No solo de computadores vive el hacker, como ya vimos el factor humano es un factor indispensable para poder realizar una auditoría de seguridad, ya que por lo general los ataques que incluyen la interacción con un usuario son los más efectivos.
Con la siguiente demostración, y la herramienta maltego (que previamente instalamos y configuramos aquí) recolectemos información de correos electrónicos, y a partir de éstos hallazgos buscaremos información personal sobre gustos, lugares frecuentados, perfiles en las redes sociales. Aunque esto pareciera no tener sentido, porque se está auditando una compañía y no una persona, los pondré en situación, muchos usuarios tienen acceso a internet, por ende a sus correos personales o corporativos, si en la fase de recolección de información encontramos por ejemplo, que el gerente general de la compañía es aficionado a un equipo de fútbol, será mucho más cómodo enviarle a su correo un enlace o archivo malicioso donde se prometa noticias o actualizaciones de su equipo favorito, pero que en realidad comprometa la seguridad del equipo, y por ende cumplir nuestro objetivo.
Primero vamos a generar una nueva gráfica:
Seleccionamos "Domain" y lo arrastramos a la zona libre de la izquierda, hecho esto, cambiaremos el valor de "Domain name" a nuestro conejillo de indias de turno "cun.edu.co"
Bien, ahora extraéremos algunos de los correos electrónicos que están asociados al dominio, seguiremos la indicación de la gráfica, primero click derecho sobre la entidad que contiene el dominio, "run transform", luego "Email addresses from Domain" y allí tendremos 3 opciones, las seleccionaremos todas:
Y obtendremos como resultado algo parecido a esto:
Bien, ¿Y ahora?, pues comenzaremos a investigar, tomaremos el primer resultado, le daremos click derecho, seleccionamos "Type Actions" y luego "Google me!", como se imaginarán, es para buscarla en google
Iremos a la primera búsqueda que nos arroja google
y bueno, encontramos cosas bastante interesantes, por ejemplo que este sujeto es el administrador del dominio
Prosigamos investigando
Esta vez no usaremos ninguna acción, sino realizaremos la búsqueda manual en google
Y como verán tendremos un resultado de LinkedIn la popular red social para subir los currículos laborales
Bien, como lo notaron, el sujeto ya no trabaja allí, para reducir el número de falsos positivos, podemos confirmar si la dirección de correo existe o no, gracias a otra de las grandes funcionalidades de maltego, damos click derecho sobre la entidad a confirmar, "Run Transform", "Other transforms" y seleccionamos "Verify email address exists"
Y obtendremos una confirmación de si la dirección existe o no
Espero hayan disfrutado de la entrada, y no limiten a lo aquí demostrado, sino que continúen explorando las diferentes opciones contenidas dentro de la herramienta.
¡Hasta la próxima!
0 comentarios:
Publicar un comentario