al terminar.
¿ Se hicieron solo 2 copias de aquel manual? ... Permitidme que me guarde el secreto que, al fin y al cabo es ya menos importante pues el hecho es que “pudieron haberse hecho mas” y eso es lo verdaderamente grave de la historia.
¿porque un documento confidencial tan importante estaba tan mal custodiado? ¿porque nadie le dijo a aquella jovencita tan simpática la importancia de aquellos papeles? ¿porque las copias de algo así no estaban controladas y numeradas por un departamento de seguridad física o lógica? La respuesta es la de casi siempre en estos casos y es que “a nadie se la habría ocurrido” o peor aun “como nunca pasa nada no nos imaginamos que fuera importante”. Juzgar vosotros.
Caso 2
Se trataba esta vez de verificar uno de los sistemas de correo mas importante del mundo ( www.hotmail.com de Microsoft ) era verdaderamente seguro y me marque el objetivo de conseguir la contraseña de una cuenta concreta de la que tenia algunos datos ( esta cuenta se creo hace unos años pero se uso muy poco y era un nicho perfecto para experimentos). Se han encontrado diversos problemas de seguridad en los servidores de Hotmail, todos han sido reportados por listas de seguridad como “bugtraq” o incluso el CERT y en la mayoría de los casos se han subsanado los mismos por la compañía propietaria del servicio, sin embargo no había documentados ataques de ingeniería social que pudieran demostrar una vulnerabilidad de sus servicio de atención al cliente.
Lo primero que se hace es enviar un mail utilizando el servicio de recuperación de la contraseña. Se supone que la hemos perdido y por lo tanto rellenamos un formulario en la web y cubrimos mas o menos los datos que sabemos de la cuenta que nos interesa ( esta cuenta puede ser o no nuestra ), los mails que incluyo son reales pero se han modificado los nombres de personas y cuentas de correo.
La primera respuesta tarda solo unas horas :
From: "MSN Hotmail Customer Support" <service_x_es@css.one.microsoft.com>
To: <pepito@mimail.com >
Sent: Sunday, February 15, 2002 8:30 PM
Subject: RE: CST50216034ID - Passport
> Gracias por escribir a MSN Hotmail. Apreciamos su interés en nuestros servicios.
> Hemos revisado la información que usted nos ha enviado sobre la cuenta objetivo@hotmail.com con la que se encuentra en nuestra base de datos. Verifique los datos que envió, ya que tenemos algunas diferencias; por consiguiente y hasta no poder verificar su autenticidad no le podremos dar acceso a su cuenta.
> No dude en contactarnos de nuevo con cualquier duda, pregunta o sugerencia.
> Antony
> --- Original Message ---
> From: < pepito@mimail.com >
> To: "MSN Hotmail Customer Support" <service_x_es@css.one.microsoft.com>
> Sent: Sun Feb 15 08:43:46 PST 2002
> Subject: Passport
> SignInDate : 11 o 12 de Febrero 2001
> ContactEmailAddress : objetivo@hotmail.com
> CustomerName : Perico de los palotes
> UpdateCountry : false, false
> CUBirthdate : 28-09-1957
> CreateDate : en el ao 1999
> Submit : Enviar
> Country : ES
> FirstName : Ingrid
> LastName : fernandez
> Region : 10111302
Como veis no conozco los datos de país, y el mensaje que me envía Microsoft me aclara que debería conocer todo lo concerniente a la cuenta para recuperar la contraseña.
Segundo intento : Para afianzar mi postura de usuario real creo un fichero “.iaf” ( fichero de exportación de cuenta de correo de Outlook Express que les envió para que verifiquen que aunque con otra contraseña yo accedía a mi cuenta que “ya no funciona” y lo que ocurre es que me indican también por mail que mejor me abra otra cuenta de correo ya que no pueden darme datos para recuperar mi contraseña hablan de confidencialidad y seguridad, esta es la respuesta :
----- Original Message -----
From: "MSN Hotmail Customer Support" <service_x_es@css.one.microsoft.com>
To: <pepito@mimail.com >
Sent: Thursday, February 24, 2002 5:51 AM
Subject: RE: Re: CST50216034ID - Passport
> Gracias por escribir a MSN Hotmail. Apreciamos su interés en nuestros servicios.
> Debido a la privacidad que hotmail brinda a sus clientes los datos deben ser lo más exactos posible. Si recuerda la pregunta y respuesta secreta,algunos de sus contactos,y también algunas de sus carpetas por favor envíelas. Le agradecemos el envío de su información, sin embargo, los datos no coinciden con lo registrado al iniciar su cuenta. Le recordamos que Passport & Hotmail requieren que usted registre correctamente su información personal, así, en caso de olvidar su contraseña podemos verificar los datos correspondientes. Esta información la necesitamos por la seguridad de la cuenta y por su propio beneficio. Por favor verifique que la información suministrada sea correcta.
> Le invitamos a abrir una nueva cuenta. Por favor llene adecuadamente los espacios pertinentes a información personal.
> No dude en contactarnos de nuevo con cualquier duda, pregunta o sugerencia.
> Roger B.
Parece que la cosa esta cerrada pero este mail nos brinda una información muy importante y es que cada vez que enviamos un mail, la persona que responde es diferente y por lo tanto querrá quitarse en problema de encima lo antes posible pues no “tiene el caso asignado” sino que seguramente su rendimiento se mida en numero de respuestas correctas dadas o en soluciones positivas conseguidas, etc. Así que envió un tercer mail con un tono completamente enfadado con la compañía :
----- Original Message -----
From: "Perico de los palotes " <pepito@mimail.com>
To: "MSN Hotmail Customer Support" <service_x_es@css.one.microsoft.com>
Sent: Saturday, February 23, 2002 7:21 PM
Subject: Re: Re: Re: CST50216034ID - Passport
> Estoy muy enfadado con su servicio, son ustedes unos ineptos ya que mientras alguien esta utilizando mi cuenta de forma fraudulenta habiendome robado la contraseña en un ciber-cafe no con capaces simplemente de cerrarla y enviarme una contraseña nueva. ¿ ustedes creen de veras que si la cuenta no fuera mia estaria enviando mensajes y mensajes tratando de que ustedes me hagan caso ?
> Por segunda vez les envió el fichero .IAF con el que yo configuro mis ordenadores para leer mi mail.
> Dejen ya de dar vueltas y envienme una contraseña de nueva para mi cuenta objetivo@hotmail.com ya que esto me esta causando graves perjuicios.
> Me pregunto si tendre que publicar toda esta historia en alguna revista para que la gente se de cuenta de lo malo que es su servicio.
Bingo, la receta ha funcionado y el mensaje que recibo de la compañía es entonces el siguiente :
----- Original Message -----
From: "MSN Hotmail Customer Support" <service_x_es@css.one.microsoft.com>
To: <perpito@mimail.com>
Sent: Saturday, February 25, 2002 11:50 PM
Subject: RE: Re: Re: Re: CST50216034ID - Passport
> Gracias por escribir a MSN Hotmail. Apreciamos su interés en nuestros servicios.
> Hemos restablecido la contraseña de su cuenta como: ganaste2001
> Cuando tenga de nuevo acceso a su cuenta, cambie la contraseña. Haga clic en el botón "Opciones" en la barra de exploración horizontal. En "Su información", haga clic en el vínculo "Passport". Cree una pregunta para recuperar la contraseña y una respuesta a esa pregunta para poder utilizar el sistema automático de recuperación de contraseñas. Hotmail garantiza la privacidad de su correo electrónico al pedirle una contraseña para entrar en su cuenta de Hotmail. NO comparta su contraseña con nadie, incluso si afirma trabajar en Hotmail. Ningún empleado de Hotmail le pedirá su contraseña, ni por teléfono ni correo electrónico.
> MSN Hotmail dispone de una completa ayuda en línea para el usuario. Para obtener más información acerca de las características, funciones y problemas de Hotmail, haga clic en el botón "Ayuda" en la barra de exploración horizontal.
> Si los pasos anteriores no han solucionado su problema, responda a este mensaje y hágame saber qué pasos del proceso fallaron o si el problema persiste. Quiero ayudarle a obtener el mayor provecho de MSN Hotmail.
> Ann R.
> Su satisfacción con mi servicio al cliente es muy importante para mí. Si usted considera que el problema fue resuelto, ingrese al hipervínculo incluido para hacerme conocer mi desempeño. En sus comentarios incluya mi nombre y el número de caso, los cuales se encuentran en la línea de tema o asunto del correo. De esta forma podré llevar un control de mi servicio.
Como vemos la cosa no ha sido tan complicada, las técnicas utilizadas en estos mails son las que se denominan “ingeniería social inversa” que ya explicare mas adelante.
¿ porque dieron una contraseña nueva si no podían verificar la propiedad de la cuenta ?
En muchas compañías siguiendo la norma “El cliente siempre tiene razón” zanjan problemas simplemente cediendo ante la insistencia de un usuario que “como hemos demostrado” no siempre tiene razón. Esto ocurre porque el numero de casos en los que el cliente no cuenta la verdad es muy bajo y el coste de un problema no resuelto por ajustarse a la normativa puede ser peor para una compañía que la metedura de pata en caso de que el cliente este mintiendo El truco desde el punto de vista del IS es que sea conocedor de este hecho y lo pueda aprovechar.[1]
Notas
- ↑ Ingeniería Social 1.0. LeStEr ThE TeAcHeR.