Paranoia Hack Sábado, 12 diciembre 2015

CUIDADO: tu rastro en redes puede ser útil para armar una base de datos (y mandarte virus)

Miguel Guerra León

Asesor dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.

Recolectando información de grandes y pequeños por Internet

En pocos minutos construiré una base de datos con información que abunda libre por Internet. Los usuarios siempre preguntan cómo hallar clientes según su público objetivo. Así que recopilaré información de uno o varios objetivos, y con ello, contar para qué más lo utilizan.

recopilar-informacion-correos-host-nombres-pgp-dominios-hacking-basededatos_peru

Los profesionales dedicados al marketing siempre quieren ampliar sus contactos o cartera de clientes, así que suelen comprar millones de correos para bombardear casillas de mail (muchas que ni existen), ello siempre me ha parecido una pérdida de tiempo cuando algún gerente iluminado me pregunta si puedo enviar miles de correos, lo que mal llama: «enviar mailing».

El error de comprar bases de datos es obvio, a la marca no le resulta productivo enviar información a un público sin segmentar porque, al final, el correo será borrado por falta de interés, el usuario puede estar fuera de su localidad o simplemente no son los clientes indicados para su servicio. Además, enviar correos sin tener un sistema que reporte métricas es como disparar (mails) sin conocer la efectividad. Como un simio con ametralladora. Sin embargo, regresando al ejemplo de crear contactos por medio de información pública, se puede bucear por la red utilizando el dominio de una empresa, persona o algún otro dato relevante.

DEMOSTRACIÓN:

Con TheHarvester se puede crear una base de datos. Lo primero será pensar en páginas (‘target’) que estén relacionadas a su rubro, por medio de aquellas URL se logrará realizar búsquedas (que servirán para distintos propósitos), en el ejemplo solo se mostrarán correos de un Hotel ★★★★★ y de dos medios de comunicación. Imaginaremos que alguien desea ampliar su agenda de contactos.

PELIGROS

Esta técnica es utilizada para recolectar información de objetivos y cruzar datos. El script puede encontrar por redes sociales, buscadores, indicar DNS y expansión de una web. Asimismo, encuentra nombre de personas que puedan trabajar en una empresa. Datos que luego pueden analizar con otras herramientas para un ataque dirigido. Un ejemplo simple: Un correo apunta a una persona (o empresa), eso significa hallar uno o más nombres, luego encontrar posibles cuentas en Redes Sociales, analizar servicios Open Data de esas personas y posteriormente, conocer sus gustos, familiares y si es posible, geoubicarla o simplemente, enviarle un correo malicioso. En la viña del Señor se observa de todo lo que sus mentes paranoicas puedan alucinar, entre ello está realizar «Ingeniería Social» con llamadas telefónicas o «regalos malware» para hacer contacto físico con los objetivos, y todo gracias a los nombres, correos, direcciones y teléfonos reunidos.

Qué recolecta TheHarvester:
– Saber los nombres de quienes trabajan en una empresa.
– Recopilar correos vinculados a una empresa.
– Conocer los servidores virtuales, host y subdominios de una empresa.
– Averiguar información en las redes sociales sobre una empresa.
– Conocerá nombres para ataques dirigidos: Lamentablemente mientras más grande sea la empresa más sencillo será penetrar. También se puede saber qué correo atacar y la competencia podrá saber o investigar a sus rivales.
– Averiguar los subdominios (que podrían ser proyectos o un panel de administración) de una empresa.
–  TheHarvester tiene muchas posibilidades para obtener información e intentar atacar junto con otras herramientas.

SOLUCIONES:

No existe una solución en especifico, ya que mucho depende de las personas, empresa y área de marketing de la organización que va dejando rastro innecesario por toda la Internet, información que puede ser recolectada por terceros para X motivos. Recuerden que el enemigo sabe que el lado más vulnerable es el ser humano, lo mejor es que la empresa tenga un manual del buen uso de la tecnología, tomar medidas correctas y siempre monitorear la información que van dejando por la red. Prevención y sentido común, siempre atentos porque el mundo ya no es lo que era.

 

– – –

Consultas & asesorías
www.elhackerbueno.com

///////////////////////////////////////////////////////////////////////////////////////////////////////////

Disclaimer:
El autor no se responsabiliza de las opiniones vertidas en los comentarios. Este artículo no pretende ser un manual, ni vulnera la seguridad de ninguna persona o empresa. Los usuarios asumirán su responsabilidad frente a cualquier daño o perjuicio que cometan.

///////////////////////////////////////////////////////////////////////////////////////////////////////////

Miguel Guerra León

Asesor dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.