Vishing: vigila quién llama

El phishing es una de las técnicas más utilizadas para robar credenciales de usuario, números de tarjetas de crédito, etc.. . Pero existe otra técnica derivada para obtener datos sensibles: el vishing. El vishing (o Voice phISHING) consiste en realizar llamadas a empleados a los que, después de dar un contexto válido y creíble, se les solicitan ciertos datos, incluso que se les va a enviar un correo con unas instrucciones. La principal puerta de entrada a los datos de una empresa son los propios empleados, que ante los escasos cursos de concienciación de seguridad que se imparten, acceden muchas veces a proporcionar todos los datos ante una llamada del departamento técnico.

CONTEXTO

Imaginemos que una empresa nos ha contratado para realizar una prueba de vishing sobre sus empleados. Puede que la propia empresa nos proporcione un listado de empleados que ella considera “débiles” o simplemente que realicemos nosotros un listado de empleados sin distinciones. Os recuerdo que todos estos procesos se realizan con fines educativos únicamente y que debéis usar estas técnicas con responsabilidad.

LOCALIZANDO EMPLEADOS

Nuestra principal herramienta aquí son las redes sociales. Necesitaremos nutrirnos de ellas para localizar empleados con los que llevar a cabo las llamadas telefónicas. La primera búsqueda, por ejemplo, la realizaremos en Linkedin. Esta red social de trabajo nos permite visitar los perfiles de los empleados y ver la información pública que detallan. También nos permite cambiar la privacidad de nuestra cuenta de forma que, aquellos perfiles que visitemos, no sepan que lo hemos hecho (creo que exceptuando las cuentas premium).

Una vez dentro, accedemos a la opción Privacidad y dentro de ella, a la opción Opciones de visualización del perfil. Marcaremos la opción Modo Privado :

 

Ahora comenzaremos a elaborar un listado de empleados, fijándonos en los siguientes puntos de su perfil:

  • Foto de perfil: el tipo de foto del perfil de un empleado dice mucho de su personalidad. Por la experiencia que tengo, los empleados con fotos informales han sido más colaborativos que los empleados con foto en la que aparecen trajeados.
  • Cargo que ocupa: preferiblemente seleccionaremos empleados que tengan un perfil bajo dentro de la empresa o un perfil poco relacionado con la informática. No es lo mismo llamar a un Jefe de Zona que a un Técnico.
  • Años en la empresa: la gente que lleva poco tiempo en la empresa es más susceptible para proporcionar los datos que se le soliciten. Cuanto menos tiempo lleve en la empresa, a menos empleados conoce, por lo que es más fácil engañarle haciéndote pasar por alguien del departamento técnico.
  • Información personal: existe bastante gente que pone su número de teléfono personal en sus perfiles de redes sociales. Tener el número personal para localizarlo directamente es una buena opción. También es recomendable localizar al menos un correo electrónico de algun empleado con el objetivo de comprobar el formato que siguen en la empresa.
  • Aficiones: siempre que se pueda, es bueno intentar ganarnos la confianza del empleado comentándole algo relacionado con sus aficiones. El objetivo es llevarle a nuestro terreno.

 

 

Aparte de elaborar un listado de empleados, tenemos que localizar a aquellos que tengan un cargo con responsabilidad en el supuesto departamento en el que trabajamos, ya que muchas veces se suele preguntar quién es nuestro responsable. Proporcionar información que coincida con lo solicitado dará un punto de veracidad a nuestro personaje.

INFORMACIÓN DE LA EMPRESA

La información relativa a la empresa también es muy importante a la hora de intentar salir airosos de preguntas inesperadas. Ante la pregunta dudosa de “perdona, pero, ¿de dónde me llamas?” podremos inventarnos que estamos llamando desde “el edificio situado en X en la calle X donde está el monumento X” el cual será un edificio distinto al que se encuentra el empleado.

La información de la empresa a recoger será:

  • Número de edificios.
  • Calle y número de los edificios.
  • Provincia en la que se encuentran.
  • Detalles del edificio, intentando averiguar con Google Maps el número de plantas, cómo es el edificio, etc…. .

CREANDO UNA PERSONALIDAD

A la hora de realizar el vishing es necesario que nos metamos en el papel de un empleado del departamento técnico de la empresa víctima. Necesitaremos un nombre ficticio el cual no debemos olvidar durante las llamadas ya que daría que sospechar. Es buena práctica repetir una frase del tipo “Mi nombre es <NOMBRE_FICTICIO> y te llamo del departamento de técnico” varias veces hasta que nos lo creamos.

Puede suceder, por experiencia propia, que la empresa objetivo sólo tenga un edificio de varias plantas en el que se encuentra ubicado el departamento técnico. En este caso es probable que, por desconfianza, nos puedan preguntar “dónde estás sentado, que estoy aquí al lado y no te veoo también “espera que bajo y lo vemos en tu sitio“. Aquí es cuando necesitamos cambiar la estrategia. En vez de decir que formamos parte del departamento técnico, diremos “te llamo de la empresa <NOMBRE_FICTICIO> que colabora con <MARCA_ANTIVIRUS> para la solución de infecciones por malware“. Eso sí, sería necesario saber el antivirus que utilizan.

GANAR LA CONFIANZA DEL EMPLEADO

Ya tenemos elaborada una lista de 20 empleados. Tenemos que crear un guión de información ficticia, preguntas a realizar y respuestas rápidas, con el objetivo de salir airosos de cualquier pregunta inesperada. Como ejemplo de introducción con el empleado redactaremos una frase como la siguiente:

“Hola buenos días/tardes ::NOMBRE_EMPLEADO:: . Mi nombre es ::NOMBRE_FICTICIO::, te llamo del departamento técnico en referencia a una incidencia de malware que tenemos con tu equipo. Necesitaría recoger unos datos, no va a ser más de cinco minutos.”

Habrá empleados que sospechen un poco y comiencen a preguntar “de dónde me llamas“, “de qué departamento eres“, etc… . Aquí es cuando tenemos que utilizar la información recogida anteriormente:

“Te llamo desde el edificio del Paseo de la Castellana 999, desde el departamento de seguridad…”

También habrá otros que nos pregunten quién es nuestro jefe o que no nos encuentran en la intranet porque nos están buscando mientras hablan con nosotros. Tener preparada una respuesta nos ayudará a la hora de salir de esta situación:

“Mi responsable es ::NOMBRE_JEFE:: ”

“Seguramente no aparezca en la intranet puesto que llevo poco más de un mes”

Una vez tengamos la sensación de que el usuario se ha creído nuestra historia, le metemos un poco de “miedo” con el objetivo de que necesite nuestra ayuda:

“Te llamo de manera excepcional porque nos han pasado un listado de empleados que han podido ser infectados por un malware y que puede estar extrayendo información fuera de la empresa a servidores en Internet.”

Ante la respuesta anterior muchos de los empleados preguntan “¿Y qué es un malware?”. Si nos hacen esta pregunta vamos por muy buen camino, pues volveremos a dar una respuesta que provoque una situación incómoda:

“Un malware es un virus que intenta propagarse por una red e intentar realizar acciones dañinas borrando ficheros, cifrándolos o extrayendo información fuera de la empresa a servidores en Internet. Puede que la infeción de su equipo se haya producido a través de un documento PDF.”

Ante esta explicación, ¿quién diría que no a la ayuda que nos ofrece el empleado del departamento técnico?.

RECOLECTAR INFORMACIÓN

A partir de este punto, casi todos los empleados acceden a facilitar gran parte de la información que solicitamos. Este es el momento de sacar nuestra batería de preguntas para recopilar la mayor cantidad de información posible:

  • Qué versión de Windows tienen instalada (si no sabe, nos ofreceremos a explicarle como llegar ahí).
  • Qué antivirus tienen instalado y su versión (si no sabe, nos ofreceremos a explicarle como llegar ahí).
  • Que navegador tienen instalado y qué versión (si no sabe, nos ofreceremos a explicarle como llegar ahí).
  • Que software utilizan para abrir ficheros PDF y qué versión (si no sabe, nos ofreceremos a explicarle como llegar ahí).

Toda esta información recogida serviría para localizar versiones de software desactualizadas y llevar a cabo ataques dirigidos, utilizando ficheros que simulan ser ficheros maliciosos que se aprovechan de las vulnerabilidades identificadas.

También podemos intentar hacer que ejecute comandos para sacar un poco más de jugosa información:

“Necesito que ejecutes lo siguiente en una consola y me detalles lo que devuelve, ¿sabes cómo abrir una consola? (si no sabe, nos ofreceremos a explicarle como llegar ahí). Por favor escribe lo siguiente: ‘ipconfig’…”

Ya tenemos información del equipo de usuario y del software utilizado en la empresa. Adicionalmente y desde el total desconocimiento, jugaremos con la ingeniería social para que el empleado nos de más info:

“¿Qué tal te funciona la WiFi?. ¿Tienes buena cobertura?. ¿Qué nombre tiene el punto de acceso al que te estás conectando?”.

Simplemente con estas preguntas el empleado con el que estamos hablando, que se encuentra totalmente colaborativo, seguro que nos proporciona el nombre de la red WiFi…. y si tenemos inventiva y morro, hasta podría darnos la clave.

INFORMACIÓN ADICIONAL

Aparte de la información proporcionada por los empleados, también es recomendable recoger cualquier tipo de incidencia con el empleado, que se reflejará en el informe como información adicional. A continuación se listan unos ejemplos:

  • “El empleado X se ha mostrado colaborativo desde un primer momento. Ha proporcionado todos los datos y se le ha enviado el fichero”.
  • “El empleado X se ha mostrado colaborativo desde un primer momento. Ha proporcionado algún dato pero no todos debido a que no se encuentra en su puesto. Se le ha enviado el fichero”.
  • “El empleado X se ha mostrado colaborativo aunque posteriormente se mostraba desconfiado y comenzó a realizar varias preguntas. Finalmente no ha accedido a proporcionarnos los datos. No se le ha enviado el fichero”.
  • El empleado X se ha mostrado desconfiado desde un primer momento y nos ha comentado que por temas de política de empresa no nos va a proporcionar los datos solicitados. No se le ha enviado el fichero“.

CREAR LA MACRO

La creación de la macro que insertaremos en el fichero que vamos a enviar a los empleados es un proceso que debería ser el primero a realizar, pero lo hemos colocado aquí para llevar un orden de los puntos a seguir. Este fichero nos servirá para obtener información del empleado como es el nombre de usuario y su equipo. La macro de ejemplo que he creado sería la siguiente:

La ejecución se llevará a cabo a través del método ObtenerDatos el cual irá llamando a las funciones ObtenerNombreUsuario y ObtenerNombrePC arriba declaradas. Una vez haya recogido la información necesaria, realizará una petición a la dirección IP de nuestro servidor (hay que sustituir <DIRECCIÓN_IP_SERVIDOR>) en el que tendremos un fichero .php (que hemos denominado formulario.php) que recogerá los parámetros enviados, en este caso, host y usuario. De esta forma, se irán añadiendo a un fichero logs.txt todas las peticiones con un formato específico. Un ejemplo del fichero .php del servidor es el siguiente:

SOLUCIONAR EL PROBLEMA DE SEGURIDAD

El punto final, que es el objetivo por el que hemos llevado a cabo todo este proceso, es conseguir que el empleado abra el fichero que hemos creado y ejecute la macro que tiene implícita, como si se tratase de un fichero malicioso, pero que en este caso sólo nos enviará el nombre de usuario y el nombre de máquina del empleado:

“Vamos a proceder al envío de un documento con unas instrucciones para intentar solucionar esta incidencia. Necesito verificar tu dirección de correo. ¿Es ::NOMBRE.APELLIDO@DOMINIO::?. Se ha dado el caso de que a muchos empleados les aparece el documento en blanco. Si es así, pulsa en el botón superior de ‘Habilitar Contenido’. Muchísimas gracias por tu colaboración.”

Una vez el empleado abra el documento Excel que le hemos enviado, se le mostrará una página en blanco con el siguiente mensaje:

Tal y como le habíamos comentado, se decide a habilitar el contenido y ejecutar así la macro que lleva ese documento. Si esa macro fuese peligrosa, este empleado podría haber puesto en riesgo su equipo, la red y la información de la empresa. Un ejemplo de petición realizada por el usuario al habilitar el contenido, en base al punto anterior “CREAR LA MACRO”, es la siguiente:

De esta forma, a la hora de presentar un informe de seguridad a la empresa, tendremos registrados todos los usuarios que han habilitado el contenido y podremos generar gráficas para verlo de una forma más clara. Un ejemplo ficticio sería el siguiente:

 

Espero que os haya gustado.

Don’t give up. Great things take time“.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *