Ingeniería social en un pentest o prueba de penetración

Iniciado por ZeroMike, Julio 23, 2020, 10:57:23 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Julio 23, 2020, 10:57:23 PM Ultima modificación: Julio 23, 2020, 11:47:19 PM por Gabriela
¿En un pentest es común y/o legal emplear técnicas de ingeniería social basada en interacción directa? Es decir hacerse pasar por otra persona por medio de manipulación cara a cara, tirar pen drives por la empresa, hacer trashing, hacer llamadas telefónicas para sacar información etc... esto lo puede hacer un hacker etico como parte de una prueba de penetración o esto es solo cosa de Black hat hackers?

Buen día

Depende del pentest de los alcances pre establecidos para el mismo, enumero hay de caja blanca , negra y algunos casos de caja gris.

Donde tenes datos o no tenes nada...de ahí inicias.

Se puede pre establecer con el cliente las herramientas (trashing,spear phishing,phishing,vishing,ingenieria social,PLN,).

Igualmente las herramientas están...solo depende dejar en claro a través de un informe final confidencial del pentest para el cliente.

En la entrega confidencial del informe esta la diferencia entre un hacking etico de uno con otras intenciones.

Recuerdo un vector de ataque para un ensayo al arquero de boca Esteban Andrada.

Se opto por un ataque de  spear phishing mas uno de vishing , un app maliciosa , con datos de ingeniería social recolectados en el proceso inicial.

Saludos.




Julio 24, 2020, 06:00:29 PM #2 Ultima modificación: Julio 24, 2020, 06:30:53 PM por Gabriela
Si  hablamos de un pentest, el primer paso a su realización es el acuerdo, establecimiento de pautas, límites, alcance, etc. que se acordarán con el cliente. Eso estará dentro de un marco de legitimidad.

Ahora si te refieres a una intrusión sin consentimiento, los límites éticos estarán conforme a tu propia ética o moral.

Saludos

Gabriela

Tú te enamoraste de mi valentía, yo me enamoré de tu oscuridad; tú aprendiste a vencer tus miedos, yo aprendí a no perderme en tu abismo.

Todo va a depender de lo que se especifique en el contrato y las técnicas que te permita realizar la empresa, lo más normal es utilizar ingeniería social ya que conviene siempre mantener alerta a los empleados, y hacerlos caer en pishing aunque sea falso, suele ser una situación que ayuda mucho a concienciar xd.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta