• Author / Uploaded
• andrea

• Categories
• Ingeniería Social (Seguridad)
• Seguridad y privacidad en línea
• Seguridad informática
• Ingeniería
• Información

Citation preview

Tabla de contenido

Cubrir

Pagina del titulo

Derechos de autor

Dedicación

Sobre el Autor Acerca del Editor Técnico

créditos

Prefacio Prefacio y Agradecimientos Capítulo 1: Una mirada hacia el mundo de la ingeniería social ¿Por qué este libro es tan valioso Descripción general de la ingeniería social Resumen

Capítulo 2: Recopilación de Información Reuniendo información Fuentes para el modelado de recopilación de información Comunicación El poder de los modelos de comunicación

Capítulo 3: Obtención ¿Qué es el desencadenamiento? Los objetivos de la Elicitación Mastering Elicitación Resumen

Capítulo 4: Pretexting: Cómo convertirse en cualquier persona

¿Qué es Pretexting? Los principios y las etapas de planificación de Pretexting éxito Pretexting Resumen

Capítulo 5: Mind Tricks: Principios psicológicos utilizados en la ingeniería social Modos de Pensamiento Microexpresiones Programación neurolingüística (PNL) Entrevista e Instant Interrogación establecimiento de una relación humana El desbordamiento del búfer Resumen

Capítulo 6: Influencia: El poder de la persuasión

Los cinco elementos fundamentales de influencia y tácticas de influencia de persuasión La realidad alterando: Framing

Manipulación: Cómo controlar el destino manipulación de ingeniería social Resumen

Capítulo 7: Las herramientas del ingeniero social Herramientas físicos La recopilación de información en línea Herramientas Resumen

Capítulo 8: estudios de caso: La disección del ingeniero social Mitnick Estudio de Caso 1: El cortar el DMV

Mitnick Estudio de Caso 2: El cortar la Administración de Seguridad Social Hadnagy Estudio de Caso 1: El Exceso de confianza CEO Hadnagy Estudio de Caso 2: El parque temático Escándalo de alto secreto Estudio de Caso 1: Misión no imposible de alto secreto Estudio de caso 2: Ingeniería Social un hacker por qué los estudios de casos son Resumen Importante

Capítulo 9: Prevención y Mitigación Aprender a identificar los ataques de ingeniería social creación de una cultura sobre temas de seguridad personal

Ser consciente del valor de la información que se les solicite Software y actualización permanente de

Scripts en desarrollo

Aprender de Ingeniería auditorías sociales Resumen Observaciones finales

Índice

Ingeniería social: El arte de la piratería Humano Publicado por Wiley Publishing, Inc. 10475 puntos de cruce del bulevar

Indianápolis, IN 46256 www.wiley.com Copyright © 2011 por Christopher Hadnagy Publicado por Wiley Publishing, Inc., Indianapolis, Indiana Publicado simultáneamente en Canadá

ISBN: 978-0-470-63953-5 ISBN: 978-1-118-02801-8 (ebk) ISBN: 978-1-118-02971-8 (ebk) ISBN: 978-1-118-02974-9 (ebk) Fabricado en los Estados Unidos de América 10 9 8 7 6 5 4 3 2 1 Ninguna parte de esta publicación puede ser reproducida, almacenada en un sistema de recuperación o la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, fotocopia, grabación, escaneo o de otro tipo, a excepción de lo establecido en las Secciones 107 o 108 de la Ley de Propiedad Intelectual de 1976 Estados Unidos, sin que el permiso previo por escrito del editor, o autorización a través el pago de la tarifa correspondiente por copia al copyright Clearance Center, 222 Rosewood Drive, Danvers, MA 01923, (978) 750-8400, fax (978) 646-

8600. Las solicitudes para la Editorial autorización deberán dirigirse al Departamento de Permisos, John Wiley & Sons, Inc., 111 River Street, Hoboken, NJ 07030, (201) 748-6011, fax (201) 748 a 6.008, o en línea a

http://www.wiley.com/go/permissions .

Límite de responsabilidad / Exención de garantía: El editor y el autor no hacen ninguna representación o garantía con respecto a la exactitud o integridad de los contenidos de este trabajo y específicamente renuncian a todas las garantías, incluyendo sin limitación, garantías de idoneidad para un propósito en particular. No hay garantía puede ser creado o ampliado por ventas o materiales promocionales. Los consejos y estrategias contenida en este documento pueden no ser adecuados para cada situación. Este trabajo se vende con el entendimiento de que la editorial no se dedica a prestar servicios legales, contables u otros servicios profesionales. Si se requiere asistencia profesional, los servicios de un profesional competente debe buscarse. Ni el editor ni el autor será responsable de los daños derivados QUEDAN. El hecho de que un sitio de la organización o en la web se hace referencia en este trabajo como una citación y / o una fuente potencial de más información no significa que el autor o el editor respalda la información de la organización o sitio web pueden proporcionar o recomendaciones que pueden hacer. Además, los lectores deben ser conscientes de que los sitios web de Internet que figuran en este trabajo pueden haber cambiado o desaparecido entre el momento en este trabajo fue escrito y cuando se lee. Para obtener información general sobre nuestros productos y servicios póngase en contacto con nuestro departamento de atención al cliente dentro de los Estados Unidos al (877) 762-2974, fuera de los Estados Unidos al (317) 572-3993 o fax (317) 572-4002. Wiley también publica sus libros en una variedad de formatos electrónicos. Parte del contenido que aparece en la impresión puede no estar disponible en los libros electrónicos. Biblioteca del Congreso Número de Control: 2010937817 Marcas registradas: Wiley Wiley y el logotipo son marcas comerciales o marcas comerciales registradas de John Wiley & Sons, Inc. y / o sus filiales, en los Estados Unidos y otros países, y no pueden ser utilizados sin autorización escrita. Todas las demás marcas comerciales son propiedad de sus respectivos dueños. Wiley Publishing, Inc. no está asociado con ningún producto o proveedor mencionado en

este libro.

A mi bella esposa y mi maravillosa familia; sin ti esto no hubiera sido posible. Mati, no hay palabras para describir la gratitud que siento por lo que han hecho.

Sobre el Autor Christopher Hadnagy es el desarrollador principal de www.social-engineer.org , Primer marco de la ingeniería social del mundo. En más de 14 años de actividad, la seguridad y, que se ha asociado con el equipo www.backtrack-linux.org y trabajado en una amplia variedad de proyectos de seguridad. También se desempeña como entrenador y ingeniero social ventaja para el equipo de pruebas de penetración de Seguridad ofensivo.

Acerca del Editor Técnico Jim O'Gorman es una prueba de intrusión profesional y auditor de la ingeniería social con más de 14 años de experiencia trabajando para empresas que van desde los pequeños proveedores de Fortune 100 corporaciones. Jim es co-entrenador de la clase avanzada de seguridad de Windows ofensivo Explotación, uno de los más difíciles de explotar las clases de desarrollo disponibles. Un miembro fundador de www.social-engineer.org , Jim es una autoridad en la educación del público acerca de las amenazas de ingeniería social.

créditos

Editor ejecutivo

Carol largo Editor de proyectos

Brian Herrmann

Editor técnico Jim O'Gorman Editor de producción

Kathleen Wisor Editor de copia

Paula Lowell Director editorial

Robyn B. Siesky Editorial Manager

Mary Beth Wakefield Freelancer Editorial Manager

Rosemarie Graham

director comercial Ashley Zurcher

Jefe de producción Tim Tate Vicepresidente y Ejecutivo del Grupo Editorial

Richard Swadley

Vicepresidente y editor ejecutivo Barry Pruett

Editor asociado Jim Minatel Coordinador del Proyecto, Cubierta

lynsey Stanford Compositor

Maureen Forys, Happenstance Tipo-O-Rama Corrector de pruebas

Jen Larsen, Word Una Nueva York indexador

Johnna VanHoose Dinse Imagen de portada

© Digital Vision / Getty Images Diseñador de la portada

Ryan Sneed

Prefacio La seguridad es un rompecabezas con dos lados. Desde el interior, buscamos una sensación de confort y seguridad. Desde el exterior, los ladrones, hackers, vándalos y están buscando huecos. La mayoría de nosotros creemos que nuestros hogares son seguros hasta que un día, nos encontramos bloqueados. De repente, nuestros perspectiva cambia y debilidades se encuentran fácilmente. Para entender por completo cualquier tipo de seguridad es esencial dar un paso fuera de la valla, en esencia bloqueo a nosotros mismos, y empezar a buscar otras maneras. El problema es que la mayoría de nosotros están cegados a los problemas potenciales por nuestra propia confianza o nuestra creencia que las cerraduras fuertes, gruesas puertas, un sistema de seguridad de alta gama, y ​un perro de guardia son más que suficiente para mantener la mayoría de la gente a raya. No soy la mayoría de la gente. En los últimos diez años he tirado más contras y estafas que nadie en la historia. Me he golpeado casinos, fingido eventos deportivos, subastas fijos, hablado a la gente de sus posesiones más queridas, y pasó por delante de los niveles aparentemente insuperables de seguridad. He hecho una vida exponer los métodos de ladrones, mentirosos, ladrones, estafadores y en un programa de televisión llamado The Real Hustle. Si hubiera sido un verdadero criminal probablemente sería rico, famoso, o muerto, probablemente los tres. He utilizado una vida de investigación en todas las formas de engaño para enseñar al público lo vulnerable que realmente son.

Cada semana, junto con Alexis Conran, saco estafas reales de personas reales que no tienen idea de que están siendo estafados. El uso de cámaras ocultas, mostramos la audiencia en casa lo que es posible para que puedan reconocer la misma estafa.

Esta inusual carrera se ha traducido en una comprensión única de cómo piensan los criminales. Me he convertido en una oveja con piel lobos. He aprendido que, no importa cómo algo que podría parecer imposible, casi siempre hay una forma inteligente, inesperada para resolver el problema. Un ejemplo de esto es cuando me ofrecí a mostrar lo fácil que sería no sólo para robar el bolso de una mujer, sino también para conseguir que me diga el PIN a sus cajeros automáticos o tarjetas de crédito. La BBC no pensaba que era posible lograr esto.

Cuando presentamos esto como un elemento para El Real Hustle, el comisionado de la BBC escribió “nunca ocurrirá” al lado de él y lo envió de vuelta. Sabíamos que era muy posible porque se han reportado diferentes versiones de la misma estafa, donde las víctimas de robo se habló para que revele su PIN en varias estafas inteligentes de todo el Reino Unido. Tomamos elementos de diferentes estafas para ilustrar exactamente cómo alguien podría ser engañado para darle a alguien un acceso completo a los demás a su cuenta bancaria. Para probar nuestro punto hemos creado la estafa en un café local. El café estaba en el último piso de un centro comercial de Oxford Street en Londres. Era relativamente tranquilo mientras estaba sentado en una mesa vacía que llevaba un traje. Puse mi maletín sobre la mesa y esperó a que una víctima adecuada. En algunos momentos, sólo una víctima tales llegó con un amigo y se sentó en la mesa junto a la mía, colocando su bolso en el asiento a su lado. A medida que fue probablemente su costumbre, tiró el asiento de cierre y mantuvo su mano en la bolsa en todo momento. Que necesitaba para robar toda la bolsa, pero, con la mano apoyada sobre ella y su amiga sentada frente, que estaba empezando a parecer una mala noticia. Pero, al cabo de unos minutos, su amiga se fue a buscar un baño. La marca estaba solo así que le di Alex y Jess la señal.

En el papel de una pareja, Alex y Jess pidieron la marca, si ella tomaría una foto de ellos dos. Ella estaba feliz de hacerlo. Se quitó la mano de su bolsa para llevar la cámara y tomar una foto de la “pareja feliz” y, mientras se está distraído, casualmente llegué, tomó su bolso, y con calma encerrado dentro de mi maletín. Mi víctima aún estaba por cuenta de la silla vacía como Alex y Jess salió del café. Una vez fuera de la vista, Alex se dirigió rápidamente hacia el garaje de estacionamiento. No tardó mucho en darse cuenta de su bolso había desaparecido. Al instante, ella comenzó a entrar en pánico. Se puso de pie y miró a su alrededor, frenéticamente. Esto era exactamente lo que esperábamos así, le pregunté si necesitaba ayuda. Empezó a preguntarme si había visto nada. Le dije que no tenía más que convencido de que se sentara y pensar en lo que había en la bolsa. Un teléfono. Maquillaje. Un poco de dinero. Y sus tarjetas de crédito. ¡Bingo!

Pregunté quién se ladeó con y luego le dije que trabajaba para ese banco. Que golpe de suerte! Le aseguré que todo estaría bien, pero que tendría que cancelar su tarjeta de crédito de inmediato. Que se llama el “servicio de asistencia”

número, que en realidad era Alex, y le entregó el teléfono a ella. Ella fue enganchado y ahora estaba a Alex a desgranar ella en. Alex estaba abajo en la furgoneta. En el salpicadero, un reproductor de CD estaba jugando ruidos de oficina que había descargado de Internet. Mantuvo la calma marca, su encadenan a lo largo, y luego le aseguró que su tarjeta fácilmente podría ser cancelada, pero, para verificar su identidad, tenía que introducir su PIN en el teclado del teléfono que estaba usando.

El teléfono y el teclado. Puedes adivinar el resto. Una vez que tuvimos su PIN, que la dejó con su amiga y se dirigió a la puerta. Si fuéramos verdaderos ladrones, que habría tenido acceso a su cuenta a través de retiros en cajeros automáticos y compras de chip y PIN. Afortunadamente para ella, era sólo un programa de televisión y ella estaba tan feliz cuando volví a regresar a su bolsa y decirle que todo era una estafa falsa. Incluso me dio las gracias por dar su bolsa de espalda a lo que respondí: “No me des las gracias. Yo soy el que lo robó.”No importa qué tan seguro es un sistema, siempre hay una manera de romper. A menudo, los elementos humanos del sistema son los más fáciles de manipular y engañar. La creación de un estado de pánico, utilizando influencia, tácticas de manipulación, o que provocan sentimientos de confianza son todos los métodos utilizados para poner una víctima a gusto.

El escenario descrito aquí es un ejemplo extremo, pero muestra que, con un poco de creatividad, estafas aparentemente imposibles se puede sacar. El primer paso para convertirse en más seguro es simplemente admite que un sistema es vulnerable y puede verse comprometida. Por el contrario, creyendo una violación es imposible, una venda se coloca sobre los ojos ya que se corre a toda velocidad. Ingeniería social está diseñado para proporcionarle una información inestimable sobre los métodos utilizados para romper los sistemas aparentemente seguras y exponer las amenazas que existen en la mayor vulnerabilidad, las personas. Este libro no es una guía para los piratas informáticos, que ya saben cómo romper y están encontrando nuevas maneras todos los días. En su lugar, Chris Hadnagy ofrece a aquellos dentro de la cerca la oportunidad de echar un vistazo desde el otro lado, el lado oscuro, ya que expone el pensamiento y los métodos de la mayoría de los hackers del mundo maliciosos, los estafadores, y los ingenieros sociales.

Recuerde: los que construyen paredes piensan de manera diferente a los que tratan de pasar por encima, por debajo, alrededor oa través de ellos. Como suelo decir a mis audiencias, si se quiere

piensa que no puede ser estafado, sólo eres la persona que me gustaría conocer.

Paul Wilson de octubre de 2010

Prefacio y Agradecimientos Fue sólo hace unos años que estaba sentado con mi amigo y mentor, Mati Aharoni, la decisión de lanzamiento www.social-engineer.org . La idea creció y creció hasta que se convirtió en un sitio web increíble apoyo de algunas personas realmente brillantes. No pasó mucho tiempo para llegar a la idea de poner esos años de investigación y experiencia hacia abajo en las páginas de un libro. Cuando tuve la idea, estaba reunido con un apoyo abrumador. Dicho esto, algunos reconocimientos específicos son muy importantes para cómo este libro se convirtió en lo que es hoy.

Desde muy joven siempre estaba interesado en manipular a la gente. No de una mala manera, pero me pareció interesante cuántas veces pude obtener cosas o estar en situaciones que serían irreales. Una vez que estaba con un buen amigo y socio de negocios en una conferencia de tecnología en el Javits Center en Nueva York. Una gran corporación había alquilado la FAO Schwarz para una fiesta privada. Por supuesto, la fiesta fue sólo por invitación, y mi amigo y yo éramos dos pequeños peces en un estanque grande: el partido fue para los directores generales y alta dirección de empresas como HP, Microsoft, y similares. Mi amigo me dijo: “Sería realmente bueno para entrar en esa parte.”

Yo simplemente respondió: “¿Por qué no?” En ese momento me dije a mí mismo: “Sé que podemos llegar allí si nos preguntamos el camino correcto.” Así que se acercó a las mujeres a cargo de la taquilla y la lista de invitados y yo hablamos con ellos durante unos minutos. Mientras hablaba con ellos, Linus Torvalds, el creador del núcleo Linux, caminaba por. Había cogido un juguete de peluche de Microsoft en una de las cabinas y como chiste que se volvió a Linus y le dijo: “Oye, ¿quieres a autografiar mi juguete Microsoft?”

Se puso una buena risa de ella y, mientras tomaba sus entradas, dijo, “Buen trabajo, joven. Te veré en la fiesta “. Me di la vuelta a las mujeres a cargo de la taquilla y me dieron dos entradas para una fiesta exclusiva en el interior de la FAO Schwartz. No fue hasta más tarde en la vida, que empecé a analizar historias como esta, después de algún comenzaron a llamarlo “El efecto Hadnagy.” Por extraño que parezca, empecé a ver que gran parte de lo que me ocurrió no fue suerte o el destino, sino

saber estar donde tenía que estar en el momento adecuado.

Eso no significa que no pasó mucho trabajo duro y una gran cantidad de ayuda en el camino. Mi musa en mi vida es maravillosa esposa. Durante casi dos décadas que me han apoyado en todos mis ideas y esfuerzos y que son mi mejor amigo, mi confidente y mi pilar de soporte. Sin ti yo no estaría donde estoy hoy. Además, se han producido dos de los más bellos hijos de este planeta. Mi hijo y mi hija son la motivación para seguir haciendo todo esto. Si hay algo que yo pueda hacer de este lugar un poco más seguro para ellos, o enseñarles cómo mantenerse a salvo, es todo valga la pena. Para mi hijo e hija, no puedo expresar lo suficientemente agradecimiento por su apoyo, el amor y la motivación. Mi esperanza es que mi hijo y mi pequeña princesa no tendrán que hacer frente a las malas personas maliciosas, fuera de este mundo, pero sé lo que es poco probable. Que esta información que mantener tanto sólo un poco más seguro. Pablo, también conocido como rAWjAW, gracias por todo su apoyo en el sitio web. Las miles de horas que pasó como el “wiki-master” dado sus frutos y ahora tenemos un hermoso recurso para el mundo para su uso. Sé que no lo digo lo suficiente, pero “estás despedido!” En combinación con la hermosa creación de Tom, también conocido como DIGIP, el sitio es una obra de arte.

Carol, mi editor en Wiley, trabajó su trasero para conseguir esta organizada y siguiendo una cierta apariencia de una línea de tiempo. Ella hizo un trabajo increíble armar un gran equipo de personas y hacer de esta idea una realidad. Gracias. Brian, decir lo que dije. Voy a echar de menos cuando esto termine. A medida que trabajaba con usted durante los últimos meses, empecé a mirar hacia adelante a mis sesiones de edición y el conocimiento que pondría en mí. Su consejo y asesoramiento honesto y franco hicieron este libro mejor de lo que era.

Mi gratitud a Jim, también conocido como Elwood, también. Sin que mucho de lo que ha sucedido en s así como en el interior de este libro, diablos en mi vida en los últimos dos años, no sería una realidad. Gracias por mantenerme humilde y bajo control ti. Sus constantes controles de la realidad ayudaron a mantener la concentración y el equilibrio de los diferentes papeles que tenía que jugar. Gracias.

Liz, hace unos doce años que me dijo que debería escribir un libro. Estoy seguro de que había algo diferente en mente, pero aquí está. Usted me ha ayudado a superar momentos muy oscuros. Gracias y te amo.

Mati, mi mentor, y mi Achoti, ¿dónde estaría yo sin ti? Mati, que realmente son mi mentor y mi hermano. Gracias desde el fondo de mi corazón por tener la fe en mí que podría escribir este libro y lanzamiento www.social- engineer.org y que tanto sería bueno. Más que eso, su consejo y dirección constante se han traducido en las páginas de este libro que me haga más de lo que pensé que podría ser.

Su apoyo con el equipo BackTrack junto con el apoyo del equipo de www.offensive-security.com han trascendido todo lo que podía haber esperado. Gracias por ayudarme a equilibrar y dar prioridad a ustedes. Mi Achoti, un agradecimiento especial a usted por ser la voz de la razón y la luz al final de algunos días frustrantes. Con todo mi amor gracias. Cada persona que he mencionado aquí ha contribuido a este libro de alguna manera. Con su ayuda, apoyo y amor este libro se ha convertido en una obra que me siento orgulloso de tener mi nombre en. Para el resto de ustedes que han apoyado el sitio, el canal, y nuestra investigación, gracias.

Al leer este libro, espero que le afecta la forma de escribirlo me ha afectado. Albert Einstein dijo una vez: “La información no es conocimiento.” Esto es un poderoso pensamiento. Sólo la lectura de este libro no va a implantar alguna manera este conocimiento en su ser. Aplicar los principios, la práctica de lo que se enseña en estas páginas, y hacer que la información de una parte de su vida diaria. Cuando se hace esto es cuando se verá este conocimiento tenga efecto.

Christopher Hadnagy de octubre de 2010

Capítulo 1

Una mirada hacia el mundo de la ingeniería social

Si conoce el enemigo y se conoce a sí mismo que no tiene que temer el resultado de cien batallas.

- Sun Tzu La ingeniería social (SE) ha sido ampliamente entendido mal, lo que lleva a muchas opiniones diferentes sobre qué es la ingeniería social es y cómo funciona. Esto ha llevado a una situación en la que algunos pueden ver como un simple SE mentir a la estafa artículos libres triviales como la pizza o la obtención de la satisfacción sexual; otros piensan SE simplemente se refiere a las herramientas utilizadas por los delincuentes o estafadores, o tal vez que es una ciencia cuyas teorías se pueden dividir en partes o ecuaciones y estudiado. O tal vez es un arte mística perdida hace mucho tiempo dando los profesionales la posibilidad de utilizar poderosos trucos de la mente como un mago o ilusionista. En cualquier campo de la especie de mosca de la bandera, este libro es para ti. La ingeniería social es utilizado cada día por la gente común en situaciones cotidianas. Un niño tratando de conseguir su camino en el pasillo de los dulces o un empleado buscando un aumento de sueldo está utilizando la ingeniería social. La ingeniería social sucede en el gobierno o la comercialización de la pequeña empresa. Por desgracia, también está presente cuando los delincuentes, estafadores, y la gente como truco para que den información que los hace vulnerables a los crímenes. Como cualquier herramienta, la ingeniería social no es bueno o malo, sino simplemente una herramienta que tiene muchos usos diferentes. Considere algunas de estas preguntas para conducir ese punto de la casa: ¿Se le ha encargado para asegurarse de que su empresa es tan seguro como sea posible?

¿Es usted un entusiasta de la seguridad que lee todos los bits de la última información por ahí? ¿Es usted un profesional de pruebas de penetración que es contratado para probar la

la seguridad de sus clientes? ¿Es usted un estudiante universitario de tomar algún tipo de especialización como su principal?

¿Se encuentra un ingeniero social en busca de nuevas y mejores ideas para utilizar en su práctica? ¿Es usted un consumidor que teme los peligros de fraude y robo de identidad? Independientemente de cuál de esas situaciones que se ajuste, la información contenida en este libro le abrirá los ojos a cómo se pueden utilizar las habilidades de ingeniería social. También mirar en el oscuro mundo de la ingeniería social y aprender los “malos” utilizan estas habilidades para obtener una ventaja. A partir de ahí, a aprender cómo llegar a ser menos vulnerables a los ataques de ingeniería social. Una advertencia por adelantado: Este libro no es para los débiles. Te lleva a los rincones oscuros de la sociedad en la que los “sombreros negros”, los hackers maliciosos, viven. Se descubre y profundiza en las áreas de ingeniería social que son empleados por los espías y estafadores. Se examinan las tácticas y herramientas que parecen que son robados de una película de James Bond. Además, cubre las situaciones comunes de la vida diaria y luego muestra la forma en que son escenarios complejos de ingeniería social. Al final, el libro descubre los consejos “iniciado” y trucos de los ingenieros sociales profesionales y ni siquiera los criminales profesionales. Algunos se han preguntado por qué yo estaría dispuesto a revelar esta información. La respuesta es sencilla: los “malos” no se detienen debido a una limitación contractual o su propia moral. No cesan después de un intento fallido. Los hackers no desaparecen porque las empresas no les gusta que sus servidores para ser infiltrado. En cambio, la ingeniería social, el engaño de los empleados y el fraude en Internet se utilizan más y más cada día. Mientras que las compañías de software están aprendiendo a fortalecer sus programas, los piratas informáticos y los ingenieros sociales maliciosos están recurriendo a la parte más débil de la infraestructura de las personas. Su motivación tiene que ver con el retorno de la inversión (ROI); sin pirata informático que se precie va a pasar 100 horas para obtener los mismos resultados de un simple ataque que dura una hora o menos.

El triste resultado al final es que no hay manera existe para ser 100% secure- a menos que desconecte todos los dispositivos electrónicos y pasar a las montañas. Debido a que no es demasiado práctico, ni es un montón de diversión, este libro analiza

maneras de ser más conscientes y educados sobre los ataques por ahí y luego describe los métodos que se pueden utilizar para proteger contra ellos. Mi lema es “seguridad a través de la educación.” Ser educado es una de las únicas maneras de éxito seguro para permanecer seguro contra las crecientes amenazas de la ingeniería social y el robo de identidad. Kaspersky Labs, un proveedor líder de software antivirus y de protección, que se estima que más de 100.000 muestras de malware se propagan a través de las redes sociales en 2009. En un informe reciente, Kaspersky estima que “los ataques contra las redes sociales son 10 veces más éxito” que otros tipos de ataques.

El viejo dicho hacker, “el conocimiento es poder” no se aplican aquí. Cuanto más conocimiento y la comprensión que se tenga de los peligros y las amenazas de la ingeniería social cada consumidor y los negocios pueden tener y cuanto más se disecciona cada escenario de ataque, más fácil será para proteger de, mitigar y detener estos ataques. Ahí es donde el poder de todo este conocimiento vendrá.

¿Por qué este libro es tan valioso

Muchos libros están disponibles en el mercado en materia de seguridad, la piratería, pruebas de penetración, e incluso la ingeniería social. Muchos de estos libros tienen información muy valiosa y consejos para ayudar a sus lectores. Aún con todo lo que la información disponible, se necesitaba un libro que lleva la información de ingeniería social para el siguiente nivel y describe estos ataques en detalle, explicando desde el lado malicioso de la valla. Este libro no es más que una colección de historias frescas, cortes impecables, o ideas salvajes. Este libro cubre primer marco mundial para la ingeniería social. Se analiza y disecciona el fundamento de lo que hace un buen ingeniero social y da consejos prácticos sobre cómo utilizar estas habilidades para mejorar las habilidades de los lectores para probar la mayor debilidad -la infraestructura humana.

el diseño Este libro ofrece un enfoque único para la ingeniería social. Está estructurado en estrecha colaboración con el marco de la ingeniería social en profundidad que se encuentra en www.social-

engineer.org/framework . Este marco se describen las habilidades y las herramientas (física, mental y personalidad) una persona debe esforzarse por poseer para ser un excelente ingeniero social. Este libro tiene un “contar y mostrar el enfoque” mediante la presentación de un primer principio detrás de un tema a continuación, definir, explicar y disección, a continuación, mostrar su aplicación usando colecciones de historias reales o estudios de casos. Esto no es más que un libro de historias o truquitos, pero un manual, una guía a través del oscuro mundo de la ingeniería social. A lo largo del libro se pueden encontrar muchos enlaces de Internet a las historias o las cuentas, así como enlaces a herramientas y otros aspectos de los temas tratados. ejercicios prácticos aparecen a lo largo del libro que están diseñados para ayudarle a dominar no sólo el sistema de ingeniería social, sino también las habilidades para mejorar sus comunicaciones diarias.

Estas declaraciones son especialmente cierto si usted es un especialista en seguridad. Al leer este libro, espero hacerles notar que la seguridad no es un trabajo “a tiempo parcial” y no es algo para tomar a la ligera. Como los criminales y los ingenieros sociales maliciosos parecen ir de mal en peor en este mundo, los ataques a los negocios y vidas personales parecen tener más intensa. Naturalmente, todo el mundo quiere ser protegida, como lo demuestra el aumento en las ventas de software de protección personal y dispositivos. Aunque estos elementos son importantes, la mejor protección es el conocimiento: la seguridad a través de la educación. El único camino verdadero para reducir el efecto de estos ataques es saber que existen, para saber cómo se hacen, y para entender el proceso de pensamiento y la mentalidad de las personas que practican tales cosas.

Cuando usted posee este conocimiento y entender cómo los hackers piensan, una bombilla se apaga. Eso proverbial luz brillará sobre las esquinas oscuras de una vez y le permitirá ver con claridad los “chicos malos” que acechan allí. Cuando se puede ver la forma en que estos ataques se utilizan antes de tiempo, usted puede preparar sus asuntos personales de su empresa y para alejar a retirarse. Por supuesto, no estoy contradiciendo lo que he dicho antes; Creo que no hay forma de estar realmente seguro al 100%. Incluso de alto secreto, secretos muy guardados pueden ser y han sido hackeado en el más simple de los modales.

Mira a la archivados historia a www.socialengineer.org/resources/book/TopSecretStolen.htm , De un periódico en

Ottawa, Canadá. Esta historia es muy interesante, ya que algunos documentos fueron a parar a las

manos equivocadas. Estos no eran más que ningún documento, pero en secreto top- defensa documentos que describen cosas tales como la ubicación de vallas de seguridad en la Base de las Fuerzas canadienses (CFB) en Trenton, el plano de planta de la Dependencia Común de respuesta a incidentes de Canadá, y más. ¿Cómo ocurrió la infracción? Los planes fueron desechados, en el cubo de basura, y alguien los encontró en el contenedor de basura. Un simple inmersión contenedor de basura podría haber llevado a una de las mayores violaciones de seguridad de ese país. ataques simples pero mortales se ponen en marcha todos los días y apuntan al hecho de que la gente necesita educación; que tenga que cambiar la forma en que se adhieren a las políticas de contraseñas y la forma en que manejan el acceso remoto a los servidores; y la necesidad de cambiar la forma en que manejan entrevistas, entregas y los empleados que son contratados o despedidos. Sin embargo, sin la educación de la motivación para el cambio no es sólo allí. En 2003, el Instituto de Seguridad Informática hizo una encuesta junto con el FBI y encontró que el 77% de las empresas entrevistadas declaró un empleado descontento como la fuente de un fallo de

seguridad importante. Symantec DLP, la sección de prevención de pérdida de datos de Symantec ( http://g ), Dice que 1 de cada 500 correos electrónicos contiene datos confidenciales. Algunos de los aspectos más destacados de ese informe,

citado

desde

http://financialservices.house.gov/media/pdf/062403ja.pdf , Son los siguientes: 62% informó de incidentes en el trabajo que podría poner los datos del cliente en riesgo de robo de identidad. 66% dice que sus compañeros de trabajo, no los piratas informáticos, suponen el mayor riesgo para la privacidad de los consumidores. Sólo el 10% dijo que los piratas eran la mayor amenaza. 46% dice que sería “fácil” a “muy fácil” para los trabajadores para eliminar información confidencial de la base de datos corporativa. 32%, aproximadamente uno de cada tres, no son conscientes de las políticas internas de la empresa para proteger los datos del cliente. Estos son asombrosas estadísticas y el estómago-desgarradoras. En capítulos posteriores se discuten estos números con más detalle. Los números muestran un defecto grave en la seguridad camino mismo se maneja. Cuando no es la educación, es de esperar antes

de una violación, entonces la gente puede hacer cambios que pueden prevenir la pérdida no deseada, el dolor y el daño monetario.

Sun Tzu dijo: “Si conoce el enemigo y se conoce a sí mismo que no tiene que temer el resultado de cien batallas.” ¿Qué tan cierto que esas palabras son, pero saber es sólo la mitad de la batalla. Acción en el conocimiento es lo que define la sabiduría, no sólo conocimiento por sí solo.

Este libro es más eficaz utilizar como un manual o guía a través del mundo de los ataques sociales, la manipulación social, y la ingeniería social.

Lo que viene Este libro es está diseñado para cubrir todos los aspectos, herramientas y habilidades utilizadas por los ingenieros sociales profesionales y maliciosos. En cada capítulo se profundiza en la ciencia y el arte de una habilidad específica de ingeniería social para mostrar cómo se puede utilizar, mejorado y perfeccionado. La siguiente sección de este capítulo, “Descripción de la Ingeniería Social”, define la ingeniería social y qué papeles que desempeña en la sociedad actual, así como los diferentes tipos de ataques de ingeniería social, incluyendo otras áreas de la vida donde se utiliza la ingeniería social en un tercer -malicious manera. También voy a hablar de cómo un ingeniero social puede utilizar el marco de la ingeniería social en la planificación de una auditoría o mejorar sus propias habilidades. El capítulo 2 es donde comienza la verdadera sustancia de las lecciones. La recopilación de información es la base de todas las auditorías de ingeniería social. El mantra del ingeniero social es: “Soy sólo tan buena como la información que deduzco.” Un ingeniero social puede poseer todas las habilidades en el mundo, pero si él o ella no sabe sobre el objetivo, si el ingeniero social hasn' t esbozó cada detalle íntimo, entonces la probabilidad de fracaso es más probable que ocurra. La recopilación de información es el quid de todos los trabajos de ingeniería social, a pesar de habilidades de la gente y la capacidad de pensar en sus pies pueden ayudar a salir de una situación difícil. Más a menudo que no, cuanta más información se reúnen, los mejores serán sus posibilidades de éxito.

Las preguntas que voy a contestar en ese capítulo se incluyen los siguientes: ¿Qué fuentes se puede utilizar un ingeniero social? ¿Qué información es útil?

¿Cómo puede un ingeniero social recoger, reunir y organizar esta información?

Como técnica debe obtener un ingeniero social? La cantidad de información es suficiente? Después de la analyzation de recopilación de información, el siguiente tema tratado en el capítulo 2 es el modelado de comunicación. En este tema se vincula estrechamente con la recopilación de información. En primer lugar voy a discutir lo que el modelado es la comunicación y la forma en que comenzó como una práctica. A continuación, el capítulo explica los pasos necesarios para desarrollar y utilizar un modelo de comunicación adecuada. Asimismo, señala cómo un ingeniero social utiliza este modelo frente a un objetivo y los beneficios de tipo gráfico para cada compromiso.

Capítulo 3 cubre elicitación, el siguiente paso lógico en el marco. Ofrece un aspecto muy en profundidad sobre cómo se utilizan preguntas para obtener información, contraseñas, un profundo conocimiento de la diana, y de su empresa. Usted aprenderá lo que es bueno y adecuado elicitación y aprender lo importante que es tener su elicitations planeado. Capítulo 3 se incluirá también el importante tema de la precarga de la mente del objetivo con información para hacer sus preguntas más fácilmente aceptadas. A medida que desentrañar esta sección se verá claramente lo importante que es llegar a ser un excelente inductor. También podrá ver con claridad cómo se puede utilizar esa habilidad no sólo en sus prácticas de seguridad, pero en la vida diaria.

Capítulo 4, que cubre pretextos, es de gran alcance. Este tema pesado es uno de los puntos críticos para muchos ingenieros sociales. Pretexting implica desarrollar el papel del ingeniero social jugará por el ataque a la empresa. ¿El ingeniero social ser un cliente, proveedor, soporte técnico, empleado nuevo, o algo igualmente realista y creíble? Pretexting implica no acaba de llegar a la historia, sino también el desarrollo de la forma en que su personaje se vería, actuar, hablar, caminar; decidir qué herramientas y conocimientos que tendrían; y luego el dominio de todo el paquete de modo que cuando se acerque a la de destino, son esa persona, y no simplemente interpretar a un personaje. Las preguntas cubiertos incluyen los siguientes:

¿Cuál es pretextos? ¿Cómo se desarrolla un pretexto?

¿Cuáles son los principios de pretexto éxito? ¿Cómo puede un plan de ingeniería social y luego ejecutar un pretexto perfecto?

El siguiente paso en el marco es el que puede llenar volúmenes. Sin embargo, debe ser discutido desde el punto de vista de un ingeniero social. Capítulo 5 es un no-holds- discusión prohibido en algunos temas muy confrontación, incluido el de las señales de los ojos. Por ejemplo, ¿cuáles son las opiniones que varían de algunos profesionales acerca de las señales de los ojos, y cómo puede un ingeniero social usarlos? El capítulo también se adentra en el fascinante ciencia de microexpresiones y sus implicaciones en la ingeniería social.

Capítulo 5 va en el análisis de la investigación, dando respuestas a estas preguntas: ¿Es posible utilizar microexpresiones en el campo de la seguridad? ¿Cómo hacerlo?

¿Qué bien, microexpresiones? ¿Las personas pueden entrenarse para aprender a recoger en microexpresiones de forma automática? Después hacemos la formación, la información que se obtiene a través microexpresiones? Probablemente uno de los más debatidos sobre los temas en el capítulo 5 es

Programación neurolingüistica ( PNL). El debate tiene muchas personas indecisas sobre lo que es y cómo se puede utilizar. El capítulo 5 presenta una breve historia de PNL, así como lo hace la PNL tal controversia. Usted puede decidir por sí mismo si la PNL se puede utilizar en la ingeniería social. Capítulo 5 también analiza uno de los aspectos más importantes de la ingeniería social en persona o por teléfono: saber cómo hacer buenas preguntas, escuchar las respuestas, y luego hacer más preguntas. Interrogatorios y entrevistas son dos métodos que la policía ha utilizado durante años para manipular los criminales que confesar, así como para resolver los casos más difíciles. Esta parte del Capítulo 5 pone en práctica el conocimiento adquirido en el capítulo 3. Además, el capítulo 5 se analiza cómo construir una relación instantánea, una habilidad que se puede utilizar en la vida cotidiana. El capítulo termina cubriendo mi propia investigación personal en “el desbordamiento del búfer humana”: la noción de que la mente humana es muy similar a la de software que los hackers explotan cada día. Mediante la aplicación de ciertos principios, un ingeniero social experto puede desbordar la mente humana e inyectar

cualquier comando que quieren. Al igual que los hackers escriben desbordamientos de manipular el software para ejecutar código, la mente humana se puede dar ciertas instrucciones, en esencia, “desbordamiento” el objetivo e insertar instrucciones personalizadas. El capítulo 5 es una lección alucinante en el uso de algunas técnicas sencillas para dominar la forma de pensar. Muchas personas han pasado su vida investigando y probando lo que puede y no influir en las personas. La influencia es una poderosa herramienta con muchas facetas en ella. Con este fin, el capítulo 6 discute los fundamentos de la persuasión. Los principios que participan en el Capítulo 6 le abre el camino para convertirse en un maestro de la persuasión.

El capítulo presenta una breve discusión de los diferentes tipos de persuasión que existen y proporciona ejemplos para ayudar a solidificar cómo se pueden utilizar estas facetas de la ingeniería social. La discusión no se detiene allí-encuadre es también un tema candente hoy en día. Existen muchas opiniones diferentes acerca de cómo se puede utilizar el encuadre, y este libro muestra algunos ejemplos de la vida real de la misma. A continuación, la disección de cada uno, se lo llevará a través de las lecciones aprendidas y las cosas que puede hacer para practicar la reformulación de sí mismo, así como el uso de encuadre en la vida cotidiana como un ingeniero social.

Otro tema abrumadora en la ingeniería social es manipulación: ¿Cual es su propósito? ¿Qué tipo de incentivos en coche manipuladores? ¿Cómo puede una persona utilizarlo en la ingeniería social? El capítulo 6 presenta todo un ingeniero social necesita saber sobre el tema de la manipulación, y cómo aplicar con éxito este tipo de habilidades. Capítulo 7 cubre las herramientas que pueden hacer una auditoría de la ingeniería social más exitosa. Desde herramientas físicas, tales como cámaras ocultas a por software de recopilación de información de herramientas, cada sección a prueba las cubiertas-y-intentó herramientas para los ingenieros sociales.

Una vez que entienda el marco de ingeniería social, el capítulo 8 se tratan algunos casos de la vida real. He elegido dos cuentas excelentes del ingeniero social de renombre mundial Kevin Mitnick. Analizo, diseccionar, y luego proponer lo que puede aprender de estos ejemplos e identificar los métodos que utilizó el marco de la ingeniería social.

Por otra parte, analizo lo que se puede aprender de sus vectores de ataque, así como la forma en que pueden ser utilizados en la actualidad. Discuto algunas cuentas personales y diseccionar ellos, también.

Lo que guía la ingeniería social estaría completa sin discutir algunas de las maneras en que puede mitigar estos ataques? El apéndice proporciona esta información. Contesto algunas preguntas comunes sobre la mitigación y dar algunos excelentes consejos para ayudar a usted y su organización contra estos ataques maliciosos seguro. El resumen anterior es sólo una muestra de lo que está por venir. Realmente espero que disfrute de este libro tanto como yo he disfrutado escribiéndolo. La ingeniería social es una pasión para mí. Creo que hay ciertos rasgos, ya sea adquirida o inherente, que pueden hacer a alguien un gran ingeniero social. También me suscribo a la creencia de que con suficiente tiempo y energía que nadie puede aprender los diferentes aspectos de la ingeniería social y luego la práctica estas habilidades para convertirse en un ingeniero social competente.

Los principios en este libro no son nuevos; no existe una tecnología alucinante que va a ver que va a cambiar la cara de la seguridad para siempre. No hay píldoras mágicas. Como cuestión de hecho, los principios han existido durante el tiempo que la gente tiene. Lo que este libro hace hacer es combinar todas estas habilidades en un solo lugar. Te da una dirección clara sobre cómo practicar estas habilidades, así como ejemplos de situaciones de la vida real en la que se utilizan. Toda esta información puede ayudarle a obtener un verdadero sentido de la comprensión de los temas tratados.

El mejor lugar para comenzar es con lo básico, al responder a una pregunta fundamental: “¿Qué es la ingeniería social”

Descripción de la Ingeniería Social

¿Qué es la ingeniería social? Una vez pregunté a esta pregunta a un grupo de entusiastas de la seguridad y que estaba sorprendida por las respuestas que he recibido: “La ingeniería social está mintiendo a la gente para obtener información.” “La ingeniería social es ser un buen actor”.

“La ingeniería social es saber cómo conseguir cosas gratis.” Wikipedia lo define como “el acto de manipular a la gente para que realice acciones o divulgar información confidencial. Mientras que es similar a una estafa o fraude sencilla, el término se aplica generalmente a engaño o engaño con fines de recopilación de información, el fraude o el acceso al sistema informático; en la mayoría de los casos, el atacante no se encuentra cara a cara con la víctima “.

Aunque se ha dado un mal nombre por la gran cantidad de “pizza gratis”, “café” y “cómo conseguir chicas sitios”, aspectos de la ingeniería social se tocan muchos aspectos de la vida diaria. El diccionario Webster define social como “de o perteneciente a la vida, el bienestar y las relaciones de los seres humanos en una comunidad”. También define Ingenieria

como “el arte o la ciencia de hacer la aplicación práctica de los conocimientos de las ciencias puras, como la física o la química, como en la construcción de motores, puentes, edificios, minas, barcos y plantas químicas o artilugio hábil o artística; maniobra." Al combinar estas dos definiciones se puede ver fácilmente que la ingeniería social es el arte o mejor aún, la ciencia, de la habilidad de maniobra seres humanos a tomar medidas en algún aspecto de su vida. Esta definición amplía los horizontes de los ingenieros sociales en todas partes. La ingeniería social se utiliza en la vida cotidiana de la manera niños reciben sus padres a ceder a sus demandas. Se utiliza en el camino profesores interactúan con sus alumnos, en la forma en médicos, abogados, psicólogos u obtener información de sus pacientes o clientes. Se utiliza definitivamente en cumplimiento de la ley, y en las citas-se utiliza realmente en cada interacción humana desde bebés hasta los políticos y todos los demás. Me gusta tomar esa definición un paso más allá y decir que una verdadera definición de la ingeniería social es el acto de manipular a una persona a tomar una acción que

mayo o podría no en el mejor interés del “objetivo”. Esto puede incluir la obtención de información, acceso, o conseguir el objetivo de tomar ciertas acciones. Por ejemplo, los médicos, psicólogos y terapeutas suelen utilizar elementos que considero la ingeniería social para “manipular” a sus pacientes a tomar medidas que son buenas para ellos, mientras que un estafador utiliza elementos de ingeniería social para convencer a su objetivo de tomar medidas que lleven a pérdida para ellos. A pesar de que el final del juego es muy diferente, el enfoque puede ser muy similar. UNA

psicólogo puede utilizar una serie de preguntas bien concebidas para ayudar a un paciente llegado a la conclusión de que el cambio es necesario. Del mismo modo, un estafador utilizará preguntas bien elaboradas para mover su objetivo en una posición vulnerable.

Ambos ejemplos son la ingeniería social en su forma más pura, pero tienen muy diferentes objetivos y resultados. La ingeniería social no es sólo engañando a la gente o acostado o representar un papel. En una conversación que tuve con Chris Nickerson, un conocido ingeniero social de la serie televisiva El equipo Tigre, dijo, “ingeniería social verdadero no es sólo creer que está jugando un papel, pero para ese momento son esa persona, usted es esa función, que es lo que su vida es “. La ingeniería social no es cualquier sola acción sino una colección de las habilidades mencionadas en el marco que cuando se ponen juntos conforman la acción, la habilidad y la ciencia que llamo la ingeniería social. De la misma manera, una maravillosa comida no es sólo un ingrediente, pero está compuesta por la cuidadosa combinación, mezcla, y la adición de muchos ingredientes. Así es como me imagino la ingeniería social para ser, y un buen ingeniero social es como un maestro de cocina. Poner en un pequeño toque de provocación, añadir un batido de la manipulación, y unos puñados colmadas de pretextos, y bam! salida privado viene una gran comida del ingeniero social perfecto.

Por supuesto, este libro se analizan algunas de estas facetas, pero el objetivo principal es lo que puede aprender de aplicación de la ley, los políticos, los psicólogos, e incluso los niños para mejorar sus habilidades para auditar y luego asegure a sí mismo. El análisis de la forma en que un niño puede manipular a un padre tan fácilmente da la visión ingeniero social de cómo funciona la mente humana. Al darse cuenta de cómo un psicólogo frases de preguntas puede ayudar a ver lo que pone a la gente en la facilidad. Al darse cuenta de cómo un agente de la policía lleva a cabo un interrogatorio éxito da una trayectoria clara sobre la forma de obtener información de un objetivo. Al ver cómo los gobiernos y los políticos enmarcan sus mensajes para el mayor impacto puede mostrar lo que funciona y lo que no. El análisis de cómo un actor se mete en un papel puede abrir los ojos a la increíble mundo de pretextos. Mediante la disección de la investigación y el trabajo de algunos de los principales expertos en microexpresiones y la persuasión se puede ver cómo utilizar estas técnicas de ingeniería social. Mediante la revisión de algunos de los factores de motivación de algunos de los mayores expertos vendedores y persuasión del mundo se puede aprender cómo construir una buena relación, poner a la gente a gusto, y cerrar negocios.

A continuación, mediante la investigación y el análisis de la otra cara de esta moneda-los estafadores, estafadores y ladrones, se puede aprender todas estas habilidades se unen para influir en las personas y mover a la gente en direcciones que pensaban que nunca se irían.

Mezclar este conocimiento con las habilidades de ganzúas, espías que utilizan cámaras ocultas, y recolectores de información profesional y tiene un ingeniero social talento. No se utiliza cada una de estas habilidades en cada compromiso, ni se puede dominar cada una de

estas habilidades. En su lugar, mediante la comprensión cómo estas habilidades y trabajan cuando utilizarl cualquier persona puede dominar la ciencia de la ingeniería social. Es cierto que algunas personas tienen un talento natural, como Kevin Mitnick, que podía hablar cualquiera de cualquier cosa, lo que parecía. Frank Abagnale, Jr., parecía tener los talentos naturales para engañar a la gente haciéndoles creer que él era quien quería que ellos creen que era. Victor Lustig hizo lo increíble, en realidad convencer a algunas personas que tenía los derechos para vender la Torre Eiffel, solamente superada por la estafa de Al Capone.

Estos ingenieros sociales y muchos más como ellos parecen tener talento natural o una falta de miedo que les permite probar cosas que la mayoría de nosotros nunca considerar el intento. Por desgracia, en el mundo de hoy, los hackers están mejorando continuamente sus habilidades en la manipulación de las personas y los ataques de ingeniería social maliciosos están aumentando. DarkReading ha publicado una artículo ( www.darkreading.com/database_security/security/attacks/showArticle.jhtml? articleID = 226200272 ) Que

se cita que las violaciones de datos han alcanzado entre $ 1 y $ 53 millones por incumplimiento. Citando una investigación de los estados Ponemon Institute DarkReading, “Ponemon encontró que los ataques Web-borne, código malicioso y conocedores maliciosos son los tipos más costosos de los ataques, lo que representa más del 90 por ciento de todos los gastos de delitos informáticos por organización y por año: Una Web- ataque basado cuesta $ 143,209 mil; código malicioso, $ 124,083 mil; y la información privilegiada maliciosos, $ 100.300.”iniciados malicioso que había sido listadas en los tres primeros sugiere que las empresas tienen que ser más conscientes de las amenazas planteadas por la ingeniería social malicioso, incluso de los empleados.

Muchos de estos ataques podrían haberse evitado si las personas fueron educados, ya que podrían actuar en esa educación. A veces, sólo saber cómo

personas maliciosas de pensar y actuar puede ser un abridor de ojos. Como ejemplo, en una escala mucho más pequeña y personales más, yo estaba hablando recientemente con un amigo cercano a sus cuentas financieras y cómo ella estaba preocupada por ser hackeado o estafado. En el transcurso de la conversación que empezamos a hablar sobre lo fácil que es “adivinar” las contraseñas de las personas. Le dije que muchas personas utilizan las mismas contraseñas para cada cuenta; Vi su cara palidecía al darse cuenta de esto es ella. Le dije que la mayoría de las personas utilizan contraseñas simples que combinan cosas como el nombre de su cónyuge, su cumpleaños, o de la fecha de aniversario. Vi entrar un tono cada vez más brillante del pálido. Continué diciendo que la mayoría de las veces la gente eligió la más simple “pregunta de seguridad”, tales como “tu (o el de su madre) el apellido de soltera” y cómo hallazgo fácil que la información es a través de Internet o de un par de llamadas falsas. Mucha gente va a enumerar esta información en las cuentas Blippy, Twitter o Facebook. Este amigo particular, no hizo uso de sitios de medios sociales demasiado, así que le preguntó si pensaba que con un par de llamadas que pudiera imaginarse a sí misma dando sobre esta información. Por supuesto, ella dijo que no. Para ilustrar la facilidad con que las personas mano sobre información personal, le dije que una vez vi un mantel en un restaurante que tenía un cupón de $ 50 fuera de un campo de golf, una oferta muy atractiva local. Para aprovechar esta oferta, sólo había que proporcionar su nombre, fecha de nacimiento, y la dirección de la calle, y proporcionar una contraseña de una cuenta que se creó y se envía a su dirección de correo electrónico. (Sólo me di cuenta esto en primer lugar porque alguien había empezado a llenar el cupón y lo dejó sobre la mesa.) Cada día se crean sitios web para recopilar dicha información sensible.

Una llamada telefónica con una encuesta o una investigación rápida en Internet puede dar una fecha de nacimiento o fecha de aniversario, y armado con esta información que tengo suficiente para construir una lista ataque de contraseña. Además, una docena de sitios ofrecen un registro detallado de todo tipo de información personal sobre un individuo por sólo $ 9- $ 30 USD. Al darse cuenta de cómo los ingenieros sociales maliciosos piensan, cómo reaccionan los estafadores a la información, y cómo los estafadores intentará cualquier cosa, puede ayudar a las personas a ser más conscientes de lo que está pasando a su alrededor.

Un equipo de entusiastas de la seguridad y que han recorrido el Internet recogiendo historias que muestran diferentes aspectos de la ingeniería social. Estas

historias pueden ayudar a responder a una pregunta-vital “cómo se utiliza la ingeniería social en la sociedad a través del tiempo?” - y ver dónde el lugar de la ingeniería social es y cómo se usa maliciosamente.

Ingeniería social y su lugar en la sociedad Como ya se ha discutido la ingeniería social puede ser utilizado en muchas áreas de la vida, pero no todos estos usos son maliciosos o malo. Muchas veces ingeniería social se pueden utilizar para motivar a una persona a tomar una acción que es bueno para ellos. ¿Cómo?

Piense en esto: John tiene que bajar de peso. Él sabe que no es saludable y tiene que hacer algo al respecto. Todos los amigos de John tienen sobrepeso, también. Incluso hacen chistes sobre las alegrías de tener sobrepeso y dicen cosas como: “Me encanta no tener que preocuparse por mi figura.” Por un lado, se trata de un aspecto de la ingeniería social. Es la prueba o el consenso social, donde lo que se encuentra o considere aceptable se determina por los que te rodean. Debido a que las asociaciones de cierre de John Ver el sobrepeso como aceptables, es más fácil para John la acepta o no. Sin embargo, si uno de esos amigos perdieron peso y no se convirtió en crítico pero fue motivado para ayudar, existe la posibilidad de que el marco mental de John acerca de su peso podría cambiar y podría comenzar a sentir que la pérdida de peso es posible y bueno.

Esto es, en esencia, la ingeniería social. Así se puede ver claramente cómo la ingeniería social, encaja en la sociedad y la vida cotidiana, las siguientes secciones se presentan algunos ejemplos de la ingeniería social, estafas, y la manipulación y una revisión de cómo funcionaban.

El 419 estafa La estafa de 419, más conocida como la estafa nigeriana, se ha convertido en una epidemia. Puede encontrar una historia archivado y artículo sobre esta estafa en

www.social-engineer.org/wiki/archives/ConMen/ConMen-ScamNigerianFee.html . Básicamente un correo electrónico (o en los últimos tiempos, una carta) llega a la meta diciéndole que ha sido señalado por un acuerdo muy lucrativo y todo lo que tiene que hacer es ofrecer un poco de ayuda. Si la víctima ayudará a la carta remitente extraer una gran

los bancos extranjeros que puede tener un porcentaje. Después de que el objetivo está confiado y “signos de” surge un problema que provoca que el objetivo que pagar una cuota. Después de que se pague la tarifa de otro problema se presenta, junto con otra cuota. Cada problema es “la última” con “una tarifa final” y esto se puede extender a lo largo de muchos meses. La víctima nunca ve ningún dinero y pierde de $ 10,000- $ 50,000 USD en el proceso. Lo que hace que este tipo de fraude por lo sorprendente es que en el pasado, los documentos oficiales, documentos, membretes, e incluso reuniones cara a cara han sido reportados. Recientemente, una variante de esta estafa ha aparecido en donde las víctimas son enviados literalmente un cheque real. Los estafadores prometen una gran suma de dinero y quieren a cambio sólo una pequeña parte de sus esfuerzos. Si el objetivo cablear transferir una suma pequeña (en comparación) de $ 10.000, cuando reciben el cheque prometido que puedan depositar el cheque y mantener la diferencia. El problema es que el cheque que viene es un fraude y cuando la víctima va a cobrarlo ella está sancionado con cargos de fraude de verificación y multas, en algunos casos después la víctima ya ha atado con alambre dinero al estafador. Esta estafa es exitosa, ya que juega en la codicia de la víctima. ¿Quién no daría $ 10.000 a hacer $ 1.000.000 o incluso $ 100.000? La mayoría de la gente inteligente lo haría. Cuando estas personas se presentan con documentos oficiales, pasaportes, recibos y oficinas oficiales, incluso con “el personal del gobierno”, entonces su creencia de que se establece y se hacen grandes esfuerzos para completar la operación. El compromiso y la coherencia juegan un papel importante en este tipo de fraude, así como la obligación. Discuto estos atributos en mayor detalle en los capítulos siguientes, y cuando lo haga, verá por qué este tipo de fraude es tan poderoso.

El poder de la escasez

los

artículo

archivados

a www.social-

engineer.org/wiki/archives/Governments/Governments- FoodElectionWeapon.html habla de un principio llamado escasez. La escasez es cuando las personas se les dice algo que necesitan o desean tiene disponibilidad limitada y para conseguirlo se debe cumplir con una cierta actitud o acción. Muchas veces el comportamiento deseado aun no se habla, pero la forma en que se transmite es por mostrar a la gente que están actuando “correctamente” lograr recompensas.

El artículo habla sobre el uso de los alimentos para ganar las elecciones en Sudáfrica. Cuando un grupo o persona no es compatible con el líder “derecho”, los alimentos escasean y el empleo de personas, una vez tenido se dan a otros que son más de apoyo. Cuando la gente ve esto en acción, no se necesita mucho tiempo para llegar a raya. Esta es una forma muy dañino y perjudicial de la ingeniería social, pero no obstante, uno a aprender. A menudo es el caso que la gente quiere lo que es escaso y que van a hacer nada si son llevados a creer que ciertas acciones hará que se pierden hacia fuera en esos artículos. Lo que hace algunos casos incluso peor, como en el ejemplo anterior, es que un gobierno tomó algo necesario para la vida y lo hizo “escasa” y disponible sólo a los partidarios-un malicioso, pero muy eficaz, táctica de manipulación.

El Dalai Lama y la ingeniería social

los

interesante

artículo

archivados

a www.social-

engineer.org/wiki/archives/Spies/Spies-DalaiLama.html detalles de un ataque hecho sobre el Dalai Lama en 2009.

Un grupo de hackers chinos querían acceder a los servidores y archivos en la red propiedad del Dalai Lama. ¿Qué métodos se utilizaron en este ataque exitoso? Los atacantes convencidos de que el personal de la oficina en la oficina del Dalai Lama para descargar y abrir el software malicioso en sus servidores. Este ataque es interesante porque combina tanto la piratería informática y la tecnología de la ingeniería social.

El artículo dice: “El software se unen a e-mails que pretendían provenir de colegas o contactos en el movimiento tibetano, según el investigador Ross Anderson, profesor de

ingeniería de la seguridad en la Universidad de Cambridge Computer Laboratory, citado por el Wa

Times Lunes. El software robó contraseñas y otra información, que a su vez dio a los hackers el acceso al sistema de correo electrónico de la oficina y los documentos almacenados en los ordenadores allí “. La manipulación se utilizó, así como vectores de ataque comunes como el phishing (la práctica de enviar correos electrónicos con atrayentes mensajes y enlaces o archivos que se deben abrir para recibir más información, a menudo los

enlaces o archivos conducen a cargas maliciosas) y la explotación. Este ataque puede trabajar y ha trabajado en contra de grandes corporaciones, así como los gobiernos. Este ejemplo es sólo uno de un gran número de ejemplos en los que estos vectores causan un daño masivo.

robo de los empleados El tema de robo de los empleados podría llenar volúmenes, especialmente a la luz del escalonamiento estadística

encontró

a www.social-

engineer.org/wiki/archives/DisgruntledEmployees/DisgruntledEmployees- EmployeeTheft.html que más del 60 por ciento de los empleados entrevistados admitió haber tomado los datos de un tipo u otro de sus empleadores. Muchas veces estos datos se vende a los competidores (como sucedió en esta historia de una

Morgan

Stanley

empleado: www.social-

engineer.org/wiki/archives/DisgruntledEmployees/DisgruntledEmployees- MorganStanley.html ). Otro robo de tiempos empleado está en el tiempo u otros recursos; en algunos casos, un empleado descontento puede causar daños importantes. Una vez hablé con un cliente acerca de las políticas de descarga empleado, cosas como la desactivación de tarjetas de acceso, desconectar cuentas de la red, y la escolta de los empleados dados de alta del edificio. La compañía sintió que todo el mundo era parte de la “familia” y que no se aplicaría esas políticas. Por desgracia, llegó el momento de dejar de lado “Jim”, una de las personas de mayor rango en la empresa. El “tiro” fue bien; era amistosa y Jim dijo que entendía. La única cosa que la compañía hizo bien fue para manejar los disparos alrededor de la hora de cierre para evitar la vergüenza y la distracción. Se estrecharon las manos y luego Jim hicieron la pregunta fatídica: “¿Puedo tomar una hora para limpiar mi escritorio y tomar algunas fotos personales de mi ordenador? Voy a cambiar mi tarjeta llave en la guardia de seguridad antes de salir “.

El sentirse bien acerca de la reunión, todos ellos rápidamente de acuerdo y se fue con una sonrisa y un poco de risa. Entonces Jim fue a su oficina, llena una caja de todos sus objetos personales, tomó las imágenes y otros datos de su ordenador, conectado a la red, y limpiarse el valor de los registros de contabilidad de datos, nóminas, facturas, órdenes de 11 servidores, historia, gráficos, y mucho más justo

eliminado en cuestión de minutos. Jim se volvió en su tarjeta de acceso como lo prometió y calmadamente salió del edificio con ninguna prueba de que él era el que inicie estos ataques. A la mañana siguiente, una llamada entró a mí desde el propietario que describe la matanza en la estela del ex-empleado. Con la esperanza de una bala de plata, el cliente no tenía más remedio que tratar de recuperar lo que se pudo recuperar forense y empezar de nuevo a partir de las copias de seguridad, que eran más de dos meses de edad. Un empleado descontento que se deja sin control puede ser más devastador que un equipo de piratas informáticos determinados y cualificados. Por una suma de $ 15 mil millones de dólares, eso es lo que la pérdida se estima en estar a las empresas en los EE.UU. solamente debido al robo de los empleados. Estas historias pueden dejar una pregunta acerca de lo que las diferentes categorías de los ingenieros sociales están ahí fuera y si pueden ser clasificados.

DarkMarket y Master Splynter En 2009 se rompió una historia sobre un grupo clandestino llamado DarkMarket-el llamado eBay para los delincuentes, un grupo muy apretado que comerciaban robado números de tarjetas de crédito y herramientas de robo de identidad, así como los elementos necesarios para hacer credenciales falsas y mucho más.

Un agente del FBI con el nombre de J. Keith Mularski fue bajo cubierta profunda y se infiltró en el sitio DarkMarket. Después de un rato, Agente Mularski se hizo un administrador del sitio. A pesar de que muchos tratando de desacreditarlo colgó en más de tres años como el administrador del sitio. Durante este tiempo, Mularski tuvo que vivir como un hacker malicioso, hablar y actuar como uno solo, y pensar como uno. Su pretexto fue uno de un spammer malicioso y estaba conocimientos suficientes para llevarlo a cabo. Su pretexto y sus habilidades de ingeniería social valió la pena porque Agente Mularski infiltró DarkMarket como el famoso Maestro Splynter, y después de tres años fue esencial en el cierre de un anillo masivo robo de identidad. La operación de ingeniería social picadura de tres años anotó 59 detenciones y evitó que más de $ 70 millones en el fraude bancario. Este es sólo un ejemplo de cómo las habilidades de ingeniería social puede ser utilizado para el bien.

Los diversos tipos de ingenieros sociales

Como se comentó anteriormente, la ingeniería social puede adoptar muchas formas. Puede ser dañino y puede ser amigable, puede acumularse y puede derribar. Antes de pasar al núcleo de este libro, tomar un breve vistazo a las diferentes formas de ingenieros sociales y una muy breve descripción de cada uno: Los hackers: Los proveedores de software son cada vez más hábiles en la creación de software que es curtido, o más difícil de penetrar. A medida que los piratas informáticos están golpeando el software más duros y como vectores de ataque y software de red, tales como la piratería informática remota, son cada vez más difíciles, los hackers están recurriendo a las habilidades de ingeniería social. A menudo usando una combinación de hardware y habilidades personales, los hackers están utilizando la ingeniería social en los principales ataques, así como en infracciones leves en todo el mundo. pruebas de penetración: Desde un probador de penetración en el mundo real (también conocido como pentester) es muy ofensivo en la naturaleza, esta categoría debe seguir después de los piratas informáticos. pruebas de penetración verdaderos aprender y utilizar las habilidades que utilizan los hackers para ayudar realmente a garantizar la seguridad de un cliente. pruebas de penetración son personas que podrían tener las habilidades de un sombrero negro malicioso, pero que nunca usan la información para beneficio personal o daño a la meta. Spies: Espías usan la ingeniería social como una forma de vida. A menudo el empleo de todos los aspectos del marco de la ingeniería social (discutido más adelante en este capítulo), los espías son expertos en esta ciencia. Espías de todo el mundo se enseñan diferentes métodos de “engañando” víctimas haciéndoles creer que son alguien o algo que no son. Además de ser enseñado el arte de la ingeniería social, muchas veces los espías también se basan en la credibilidad conociendo un poco o incluso mucho sobre el negocio o el gobierno que están tratando de ingeniero social. Los ladrones de identidad: El robo de identidad es el uso de la información como el nombre de una persona, números de cuentas bancarias, dirección, fecha de nacimiento y número de seguridad social sin el conocimiento del propietario. Este delito puede variar de ponerse un uniforme para hacerse pasar por alguien para estafas mucho más elaborados. Los ladrones de identidad emplean muchos aspectos

de la ingeniería social y el paso del tiempo parecen más envalentonados e indiferente al sufrimiento que causan. Empleados descontentos: Después de que un empleado ha convertido en contrariedad, que a menudo entran en una relación de confrontación con su empleador. A menudo, esto puede ser una situación unilateral, porque el empleado normalmente tratar de ocultar su nivel de desagrado para no poner en riesgo su empleo. Sin embargo, cuanto más descontentos que se conviertan, más fácil será para justificar actos de robo, vandalismo, u otros delitos. Estafador: Estafas o contras apelan a la codicia u otros principios que atraen a las creencias de la gente y deseos de “hacer dinero”. Los estafadores o timadores dominar la capacidad de leer la gente y seleccionar pequeñas señales que hacen que una persona una buena “marca”. También son hábiles en la creación de situaciones que se presentan oportunidades como inmejorables a una marca. reclutadores de ejecutivos: Los reclutadores también deben dominar muchos aspectos de la ingeniería social. Tener que dominar obtención, así como muchos de los principios psicológicos de la ingeniería social, se vuelven muy hábil en la lectura no sólo las personas, sino también la comprensión de lo que motiva a la gente. Muchas veces un reclutador deben tener en cuenta y por favor no sólo el demandante de empleo, sino también el cartel de trabajo. Los vendedores: De manera similar a los reclutadores, los vendedores deben dominar las habilidades de muchas personas. Muchos gurús de las ventas dicen que un buen vendedor no manipular a la gente, pero utiliza sus habilidades para averiguar cuáles son las necesidades de las personas son y luego ve si se pueden llenarla. El arte de las ventas tiene muchas habilidades tales como la recopilación de información, obtención, la influencia, principios psicológicos, así como muchas otras habilidades de la gente. gobiernos: No muy a menudo mirado como ingenieros sociales, los gobiernos utilizan la ingeniería social para controlar los mensajes que liberan así como las personas que gobiernan. Muchos gobiernos utilizan la prueba social, la autoridad y la escasez para asegurarse de que sus sujetos están en control. Este tipo de ingeniería social no siempre es negativa, porque algunos de los gobiernos transmitir mensajes son para el bien de las personas y el uso de ciertos elementos de la ingeniería social puede hacer que el mensaje sea más atractiva y más ampliamente aceptado.

Médicos, psicólogos y abogados: Aunque no se puede parecer a la gente en estas carreras como encajan en la misma categoría que muchos de estos otros ingenieros sociales, este grupo emplea los mismos métodos utilizados por los otros grupos en esta lista. Deben utilizar elicitación y la entrevista adecuada y tácticas de interrogatorio, así como muchos, si no todos los principios psicológicos de la ingeniería social para manipular sus “blancos” (clientes) en la dirección que desea que realicen.

Independientemente del campo, parece que se puede encontrar la ingeniería social o un aspecto de ella. Esto es por lo que apegarse a la creencia de que la ingeniería social es una ciencia. Existen conjunto de ecuaciones que permiten a una persona a “sumar” elementos de ingeniería social para llevar a la meta. En el ejemplo de un estafador, pensar en la ecuación como esta: pretexto + manipulación + archivo adjunto a la codicia = objetivo ser social de ingeniería.

En cada situación, sabiendo qué elementos van a trabajar es la parte más difícil, pero luego aprender a utilizar esos elementos es donde entra en juego la habilidad. Esta fue la base para el pensamiento detrás de la elaboración del marco de ingeniería social. Este marco ha revolucionado la forma en que se disecciona la ingeniería social, como se discute en la siguiente sección.

El Marco de Ingeniería Social y cómo utilizarlo A través de la experiencia y la investigación que he tratado de esbozar los elementos que componen un ingeniero social. Cada uno de estos elementos define una parte de la ecuación que es igual a un ingeniero social conjunto. Estos aspectos no están escritas en piedra; como una cuestión de hecho, desde su estado original hasta ahora el marco ha crecido.

El propósito del marco es dar suficiente información para que cualquiera pueda construir en estas habilidades. El marco no está diseñado para ser un recurso de todo incluido para toda la información en cada capítulo. Por ejemplo, la parte del capítulo 5 que cubre microexpresiones se basa en la investigación de algunas de las mentes más grandes en este campo y mi experiencia en el uso de esa información. De ninguna manera es que pretende sustituir a los 50 años de investigación por estas grandes mentes como el Dr. Paul Ekman.

A medida que lea el marco verá que mediante la utilización de las muchas habilidades dentro de ella, no sólo puede mejorar su práctica de seguridad, sino también su forma de pensar acerca de cómo permanecer seguro, la forma de comunicarse con más detalle, y cómo entender cómo la gente piensa .

Consulte la tabla de contenidos para una imagen clara del marco o verlo en línea en www.social. A primera vista, el marco puede parecer desalentador, pero dentro de este libro encontrará un análisis de cada tema que le permitirá aplicar, mejorar y desarrollar estas habilidades. El conocimiento es poder, es cierto. En este sentido, la educación es la mejor defensa contra la mayoría de los ataques de ingeniería social. Incluso los que el conocimiento no puede proteger contra el 100 por ciento, que tenga detalles de estos ataques mantiene alerta. La educación puede ayudar a mejorar sus propias habilidades, así como estar alerta.

Junto con la educación, sin embargo, se necesita práctica. Este libro no fue diseñado para ser un manual de leer una vez; en cambio, fue diseñado para ser una guía de estudio. Se puede practicar y personalizar cada sección para sus necesidades. El marco es progresiva en el sentido de que es la forma en que un ataque de ingeniería social se presenta. Cada sección del marco discute el tema siguiente en el orden que un ingeniero social podría utilizar esa habilidad en sus fases de planificación o de compromiso. El marco muestra cómo podría ser descrito un ataque. Después de que el ataque se planeó a cabo, las habilidades que se necesitan pueden ser estudiados, mejorados, y se practican antes de la entrega.

Supongamos, por ejemplo, que usted está planeando una auditoría de la ingeniería social en contra de una empresa que quería ver si podría tener acceso a su sala de servidores y robar datos. Tal vez su plan de ataque sería pretender ser una persona de soporte técnico que necesita tener acceso a la sala de servidores. Que se desea recoger información, tal vez incluso realizar una inmersión contenedor de basura. A continuación, con el pretexto de ser el tipo de alta tecnología, se podría utilizar algunas herramientas de cámara oculta, así como practicar el idioma apropiado y señales faciales / vocales de la forma de actuar, de sonido, y se ven como un individuo de la tecnología. Si encuentra lo que la empresa utiliza su cliente para el soporte técnico que pueda necesitar

hacer la recopilación de información sobre el mismo. ¿Quién su cliente recibe normalmente para dar servicio a ellos? ¿Cuáles son los nombres de los empleados con los que interactúan? El ataque tiene que ser planificado correctamente. Este libro no es sólo para aquellos que realizan auditorías, sin embargo. Muchos lectores sienten curiosidad por lo que los ataques son, no porque ellos son la protección de una empresa, pero debido a que necesitan para protegerse a sí mismos. Al no ser consciente de la manera en que un ingeniero social malicioso piensa que puede conducir a alguien por el camino hacia ser hackeado.

Los estudiantes universitarios en el campo de la seguridad también han utilizado el marco. La información en el marco esboza un camino realista para estos vectores, o métodos de ataque, y permite al lector a estudiar en profundidad. Generalmente, esta información también puede ayudar a mejorar su capacidad para comunicarse en la vida cotidiana. Saber leer las expresiones faciales o cómo utilizar preguntas para poner a la gente en la facilidad y obtener respuestas positivas pueden mejorar su capacidad de comunicarse con su familia y amigos. Se le puede ayudar a convertirse en un buen oyente y más consciente de los sentimientos de las personas.

Ser capaz de leer el lenguaje corporal de las personas, las expresiones faciales y tonos de voz también pueden mejorar su capacidad de ser un comunicador eficaz. La comprensión de cómo protegerse y proteger a sus seres queridos sólo se hará más valioso y más consciente del mundo que lo rodea.

Resumen Al igual que cualquier libro, el conocimiento contenido en este documento sólo es útil si se ponen en práctica. Cuanto más se practica más se va a tener éxito en el dominio de estas habilidades. Anteriormente, hablé de cómo la ingeniería social es como dominar el arte de la cocina. Mezclando los ingredientes adecuados en la cantidad adecuada puede tener una comida que está lleno de sabor y emoción. La primera vez que tratar de cocinar una comida que podría tener demasiada sal o podría carecer por completo de sabor, pero no tirar inmediatamente en la toalla que seguir intentando hasta que lo haga bien. Lo mismo ocurre con la ingeniería social. Algunas de las habilidades necesarias puede llegar

de forma más natural para usted y otros pueden ser más difícil. Si un tema en particular es difícil de entender o difícil para que usted pueda comprender, no darse por vencido, y no asuma que no puede aprenderlo. Cualquier persona puede aprender y utilizar estas habilidades con la cantidad correcta de esfuerzo y trabajo. También hay que tener en cuenta que, al igual que una verdadera receta, muchos “ingredientes” van a un buen concierto de ingeniería social. El primer ingrediente podría tener más sentido después de llegar abajo de la línea un poco más. Ciertas habilidades -tales como “el desbordamiento del búfer humana” cubierta en el capítulo 5 se sólo tienen sentido vez que tenga algunas de las otras habilidades discutidas en este libro. En cualquier caso, seguir practicando y asegúrese de hacer una investigación adicional en los temas sobre los que desea claridad. Ahora vamos a empezar a cocinar. Su “receta” comienza en el siguiente capítulo con el primer ingrediente, la recopilación de información.

Capitulo 2

Recopilación de información

La guerra es el noventa por ciento de la información.

- Napoleón Bonaparte Se ha dicho que no hay información irrelevante. Esas palabras suenan verdad cuando se trata de este capítulo sobre la recopilación de información. Incluso el más mínimo detalle puede dar lugar a una exitosa incumplimiento de ingeniería social.

Mi buen amigo y mentor, Mati Aharoni, que ha sido un pentester profesional desde hace más de una década, cuenta una historia que realmente impulsa este punto a casa. Él tuvo la tarea de acceder a una empresa que tenía una huella casi inexistente en la Web. Debido a que la empresa ofrecía muy pocas vías para introducirse en, conseguir este acceso demostraría ser muy difícil. Mati comenzó recorriendo la Internet para cualquier detalle que podrían conducir a un camino en. En una de sus búsquedas encontró un alto funcionario de la empresa que utiliza el correo electrónico corporativo en un foro sobre la filatelia y que expresaron su interés en sellos de la década de 1950 . Mati

registrado rápidamente una URL, algo así como www.stampcollection.com Y luego encontró un montón de imágenes de aspecto viejo 1950 de timbre sobre Google. La creación de una página web rápida para mostrar su “colección de sello,” él entonces elaborado un correo electrónico al funcionario de la compañía:

Estimado señor, que vi en www.forum.com usted está interesado en sellos de la década de 1950. Recientemente, mi abuelo falleció y me dejó con una colección de sellos que me

gustaría vender. Tengo un sitio web creado; si le gustaría ver que visite www.stampcollection.co . Gracias, Mati

Antes de que se envió el correo electrónico a la meta, que quería asegurarse de que no habría un impacto máximo. Tomó el número de la oficina del mensaje del foro y se coloca una llamada telefónica al hombre. “Buenos días, señor, esto es Bob. Vi su publicación en www.forum.com . Mi abuelo murió recientemente y me dejó un montón de sellos de los años 1950 y 60. Tomé fotos e hice una página web. Si está interesado yo pueda enviar el enlace y se puede echar un vistazo “. El objetivo era muy ansiosos de ver esta colección y acepta fácilmente el correo electrónico. Mati envió al hombre del correo electrónico y esperó a que se haga clic en el enlace. Mati lo que hizo fue integrar un marco malicioso en el sitio web. Este marco de código en él tenía que aprovechar una vulnerabilidad conocida entonces en el popular navegador de Internet Explorer y dar control de la computadora del objetivo a Mati. La espera no pasó mucho tiempo: tan pronto como el hombre recibió el correo electrónico se hace clic en el enlace y el perímetro de la compañía se vio comprometida. Una pequeña pieza de información en el correo electrónico corporativo a este hombre usa para buscar sellos-es lo que llevó a este compromiso. Sin pieza de información es irrelevante. Con ese conocimiento en mente, aquí son las preguntas que surgen con respecto a la recopilación de información: ¿Cómo se puede recopilar información? ¿Qué fuentes existen para los ingenieros sociales para recopilar información? ¿Qué se puede deducir de esta información para perfilar sus objetivos? ¿Cómo se puede localizar, almacenar y catalogar toda esta información con el nivel más fácil de usar? Estas son sólo algunas de las preguntas que usted tendrá que encontrar respuestas para el fin de lograr la recolección adecuada y eficaz de la información. Con la gran cantidad de sitios de redes sociales por ahí, la gente puede compartir fácilmente todos los aspectos de sus vidas con quien quieran, haciendo que la información potencialmente perjudicial más fácilmente disponibles que nunca antes. Este capítulo se centra en los principios de recopilación de información mediante la presentación de ejemplos de cómo puede ser utilizado en la ingeniería social y los efectos devastadores algunas de las informaciones gente Versión en la Web puede tener sobre su seguridad personal y de negocios.

Muchas de las habilidades o métodos que un ingeniero social puede utilizar provienen de otros campos. Un campo que es excelente en la recopilación de información son las ventas.

Los vendedores tienden a ser muy hablador, tranquilo, y muy bueno en la recopilación de datos sobre los agentes con los que interactúan. Una vez leí un libro sobre las ventas en el que el autor aconseja su personal de ventas para recoger referencias por parte del comprador, algo a lo largo de estas líneas: “¿Me puede decir una persona que usted piensa que podría beneficiarse de este producto tanto como lo hará?” El uso de texto simple puede conseguir a una persona para abrir y referir la familia, amigos, y tal vez incluso compañeros de trabajo. Cosecha, o la recopilación de esta información y luego almacenarla, permite que el personal de ventas para tener lo que ellos llaman “plomos calientes” para llamar sucesivamente. Un plomo caliente es donde tienen una persona con un “in”, una manera de conseguir en la puerta sin tener que llamar frío.

El vendedor puede ahora la palabra a los referidos y decir algo como, “yo estaba en la casa de Jane dos puertas más abajo, y ella compró nuestra política de suscripción. Después de revisar los beneficios y pagar por adelantado el año ella dijo que podría beneficiarse de la misma cobertura. ¿Tiene un minuto para que te muestre lo que Jane compró?”

Estas habilidades utilizadas por los vendedores a menudo son reflejadas por los ingenieros sociales. Por supuesto, un ingeniero social no está pidiendo referencias, pero pensar en el flujo de información dentro y fuera de esta conversación. El vendedor obtiene información de su actual cliente, entonces se transmite esa información de una manera que hará que el nuevo “objetivo” más susceptibles a escuchar y dejarlo entrar. Además, al dejar caer pistas sobre lo que compró el primer cliente y el uso de palabras como “prima” y “de antemano” el vendedor los precarga el nuevo objetivo con las palabras clave que quiere usar de él en tan sólo un poco de tiempo. Esta técnica es eficaz en el que se basa la confianza, utiliza la familiaridad, y permite que el objetivo de sentirse cómodo con el vendedor o el ingeniero social, dando a su mente un puente sobre la brecha que normalmente existiría allí. Este capítulo,

Como un ingeniero social, ambos ángulos son de vital importancia para entender y luego utilizar con eficacia. Para volver a la ilustración utilizada en el capítulo 1 de ser un chef, un buen chef sabe todo acerca de cómo detectar productos de buena calidad, verduras frescas y carnes de calidad. Ellos están bien informados sobre lo que sucede en la receta, pero a menos que se utilizan las cantidades adecuadas de la comida pueden ser demasiado suave o demasiado fuerte o no lo suficientemente bueno para comer en absoluto. Simplemente saber que

una receta requiere sal no te hace un chef, pero saber cómo mezclar la cantidad y tipos de ingredientes adecuada puede ayudarle a dominar el arte de la cocina. Un ingeniero social tiene que dominar el tipo y cantidad de habilidades para ser utilizados (la “receta”). Cuando se hace eso pueden convertirse en un ingeniero social principal. Este capítulo ayuda a identificar este equilibrio. El primer ingrediente en cualquier receta para un ingeniero social es la información (que se detallan en el siguiente apartado). Cuanto mayor sea la calidad de la información, más probabilidades hay de alcanzar el éxito. Este capítulo comienza con la discusión de cómo obtener la información. A continuación, se pasa a discutir lo que las fuentes se pueden utilizar para cosechar información. Este capítulo no estaría completa sin discutir cómo atar todo junto y utilizar estos recursos como un ingeniero social.

Reuniendo información La recopilación de información es como construir una casa. Si intenta iniciar con el techo de su casa seguramente será un fracaso. Una buena casa será construido usando una base sólida y desde allí se construirá literalmente desde cero. A medida que recoge la información que puede ser abrumado con la forma de organizar y utilizar estos datos, por lo que a partir de un archivo o un servicio de recopilación de información para recopilar estos datos en es una buena idea. Existen muchas herramientas para ayudar en la recogida y luego utilizar estos datos. Para las pruebas de penetración y auditorías de ingeniería social que utilizo una distribución Linux llamada BackTrack que está diseñado específicamente para este propósito. BackTrack es como la mayoría de las distribuciones de Linux, ya que es gratuito y de código abierto. Quizás su mayor ventaja es que contiene más de 300 herramientas diseñadas para ayudar en la auditoría de seguridad. Todas las herramientas dentro de BackTrack también son de código abierto y libre. Especialmente atractiva es la alta calidad de las herramientas de BackTrack, muchos de los cuales rival e incluso superar las herramientas que pagaría un brazo y una pierna para. BackTrack dos herramientas que son particularmente útiles para la recopilación de información y el almacenamiento se llaman Dradis y cesta. Las siguientes secciones tienen un rápido vistazo a cada uno.

usando BasKet

BasKet es similar en funcionalidad a Bloc de notas, pero más como Bloc de notas en los esteroides. Es actualmente es mantenido por Kelvie Wong y se puede encontrar de forma gratuita, ya sea en BackTrack o por lo http://basket.kde.org/ . El sitio web tiene instrucciones completas de cómo instalar cesta. BasKet una vez instalado es fácil de usar y la interfaz no es difícil de entender. Como se vio en Figura 2-1 , La interfaz es fácil de averiguar. Adición de un nuevo “Cesta” para almacenar los datos es tan simple como hacer clic derecho en el lado izquierdo de la pantalla y seleccionando New Basket.

Una vez que se añaden nuevas cestas el cielo es el límite. Puede copiar y pegar datos, capturas de pantalla lugar en la cesta, o incluso atar en OpenOffice u otros tipos de tablas, gráficos y otras utilidades. Figura 2-1: BasKet permite una fácil organización de los datos encontrados durante la recopilación de información.

La adición de una captura de pantalla se puede hacer de varias maneras. Lo más fácil es copiar la imagen a continuación, haga clic derecho del ratón en el nuevo carro y haga clic en Pegar. Como se muestra en Figura 2-1 , La adición de imágenes es simple, pero también muestra la imagen de inmediato. Las notas pueden ser escritas o pegadas alrededor de las imágenes con un simple clic en la cesta y comenzar a escribir. En una auditoría de seguridad normal, lo que hace que BasKet atractiva es la forma en que cataloga los datos y lo muestra en la pantalla. Yo suelo añadir una cesta diferente para cada tipo de datos, como Whois, medios sociales, y así sucesivamente. Después de eso, voy a hacer un poco de reconocimiento a través de Google Maps o Google Earth para capturar algunas imágenes del edificio o instalación del cliente, lo que puedo almacenar en la cesta también. Cuando la auditoría se haya completado, ser capaz de tirar hacia arriba y utilizar esta información rápida es muy fácil. Figura 2-2 ilustra una cesta casi completo que contiene una gran cantidad de información y pestañas útil. Como se muestra en Figura 2-2 , Cesta es fácil de almacenar la información en una formato fácil de leer. Trato de incluir tanta información como sea posible porque no hay información es demasiado pequeño para almacenar. La información que incluyo es artículos de la web del cliente, información de WHOIS, sitios de medios sociales, imágenes, información de contacto de los empleados, se reanuda la que se encuentran, foros, pasatiempos y todo lo demás me parece vinculado a la entidad.

Figura 2-2: Una cesta casi completado con una gran cantidad de información útil.

Cuando haya terminado, simplemente haga clic en el menú llamada cesta continuación, exportación e importación de toda la cesta como una página HTML. Esto es ideal para la presentación de informes o compartir estos datos. Para un ingeniero social, la recopilación de datos, como se discutirá en detalle más adelante, es el quid de cada concierto, pero si no puede recuperar y utilizar los datos de forma rápida, se vuelve inútil. Una herramienta como BasKet hace que los datos de retención y la utilización fácil. Si se le da el carrito a tratar de utilizar una vez, se le enganchó.

usando Dradis Aunque cesta es una gran herramienta, si lo hace un montón de recopilación de información, o si se trabaja en equipo que necesita para recoger, almacenar y utilizar los datos, a continuación, una herramienta que permite compartir varios usuarios de estos datos es importante. Introduzca Dradis. De acuerdo con los creadores de la fuente abierta Dradis, el programa es una “aplicación web autocontenido que proporciona un repositorio centralizado de

información”que se han reunido, y un medio por el cual planear para lo que está por venir. Como cesta, Dradis es una herramienta gratuita y de código abierto que se puede encontrar en

http://dradisframework.org/ . Ya sea que esté utilizando Linux, Windows o un Mac, Dradis tiene fácil de usar, configurar y instrucciones de instalación encontrar en

http://dradisframework.org/install.html . Una vez Dradis está instalado y configurado, simplemente navega a la máquina local y el puerto asignado o que utilice el estándar de 3004. Usted puede hacer esto mediante la apertura de un navegador y escribiendo https: // localhost: 3004 / . Una vez iniciada la sesión, te da la bienvenida a la pantalla que se muestra en Figura 2-3 . Observe el botón Agregar rama en la parte superior izquierda. La adición de una rama le permite añadir detalles similares como sea posible en la cesta: notas, imágenes y mucho más, e incluso se puede notas de importación.

Figura 2-3: Dradis tiene una bonita interfaz fácil de usar.

Dradis y la cesta son sólo dos herramientas que he utilizado para recoger y almacenar datos. Los sitios web, tanto para Dradis y la cesta tienen muy buenos tutoriales sobre cómo configurar y utilizar estas poderosas herramientas.

Cualquiera sea el sistema operativo que utilice-Mac, Windows o Linux-hay opciones que hay para ti. Lo que es importante es el uso de una herramienta que usted se sienta cómodo y que puede manejar grandes cantidades de datos. Por esa razón le sugiero mantenerse alejado de cosas como el Bloc de notas de Windows o Smultron o TextEdit en Mac. ¿Quieres ser capaz de formatear y resaltar ciertas áreas para hacer que destaquen. En mi servidor Dradis, representado en Figura 2-3 , Tengo una sección para los scripts de teléfono. Esta funcionalidad es muy útil para la transcripción de las ideas que podrían funcionar en base a la información que se reunieron. Estas herramientas sugieren cómo un ingeniero social comienza a utilizar la información que recoge. La primera etapa en la utilización de la información que se reúnen es pensar como un ingeniero social.

Pensando como un ingeniero social Tener unos pocos cientos de megabytes de datos e imágenes es grande, pero cuando se inicia la revisión de él, ¿cómo se entrena para revisar y luego pensar de los datos en una forma que tiene el máximo impacto? Por supuesto, usted podría abrir un navegador y escriba en búsquedas aleatorias de largo aliento que pueden dar lugar a algún tipo de información, algunos de los cuales incluso pueden ser útiles. Si tienes hambre es probable que no acaba de ejecutar a la cocina y empezar a tirar todo lo que se ve ingredientes en un recipiente y empezar a cavar en. La planificación, preparación, y pensó que todas las causas de la comida sea buena. Al igual que en una comida de verdad, un ingeniero social necesita para planificar, preparar, y pensar en qué tipo de información va a tratar de obtener y cómo va a obtenerlo.

Cuando se trata de este paso vital de recopilación de información mucha gente tendrá que cambiar su forma de pensar. Usted tiene que acercarse al mundo de la información delante de usted con una opinión diferente y la mentalidad de lo que normalmente puede tener. Tienes que aprender a cuestionar todo, y, cuando se ve una pieza de información, aprende a pensar en él como un ingeniero social haría. La forma en que hacer preguntas de la web o de otras fuentes debe cambiar. La manera de ver las respuestas que vienen de vuelta también debe cambiar. Escuchar una conversación, la lectura de lo que parece un mensaje en el foro de sentido, viendo una bolsa de basura que debe asimilar esta información de una manera diferente que antes. Mi mentor Mati se emociona cuando ve a un fallo en el programa.

¿Por qué? Debido a que es un probador de penetración y explotar escritor. Un accidente es el primer paso para encontrar una vulnerabilidad en el software, por lo que en lugar de ser irritado por la pérdida de datos que se excita en el accidente. Un ingeniero social debe acercarse a la información de la misma manera. Cuando la búsqueda de un objetivo que utiliza muchas diferentes sitios de medios sociales, busque los vínculos entre ellos y la información que se puede crear un perfil de conjunto. A modo de ejemplo, una vez que alquilar un coche para conducir unos pocos estados de distancia para los negocios. Mi compañero y yo cargamos todo nuestro equipaje en el maletero; como estábamos entrando en el coche nos dimos cuenta de una pequeña bolsa de basura en el asiento trasero. La otra persona dijo algo como: “Servicio de hoy sólo apesta. Usted calcula para lo que pagas ellos al menos limpiar el coche “.

Es cierto que se puede esperar eso, pero me dejó la bolsa a partir de ser arrojado por accidente en el cercano puede, y me dijo: “Me dejaron de mirar a lo que realmente rápido.” Al abrir la bolsa y empujó a un lado las envolturas de Taco Bell, lo estaba tendido a la vista fue un shock para mí la mitad de un cheque arrancado arriba. Rápidamente me deshice de la bolsa y encontró un recibo bancario y la otra mitad del cheque. El cheque fue escrito por un par de miles de dólares, a continuación, sólo arrancaron-no en pequeños pedazos, pero sólo en cuatro trozos grandes, y luego arrojados a una pequeña bolsa con un envoltorio de Taco Bell. El grabar de nuevo juntos reveló el nombre de esta persona, razón social, dirección, número de teléfono, número de cuenta bancaria y número de ruta bancaria. Junto con el recibo bancario que ahora tenía el saldo de su cuenta.

Esta historia personifica cómo la gente ve su valiosa información. Este hombre alquiló el coche delante de mí y luego porque tiró el cheque distancia que sentía que se había ido, descartar de manera segura. O eso es lo que pensaba; pero esto no es un caso aislado. En este URL se puede encontrar una historia reciente de cosas muy valiosas personas acaba de lanzar lejos o se venden por casi nada en una venta de garaje:

www.social-engineer.org/wiki/archives/BlogPosts/LookWhatIFound.html . Cosas como: Una pintura que un museo compró por $ 1,2 millones 1937 Bugatti Tipo 57S Atalante con apenas 24.000 millas vendidos por $ 3 millones

Una copia de la Declaración de Independencia

Si la gente tira una pintura con una copia oculta de la Declaración de Independencia en ella, y luego tirar las facturas, registros médicos, facturas de edad, o las tarjetas de crédito, probablemente no es una gran cosa. La forma de interactuar con la gente en público puede tener efectos devastadores. En el siguiente escenario se me pidió para auditar una empresa y antes de que pudiera proceder que necesitaba para recoger algunos datos. Echar un vistazo a lo sencillo, la información aparentemente sin sentido puede conducir a una violación. Simplemente siguiendo uno de los altos mandos de la empresa objetivo para un día o dos me mostró que se detuvo para tomar un café cada mañana a la misma hora. Desde que era consciente de su 7:30 de la mañana parada para tomar café en el café de la esquina pudiera planear una “reunión.” Se sentaba durante 30-35 minutos, leer el periódico, y beber un café latte medio. Entro en la tienda de aproximadamente 3-5 minutos después de que él se sienta. He pedido la misma bebida como él y siento junto a él en la tienda. Miro mientras coloca una sección del periódico y se pregunto si puedo leer el periódico que se realiza con. Después de haber recogido un documento sobre la forma en que sabía que la página tres contenía un artículo sobre un reciente asesinato en la zona. Después de actuar como si acabo de leerlo, digo en voz alta, “Incluso en estos pequeños pueblos cosas dan miedo hoy en día. Vives por aquí?”

Ahora en este punto el destino me puede soplar, o si jugaba bien mis cartas, mi lenguaje corporal, tono de voz, y la apariencia lo pondrá en la facilidad. Él dice: “Sí, me mudé hace unos años para un trabajo. Me gustan las ciudades pequeñas, pero ahí se oye más y más “. Continúo, “Estoy viajando por la zona. Vendo servicios de consultoría empresarial de gama alta a las grandes empresas y siempre disfruto de viajes a través de las ciudades más pequeñas, pero me parece escuchar más y más de estas historias, incluso en las zonas rurales.”Luego, en un tono muy en broma digo:“Usted don' t resultan ser un pez gordo en una gran empresa que necesita un poco de consultoría ¿verdad?” Se ríe apagado y luego como si sólo lo desafió a demostrar su valía dice, “Bueno, yo soy un vicepresidente de finanzas de la empresa XYZ aquí localmente, pero no manejar ese departamento.” “Hey, mira, no estoy tratando de vender algo, simplemente disfrutar de un café, pero si usted piensa que puedo pasar por aquí y dejar un poco de información de mañana o el miércoles?”

Aquí es donde la historia se pone interesante, como él dice, “Bueno, yo lo haría pero estoy dirigiendo hacia fuera para unas vacaciones muy necesario el miércoles. Pero, ¿por qué no se envía por correo a mí y yo le llamará.”Él entonces me entrega una tarjeta.

“Vas a algún lado cálido y soleado, espero?”, Pregunto esto sabiendo que probablemente estoy acercando a mi punto donde tengo que cortar. “Tomar a la esposa en un crucero sur.” Puedo decir que no me quiere decir dónde, lo cual está bien, así que se dan la mano y formas parte. Ahora me podía haber estado soplando fuera? Probablemente, pero tengo algo de información valiosa:

Su número directo Cuando él se va para las vacaciones ¿Qué tipo de vacaciones que él es local

El nombre de su compañía Su título en su empresa que recientemente se trasladó Por supuesto, parte de esta información que ya tenía de recopilación de información previa, pero yo era capaz de añadir una cantidad sustancial a la misma después de esta reunión. Ahora para poner en marcha la siguiente parte del ataque, que llamo su línea directa al día siguiente de que se supone que se ha ido y preguntar por él, sólo para ser informado por su recepcionista, “Lo siento, el Sr. Smith está de vacaciones, puedo tomar ¿un mensaje?" Excelente. La información es verificada y ahora todo lo que tengo que hacer es poner en marcha la fase final, lo que significa vestirse con un traje y tomar mis $ 9 tarjetas de visita a su oficina. Puedo entrar, iniciar sesión, y decirle a la recepcionista que tengo una cita con el Sr. Smith a las 10:00 am A lo que ella responde: “Él está de vacaciones, ¿está seguro que es hoy?” Usando mis sesiones de práctica en microexpresiones, un tema abordado en el capítulo 5, se muestra la verdadera sorpresa: “Espera, el crucero fue esta semana? Pensé que dejó la próxima semana “. Ahora bien, esta afirmación es de vital importancia, ¿por qué?

Quiero que la cita para ser creíble y quiero que el recepcionista que confía en mí por poder. Al afirmar que sé de su travesía esto debe significar el Sr. Smith

y he tenido una conversación íntima, lo suficiente para que yo sepa su itinerario. Pero mi impotencia provoca lástima y de inmediato el secretario viene en mi ayuda. “Oh, cariño, lo siento, quiero que llame a su asistente?” “Ah, no.” Contesto. “Tenía muchas ganas de dejar un poco de información con él. ¿Qué tal esto, voy a dejarlo con usted y usted puede darle a él cuando vuelva? Estoy terriblemente avergonzada; tal vez se puede evitar incluso diciéndole que hice esto?” "Mis labios están sellados."

"Gracias. Mira que voy a arrastrarse fuera de aquí, pero antes de hacerlo ¿puedo usar el baño?”Sé que normalmente no dejen entrar, pero espero que la combinación de mi simpatía, mi impotencia, y su compasión conducirá para el éxito-y lo hace. Mientras que en el cuarto de baño, coloco un sobre en un puesto. En la cubierta del sobre pongo una pegatina que dice PRIVADO. Dentro del sobre “privado” es una llave USB con una carga maliciosa en él. Lo hago en un puesto y también en el pasillo por una sala de descanso para aumentar mis posibilidades y espero que la persona que encuentra uno de ellos es lo suficientemente curioso para insertarlo en su ordenador. Efectivamente, este método parece funcionar siempre. Lo que da miedo es que este ataque probablemente no funcionaría si no fuera por una pequeña conversación inútil en una cafetería. El punto no es sólo sobre cómo pequeño de datos todavía puede dar lugar a una violación, sino también cómo se han recogido estos datos. Las fuentes que se pueden utilizar para recopilar datos es importante para entender y prueba hasta que son competentes con cada método y cada fuente de colección. Hay muchos tipos diferentes de fuentes para la recogida de datos. Un buen ingeniero social debe estar preparado para pasar algún tiempo aprendiendo las fortalezas y debilidades de cada uno, así como la mejor manera de utilizar cada fuente. Así, el tema de la siguiente sección.

Las fuentes de recopilación de información

Existen muchas fuentes diferentes para la recopilación de información. La siguiente lista no puede cubrir todas las fuentes por ahí, pero lo hace esbozar las principales opciones que tiene.

La recopilación de información de sitios web sitios web corporativos y / o personales pueden proporcionar una abundancia de información. La primera cosa que un buen ingeniero social a menudo hacer es reunir todos los datos que pueda de la página web de la empresa o persona de. Pasar algún tiempo de calidad con el sitio puede llevar a entender con claridad:

Lo que hacen Los productos y servicios que ofrecen ubicaciones físicas ofertas de trabajo Números de contacto

Biografías de los ejecutivos o la junta de directores de Soporte foro convenciones de nomenclatura de correo electrónico

palabras o frases especiales que pueden ayudar en la contraseña de perfiles Al ver sitios web personales de la gente también es increíble porque van a enlazar a casi todos los detalles sobre su vida íntima-niños, casas, trabajos y más. Esta información debe ser catalogado en secciones, ya que a menudo será algo de esta lista que se utiliza en el ataque. Muchas veces los empleados de la compañía serán parte de los mismos foros, listas de afición, o en los sitios de medios sociales. Si encuentra uno de los empleados en LinkedIn o Facebook, es probable que muchos más están allí también. Tratando de reunir todos esos datos realmente puede ayudar a un ingeniero social perfil de la empresa, así como los empleados. Muchos empleados hablarán de su puesto de trabajo en sus medios de comunicación social. Esto puede ayudar a un ingeniero social al perfil cuántas personas pueden estar en un departamento y cómo están estructurados los departamentos.

Los motores de búsqueda Johnny Long escribió un famoso libro llamado Google cortar para la Penetración probadores y realmente abrió los ojos de muchas personas a la increíble cantidad de información que Google mantiene.

Google perdona pero no olvida, y se ha comparado con el

Oráculo. Como siempre que se sepa cómo preguntar, se le puede decir nada más que quiere saber. Johnny desarrolló una lista de lo que él llama “Google Dorks”, o una cadena que se puede utilizar para buscar en Google para averiguar información sobre una empresa. Por ejemplo, si usted fuera a escribir: site: microsoft.com filetype: pdf te dará una lista de todos los archivos con la extensión de PDF que se encuentra en el microsoft.com

dominio. Estar familiarizado con los términos de búsqueda que pueden ayudar a localizar archivos en su destino es una parte muy importante de recopilación de información. Hago un hábito de buscar filetype: pdf, filetype: doc, filetype: xls, y filetype: txt. También es una buena idea para ver si los empleados realmente dejan archivos como DAT, CFG, u otros archivos de base de datos o configuración abierta en sus servidores para ser cosechado. Libros enteros se dedican al tema de la utilización de Google para encontrar los datos, pero lo más importante para recordar es aprender sobre operandos de Google le ayudará a desarrollar su propio.

Un sitio web como www.googleguide.com/advanced_operators.html tiene una muy buena lista de ambos los operandos y cómo utilizarlos. Google no es el único motor de búsqueda que revela información sorprendente. Un investigador llamado John Matherly creado un motor de búsqueda que llamó Shodan ( www.shodanhq.com ).

Shodan es único, ya que busca en la red para servidores, routers, software específico, y mucho más. Por ejemplo, una búsqueda de OS Microsoft-IIS: “Windows 2003” revela el siguiente número de servidores que ejecutan Windows 2003 con Microsoft IIS: 59140 Estados Unidos de China 5361 Canadá 4424

Reino Unido 3.406 3.027 Taiwán Esta búsqueda no es el objetivo específico, pero demuestra una lección vital: la web contiene una increíble cantidad de información que debe ser aprovechado por un ingeniero social que busca convertirse en expertos en la recopilación de información.

Reconocimiento whois Whois es un nombre para un servicio y una base de datos. estas bases de datos contienen una gran cantidad de información que, en algunos casos, incluso puede contener información de contacto completa de los administradores de sitios web. El uso de un símbolo del sistema Linux o el uso de un sitio web como www.whois.net se llevará a resultados sorprendentemente específicos como, como la dirección de una persona de correo electrónico, número de teléfono, o incluso la dirección IP del servidor DNS.

whois información puede ser muy útil en el perfil de una empresa y averiguar detalles sobre sus servidores. Toda esta información se puede utilizar para la recopilación de más información o para lanzar ataques de ingeniería social.

Los servidores públicos servidores accesibles públicamente de una compañía son también grandes fuentes de lo que sus sitios web no dicen. Las huellas digitales de un servidor para su sistema operativo, las aplicaciones instaladas, y la información de IP puede decir mucho acerca de la infraestructura de una empresa. Después de determinar la plataforma y las aplicaciones en uso, puede combinar estos datos con una búsqueda sobre el nombre de dominio de la empresa para encontrar las entradas en los foros públicos de apoyo. Las direcciones IP pueden decirle si los servidores están alojados de forma local o con un proveedor; con registros DNS puede determinar los nombres de servidor y funciones, así como las direcciones IP. En una auditoría después de buscar en la web utilizando la herramienta llamada Matelgo (discutido en el capítulo 7), yo era capaz de descubrir un servidor enfrenta públicamente que albergaba, literalmente, cientos de documentos con piezas clave de información sobre proyectos, clientes, y los creadores de esos documentos . Esta información fue devastador para la empresa. Una nota importante a tener en cuenta es que la realización de una escaneo de puertos -usando un herramienta como Nmap u otro escáner para localizar puertos abiertos, software y sistemas operativos utilizados en un servidor público, puede conducir a problemas con la ley en algunos países.

Por ejemplo, en junio de 2003, una, Avi Mizrahi israelí, fue acusado por la policía israelí del delito de intentar el acceso no autorizado de

material informático. Tenía puerto escanea la página web del Mossad. Unos ocho meses más tarde, fue absuelto de todos los cargos. El juez dictaminó que incluso este tipo de acciones no deben

desanimarse cuando se llevan a cabo de una manera positiva ( www.law.co.il/media/computer-law/miz ). En diciembre de 1999, Scott Moulton fue detenido por el FBI y acusado de allanamiento de ordenador intento de conformidad con la Ley de Protección de Sistemas de Computación de Georgia y Ley de Fraude y Abuso de América. En ese momento, su compañía de servicios de TI tenía un contrato en curso con el Condado de Cherokee de Georgia para mantener y mejorar la seguridad 911 central ( www.securityfocus.com/news/126 ).

Como parte de su trabajo, Moulton a cabo varios análisis de puertos en los servidores del condado de Cherokee para comprobar su seguridad y, finalmente, el puerto escanea un servidor web controlado por otra empresa de TI. Esto provocó una demanda, a pesar de que fue absuelto en 2000. El juez dictaminó que no hubo daño que afectaría a la integridad y disponibilidad de la red.

En 2007 y 2008, Inglaterra, Francia, Alemania y aprobó leyes que hacen ilegal la creación, distribución y posesión de materiales que permiten que alguien rompa cualquier derecho informático. analizadores de puertos se incluyen en esta descripción. Por supuesto, si usted está involucrado en una auditoría remunerada de una empresa mayor parte de esto será en el contrato, pero es importante señalar que corresponde al auditor ingeniero social para estar al tanto de las leyes locales y asegurarse de que está no romperlas.

Medios de comunicación social Muchas empresas han adoptado recientemente los medios de comunicación social. Es comercialización barata que toca a un gran número de clientes potenciales. Es también otro flujo de información de una empresa que puede proporcionar pan rallado de información viable. Empresas publican noticias sobre eventos, nuevos productos, comunicados de prensa e historias que ellos pueden estar relacionados con los acontecimientos actuales.

Últimamente, las redes sociales han adquirido una mente propia. Cuando uno se convierte en un éxito, parece que un poco más pop-up que utilizan una tecnología similar. Con sitios como Twitter, Blippy, PleaseRobMe, ICanStalkU,

Facebook, LinkedIn, MySpace y otros, se puede encontrar información sobre la vida y el paradero de las personas en la abierta. Más tarde, este libro discutirá este tema con mucha más profundidad y verá que las redes sociales son fuentes de información increíbles.

Sitios de usuarios, blogs, etc. sitios de los usuarios, tales como blogs, wikis y videos en línea pueden proporcionar no sólo información sobre la empresa objetivo, sino que también ofrecen una conexión más personal a través del usuario (s) publicar el contenido. Un empleado descontento que está escribiendo sobre los problemas de su empresa puede ser susceptible a un oído comprensivo de alguien con opiniones o problemas similares. De cualquier manera, los usuarios estarán siempre publicando increíbles cantidades de datos en la web para que cualquiera pueda ver y leer.

El caso en cuestión: Tome un vistazo a un sitio nuevo que ha aparecido

- www.icanstalku.com (ver Figura 2-4 ). Contrariamente a su nombre, no anima a la gente a acechar en realidad otros. Este sitio apunta a la inconsciencia completa de muchos usuarios de Twitter. Se raspa el sitio de Twitter y mira para los usuarios que son lo suficientemente tonto para publicar fotografías utilizando sus teléfonos inteligentes. Muchas personas no se dan cuenta que la mayoría de los teléfonos inteligentes incrustar datos de localización GPS en sus fotos. Cuando un usuario publica una imagen a la web con estos datos integrado, puede llevar a una persona adecuada para su ubicación. Visualización de la información basada en la ubicación es un aspecto aterrador de sitios web de medios sociales. No sólo que le permite enviar imágenes de sí mismo, también revelan implícitamente su ubicación, posiblemente sin su conocimiento. Sitios como ICanStalkU subrayan el peligro de esta información. Echa un vistazo a una historia (una de muchas) que muestra cómo se utiliza esta información para registros de casa Break,

robos,

y

algunas veces

Más

a www.social-

engineer.org/wiki/archives/BlogPosts/TwitterHomeRobbery.html . Este tipo de información le puede dar un perfil muy detallado de su objetivo. La gente le encanta tweet acerca de dónde están, lo que están haciendo y con quién están. Blippy permite a una persona para conectar sus cuentas bancarias y, en esencia, lo hará “tuit” con cada compra, de dónde era, y cuánto cuesta. Con imágenes que incluye los datos de localización integrados y, a continuación sitios como

Facebook, que muchos utilizan para poner fotos personales, historias, y otra información relacionada, es el sueño de un ingeniero social. En un corto tiempo un perfil entero puede ser desarrollado con la dirección de una persona, trabajo, imágenes, aficiones, y mucho más. Otro aspecto de los sitios de medios sociales que los hace excelentes fuentes de recopilación de información es la capacidad de ser anónimo. Si el objetivo es un hombre de mediana edad recién divorciada que ama a su página de Facebook, puede ser una mujer joven que está buscando un nuevo amigo. Muchas veces, mientras que el coqueteo, las personas divulgan valiosas piezas de información. Combinar la capacidad de ser cualquier persona o cualquier cosa que desee en la web con el hecho de que la mayoría de las personas creen todo lo que leen como un hecho Evangelio y lo que tiene es uno de los mayores riesgos para la seguridad.

Figura 2-4: Una escena típica en la página principal de ICanStalkU.com.

Informes públicos Los datos públicos pueden ser generados por las entidades dentro y fuera de la empresa objetivo. Estos datos pueden consistir en informes trimestrales, informes gubernamentales, informes de analistas, las ganancias anotadas para las empresas que cotizan en bolsa, y así sucesivamente. Un ejemplo de estos son los informes de Dunn and Bradstreet u otros informes de ventas que se venden por muy poco dinero y que contienen una gran cantidad de detalles sobre la empresa objetivo.

Otra vía discutirá con más detalle más adelante está utilizando las fichas de antecedentes

como

aquellos

encontrado en www.USSearch.com y

www.intelius.com . Estos sitios, junto con muchos otros, pueden ofrecer servicios de verificación de antecedentes para tan poco como $ 1 para un informe limitado a una cuota de $ 49 por mes que le permite ejecutar el mayor número de cheques que desee. Usted puede obtener mucha de esta información para el uso de motores de búsqueda gratuitos, pero algunos de los datos financieros detallados e información personal sólo se puede obtener fácilmente y legalmente a través de un servicio de pago-por. Tal vez lo más sorprendente es que muchas de estas empresas incluso pueden proporcionar datos como el de una persona Número de Seguro Social a algunos clientes.

Usando el poder de la observación Aunque no se utiliza lo suficiente como herramienta de ingeniería social, la observación simple puede decir mucho acerca de su objetivo. ¿Tiene empleados del destino utilizan llaves, tarjetas RFID, u otros métodos para entrar en el edificio? ¿Hay un área designada para fumar? Son los contenedores de basura bloqueado, y hace el edificio tiene cámaras externas? Los dispositivos externos tales como fuentes de alimentación o equipos de aire acondicionado por lo general ponen de manifiesto que la empresa de servicios es, y que pueden permitir que el ingeniero social otro vector para obtener acceso. Estas son sólo algunas de las preguntas que usted puede obtener respuestas a través de la observación. Tomando algo de tiempo para ver el objetivo, la película utilizando una cámara oculta, y después de estudiar y analizar la información más adelante le puede enseñar mucho y dar su información de archivo de un gran impulso.

El paso por la basura

Sí, tan difícil como es de imaginar disfrutando de saltar a través de la basura, se puede producir uno de los beneficios más lucrativos para la recopilación de información. La gente a menudo tiro de facturas, avisos, cartas, discos compactos, computadoras, llaves USB, y una plétora de otros dispositivos e informes que realmente pueden dar increíbles cantidades de información. Como se mencionó anteriormente, si la gente está dispuesta a tirar arte que vale millones, entonces las cosas que ven como basura a menudo ir sin pensarlo dos veces, a la derecha en la basura. A veces las compañías triturar documentos que consideren como demasiado importante como para simplemente tirar, sino que utilizan una trituradora de papel ineficaz que deja demasiado fácil de poner de nuevo juntos, como se muestra en Figura 2-5 . Figura 2-5: Grandes unidireccionales jirones dejan algunas palabras sigue siendo legible.

Esta imagen muestra algunos documentos después de la trituración, pero algunas palabras completas siguen siendo discernible. Este tipo de trituración puede ser frustrado con una

poco de tiempo y paciencia y un poco de cinta, como se ve en Figura 2-6 . Documentos que pueden ser grabadas, incluso parcialmente, de nuevo juntos pueden revelar información muy devastador.

Figura 2-6: Poner de nuevo juntos los documentos sólo se necesita tiempo y paciencia.

Sin embargo, el uso de una trituradora que tritura ambas direcciones en un lío picada fina hace grabar documentos de nuevo juntos casi imposible, como se muestra en Figura 2-7 .

Figura 2-7: Difícilmente se puede decir que esto fue una vez el dinero.

Muchas empresas utilizan los servicios comerciales que tienen sus documentos triturados de distancia para su incineración. Algunas empresas incluso salen de la trituración a un tercero, que, como habrá adivinado, los deja abierta a otro tipo de ataque. Un ingeniero social que descubre el nombre de su proveedor de esto se puede imitar fácilmente a la persona recogida y será entregado todos sus documentos. Sin embargo, basurero de buceo puede ofrecer una manera rápida de encontrar toda la información que desea. Recuerde que algunos indicadores clave a la hora de realizar una inmersión contenedor de basura: Use zapatos o botas: Nada va a arruinar su día más rápido que salta en un contenedor de basura y tener un clavo pasar por su pie. Asegúrese de que sus zapatos empate en agradable y apretado, así como ofrecer protección contra objetos afilados.

Use ropa oscura: Esto no necesita mucha explicación. Tú

ropa que no te importa tener que deshacerse de, y ropas oscuras para evitar ser detectado.

Trae una linterna Grab y ejecute: A menos que esté en una zona tan aislada que no tienen ninguna posibilidad de ser atrapado, tomando algunas bolsas y ir a otra parte a hurgar en ellos podría ser mejor. Recolección urbana casi siempre conduce a una información muy útil. A veces, un ingeniero social no tiene ni siquiera para sumergirse en un contenedor de basura para encontrar los productos. Ya se ha mencionado en el capítulo 1 es el artículo que se encuentra en

www.social-engineer.org/resources/book/TopSecretStolen.htm ,

pero

eso

solidifica este pensamiento. La CTU Canadiense (Unidad contra el Terrorismo) tenía planes para un nuevo edificio que se refirió a sus cámaras de seguridad, cercas y otros artículos de alto secreto. Estos planos fueron simplemente tiran-sí, simplemente arrojados a la basura, ni siquiera triturados, y afortunadamente encontraron por una persona amigable. Esta historia es sólo una de muchas que muestran “el colmo de la estupidez”, como el artículo afirmaba, pero desde el punto de vista de un ingeniero social, buceo basura es uno de los mejores instrumentos de recolección de información por ahí.

El uso de perfiles de software Capítulo 7 discute las herramientas que componen algunos de los conjuntos de herramientas profesionales de los ingenieros sociales, pero esta sección ofrece una visión general rápida. perfiladores contraseña del usuario, tales como contraseñas Común Profiler (CUPP) y quién es su papá (JMJ) pueden ayudar a un ingeniero social Perfil Las contraseñas posibles una empresa o persona puede utilizar. Cómo utilizar estas herramientas se discute en el capítulo 7, pero una herramienta como la JMJ raspar un sitio web persona o empresa de y crear una lista de contraseñas de las palabras mencionadas en ese sitio. No es raro que las personas usan las palabras, nombres o fechas como contraseñas. Estos tipos de software que sea fácil de crear listas de la mejor calidad. herramientas sorprendentes, como Maltego (véase el capítulo 7 para más detalles), mediante Paterva, son el sueño de un recolector de información. Maltego permite que un ingeniero social para realizar muchas búsquedas basadas en la Web y la recopilación de información pasiva sin tener que utilizar ninguna utilidad pero sí Maltego.

A continuación se va a almacenar y representar gráficamente estos datos en la pantalla para ser utilizado en la presentación de informes, exportar o para otros fines. Esto realmente puede ayudar en el desarrollo de un perfil en una empresa. Recuerde, su objetivo a medida que recogen los datos es aprender acerca de la empresa objetivo y las personas dentro de la empresa. Una vez que un ingeniero social recoge suficientes datos, una imagen clara se formará en sus mentes en cuanto a la mejor forma de manipular los datos de los objetivos. ¿Quieres perfil de la empresa en su conjunto y saber aproximadamente cuántos empleados son parte de un club, un hobby, o grupo. ¿Es que donan a una cierta caridad o no a sus hijos van a la misma escuela? Toda esta información es muy útil en el desarrollo de un perfil. Un perfil claro puede ayudar al ingeniero social no sólo en el desarrollo de un buen pretexto, pero también puede esbozar lo preguntas a utilizar, qué son días buenos o malos a llamar o venir en el sitio, así como muchas otras pistas que pueden hacer que el trabajo sea mucho más fácil . Todos los métodos discutidos hasta ahora son en su mayoría métodos físicos, muy personales de recopilación de información. No toqué en el lado muy técnica de recopilación de información como servicios tales como SMTP, DNS, NetBIOS y SNMP al todopoderoso. Hago cubrir algunos de los aspectos más técnicos que Maltego puede ayudar en el capítulo 7 con más detalle. Estos métodos son vale la pena analizar, pero son muy técnica en la naturaleza en contraposición a más “humana” en la naturaleza.

Sea cual sea el método que usted utiliza para recopilar información lógicamente, la pregunta que pueda surgir es que ahora que sabe dónde se reúnen, cómo reunir, e incluso cómo catalogar, almacenar y visualizar esta información, ¿qué hacer con ella? Como un ingeniero social, después de tener información que debe comenzar a planificar sus ataques. Para hacer que usted necesita para empezar a modelar un esquema que utilizará esta información. Una de las mejores formas de iniciar la utilización de estos datos es desarrollar lo que se llama un modelo de comunicación.

Modelado de comunicación

El más elaborado de nuestros medios de comunicación, menos

comunicar. - Joseph Priestley Comunicación es un proceso de transferencia de información de una entidad a otra. La comunicación implica interacciones entre al menos dos agentes, y puede ser percibido como un proceso bidireccional en el que se produce un intercambio de información y una progresión de pensamientos, sentimientos o ideas hacia una meta o dirección aceptada mutuamente.

Este concepto es muy similar a la definición de la ingeniería social, excepto el supuesto es que los implicados en la comunicación ya tienen un objetivo común, mientras que el objetivo del ingeniero social es el uso de la comunicación para crear un objetivo común. La comunicación es un proceso mediante el cual la información está encerrado en un paquete y se canaliza y impartido por un emisor a un receptor a través de algún medio. Después, el receptor decodifica el mensaje y da la retroalimentación remitente. Todas las formas de comunicación requieren un emisor, un mensaje y un receptor. La comprensión de cómo funciona la comunicación es esencial para el desarrollo de un modelo de comunicación adecuada como un ingeniero social. Modelando su comunicación como un ingeniero social nos ayudará a decidir el mejor método de entrega, el mejor método para la retroalimentación, y el mejor mensaje para incluir.

La comunicación puede adoptar muchas formas diferentes. Existen medios auditivos, tales como el habla, la canción y el tono de voz, y hay medios no verbales, tales como el lenguaje corporal, lenguaje de signos, paralenguaje, el tacto y el contacto visual. Independientemente del tipo de comunicación utilizado, el mensaje y la forma en que se suministra tendrán un efecto definido en el receptor. La comprensión de las reglas básicas es esencial para la construcción de un modelo para un objetivo. Algunas reglas no pueden ser rotos, tales como la comunicación siempre tiene un emisor y un receptor. También cada uno tiene diferentes realidades personales que se construyen y afectadas por sus experiencias pasadas y sus percepciones. Todo el mundo percibe, experiencias, e interpreta las cosas de otra en base a estas realidades personales. Cualquier evento dado siempre será percibido de manera diferente por diferentes personas a causa de este hecho. Si tiene hermanos, un ejercicio ordenado de probar esto es para pedirles su interpretación o en la memoria de una

acontecimiento, especialmente si es un evento emocional. Usted verá que su interpretación de este evento es muy diferente de lo que se acuerde. Cada persona tiene tanto físico como mental, un espacio personal. De permitir o impedir a la gente a entrar en ese espacio o estar cerca de ti, dependiendo de muchos factores. Cuando se comunique con una persona de cualquier manera, usted está tratando de entrar en su espacio personal. Como ingeniero social comunica que están tratando de traer a otra persona en su espacio y compartir esa realidad personal. La comunicación efectiva intenta conectar todos los participantes en la ubicación mental de uno al otro. Esto ocurre con todas las interacciones, sino porque es tan común la gente lo hace sin pensar en ello.

En las comunicaciones interpersonales se están enviando mensajes de dos capas: verbal y no verbal.

La comunicación por lo general contiene una parte verbal o lenguaje, ya sea en la palabra hablada, escrita o expresada. También por lo general tiene una porción no verbales expresiones-faciales, el lenguaje corporal, o algún mensaje no lingüística como emoticonos o fuentes. Independientemente de la cantidad de cada tipo de señal (verbal o no verbal), este paquete de comunicación se envía al receptor y después se filtró a través de su realidad personal. Ella va a formar un concepto basado en su realidad, a continuación, sobre la base de que comenzará a interpretar este paquete. Como el receptor descifra este mensaje comienza a descifrar su significado, incluso si ese sentido no es lo que pretende el emisor. El remitente sabrá si su paquete se recibe la forma en que la intención si el receptor da un paquete de comunicación a cambio para indicar su aceptación o rechazo del paquete original. Aquí el paquete es la forma de comunicación: las palabras o letras o mensajes de correo electrónico enviados. Cuando el receptor recibe el mensaje tiene que descifrarlo. Hay muchos factores que dependen de la forma en que se interpreta. ¿Está en un buen estado de ánimo, mal humor, feliz, triste, enojado, compasivo todas estas cosas, así como las otras señales que alteran su percepción le ayudará a descifrar ese mensaje. El objetivo de la ingeniería social tiene que ser dar tanto las señales verbales y no verbales la ventaja de alterar la percepción del blanco de manera que tenga el impacto de los deseos ingeniero social. Algunas de las reglas más básicas para la comunicación incluyen los siguientes:

Nunca dar por sentado que el receptor tiene la misma realidad que usted. Nunca dar por sentado que el receptor interpretará el mensaje de la manera que se esperaba.

La comunicación no es una cosa absoluta, finito. Siempre suponga que existen tantas realidades diferentes, ya que hay diferentes personas que intervienen en la comunicación.

Conociendo estas reglas puede mejorar enormemente la capacidad para las comunicaciones buenas y útiles. Todo esto es bueno y grande, pero ¿qué la comunicación tiene que ver con el desarrollo de un modelo? Aún más, ¿qué tiene que ver con la ingeniería social?

El modelo de comunicación y sus raíces Como ya se ha establecido, la comunicación significa básicamente el envío de un paquete de información a un receptor pretendido. El mensaje puede provenir de muchas fuentes como la vista, oído, tacto, olfato y palabras. Este paquete es luego procesada por el objetivo y se utiliza para pintar un cuadro general de “lo que se dice.” Este método de evaluación se denomina Proceso de

comunicación. Este proceso se describe originalmente por los científicos sociales Claude Shannon y Warren Weaver en 1947, cuando se desarrolló el modelo de Shannon-Weaver, también conocida como “la madre de todos los modelos.”

El modelo de Shannon-Weaver, según Wikipedia, “encarna los conceptos de fuente de información, mensaje, transmisor, la señal, canal, el ruido, el receptor, destino de la información, probabilidad de error, la codificación, decodificación, velocidad de información, [y] la capacidad del canal,”entre otras cosas.

Shannon y Weaver definen este modelo con un gráfico, como se muestra en

Figura 2-8 . En un modelo simple, también conocido como el modelo de transmisión, la información o el contenido es enviado en una cierta forma de un remitente a un destino o receptor. Este concepto común de comunicación, simplemente ve a la comunicación como un medio para enviar y recibir información. Los puntos fuertes de este modelo son su simplicidad, generalidad, y cuantificable.

Figura 2-8: La “madre de todos los modelos.” ​Shannon-Weaver

Shannon y Weaver estructuran este modelo basado en:

Una fuente de información, que produce un mensaje Un transmisor, que codifica el mensaje en señales de un canal, a la que las señales están adaptados para la transmisión de un receptor, que “decodifica” (reconstruye) el mensaje de la señal

Un destino, donde llega el mensaje Ellos argumentaron que los tres niveles de problemas de comunicación existían dentro de esta teoría:

El problema técnicos con precisión se puede transmitir el mensaje? El problema semántico-Cómo se transmite con precisión el significado? La eficacia de problemas ¿Con qué eficacia el significado recibido afecta el comportamiento? (Este último punto es importante recordar para la ingeniería social. El objetivo general del ingeniero social es la creación de un comportamiento que el ingeniero social quiere).

Casi 15 años más tarde, David Berlo expandió en Shannon y Weaver, del modelo lineal de comunicación y creó el Emisor-Mensaje-Channel-

Receptor (SMCR) modelo de comunicación. SMCR separó el modelo en partes claras, como se muestra en Figura 2-9 .

Figura 2-9: El modelo Berlo.

Se puede pensar en la comunicación como los procesos de transmisión regido por tres niveles de reglas:

información

propiedades formales de signos y símbolos

Las relaciones entre los signos / expresiones y sus usuarios las relaciones entre los signos y símbolos y lo que representan Por lo tanto, se puede perfeccionar la definición de la comunicación como interacción social, donde al menos dos agentes que interactúan comparten un conjunto común de signos y un conjunto común de reglas.

En 2008 otro investigador, DC Balmund, combina la investigación de muchos de sus cohortes anteriores con su propia y desarrolló el modelo transaccional de la comunicación, como se muestra en Figura 2-10 . En este modelo se puede ver que el canal y el mensaje pueden tomar muchas formas, no sólo se habla, como la representada por la imagen. El mensaje puede estar en vídeo, por escrito o de audio y el receptor puede ser una persona o

muchas personas. La reacción también puede tomar muchas formas. La combinación y el análisis de esta investigación puede ayudar a un ingeniero social a desarrollar un modelo de comunicación sólida. No sólo los ingenieros sociales pueden beneficiar de esta manera, todo el mundo puede. Aprender a desarrollar un plan de comunicación puede mejorar la forma de lidiar con su cónyuge, sus hijos, su empleador o empleados de cualquier persona que se comunica.

Figura 2-10: El nuevo y mejorado modelo de comunicación.

Debido a que el enfoque de este libro es ingenieros sociales, es necesario analizar lo que un ingeniero social puede tomar distancia de todo esto. Después de leer toda esta teoría puede comenzar a preguntarse cómo se puede utilizar. Recuerde, un contexto social

ingeniero debe ser un maestro en la comunicación. Deben ser capaces de entrar efectivamente en y permanecer en el espacio personal y mental de una persona y no ofender o apagar el objetivo. Desarrollo, implementación, y la práctica de los modelos de comunicación efectiva es la clave para lograr este objetivo. El siguiente paso entonces está desarrollando un modelo de comunicación.

Desarrollo de un Modelo de Comunicación Ahora que ya sabe acerca de los elementos clave de un modelo de comunicación, echar un vistazo a ellos desde los ojos de un ingeniero social:

La fuente: El ingeniero social es la fuente de la información o de comunicación que va a ser transmitida.

El canal: Este es el método de entrega. El mensaje: Probablemente la parte más importante del mensaje es saber lo que va a decir al receptor (s). El receptor (s): Este es el objetivo. El Comentarios: ¿Qué quiere que hagan después de que efectivamente les da la comunicación? ¿Cómo puede usar estos elementos de manera efectiva? El primer paso en el mundo del modelaje de comunicación está empezando con su objetivo. Trate de trabajar con un par de los escenarios que podrían ser parte de un típico concierto de la ingeniería social:

Desarrollar un correo electrónico de phishing dirigido contra 25-50 empleados y tratar de hacer que ir durante las horas de trabajo a un sitio web no comercial que será integrado con código malicioso para introducirse en sus redes. Hacer una visita in situ para retratar a un entrevistado potencial que acaba arruinado su hoja de vida al derramar café en ella y tiene que convencer a la persona de recepción para permitir que una llave USB que se inserta en un ordenador para imprimir una copia de la hoja de vida. Al desarrollar una estrategia de comunicación que se encuentra trabajando en el modelo de forma inversa a ser beneficioso. Realimentación: ¿Cuál es su respuesta deseada? La respuesta deseada es tener la mayoría de los empleados se envía este correo electrónico para hacer clic en

eso. Eso es lo ideal; Por supuesto, es posible que esté satisfecho con sólo un puñado o incluso uno, pero el objetivo, la respuesta deseada, es tener la mayoría de los objetivos, haga clic en el enlace de phishing.

receptores: Aquí es donde sus habilidades de recolección de información son útiles. Lo que necesita saber todo acerca de los objetivos. ¿Les gusta el deporte? Son predominantemente masculino o femenino? Son miembros de los clubes locales? ¿Qué hacen en su tiempo libre? ¿Tienen las familias? ¿Son mayores o menores? Las respuestas a estas preguntas pueden ayudar al ingeniero social decidir qué tipo de mensaje a enviar. Mensaje: Si el objetivo es predominantemente varones 25-40 años de edad, con unos pocos ser parte de un fútbol de fantasía o liga de baloncesto, sus objetivos pueden hacer clic en un enlace de deportes, mujeres, o un evento deportivo. El desarrollo de los contenidos del correo electrónico es esencial, pero también la gramática, ortografía y puntuacion son muy importantes a tener en cuenta. Uno de los mayores soplos a los correos electrónicos de phishing en el pasado ha sido la mala ortografía. Conseguir un correo electrónico que dice así: “Haga clic aquí e ingrese ur pasword para verificar ur configuración de la cuenta,” es un claro indicativo de que sea un correo electrónico no legítimo. Su correo electrónico debe ser de fiar con buena ortografía y una oferta atractiva que se ajusta al objetivo. Incluso con el mismo objetivo, el mensaje cambiará en función del sexo, la edad, y muchos otros factores. El mismo correo electrónico que probablemente fallará si los objetivos eran predominantemente femenina.

Canal: Esta respuesta a este elemento es fácil, porque ya se sabe que va a ser un correo electrónico. Fuente: Una vez más, este elemento es una obviedad, ya que, el ingeniero social, son la fuente. ¿Cómo usted es creíble depende de su nivel de habilidad como un ingeniero social.

Escenario uno: El phishing de correo electrónico Los objetivos son 45 hombres que van desde la edad de 25 a 45. De las 45 metas, 24 están en la misma liga de baloncesto de fantasía. Todos van a diario a un sitio ( www.myfantasybasketballleague.com) para registrar sus selecciones. Esto se verifica mediante mensajes en los foros.

El objetivo es llevarlos a un sitio que está disponible y que ahora posee, www.myfantasybasketballeague.com , Que es una ligera falta de ortografía. Este sitio es un clon del sitio que visitan con un cambio-que tiene un iframe incrustado. Habrá un botón Iniciar sesión en el centro de la página que cuando se hace clic, los trae de vuelta al sitio real. El retraso en la carga y haciendo clic dará el código el tiempo que necesita para hackear sus sistemas. ¿Cómo se escribe el correo electrónico? Este es un ejemplo que escribí:

Hola, Tenemos buenas noticias en My Fantasy baloncesto Liga. Hemos añadido algunas características adicionales que le permitan un mayor control sobre sus selecciones, así como algunas características especiales. Estamos trabajando duro para ofrecer esto a todos nuestros miembros, pero se pueden aplicar algunas tarifas de servicios adicionales. Estamos muy contentos de decir que las primeras 100 personas que inician sesión en la voluntad de conseguir este nuevo servicio de forma gratuita. Haga clic en este enlace para ser llevado a la página especial, haga clic en el botón Iniciar sesión gris en la página, e ingrese a tener estas características añadidas a su cuenta. Gracias www.myfantasybasketballeague.com,

El equipo MFBB Este correo electrónico sería sobre todo probable obtener al menos el 24 que ya están en la liga interesado lo suficiente como para hacer clic en el enlace para visitar el sitio y probar estas nuevas características de forma gratuita. Analizar que el correo electrónico. En primer lugar, contiene una oferta que atraiga a los actuales miembros de esa liga de fantasía. Muchos de ellos se dan cuenta de la oferta está limitada a los primeros 100, por lo que tendría que hacer clic sobre el mismo momento en que reciben el correo electrónico, que es más que probable que en el trabajo. El sitio que impulsa el correo electrónico que tiene el código malicioso y aunque la mayoría será víctima, todas las necesidades ingeniero social maliciosos es una de las víctimas. Observe también que el correo electrónico contiene buena gramática y la ortografía, un gancho atractivo, y la motivación suficiente para hacer clic con rapidez. Se trata de un correo electrónico basado perfecta de un modelo de comunicación sólida.

Escenario dos: llave USB El escenario del hotel es un poco más difícil de hacer, ya que es en persona. Sólo se puede hacer tanto a “suplantar” su identidad en persona. En este escenario recuerde que debe tener todos estos datos en la memoria porque no se puede estar sacando y el uso de tarjetas de referencia. También es importante recordar que muchas veces sólo tenemos una oportunidad de hacer una impresión. Si hacemos un mal trabajo en ella, puede arruinar el resto del concierto. Realimentación: El objetivo con este escenario es conseguir que el recepcionista de recepción para aceptar la unidad USB que tiene un programa malicioso en él. El programa se carga automática y raspar su sistema para toda la información, como nombres de usuario, contraseñas, cuentas de correo electrónico, archivos de SAM que contienen todas las contraseñas en el sistema, y ​mucho más, copiando todo a un directorio en la unidad USB. También crea una conexión inversa de la máquina de la recepcionista a sus servidores, que le da acceso a su máquina y es de esperar la red. Soy aficionado de utilizar el marco de Metasploit o el kit de herramientas de ingeniería social (véase el capítulo 7) que se articula con Metasploit. Metasploit ejecuta código de explotación en sus víctimas y tiene un controlador incorporado llamado Meterpreter. La lata de scripts de usuario que muchas cosas como keylogger, capturas de pantalla y reconocimiento de las máquinas de la víctima.

receptores: Tener un cierto objetivo puede ser complicado, porque si su objetivo no es receptivo a la idea, su plan se disparó. Debe ser cálido, agradable y convincente. Esto debe hacerse rápido, demasiado, porque hay demasiado tiempo permitirá a dudas ocupa. Pero si se mueve demasiado rápido puede causar duda y el miedo, matando a sus posibilidades. Un equilibrio perfecto debe llevarse a cabo.

Mensaje: Debido a que usted está entregando el mensaje en persona, debe ser clara y concisa. La historia básica es que usted vio el anuncio en el periódico para un administrador de base de datos y le llamó y habló con Debbie, la persona de recursos humanos. Dijo que fue reservado hoy, sino que debe parar y dejar un curriculum vitae para su revisión y luego reunirse con ella al final de la semana. Mientras que usted estaba manejando más, una ardilla corriendo, haciendo que pisar el freno y haciendo que su café a salir del titular y derrame en su bolsa, arruinando sus hojas de vida

y otras cosas. De todos modos, usted tiene otra cita, pero realmente necesita este trabajo y se pregunta si se imprimiría una nueva copia de su unidad USB.

Canal: Vas en persona usando, y la comunicación verbal, el lenguaje corporal, facial. Fuente: Una vez más, esto es como el ingeniero social, a menos que tenga una buena razón para tener un stand en. Sostiene una carpeta manchado de café con unos papeles mojados en que puede ayudar a vender la historia. Mirando abatido y no macho alfa-ish también puede ayudar a venderlo. Cortésmente de hablar con ella y no usar lenguaje grosero le ayudará a sentirse un gusto a usted y tal vez incluso un poco de piedad. La llave USB debe contener un archivo llamado myresume.doc o myresume.pdf y ser imprimible. Los archivos PDF son los formatos más utilizados ya que la mayoría de las empresas se están ejecutando una versión antigua de Adobe Reader que es vulnerable a muchos ataques diferentes. Asegúrese de que la hoja de vida está en un formato que permite la mayoría de la gente sea capaz de abrirlo-no un formato extraño.

La mayoría de las veces las personas quieren ayudar. Ellos quieren ser capaces de ayudar a una persona en peligro si la historia es creíble, así como desgarrador. Para darle un toque especial si realmente carece de un corazón como un ingeniero social, puede darle un giro a la historia: En mi camino, que era mi turno hoy para dejar a mi hija en la escuela. Cuando se subió por encima del asiento para darme un beso de despedida se volcó mi café en mi bolsa. Ya hacía tarde y más cerca de aquí que en casa; usted podría imprimir una copia fresca?

De cualquier manera, esta historia por lo general funciona y dará lugar a la llave USB que se inserta en el ordenador y lo más probable un compromiso completo de la computadora de la recepcionista, que puede conducir a un compromiso total de la empresa.

El poder de los modelos de comunicación modelado de comunicación es una herramienta poderosa que es una habilidad que hay que tener para cada ingeniero social. La parte más difícil de modelar la comunicación es

asegurarse de que sus sesiones de recopilación de información son sólidos. En los dos escenarios anteriores, no tener suficiente una buena suficiente planificación y estrategias que conducirá al fracaso. Una buena manera de practicar el modelado de comunicación es escribir un modelo para la manipulación de las personas que conoce bien un marido, esposa, padre, hijo, jefe, o amigo de cosas por hacer algo que desea, tomar alguna acción que desea.

Establecer un objetivo, nada malicioso, tales como conseguir a alguien que de acuerdo a un lugar de vacaciones diferente o una para ir a un restaurante que amas y aborrece a su pareja, o para que pueda pasar un poco de dinero en algo que normalmente no pedir. Sea lo que sea que llegar a, escribir los cinco componentes de comunicación y luego ver lo bien que la comunicación pasa cuando se tiene un plan escrito. Usted encontrará que con sus objetivos claramente definidos, puede probar mejor sus métodos de comunicación de ingeniería social, y ser capaz de alcanzar sus objetivos con mayor facilidad. Enumerar los siguientes cinco puntos y llenarlos de uno en uno, conectando los puntos a medida que avanza. Receptores canal de origen del mensaje Comentarios

modelado de la comunicación aporta información muy valiosa y sin ella, más la comunicación no será un éxito para un ingeniero social. Como se mencionó anteriormente, la recopilación de información es el quid de cada concierto ingeniería social, pero si lo hace perito en la recopilación de información y que son capaces de reunir increíbles cantidades de datos, pero no saben cómo usarlo, es un desperdicio. Aprender a ser un maestro en la recopilación de información y luego practicar el putt que en acción con el modelado de la comunicación. Esto es sólo el principio, pero puede literalmente cambiar la forma de tratar con la gente tanto como un ingeniero social y en contextos cotidianos. Sin embargo, mucho más que entra en el desarrollo de un mensaje sólido en el modelo de comunicación.

Un aspecto clave de aprender a comunicarse, cómo manipular, y cómo ser un ingeniero social es aprender cómo utilizar las preguntas, como se discutió

en el siguiente capítulo.

Capítulo 3

Sonsacamiento

El supremo arte de la guerra es someter al enemigo sin luchar.

- Sun Tzu Ser capaz de aprovechar eficazmente a la gente es una habilidad que puede hacer o romper un ingeniero social. Cuando las personas que ven y hablan con usted deben sentirse a gusto y quiere abrirse.

¿Has conocido a alguien y al instante sintió, “Wow me gusta esa persona”? ¿Por qué? ¿Qué había en él que te hizo sentir de esa manera? ¿Era su sonrisa? La forma en que miraba? La forma en que te trató? Su lenguaje corporal?

Tal vez incluso parecía estar “en sintonía” con sus pensamientos y deseos. La forma en que te miraba era sin prejuicios y de inmediato se sentía a gusto con él. Ahora imagina que puede aprovechar eso y amo esa capacidad. No omiso de este capítulo como una simple lección de “cómo construir una buena relación”. Este capítulo trata de

sonsacamiento, una poderosa técnica utilizada por los espías, los estafadores, y los ingenieros sociales, así como los médicos, terapeutas y aplicación de la ley, y si quiere estar protegido o ser un gran ingeniero social auditor entonces usted necesita para dominar esta habilidad. Se utiliza con eficacia, elicitación puede producir resultados sorprendentes. ¿Qué es el desencadenamiento? Muy pocos aspectos de la ingeniería social son tan potentes como provocación. Esta es una de las razones por las que está cerca de la parte superior del marco. Esta habilidad solo puede cambiar la forma de que ver. Desde el punto de vista de ingeniería social, se puede cambiar la forma en que la práctica de seguridad. En este capítulo se analiza ejemplos de deducciones de expertos y profundiza en la forma de utilizar esta poderosa habilidad en un contexto de ingeniería social. Antes de entrar en las zonas profundas, debe empezar por lo básico.

¿Qué es el desencadenamiento? Elicitación significa traer o sacar, o para llegar a una conclusión (la verdad, por ejemplo) por la lógica. Alternativamente, se define como una estimulación que llama (o dibuja sucesivamente) una clase particular de comportamientos, como en “la provocación de su testimonio no fue fácil.” Leer esa definición de nuevo y si no da piel de gallina es posible que tenga un problema. Piensa en lo que esto significa. Ser capaz de utilizar de manera efectiva obtención significa que se puede modelar preguntas que atraen a la gente y los estimulan a tomar un camino de un comportamiento que desea. Como un ingeniero social, ¿qué significa esto? Ser eficaz en la obtención significa que se puede moldear sus palabras y sus preguntas de tal manera que va a mejorar su nivel de habilidad a un nivel completamente nuevo. En cuanto a la recopilación de información, obtención experto puede traducirse en usted apunta falto para responder a todas sus exigencias.

Quiero aprovechar esta discusión un paso más allá, ya que muchos gobiernos educar y advertir a sus empleados contra la provocación, ya que es utilizado por los espías por toda la tierra. En los materiales de formación, la Agencia Nacional de Seguridad del gobierno de los Estados Unidos define elicitación como “la extracción sutil de información durante una conversación aparentemente normal e inocente.” Estas conversaciones pueden ocurrir en cualquier lugar que el objetivo es: un restaurante, el gimnasio, una guardería en cualquier lugar. Elicitación funciona bien porque es de bajo riesgo y, a menudo muy difícil de detectar. La mayoría de las veces, los objetivos no vuelvas a saber dónde está el vino de fuga de información. Incluso si existe la sospecha de que hay una cierta intención equivocada, se puede pasar fácilmente apagado como un extraño enojado siendo acusado de hacer el mal por sólo una pregunta.

Elicitación funciona tan bien por varias razones: La mayoría de las personas tienen el deseo de ser educado, especialmente a los desconocidos. Profesionales quieren aparecer bien informada e inteligente. Si está alabado, a menudo se hable más y divulgar más. La mayoría de la gente no mentir por el bien de la mentira. La mayoría de la gente responde amablemente a las personas que parecen preocupados por ellos.

Estos factores clave acerca de por qué la mayoría de los seres humanos son elicitación funciona tan bien. Hacer que la gente hablar de sus logros es demasiado fácil. En un escenario en el que yo estaba encargado de reunir Intel en una empresa, me encontré con mi objetivo a la cámara de comercio local de la función. Debido a que era un mezclador Me quedé atrás hasta que vi el objetivo de acercarse a la barra. Llegamos allí al mismo tiempo y debido a que el propósito de estas funciones es para conocer y saludar a la gente y el intercambio de tarjetas de visita, mi primer movimiento no era extrema.

Le dije: “Escapar de los buitres?” Él respondió con una sonrisa: “Sí, esto es lo que hace que estas cosas vale la barra de tiempo libre.”

Lo escuché orden, y pedí una bebida similar. Me inclino con mi mano, y dijo: “Paul Williams.” “Larry Smith.” Saqué una tarjeta de visita que había pedido en línea. “Yo trabajo con un poco de compañía de importación como el responsable de compras.” Dijo que él me dio su tarjeta, “yo soy el director financiero de XYZ.” Con una sonrisa, le respondí, “Usted es el individuo con el dinero, por eso todo el mundo es después de que fuera allí. ¿Qué es exactamente lo que ustedes hacen?” Él Bagan relacionar algunos detalles de los productos de su empresa, y cuando aparece uno que es

bien conocido, me dijo: “Ah, claro, ustedes hacen que Reproductor; Me encanta esa cosa. He leído en Rev

XYZ se alcanzó un nuevo récord de ventas para ustedes.”Desde mi recopilación de información previa sabía que tenía interés personal en ese dispositivo por lo que mi elogio fue bien recibido. Empezó a hinchar el pecho un poco. “¿Sabías que el dispositivo más vendido en el primer mes que nuestros cinco productos anteriores y siguientes combinan?”

“Ay, así puedo ver por qué, porque compré cinco a mí mismo.” Me reí a través de la alabanza leve. Después de otra bebida y algo más de tiempo pude descubrir que compraron recientemente el software de contabilidad, el nombre de la OSC (y el hecho de que él estaba de vacaciones por unos días), y que mi amigo aquí también se va de vacaciones que pronto las Bahamas con su esposa. Esta información aparentemente inútil, no sirve para nada en absoluto. Tengo una lista de detalles acerca de software, las personas y las vacaciones que pueden ayudar a planear un ataque. Pero yo

no quieren dejar de allí; Fui a matar con una pregunta como esta: “Sé que esto es una pregunta extraña, pero somos una empresa pequeña y mi jefe me dijo que soy a la investigación y comprar un sistema de seguridad para las puertas. Sólo tiene que utilizar las teclas de ahora, pero que estaba pensando RFID o algo por el estilo. ¿Sabe lo que su uso, chicos?” Esta pregunta que pensé que enviar hasta bengalas rojas y las señales de humo. En cambio, dijo “no tengo idea; Acabo de firmar los cheques para ello. Lo que sí sé es que tengo esta pequeña tarjeta de fantasía ...”, como él saca su billetera para mostrarme su tarjeta. “Creo que es RFID, pero todo lo que sé es que yo agito mi cartera en frente de la pequeña caja y la puerta se abre.” Hemos intercambiado risas y yo fuimos con el conocimiento que llevó a algunos de ataque de gran éxito. Como se habrán dado cuenta, es similar a la elicitación y vinculado a la recopilación de información. Esta sesión de recogida de información particular, se hizo mucho más fácil mediante un pretexto sólido (discutido en el capítulo 3), así buenas habilidades de obtención. habilidades de obtención son los que hacen las preguntas fluyen suavemente y lo hicieron el objetivo de sentirse cómodo respondiendo a mis preguntas.

Sabiendo que era el tipo de vacaciones y qué de software de contabilidad que utilizan como puerta de bloqueo de seguridad, así que era capaz de planificar una visita in situ para reparar una “defectuosa” caja RFID y la hora del reloj. Simplemente decirle a la recepcionista, “Larry me llamó antes de irse a las Bahamas y dijo que había un reloj de tiempo por el departamento de fabricación que no se registra correctamente. Me llevará unos minutos para probar y analizarlo.”Me dieron acceso en cuestión de segundos sin ser cuestionado. Elicitación me llevó a ese éxito, ya que con el conocimiento que me dieron no había ninguna razón para que la recepcionista a dudar de mi pretexto. Sencillo, ligero, aireado conversación es todo lo que se necesita para conseguir algo de la mejor información disponible y de muchas personas. Como se ha discutido hasta ahora, definiendo claramente sus objetivos a lograr los máximos resultados es vital. Elicitación no se utiliza simplemente para la recopilación de información, pero también puede ser utilizado para solidificar su pretexto y tener acceso a la información. Todo esto depende de un modelo de provocación claramente definido y pensamiento a cabo.

Los Objetivos de elicitación La revisión de la definición que provoca una reacción que puede dar un camino claro de cuáles son sus objetivos. Realmente, sin embargo, puede reducirlo a una cosa. Un ingeniero social quiere que el objetivo reciba una acción, ya que la acción sea tan simple como responder a una pregunta o tan grande como permitir el acceso a una determinada área restringida. Para conseguir el objetivo a cumplir, el ingeniero social le pedirá una serie de preguntas o mantener una conversación que motivará el objetivo de ese camino.

La información es la clave. Cuanta más información que recopile, más éxito el ataque será. Debido a la elicitación no amenace es muy exitosa. Contar el número de veces en una semana usted tiene pequeñas conversaciones sin sentido con alguien en una tienda, cafetería, o en otro lugar. Toda la metodología de las conversaciones que sostienen está llena de provocación y se utiliza de una manera no maliciosa diaria. Es por eso que es tan eficaz. En un episodio de la popular serie de televisión británica El Real Hustle, los anfitriones demostraron la facilidad de muchos ataques de ingeniería social. En este episodio el objetivo era elaborar un objetivo en un juego de suerte que fue manipulada. Para hacerlo alguien tenía un compañero que actuó como un completo extraño jugar un papel en interesándose y conversacional con el atacante. Esta conversación se basa en las personas de los alrededores, lo que hizo la obtención de respuestas correctas del blanco muy fácil. Este es un método que funciona bien. Sea cual sea el método utilizado, el objetivo es obtener información a continuación, utilizar esa información para motivar a un objetivo para el camino que el ingeniero social quiere que él tome. La comprensión de este hecho es importante. En capítulos posteriores trataremos pretextos y otras tácticas de manipulación, pero que no quieren confundir elicitación con aquellos. Al darse cuenta de que la elicitación es la conversación es importante. Claro, puede estar estrechamente vinculado a su pretexto, el lenguaje corporal y las señales de los ojos, pero todos los que palidecen en comparación con su capacidad para involucrar a la gente en la conversación. Algunos expertos coinciden en que dominar el arte de la conversación tiene tres pasos principales:

1. Se Natural. Nada puede matar a una conversación más rápido de lo que parecía ser incómodo o poco natural en la conversación. Para ver esto por sí mismo prueba este ejercicio. Tener una conversación con alguien acerca

algo que se sabe mucho sobre. Si se puede grabar de alguna manera o que alguien más tomar nota, ver cómo se pone de pie, su postura, y la forma en que usted afirma su conocimiento. Todas estas cosas van a gritar confianza y naturalidad. Luego inyecte en una conversación que no sabe nada y tienen la misma grabación o amigo observación. Ver cómo cambian todos aquellos aspectos no verbales para usted cuando intenta inyectar un pensamiento inteligente en una conversación que no sabe nada. Este ejercicio muestra la diferencia en el ser natural y no ser natural. La persona (s) que está conversando con el será capaz de ver fácilmente, que matará a todas las posibilidades de obtención de éxito. ¿Cómo se parece natural en las conversaciones? Así llegamos al paso 2.

2. Edúcate tu mismo. Debe tener conocimiento de qué es lo que va a hablar a sus objetivos acerca. Esta sección debe venir con una gran advertencia luz de neón roja de grasa, sino porque cada libro no puede incluir uno permítanme enfatizar esta parte: Se

es imperativo que no fingir que es más de lo que puede creer razonablemente que eres. ¿Confuso? He aquí un ejemplo para romperla. Si se quería obtener la composición química de un producto de alto secreto y su objetivo elicitación es uno de los químicos involucrados en la fabricación del producto, y usted decide empezar a hablar de química, no juegan fuera de ti mismo como químico de clase mundial (a menos usted está). Él puede lanzar algo en usted que mostrará que no sabe nada y luego se sopla su tapa y también lo es la elicitación.

Un enfoque más realista puede ser que usted es un estudiante de investigación que estudia XYZ, y me dijeron que tenía conocimiento increíble en esta área. Debido a su experiencia, que sólo quería hacerle una pregunta sobre una fórmula química que se está trabajando y por qué no parece estar funcionando. La cuestión es que lo que usted eligió para conversar acerca y con quien sea, hacer la investigación, la práctica, y estar preparados. Tienen el conocimiento suficiente para hablar inteligentemente sobre un tema que interese a la meta. 3. No ser codicioso. Por supuesto, el objetivo es obtener

información, obtener

respuestas, y ser dado la clave para el reino. Sin embargo, no deje que sea el

atención. Que estás allí sólo por sí mismo se convertirá rápidamente evidente y el objetivo se pierda el interés. A menudo, dar a alguien algo provocará la sensación de movimiento alternativo (discutido en el capítulo 6), donde él o ella ahora se siente obligado a dar algo a cambio. Siendo de esta manera en la conversación es importante. Que la conversación sea un toma y daca, a menos que usted está conversando con una persona que quiere dominar la conversación. Si él quiere dominar, lo dejó. Pero si usted consigue algunas respuestas, sentir la conversación y no se vuelven codiciosos tratar de ir más y más profundo, que puede levantar una bandera roja.

A veces las personas que están etiquetados como los “mejores conversadores” en el mundo son los que hacen más escuchando que hablando. Estos tres pasos a la obtención de éxito, literalmente, puede cambiar la forma de conversar con la gente todos los días, y no sólo como un ingeniero social o un auditor de seguridad, sino como una persona común. Personalmente, me gusta añadir una o dos pasos para el “top tres”. Por ejemplo, un aspecto importante es la elicitación expresiones faciales durante una conversación. Tener su mirada sea demasiado intenso o demasiado relajado puede afectar a la forma de reaccionar a sus preguntas. Si sus palabras son la calma y que han participado en el blanco en una conversación, pero su lenguaje corporal o las expresiones faciales muestran desinterés, puede afectar el estado de ánimo de la persona, incluso si ella no se da cuenta.

Esto puede parecer extraño para que aparezca aquí, pero yo soy un fan de César Millán, alias, El encantador de perros. Creo que ese tipo es un genio. Toma perros que parecen rebelde y en cuestión de minutos tiene tanto los perros y sus dueños producir rasgos de la personalidad de alta calidad que va a merecer una relación muy exitosa para ambos. Básicamente enseña a las personas para comunicarse con un perro-cómo pedir y decir que de hacer las cosas en un idioma que entienda. Una de las cosas que predica que creo plenamente en es que el “espíritu” o la energía de la persona afecta el “espíritu” o la energía del perro. En otras palabras, si la persona se acerca al perro todos tensos y ansiosos, incluso si las palabras están en calma, el perro va a actuar tensa, corteza más, y será más en el borde.

Obviamente, la gente no son los mismos que los perros, pero realmente creo que se aplica esta filosofía. Como ingeniero social se aproxima a un objetivo de su “espíritu” o energía afectará a la percepción de la persona. La energía es retratado a través

el lenguaje corporal, las expresiones faciales, el vestido, y el arreglo personal, y luego las palabras dirigidas a apoyar eso. Sin saberlo, la gente recoge en estas cosas. ¿Alguna vez ha pensado o escuchado a alguien decir: “Ese tipo me dio el miedo” o “Parecía una buena persona”? ¿Cómo funciona? espíritu o energía de la persona es transmitida a sus “sensores” que los datos se correlaciona con experiencias pasadas, y luego se forma un juicio. La gente lo hace de forma instantánea, muchas veces sin siquiera saberlo. Por lo tanto su energía cuando se va a obtener debe coincidir con el papel que va a jugar. Si su personalidad o mental de maquillaje no le permitirá reproducir fácilmente un director, entonces no trate. Trabaja con lo que tienes. Personalmente, siempre he sido una persona de la gente y mi fuerte es no temas como la química o las matemáticas avanzadas. Si estuviera en la situación anteriormente mencionada no me trato de jugar el papel de una persona que sabe de esas cosas. En cambio mi provocación podría ser tan simple como un extraño interesados ​en iniciar una conversación sobre el tiempo. Cualesquiera que sean los métodos que ha elegido utilizar, puede tomar ciertas medidas para que el borde superior. Uno de estos pasos se llama precarga.

La carga previa Que hacer cola para comprar su boleto para el cine $ 10 y están bombardeados con la sobrecarga sensorial de los carteles de las próximas películas. Que hacer cola para comprar su pena de $ 40 de palomitas y bebidas, ver más carteles, y luego se presiona su camino a través de conseguir un asiento. Por último, cuando la película comienza se le presenta una serie de clips sobre las próximas películas. A veces, estas películas no son ni siquiera en la producción todavía, pero el locutor se enciende y dice: “La película más divertida ya que ...” o la música comienza con un tono amenazador, una niebla densa llena la pantalla, y la voz en off entona: “Pensaste que había terminado en Adolescente Killer Parte 45 ... “.

Cualquiera que sea la película es, los vendedores le están diciendo cómo se sienten, en otras palabras, la precarga de lo que debe estar pensando en esta película-antes de que comience la vista previa. A continuación, los cortos 1-3 minutos que tienen que mostrar lo que la película se trata es de que pasó mostrando clips para atraer a su deseo de ver la película y para atraer a la multitud que quiere la comedia, horror, o una historia de amor.

No se ha escrito mucho acerca de la precarga, pero es un tema muy serio. Precarga denota que se puede hacer objetivos sólo lo que dice-precarga con información o ideas de cómo se desea que reaccionen a cierta información. La precarga se utiliza a menudo en los mensajes de marketing; por ejemplo, en los anuncios nacionales cadena de restaurantes que muestran gente hermosa riendo y disfrutando de la comida que se ve tan hermoso y perfecto. Como se suele decir “fritas riquísimas!” Y “ohhh!” Casi se puede saborear la comida. Por supuesto, como un ingeniero social no se puede ejecutar un comercial para sus objetivos de manera cómo se puede utilizar la precarga? Al igual que gran parte del mundo la ingeniería social, hay que empezar a partir de los resultados finales y trabajar hacia atrás. ¿Cuál es tu objetivo? Es posible que tenga el objetivo estándar de obtención para obtener información de un objetivo en un proyecto en el que está trabajando en las fechas o ella estará en la oficina o de vacaciones. Sea lo que sea, debe establecer la meta en primer lugar. A continuación se decide el tipo de preguntas que usted quiera hacer, y luego decidir qué tipo de información se puede precargar una persona que quiere responder a estas preguntas.

Por ejemplo, si se sabe que esta noche se quiere ir a un lugar de carne que su esposa cupón amantes en realidad no disfrutar, pero estás de humor para una de costilla, se puede cargar previamente para obtener una respuesta que puede ser A tu favor. Tal vez al principio del día se puede decir algo como: “Cariño, sabes lo que estoy de humor para? Un grande, jugoso, carne asada. El otro día conducía a la oficina de correos y Fred por el camino tenía su parrilla de salida. Él acababa de empezar a cocinar los filetes en el carbón y el olor se produjo en la ventanilla del coche y me ha perseguido desde que “si esto provoca una respuesta en este momento exacto no es importante.; lo que hizo es plantar una semilla que tocó todos los sentidos. La hiciste imaginar los filetes que chisporrotean en la parrilla, habló sobre ver que sigan, hablado de oler el humo, y de lo mucho que quería uno.

Supongamos entonces que llevar a casa el papel y lo que está pasando es que ver un anuncio con un cupón para el restaurante que desea ir. Sólo tiene que dejar que la página doblada sobre la mesa. Una vez más, tal vez su esposa lo ve o tal vez no lo hace, pero lo más probable es que debido a que lo dejó con el correo, porque usted ha mencionado carne, y porque ama cupones ella verá el cupón dejado sobre la mesa.

Ahora más adelante ella viene a ti y dice: “¿Qué quieres para cenar esta noche?” Aquí es donde toda su precarga viene en-usted ha mencionado el olfato, la vista, y el deseo de carne. Dejaste un cupón fácil de encontrar en la mesa para el restaurante de carne de elección y ahora es el tiempo de la cena discusión. Usted le contesta con, “En lugar de hacer que cocinar y tener un lío para limpiar esta noche, no hemos estado a XYZ filetes desde hace tiempo. ¿Y si nos acaba de golpear ese lugar esta noche?” Sabiendo que no le gusta ese lugar todo lo que se puede esperar se está trabajando la precarga. Ella responde: “Vi un cupón para ese lugar en el periódico. Tenía una compra una comida conseguir una segunda mitad del. Pero ya sabes que no me gusta ... “. Mientras se está hablando se puede saltar y alabar: “¡Ja! reina de la cupón ataca de nuevo. Heck, sé que no te gusta el bistec demasiado pero yo oiré desde los de Sally que tienen las comidas de pollo impresionante allí, también “. Unos minutos más tarde usted está en el camino al cielo de carne. Mientras que un asalto frontal indicando su deseo de ir a XYZ habría más probable es que se reunió con un rotundo “¡No!” Precarga ayudado a establecer su mente para aceptar la entrada y funcionó. Otro ejemplo muy simplista antes de seguir adelante: Un amigo se acerca y dice: “Tengo que contarte una historia muy divertido.” ¿Qué pasa con usted? Puede ser que incluso empezar a sonreír antes de la historia se inicia y su anticipación es escuchar algo divertido, por lo que se mira y espera a que las oportunidades para reír. Él se ha cargado previamente y se anticipó el humor.

¿Cómo funcionan estos principios dentro del mundo de la ingeniería social? La precarga es una habilidad en sí mismo. Ser capaz de plantar ideas o pensamientos de una manera que no es obvio o dominante a veces toma más habilidad que el propio elicitación. Otras veces, dependiendo de la meta, la precarga pueden ser bastante complejas. El escenario anterior carne es un problema complejo. La precarga tomó un poco de tiempo y energía, donde una precarga simplista podría ser algo tan simple como encontrar qué tipo de coche que conducen o alguna otra pieza de información inocua. En una conversación muy informal en el que “pasan” a estar en la misma tienda de delicatessen, al mismo tiempo que su objetivo de iniciar una conversación casual con algo como: “Hombre, me encanta mi Toyota. Este tipo en un Chevy simplemente apoyada en mí en el estacionamiento, ni siquiera un rasguño.”Con un poco de suerte a medida que participe la meta en la conversación,

calentarlo a las preguntas que a continuación se pueden colocar sobre los tipos de coches u otros temas que desea recopilar en Intel. El tema de la precarga tiene más sentido a medida que empiezan a analizar cómo se puede utilizar la provocación. Los ingenieros sociales han sido dominio de esta habilidad durante el tiempo que la ingeniería social ha sido de alrededor. Muchas veces, el ingeniero social da cuenta que tiene la habilidad de esta manera antes de que él se convierte en una vida de la ingeniería social. Como un joven o un adulto joven que encuentra interactuando con la gente sencilla, y más tarde descubre que gravita hacia el empleo que utiliza estas habilidades. Tal vez es el centro de su grupo de amigos y la gente parece decirle todos sus problemas y no tienen ningún problema en hablar con él acerca de todo. Se da cuenta más tarde que estas habilidades son lo que lo hace a través de puertas que puedan cerrarse de otro modo. Cuando era joven yo siempre tenía este talento. Mis padres me contaban historias de cómo a los cinco o seis años de edad que entablar conversaciones con desconocidos, a veces incluso entrando en la cocina de restaurantes ocupados para hacer preguntas acerca de nuestro pedido o solicitar información de cómo se hacen las cosas. De alguna manera me salí con la mía, ¿por qué? Probablemente porque no sabía este comportamiento no era aceptable y porque lo hice con confianza. A medida que fui creciendo, esa habilidad (o la falta de miedo) entraron en efecto completo.

También parecía que la gente, a veces incluso desconocidos, les gustaba contarme sus problemas y me hable de cosas. Una historia que creo que ayuda a ver cómo fui capaz de utilizar no sólo la carga previa, sino también buenas habilidades de obtención era cuando tenía alrededor de 17 o 18 años de edad. Yo era un ávido surfista y lo haría de trabajos para mantener a mi Hobby- básicamente cualquier cosa de reparto de pizzas a cortador de fibra de vidrio para socorrista. Una vez que hacía mandados para mi padre que era dueño de una empresa de consultoría contable / financiera. Me gustaría entregar documentos a sus clientes, conseguir las firmas, y traerlos de vuelta. A menudo, muchos de los clientes se abriera y me dirá todo sobre sus vidas, sus divorcios y sus éxitos y fracasos empresariales. Por lo general, esto comenzó con una pequeña sesión con ellos me dice cómo de grande es mi papá era para ellos. En el momento nunca he entendido por qué la gente, especialmente los adultos, se abrirían hasta un 17-18 años de edad con las razones de su universo está dividiendo.

Un cliente en particular me gustaría visitar a menudo propiedad de un complejo de apartamentos. Eso

había nada enorme y fantasía; sólo tenía unas pocas propiedades que pertenece y es administrada. Este pobre tipo tenía problemas reales de los problemas familiares, problemas de salud y problemas de todo-personales de los que habitualmente me diría sobre todo el tiempo que me gustaría sentarse y escuchar. Esto es cuando se empezó a pegarme que podía salir a decir o hacer cosas increíbles si me acaba de pasar el tiempo escuchando a la gente. Se les hizo sentir importante y como yo era una buena persona. No importaba si estaba sentado allí pensando en mi próxima gran ola; lo importante era que escuché.

Normalmente me escucha todo el tiempo que pude soportar la increíble cantidad de humo de tabaco apagó (fumaba más que cualquier persona que he visto en mi vida). Pero me gustaría sentarse y escuchar y porque yo era joven y no tenía experiencia, sin ofrecer ningún consejo, no hay solución, sólo una oreja. La cosa era que yo estaba realmente preocupado; No lo hice fingir. Me hubiera gustado tener una solución. Un día me contó que quería volver en el Oeste donde estaba su hija y estar más cerca de la familia. Yo quería seguir adelante en la vida y conseguir un trabajo que pensé que sería fresco, diversión, y dame un poco más de dinero en efectivo para tablas de surf y otras cosas que “sea necesario”. Durante una de mis sesiones de escucha, una idea loca metimos en mi cabeza, y él me ve como un joven responsable, compasivo con una “buena cabeza” en mis hombros. La precarga se llevó a cabo durante los meses que pasé sentado con él y escuchar. Ahora era el momento de sacar provecho de eso. Le dije: “¿Por qué no se va hacia atrás y me deja correr su complejo de apartamentos para usted?” La idea era tan absurda, tan ridícula que mirando hacia atrás ahora me habría reído en mi cara. Pero durante semanas, meses, incluso, que habían escuchado sus problemas. Yo sabía que el hombre y sus problemas. Además de eso, nunca me reí de él o rechazado. Ahora que había compartido un problema conmigo, y aquí era una solución perfecta, uno que se hizo cargo de todos sus problemas, así como la mía. Mis necesidades de ingresos eran bajos, y quería estar cerca de su familia. Habíamos construido una relación en los últimos meses y por lo tanto “no sabía” y me de confianza.

Después de un rato nos pusimos de acuerdo y él y volvimos en el Oeste y yo era un joven de 17 años de edad, la ejecución de un complejo de apartamentos de 30 unidades como el vice-propietario. Podría seguir y le dirá mucho más en esta historia, pero ya está hecho el punto. (Yo te diré el trabajo fue muy bien hasta que me pidió que trate de vender su compleja para él, lo que hice en un tiempo récord, al mismo tiempo,

vender a mí mismo fuera de un trabajo.)

El punto es que he desarrollado una relación, un fideicomiso, con alguien y sin tratar y sin intención maliciosa, tuve la oportunidad de darle la precarga durante meses con las ideas que yo era bueno y compasivo e inteligente. A continuación, cuando se presentó la vez que pude presentar una idea absurda, y debido a los meses de precarga, se aceptó. No fue hasta más tarde en la vida que me di cuenta de lo que estaba pasando aquí. Había tantos factores en juego que no me di cuenta en el momento. La carga previa de un punto de vista de la ingeniería social implica conocer su objetivo antes de empezar. En este caso, yo no sabía que iba a tratar de conseguir un trabajo de locos con este tipo. Pero precarga siendo trabajado. En la mayoría de los casos de ingeniería social que lo haría mucho más rápido, pero creo que se aplican los principios. Al ser tan auténtica como sea posible es esencial. Debido a la precarga implica emociones y sentidos de la persona, darles ninguna razón para dudar. La pregunta que haces debe coincidir con su pretexto. Para la precarga de trabajo que tiene que pedir algo que coincide con la creencia de que construyó en ellos. Por ejemplo, si mi oferta era tenerme a visitar a la familia de mi cliente y tomar fotografías en lugar de manejar su complejo de apartamentos, no habría igualado el sistema de creencias que tenía de mí, a saber, que yo era inteligente, con mentalidad empresarial, joven que cuida. Por último, la oferta, cuando se hace, debe ser de beneficio para el objetivo, o al menos percibido como beneficio. En mi caso, hubo una gran cantidad de beneficios a mi cliente. Pero en la ingeniería social el beneficio puede ser tan poco como “derecho a presumir”: dando a la persona una plataforma para presumir un poco. O el beneficio puede ser mucho más e implicar beneficios físicos, monetarios o psicológicos.

La práctica de la elicitación y convertirse en experto en ello le hará un ingeniero social principal. Lógicamente, la siguiente sección es cómo llegar a ser un inductor éxito.

Convertirse en una sustancia desencadenante éxito Analizando sólo mis propias experiencias puedo identificar algunos componentes clave que llevaron a mi éxito a partir de cinco años de edad ahora:

A falta de miedo a hablar con la gente y estar en situaciones que no son

considera “normal”. Yo realmente importa para la gente, incluso si yo no los conozco. Quiero disfrutar y escuchar a la gente.

Ofrezco asesoramiento o ayuda sólo cuando tengo una solución real. Ofrezco un oído que no juzga a las personas que hablan de sus problemas. Estos son elementos clave para el éxito de elicitación. El Departamento de Estados Unidos de Seguridad Nacional (DHS) tiene un folleto interno de elicitación la que entregan a sus agentes que yo era capaz de obtener y archivo A la

www.social-engineer.org/wiki/archives/BlogPosts/ocso-elicitation- brochure.pdf . Este folleto contiene algunos excelentes consejos. Básicamente, como se dijo en ella y en este capítulo, elicitación se usa porque funciona, es muy difícil de detectar, y no es amenazadora. El folleto DHS se acerca obtención desde un punto de vista “la forma de evitar”, pero las siguientes secciones tomar algunos de los escenarios y mostrar lo que se puede aprender.

Apelando al ego de alguien El escenario pintado en el folleto DHS es la siguiente: Atacante: “Debe tener un trabajo importante; así y así parece pensar muy bien de ti “. Objetivo: “Gracias, es muy amable al decirlo, pero mi trabajo no es tan importante. Todo lo que hacemos aquí es ...” El método de apelar al ego de alguien es simplista pero eficaz. Una advertencia, sin embargo: Frotar ligeramente el ego de alguien es una herramienta poderosa, pero si usted se exceda o hacerlo sin la sinceridad que sólo convierte a la gente fuera. Usted no quiere salir como un acosador loco: “Wow, eres la persona más importante en el universo y que son tan increíble de aspecto, también.” Decir algo así podría obtener de seguridad llamado sobre ti. El uso de recursos del ego necesita ser hecho de manera sutil, y si usted está hablando con un verdadero narcisista evitar rollos de los ojos, suspira, o argumentativeness cuando ella se jacta de sus logros. apelaciones ego sutiles son cosas como: “Que la investigación que hizo realmente ha cambiado un montón de puntos de vista de la gente en ...” o “oí por casualidad el Sr. Smith dice que el grupo de allí que son uno de los datos más agudos

Los analistas que tiene.”No hacer el enfoque tan exagerado que es obvio. la adulación sutil puede convencer a una persona en una conversación que nunca podría haber tenido lugar, como se indica en el folleto DHS, y eso es exactamente lo que quieres como un ingeniero social.

La expresión de un interés mutuo Considere este escenario simulacro: Atacante: “Wow, tiene un fondo en la norma ISO 9001 bases de datos de cumplimiento? Debería ver el modelo que hemos construido para un motor de informes para ayudar con dicha certificación. Te puedo conseguir una copia “.

Destino: “Me encantaría ver eso. Hemos estado jugando con la idea de añadir un motor de informes a nuestro sistema “.

Expresando el interés mutuo es un aspecto importante de elicitación. Este escenario particular es aún más poderoso que apelar al ego de alguien porque se extiende más allá de la relación de la conversación inicial. El objetivo acordado a otro contacto, a aceptar el software del atacante, y expresó interés en discutir los planes para el software de la compañía en el futuro. Todo esto puede dar lugar a una violación masiva de seguridad. El peligro de esta situación es que ahora el atacante tiene el control total. Él controla los pasos a seguir, qué información se envía, cuánto, y cuando es liberado. Este es un muy poderoso movimiento para el ingeniero social. Por supuesto, si el compromiso eran a largo plazo, y luego tener un pedazo literal de software que puede ser compartido resultaría aún más ventajosa. Compartir el software utilizable y no maliciosa podría construir la confianza, construir una buena relación, y hacer que el objetivo tiene un sentido de obligación.

Hacer una declaración falsa La entrega de una declaración falsa parece que sería contraproducente de la parte superior, pero puede llegar a ser una fuerza poderosa para tener en cuenta.

Atacante: “Todo el mundo sabe que la empresa XYZ produjo la venta de software de más alto para este widget en la tierra.” Destino: “En realidad, eso no es cierto. Nuestra empresa comenzó a vender un similares

producto en 1998 y nuestros registros de ventas les han golpeado de manera rutinaria en más de un 23% “. Estas declaraciones, si se utiliza con eficacia, pueden provocar una respuesta del objetivo con los hechos reales. La mayoría de la gente tiene que corregir las declaraciones equivocadas cuando las oyen. Es casi como si ellos tienen el reto de demostrar que son correctos. El deseo de informar a los demás, parece bien informado, y ser intolerantes con los errores parece estar integrado en la naturaleza humana. La comprensión de este rasgo puede hacer que este escenario muy poderosa. Puede utilizar este método para extraer los detalles del objetivo sobre los hechos reales y también para discernir quién en un grupo que podría tener el mayor conocimiento acerca de un tema.

Información de Voluntariado El folleto DHS hace un buen punto sobre un rasgo de la personalidad que muchos de nosotros tenemos. Un par de menciones de que han aparecido en el libro ya y está cubierto con mucho más detalle más adelante, pero obligación es una fuerza poderosa. Como un ingeniero social, ofreciendo información en una conversación casi obliga al objetivo de responder con la información igualmente útil. ¿Quieres probar éste hacia fuera? La próxima vez que usted está con sus amigos dicen algo como: “¿Has oído acerca Ruth? He oído que acaba de ser despedido de trabajo y está teniendo serios problemas para encontrar más trabajo “.

La mayoría de las veces obtendrá, “Wow, yo no oí eso. Esa es una noticia terrible. Oí que Joe se está divorciando y que van a perder la casa, también.” Un aspecto triste de la humanidad es que tendemos a vivir el dicho “la miseria ama la compañía” -cómo verdadera es en este caso. La gente tiende a querer compartir noticias similares. Los ingenieros sociales pueden utilizar esta proclividad a establecer el tono o estado de ánimo de una conversación y construir un sentido de obligación.

suponiendo conocimiento Otra herramienta de manipulación de gran alcance es el de conocimiento asumido. Es un lugar común suponer que si alguien tiene conocimiento de una situación particular, es aceptable para discutir con ellos. Un atacante puede explotar deliberadamente este rasgo mediante la presentación de la información como si es en el saber y luego usando elicitación para construir una conversación en torno a ella. A continuación, puede regurgitar el

información como si se tratara de su propia y continuar construyendo la ilusión de que él tiene un conocimiento profundo de este tema. Este escenario podría ser mejor ilustrada con un ejemplo. Una vez que se va a China para negociar un gran acuerdo en algunos materiales. Tenía que tener algún conocimiento íntimo de mi empresa objeto de las negociaciones y tenía que encontrar una manera de conseguirlo antes de conocer con ellos. Nunca habíamos encontrado cara a cara, sino que se dirigía a una conferencia en China antes de que mis negociaciones comenzaron. Mientras que en la conferencia se me ocurrió escuchar una conversación a partir de cómo se coloque en una posición más alta cuando se trata de los chinos en las negociaciones.

Yo sabía que esta era mi oportunidad, y para que la situación sea aún más dulce una de las personas en el pequeño grupo fue de la compañía que iba a ser una reunión con. Rápidamente me inyecté a mí mismo en la conversación y sabía que si yo no he dicho algo rápido que iba a perder la cara. Mi conocimiento era limitado, pero no necesitaba saber eso. Cuando surgió una pequeña pausa, empecé a hablar acerca de la teoría de Guanxi. Guanxi es básicamente cómo dos personas que pueden no tener el mismo estatus social pueden llegar a ser conectado, y entonces uno se presiona a desempeñar un favor a la otra. Hablé de cómo se puede utilizar esta conexión, y luego llegó a la conclusión atándola con lo importante que es como un americano que no simplemente tomar una tarjeta de visita y lo pega en el bolsillo de atrás, pero lo revise, dejar comentarios en él, entonces su lugar en algún lugar respetuoso.

Esta conversación fue suficiente para establecer como alguien que tenía un poco de conocimiento y merecía permanecer en el círculo de confianza allí. Ahora que había establecido mi base de conocimientos Me senté y escuché a cada persona expresar su experiencia y conocimiento personal sobre cómo negociar adecuadamente con las grandes empresas chinas. Me prestó atención muy cerca y en particular cuando los caballeros que trabajaban para mi empresa objetivo hablaron. Mientras hablaba me di cuenta de las “claves” que estaba dando estaban estrechamente vinculado a la filosofía de negocio de su empresa. Este conocimiento fue más valioso que cualquier cosa que podría haber pagado y se llevó a un viaje muy exitoso. Hay un par de escenarios más me siento a menudo se utilizan en elicitations.

Utilizando los efectos del alcohol

Nada afloja los labios más que el jugo. Este es un hecho desafortunado pero cierto. Mezclar cualquiera de los cinco escenarios anteriores con alcohol y se puede magnificar sus efectos por 10. Probablemente la mejor manera de describir este escenario es una historia real. En 1980, un científico senior del Laboratorio Nacional de Los Álamos viajó a un instituto de investigación en la República Popular de China (RPC) para hablar de su especialidad, la fusión nuclear. Tenía un amplio conocimiento de la información armas nucleares de Estados Unidos, pero sabía que la situación que estaba entrando era peligroso y que tenía que estar decidido a adherirse a su tema. Sin embargo, él fue bombardeado constantemente con preguntas cada vez más detallados directamente relacionados con las armas nucleares. tácticas de los atacantes iba a cambiar y que les hacer muchas preguntas acerca de la fusión benignos y astrofísica, su especialidad.

Una vez incluso nos dieron un cóctel en su honor. Se reunieron alrededor y aplaudieron su conocimiento y la investigación-cada vez con una tostada y una bebida. Empezaron a preguntar acerca de cuestiones clasificadas como las condiciones de ignición de deuterio y tritio, los dos componentes en la entonces nueva bomba de neutrones. Lo hizo bien en defenderse de las preguntas constantes, pero después de muchos brindis y una fiesta en su honor, decidió darle una analogía. Reflexionó al grupo que si sacó esos dos componentes en una bola y luego salió de la mesa lo más probable es encender porque tenían niveles tan bajos umbrales de temperatura.

Esta historia aparentemente inútil e información de la causa más probable de los investigadores en China para discernir un camino claro de la investigación sobre armas nucleares. Tomarían esta información a otro científico y ahora armado con un poco más de conocimiento, utilizar ese conocimiento para llegar a la siguiente etapa con él o ella. Después de muchos intentos, es muy probable que el científico chino poseería una idea clara de cuál es el camino a seguir. Este es un ejemplo de cómo seria el uso de elicitación puede conducir a la obtención de una imagen clara de toda la respuesta. En la ingeniería social puede ser el mismo para usted. Todas las respuestas podrían no provenir de una fuente. Puede provocar alguna información de una persona sobre su paradero en una fecha determinada, y luego usar esa información para obtener más información de la próxima

etapa, y así sucesivamente y así sucesivamente. La aplicación de estos pepitas de información en

conjunto es a menudo la parte más difícil de perfeccionar las habilidades de obtención. Que se discute a co

El uso de preguntas inteligentes

Como ingeniero social debe darse cuenta de que el objetivo no es la obtención de subir y decir: “¿Cuál es la contraseña a sus servidores?” El objetivo es conseguir pequeñas y aparentemente inútiles bits de información que ayudan a construir una imagen clara de las respuestas que está buscando o la ruta a la obtención de esas respuestas. De cualquier manera, este tipo de recopilación de información puede ayudar a dar al ingeniero social un camino muy claro para el objetivo propuesto.

¿Cómo se sabe qué tipo de preguntas a utilizar? Las siguientes secciones se analizan los tipos de preguntas que existen y cómo un ingeniero social puede usarlos.

Preguntas de final abierto

Las preguntas abiertas no se pueden responder con sí o no. Preguntar, “bastante frío hoy, ¿eh?” Dará lugar a un “Sí”, “Uh-uh”, “Sí”, o alguna otra expresión gutural afirmativa similares, mientras que preguntar: “¿Qué opinas del tiempo para hoy? ”provocará una respuesta real: la persona debe responder con más de un sí o un no. Una forma de un ingeniero social puede aprender acerca de cómo utilizar preguntas abiertas-es analizar y estudiar los buenos periodistas. Un buen periodista debe utilizar preguntas abiertas para continuar provocando respuestas de su entrevistado. Supongamos que tenía planes para cumplir con un amigo y él se cancela, y quería saber por qué. Puedo hacer una pregunta como: “Tenía curiosidad acerca de lo que ocurrió con nuestros planes de la otra noche.”

“No me sentía muy bien.” “Oh, espero que usted es mejor ahora. ¿Que está mal?"

Esta línea de preguntas por lo general recibe más resultados que haciendo un asalto total contra la persona y diciendo algo como: “¿Qué diablos, hombre? Usted me abandonaste la otra noche!”

Otro aspecto de preguntas abiertas que añade potencia es el uso de por qué y cómo. En seguimiento a una pregunta con cómo o por qué puede conducir a una explicación mucho más profundo de lo que pedían originalmente. Esta pregunta de nuevo, no es “sí” o “no” rendir cuentas, y la persona va a revelar otros detalles que pueden resultar interesantes. A veces las preguntas abiertas se pueden reunir con cierta resistencia, por lo que el uso de la enfoque

de la pirámide podría ser bueno. El enfoque de la pirámide es donde se inicia con preguntas estrechas y luego hacer preguntas más amplias en el extremo de la línea de preguntas. Si usted realmente desea conseguir grandes en esta técnica aprender a usarlo con los adolescentes.

Por ejemplo, muchas veces preguntas como, indefinidos “¿Cómo estuvo la escuela hoy?”, Se reunieron con un “OK” y nada más, por lo que hace una pregunta estrecha podría abrir el flujo de información mejor. “¿Qué estás haciendo en matemáticas este año” Esta pregunta es muy estrecha y sólo se puede responder con una respuesta muy específica: “Álgebra II.”

“Ah, yo siempre odiaba eso. ¿Te gusta eso?" A partir de ahí siempre se puede ramificarse en cuestiones más amplias, y después de obtener el objetivo de hablar, obtener más información general, se hace más fácil.

Las preguntas cerradas preguntas, obviamente, de composición cerradas son lo contrario de preguntas abiertas, pero son una forma muy efectiva para dirigir un objetivo en el que desea. Preguntas cerradas a menudo no pueden ser respondidas con más de una o dos posibilidades.

En una pregunta abierta se podría preguntar, “¿Cuál es su relación con su jefe?”, Sino una pregunta cerrada podría redactarse, “es su relación con su gestor de bueno?” La información detallada no suele ser el objetivo con preguntas cerradas; más bien, lo que lleva el objetivo es la meta.

aplicación de la ley y los abogados utilizan este tipo de razonamiento a menudo. Si quieren llevar a su destino por un camino particular, hacen preguntas muy cerrados que no permiten la libertad de respuestas. Algo como esto: “¿Sabe usted la parte demandada, el Sr. Smith?”

creo.”

“En la noche del 14 de junio, ¿viste el Sr. Smith en la taberna ABC?” “Lo hice.”

“Y a qué hora fue eso?” “23:45”. Todas estas preguntas son terminaron muy cerrado y sólo tener en cuenta uno o dos tipos de respuestas.

Las preguntas principales Combinando aspectos tanto de las preguntas cerradas y abierta, preguntas principales son de composición abierta con un toque que conduce hacia la respuesta. Algo así como: “Usted estaba en la taberna de ABC con el Sr. Smith el 14 de junio a las 11:45 de la tarde, ¿verdad?” Este tipo de pregunta lleva el destino donde desea sino que también le ofrece la oportunidad de expresar sus puntos de vista, pero por muy poco. También carga previamente el objetivo con la idea de que tiene conocimiento de los hechos que se le preguntó sobre.

Principales cuestiones a menudo se pueden contestar con un sí o un no, pero son diferentes de las preguntas cerradas debido a que más información se plantó en la pregunta que cuando contestado da ingeniero social más información para trabajar. Las preguntas dirigidas afirman algunos hechos y luego piden el objetivo de estar de acuerdo o en desacuerdo con ellos. En 1932 la British psicólogo Frederic C. Bartlett llegó a la conclusión de un estudio sobre la memoria reconstructiva. Le dijo a los sujetos una historia y luego se les pidió que recordar los hechos de inmediato, dos semanas más tarde, y después de cuatro semanas más tarde. Bartlett encontró que los sujetos que modificaron la historia basada en su cultura y creencias, así como la personalidad. Ninguno fue capaz de recordar la historia con precisión y en su totalidad. Se determinó que los recuerdos no son un registro exacto de nuestro pasado. Parece que los seres humanos tratan de hacer el ajuste de memoria en nuestras representaciones existentes en el mundo. Cuando preguntas, muchas veces responden de la memoria en base a nuestras percepciones y lo que es importante para us.Because de esto, pidiendo a la gente que lleva una pregunta y manipular su memoria es posible. Elizabeth Loftus, una figura destacada en el campo de la

la investigación testimonio de testigos, se ha demostrado a través de la utilización de las preguntas principales que distorsionan la forma en la memoria de una persona de un evento es fácilmente posible. Por ejemplo, si una persona mostró una foto de la habitación de un niño que no contenía oso de peluche y, a continuación, le preguntó: “¿Has visto una oso de peluche?”no están dando a entender que uno estaba en la habitación, y la persona es libre de responder sí o no a su antojo. Sin embargo, preguntando: “¿Has visto la oso de peluche?”implica que uno estaba en la habitación y la persona tiene más probabilidades de responder‘sí’, porque la presencia de un oso de peluche es consistente con el esquema de la habitación de un niño de esa persona. Debido a esta investigación el uso de preguntas que conducen puede ser una herramienta poderosa en las manos de un experto ingeniero social. Aprender a dirigir el destino también puede mejorar la capacidad de un ingeniero social para reunir información.

Preguntas assumptive assumptive preguntas son sólo lo que suenan, donde se supone que ciertos conocimientos ya está en la posesión del objetivo. La forma en que un ingeniero social puede determinar si es o no un objetivo posee la información que está después es por hacer una pregunta assumptive.

Por ejemplo, una habilidad empleada por la policía es asumir el objetivo ya tiene conocimiento, por ejemplo, de una persona, y pedir algo como: “¿Dónde vive el Sr. Smith?” Dependiendo de la respuesta dada, el oficial puede determinar si el objetivo conoce a la persona y lo mucho que sabe de él. Un buen punto a tener en cuenta es que cuando un ingeniero social utiliza preguntas assumptive toda la imagen se debe nunca dar a la meta. Si lo hace, da todo el poder al objetivo y elimina gran parte de la capacidad del ingeniero social para controlar el medio ambiente. El ingeniero social no quiere volver a utilizar preguntas assumptive acusar el blanco de un mal. Si lo hace, aliena al objetivo y una vez más el poder cuesta ingeniero social.

Un ingeniero social debe utilizar preguntas assumptive cuando tiene una idea de los hechos reales que puede usar en la pregunta. El uso de una pregunta assumptive con información falsa puede girar el objetivo fuera y sólo confirmará que el objetivo no sabe acerca de algo que no sucedió. Volver a una

ejemplo anterior, si quería obtener información de un químico que lleva y lo hice algunas investigaciones y sabía lo suficiente como para formular una frase inteligente que podía hacer una pregunta assumptive pero sería arruinar el futuro seguimiento si yo no era capaz de respaldar la hipótesis de la objetivo sería hacer de mi conocimiento.

Por ejemplo, si yo le preguntara, “Debido a que el deuterio y el tritio tienen dichos umbrales de baja temperatura, ¿cómo se puede manejar estos materiales para evitar la ignición?” La información de seguimiento puede ser difícil de seguir si no soy un físico nuclear. Esto es contraproducente y no demasiado útil. Planificar sus preguntas assumptive tener el máximo efecto. Un complemento que se imparte a los funcionarios encargados de hacer cumplir la ley que es muy útil cuando se utiliza preguntas assumptive es decir, “Ahora piense cuidadosamente antes de responder a la siguiente pregunta ...” Este tipo de declaración pretensa la mente del objetivo con la idea de que debe ser veraz con su próximo estado de cuenta.

Puede tomar meses o años para dominar estas habilidades. No se desanime si los primeros intentos no tienen éxito, y seguir intentándolo. No temas, sin embargo, hay algunos consejos para dominar esta habilidad. Voy a revisar estos en el cierre.

El dominio de elicitación Este capítulo tiene una gran cantidad de información para que usted pueda absorber, y si no son una persona de personas, empleando las técnicas cubiertas puede parecer una tarea de enormes proporciones. Como la mayoría de los aspectos de la ingeniería social, elicitación tiene un conjunto de principios que cuando se aplica mejorará su nivel de habilidad. Para ayudarle a dominar estos principios, recuerde estos consejos: Demasiadas preguntas pueden apagar el objetivo. Salpicando el objetivo con un aluvión de preguntas no hará más que apagar el objetivo. Recuerde, la conversación es un toma y daca. Lo que quiere solicitar, pero hay que dar para hacer que la sensación en la facilidad de destino.

Muy pocas preguntas harán que el objetivo se sienta incómodo. ¿Alguna vez has estado en una conversación que está lleno de “silencios incómodos”? No es bueno es? No asuma que su objetivo es un hábil y dispuesto

conversador. Usted debe trabajar para hacer una conversación sea una experiencia agradable. Solamente una pregunta a la vez. Capítulo 5 se refiere a los desbordamientos de búfer en la mente humana, pero en este momento su objetivo es no a desbordar el objetivo. Es simplemente para reunir información y construir un perfil. Para ello no se puede parecer demasiado ansioso o no interesados. Como se habrá reunido, haciendo el trabajo correcto elicitación es un delicado equilibrio. Demasiado, demasiado poco, demasiado a la vez, no es suficiente, cualquiera de ellos matar a sus posibilidades de éxito. Sin embargo, estos principios pueden ayudarle a dominar este talento increíble. Si se utiliza este método para la ingeniería social o simplemente aprender cómo interactuar con la gente, intente esto: Piense en la conversación como un embudo, donde en la parte superior es la parte más grande, “neutral” y en la parte inferior es la muy estrecha, directa finalizando.

Comience por preguntar a la meta preguntas muy neutros, y recoger algunos Intel usando estas preguntas. Dar y recibir en su conversación, y luego pasar a un par de preguntas abiertas. Si es necesario, utilice un par de preguntas de tipo cerrado para dirigir el destino a donde quiere ir y luego, si la situación se ajusta, mueva a preguntas muy dirigidas a medida que llegue al final del embudo. ¿Qué va a verter fuera del “pico” de ese embudo es un río de la información. Pensar en ello en la situación discutida en este capítulo de mi objetivo en la cámara de recolección comercio. Mi objetivo era reunir Intel en cualquier cosa que pudiera conducir a un fallo de seguridad.

Me comenzó la conversación con una pregunta muy neutral. “Escapar de los buitres?” Esta pregunta se rompió el hielo en la conversación, así como utilizar un poco de humor para crear un puente que nos ha permitido existir en el mismo plano del pensamiento. Le pregunté a un par de preguntas más neutros y le di mi tarjeta mientras preguntando lo que hace. Esto da paso sin problemas en las preguntas abiertas. Una recopilación de información breve sesión que ocurrió antes, utilizando preguntas cerradas o assumptive cuidadosamente colocados fue clave. Luego de enterarse de la reciente adquisición de la compañía para las nuevas actualizaciones de software de contabilidad y de red que quería ir a matar. Habiendo de ámbito fuera del edificio supe que utiliza RFID, pero no estaba seguro de si el objetivo iría tan lejos como para describir la

tarjeta y mostrarla a mí. Aquí es donde el uso de preguntas directas jugó un papel: ir al grano y preguntar lo que la seguridad de la empresa utiliza. Por el momento he usado ese tipo de pregunta nuestro factor de relación y confianza era tan alta que probablemente habría contestado todas las preguntas que se le pide.

La comprensión de cómo comunicarse con la gente es una habilidad esencial para un inductor. El ingeniero social debe ser adaptable y capaz de igualar la conversación a su entorno y situación. la construcción rápida de la más mínima cantidad de confianza con el objetivo fundamental. Sin esa relación, la conversación será más probable fallar. Otros factores importantes incluyen asegurarse de que su estilo de comunicación, las preguntas utilizadas, y la manera en la que usted habla todo el partido a su pretexto. Saber cómo hacer preguntas que obligan a una respuesta es una clave para la obtención de éxito, pero si todo lo que habilidad y todas esas preguntas no coinciden con su pretexto entonces el intento de obtención será más seguramente fracasará.

Resumen Este capítulo cubre algunos de los puntos más poderosas en todo este libro-poderoso en el sentido de que su aplicación puede cambiar no sólo sus habilidades de ingeniería social, sino también sus habilidades como comunicador. Saber cómo hacer las preguntas correctas en el tiempo correcto y de la manera correcta puede abrir muchas oportunidades. Como un ingeniero social, esto es lo que separa el éxito del fracaso. Las primeras impresiones se basan inicialmente en la vista, pero lo que sale de la boca primero puede hacer o deshacer el trato. El dominio de elicitación casi se puede garantizar el éxito como un ingeniero social y puede añadir peso graves a pretexto de que decida utilizar. A lo largo de este capítulo he mencionado el poder de pretextos. Este es otro de los temas que cada ingeniero social, tanto maliciosa y profesional, debe dominar. Pero ¿cómo se puede garantizar a lograr esta meta? Para responder a esto usted debe aprender acerca de pretextos y entender exactamente lo que es, como se ha discutido en el capítulo 4.

Capítulo 4

Pretexting: Cómo convertirse Cualquiera

La honestidad es la clave para una relación. Si se puede fingir que estás en.

- Richard Jeni A veces es probable que todos nos gustaría ser otra persona. Heck, me encantaría ser un poco más delgado y con mejor aspecto. A pesar de que la ciencia médica no ha llegado con una píldora que puede hacer que sea posible, una solución a este dilema existe-que se llama pretextos.

¿Cuál es pretextos? Algunas personas dicen que es sólo una historia o mentira que va a actuar durante un compromiso de la ingeniería social, pero esta definición es muy limitante. Pretexting es mejor definida como la historia de fondo, el vestido, el aseo, la personalidad y la actitud que conforman el carácter que va a ser para la auditoría de ingeniería social. Pretexting abarca todo lo que cabría imaginar que esa persona sea. Cuanto más sólida sea el pretexto, la más creíble que será como un ingeniero social. A menudo, el más simple su pretexto, el mejor es usted.

Pretexting, especialmente desde la llegada de Internet, se ha visto un aumento en usos maliciosos. Una vez vi una camiseta que decía: “Internet:. Cuando los hombres son hombres, las mujeres son hombres, y los niños son agentes del FBI a la espera de conseguir que” Como poco de humor como ese dicho es, que tiene mucho de verdad en ella . En Internet puede ser cualquier persona que desea ser. Los hackers han estado utilizando esta capacidad a su ventaja durante años y no sólo con Internet. En la ingeniería social juega un papel o ser una persona diferente para llevar a cabo con éxito el objetivo es a menudo imprescindible. Chris Hadnagy podría no tener tanto tirón como el tipo de soporte técnico o el director general de una importante organización de importación. Cuando surge una situación de ingeniería social, que tiene las habilidades necesarias para convertirse en el pretexto es importante. En una discusión que estaba

teniendo con ingeniero social de renombre mundial, Chris Nickerson, sobre este tema, dijo algo que creo que realmente golpea a casa. Nickerson declaró que pretextos no se trata de representar una función o jugar una parte. Dijo que no se trata de vivir una mentira, pero en realidad convertirse en esa persona. Usted es, en cada fibra de su ser, la persona que está retratando. La forma en que camina, la forma en que habla, el lenguaje corporal que convertirse en esa persona. Estoy de acuerdo con esta filosofía de pretextos. A menudo, cuando la gente ve una película de las que nosotros creemos que son “mejores que hemos visto nunca” son donde los actores se nos tan cautivado con sus partes no podemos separarlos de sus personajes retratados. Esto fue probado fiel a mí cuando hace muchos años mi esposa y yo vimos una gran película con Brad Pitt, Leyendas de la caída. Era un imbécil egoísta en esta película, un alma atormentada que hizo un montón de malas decisiones. Era tan bueno jugando esta parte mi esposa, literalmente, lo odiaba como actor durante algunos años. Esa es una buena pretexter. El problema de usar pretextos para muchos ingenieros sociales es que sienten que sólo se viste como una parte y eso es todo. Es cierto que el vestido puede ayudar, pero pretextos es una ciencia. En cierto modo, toda su persona se va a reflejar en una luz que es diferente de lo que eres. Para hacer esto, usted, como un ingeniero social, debe tener una idea clara de lo que realmente es pretextos. A continuación, puede planear y llevar a cabo el pretexto perfectamente. Por último, se pueden aplicar los toques finales. En este capítulo se va a cubrir aquellos aspectos de pretextos. En primer lugar es una discusión de lo que realmente es pretextos. Después de que es la discusión de cómo utilizar pretextos como un ingeniero social. Por último, para unirlo todo, este capítulo explora algunas historias que muestran cómo usar pretextos eficacia.

¿Qué es Pretexting?

pretexting se define como el acto de crear un escenario inventado para convencer a una víctima específica para divulgar información o realizar alguna acción. Es algo más que la creación de una mentira; en algunos casos puede ser la creación de una nueva identidad y luego usar esa identidad para manipular la recepción de información. Los ingenieros sociales pueden usar pretextos para hacerse pasar por personas en determinados puestos de trabajo y

papeles que nunca han hecho a sí mismos. Pretexting no es una talla única toda la solución. Un ingeniero social debe desarrollar muchos pretextos diferentes a lo largo de su carrera. Todos ellos tienen una cosa en común: la investigación. Buenas técnicas de recopilación de información pueden hacer o deshacer un buen pretexto. Por ejemplo, imitando el representante de soporte técnico perfecto es inútil si su objetivo no utiliza apoyo externo. Pretexting también se utiliza en áreas de la vida distinta de la ingeniería social. Ventas; hablar en público; los llamados adivinos; Programación Neurolingüística (PNL) expertos; e incluso los médicos, abogados, terapeutas, y similares todos tienen que utilizar una forma de pretextos. Todos tienen que crear un escenario en el que las personas se sienten cómodos con la divulgación de información que normalmente no haría. La diferencia en los ingenieros sociales utilizando pretextos y otros objetivos son los involucrados. Un ingeniero social, de nuevo, tiene que vivir de esa persona por un tiempo, no sólo desempeñar una parte. Mientras la auditoría o concierto tiene una duración de la ingeniería social, es necesario estar en el personaje. I “consigo en el carácter” a mí mismo, al igual que muchos de mis colegas, algunos de los cuales aún permanecen en carácter “fuera del reloj.” En cualquier lugar que necesita, debe ser el pretexto de que se dispuso a ser. Además, muchos ingenieros sociales profesionales tienen muchos en línea diferente, las redes sociales, correo electrónico y otras cuentas para respaldar una serie de pretextos.

Una vez entrevisté icono de radio Tom Mischke sobre este tema para un podcast de ingeniería social

Soy una parte de

(Alojado en www.social-

engineer.org/episode-002-pretexting-not-just-for-social-engineers/ ). Los presentadores de radio deben ser competentes en pretextos porque constantemente tienen que liberar solamente la información que desean para el público. Tom era tan hábil en esto que muchos oyentes se sentía como si ellos “sabían” él como un amigo. Se ponía invitaciones para bodas, aniversarios, e incluso los nacimientos. ¿Cómo fue Tom capaz de lograr esta increíble especie de pretexto?

La respuesta es la práctica. Montones y montones de la práctica es lo que prescribe. Me dijo que iba a realidad planificar sus “actos” y luego practican ellos utilizan la voz que tendrían, sientan cómo se siente, tal vez incluso vestirse como ellos se vestían. La práctica es exactamente lo que hace un buen pretexto. Un aspecto muy importante a tener en cuenta es que la calidad del pretexto está directamente relacionada con la calidad de la información recogida. Mientras más, mejor,

y cuanto más relevante de la información, más fácil será para que se desarrolle el pretexto y tener éxito. Por ejemplo, el pretexto clásico de un tipo de soporte técnico fracasaría por completo si usted fue a una empresa que, o bien tenían el apoyo interno o externo a una empresa muy pequeña de una o dos personas. Tan natural como eres cuando conversar con alguien acerca de lo que realmente eres es lo fácil de aplicar el pretexto debe ser. De manera que se puede ver cómo se puede utilizar esta habilidad, la siguiente sección se describen los principios de pretextos a continuación muestra cómo se puede aplicar a la planificación realidad un pretexto sólido.

Los principios y las etapas de planificación de Pretexting Al igual que con todas las habilidades, ciertos principios dictan los pasos para la ejecución de esta tarea. Pretexting no es diferente. La siguiente es una lista de principios de los pretextos que se puede utilizar. De ninguna manera son estos los únicos principios que hay; tal vez otros pueden ser añadidos, pero estos principios encarnan la esencia de pretextos: La investigación más que hacer mayor será la probabilidad de éxito. La participación de sus propios intereses personales aumentará el éxito. dialectos práctica o expresiones. Muchas veces el esfuerzo de ingeniería social pueden reducirse si el teléfono es visto como menos importante. Sino como un ingeniero social, utilizando el teléfono no debe reducir el esfuerzo puesto en el concierto de la ingeniería social. Cuanto más simple sea el pretexto mayor será la probabilidad de éxito. El pretexto debería aparecer espontánea. Proporcionar una conclusión lógica o llevar a cabo para el destino. Las secciones siguientes describen cada uno de estos principios en detalle.

La investigación más haga, mayor será la probabilidad de éxito Este principio se explica por sí, pero no se puede decir lo suficiente el nivel de éxito está directamente conectado con el nivel y la profundidad de la investigación. Como se discutió en el capítulo 2, es el quid de la ingeniería social exitosa. Cuanto más información que un ingeniero social tiene más posibilidades que él o ella tiene

de desarrollar un pretexto que funciona. Recuerda la historia le dije en el capítulo 2 sobre mi mentor Mati Aharoni y cómo convenció a un ejecutivo de alto nivel a visitar su sitio “la colección de sellos” en línea? A primera vista, el camino dentro de esa empresa podría haber parecido ser algo que ver con la financiera, la banca, la recaudación de fondos, o algo por el estilo, ya que era un establecimiento bancario. La investigación más Mati hizo, más claro se convirtió en el pretexto de que podría ser una persona que estaba vendiendo una colección de sellos. Averiguar lo que se permite que los intereses del ejecutivo Mati para encontrar una manera fácil en la empresa, y funcionó.

A veces esos pequeños detalles que son los que hacen la diferencia. Recuerde, no hay información irrelevante. En la recogida de información, en busca de historias, elementos o aspectos de carácter personal es también una buena idea. El uso de los accesorios personales o emocionales de un objetivo puede permitirle obtener un pie en la puerta. Si el ingeniero social se entera de que cada año el director financiero dona una suma considerable al centro de investigación del cáncer infantil, a continuación, un pretexto que involucra a la recaudación de fondos para esta causa podría muy probable que el trabajo, como sin corazón como suena. El problema es que los ingenieros sociales maliciosos utilizan pretextos que se alimentan de emociones sin pensarlo dos veces. Después de los ataques a las torres gemelas en Nueva York el 11 de septiembre de 2001, muchos piratas informáticos e ingenieros sociales utilizan las pérdidas de estas personas para recaudar fondos por sí mismos a través de sitios web y correos electrónicos dirigidos contra computadoras de las personas y la recaudación de fondos falsos que obtienen fondos de los que tienen un corazón generoso. Después de los terremotos de Chile y Haití en 2010, se produjeron las mismas cosas que muchos ingenieros sociales maliciosos desarrollados sitios web que se posiciona como dar información sobre la actividad sísmica o las personas que se perdieron. Estos sitios fueron codificados con código malicioso y hackeado las computadoras de las personas. Esto es aún más evidente inmediatamente después de la muerte de una estrella de cine o de la música. optimización de motores de búsqueda (SEO) y de marketing genios tendrán los motores de búsqueda que levanta sus historias en cuestión de horas. Junto con los vendedores, los ingenieros sociales maliciosos se aprovechan de la creciente atención del motor de búsqueda con el lanzamiento de los sitios maliciosos que se alimentan de que el SEO. Atraer a la gente a estos sitios, que cosechan información o infectar con virus.

Que las personas se aprovechan de la desgracia de otros es un hecho triste de este mundo, y uno de esos rincones oscuros me dijo que iba a visitar en este libro. Como auditor de la ingeniería social, puedo utilizar las emociones de un empleado para mostrar una empresa que incluso las personas con intenciones aparentemente buenas pueden engañar a los empleados de una empresa para que den acceso a los datos valiosos y de negocios-arruinando. Todos estos ejemplos se solidifican el punto de que el mejor proceso de recopilación de información y la investigación de recopilación de un ingeniero social, la mejor oportunidad que tiene de encontrar algún detalle que aumentará las posibilidades de éxito de un pretexto.

Involucrar a intereses personales para aumentar el éxito Utilizando sus propios intereses personales para aumentar las posibilidades de éxito de un movimiento de ingeniería social parece muy simple, pero se puede recorrer un largo camino para convencer al objetivo que son creíbles. Nada puede arruinar una relación de confianza más rápido que una persona que dice ser informado acerca de un tema y luego se queda corto. Como un ingeniero social, si nunca han visto una sala de servidores antes y nunca ha tomado un ordenador aparte, tratando de hacer el papel de un técnico puede ser un camino rápido al fracaso. Incluyendo los temas y actividades en el pretexto de que usted está interesado en que da mucho de que hablar y le da la capacidad de representar la inteligencia, así como la confianza. La confianza puede recorrer un largo camino hacia el objetivo convencer a usted es quien dice ser. Ciertos pretextos requieren más conocimientos que otros (por ejemplo, coleccionista de sellos frente investigador nuclear) sea convincente, por lo que una vez más la investigación se convierte en el tema recurrente. A veces, el pretexto es bastante simple que se puede obtener el conocimiento mediante la lectura de algunas páginas web o un libro. Sin embargo a obtener los conocimientos, la investigación de temas que le interesan personalmente, como el ingeniero social, es importante. Después de recoger en una historia, aspecto, servicio, o interés que usted tiene una gran cantidad de conocimientos en o al menos sentirse cómodo discutiendo, ver si ese ángulo puede trabajar.

El Dr. Tom G. Stevens, PhD, dice: “Es importante recordar que la confianza en sí mismo es siemp en relación con la tarea y situación. Tenemos diferentes

los niveles de confianza en diferentes situaciones.”Esta declaración es muy importante, porque la confianza se vincula directamente a cómo otros le ven como un ingeniero social. La confianza (siempre y cuando no es el exceso de confianza) construye confianza y la relación y hace que las personas se sientan a gusto. Encontrar un camino a su destino que le ofrece la oportunidad de hablar sobre los temas que se sienta cómodo, y que se puede hablar con confianza, es muy importante.

En 1957 el psicólogo Leon Festinger propuso la teoría de la disonancia cognitiva. Esta teoría afirma que las personas tienen una tendencia a buscar la coherencia entre sus creencias, opiniones, y básicamente todos sus conocimientos. Cuando existe una inconsistencia entre las actitudes y comportamientos, algo debe cambiar para eliminar la disonancia. El Dr. Festinger establece dos factores afectan a la fuerza de la disonancia: El número de creencias disonantes la importancia de cada creencia A continuación, declaró que existen tres maneras de eliminar la disonancia (que debe causar los oídos de todos los ingenieros sociales para animar):

Reducir la importancia de las creencias disonantes. Añadir creencias más consonantes que superan los disonantes. Cambiar las creencias disonantes para que ya no son inconsistentes. ¿Cómo usa un ingeniero social esta información? Al acercarse un pretexto con la falta de confianza cuando el pretexto dice que usted debe tener confianza crea automáticamente la disonancia. Esta disonancia plantea todo tipo de banderas rojas y pone barreras para una buena relación, la confianza y el movimiento hacia adelante. Estas barreras afectan el comportamiento del objetivo, que se espera a continuación, para equilibrar sus sentimientos de disonancia, y mata a cualquier probabilidad de que su trabajo pretexto.

Uno de los métodos para contrarrestar esto es añadir las creencias más consonantes para que sobrepasen a los disonantes. ¿Cuál sería el objetivo de contar con el pretexto? Sabiendo que le permitirá alimentar a sus mentes y emociones con acciones, palabras y actitudes que se basará el sistema de creencias y superan cualquier creencias que podrían traer en duda. Por supuesto, un ingeniero social en la materia también puede cambiar las creencias disonantes para que ya no son inconsistentes. Aunque esto es más complicado, es una poderosa habilidad para tener. Es posible que su aspecto no se ajusta a lo

el objetivo podría imaginar para su pretexto. Se podría pensar de nuevo a la serie

Un médico precoz El problema de doogie era que su “pretexto” de ser un médico superior Nunca ajuste desde que era muy joven. Esa era una creencia disonante, pero su conocimiento y acciones a menudo llevados que en las creencias de consonantes de sus “objetivos”. Al igual que el ejemplo anterior, un ingeniero social puede alinear su pretexto con las creencias de la diana por sus actitudes, acciones, y especialmente de su conocimiento del pretexto.

Un ejemplo de esto poco vi en la vida real era en la Defcon 18. Yo era parte del equipo que llevó a la Ingeniería Social CTF a Defcon. Vimos muchos participantes que utilizaron el pretexto de un empleado interno. Cuando se les presenta una objeción como, “¿Cuál es su número de identificación de un empleado?”, Un ingeniero social no calificada se ponen nerviosos y, o bien no tienen una respuesta o colgar, mientras que un ingeniero social experta podría llevar esas creencias disonantes en la alineación para el objetivo. Simplemente indicando un número de placa que encontraron en línea o utilizando otro método que fueron capaces de convencer al objetivo que no se necesita información, por lo tanto, la alineación de la meta a sus creencias.

Estos puntos son respuestas muy técnica a un problema muy simple, pero hay que entender que uno puede hacer solamente tanto falsificación. Elige tu camino sabiamente.

Dialectos práctica o expresiones Aprender a hablar en un dialecto diferente no puede ser mirada más rápidamente. Dependiendo de dónde vivas, aprender a hablar un dialecto diferente o con un acento puede llevar algún tiempo. Poner en un acento sureño o un acento asiático puede ser muy difícil, si no imposible. Una vez yo estaba en una clase de entrenamiento con una organización internacional de ventas y tenía algunas estadísticas que indican que el 70% de los estadounidenses prefieren escuchar a la gente con un acento británico. No estoy seguro de si esa estadística es verdad o no, pero puedo decir que me gusta el acento mí mismo. Ahora, después de esa clase, oí un buen número de personas en la clase práctica sus “Cheerios” y “Alo Govenors”, que eran horribles. Tengo un buen amigo del Reino Unido, Jon, que se enfada mucho cuando escucha estadounidenses tratando de utilizar líneas de Mary Poppins en un acento británico imitación. Si hubiera escuchado este grupo,

podría haber quemado un fusible. Lo que esa clase me enseñó fue que, aunque las estadísticas podrían decir un acento es mejor que otro para ventas o simplemente porque es posible que la ingeniería social en el sur o en Europa no significa que usted puede poner fácilmente en el acento a hacer que se vea locales . En caso de duda, tírelo a la basura. Si no puede hacer el dialecto perfecto, si no puede ser natural, y si no puede ser liso, entonces simplemente no lo intente. Actores utilizan profesores de canto y sesiones de entrenamiento para aprender a hablar claramente en el acento que tienen que representar. El actor Christian Bale es de Gales, pero la determinación de ese hecho de escuchar a él es muy difícil. Él no suena británica en la mayoría de sus películas. Actor Gwyneth Paltrow adquirió un acento británico muy convincente para la película Shakespeare enamorado. La mayoría de los actores tienen instructores de dialectos que van a trabajar con ellos para perfeccionar el acento objetivo. Debido a que la mayoría de los ingenieros sociales no pueden permitirse un entrenador de dialecto, hay muchas publicaciones que pueden ayudarle a aprender al menos los conceptos básicos de poner un acento, como Dialectos de la Etapa por Evangeline Machlin. Aunque se trata de un libro de más edad, que contiene una gran cantidad de grandes consejos:

Encontrar ejemplos nativos del acento que desee aprender, a escuchar. libros como Dialectos

de la Etapa a menudo vienen con cintas llenas de acentos para escuchar. Trata de hablar junto con la grabación que tiene, para practicar sonar como esa persona. Después de que se sienta algo de confianza, grabar a sí mismo hablando con ese acento para que pueda escuchar a él más adelante y corregir errores. Crear un escenario y practicar su nuevo acento con un compañero. Aplique su acento en público para ver si las personas les resulta creíble. Hay innumerables dialectos y acentos, y yo personalmente les resulta útil escribir fonéticamente algunas de las frases voy a hablar. Esto me permite practicar la lectura de ellos y obtener las ideas hundido en mi cerebro para hacer mi acento más natural.

Estos consejos pueden ayudar a un maestro ingeniero social o por lo menos llegar a ser capaces de valerse de otro dialecto. Incluso si no puede dominar otro dialecto, las expresiones que se utilizan en la zona en la que está trabajando puede hacer una diferencia en el aprendizaje. Una idea

es pasar algún tiempo escuchando a la gente en la conversación pública entre sí. Un gran lugar para esto es un restaurante o un centro comercial, o en cualquier lugar es posible encontrar grupos de personas sentadas y charlando. Escuchar con atención a las frases o palabras clave. Si escucha las utilizaron en algunas conversaciones es posible que desee encontrar una manera de incorporar estos en su pretexto para añadir credibilidad. Una vez más, este ejercicio requiere investigación y la práctica.

Uso del teléfono No Debe reducir el esfuerzo para el ingeniero social En los últimos años, Internet ha llegado a dominar ciertos aspectos “más impersonales” de la ingeniería social, mientras que en días pasados ​el teléfono era una parte integral de la ingeniería social. Debido a este cambio, muchos ingenieros sociales no ponen la energía o esfuerzo en el uso del teléfono que puede hacer que sea un verdadero éxito. Este tema está aquí para demostrar que el teléfono sigue siendo una de las herramientas más poderosas del ingeniero social y el esfuerzo puesto en uso no debe ser disminuida debido a la naturaleza impersonal de Internet.

A veces, cuando un ingeniero social planea un ataque al teléfono su pensamiento puede variar debido a uso de Internet puede parecer más fácil. Tenga en cuenta que debe hacer planes para poner el mismo nivel de esfuerzo, el mismo nivel y la profundidad de investigación y recopilación de información, y lo más importante el mismo nivel de la práctica en sus ataques de ingeniería social basados ​en la telefonía. Una vez fui con un pequeño grupo que se va a practicar presentaciones telefónicas. Hemos descrito los métodos adecuados, el tono, la velocidad, los lanzamientos, y las palabras a utilizar. Esbozamos un script (más sobre esto en un minuto) y después se puso en marcha una sesión. La primera persona hizo la llamada, se puso al teléfono con alguien, y en mal estado las primeras líneas. Por vergüenza completa y el miedo que acaba de colgar en la persona.

Si usted no es tan afortunados de tener un grupo para practicar o perfeccionar estas habilidades con, usted tiene que ser creativo. Trate de llamar a amigos o familiares para ver hasta qué punto

puede obtener manipularlos. Otra forma de práctica es grabar a sí mismo como si estuviera en el teléfono y luego jugar de nuevo más tarde para escuchar cómo suena. Personalmente, creo que el uso de un guión esbozado es muy importante. Aquí está un ejemplo: supongamos que tiene que llamar a su compañía de teléfono u otra utilidad. Tal vez en mal estado o un proyecto de ley que tenía otro problema de servicio y que se va a quejar. Después se explica a sí mismo con el representante, diciéndole lo molesto y decepcionado que eres, y el representante no hace absolutamente nada para usted, que dice algo así como: “XY y Z está comprometida con un excelente servicio; Yo he respondido a todas sus preguntas hoy?”Si el avión no tripulado detrás del teléfono pensó durante un segundo sobre lo que estaba pidiendo que se daría cuenta de lo tonto que es, ¿verdad? Esto es lo que sucede cuando se utiliza un guión escrito de salida en lugar de un esquema. Un esquema permite que “la libertad creativa artística” para moverse en la conversación y no ser tan preocupados por lo debe venir a continuación.

El uso del teléfono para solidificar su pretexto es uno de los métodos más rápidos dentro de la puerta de su objetivo. El teléfono permite al ingeniero social “engañar”, o falsa, casi cualquier cosa. Tener en cuenta este ejemplo: Si quisiera llamar y fingir que estaba en una oficina que apresura a añadir al pretexto de que estaba tratando de usar, simplemente me podía agarrar la pista de audio de Prosperando Oficina ( www.thrivingoffice.com/ ). Este sitio ofrece una pista llamada “ocupado” y otro llamado De los creadores “muy ocupado.”: “Este CD valiosa, que se llena con los sonidos que la gente espera tener noticias de una compañía establecida, ofrece credibilidad instantánea. Es muy sencillo, eficaz y garantizado!” Esa sola frase está llena de ingeniería social bondad lleno de lo la gente espera escuchar de una compañía establecida. Ya se puede ver que el CD está dirigido a llenar las expectativas y proporcionar credibilidad (al menos, en la mente del objetivo, después de que se cumplan sus expectativas), con lo que la construcción de la confianza de forma automática. Además, la suplantación de la información de identificación es relativamente simple. Servicios como SpoofCard ( www.spoofcard.com ) O el uso de soluciones propias, permite que un ingeniero social para decirle al objetivo al que está llamando desde una sede corporativa, la Casa Blanca, o el banco local. Con estos servicios se puede falsificar el número que puede venir de cualquier parte del mundo. El teléfono es una herramienta mortal para los ingenieros sociales; el desarrollo de los hábitos a

practicar el uso de ella y tratarla con respeto absoluto mejorará conjunto de herramientas de cualquier ingeniero social para los pretextos. Dado que el teléfono es una herramienta tan mortal y no ha perdido su eficacia, usted debe darle el tiempo y esfuerzo que merece en cualquier concierto de ingeniería social.

Cuanto más simple sea el pretexto, mayor será la probabilidad de éxito “Cuanto más simple, mejor” principio simplemente no puede ser exagerada. Si el pretexto tiene tantos detalles intrincados que olvidar uno va a causar un fallo de la ingeniería social, es probable que va a fallar. Mantener las líneas de la historia, hechos y detalles simples puede ayudar a construir credibilidad.

El Dr. Paul Ekman, un reconocido psicólogo e investigador en el campo del engaño humano, coescribió un artículo en 1993 titulado, “Mentiras que no.” En ese artículo se dice

[T] aquí no es siempre tiempo para preparar la línea a tomar, para ensayar y memorizarla. Aun cuando ha habido un amplio aviso previo, y una línea falsa ha sido cuidadosamente diseñado, el mentiroso puede no ser lo suficientemente inteligente como para anticipar todas las preguntas que se le puede pedir, ya han pensado en lo que deben ser sus respuestas. Incluso la inteligencia puede no ser suficiente, para que no se ven cambios en las circunstancias pueden traicionar una línea de otra manera eficaz. Y, aun cuando un mentiroso no es forzado por las circunstancias a cambiar de línea, algunos mentirosos tienen problemas para recordar la línea que han cometido con anterioridad a sí mismos, por lo que las nuevas preguntas no pueden ser contestadas constantemente rápidamente. Este punto muy relevante explica claramente por qué simple es mejor. Tratando de recordar un pretexto puede ser casi imposible si es tan complejo que su cobertura se puede soplar por un simple error. El pretexto debe ser natural y suave. Debe ser fácil de recordar, y si se siente natural para usted, a continuación, recordar hechos o las líneas utilizadas previamente en el pretexto de que no será una tarea. Para ilustrar lo importante que es recordar los pequeños detalles que quiero compartir con ustedes una historia. Erase una vez que probé mi mano en las ventas. Me pusieron con un gerente de ventas para aprender las cuerdas. Puedo recordar mi primera llamada con él. Fuimos en coche hasta la casa, y antes de salir del coche en el que miramos la tarjeta de información y me dijeron: “Recuerde, Becky Smith envió en una tarjeta de solicitud de

seguro suplementario. Vamos a presentar la política de XYZ. Mira y aprende."

En los tres primeros minutos de la llamada de ventas la llamó Beth y Betty. Cada vez que se utiliza el nombre equivocado vi su cambio de actitud y luego se diría en voz baja, “Becky.” Siento que podría haber sido regalando lingotes de oro y habría dicho que no. Ella estaba tan apagado que no podía conseguir su nombre correcto que no estaba interesado en escuchar nada. Este escenario realmente lleva a casa el punto de mantener a los hechos simples recta.

Además de recordar los hechos, es igualmente importante para mantener los detalles pequeños. Un simple pretexto permite la historia a crecer y el objetivo de utilizar su imaginación para llenar los vacíos. No trate de hacer el pretexto elaborado, y sobre todo, recordar los pequeños detalles que harán la diferencia en cómo la gente ve el pretexto.

Por otro lado, aquí es un dato interesante: Una táctica popular usado por los delincuentes y estafadores famosos es hacer deliberadamente algunos errores. La idea es que “nadie es perfecto”, y algunos errores que la gente se sienta como en casa. Se cuidadoso con los tipos de errores que decide hacer si usted emplea esta táctica, porque se le añade complejidad a su pretexto, pero hace que la conversación parece más natural. Utilice este consejo con moderación, sin embargo usted decide proceder, que sea sencillo. Permítanme ato todo esto junto con algunos ejemplos que he utilizado o visto utilizado en las auditorías. Después de una soberbia elicitación en el teléfono, un ingeniero social sin nombre había sido dado el nombre de la empresa la eliminación de desechos. Unos simples búsquedas de Internet y que tenían un logotipo utilizable e imprimible. Hay docenas de tiendas locales y en línea que se imprimirán las camisas o sombreros con un logotipo en ella decenas. A los pocos minutos de la alineación de las cosas en una plantilla y se ordenó una tapa de la camisa y de la bola con el logotipo de la empresa de residuos en él. Un par de días más tarde, que lleva la ropa logotipo cargado y llevar un bloc de notas, el ingeniero social se acercó a la cabina de seguridad de la empresa objetivo.

El dijo: “Hola, soy Joe con ABC residuos. Recibimos una llamada de su departamento de compras pidiendo a enviar a alguien a retirar un contenedor dañado en la parte posterior. La camioneta es mañana y si el contenedor no es reparable que tendrá que llevar a cabo una nueva. Pero tengo que correr allí

y compruebe que no “.

Sin pestañear, dijo el oficial de seguridad, “OK, necesitará esta placa para obtener el sitio. Acaba de tirar por aquí y conducir por la parte de atrás y verá los contenedores de basura allí.” El ingeniero social tenía un pase libre para realizar una muy larga y detallada de buceo contenedor de basura, pero quería aprovechar al máximo su potencial, así que fuimos a matar con esta línea. Mientras mira a su portapapeles, dijo, “La nota dice que no son los contenedores de alimentos, pero uno de aquellos en los que el papel o tecnología de basura va. Qué bloque son aquellos en?” “Oh, sólo en coche de la misma manera que te dije y se encuentran en la tercera bahía,” respondió el guardia de seguridad.

“Gracias”, dijo Joe. Un simple pretexto, respaldado por la ropa y “herramientas” (como el portapapeles), y las historias eran fáciles de recordar y no compleja. La simplicidad y la falta de detalle en realidad hacen este pretexto más creíble, y funcionó. Un pretexto más ampliamente utilizada es la de que el tipo de soporte técnico. Éste sólo requiere una camisa de polo, un par de pantalones de color caqui, y la bolsa de herramientas de equipos pequeños. Muchos ingenieros sociales emplean esta táctica para llegar a la puerta del frente, porque el “individuo de la tecnología” se suele dar acceso a todo sin supervisión. Las mismas reglas se aplican: mantener la sencilla historia ayudará a que este pretexto particular, muy real y creíble.

El pretexto deben aparecer espontánea Hacer el pretexto parece espontánea se remonta a mi punto sobre el uso de un esquema en comparación con el uso de la escritura. Contornos siempre permitirá que el ingeniero social más libertad y un script hará que el ingeniero social sonar demasiado robótico. También concuerda con el uso de artículos o historias que le interesan al ingeniero social personalmente. Si cada vez que alguien le hace una pregunta o hace una declaración que obliga a pensar, y te vas, “Ummmm” y empezar a pensar profundamente, y no se puede volver con una respuesta inteligente, que va a arruinar su credibilidad. Por supuesto, muchas personas piensan antes de hablar, así que esto no se trata de tener la respuesta en un segundo, pero por tener una respuesta o una razón para no tener la respuesta. Por ejemplo, en una llamada telefónica que estaba

pedido una pieza de información que no tenía. Yo simplemente dije: “A ver si eso.”, Entonces me incliné y lo hizo sonar como yo estaba gritando para un compañero de trabajo: “Jill, ¿puedes pedirle a Bill dame el formulario de pedido para la cuenta de XYZ? Gracias." A continuación, como “Jill” estaba recibiendo el papel para mí yo era capaz de obtener los datos que necesitaba y el papel no se planteó nunca de nuevo. He recopilado una pequeña lista de las formas en que se puede trabajar en ser más espontánea:

No pensar en cómo se siente. Este punto es una buena idea, porque a menudo en un pretexto si overthink usted comenzará a añadir emoción en el mezclar, lo que puede causar miedo, nerviosismo o ansiedad, todo lo cual conduce al fracaso. Por otro lado, es posible que no experimentar nerviosismo o miedo, pero el exceso de excitación, que también puede causar que usted pueda hacer un montón de errores. No tome demasiado en serio. Por supuesto, esto es un gran consejo en la vida, pero se aplica maravillosamente a la ingeniería social. Como profesional de seguridad que tiene un trabajo serio; este es un asunto serio. Pero si usted no es capaz de reírse de sus errores, es posible que callarse o llegar demasiado nervioso para manejar un pequeño bache en el camino. No estoy sugiriendo que se toma la seguridad como una broma. En su mente, sin embargo, si ve un potencial fracaso como el pináculo de fracaso en su vida, la presión que cree puede provocar justo lo que más temen. fallas menores a menudo puede conducir a un mayor éxito si tiene la capacidad de rodar con él.

Aprender a identificar lo que es relevante. Me gusta la frase este concepto como: “Sal de tu cabeza y en el mundo”, que es más un gran consejo. Un ingeniero social puede estar tratando de planear tres pasos por delante y mientras tanto se pierda un detalle vital que puede causar el pretexto a desmoronarse. Sea rápido para identificar el material y la información pertinente a su alrededor, ya sea el idioma del destino de cuerpo, palabras habladas, o microexpresiones (véase el Capítulo 5 para más información sobre este tema), y asimilar la información en el vector de ataque. También hay que tener en cuenta que la gente se da cuenta cuando alguien no está escuchando realmente lo que están diciendo. Teniendo la sensación de que incluso las frases sin importancia están cayendo en saco roto puede ser una salida masiva para muchos

gente. Todo el mundo ha experimentado estar con alguien que simplemente no parece importarle lo que él o ella está diciendo. Tal vez esa persona incluso tenía una razón legítima para estar pensando en un camino diferente, pero haciendo todavía es un desvío.

Asegúrese de escuchar lo que su objetivo está diciendo. Prestar mucha atención y que recogerá los detalles que son muy importantes para ellos y, mientras tanto, se puede escuchar algo que le ayudará en su éxito. Tratar de adquirir experiencia. Este concepto se remonta a lo que es probable que vea repetida cuatro millones de veces en este libro-práctica. Adquirir experiencia mediante la práctica puede hacer o romper el pretexto. Practicar la espontaneidad con la familia y amigos y desconocidos sin ningún objetivo en mente, pero para ser espontáneo. Entablar conversaciones con la gente, pero no en una especie de acosador miedo conversaciones poco simples manera- puede recorrer un largo camino hacia hacer que se sienta cómodo siendo espontánea.

Estos puntos pueden dar definitivamente un ingeniero social la ventaja cuando se trata de pretextos. Tener la capacidad de aparecer espontánea es un regalo. Al principio de este capítulo he mencionado mi entrevista con Tom Mischke, que tenía una interesante sobre la espontaneidad. Dijo que quiere dar la ilusión de espontaneidad envuelto en la práctica y preparación. Practicaría tanto que su pretexto saldría como una generación espontánea de humor y talento.

Proporcionar una conclusión lógica o Seguimiento a través del objetivo

Lo creas o no la gente quiere que se les diga qué hacer. Imagínese si usted fue a un médico y él entró, comprobado sobre, escribió algunas cosas en su carta, y dijo: “Está bien; nos vemos en un mes.”Eso sería inaceptable. Incluso en caso de malas noticias, la gente quiere que le digan el siguiente paso y qué hacer. Como un ingeniero social, cuando salga del objetivo, es posible que tenga que tome o no tome una acción, o puede haber conseguido lo que vinieron a buscar y sólo tiene que salir. Sea cual sea la circunstancia, dando al objetivo una conclusión o seguimiento a través llena los vacíos previstos para el objetivo.

Del mismo modo que si un médico que comprueba una y le envió a casa sin

direcciones, si Engineer su camino en una instalación como un tipo de soporte técnico y acaba de salir sin decir nada a nadie después de la clonación de la base de datos, que dejan todo el mundo preguntándose qué pasó. Alguien puede incluso llamar a la “compañía de soporte técnico” y preguntar si tenía que hacer algo, o en el peor, que acaba de salir de los trabajadores preguntándose. De cualquier manera, dejando a todos colgante no es el camino para salir. Incluso un simple, “he comprobado a través de los servidores y se repara el sistema de archivos; debería ver un aumento del 22% en la velocidad en los próximos dos días,”deja a los objetivos sentir como si‘tiene valor de su dinero’.

La parte difícil para un ingeniero social está consiguiendo el objetivo de tomar una acción después de que él o ella se ha ido. Si la acción es de vital importancia para la finalización de la auditoría ingeniero social, entonces es posible que desee tomar ese papel sobre sí mismo. Por ejemplo, en la cuenta en el capítulo 3 de mi recopilación de información sesión en la cámara de comercio caso, si quería que el objetivo para el seguimiento conmigo a través de correo electrónico que podría haber dicho: “Aquí está mi tarjeta; ¿me un correo electrónico algunos detalles el lunes sobre XYZ?”Él puede muy bien tener, o que podría haber ido a la oficina, olvidado de mí por completo, y todo el concierto habría fallado. Lo que sería mejor, es decir, “Me encantaría conseguir más información de usted. El lunes podría tal vez llamar o disparar un correo electrónico para obtener algunos detalles más?”

Las solicitudes que realice debe coincidir con el pretexto, también. Si su pretexto es ser un tipo de soporte técnico, que no va a “orden” de personas en todo con lo que deben y no deben hacer; se trabaja para ellos. Si usted es una persona de entrega de UPS, usted no exige el acceso a la sala de servidores. Como se mencionó anteriormente, pueden existir más pasos para perfeccionar un pretexto, pero los que se enumeran en este capítulo pueden dar un ingeniero social una base sólida para construir un pretexto perfectamente creíble. Se puede preguntar, “Bueno, por lo que indicó todos estos principios, pero ahora qué?” ¿Cómo puede un ingeniero social construir un pretexto creíble, que suena espontánea, sencilla y bien investigada que puede trabajar, ya sea en el teléfono o en persona y obtener los resultados deseados? Leyendo.

El éxito de Pretexting

Para aprender cómo construir un pretexto éxito, echar un vistazo a un par de historias de ingenieros sociales que utilizan pretextos que trabajaban y cómo los han desarrollado. Con el tiempo se hicieron quedar atrapados, por lo que estas historias están ahora disponibles.

Ejemplo 1: Stanley Marcos Rifkin

Stanley Mark Rifkin se le atribuye uno de los mayores atracos a bancos en la historia de América (véase un gran artículo sobre él en www.socialengineer.org/wiki/archives/Hackers/hackers-Mark-Rifkin-Social-Engineer- furtherInfo.htm ). Rifkin era un geek de la computadora que dirigía una empresa de consultoría informática de su pequeño apartamento. Uno de sus clientes fue una empresa que reparar las computadoras en el Security Pacific Bank. El 55-piso sede Security Pacific National Bank en Los Ángeles parecía una fortaleza granito y cristal. guardias de traje oscuro recorrieron el vestíbulo y cámaras ocultas fotografiaron los clientes, ya que hizo los depósitos y retiros.

Este edificio parecía impenetrable, así que ¿cómo es que Rifkin se llevó $ 10.2 millones y nunca tuvo un arma, nunca tocó un dólar, y nunca levantó a alguien? políticas de transferencia bancaria del banco parecía seguro. Ellos fueron autorizadas por un código numérico que cambia todos los días y sólo se distribuyó al personal autorizado. Fue publicado en una pared en un cuarto seguro que “personal autorizado” sólo tenían acceso. Desde el artículo mencionado previamente archivado:

En octubre de 1978, visitó Seguridad del Pacífico, donde los empleados del banco fácilmente lo reconocieron como un trabajador de la computadora. Tomó un ascensor hasta el nivel D, donde se encuentra sala de transferencia bancaria del banco. Un joven agradable y amable, se las arregló para hablar a su manera en la habitación donde se publicó, código-del-día secreta del banco en la pared. Rifkin memorizado el código y dejó sin despertar sospechas. Pronto, los empleados del banco en la sala de transferencia recibieron una llamada telefónica de un hombre que se identificó como Mike Hansen, un empleado de la división internacional del banco. El hombre ordenó una transferencia de rutina

fondos en una cuenta en el Irving Trust Company en Nueva York, y él siempre que los números de los códigos secretos para autorizar la transacción. Nada sobre la transferencia parecía estar fuera de lo común, y Security Pacific transfiere el dinero al banco de Nueva York. Lo que los funcionarios del banco no sabían era que el hombre que se hacía llamar Mike Hansen era, de hecho, Stanley Rifkin, y que había utilizado el código de seguridad del banco para robar el banco de $ 10.2 millones. Este escenario ofrece mucho de que hablar, pero por ahora, se centran en el pretexto. Piense en los detalles de lo que tenía que hacer:

Tenía que estar seguro y cómodo con el fin de no despertar sospechas por estar en esa habitación. Él tenía que tener una historia creíble cuando llamó para hacer la transferencia y se disponen de datos para respaldar su historia. Tenía que ser lo suficientemente espontánea a seguir la corriente con preguntas que podrían haber surgido. Tuvo que también sea suficiente como para no levantar sospechas suave. Este pretexto tuvo que ser meticulosamente planeada con el mayor detalle siendo pensado. No fue hasta que visitó un antiguo socio que su pretexto fracasó, y fue capturado. Cuando fue capturado, las personas que lo conocían estaban sorprendidos y algunos incluso dijeron cosas como: “No hay manera de que él es un ladrón; a todos les gusta la marca “.

Obviamente su pretexto era sólido. Tenía un bien pensado, y uno podría suponer, plan bien ensayado. Él sabía lo que estaba allí para hacer y él desempeñó el papel a la perfección. Cuando estaba en frente de extraños que fue capaz de desempeñar el papel; su caída se produjo cuando estaba con un colega que lo conocieron, y que su colega vio una noticia a continuación, poner dos y dos juntos y se volvió Marcos en. Sorprendentemente, mientras que en libertad bajo fianza, Rifkin comenzó a dirigirse a otro banco utilizando el mismo esquema, pero un lunar gobierno le había levantado; quedó atrapado y pasó ocho años en una prisión federal. Aunque Mark es un “chico malo” se puede aprender mucho sobre pretextos de la lectura de su historia. Él se mantenía muy simple y utiliza las cosas que le eran familiares para construir una buena historia.

El plan de Mark era robar el dinero y convertirlo en un producto imposible de encontrar: los diamantes. Para hacerlo él primero tiene que ser un empleado del banco para robar el dinero, entonces un importante comprador de diamantes para descargar el dinero en efectivo, y finalmente vender los diamantes para tener dinero en efectivo utilizable, imposible de encontrar en el bolsillo. Aunque su pretexto no implicó trajes elaborados o patrones de voz que tenía que hacer el papel de un empleado del banco, a continuación, importante comprador de diamantes, y luego jugar el papel de un vendedor de diamantes. Cambió papeles tal vez tres, cuatro o cinco veces en este concierto y fue capaz de hacerlo lo suficientemente bien como para engañar a casi todo el mundo.

Marcos sabía que eran sus objetivos y se acercó al escenario con todos los principios descritos anteriormente. Por supuesto, no se puede aprobar lo que hizo, pero su talento de pretextos son admirables. Si él puso su talento al buen uso que probablemente haría una gran figura pública, vendedor, o actor.

Ejemplo 2: Hewlett-Packard En 2006 Newsweek publicó un artículo muy interesante ( www.socialengineer.org/resources/book/HP_pretext.htm ). Básicamente, presidenta de HP, Patricia Dunn, contrató a un equipo de especialistas en seguridad que contrató a un equipo de investigadores privados que utilizan pretextos para obtener registros telefónicos. Estos profesionales contratados en realidad entraron y jugaron los papeles de los miembros y las partes de la prensa de mesa HP. Todo esto se hizo para descubrir una fuga de información supuesta dentro de las filas de HP.

Dunn quería obtener los registros telefónicos de los miembros del consejo y la prensa (no los registros de las instalaciones de HP, pero la casa y celular registros personales de ellos mismos) para verificar donde se supone que la fuga era. los Newsweek dice el artículo:

El 18 de mayo, en la sede de HP en Palo Alto, California, Dunn soltado su golpe de efecto en la pizarra: Había encontrado el elemento con fuga. De acuerdo con Tom Perkins, un director de HP que estaba presente, Dunn presentó a la red de vigilancia y señaló el director infractor, quien reconoció ser el elemento con fuga CNET. Que el director, cuya identidad aún no ha sido revelado públicamente, se disculpó. Pero el director dijo entonces a colegas directores, “Me lo hubiera dicho todo acerca de esto. ¿Por qué no se lo preguntas?”

Se pidió entonces que el director abandona la sala, y también lo hizo, según Perkins. Lo que es notable acerca de esta cuenta es lo que se ha mencionado al lado sobre el tema de pretextos:

El caso concreto de HP también arroja luz sobre otra de las tácticas cuestionables utilizadas por consultores de seguridad para obtener información personal. HP reconoció en un correo electrónico interno enviado desde su abogado externo a Perkins que obtuvo el rastro de papel que necesitaba para unir el elemento con fuga Director de CNET través de una práctica controvertida llamada “pretextos”; Newsweek obtuvo una copia de ese correo electrónico. Esa práctica, de acuerdo con la Comisión Federal de Comercio, implica el uso de “falsos pretextos” para obtener información de otro individuo personal no pública: los registros telefónicos, números de cuentas bancarias y tarjetas de crédito, números de la Seguridad Social y similares.

Por lo general, dicen que en el caso de un teléfono de la empresa-pretexters llaman y falsamente representan a sí mismos como el cliente; ya que las empresas rara vez requieren contraseñas, que alguien pretendiendo puede necesitar más que un domicilio particular, número de cuenta y sentida petición para obtener los detalles de una cuenta. Según el sitio web de la Comisión Federal de Comercio, pretexters venden la información a las personas que pueden ir desde los investigadores de lo contrario legítimos privados, prestamistas financieros, los litigantes potenciales, y los cónyuges sospechosos a los que podrían intentar robar los bienes o fraudulentamente obtener crédito. Pretextos, los estados FTC sitio, “está en contra de la ley.” La FTC y varios fiscales generales estatales han iniciado acciones de ejecución contra pretexters por supuestamente violar las leyes federales y estatales sobre el fraude, la falsificación y la competencia desleal.

(Si usted está interesado en la exploración de ella, los registros telefónicos y contacto protección de la Ley de 2006 se puede encontrar en ? Http://frwebgate.access.gpo.gov/cgi- bin / getdoc.cgi dbname = 109_cong_bills y DocID = f: h4709enr.txt.pdf .) El resultado final fue que se presentaron cargos penales no sólo contra Dunn, sino contra los consultores que contrató. Usted puede preguntarse, “¿Cómo es que

posible teniendo en cuenta que fueron contratados y contratadas para realizar estas pruebas?” Echar un vistazo a lo que solían avenidas y la información que obtienen para ayudar a responder a esta pregunta. Los consultores obtuvieron los nombres, direcciones, números de la Seguridad Social, registros de llamadas de teléfono, registros de facturación telefónica, y otra información de los miembros de mesa y reporteros de HP. Ellos utilizan realmente el número de la Seguridad Social para establecer una cuenta en línea para un reportero y luego obtener los registros de sus llamadas personales.

Página 32 de un documento confidencial de Hewlett-Packard para su abogado y

interno

legal

( www.social-

personal

engineer.org/resources/book/20061004hewlett6.pdf ) Enumera una comunicación de Tom Perkins a los miembros de la junta de HP que ofrece una visión poco más acerca de lo que se utilizaron pretextos. Unos tácticas utilizadas fueron: Ellos representaban a sí mismos como la empresa de transportes para obtener los registros de llamadas de forma ilegal. Las identidades de los que están siendo investigados fueron utilizados y falsificados para obtener sus registros de llamadas personales. cuentas en línea con los transportistas se generaron utilizando nombres obtenidos ilegalmente, números de la Seguridad Social, y otra información para acceder a sus registros de llamadas.

El 11 de septiembre de 2006, la Cámara de Representantes del Comité de Energía y Comercio de los Estados Unidos envió una carta Dunn (ver una copia de esta

carta

engineer.org/resources/book/20061004hewlett6.pdf )

a www.socialsolicitando la

información que había obtenido. Se enumeran en sus peticiones de la información obtenida de la siguiente manera: Todos los números de teléfono cuentas de tarjetas de crédito publicados y no publicados nombre y dirección del cliente las facturas de servicios públicos info Números de buscapersonas números de la célula números de seguridad social

Los informes de crédito Punto de información taquilla Información de cuenta bancaria La información de propiedad Otra información del consumidor

Toda esta información se obtuvo a través de un área muy gris de la ingeniería social profesional: es lo que hicieron ético y moral, a pesar de que fueron contratados para hacerlo? Muchos ingenieros sociales profesionales no llegar a estos extremos. La lección que aprender de este importante caso es que como ingeniero social profesional es posible imitar las metodologías y el pensamiento de los ingenieros sociales maliciosos, pero nunca debe inclinarse por completo a sus niveles. El problema con estos consultores se produjo en que estaban autorizados a pretexto, ingeniero social, y la auditoría de Hewlett-Packard. Ellos no estaban autorizados a ingeniero social de AT & T, Verizon, las empresas de servicios públicos, y así sucesivamente. Cuando se emplean pretextos debe tener esbozó y planificado para que sepa qué líneas legal que podría obtener cerca y qué líneas no debe cruzar.

La historia de HP se presta a una discusión sobre la política, contratos, y que indica de qué se le ofrece, si usted es un auditor ingeniero social, pero estos temas no está dentro del contexto de este capítulo. Utilizando los principios descritos hasta ahora en este capítulo puede ayudar a tomar decisiones que le mantendrá alejado de los problemas. El peligro con pretextos malicioso es la amenaza del robo de identidad, lo que hace que sea una parte muy válida de una prueba de intrusión ingeniero social. Pruebas, control y verificación de que los empleados de su cliente no se caiga de los métodos utilizados por los ingenieros sociales maliciosos puede recorrer un largo camino en el que la salvaguarda de un pretexter éxito.

El permanecer legal

En 2005 Revista investigador privado se le concedió una entrevista con Joel Winston, Director Asociado de la Comisión Federal de Comercio (FTC), la división de las prácticas financieras. Su oficina está a cargo de la regulación y supervisión del uso de pretextos (ver una copia de este valioso artículo en

www.social-engineer.org/resources/book/ftc_article.htm ). Éstos son algunos de los puntos clave de esta entrevista:

Pretexting, según la FTC, es la obtención de cualquier información de un banco o de los consumidores, no sólo la información financiera, mediante el fraude, el engaño, o preguntas engañosas para obtener dicha información. Utilizando la información obtenida ya-para verificar que un objetivo es un objetivo, aunque esté utilizando de manera fraudulenta, es legal bajo la definición de los pretextos de la FTC, a menos que el ingeniero social está utilizando esta información para obtener información de una institución financiera. La adquisición de teléfono de pago o registros celulares a través de prácticas comerciales engañosas se considera pretextos ilegal. La página web de la FTC ofrece un poco de claridad e información adicional para esta entrevista: Es ilegal que cualquier persona utilice o documentos falsos, ficticios o fraudulentos para obtener información de los clientes de una institución financiera o directamente desde un cliente de una institución financiera. Es ilegal para cualquier persona a utilizar forjado, falsificación, pérdida o robo de documentos para obtener información de los clientes de una institución financiera o directamente desde un cliente de una institución financiera. Es ilegal para cualquier persona que pida a otra persona para obtener información de los clientes de otra persona mediante declaraciones falsas, ficticias o fraudulentas o el uso de documentos falsos, ficticios o fraudulentos, o forjado, falsificados, perdidos o robados documentos. Aunque el enfoque de la Comisión Federal de Comercio está en las instituciones financieras, las directrices que se describen son un recordatorio de lo que se considera ilegal en los Estados Unidos. Mirando en sus leyes locales y asegurarse de que no están rompiendo las leyes es una buena idea para los ingenieros sociales profesionales. En 2006, la Comisión Federal de Comercio se trasladó a ampliar la Sección 5 de la Ley de la FTC para incluir específicamente una ley que prohíbe el uso de pretextos para recuperar los registros telefónicos.

situación pretextos de HP terminó en uno de los investigadores privados acusado de conspiración y cargos de robo de identidad-muy graves federal.

Mantener pretextos legales implicará una investigación por parte del ingeniero social profesional, así como una clara y definida Firmado plan

de lo pretextos, en su caso, serán utilizados. A pesar de las cuestiones legales mencionadas anteriormente, utilizando un pretexto sólido es una de las maneras más rápidas en una empresa. Pretexting es un talento muy particular y, como se puede ver en este capítulo, no es simplemente poner una peluca o un par de gafas falsas y fingir que es alguien que no eres.

Herramientas adicionales Pretexting Existen otras herramientas que pueden mejorar un pretexto. Apoyos pueden recorrer un largo camino para convencer a un objetivo de la realidad de su pretexto; por ejemplo, señales magnéticas para su vehículo, la adecuación de los uniformes o trajes, herramientas u otros equipaje de mano, y la importancia de una tarjeta de negocios más. El poder de la tarjeta de visita me golpeó cuando estaba recientemente que vuelan a Las Vegas el negocio. Mi bolsa de ordenador portátil por lo general se deben analizar, rescanned, luego limpió el polvo de bomba o lo que sea. Soy uno de esos tipos que realmente no importa las precauciones de seguridad adicionales, ya que me mantienen de voladura en el aire, y estoy feliz con eso. Sin embargo, me di cuenta de que el 90 por ciento de las veces voy a conseguir una atención especial por la Administración de Seguridad del Transporte (TSA). En este viaje particular que había olvidado tomar mis ganzúas, escáner RFID, cuatro discos duros adicionales, choques claves (véase el capítulo 7), y la gran cantidad de equipo de piratería informática inalámbrica de mi equipaje de mano bolsa de ordenador portátil. Ya que pasa por el escáner escucho la chica que trabaja decir la radiografía, “¿Qué diablos?” Ella llama a continuación durante otros caballeros que se queda mirando a la pantalla y dice: “no tengo idea de qué diablos es eso.” A continuación, mira a su alrededor, ve mi cara sonriente, y le dice: “¿Es esto verdad?”

Me acerco a la mesa con él mientras se está vaciando mi escáner RFID y mi gran caso de ganzúas y dice, “¿Por qué tienes todos estos artículos y para qué sirven?” Yo no tenía nada planeado, pero decidí en el último segundo para tratar de este movimiento: Saqué una tarjeta de visita y dijo: “Soy profesional de la seguridad que se especializa en redes de pruebas, edificios y personas por los agujeros de seguridad. Estas son las herramientas de mi negocio.”Dije esto, ya que le entregó una tarjeta de visita y que miré durante unos cinco segundos y luego dijo:“Oh, excelente.

Gracias por la explicación." Él cobrado perfectamente todos mis artículos de nuevo, se subió la cremallera de la bolsa, y me dejó ir. Por lo general, voy a través de la proyección de bomba, la maquinita de polvo, y luego un patdown, pero esta vez todo lo que tengo un agradecimiento y una liberación rápida. Empecé a analizar lo que hice diferente a lo normal. La única diferencia era que yo le había dado una tarjeta de visita. Por supuesto, mi tarjeta de visita no es el $ 9.99 especial de una impresora de tarjetas en línea, pero me sorprendió que lo que parecía haber ocurrido era que una tarjeta de visita añade un sentido de la licencia para mis reclamos. Mis próximos cuatro vuelos deliberadamente lleno cada “piratería” dispositivo en mis maletas que pude encontrar y luego mantuvieron una tarjeta de visita en el bolsillo. Cada vez que mi bolsa fue examinado y se le preguntó sobre el contenido, aluciné la tarjeta. Cada vez que me disculpé con, había mis artículos envasados ​en ordenadamente, y dejar ir. Imagínese mi experiencia fue un pretexto. Los pequeños detalles pueden añadir mucho peso a lo que estoy diciendo que puedo aparecer como válido, confiable y sólida con nada más que una tarjeta que dice a la gente que todo lo que digo es cierto. No hay que subestimar el poder de una tarjeta de visita. Una palabra de advertencia: conseguir una tarjeta del negocio débil y de aspecto patético en realidad puede causar el efecto contrario. Una tarjeta de visita que era “libre” con un anuncio en la parte posterior no añade peso a un pretexto profesional. Sin embargo, no hay ninguna razón para gastar $ 300 en una tarjeta de visita de usar una vez. Muchas impresoras de tarjetas de negocios en línea puede imprimir una pequeña cantidad de muy buenas tarjetas por menos de $ 100. Otra razón para tomar este capítulo muy en serio es que muchas veces pretextos es el primer paso utilizado por los ladrones de identidad profesional. Debido a que el robo de identidad es tomar un asiento de primera fila en la industria de la delincuencia en los últimos tiempos, a sabiendas de lo que es y cómo identificar que es importante para los consumidores, negocios y profesionales de la seguridad. Si usted es un auditor de seguridad debe ayudar a sus clientes a ser conscientes de estas amenazas y prueba de ellos para posibles debilidades.

Resumen Además de cubrir ampliamente pretextos y proporcionando ejemplos del mundo real de pretextos en acción, este capítulo también cepillado continuamente

en contra de los principios psicológicos que afectan a diferentes aspectos de pretextos. La siguiente parada lógica en el marco cubre sólo eso, las habilidades mentales que los ingenieros utilizan social profesional que los hacen parecer como maestros de control mental y que dan a cada ingeniero social una enorme ventaja en el éxito.

Capítulo 5

Mind Tricks: Principios psicológicos utilizados en la ingeniería social

Todo depende de la forma en que vemos las cosas, y no en la forma en que son ellos mismos.

- Carl Gustav Jung En Hollywood las películas y programas de televisión estafadores y aplicación de la ley son retratados con talentos casi mística. Ellos tienen la capacidad de hacer cualquier cosa; que parecen ser capaces de simplemente mirar a los ojos de una persona y saber si están mintiendo o diciendo la verdad. No es raro ver a este tipo de situaciones: el policía se ve en los ojos de su sospechoso y puede indicar automáticamente si está mintiendo o diciendo la verdad, o sólo con el poder de la sugestión objetivos del estafador están entregando ahorros de su vida. Películas podrían tener que creer que las tácticas de manipulación y hacer que la gente a hacer lo que quiere es plausible o incluso fácil. Son estos escenarios realmente ficción? ¿Es posible obtener este tipo de habilidades que se guardan para la fantasía en el cine?

En este capítulo podría ser un libro en sí mismo, pero se condensará esta información a los principios que realmente va a cambiar la forma de interactuar con la gente. Algunos de los temas de este capítulo se basan en investigaciones realizadas por las mentes más brillantes en sus respectivos campos. Las técnicas discutidas en estos temas fueron probados y ponen a través de los pasos en entornos de ingeniería social. Por ejemplo, el tema de microexpresiones se basa en la investigación del psicólogo de renombre mundial e investigador, el Dr. Paul Ekman, quien utilizó su genio para desarrollar técnicas en la lectura de las expresiones faciales que literalmente puede cambiar las fuerzas del orden manera, los gobiernos, los médicos, y la gente común interactuar con los demás.

Algunos de los principios de Richard Brandler y John Grinder, el

creadores de

Programación neurolingüistica,

ha cambiado la gente

la comprensión acerca de los patrones de pensamiento y el poder de las palabras. Estos temas son temas de mucho debate, y este capítulo intenta desmitificar el tema y explicar cómo se puede utilizar en la ingeniería social. Algunos de los mejores interrogadores en el planeta desarrollaron formación y marcos para ayudar a la policía a aprender a interrogar a los sospechosos de manera efectiva. Estos principios tienen raíces tan profundas psicológicas que el aprendizaje de los métodos utilizados, literalmente, puede abrir las puertas a la mente de sus objetivos. El uso de señales que da la gente en su forma de hablar, los gestos, los ojos y la cara puede hacer que usted parece ser un lector de la mente. En este capítulo se examina estas habilidades y los explica en detalle para que puedan ser utilizados por un ingeniero social profesional.

Compenetración es a menudo una palabra usada por los formadores de ventas y vendedores, pero es un aspecto muy importante de ganarse la confianza y mostrar confianza. Sabiendo cómo desarrollar al instante relación con la gente es una habilidad que realmente mejora el conjunto de habilidades de un ingeniero social, y este capítulo le muestra cómo. Este capítulo termina con mi propia investigación personal sobre cómo se pueden utilizar estas habilidades para hackear la mente humana. UNA desbordamiento de búfer es un programa escrito por lo general por un pirata informático para ejecutar código, de malas intenciones, normalmente, a través del uso normal de un programa de acogida. Cuando se ejecuta el programa hace lo que quiere el usuario remoto. ¿Y si fuera posible ejecutar “comandos” en la mente humana que haría que el objetivo de hacer lo que pide, da más información que busca, y, en esencia, probar que la mente humana es capaz de ser manipulado? Esta información de gran alcance, por supuesto, se puede utilizar para propósitos muy maliciosos. Mi objetivo en la liberación de esta información al público de esta manera es tirar de la cortina de lo que los “malos” están haciendo mediante la exposición de sus métodos, el pensamiento y principios, a continuación, el análisis de cada uno y mostrar lo que se puede aprender de ella. La exposición de estas técnicas hace que la identificación, la defensa, y la mitigación de estos ataques más fácil para todos. Este capítulo es realmente una colección que alteran la mente de los datos y principios. Siguiendo, el estudio y la investigación de los métodos no sólo va a mejorar los esfuerzos de seguridad, pero estos principios también puede alterar la forma en que

comunicarse e interactuar con otros. De ninguna manera, sin embargo, es este capítulo una colección completa que cubre todos los aspectos de cada una de estas habilidades. Proporciono enlaces y de todo en donde se puede encontrar más información y programas para ayudarle a mejorar estas habilidades. En este capítulo se establece una fundación, así como actúa como una guía, que apunta en una dirección para que pueda aprender a mejorar cada habilidad con el tiempo. El aprendizaje de habilidades de ingeniería social no es un proceso rápido, por lo que no se impaciente. Los métodos de aprendizaje de algunas de estas habilidades puede tomar años para perfeccionar y mucha práctica para siquiera ser competentes. Por supuesto, es posible que poseen una habilidad para un cierto aspecto, pero si no lo hace, no impacientarse con tratar de aprenderlo. Sigue dando duro y más difícil de practicar y que lo conseguirá.

Antes de entrar en la carne de este capítulo, la siguiente sección establece el escenario para qué y cómo estos principios funcionarán. Debe comprender los modos de pensar que existen. Después de comprender más claramente cómo las personas toman y procesan la información que puedan comenzar a comprender las representaciones emocionales, psicológicas y físicas de ese proceso.

Modos de Pensamiento

Para alterar el camino de alguien de pensar que debe entender el camino la gente piensa y en lo modos ellos piensan. Esto parece un primer paso lógico para intentar siquiera este aspecto de la ingeniería social. Se podría pensar que necesita para ser un psicólogo o un neurólogo para entender los muchos aspectos de cómo una persona puede pensar. A pesar de que puede ayudar, no es necesario. Con un poco de investigación y alguna aplicación práctica se puede profundizar en el funcionamiento interno de la mente humana.

En agosto de 2001, el FBI emitió un boletín de aplicación de la ley ( www.socialengineer.org/wiki/archives/ModesOfThinking/MOT_FBI_3of5.htm ) Que hizo algunas declaraciones muy profundos en los modos en que las personas piensan:

Simplemente confirmar su comportamiento no verbal para el cliente, utilizando un lenguaje de sistema de representación preferido del cliente y combinando volumen de la voz, el tono y el área del habla a menudo supera la renuencia cliente para comunicarse.

Esta simple declaración tiene mucha profundidad en ella. Básicamente se está diciendo que si se puede saber primero el modo dominante de la meta del pensamiento y luego confirmarlo de manera sutil, puede desbloquear las puertas de la mente del objetivo y ayudar a él en realidad se siente a gusto cuando le dice los detalles, incluso íntimas. Lógicamente puede pedir entonces, “¿Cómo puedo averiguar el modo dominante de un objetivo de pensar?” Incluso pidiendo a la gente cuál es su modo de pensar es no ofrecen una respuesta clara, debido a que muchas personas no saben lo que el modo de pensar que a menudo residen en. Debido a que, como un ingeniero social debe tener algunas herramientas para ayudar a determinar este modo y luego cambiar rápidamente los engranajes para que coincida con el modo. Un camino claro y sencillo existe para esta respuesta, pero lo que necesita saber los fundamentos primero.

Los sentidos Durante siglos los filósofos han discutido el valor de la percepción. Algunos van tan lejos como para decir que la realidad no es “real”, sino simplemente lo que nuestros sentidos se acumulan en nuestras percepciones. En lo personal, no estoy suscrito a esa idea, pero creo que el mundo se pone a nuestro cerebro por nuestros sentidos. La gente interpreta los sentidos por su percepción de la realidad. En la clasificación tradicional que tenemos cinco sentidos: vista, oído, tacto, olfato y gusto.

La gente tiende a favorecer a uno de estos sentidos y que es el que es dominante. También es la manera como la gente tiende a recordar cosas. Como un ejercicio para determinar su sentido dominante, cierra los ojos e imagínese despertar esta mañana, lo que es lo primero que recuerda?

Fue el sensación del calor del sol en su cara? O tal vez usted recuerda el sonar de la voz de su cónyuge o hijos que te llama? ¿Usted recuerda claramente la oler de café abajo? O, posiblemente, el mal gusto en la boca, que le recuerda que es necesario cepillarse los dientes? Por supuesto, esta ciencia no es exacta y darse cuenta de lo que su sentido dominante es puede tomar varios intentos de averiguar. Una vez hablé con un par sobre este concepto y que era interesante para ver sus expresiones. La mujer se acordó primer despertar y ver el reloj y luego tener que preocuparse de que ella estaba haciendo tarde, mientras que el marido recordado primero dando vueltas y

no sentir su esposa a su lado. Después de algunas preguntas más se hizo evidente que el marido era una cinestésica, o su sentido dominante era su sentimiento, mientras que su esposa era muy visual.

Por supuesto, acercándose a su objetivo y diciendo: “Cierra los ojos y dime lo primero que recuerda esta mañana,” no parece razonable. A menos que, por supuesto, su pretexto es la contracción de la familia, se va a encontrar con un poco de oposición en esta ruta.

¿Cómo se puede determinar sin pasar por un interrogatorio embarazosa sobre sus rituales de la mañana lo que es el sentido dominante de un objetivo?

La modos principales Tres de Pensamiento

A pesar de que tenemos cinco sentidos, los modos de pensar están asociados con sólo tres de ellos: La vista, o una audiencia visual pensador, o una sensación auditiva pensador o un pensador cinestésica Cada sentido tiene un rango dentro del cual funciona, o una sub-modalidad. Es algo demasiado alto o demasiado bajo? Demasiado brillante o demasiado oscura? Demasiado caliente o demasiado frío? Ejemplos de estos son los siguientes: mirando al sol es demasiado brillante, motores a reacción son demasiado fuertes, y -30 grados Fahrenheit es demasiado frío. Ivan Pavlov corrió un experimento en el que sonó una campana cada vez que alimenta un perro. Al final, el perro se oye el sonido de la campana, a continuación, la boca agua. Lo que mucha gente no sabe es que él estaba más interesado en los aspectos físicos y emocionales de las modalidades sub-. El punto interesante es que el más fuerte que sonó la campana más el perro salivated. El cambio de gama de la sub-modalidad produce un cambio

físico directo. La investigación de Pavlov y todas sus conferencias se discuten en mayor detalle en el www. .

A pesar de que las personas son muy diferentes de los perros, la investigación de Pavlov es muy importante para comprender cómo una persona piensa. Muchos de nosotros podemos pensar en los tres modos, pero dominar en el uno contra uno “anillos” el más ruidoso. Incluso dentro de nuestro modo dominante, podríamos tener diversos grados de profundidad para que el sentido dominante. A continuación voy a discutir algunos de los detalles de cada uno de estos modos de

profundidad.

Visual La mayoría de las personas son por lo general visual pensadores, en la que por lo general recuerdan lo que algo parecía. Recuerdan la escena claridad- los colores, las texturas, la luminosidad u oscuridad. Pueden imaginarse claramente un evento pasado e incluso construir una imagen para un evento futuro. Cuando se presentan con el material para decidir que a menudo necesitan algo que ver, porque la información visual está directamente relacionada con la toma de decisiones. Muchas veces un pensador visual tomará una decisión basada en lo que es visualmente atractivo para él, independientemente de lo que realmente es “mejor” para él. Aunque los hombres tienden a ser visual, esto no quiere decir que todos los hombres son siempre visual. Que el marketing o visuales aspectos visuales normalmente atraen a los hombres es cierto, pero no asumen que todos los hombres son visuales. Una persona visual a menudo utiliza ciertas palabras en su discurso, tales como: “Veo lo que quiere decir.” “Esto se ve muy bien para mí.” “Me hago una idea ahora.”

Y el rango que funciona en el sentido dominante de un pensador visual puede tener ciertas características, o sub-modalidades, tales como: Tamaño de luz (brillante u opaca) (grande o pequeño) El color (blanco y negro o color) Movimiento (rápida o lenta) Enfoque (clara o turbia) Tratando de debatir, vender, negociar, manipular o influir en un pensador visual sin entrada visual es muy difícil, si no imposible. pensadores visuales necesitan la información visual para tomar decisiones.

Auditivo pensadores auditivas recordar los sonidos de un evento. Ellos recuerdan que la

alarma fue demasiado alto o la mujer susurró demasiado baja. Ellos recuerdan la dulzura de la voz del niño o de la corteza miedo del perro. La gente auditiva aprenden mejor de lo que escuchan y pueden retener mucho más cosas de ser contadas de ser cosas que se muestran.

Debido a que un pensador auditiva recuerda la forma en que algo sonaba, o porque los sonidos que ellos mismos ayudan a recordar recuerdos, puede usar frases tales como:

“Alto y claro ...” “Algo me dice ...” “Eso suena bien para mí.” Y la gama de este sentido dominante puede estar dentro de estos sub-modalidades: Volumen de tono (alto o bajo) (base o agudos) Pitch (alta o baja) Tempo (rápida o lenta) Distancia (de cerca o de lejos)

Es imprescindible elegir cuidadosamente sus palabras con pensadores auditivas. Las palabras que escuchan de hacer o deshacer el trato. He visto encuentros enteros van desde grandes a un desastre con una palabra mal hablada a un pensador auditiva.

cinestésica pensadores cinestésicas tienen que ver con los sentimientos. Recuerdan cómo un evento les hizo sentir el calor de la habitación, la hermosa brisa en su piel, la forma en la película hizo saltar de su asiento con el miedo. A menudo se sienten pensadores cinestésicas cosas con sus manos para conseguir el sentido de los objetos. Sólo decirles algo es suave, no es tan real como dejar que lo toque. Pero ayudar a recuperar un objeto suave que tocaban antes puede recordar las emociones y sentimientos que son muy reales para un pensador cinestésica.

El término “cinestésica” se refiere al táctiles, viscerales y sentido de auto-sensaciones del cuerpo, básicamente, donde el cuerpo de una persona está en el espacio y el auto-conocimiento de cómo algo le hizo sentir. Un pensador cinestésica

utiliza frases como: “Puedo entender la idea.” “¿Cómo hace eso agarre usted?” “Me pondré en contacto con usted.” “Sólo quería tocar la base.” “¿Cómo esto se siente?”

Y la gama de este tipo puede tener las siguientes sub-modalidades: Intensidad (fuerte o débil) Área de la textura (grande o pequeña) Temperatura (lisa o rugosa) Peso (caliente o fría) (ligera o pesada) Ayudar a un pensador cinestésica recordar un sentimiento o emoción atada a algo puede hacer que esas emociones vuelven a aparecer tan real como la primera vez que se produjeron. pensadores cinestésicas son probablemente los más difíciles para pensadores no cinestésicas de tratar, ya que no reaccionan a imágenes y sonidos e ingenieros sociales tienen que ponerse en contacto con sus sentimientos para comunicarse con este tipo de pensador. La comprensión de estos principios básicos puede recorrer un largo camino hacia el ser capaz de discernir rápidamente el tipo de persona que está hablando. Una vez más, sin pedir el objetivo de imaginar sus rituales de la mañana ¿cómo se puede discernir el sentido dominante? Más aún, ¿por qué es esto tan importante?

Discernir el sentido dominante La clave para determinar sentido dominante de alguien es tratar de presentarse, iniciar una pequeña conversación, y prestar mucha atención a lo que se dice. Como se puede caminar hasta el objetivo y se inclina a decir buenos días, tal vez ella apenas mira. Ella podría ser grosero, o ella simplemente puede no ser una representación visual. Visuales tienen que mirar a la persona que habla para comunicarse adecuadamente, por lo que este comportamiento parece prestar al hecho de que no es visual. Ahora hacer una simple pregunta como: “¿No te gusta la sensación de un hermoso día como hoy?” Y observe su respuesta, sobre todo si se parece a la luz hasta

o no. Tal vez usted usa un anillo de plata grande, brillante. A medida que se habla gesto; tal vez usted ve que el anillo le llama la atención. Hace que extender la mano, interesado, y la necesidad de mantener el anillo o acercarse a observarlo? Kinesthetics son muy touchy- Feely cuando se trata de estas cosas. Conozco a una mujer que es un fuerte cinestésica y cuando ve algo que cree que es blando o de alta calidad se debe tócalo. Ella va a decir: “Wow, ese suéter se ve tan suave!” A partir de esta afirmación se podría suponer que es una representación visual, pero lo que sucede a continuación es lo que se solidifica. A continuación, se acerca a la persona y toca el suéter y lo siente. Esto demuestra su sentido dominante es cinestésica. La misma mujer debe tocar todo en el supermercado cuando va de compras, si lo necesita o no. Al tocar los objetos, se hace una conexión y que la conexión hace que sea real para ella. A menudo, ella no puede recordar las cosas muy bien que ella no entró en contacto físico con.

Hacer preguntas que contienen algunas de las palabras clave dominantes, observando las reacciones de un objetivo, y escuchando esto puede revelar el sentido dominante que él o ella utiliza. La escucha de palabras clave como vea, mire, brillante, oscuro que puede conducir a un objetivo tratar como un visual. Como se mencionó anteriormente esto no es una ciencia exacta. No hay una regla general que establece que si una persona dice, “Puedo ver lo que está diciendo ...” entonces siempre es una representación visual. Cada pista se debe conducir por el camino hacia la verificación de su presentimiento con más preguntas o declaraciones. Una palabra de precaución: hablar con alguien en un modo diferente de lo que piensan en puede ser irritante para algunos. El uso de preguntas para determinar el modo de pensar de una persona puede ser una experiencia desagradable. Use preguntas con moderación y se basan más en la observación.

¿Por Comprender el modo es importante Una vez trabajé con un chico, Tony, que podría vender un vaso de agua a un hombre que se ahoga. Tony era un gran creyente en la búsqueda y luego usar el sentido dominante de una persona en las ventas. Tenía algunos métodos que usaba que puede aprender. La primera vez que participa el objetivo que tenía una pluma de oro y plata y- muy brillante que sostendría en su mano. Gesto que lo haría mucho y darse cuenta si la persona que siguió a la pluma con sus ojos; si lo hacía poco que Tony continuamente hacer los gestos más grande para ver si sus ojos

seguido. Si eso no se parecía a trabajar en los primeros segundos que iba a hacer clic en el lápiz abierto y cerrado. No era un ruido fuerte, pero lo suficientemente alto como para interrumpir un pensamiento y llamar la atención de alguien si fuera un auditorio. Si pensaba que estaba trabajando él haga clic en él con cada pensamiento importante, haciendo que el objetivo de tener una reacción psicológica al sonido y lo que se decía. Si eso no se parecía a trabajar que alcanzaría a lo largo de la mesa y toque la muñeca o el antebrazo, o si era lo suficientemente cerca de tocar su hombro. No tocó en exceso, pero lo suficiente como para ver si iba a rehuir o parecía excesivamente feliz o perturbado por el tacto. Con estos métodos sutiles que podía discernir rápidamente lo más probable era sentido dominante de la persona. Todo este acto tomaría menos de 60 segundos. Después de que él ha encontrado la información que buscaba, él comenzaría entonces a mover su conversación a ese sentido dominante, incluso teniendo en los rasgos de ese sentido en las palabras que pronunció y forma en que actuó y reaccionó a la conversación. Una cosa acerca de Tony es que él vendió más que cualquier persona que he conocido. La gente a menudo dicen de él: “Es como si supiera exactamente lo que necesitaba.”

Tony hablaría con la persona y tratar a la persona como querían que se les hable. Si la persona era un pensador visual, Tony se usaría frases como “¿Puede usted ver lo que estoy diciendo?” O “¿cómo es esta para usted?” Él usaría ilustraciones que participan “ver” cosas o visualizar escenarios. Él sería poner a la gente en su zona de confort. Las personas se sienten a gusto cuando están en su zona de confort. Cuanto más se puede hacer como un ingeniero social para poner a la gente en su zona de confort, la mejor oportunidad que tiene de éxito. Las personas gravitan hacia aquellos con los que se sientan cómodos; es la naturaleza humana. Por ejemplo, si alguien te hace sentir “cálida y difusa”, o parece entender lo que está diciendo, o parece ver a qué atenerse a partir, se abre fácilmente hasta, la confianza, y dejar que esa persona en su círculo.

Quiero reiterar este punto: encontrar y usar el sentido dominante de alguien no es una ciencia exacta. Un ingeniero social debería utilizarlo como una herramienta en el arsenal y no confiar en él como algo mágico o científica. Ciertos aspectos psicológicos de la naturaleza humana se basan en la ciencia probada y se puede confiar. Como cuestión de hecho, algunos de estos aspectos son tan

impresionante que pueden hacer que parezca como un lector de la mente. Algunos de ellos han sido un tema de debate serio y algo aceptado por los psicólogos, policías, ingenieros y sociales desde hace años. La siguiente sección de este capítulo se analizan estos, empezando por microexpresiones.

microexpresiones Usted probablemente está familiarizado con la idea de leer las expresiones faciales. Cuando alguien está feliz, triste, enojado, o lo que sea, cuando alguien siente que se puede ver en su cara y ver que la emoción. ¿Qué pasa si alguien trata de fingir esa expresión, como una sonrisa falsa? Todos hemos hecho, caminando por el mercado y toparse con alguien que simplemente no les gusta mucho-que ponemos en un “sonrisa” y decir, “Hey John, gusto en verte. Hola a Sally “. Podemos actuar muy agradable y cordial, pero por dentro estamos sintiendo nada más que irritación.

Las expresiones que mostramos durante períodos más largos de tiempo en nuestra cara se llaman macroe y son generalmente más fácil para las personas a ver la emoción que que se está comunicando. Al igual que en microexpresiones, macroexpressions son controlados por nuestras emociones, pero no son involuntarios ya menudo se pueden falsificar.

A algunos pocos pioneros en el estudio del comportamiento humano han pasado décadas investigando algo, acuñado microexpresiones, para entender cómo los humanos transmiten emociones. Microexpresiones son expresiones que no son fácilmente controlables y se producen como reacción a las emociones. Una emoción provoca ciertas reacciones musculares en una cara y esas reacciones provocar la aparición de ciertas expresiones. Muchas veces estas expresiones tienen una duración de tan corta como la una y veinte quinta parte de un segundo. Debido a que son movimientos musculares involuntarias debido a una respuesta emocional, que son casi imposibles de controlar. Esta definición no es una nueva forma de entender bien; Charles Darwin escribió un libro en 1872 llamado, La expresión de las emociones en el hombre y los animales. En este libro Darwin señaló el carácter universal de las expresiones faciales y cómo se utilizaron los músculos de las expresiones faciales. A principios de 1960, dos investigadores Haggard e Isaacs, descubrió por primera vez

lo que hoy se llama microexpresiones. En 1966, Haggard e Isaacs describen cómo descubrieron estas expresiones “micromomentáneos” en su publicación titulada, Micromomentáneos expresiones

faciales como indicadores de los mecanismos del ego en la psicoterapia. También en la década de 1960, William Condon, un pionero que estudió horas de cintas de trama por trama, descubrió que los humanos tenían “micro-movimientos”. También investigó en gran medida la programación neurolingüística (más sobre esto más adelante) y el lenguaje corporal.

Probablemente uno de los investigadores más influyentes en el campo de la microexpresiones

es el Dr. Paul Ekman. Ekman fue pionera

microexpresiones en la ciencia que es hoy. Ekman ha estado estudiando microexpresiones durante más de 40 años, recibiendo el Premio de Investigación Científico, además de ser uno de etiquetado La revista

Time de la mayoría de las personas influyentes en la Tierra en 2009. Ekman investigado expresiones faciales con el psicólogo Silvan Tomkins. Su investigación reveló que, contrariamente a la creencia popular, las emociones no son determinadas culturalmente, pero son universales en todas las culturas y biológica. Trabajando con el Dr. Maureen O'Sullivan desarrolló un proyecto llamado Proyecto Wizards. Comenzó pionero en el uso de microexpresiones en la detección de mentiras. Se utiliza una base de 15.000 personas de todos los ámbitos de la vida y todas las culturas y se enteró de que el gran número que sólo el 50 tenía la capacidad de detectar un engaño sin entrenamiento. En la década de 1970 Dr. Ekman desarrolló FACS (sistema de codificación facial) para etiquetar y el número de cada expresión humana concebible. Su trabajo se diversificó para incluir no sólo las expresiones faciales, sino también la forma en todo el cuerpo estaba involucrado en el engaño. En 1972, el Dr. Ekman ha identificado una lista de expresiones que estaban vinculados con las emociones básicas universales o biológicamente: La ira La repugnancia Miedo Alegría

Tristeza

Sorpresa

El trabajo del Dr. Ekman comenzó a tomar un siguiente, y muchos aplicación de la ley y los entornos corporativos comenzó a utilizar esta investigación para detectar el engaño. En 1990, en un artículo titulado “Las emociones básicas,” el Dr. Ekman revisó su lista original para incluir una gama de emociones positivas y negativas ( www.paulekman.com/wp-content/uploads/2009/02/Basic-

Emotions.pdf ). Ekman ha publicado muchos libros sobre las emociones, expresiones faciales, y la detección de mentiras que pueden ayudar a cada persona a entender el valor de ser capaz de descifrar las expresiones faciales.

Esta breve historia indica que el tema de microexpresiones no es una fantasía; por el contrario, verdaderos doctores, investigadores y profesionales en el campo de la conducta humana han puesto incontables horas en la comprensión de microexpresiones. Como un ingeniero social, microexpresiones comprensión puede recorrer un largo camino hacia la protección de sus clientes y les enseña a notar sutiles toques de engaño. Si usted es un ingeniero social, o simplemente una persona interesada en aprender sobre microexpresiones, recomiendo la lectura de los libros del Dr. Ekman, especialmente

emociones Revealed y Desenmascarando la cara. Él es verdaderamente la autoridad sobre este tema. Las siguientes secciones describen las microexpresiones en un formato simple para que pueda ver cómo se puede utilizar esto más adelante como un ingeniero social. Como se mencionó anteriormente, el Dr. Ekman etiquetado seis microexpresiones principales y más tarde añadió menosprecio a la lista, haciendo siete. Las siguientes secciones cubren estos uno por uno.

Enfado La ira es generalmente más fácil de detectar que algunas otras expresiones. En la ira de los labios se vuelven estrechas y tenso. Las cejas se inclinan hacia abajo y son empujados juntos para que llegue la característica más notable de la ira, el deslumbramiento. La ira es una emoción fuerte y puede desencadenar muchas otras emociones junto con él. A veces, cuando una persona se siente la ira en algo, lo que ves es un microexpression como la que se muestra en la Figura 5-1 . Lo que hace que sea difícil de ver es que los movimientos faciales pueden durar sólo un vigésimo quinto de segundo.

El Dr. Paul Ekman Figura 5-1: Note la mirada, los labios tensos y las cejas apretadas.

Aprender a ver un microexpression específica puede mejorar enormemente su comprensión de la gente. Para aprender a hacerlo, el Dr. Ekman recomienda la práctica de esa expresión en sí mismo. Dice siga estos pasos:

1. Tire de sus cejas hacia abajo y juntas; imagine que está intentando tocar la nariz con las partes interiores de las cejas.

2. Mientras que sus cejas están abajo, tratar de abrir bien los ojos, sin ajustar su posición frente.

3. Presione sus labios apretados. No frunza los labios, simplemente tensa juntos. 4. Deslumbramiento.

¿Qué emoción se siente? La primera vez que hice esto, yo estaba abrumado por la ira. El siguiente es un punto vital para este capítulo:

Si la producción de la expresión facial puede causar la emoción, eso quiere decir que nuestros movimientos faciales pueden afectar a las emociones que sentimos, y tal vez incluso las emociones de los que nos rodean. Practicar esta emoción en un espejo hasta que lo haga bien. Figura 5-2 muestra una imagen de Simon Cowell que llevaba una expresión de enojo muy definida.

Figura 5-2: Nótese la expresión definitiva de la ira en el rostro de Simón.

Puede que no sea tan pronunciada como Figura 5-1 , Pero se puede ver todos los signos

en su cara de estar enojado. El dominio de la capacidad de reproducirse microexpresiones que recorrer un largo camino hacia la comprensión de la emoción detrás de ellos. Cuando se puede con éxito

reproducir y decodificar un microexpression, se puede entender la emoción que está causando. En ese punto se puede entender el estado mental de la persona que está tratando. No sólo reproducirlos en sí mismo, sino también ser capaz de ver y leer en otros puede ser útil para controlar el resultado de sus compromisos de ingeniería social.

Asco El asco es una emoción fuerte generalmente como reacción a algo que realmente no le gusta. Este “algo” no siempre tiene que ser un objeto físico; también puede ser algo que se basa en una creencia o sentimiento. Un alimento que realmente odias puede causar la sensación de asco, lo que dará lugar a esta expresión. Lo que es sorprendente es, incluso en ausencia del olor real o la vista de la comida, la idea de que puede causar la misma emoción. Cuando era un adolescente, fui a Disney World con algunos amigos. No soy, y me refiero no, un ventilador de las montañas rusas. Después de mucha insistencia fui en Space Mountain, una montaña rusa bajo techo. Hacia la mitad de que había determinado que realmente no importa montañas rusas cuando de repente me estaba manchado con algo muy húmedo y algo pesada. entonces fui golpeado con un olor que sólo puedo describir como el contenido del estómago. No sólo yo, sino muchos detrás de mí tenían la misma reacción y ninguno de nosotros pudo contener nuestro almuerzo, por así decirlo. Antes de que lo sabía, una vomitar simultánea salpicó el cristal de la autoridad del tránsito de Tomorrowland, un paseo en la observación de movimientos lentos que ofrece una ojeada en el paseo real de la montaña del espacio en una parte de su recorrido. Lo que es sorprendente es que la gente en el paseo Tomorrowland que estaba sentado van lentamente alrededor del parque vieron a los efectos posteriores golpeó el cristal mientras atravesaban, y vieron todos los otros corredores conseguir físicamente enfermo, que les hizo también vómitos sin embargo, no percibir el olor o que tienen contacto físico con el vómito de los pilotos de la montaña rusa. ¿Por qué?

Asco. Los fluidos corporales en general, provocar sentimientos de disgusto y esta es una razón por la que al leer este párrafo que probable que comenzó a exhibir las expresiones de disgusto. Disgust se caracteriza a menudo por el labio superior se eleva para dejar al descubierto los dientes, y un arrugamiento de la nariz. También puede resultar en ser ambas mejillas

levantada cuando la nariz se arrugó, como para tratar de bloquear el paso del mal olor o pensó en uno de espacio personal. Estaba leyendo un artículo sobre los Juegos Olímpicos de invierno, cuando vi esta imagen de Ekaterina Ilyukhina (ver Figura 5-3 ) Que muestra rasgos muy claros de disgusto. Note el labio superior y la nariz levantada arrugada. Ella está mirando su puntuación? Es un competidor de su latiendo? No estoy seguro, pero lo que ella está mirando, no está sentado bien con ella.

Figura 5-3: claros signos de disgusto con una nariz arrugada y labio levantado.

El asco es una de esas emociones, según la investigación del Dr. Ekman, que se encuentra en reacción a la vista, el olfato, o incluso pensó en algo desagradable. Desde el punto de vista de ingeniería social esta emoción no se puede llevar por caminos de éxito, pero sin duda puede ayudar a ver si se está llegando a la marca con su objetivo o haciendo que él o ella para cerrar mentalmente a sus ideas. Las probabilidades son que si usted causa disgusto por cualquier motivo en su objetivo, que ha perdido. Si su aspecto, el olor, el estilo, la respiración, u otro aspecto de su persona puede hacer que una persona se sienta asco, entonces lo más probable es cerrar la puerta al éxito. Usted debe ser consciente de lo que es aceptable e inaceptable para sus objetivos. Por ejemplo, si la auditoría es un prestigioso bufete de abogados y tiene muchas perforaciones o tatuajes, una fuerte emoción negativa puede ascender en su objetivo, que puede cerrar la puerta a su intento de ingeniería social. Si ve una expresión facial similar en todos Figura 5-4 entonces usted sabe que es hora de salir de la escena.

Figura 5-4: Si usted ve esta expresión, algo está mal.

Usted debe considerar seriamente su apariencia cuando se trabaja en su pretexto. Si le sucede a notar la fuerte emoción negativa de disgusto en su objetivo, a continuación, dar marcha atrás y cortésmente excusándose de reelaborar el pretexto o encontrar un camino diferente en la puede ser una buena idea.

Desprecio El desprecio es una emoción muy fuerte que a menudo se confunde con disgusto porque está tan estrechamente vinculada. Ekman ni siquiera incluía el desprecio en su primera lista de las emociones básicas. En el libro del Dr. Ekman emociones Revealed él dice: “El desprecio es única con experiencia acerca de las personas o las acciones de las personas, pero no se trata de gustos, olores, o toques.” A continuación, dio un ejemplo de comer cerebros de la pantorrilla, que podrían ser desagradable para usted como un pensamiento, y se disparará asco. Sin embargo, ver a alguien comerlos puede desencadenar desprecio por la persona que comete el acto, no el acto en sí.

En mi opinión este es un punto muy importante y hace que la comprensión de este microexpression crucial. Ese desprecio se dirige a una persona en lugar de un objeto es crucial para entender las microexpresiones que van junto con ella. Ser capaz de ver si la persona que está tratando con desprecio se siente puede ayudarle a identificar más de cerca el motivo de su emoción. Contempt se distingue por arrugando la nariz y elevar el labio, pero sólo en un lado de la cara, mientras que la repugnancia es la elevación de todo el labio y la formación de arrugas de toda la nariz. Una expresión muy sutil menosprecio se puede ver en Figura 5-5 .

El Dr. Paul Ekman

Figura 5-5: Nótese la ligera arruga la nariz y la elevación de sólo el lado derecho de la cara del Dr. Ekman. Intenta imitar el desprecio, y si usted es como yo, que rápidamente se sentirá la ira y el desprecio en su corazón. La realización de este ejercicio y ver cómo estas reacciones le afectan emocionalmente es interesante. En Figura 5-6 se puede ver Serena Williams mostrando signos claros de desprecio. He encontrado esta imagen en línea y no guardó el reportaje así que no estoy seguro de lo que era el desprecio hacia, pero fuera lo que fuera, ella es, obviamente, sintiendo mal por ello.

Figura 5-6: Serena Williams despreciando en el lado izquierdo de su cara.

El desprecio es acompañado a menudo por la ira, porque las cosas que pueden causar menosprecio de una persona también pueden desencadenar emociones negativas fuertes. El desprecio es una emoción que desea evitar el desencadenamiento de cualquier persona con quién está tratando, especialmente si usted está en un trabajo de ingeniería social.

Temor El miedo se confunde a menudo con sorpresa porque las dos emociones causan reacciones musculares similares en la cara. Recientemente, mientras que en un avión, que estaba

punto de escribir la sección sobre la felicidad, pero algo sorprendente ocurrió en ese momento que sirvió de impulso para escribir esta sección en el miedo en su lugar. No soy un hombre de baja estatura, siendo 6'3” , y no una estructura pequeña, tampoco. Mientras estaba sentado en el avión con un par de horas para matar pensé que iba a aprovechar el tiempo para trabajar. Permítanme añadir que asientos de clase no son lo que solían ser. Mientras estaba sentado con mi portátil abierto mirando hacia el espacio meditaba cómo iniciar la sección Tenía la intención de escribir. Pronto me di cuenta que estaba destinado para empezar a escribir sobre el miedo, porque los señores a mi lado sacó una botella de agua y tomó un trago, pero yo no lo vi vuelva a tapar la botella. Por el rabillo del ojo vi la botella que cae de las manos y hacia mi teclado. Mi reacción inmediata fue fácilmente identificado como el miedo.

Mis ojos se abrieron como platos, mientras que las cejas crujir juntos hacia el interior. Mis labios se juntaron y hacia mis oídos. Por supuesto, no me daba cuenta de todo esto, ya que estaba sucediendo pero después tuve la oportunidad de analizar lo que había sucedido y sabía que había sentido miedo. luego analicé lo que sentía mi cara movimiento y determinó que si repetía la expresión

sentí esa misma emoción de nuevo. Estoy seguro de que parecía similar a lo que se ve es Figura 5- 7 . Trate de ver si se puede generar esta emoción en ti mismo siguiendo estos pasos:

1. Elevar sus cejas tan alto como el tope. 2. Deja tu boca ligeramente abierta y tire de las esquinas de sus labios hacia atrás.

3. Si puede, tire de sus cejas juntas mientras criarlos tan alto como sea posible. ¿Cómo te sentiste? ¿Y en las manos y los brazos y el estómago? ¿Se dio cuenta cualquier apariencia de miedo? Si no, intente de nuevo el ejercicio de pensar de nuevo a un tiempo cuando estaba en una situación (algo similar a mi experiencia en el plano, o un coche delante de usted se interrumpiera) fuera de su control. Vea cómo se siente entonces.

El Dr. Paul Ekman Figura 5-7: claros signos de miedo.

Lo más probable es que se sentirá la emoción. Navegar por la web me encontré con esta imagen del senador estadounidense Olympia Snowe, que está mostrando señales muy claras de miedo (véase

Figura 5-8 ). Lo que planteó la pregunta de ella antes de que la imagen fue fotografiada causó una sensación muy distinta del miedo. Sus cejas se levantan alta con sus labios ligeramente abiertos y se retiraron, y las cejas están casi obligados juntos cuando se levantado tan alto como se pueda. Desde el punto de vista de ingeniería social, el miedo se utiliza a menudo para hacer que las personas reaccionan de una manera determinada. ingenieros sociales maliciosos utilizan tácticas de miedo para conseguir que un usuario pueda hacer clic en un banner o renunciar a una pieza valiosa de información. Por ejemplo, banners maliciosos podrían reclamar “El equipo está infectado con un virus. Haga clic aquí para obtener fijar ahora !!”Estas banderas trabajan en contra de los usuarios no técnicos que temen el virus y hacen clic, sólo para ser infectados en ese punto.

Figura 5-8: El senador Snowe mostrando claros signos de miedo.

Una empresa que trabajé con fue golpeado por un ingeniero social malintencionado que utiliza el miedo para ganar acceso al edificio. Sabiendo que el CFO era fuera de la ciudad en una reunión de negocios importante y no podía ser perturbado, el ingeniero social entró en la empresa como un tipo de soporte técnico. Exigió el acceso a la oficina del director financiero, el cual fue denegado con prontitud. Luego jugó esta línea, “Sr. Smith, su director financiero, me llamó y me dijo que mientras él estaba ausente en esta reunión que es mejor bajar y fijar su problema de correo electrónico y que si no es fijo, mientras que él se ha ido, rodarán cabezas “.

El secretario temía que si no lo arreglaran, que sería el culpable. ¿Su jefe realmente estar enfadado? Su trabajo podría estar en riesgo? Porque temía que un resultado negativo, el secretario dejar que el tipo de soporte técnico en falso. Si era un experto ingeniero social que puede haber estado observando sus expresiones faciales y notar si ella exhibió signos de preocupación o ansiedad, que están relacionados con el miedo. A continuación, podría haber jugado en estos signos más y más, conseguir que ella ceder a su miedo. El miedo puede ser un gran motivador para hacer muchas cosas que usted (o su objetivo) normalmente no considerar hacer.

Sorpresa Como se mencionó anteriormente, el Dr. Ekman y muchos otros psicólogos en el área de microexpresiones han coincidido en que la sorpresa está estrechamente ligada al miedo debido a ciertas similitudes. Aún así, algunas marcadas diferencias existen, tales como la dirección de los labios toman y la forma de los ojos reaccionan. Pruebe este ejercicio para mostrar sorpresa:

1. Levantar las cejas, no en el miedo, sino con el objetivo de ampliar sus ojos lo más que pueda. 2. Deje que su Desenganche mandíbula y abrir ligeramente.

3. Después de obtener la expresión dedillo trata de hacerlo rápidamente. Me di cuenta de que casi vi obligado a jadear un poco de aire cuando lo hice, haciendo que me siento algo similar a sorprender. Debería ver una expresión similar a Figura 5-9 .

El Dr. Paul Ekman Figura 5-9: Observe la forma en que los ojos y los labios parecen similares a temer.

La sorpresa puede ser bueno o malo. Al escuchar las primeras palabras de su hija, por supuesto, es una buena sorpresa. O la sorpresa puede ser una de un evento, declaración o pregunta que usted no esperaba que causa esta respuesta. Eso es lo que sospecha que está sucediendo a Jessica Simpson en Figura 5-10 .

Observe cómo se levantan las cejas y la mandíbula se desquiciados y abierta. Ella está mostrando todos los signos clásicos de ser sorprendidos, tal vez por la pregunta que acaba de ser le pedía o una respuesta a algo que escuchó. Figura 5-10: A menudo se confunde con el miedo, la sorpresa tiene algunas pequeñas diferencias.

Si la sorpresa es positivo, a menudo puede causar incluso una sonrisa o una respuesta jovial. Como expresión de Jessica en Figura 5-10 espectáculos, ella se ve sorprendido, pero también feliz de la sorpresa. Un ingeniero social a veces puede utilizar sorpresa para abrir la puerta del objetivo, por así decirlo; siguiendo con el ingenio rápido o una broma puede poner rápidamente el objetivo en la facilidad, lo que la hizo bajar la guardia.

Tristeza La tristeza es una emoción abrumadora y fuerte. La tristeza es una de esas emociones que podemos sentir nosotros mismos cuando vemos a otras personas que están expresando esta emoción. Algunas personas pueden sentir tristeza con sólo ver a otros que están tristes, incluso hasta el punto de llorar. Para mostrar que la facilidad con que se puede sentir tristeza, intente este ejercicio:

1. Deja tu boca ligeramente abierta. 2. Tire de las esquinas de sus labios hacia abajo.

3. Mantenga sus labios en su lugar, y al mismo tiempo haciendo que tratan de aumentar sus mejillas como si usted está entrecerrando los ojos. 4. Mientras se mantiene esa tensión, mirar hacia abajo y deje que sus párpados superiores se inclinan. Lo más probable es que usted comenzará a sentir tristeza. Cuando por primera vez hice este ejercicio, que era abrumador para mí. Al instante me sentí triste y se encontró que tenía que controlar la cantidad de tiempo que he realizado, ya que me hizo estar triste durante bastante tiempo. Para ver cómo esto debe mirar, observar la expresión de Figura 5-11 .

El Dr. Paul Ekman Figura 5-11: Observe los labios y los ojos dibujados atrás y hacia abajo, lo que significa tristeza. Otro aspecto de tristeza que hace que sea una emoción increíble es que no siempre tiene que aparecer como dolor o sufrimiento extremo. La tristeza puede ser muy sutil. La tristeza también se puede mostrar en una sola parte de la cara. Las personas pueden tratar de ocultar la tristeza mediante el uso de una sonrisa falsa o lo que yo llamo “ojos estoico”, donde mirando hacia el frente, casi en un sueño, pero se puede decir que están tratando de controlar la emoción que sienten.

Echa un vistazo a Figura 5-12 ; en esta foto se puede ver un ejemplo de la tristeza que se expresa de esa manera. Durante una entrevista sobre su divorcio y la familia, Kate Gosselin intenta ocultar su emoción, pero si nos fijamos en los labios se puede ver indicios muy sutiles de tristeza.

Figura 5-12: Observe los labios dibujados atrás y hacia abajo, lo que significa tristeza.

Además de los labios, los ojos son otro indicador clave de la tristeza. Esta expresión puede ser difícil de leer y se puede confundir con el cansancio y otras emociones, pero mirando a la conducta y el cuerpo de una persona lenguaje también puede ayudar con las señales. Este es el caso de las culturas que cubren gran parte de su cara. Como se puede ver en Figura 5-13 , Estas mujeres están asistiendo a un funeral; aunque en su mayoría cubierto, el centro de la mujer revela en sus ojos que ella está sintiendo tristeza. Figura 5-13: Observe los ojos mirando hacia abajo y la caída del párpado superior.

La tristeza se utiliza a menudo en la ingeniería social, ya que puede desencadenar la gente a tomar una acción como donar dinero o dar información. Es probable que haya visto que se usa en anuncios de televisión mostrando un niño muy desfavorecidos. Estos niños pueden estar desnutridos, golpeados por la pobreza, y aparentemente no querido, pero por sólo una pequeña donación puede traer una sonrisa a la cara del niño. Las imágenes de llanto, los niños tristes y demacrados se tirará en sus fibras sensibles. No estoy sugiriendo que estos anuncios son la ingeniería social malicioso, sólo que utilizan la ingeniería social hasta cierto punto, mediante el uso de un disparador emocional para obtener una reacción del objetivo. Por desgracia, los ingenieros sociales maliciosos suelen utilizar este disparador emocional para obtener cosas de sus objetivos. Una vez entré en un restaurante y por casualidad a un hombre joven que dice un grupo de personas mayores que estaban dejando que él sólo se quedó sin gasolina en la carretera y tenía que volver a casa porque su esposa estaba embarazada de nueve meses. Había estado sin trabajo y apenas había caminado una milla de la carretera a utilizar el teléfono para llamar a su esposa y se preguntó

si podían darle $ 20. Cuando oí algo de la historia reduje la velocidad e hizo creer que estaba en una llamada telefónica para observar el resto. Él contó su historia y luego retrocedió para arriba con “Mira si me dan su dirección, yo le enviará por correo un cheque por los $ 20”, concluyendo con “Juro por Dios.” La historia tuvo algunos elementos en los mismos que podrían provocarán la compasión, sobre todo cuando su rostro mostraba preocupación, la ansiedad y la tristeza. No obtuvo $ 20 se le dio $ 20 mediante cada una de las tres personas en ese grupo. Dijo que “Dios los bendiga” unas cuantas veces y dio al grupo un par de abrazos y dijo que iba a ir a llamar a su esposa y decirle que estaba en el camino a casa. Él los abrazó y se quedó con la sensación como si hubieran hecho su buena acción para la semana. Unos minutos después, cuando estoy comiendo mi comida, lo veo en el bar bebiendo un par de totalmente pagada de copas con sus amigos. La mezcla de una historia triste con algunas expresiones faciales tristes, que había sido capaz de manipular las emociones de los que le rodean.

Felicidad La felicidad puede tener muchas facetas en ella, tantas que probable que pueda hacer un capítulo solo en él, pero eso no es mi enfoque. Los libros del Dr. Ekman cubren muchos puntos excelentes sobre la felicidad y emociones similares y cómo afectan a la persona con la emoción y aquellos a su alrededor.

Lo que yo quiero centrar en son sólo un par aspectos de la felicidad, lo más importante la diferencia entre una verdadera sonrisa y una sonrisa falsa. La verdadera y la falsa sonrisa son un aspecto importante de las expresiones humanas a saber leer, y como ingeniero social para saber cómo reproducir. ¿Ha habido un momento en el que conoció a alguien que era muy agradable, pero después de que se separó de su cónyuge o usted mismo dijo, “Ese tipo era una falsificación ...”? Puede que no haya sido capaz de identificar los aspectos de una verdadera sonrisa en su cabeza, pero algo que le dijo a la persona no estaba siendo “real”. A finales de 1800 un neurólogo francés, Duchenne de Boulogne, hizo una investigación fascinante de la sonrisa. Él fue capaz de conectar los electrodos a la cara de un hombre y desencadenar la misma respuesta “musculoso” en la cara como una sonrisa. Aunque

el hombre estaba usando todos los músculos correctos para la sonrisa, de Boulogne determinó que la mirada del hombre era todavía una “falsa sonrisa.” ¿Por qué?

Cuando una persona sonríe de verdad, de Boulogne indica, dos músculos se activan, el músculo cigomático mayor y el orbicular de los párpados. Duchenne determinó que el orbicular de los párpados (músculo alrededor de los ojos) no puede ser activado de forma voluntaria y que es lo que separa a un real de una falsa sonrisa. La investigación del Dr. Ekman coincide con Duchenne y aunque la investigación reciente indica que algunos pueden entrenarse para pensar que la activación muscular, más a menudo que no es una sonrisa falsa tiene que ver con los ojos. Una verdadera sonrisa es amplia con ojos rasgados, pómulos elevados, y los párpados inferiores tirados en marcha. Se ha dicho que una sonrisa de verdad implica a toda la cara, de los ojos a la boca, como se ve en Figura 5-14 .

Figura 5-14: Ekman demuestra una sonrisa falsa (izquierda) junto a una sonrisa real (derecha).

Si se va a cubrir la mitad superior de la cara del Dr. Ekman que sería difícil

presionado para contar una verdadera de una falsa sonrisa. No es hasta que se examinan los ojos que se pone de manifiesto, al lado del otro, que la sonrisa es falsa y que es real. Cuando una persona ve una verdadera sonrisa en otra persona, que puede desencadenar la misma emoción dentro de ellos y les hacen sonreír. Fíjese en Figura 5- 15 la imagen de los dos monjes. El monje en el lado izquierdo de la imagen está mostrando signos muy externos de una sonrisa verdadera, la verdadera felicidad. La sola observación de él en esta imagen, probablemente, puede desencadenar la felicidad en ti. Desde el punto de vista de ingeniería social, sabiendo cómo detectar y también crear una verdadera sonrisa es una pieza valiosa de información. Un ingeniero social quiere un objetivo que se pondrá en la facilidad, a fin de tener el mayor efecto positivo sobre el objetivo. Los ingenieros sociales en cualquier forma, ya sean vendedores, maestros, psicólogos, o cualquier otro ingeniero social, a menudo comienzan una conversación con una sonrisa. Rápidamente nuestro cerebro analizan cómo nos sentimos acerca de que la información visual que nos ha dado y que puede afectar al resto de la interacción. Una gran cantidad de información se empaqueta en el apartado anterior, sin embargo, usted puede preguntarse cómo los ingenieros sociales pueden entrenarse a sí mismos no sólo para ver microexpresiones sino también cómo usarlos. Figura 5-15: Toda su cara está involucrado en su sonrisa.

Ver entrenarse para Microexpresiones Hollywood menudo exagera las habilidades de los personajes que aparecen en películas y televisión. Por ejemplo, en la nueva serie de televisión Mienteme (Basado en la investigación del Dr. Ekman) el personaje principal, el Dr. Lightman, puede leer microexpresiones aparentemente sin esfuerzo, y lo que es aún más sorprendente es que por lo general se puede decir por qué se está produciendo la emoción. Sin embargo, en la vida real, gran parte de la investigación realizada por aquellos en el campo, como el Dr. Ekman, significaba que se sienta delante de las sesiones pregrabadas y analizando éstas marco de las sesiones por cuadro. Después de muchos años de trabajo en esta tarea que es probablemente capaz de darse cuenta, recoger y analizar microexpresiones muy rápidamente. En la década de 1970 se hizo un proyecto de investigación donde identificó algunos que tenían una

capacidad natural de aviso y analizar correctamente microexpresiones.

Debido a que muchos de nosotros podría no caer en esa categoría habilidad natural que necesitamos una manera de practicar, entrenar y ser competentes en la realización, la lectura y el uso de microexpresiones. Les puedo decir lo que funciona para mí. He leído los métodos sobre cómo se identifica un microexpression en particular, luego practicar reproducirla usando un espejo, comparando mi expresión a las notas de los profesionales que describen cómo se hace. Por lo general tienen una imagen que muestra la emoción que estoy trabajando porque tener algo para imitar me ayuda.

Después de que me siento relativamente bien acerca de la reproducción de la microexpression me centro en la forma en que me hace sentir, pellizcando áreas pequeñas hasta que los movimientos musculares me hacen sentir las emociones que coinciden. entonces buscar en la Internet en busca de imágenes y tratar de identificar las expresiones en esas imágenes. A continuación, grabo noticias o programas de televisión y jugar ciertas partes en cámara lenta con el sonido apagado para ver si puede determinar la emoción, a continuación, escuchar la historia para ver si yo estaba cerca. Todo esto lleva a trabajar con vivo “sujetos”. Miro las personas interactúan entre sí y tratan de identificar las emociones que se siente durante sus conversaciones. Trato tanto con la posibilidad de escuchar la conversación y también sin poder. La razón por la que elegí este camino antes de intentar leer microexpresiones en mis propias conversaciones es que me encontré con que tratar de hacerlo en un entorno real sin tener que centrarse también en la fabricación de una buena conversación es más fácil. Acabo de leer las expresiones faciales y no se confunda por otros estímulos sensoriales. El método anterior es el que se utiliza antes de que tuviera la oportunidad de conocer al Dr. Ekman y ser introducido a sus métodos de entrenamiento. Por supuesto, él tiene libros que contienen instrucciones paso a paso sobre la recreación y la lectura de estas expresiones. Sus libros también incluyen imágenes que muestran las emociones, así como ejemplos en las noticias que muestran esas emociones. Su libro emociones Revealed Hace esto en un formato muy profesional que es excelente para aprender.

En los últimos años el Dr. Ekman ha desarrollado y lanzado la formación específicamente para microexpresiones. Su sitio web, www.paulekman.com , Cuenta con tres tipos diferentes de entrenamiento que han cambiado la forma de la gente puede aprender esta poderosa ciencia.

la formación de Ekman le da al usuario una lección sobre cada tipo de microexpression a través de video y texto. El usuario puede reproducir el vídeo expresión para ver cómo cada parte de la cara está involucrado. Después de que el usuario pasa todo el tiempo que sea necesario el aprendizaje y la observación de las secciones de vídeo, se puede tomar una prueba previa. La prueba previa a su capacita para ver lo bien que se está en microexpresiones se dé cuenta. Cuando el usuario adivina lo microexpression se está visualizando, se puede obtener la confirmación o corrección. Si se necesita corrección entonces ella puede tomar la educación y la formación adicional. Después de que el usuario confía en sus habilidades que pueden tomar la prueba real. En el examen final no se da ninguna corrección. El usuario se muestra un microexpression una vez para una breve veinticinco de un segundo, y entonces se debe seleccionar lo que el microexpression es y luego esperar que se calificará al final. Este tipo de herramienta de formación puede tomar años fuera de su curva de aprendizaje en convertirse en experto en microexpresiones de lectura. Una advertencia: el Dr. Ekman, así como sus contemporáneos, afirman que a pesar de que puede llegar a ser competentes en la lectura de microexpresiones, un microexpression es limitada. Qué significa eso? Uno de los actores trucos usa Para poder demostrar con éxito la emoción apropiada es recordar y concentrarse en un momento en el que realmente se sentía la emoción que necesitan para retratar; por ejemplo, un momento de felicidad que produce una verdadera sonrisa. Como se mencionó anteriormente, haciendo una sonrisa de verdad es muy difícil de falsificar si usted no está realmente siente feliz, pero si se puede abrir una memoria cuando sintió que la emoción sus músculos recordar y reaccionar.

Por lo tanto, aunque se puede alcanzar la competencia en la lectura de la emoción, no se puede leer el por qué Detrás de eso. los por qué a menudo se pierde para la ciencia. Yo tenía un amigo que tenía algunas malas experiencias como un niño con una persona que se parecía mucho a un buen amigo mío. Cada vez que mi amigo vendría alrededor de ella tenía fuertes reacciones emocionales. Si se va a leer su microexpression es probable que vea el miedo, desprecio, y luego la ira en su rostro. No odiaba a mi amigo, pero odiaba a la persona en su memoria que se parecía a mi amigo.

Este es un buen punto para recordar cuando se está aprendiendo a leer microexpresiones. La expresión está unida a una emoción, pero la expresión no le dice por qué se está mostrando la emoción. Sé que cuando

Empecé a aprender acerca microexpresiones y luego se convirtió en algo “competente” en la lectura de ciertas expresiones, me sentí como si fuera un lector de la mente. A pesar de que esto está lejos de la verdad, la precaución es no ser assumptive. Puede llegar a ser muy bueno en microexpresiones de lectura; Sin embargo, las secciones posteriores discutir cómo combinar esta técnica con las tácticas de interrogatorio, habilidades de lenguaje corporal, y las habilidades de obtención no sólo para averiguar qué objetivos están pensando, sino también para guiarlos por el camino que desea. La pregunta que todavía puede tener es, “¿Cómo puedo usar estas habilidades como ingeniero social?”

Cómo los ingenieros sociales utilizan Microexpresiones

Toda esta sección lleva a esto: Tan fascinante como la investigación es, tan sorprendente como la ciencia está detrás de esta psicología, ¿Cómo se utiliza microexpresiones en una auditoría ingeniero social y cómo los ingenieros sociales maliciosos de usarlos? En esta sección se describen dos métodos de cómo utilizar microexpresiones de ingeniería social. El primer método está utilizando microexpresiones (ME) para provocar o causar una emoción, y el segundo método es la forma de detectar el engaño. Permítanme comenzar con el primer método, usando su propio ME para provocar una respuesta emocional en los demás. Hace poco leí un artículo de investigación que cambió mi visión de mí y me abrió los ojos a una nueva área de investigación. Los investigadores Wen Li, Richard E. Zinbarg, Stephan G. Boehm, y Ken Paller A. realizaron un estudio llamado “Neural y Prueba de Comportamiento Afectivo de cebado de las expresiones faciales emocionales Sin darse cuenta percibidas y la influencia de la ansiedad rasgo” que cambia la cara de microexpression el uso de la ciencia moderna.

Los investigadores conectados docenas de mini-electrocardiogramas a los puntos musculares en los rostros de sus sujetos. Los dispositivos registrarían movimientos musculares en la cara y la cabeza. Luego jugaron los vídeos para los que tenían quinta segundos parpadea una sola veinticinco de microexpresiones en marcos. Li et al., Encontró que en casi todos los casos el movimiento muscular del sujeto comenzaría a reflejar lo que se había incrustado en el vídeo. Si era el miedo o la tristeza, los músculos faciales del sujeto se registran esas emociones. Al ser entrevistado

sobre la emoción del sujeto se sentía que era la emoción incrustado en el vídeo. Para mí, esta innovadora investigación demuestra que una persona puede manipular a otra persona a un determinado estado emocional, mostrando sutiles toques de esa emoción. He empezado a realizar algunas investigaciones en esto desde un ángulo de seguridad y estoy llamándolo “piratería neurolingüística,” principalmente porque

toma mucho de microexpresiones, así como la programación neurolingüística (discutido en la siguiente sección) y los combina para crear estos estados emocionales dentro de un objetivo. Imagínese este escenario. Un ingeniero social quiere entrar en una empresa con el objetivo de conseguir la recepcionista para insertar una llave USB malicioso en el ordenador. Su pretexto es que tiene una reunión con el director de recursos humanos, pero en el camino, él derramó el café sobre su última hoja de vida. Que realmente necesita este trabajo y para ayudar, sería ella le imprima otra copia de la hoja de vida? Este es un pretexto sólida que tira de fibras del corazón de la recepcionista y me ha funcionado en el pasado. Sin embargo, si el ingeniero social permite que su propio estado emocional estar por todas partes que podría estar mostrando signos de miedo, que está vinculada al nerviosismo. Ese miedo se puede traducir en una sensación de inquietud en el recepcionista y el fracaso o el rechazo de la solicitud. Mientras que si se tratara de controlar sus emociones y flash sutiles toques de microexpresiones tristes, que está estrechamente relacionada con la empatía, entonces él podría tener una muy buena oportunidad a petición de ser honrado. Recordemos la discusión previa de los anuncios que animan a la gente a donar “sólo un dólar al día” para alimentar a un niño necesitado. Antes de solicitar el dinero, antes de parpadear un número de teléfono y la dirección URL, antes de decir que las tarjetas de crédito son aceptadas, muchas imágenes largas de los niños muy tristes parpadean a través de la pantalla del televisor. Esas imágenes de niños que necesitan y los niños en el dolor poner su cerebro en el estado emocional que se necesita para cumplir con la solicitud. Hacer los anuncios de trabajo en todo el mundo? No claro que no. Sin embargo, aunque no todo el mundo dona, va a afectar el estado emocional de casi todos. Así es como un ingeniero social puede utilizar ME al máximo. Aprender a exhibir los sutiles toques de estos me puedo hacer que las neuronas en el cerebro de su objetivo para reflejar el estado emocional que sienten que está visualizando, haciendo que su objetivo

más dispuestos a cumplir con su solicitud. Este uso de la EM puede ser malicioso, así que quiero tomar un momento para hablar de una mitigación (véase también el capítulo 9). Ser consciente de cómo se puede utilizar ME no significa que usted necesita para comenzar a entrenar a todos en su compañía a ser un experto ME. Lo que sí significa es que el entrenamiento de la conciencia buena seguridad tiene por qué ocurrir. Incluso cuando las solicitudes están diseñados para hacer que el deseo de ayudar, el deseo de ahorrar, el deseo de nutrir, la política de seguridad debe tener prioridad. Un sencillo, “Lo siento, no podemos insertar llaves USB extraños en nuestros ordenadores. Sin embargo, dos millas por la carretera es una tienda de FedEx Kinko. Puede imprimir otra hoja de vida allí. ¿Debo decirle a la señora Smith va a ser un poco tarde?”

En este escenario, tal declaración habría aplastado planes del ingeniero social, así como dado el objetivo de la sensación de ser útil. Para utilizar el poder de la EM, a veces hay que combinarlo con otros aspectos de la conducta humana. El segundo método, la forma de detectar el engaño, describe cómo se puede hacer esto. El segundo método para utilizar ME como un ingeniero social es en la detección de engaño. ¿No sería bueno si pudiera hacer una pregunta y saber si la respuesta era verdad o no? Este tema ha sido una fuente de debate entre los muchos profesionales que afirman que los patrones de los ojos, el lenguaje corporal, la expresión facial, o una combinación de todo lo anterior puede indicar la verdad o engaño. Mientras que algunos no creen que esto sea el caso, otros se sienten estos pueden ser utilizados como una ciencia exacta.

Aunque algo de verdad puede existir en cada uno de esos pensamientos, ¿cómo se puede utilizar para detectar el engaño microexpresiones?

Para responder a esta pregunta hay que tener en cuenta algo más que microexpresiones porque, como se identifica en toda esta sección, microexpresiones se basan en emociones y reacciones a las emociones. Tenga esto en cuenta al leer esta sección, que analiza algunas de las causas y efectos. Hay cuatro cosas que pueden ayudar a detectar el engaño en un objetivo:

Vacilación contradicciones

Los cambios en el comportamiento de los gestos de mano Las secciones siguientes describen estos elementos con más detalle.

contradicciones Las contradicciones son particularmente difícil ya que a menudo pueden ocurrir y ocurren en las cuentas de hecho. Sé que en mi caso a menudo se olvide detalles, y mi esposa a llenarlos rápidamente. Después de obtener una pequeña pista aquí o allá a menudo me puedo recordar la historia completa. Esto no quiere decir que siempre estoy mintiendo al comienzo de una historia o una conversación, pero no siempre lo recuerdo todos los detalles con claridad suficiente para comentar sobre ellos al principio, o creo que sí recuerdo los detalles, pero que realmente don 't. Incluso después de que “recordar” los detalles, los detalles pueden ser mi versión de la realidad y no la forma en la historia que realmente ocurrió.

Esta falta de honradez inadvertida es importante tener en cuenta al evaluar contradicciones como un indicio de mentira. Qué contradicción debe hacer es pronta a cavar más. Viendo microexpresiones de la persona mientras se le pregunta sobre una contradicción también es útil. Por ejemplo, supongamos que ha desarrollado un pretexto como vendedor de visitar. Que se va a tratar de obtener acceso físico al CEO para entregar un CD con una oferta especial. Usted sabe que el CEO es muy parcial a una cierta caridad por lo que desarrolló el pretexto de evitar eso. Al entrar en el vestíbulo de la recepción persona dice: “Lo siento, él no está, basta con dejarlo conmigo.” Usted sabe que si deja el CD existe una mayor posibilidad de que nunca se usará de su CD “maliciosa”. También siente que está en porque se ve su coche en el estacionamiento y usted sabe que hoy era un día de trabajo normal para él. Con estos hechos en mente y sin querer avergonzar a la persona de recepción que usted dice, “Oh, no lo es en realidad? Me llamó el otro día y le preguntó cuando podría visitar y me dijeron que hoy era un buen día. Me mezclo mis días?”

Si has jugado bien sus cartas y sus expresiones son auténticos, esto puede llegar de dos maneras: Ella puede mantenerse estable y otra vez decir, es posible que contradice a sí misma (que puede ser un indicio de que ella no está diciendo la verdad) “Lo siento, él no está en.”: “Déjame ver si es o no”

¿Qué? Ella fue de una popa “Él no está en” a “me permiten comprobar.” Esa contradicción es suficiente para indicar que se debe excavar más. Lo que le era yo cuando ella hizo eso? ¿Se muestran vergüenza o tal vez algo de tristeza en la mentira? ¿Estaba enojado por haber sido atrapado en una mentira? Estaba avergonzado que estaba equivocada y tal vez confundido? No se puede asumir automáticamente que está mintiendo, porque tal vez ella realmente no lo sabía, y cuando rebatida que decidió averiguar realmente. Después de que se confirma si él está en usted puede elegir para profundizar un poco más y la sonda más para determinar la veracidad de ser necesario. Una vez más, jugando su tarjeta de “Quizás he mezclado mis días” y observando sus expresiones faciales pueden ser un buen indicador de su veracidad o no.

Si en su primera vuelta se vio ninguna pista de ira, sin dejar de preguntar puede causar que ser más enojado y avergonzado y terminar su interacción. En este punto, es posible que desee preguntar algo como: “Si el Sr. Smith no está en este momento y que realmente mezclado mis días u horas, cuando me puedo parar a verlo? ¿A qué hora es la mejor?” Este tipo de pregunta le permite salvar la cara, así como le da otra oportunidad de leer algunas de las expresiones faciales. Si usted no notó la ira, pero tal vez vio que ella se veía un poco triste o vergüenza a continuación, es posible que desee responder con empatía y comprensión para abrir a levantarse. “Podría haber jurado que dijo que hoy era un buen momento para dejarlo, pero ya se sabe, mi memoria es tan mala, mi esposa me dice que estoy recibiendo la enfermedad de Alzheimer. Compré uno de estos teléfonos inteligentes, pero que me aspen si puedo averiguarlo. No quiero ser una molestia, pero cuando puedo simplemente dejar esto para él? Quiero para asegurarse de que se pone a la derecha en sus manos “. Ser muy observador de las contradicciones de menor importancia, ya que pueden ser indicadores clave en el engaño y ayudarle a conseguir su pie en la puerta.

Vacilación De manera similar a la contradicción, puede utilizar la vacilación de alguien para detectar una falsedad potencial. Si hace una pregunta y la respuesta debería haber llegado rápidamente de la persona, pero él duda de antemano, puede ser una indicación de que él estaba usando el tiempo para fabricar una respuesta.

Por ejemplo, cuando mi esposa me pregunta cuánto mis nuevos costos aparato electrónico, ella sabe que sé la respuesta. Una vacilación puede significar tanto estoy evaluando si quiero contestar con la verdad o yo podría ser acordando el precio.

Cuando consigo un informe de situación de la escuela de mi hijo dice que se perdió X número de días en la escuela y sólo sabe de dos o tres ausencias válidas, le pregunto donde el resto de los días perdidos son de. Si su respuesta fue: “Papá, no te recuerdo que tenía que cita con el médico y luego me quedé en casa ese día para ayudarle con ese proyecto?” Lo más probable es que en toda la verdad porque era rápido y tiene en hechos la respuesta. Sin embargo, si duda y vuelve con “Vaya, no sé, tal vez el informe está mal”, a continuación, señalando su microexpression durante su respuesta es una buena idea. ¿Indica la ira, tal vez por haber sido sorprendida, o la tristeza en el castigo imaginado? De cualquier manera, es el momento para que investigue más y averiguar dónde se encontraba esos días.

Otra cosa a tener en cuenta es una conocida táctica de la vacilación de repetir la pregunta de nuevo a usted como pidiendo la verificación de que la pregunta es correcta. Si lo hace, permite un tiempo de fabricar una respuesta. El uso de vacilación para detectar el engaño no es una ciencia exacta, pero puede ser un buen indicador. Algunas personas piensan antes de hablar. Soy de Nueva York, así que hablar rápido. Si alguien habla más lento que yo no es un indicio de engaño. Usted debe ser capaz de utilizar el ME para determinar si alguien es simplemente lento al hablar o tratar de fabricar una respuesta.

Si la emoción no coincide con la pregunta, entonces puede ser vale la pena analizar.

Cambios en el comportamiento Durante una discusión, el objetivo puede cambiar su comportamiento cada vez que un tema determinado se conecta. Tal vez usted nota un cambio de expresión o un cambio en la forma en que se sienta, o una vacilación marcada. Todas estas acciones pueden indicar el engaño. Si estas medidas representan el engaño no es seguro, pero debe hacer que se sondea más en los temas que se discute de una manera que no lo hace la sospecha de alerta. Estos comportamientos pueden ser signos de que la persona que está utilizando el tiempo

retrasos para generar una historia, recuerdan hechos, o decidir si quiere revelar esos hechos.

Gestos con las manos La gente a menudo pintan cuadros con sus manos usando gestos. Por ejemplo, alguien puede usar sus manos para mostrar lo grande que es algo, lo rápido que algo estaba pasando, o para mostrar cuántas veces se dice algo. Muchos profesionales consideran que cuando alguien está siendo falso que va a tocar o frotar la cara con frecuencia. Existe cierta conexión psicológica entre el roce de la cara y la generación de una fabricación. Algunas de las señales utilizadas por los psicólogos y

expertos en lenguaje corporal para detectar el engaño se discuten aquí: www.examiner.com/mental-hea utilizando-y-verbales señales de detectar mentiras . Tomando nota de un cambio en el tamaño, la frecuencia o duración de los gestos de las manos durante una conversación es importante. Además, debe ver las expresiones faciales durante los gestos que pueden elevar una bandera en su mente.

Cuando se detecta el engaño, tener un plan de cómo responder es importante y una buena idea. En el escenario anterior con la persona de recepción y su “fuera de la oficina el” jefe, llamando a salir de su mentira lo más probable es haber levantado todo tipo de banderas rojas, avergonzarla, y arruinando cualquier posibilidad de éxito. Si su pretexto es alguien con autoridad, como un supervisor de gerente o departamento, y que atrapar a alguien en una mentira a continuación, puede utilizar eso a su ventaja. Por “perdona” la persona que está ahora debía un favor a cambio. Sin embargo, en el mismo escenario, si la posición se encuentra en es menor (alguien en una posición de no-gestión como un puesto de ventas secretaria, recepcionista, o) que el objetivo, jugar esa carta puede ser peligroso. La acción de las autoridades no encajaría con el pretexto de que alguien en una posición de no-gestión.

Lo que se reduce a simplemente es que como auditor ingeniero social que debe aprender a utilizar microexpresiones de una persona para determinar si él está presentando la verdad o la mentira, y para determinar si se está afectando al objetivo de la manera deseada. En algunos casos incluso se puede utilizar ciertas expresiones para manipular el objetivo en un cierto estado de ánimo. Recuerde, microexpresiones solos no son suficientes para determinar por qué un

la emoción está ocurriendo. La determinación de que alguien está enojado o triste, por ejemplo, no le dirá qué esa persona está enojado o triste. Tenga cuidado al usar microexpresiones tener en cuenta todos los factores para determinar, en la mayor medida posible, la razón de la emoción.

malicioso sociales

ingenieros emplean estas tácticas de usar

microexpresiones discuten en esta sección, pero sus objetivos son completamente diferentes de las de un ingeniero social haciendo una auditoría. A menudo no se preocupan por el efecto residual sobre el objetivo. Si dañar el sistema de una persona de creencias, la estabilidad psicológica, o incluso la estabilidad del empleo puede conducir el ingeniero social malicioso para un día de pago que va a tomar ese camino. Al principio de este libro que ha leído acerca de algunas estafas que surgieron durante los ataques en Nueva York después de 9/11. Las personas que vieron la oportunidad de sacar provecho de la simpatía de la gente y la tragedia que ocurrió no parece que se preocupan si sus acciones daño a los demás. Muchos salieron de las sombras que dicen tener la familia que estaban perdidos en esos ataques. Algunas de estas personas maliciosas recibido dinero, regalos, simpatía, e incluso atención de los medios sólo para que pueda ser descubierto por el camino que las historias eran todas las cuentas falsas. El ingeniero social malicioso pasa mucho tiempo en aprender acerca de las personas y lo que los motiva. Este conocimiento hace que la localización de un objetivo aceptable para atacar más fácil.

Esta sección sólo se rascó la superficie de microexpresiones; el trabajo de muchos profesionales en el campo ha llenado volúmenes. Buscar a la formación, ser competentes en la lectura y el uso de microexpresiones, y verá un aumento en su capacidad de comunicación con los demás. Además, esta competencia va a mejorar su capacidad de tener éxito en sus auditorías.

Programación neurolingüística (PNL)

la programación neurolingüística (PNL) estudia la estructura de cómo los seres humanos piensan y experimentan el mundo. Es muy controvertido en sí mismo debido a la estructura de la PNL no se presta a fórmulas precisas, estadísticos. Muchos científicos argumentan o debatir los principios de la PNL debido a este hecho, pero la estructura da lugar a modelos de cómo funcionan los principios. A partir de estos

modelos, las técnicas de pensamientos que cambian con rapidez y eficacia, comportamientos y creencias que limitan la gente ha sido desarrollado.

Como se indica en la Wikipedia (fuente: Diccionario de ingles Oxford), programación neurolingüística es “un modelo de comunicación interpersonal ocupa principalmente de la relación entre los patrones de éxito de la conducta y las experiencias subjetivas (esp. patrones de pensamiento) les subyacentes”, y “un sistema de terapia alternativa en base a este, que busca educar a las personas en autoconciencia y la comunicación efectiva, y para cambiar sus patrones de comportamiento mental y emocional “. Este libro está lejos de ser un libro de auto-ayuda, por lo que aunque los principios en que pueden ayudar en el cambio de los patrones de pensamiento y hábitos profundamente arraigados en ti mismo, su atención se centra en cómo se puede utilizar la PNL para entender y manipular a continuación, los que lo rodean. Si no está familiarizado con PNL su primer instinto puede ser para funcionar a un ordenador y escriba el término en Google. Quiero pedirle que no hacer eso por el momento. Usted encontrará que similar a la ingeniería social, lo que a menudo se encuentra en primer lugar son muchos videos y demostraciones que sólo parecen muy poco realistas, tales como videos de alguien tocando el hombro de otra persona y el cambio de patrones del cerebro de esa persona para pensar Brown es blanca o algo por el estilo. Estos videos hacen a cabo la PNL que haber alguna forma de misticismo, y para aquellos que son recelosos de estas cosas, estos tipos de videos desacreditarlo. En lugar las siguientes secciones se rompen PNL abajo en algunas partes. Lo siguiente es una breve historia de PNL, que puede ayudar a entender que sus raíces no están con magos de la calle; en cambio, tiene profundas raíces psicológicas.

La historia de la Programación Neurolingüística

la programación neurolingüística (PNL) fue desarrollado en la década de 1970 por Richard Bandler y John Grinder con la guía de Gregory Bateson. Sus raíces provienen de la investigación Bandler y Grinder en algunos de los terapeutas más exitosos de su tiempo. A partir de esta investigación inicial se desarrollaron los conceptos de “código” de la PNL. Esta investigación temprana condujo al desarrollo de una meta-modelo, que reconoce el uso de patrones de lenguaje para influir en el cambio.

Tanto Bandler y Grinder eran estudiantes en la Universidad de California y utilizan los principios de su investigación para desarrollar un modelo de terapia llamada el meta-modelo. Después de escribir un par de libros sobre la base de este modelo comenzaron a refinar los principios básicos que se convertirían en lo que llamamos la PNL hoy. Esto incluye cosas como anclaje, patrón de buches, reformulación, cambio de creencias, bucles de anidación, estados de encadenamiento y aplicaciones submodalidades. Después de graduarse con un título en psicología, Bandler y Grinder comenzaron la celebración de seminarios y grupos de práctica, que sirvieron como lugares para que practicar y comprobar sus patrones recién descubiertos, mientras que lo que les permite transferir las capacidades de los participantes. Durante este período, un grupo creativo de los estudiantes y los psicoterapeutas que se formó alrededor de Grinder y Bandler hizo contribuciones valiosas a la PNL, PNL ayudar refinar aún más. En los últimos años, la PNL se convirtió en la nueva palabra de moda de nuevo por los gerentes, de conducir rápido crecimiento de entrenadores, clases y expertos. Sin ningún organismo regulador, el campo creció como todo el mundo quería aprender a controlar a los demás, se encuentran sin ser descubierto, o resolver todos sus problemas psicológicos. Practicantes no tenían licencia, por lo que cada grupo enseñan su propia forma y el concepto de la PNL y emitieron su propia certificación como expertos. Todo esto es lo que llevó a la PNL está viendo un tanto desfavorable. A pesar de su historia rocosa, la base fundamental de la PNL puede mejorar sus habilidades como ingeniero social. En la siguiente sección se analizan algunos de los códigos básicos de la PNL para que pueda analizar más profundamente.

Códigos de Programación Neurolingüística

A principios de la década de 1970 PNL tenía un código compuesto por el cuerpo colectivo de aprendizaje y la investigación que generó los primeros libros y el término

Programación neurolingüistica. A medida que pasaba el tiempo, John Grinder y otros han seguido contribuyendo al campo de la PNL. El “nuevo código de PNL” es un marco ético y estético para el desarrollo de la PNL.

Nuevo Código de PNL las ideas originales de PNL nacieron en la década de 1970. A medida que pasaba el tiempo, John Grinder comenzó a darse cuenta de que gran parte del código viejo debe cambiar para ponerse en

modernos. Comenzó a trabajar con Gregory Bateson y Judith DeLozier y produjo el “nuevo código” que se centró más en lo que piensa o cree que va a pasar y cambiar esa creencia la persona. técnicas de aprendizaje para ampliar sus percepciones, la superación de viejos patrones de pensamiento, y el cambio de hábitos de toda la ayuda en la auto-cambio.

El nuevo código

se centra en

los conceptos clave de la estados,

/ relaciones inconscientes conscientes, y filtros perceptivos, todos ellos apuntando a los estados de su mente y su percepción de esos estados mentales. Estos nuevos conceptos están destinados a mover hacia adelante y PNL profesionales de ayuda pensar en ello de nuevas maneras. Muchos de los principios básicos del nuevo código se les enseña ahora como parte de la norma cursos de PNL. Este nuevo código se entiende mejor por la lectura Tortugas todo el camino por Grinder y DeLozier. Se compiló a partir de su seminario “Requisitos previos a genio personal.”

En esencia, los nuevos estados de código que hacer un cambio el cliente debe involucrar a su mente inconsciente, el nuevo comportamiento deben satisfacer su intención positiva original, y el cambio debe producirse internamente en el estado de ánimo en lugar de a nivel de comportamiento. Este nuevo código de PNL sugiere cómo puede crear cambios graves y drásticos en el pensamiento de una persona. Este es un concepto clave para los ingenieros sociales, ya que, a medida que investigar y analizar el nuevo código, usted comenzará a ver cómo se puede utilizar para manipular a los demás. Antes de hacerlo, sin embargo, es necesario comprender las secuencias de comandos que utiliza el nuevo código.

Scripts en el nuevo Código Las personas tienden a tener problemas comunes, por lo que se han desarrollado grupos de secuencias de comandos para ayudar a los terapeutas utilizan la PNL en su práctica. Estos scripts llevan al participante a través de una serie de pensamientos que ayudan a guiar a la persona para el fin deseado. Existen varios buenos libros sobre guiones de PNL, con El gran libro de las técnicas de PNL: más de 200

modelos y de las estrategias de programación neuro lingüística siendo muy recomendable.

Un ejemplo de un guión es un bosquejo de cómo aumentar sus ventas por conseguir a alguien para empezar a hablar de sus sueños. Una vez que los tiene

hablar de ciertos objetivos o aspiraciones, se puede postular que su producto o servicio como responder a una de las necesidades para alcanzar esos objetivos. Con la construcción positivamente en su producto como el ajuste de una necesidad que tienen, le da el cerebro de su posible venta una manera de conectar su producto con ventas positivas. Si se toma el tiempo para Google gran parte de la información incluida aquí se verá que la PNL puede asumir una vida propia. Puede tomar muchos ángulos y trayectorias en el estudio de la PNL. A pesar de todo la gran cantidad de información que hay la pregunta sigue siendo, ¿cómo puede un ingeniero social utilizar la PNL?

Cómo utilizar la PNL como un ingeniero social Muchos de los guiones y los principios de la PNL tienden a inclinarse hacia la hipnosis y vías similares. A pesar de que no va a utilizar la hipnosis para ingeniero social un objetivo, puede utilizar muchos de los principios de la PNL como un ingeniero social. Por ejemplo, la PNL le puede enseñar cómo utilizar la voz, el lenguaje, y la elección de palabras para guiar a la gente por el camino que desea.

Voz en PNL Usted puede utilizar la voz para inyectar comandos en la gente del mismo modo que usar el código para inyectar comandos en una base de datos SQL. La forma en que dices las cosas es donde se produce la

inyección; este único momento de la inyección se enmarca dentro conversación normal. Algunas veces cóm se dice que algo es más importante que qué tu dices. PNL promueve el uso de comandos incrustados para influir en un objetivo a pensar de cierta manera o tomar una determinada acción. Además, el uso de los tonos de su voz para enfatizar ciertas palabras en una frase puede causar mente inconsciente de una persona para centrarse en aquellas palabras. Por ejemplo: Por ejemplo, preguntar “¿No le parece?” En lugar de poner una fase de expansión en la palabra “acuerdo”, como lo haría normalmente al final de una pregunta, ponga una fase descendente para hacer la pregunta más de un comando.

Otro que he oído es utilizado con eficacia, “Mis clientes suelen hacer las cosas que digo. ¿Quieres empezar?”La forma de utilizar esa frase y rodeado de otros estados pueden hacer de esto una muy imponente

declaración. Más sobre esto en la siguiente sección, pero por sí sola esta habilidad puede cambiar la forma de interactuar con los demás; los principios para la que están inmersos en la PNL.

Estructura de la oración

En Inglés, el sonido de la voz de la persona en el final de la frase indica si lo que se dice es una pregunta, declaración, o comando. La voz de una persona sube al final de una oración para las preguntas. La voz sigue siendo el mismo a través de la final de la oración en los estados, y la voz disminuye por la condena a cerca de comandos.

Durante los siguientes párrafos, la negrita denota la fuente para bajar (profundizar) su tono de voz.

Intente este ejercicio: Cuando usted hace una pregunta como: “¿Es que su perro?” Su voz se levantará en el final de esa frase. Sin embargo, puede incrustar comandos sutiles en frases con sólo cambiar a un punto hacia abajo durante la sentencia, no al final. Aquí hay algunos comandos simples para que usted practique. Nótese cómo tienen el comando se inyecta dentro de la frase. “Recuerda cómo limpia tu habitación mirado la última Navidad?”El comando incorporado es‘limpiar su habitación’, que incluye un desplazamiento en el tiempo a una época más feliz. Este

es un ejemplo de una inyección agradable, sin dolor. “ Compra ahora, puedes ver el beneficios! ”É comienza con la voz baja, y luego hasta un tono normal, y luego hacia abajo para beneficios. "Los más alto de mi empresa va en consultoría, más buena gente como usted nos encontramos.”La implantación de la más alto de mi empresa con un comentario agradable acaba de aumentar sus posibilidades de ser contratado, en parte por el juego de palabras ( Mayor suena como alquiler -así lo que el oyente escucha es contratar mi empresa).

Desde el punto de vista de ingeniería social puede formar oraciones cuando se realiza una auditoría sobre el teléfono para maximizar las posibilidades de éxito,

como:

“Este es Larry de soporte técnico; estamos dando todos los representantes de las nuevas contraseñas.

Tu nuevo contraseña es…"

Las siguientes son sugerencias para utilizar la voz en la ingeniería social exitosa: Práctica. Tienes que practicar hablar de esta manera para que no suene como un adolescente entrando en la pubertad. Sus tonos ascendentes y descendentes no pueden sonar en conserva; deben ser sutiles. Tener cuidado estructura de la oración. Desarrollar frases que maximicen su capacidad para llevar a cabo sus tareas. No entrar a matar, por así decirlo. Un comando como “dame el acceso a la sala de servidores ahora” probablemente no va a funcionar, pero se puede utilizar estas técnicas de voz para ayudar a un objetivo de ser más abierto a la idea.

Ser realista. No hay que esperar para hablar y tener gente que cae a sus pies para hacer lo que se le pregunte. Estas técnicas pueden poner su objetivo en un estado de ánimo que le hará conseguir lo que deseas más fácil. Una de las técnicas, Última voz, si se domina, tiene efectos muy potentes. Una vez entrevisté a un practicante de PNL en un podcast que tenía este don. Cuando habló, lo hizo como si no podía discutir con él. Hablaba con tal control y la técnica que el desacuerdo ni siquiera entró en mi mente. ¿Cómo se puede dominar esta técnica?

Usando última voz en Ingeniería Social Usted puede dominar la voz último, pero se necesita mucha práctica. La posibilidad de incrustar comandos en una conversación normal es una habilidad que es muy útil cuando se domina. la voz final es la capacidad de inyectar comandos en la mente de las personas sin su conocimiento. Puede sonar muy artificial cuando las personas intentan nuevas, hasta que suficiente práctica hace sonar natural. Hipnotizadores suelen utilizar esta técnica de este modo: “Se puede sentir el relajar a medida que se desliza en calma. ”Esta frase terapia estándar se puede adaptar a casi cualquier comando que te gusta. Poner énfasis adicional en las vocales en las palabras que desea acentuar, por ejemplo, “yooouurseeelf reelaaxiing.”

Planeta PNL ( www.planetnlp.com/ ) Ofrece los tres ejercicios que se pueden utilizar para trabajar en el dominio de esta técnica. 1. Mueva su voz alrededor. Presione su mano sobre la nariz y decir “nariz”. Concentrado en la nariz mientras repites la palabra hasta que pueda sentir la nariz vibrante. Ahora haga el mismo ejercicio con la mano en su garganta, diciendo “garganta.” Haga lo mismo en el pecho, diciendo “en el pecho.” Siga practicando hasta que realmente se puede sentir la vibración en cada lugar. Observe cómo los diferentes sonidos de cada uno.

2. Utilice su gama. A partir de una nota alta, decir “ar” (como en la letra r). Mantener la boca abierta, permite la nota a caer hacia abajo hasta que su respiración se agote.

Repita este ejercicio diez veces.

Luego, a partir de una nota baja, diga “ou” (como en tú sin el y), permitiendo que la nota se eleve hasta que no puede soportar el sonido. Repita este ejercicio diez veces.

3. Resonar. Para utilizar la voz correctamente, debe resonar en el máscara,

que es el área facial que rodea la nariz y la boca. Hay dos maneras de practicar la resonancia: Hum en cualquier tono es más cómodo para usted. Después de haber encontrado su terreno de juego a continuación, hum “umm” seguido inmediatamente por la palabra “listo”. Haga esto un par de veces, y luego tratar las palabras “ahora”, “uno”, “dos” y “tres”. Hum y luego permita que sus labios vibren. Está intentando sonar como una paloma. Deje que el terreno de juego para subir y bajar. Esto es muy difícil si usted tiene cualquier tensión en la mandíbula o la cara. Se realiza correctamente durante unos minutos, su cara comenzará a sentirse adormecido.

Después de un par de minutos utilizando estos métodos, se debe notar que su voz suena más nítida. Si le resulta difícil darse cuenta, grabarte y escuchar de nuevo para ver cómo suena a usted.

La mejor manera de mejorar es pasar unos cinco minutos al día a través de estos ejercicios. La práctica puede ayudar a aprender a controlar esta técnica vocal. Por ejemplo, yo soy generalmente una persona alta. Parece como si yo no tengo la capacidad de susurrar.

Para mí, para controlar mi tono, el tono y el volumen, necesito la práctica. Hacer ejercicios de voz simples como éstas pueden ayudar a controlar estas características de la voz.

Cuando se habla de una frase en la que desea incluir un comando oculto, y usted desea bajar su tono, siendo tan sutil que el objetivo no se da cuenta que es imprescindible. De lo contrario, se le alertará subconsciente de la persona para provocar que algo anda mal. Si esto ocurre se puede recoger en sus intentos cerrando de esta manera abajo de su éxito. Como casi todo en la ingeniería social, si una técnica no es algo natural, la práctica es esencial. Pruebe esta técnica de voz en su familia y amigos antes de que usted intenta que en una auditoría. Por experiencia personal, cuando empecé a trabajar en las últimas técnicas de voz, decidí que mi objetivo era integrar comandos en preguntas. Este objetivo llevó un tiempo darse cuenta, pero me gustaría probar cosas simples como: “Cariño, ¿qué hacer quieres comer para la cena de esta noche, filete ¿o algo mas?" Para concluir esta sección, tenga en cuenta tres cosas que un ingeniero social debe centrarse en la hora de estudiar la PNL:

tonos de voz. Como se dijo anteriormente, los tonos de la voz, así como el énfasis que puso en ciertas palabras pueden cambiar todo el significado de una frase. El uso de tono y énfasis, puede incrustar comandos en el interior de la mente subconsciente del objetivo y permitir el objetivo de ser más abierta a la sugestión. Eligió cuidadosamente sus palabras. Aprender a elegir las palabras que tienen el máximo impacto. Coincidir con las palabras positivas con pensamientos que desea el objetivo de pensar positivamente sobre y palabras negativas con los que desea que no piensan lo suficiente. Esta técnica también puede ayudar al ingeniero social crea un objetivo más flexible. Crear una lista de frases de comandos que se pueden utilizar en persona o durante una auditoría de la ingeniería social teléfono. Escribir y practicar frases de comando le ayudará a ser capaz de recordar y utilizarlos cuando lo necesitan. Por encima de todo, la práctica. El control de sus tonos de voz, las palabras que usted elija,

y cómo lo dice que no es una tarea fácil. La práctica puede hacer que esta segunda naturaleza convertido. La PNL es un tema de gran alcance, y, al igual que microexpresiones, esta sección sólo se rascó la superficie. Una vez que comience a dominar las técnicas de la PNL y la capacidad de leer las expresiones faciales, el siguiente paso lógico está utilizando estas herramientas cuando interactúan con un objetivo. A continuación, este capítulo se analizan las mismas tácticas utilizan los interrogadores profesionales.

Entrevista e Interrogatorio

Escenario 1: La puerta se abre y el agresor es notablemente nervioso. Capitán Bad-Mood se acerca y agarra el criminal por el cuello y lo golpea contra la pared. El conseguir alrededor de una pulgada de su cara que grita, “¿Me vas a decir lo que yo quiero saber, de una manera u otra!” Escenario 2: El malo de la película está atado a una silla, ya magullado de los últimos 30 minutos de golpes, y como el interrogador agarra un par de pinzas brillantes, dice, “Usted le habla en ningún momento ...”. Escenario 3: El asesino está sentado en una silla y dos agentes de policía entrar en la habitación. Con calma que se acercan a la mesa y fijan un archivo llamado “evidencia” sobre la mesa. Antes de sentarse se preguntan, “¿Necesita un café o un refresco o algo?”

Abriendo un refresco helado en el primer oficial dice, “Gracias por venir hoy a ayudarnos ...”. La cual uno de los escenarios anteriores es un interrogatorio en la vida real? Si pensó que era el tercero, que tienes razón. Se trata de cómo va a menudo un verdadero interrogatorio. Los dos primeros han sido retratado en las películas de Hollywood y series de televisión tanto que muchos de nosotros podría pensar que son reales. Fuera de los escenarios de guerra y las naciones que no prohíben el uso de la tortura, el tercer escenario es muy probable que la forma en la mayoría de los interrogatorios comienzan. Rara vez como un ingeniero social estar en una situación donde su objetivo está esperando en una habitación para que usted pueda interrogarlo. Con esto en mente, usted podría preguntar, ¿cómo se puede utilizar la táctica de los interrogadores profesionales y los entrevistadores como un ingeniero social?

Antes de seguir adelante usted debe conocer las diferencias entre un interrogatorio y una entrevista. La siguiente tabla muestra algunas de estas diferencias, pero este tema tiene muchos ángulos diferentes, puntos de vista y opiniones, por lo que más podría existir. Entrevista sujeto habla, se escuchan. Asunto conduce dirección de la conversación; a aclarar sus declaraciones y escuchar, a continuación, aplicar habilidades de PNL.

Interrogatorio Usted habla con sus declaraciones sobre el tema. Que llevas dirección. Aplicar las habilidades de PNL aquí.

No acusatorio.

Acusatorio.

Suave en la naturaleza.

Duro en la naturaleza.

La ubicación del sujeto, sujetos a gusto.

Recopilar información (quién, qué, cuándo, dónde, por qué y cómo).

Al principio de la investigación.

sala de interrogatorios, sujeto está tenso. Si revela cierta información, se puede aprender más detalles.

sesión de interrogatorio final.

La principal diferencia entre una entrevista y el interrogatorio es que una entrevista es en una atmósfera donde el objetivo es cómodo tanto física como psicológicamente, mientras que en una consulta, el objetivo es poner un poco de presión en el objetivo mediante la creación de malestar con la ubicación o las preguntas formuladas , con el objetivo de obtener una confesión o algún conocimiento posee el objetivo. Buena interrogatorio es un arte que se puede dominar a través de la experiencia. Muchas habilidades de ingeniería social atan a ser un buen interrogador. Habilidades como la elicitación (ver Capítulo 3); la lectura de la gente, caras y gestos; y tener información sobre el comportamiento humano puede todos los ayudará a ser un interrogador de leyenda.

La entrevista es una gran habilidad para tener, pero siempre y cuando se puede dominar el uso de provocación que puede llegar a ser grande en la realización de entrevistas. principios de interrogatorio se utilizan ampliamente por los ingenieros sociales exitosas. Poner un objetivo en un cierto malestar psicológico o físico para hacer la recopilación de información de ellos más fácil es una habilidad más ingenieros sociales pasarán un tiempo considerable obtener.

Tácticas de interrogación profesionales

Antes de realizar cualquier entrevista o interrogatorio, tendrá que haber hecho la recopilación de información a fondo el ingeniero social. Debe obtener tanta información sobre el objetivo, la empresa, la situación, y los detalles de cada uno de lo posible. Usted debe saber cómo acercarse a un objetivo y qué decir, y tienen en cuenta el camino que va a tomar con el objetivo. Tenga cuidado de observar su entorno, así como cualquier cambio en el objetivo durante la conversación y el enfoque inicial. Uno de los errores que la gente nueva a la entrevista y el interrogatorio se hacen asumiendo cada cambio de comportamiento tiene gran significado. Un objetivo de cruzar los brazos no sólo significa un pensamiento cerrado; que también podría ser frío, tener mal olor de las axilas, o sentir un aumento del estrés debido a sus preguntas.

Reloj no sólo para una señal; pendiente de grupos de signos. Por ejemplo, un objetivo se cruza de brazos, gira la cabeza, y coloca sus pies apoyados en el suelo. Se trata de una persona cerrada; en otras palabras, su lenguaje corporal indica que se divulgará más información o cooperar por más tiempo, esta puerta se ha cerrado. Un grupo de cambios es lo más importante para observar, por lo tenga en cuenta el tema que se está discutiendo cuando el grupo de cambios se produjo.

Al iniciar una entrevista o interrogatorio aquí son áreas para observar los cambios en el tema: Postura corporal: En posición vertical, se desplomó, inclinándose lejos Color de piel: Pálido, rojo, blanco, cambios Posición de la cabeza: En posición vertical, inclinada, hacia adelante / atrás

ojos: Dirección, la apertura

Manos / pies: Movimiento, posición, color Labios de la boca: Posición, color, se volvió hacia arriba / abajo sentido primario: Visual, sonora, cinética, sensación Voz: Tono, velocidad, cambios Palabras: Corto, largo, número de sílabas, disfunciones, se detiene Los cambios pueden indicar una pregunta o serie de preguntas que necesita más atención. Por ejemplo, si la postura del cuerpo es muy relajado cuando se pregunta: “¿Está el Sr. CEO en? Me gustaría dejar este paquete de información para su revisión “, y luego la postura del cuerpo cambia a una postura de la defensiva del torso apuntando hacia afuera y los ojos evitando de mirarte-Puede ser una buena indicación de que hay algo de falsedad que viene y el cuestionamiento más podría revelar la verdad sobre este tema.

Sobre todo, asegúrese de prestar atención a las palabras que utiliza un objetivo. Durante el proceso de entrevista o interrogatorio, prestar especial atención a la voz del sujeto y cómo se responde a preguntas. Cuando usted hace una pregunta, ¿cuánto tiempo se necesita para que ella respondiera? Blurting respuestas rápidamente se cree que es un signo de la práctica de la respuesta. Si se toma demasiado tiempo, tal vez ella estaba pensando la respuesta. El tiempo de respuesta depende de cada persona, sin embargo, porque usted tiene que determinar lo que es “natural” para cada persona. La determinación de lo que es natural en un objetivo (es decir, el base) no es un asunto menor en un concierto de la ingeniería social y debe hacerse muy rápido. Al ser muy observador es la clave del éxito con esta habilidad. Un método para crear una línea de base consiste en hacer preguntas que causan el sospechoso para acceder a diferentes partes de su cerebro. El interrogador hace preguntas no amenazantes que requieren memoria y preguntas que requieren pensamiento creativo simple. A continuación, busque manifestación externa de su cerebro activando el centro de la memoria, como microexpresiones o señales de lenguaje corporal. Otra área es para escuchar los cambios en el tiempo del verbo y pronombre uso. Estos desplazamientos de tiempo pasado a futuras áreas tensa la demostración es posible que desee investigar más a fondo. Cambio de tensión puede indicar el engaño. Cuando un objetivo cambia tensa que se pueden fabricar una respuesta o pensando en un comunicado el pasado para fabricar una respuesta. Además interrogatorio puede revelar la verdad aquí también. Otras áreas de cambio que deben escuchar son el tono de la

de voz (se va con el estrés?) y la velocidad del habla. Usted no tiene que aprender a hacer todo esto al mismo tiempo. La práctica más se obtiene escuchando y observando activamente a las personas más fácil será para que usted lo hace sin pensar. profesional de interrogación se compone de un número de piezas. Las secciones siguientes describen cada uno, en el contexto de la forma en que se refiere a un ingeniero social.

La confrontación positiva

En cumplimiento de la ley confrontación positiva no significa nada positivo y bueno; por el contrario, significa que el agente está diciendo que el sospechoso es el que cometió el delito; en otras palabras, el oficial está haciendo una fuerte acusación. En una auditoría de la ingeniería social, sin embargo, ya ha identificado el “objetivo” que quiere y ahora vas a decir (tal vez usando las tácticas de PNL mencionados anteriormente) que se dirigen de que hará lo que están pidiendo de él.

Usted enfrenta al objetivo con el objetivo de él comenzando en el camino de hacer lo que quiere. Por ejemplo, un ingeniero social puede acercarse a la recepcionista y preguntar: “¿Es el Sr. CEO en? Tengo una reunión con él.”O, para usar un ángulo de confrontación positiva,‘Estoy aquí para mi reunión con el Sr. CEO a las 11 horas.’Observe el segundo ejemplo establece positivamente la reunión como está establecido, se esperaba, y en de tal manera que está seguro de lo que está sucediendo.

Desarrollo tema desarrollo del tema en los interrogatorios de la policía es cuando el interrogador se desarrolla una historia de postular por qué el sospechoso puede haber cometido un crimen. Muchas veces esa historia se retransmite al sospechoso durante el interrogatorio. “Así que le insultó y se puso tan loca, que cogió el tubo y comenzó a golpear el parabrisas con ella.” Mientras que el oficial es contar la historia, él o su pareja está viendo el lenguaje corporal y microexpresiones del sospechoso para ver si hay alguna pista que constituirían acuerdo. Aunque los ingenieros sociales pueden utilizar este método, también me gusta decir que desde un punto de vista de ingeniería social, desarrollo del tema hay que ver

el pretexto de los ojos de la meta. ¿Cómo sería un “representante de soporte técnico”, “manager”, o “compañero de trabajo” verá como, por ejemplo, y hacer? ¿Cómo iba a actuar?

desarrollo del tema para los ingenieros sociales es cuando su evidencia de apoyo que se muestra alimenta directamente en el tema de lo que están representando. Su aproximación a un objetivo, ya sea por teléfono o en persona, a menudo implica un pretexto de algún tipo. El pretexto, por supuesto, apoya su argumento o tema. Esta parte de la interrogación es donde usted ofrece razones o apoyo para el pretexto (véase el capítulo 4 para un repaso de pretextos). Por ejemplo, en una auditoría, mi pretexto fue muy simple, yo era sólo un empleado que pertenecía. Armado con una publicación comercial que encontré en la basura, he seguido algunos empleados a través de la puerta y más allá de la guardia de seguridad. A medida que nos acercamos a la guardia de seguridad empecé una conversación muy simple con uno de los empleados acerca de un artículo en la revista. Todas mis acciones contribuyeron al desarrollo del tema. Su objetivo es dar a las personas que normalmente se paraban justificación para no hacer su trabajo. Cuanto más encajas, menos que se destacan, y más fácil es para los guardias de seguridad y similares, para justificar que no se le para y dejando entrar.

Manejo de negaciones y superar las objeciones

Ya sea por teléfono o en persona, ¿cuál es el plan de acción si se le niega el acceso al lugar o información que está buscando? Me gusta llamar a estos tapones de conversación. La gente los usa con los vendedores todo el tiempo, “no me interesa.” “No tengo tiempo en este momento.” “Me iba ...”. Cualquiera que sea el sabor de los objetivos de tope tirar, debe tener un plan para superar y manejar la denegación de acceso. Me gusta despedir preventivamente objeciones si siento que la situación lo requiera. Cuando yo estaba en ventas, trabajé con un hombre llamado Tony, que tenía una táctica que implicó llamando a una puerta y la introducción de sí mismo, y sin detenerse diciendo: “Sé que usted podría querer decir que usted no está interesado, pero antes de hacerlo, puede responder a esta pregunta: ¿Es cinco minutos de su tiempo por valor de $ 500 “? En este punto, la persona era mucho menos probable que diga: “No me interesa.” Al disminuir la posibilidad de la negación y el seguimiento con una pregunta, de Tony

fue capaz de conseguir el objetivo de pensar en algo más que su objeción. En un trabajo de ingeniería social no se puede caminar hasta el guardia de seguridad y decir: “Sé que no quiere que la gente extrañas en la puerta, pero ...”, ya que aumentaría demasiado sospecha. El uso de esta metodología para superar las objeciones es mucho más compleja para los ingenieros sociales. Usted tiene que pensar en lo que podrían surgir y organizar su tema, historia, vestido, y la persona de adelantarse a esas objeciones objeciones. Sin embargo, todavía tiene que tener una buena respuesta que dar para cuando objeciones surgen. No se puede simplemente salir corriendo por la puerta o colgar el teléfono. Una buena estrategia de salida le permite volver a atacar más adelante.

Una estrategia de salida puede ser tan simple como: “Bueno, señora, lo siento que no me deja entrar a ver al Sr. Smith. Sé que será muy decepcionados porque me esperaba, pero le daré una llamada más tarde y configurar otra cita “.

Mantener la atención del objetivo Si usted maneja su ingeniería de movimiento sociales correctamente hasta este punto y se encuentra en frente del objetivo, entonces el objetivo puede empezar a pensar en lo que pasaría si ella no permite el acceso, tome el archivo, o hacer lo que están pidiendo. Que necesita para alimentarse de que el miedo inherente y lo utiliza para continuar moviendo el objetivo de su meta.

Unos breves declaraciones como: “Gracias por su ayuda. Estaba tan nervioso acerca de esta entrevista que obviamente me puse mal la fecha en el calendario. Espero que la señora HR Manager es un lugar más cálido que aquí?”Permitir una respuesta luego continuar:“Quiero darle las gracias por su ayuda. Cuándo va a estar de vuelta para que pueda llamar para hacer otra cita?”

La presentación de una ruta alternativa Cuando está interrogando el objetivo de una auditoría de la ingeniería social, existe la posibilidad de que el primer camino no será recibido con sonrisas, por lo que tiene un recorrido menor, pero igual de efectivo de acción listo es una buena idea. Tal vez usted ha utilizado todas estas tácticas para tratar de llegar a Sally, la recepcionista, a

permite para ver el Sr. Smith. Las tácticas están fallando y que se están cerrando. Usted debe tener un camino alternativo preparado, como por ejemplo, “Sally, aprecio que tiene que asegurarse que las cosas se hacen sólo con cita previa. Simplemente no estoy seguro de que cuando estaré de vuelta por la zona. ¿Puedo dejar con este CD de información para el Sr. Smith y entonces puedo seguir con una llamada telefónica mañana para ver si va a establecer una cita?” Tener un par de CDs preparados con algunos archivos PDF codificados maliciosamente puede ayudar a hacer este camino una realidad, así como de haber practicado y luego usando tácticas de interrogación rápidamente. Un contacto que me han enviado un documento, titulado “Entrevista e Interrogatorio”, que es utilizado por el Departamento de Defensa para capacitar a su personal en pasar la prueba del polígrafo. En él se esbozan los diferentes enfoques que utilizan los interrogadores profesionales, y he proporcionado aquí. En cuanto a estos diferentes enfoques se puede aprender mucho sobre los diferentes métodos que podría tener sentido para un ingeniero social.

Acercamiento directo: El interrogador asume un aire de confianza en este enfoque. La actitud y la forma del interrogador descarta la que el sospechoso es inocente en absoluto. Sin amenazar, el interrogador desarma el sospechoso diciéndole cualquier otra persona habría hecho lo mismo. Como un ingeniero social, puede utilizar este enfoque en función de su pretexto. Tal vez usted es la gestión, consultor, o de otra persona que tiene poder sobre el objetivo. Esto significa que debe tener un aire de confianza y asumir que el objetivo “debe” que la respuesta que está buscando. enfoque indirecto: Se deja que el sospechoso para contar su versión de los hechos en detalle y el interrogador busca omisiones, discrepancias y distorsiones. El trabajo del interrogador es dejar que el sospechoso sabe que el mejor curso de acción es para decir la verdad. Como ingeniero social puede utilizar este enfoque no se acerca al objetivo en ningún papel, pero tal vez como una provocación, una pregunta diseñada para obtener información de la meta. El ingeniero social puede recopilar información desde el objetivo al permitir que lo haga la mayor parte de la conversación.

enfoque favorable: El manual DOD ofrece un excelente

pensamientos en este enfoque. El interrogador cae por su voz y habla en un tono más bajo, más tranquila que da la impresión de que es una persona comprensiva. Se sienta cerca del sospechoso y tal vez pone su mano sobre el hombro del sospechoso o le da una palmadita en el brazo. El contacto físico en el momento adecuado es muy eficaz.

El ingeniero social puede utilizar este método en la misma manera que el interrogador. Tal vez usted oye por casualidad a algunos empleados se quejan de que el jefe que usted está esperando a la puerta posterior de la puerta. O tal vez usted ha seguido el objetivo de la barra local y entrar en una conversación donde se puede mostrar empatía a una situación. Puede utilizar este enfoque por todas partes, y es muy eficaz. acercamiento emocional: Este enfoque se reproduce en la moral o las emociones del sospechoso. Preguntas como: “¿Qué van a su esposa o hijos pensar en esto?” Se utilizan en esta táctica de interrogación. Los pensamientos que son despertados emocionalmente le molesta y ponerlo nervioso; ya que estas emociones se manifiestan, el interrogador puede sacar provecho de ellos. Puede utilizar este enfoque de una manera similar a la anterior, en la que se juega en una debilidad identificada en el objetivo. En un compromiso, que sabía que el objetivo era parcial a organizaciones benéficas para los niños que sufren de cáncer. Jugar con las emociones que era capaz de conseguir el objetivo de realizar una acción que no debería haber tenido, y comprometió su funcionamiento.

enfoque lógico: Este enfoque no-emocional presenta una fuerte evidencia de culpabilidad. El interrogador debe sentarse erguido y ser negocios- como, mostrando confianza.

Puede utilizar este enfoque materia-de-hecho al presentar evidencia de sus razones legítimas para estar presente ejemplo-para, como ser vestido y armado como un reparador de TI y tener el aire de confianza que pertenece allí. enfoque agresivo: Para un interrogador, existe una línea muy fina entre la recopilación de información y infringir los derechos del objetivo que no deben ser cruzadas. La voz debe ser elevado, y el aspecto y el acto debe ser agresivo, pero nunca debe ser violado los derechos civiles de los sospechosos.

El ingeniero auditor social necesita mantener esta línea fina en mente. Al igual que en el caso de Hewlett-Packard, discutido en el capítulo 4, siendo contratado a una empresa ingeniero social no le da el derecho de romper las leyes civiles. La mayoría de las veces la contratación de la empresa que no tiene derecho a permitirá aprovechar los teléfonos en casa, leer correos electrónicos personales, o invadir la privacidad de las personas.

enfoque de combinación: Un interrogador puede combinar dos enfoques para tener el máximo efecto. Esto se decidirá sobre la base de la personalidad del sospechoso. Como ingeniero social puede usar la misma técnica-combinar sus ataques y enfoques para un efecto máximo. Por ejemplo, después de descubrir algunos detalles personales sobre un objetivo, tales como su favorito de barras que locales pueden acercarse al destino e iniciar una conversación. Esta táctica, especialmente cuando se emplea en un ambiente relajado, se puede recorrer un largo camino hacia la apertura de la gente.

enfoque indiferente: Este enfoque es muy interesante porque el interrogador actúa como si él no necesita la confesión porque el caso está resuelto. En ese momento, el interrogador puede intentar manipular el sospechoso en dar su versión de los hechos. Como ingeniero social puede no ser capaz de utilizar este enfoque menos que sea sorprendido. Si está atrapado en una zona o situación que no debería estar en, puede actuar indiferente en lugar de miedo de que te pillan. Actuando indiferente puede hacer que la persona que pillan a no ser alarmado tanto y le ofrecerá la oportunidad de disipar cualquier preocupación. Kevin Mitnick (véase el capítulo 8 para mayor información sobre Mitnick) era grande en esta técnica. Tenía la capacidad de pensar en pie rápidamente. Además, actuando indiferente cuando se encontraba en una situación precaria le permitió salirse con mucho. enfoque de cara ahorro: El interrogador debe racionalizar el delito, dando el sospechoso una salida y una excusa para confesar y salvar la cara. Un interrogador no debe hacer que la excusa tan buena, sin embargo, que el sospechoso se puede utilizar en los tribunales como medio de defensa. Un ingeniero social realmente puede utilizar este enfoque. Un interrogador no quiere dar a alguien demasiado buena excusa, pero un ingeniero social hace. Desea que la excusa para estar tan bien el objetivo no necesita ni siquiera a pensar antes de racionalización como excusa para cumplir con usted.

Un enfoque es decir una persona de más alto nivel que pidió que estar allí. Usted puede seguir esto diciendo, “Puedo entender cómo se puede sentir ahora, pero no quiero ni imaginar lo molesto el Sr. Smith será si no arreglo error de correo electrónico que masiva antes de que regrese el el lunes.”Este enfoque da el objetivo de la habilidad de salvar la cara y cumplir. enfoque egoísta: Este enfoque tiene que ver con el orgullo. Para que funcione se necesita un sospechoso que está muy orgulloso de un logro. Presumiendo de buena apariencia, la inteligencia, o la forma en que el delito se llevó a cabo puede acariciar su ego bastante que él quiere confesar a demostrar que, en efecto, él era tan inteligente. En conciertos de ingeniería social a menudo se utiliza este método. Reproducción en los logros de alguien los sufran derramar sus secretos más profundos. En el caso del ingeniero nuclear de Estados Unidos en China (véase el capítulo 3), los ingenieros sociales cargan el hombre con los cumplidos, y se reveló el secreto y su difusión de información que no debería tener.

enfoque exageración: Si un interrogador overexaggerates los hechos del caso, el sospechoso puede admitir lo que era real. Un ejemplo sería si un interrogador acusa a un ladrón de querer cometer violación y diciendo: “¿Por qué si alguien entrar en una habitación en el medio de la noche?” A menudo, esto hace que el sospechoso a admitir sólo a querer robar y no cometer violación. También puede utilizar este enfoque por overexaggerating la tarea que está allí para llevar a cabo. Por overexaggerating la razón de estar ahí se puede dar al objetivo una razón para que le proporciona menor acceso. Por ejemplo, puede decir: “Sé que el señor Smith quería que arregle su ordenador personal debido a que perdió una gran cantidad de datos, pero si usted no se siente cómodo con eso, puedo potencialmente arreglar su problema desde otro ordenador en el oficina." Acuñando la coartada: Un sospechoso rara vez confiesa sus transgresiones a la vez. conseguir que se haga admisiones de menor importancia, tales como estaba en el sitio, propiedad del arma en cuestión, o la propiedad de un coche similar, él puede moverse hacia admitiendo cada vez más, llevando eventualmente a una confesión completa.

Tal vez usted se detuvo en la puerta durante un concierto de ingeniería social y el guardián se niega el acceso al edificio. Vea si puede “ganar

acceso”mediante el uso de una línea como esta:“Entiendo el Sr. Smith está ocupado y no puede reunirse conmigo. ¿Le importa dándole este CD de información acerca de nuestros productos y que hará un seguimiento con una llamada telefónica más tarde hoy o mañana?”Es un ingreso menor, pero sin embargo se obtendría si no es así, entonces una de sus herramientas en la puerta .

El objetivo final Para prepararse para utilizar entrevista o interrogatorio tácticas adecuadas, como un ingeniero social es posible que desee responder a algunas preguntas de su propio. Os animo a escribir estas abajo en un bloc de notas ya que al hacerlo puede ayudar a prepararse para su encuentro con el objetivo. Además, anotando sus respuestas hace reales y le da un camino para trabajar en durante la preparación para su interrogatorio. Responde estas preguntas:

Quien: Con quien es el interrogatorio o el encuentro que se llevó a cabo? ¿Qué papel juega? los nombres de listas, títulos y otra información sobre lo que es relevante para el interrogatorio.

Qué: Exactamente lo que la preparación se ha hecho y lo que va a ser su objetivo durante el interrogatorio? Debe tener un objetivo definido. Cuando: ¿Cuál es el marco de tiempo del interrogatorio? ¿A qué hora del día o de la noche? ¿Cuáles son las circunstancias en el negocio que llevan a esta decisión sobre cuándo hacer su movimiento? ¿Hay una persona a la que escuchaste acerca? Es un momento en que una gran parte de los empleados están de vacaciones? Es la hora del almuerzo? Es que durante el cambio del personal de seguridad?

Dónde: ¿Cuál es la ubicación de la interrogación? ¿Vas a estar en la ubicación del objetivo? ¿Está el seguimiento de la persona a su gimnasio, bar local, o en la guardería? ¿Dónde está el mejor lugar para tratar de obtener la información que necesita de la meta? Por qué: Las personas escuchan esta pregunta con la suficiente frecuencia de sus hijos, sino que deben ser hechas. ¿Cuál es el propósito de este interrogatorio? Para hacer que el objetivo admitir a la ubicación de algo? Para hacer que se dé información que no debería hacerlo? Para que usted pueda tener acceso a una habitación o una

¿servidor?

Cómo: ¿Qué métodos utilizará en este interrogatorio? PNL? comandos incrustados? desbordamiento de búfer humana (discutido al final de este capítulo)? Microexpresiones? Por supuesto, en un interrogatorio criminal, el objetivo es confesión de un delito. Con el interrogatorio como un ingeniero social el objetivo es una confesión de una especie diferente. Quieres que la gente se sienta cómoda que le da la información, y el uso de las tácticas de interrogación discutidos anteriormente puede hacer que más fácil de hacer. Al final, sus interrogaciones de ingeniería social deben ser como entrevistas lisas. Sin embargo, un ingeniero social puede utilizar otras técnicas para ayudar durante el uso de la entrevista e interrogatorio tácticas sobre un objetivo.

Gesticular Gestos tienen una amplia variación debida al hecho de que son mucho culturalmente dependiente. A diferencia de microexpresiones, que son universales, los gestos de los Estados Unidos en realidad puede ser un insulto en otras partes del mundo, o no tienen ningún sentido en absoluto.

Aquí es un ejercicio para ayudarle a entender mejor las diferencias de gestos. Si lo desea, puede escribir sus respuestas para referirse a en pocos minutos. Dependiendo de lo que la cultura eres, las respuestas serán interesantes para ver.

Escribe lo que piensa significa este gesto y si es grosero en cada caso: 1. La celebración de su palma hacia arriba, punto en el que alguien con el dedo índice y señas a él.

2. Hacer una señal “V” con los dedos índice y medio. 3. Sentarse con las plantas de los pies muestra.

4. Hacer que el símbolo “OK” con los dedos.

5. Agitar una mano con la palma hacia afuera. 6. Asiente con la cabeza hacia arriba y hacia abajo. Si usted escribió sus respuestas, ellos se compara con algunos de los siguientes diferencias culturales interesantes:

1. En los EE.UU. este gesto simplemente significa “Ven aquí”, pero en el medio o Extremo Oriente, Portugal, España, América Latina, Japón, Indonesia y Hong Kong, haciendo señas a alguien de esta manera se considera grosero o insultante. Haciendo señas a alguien con las palmas hacia abajo y utilizando todos los dedos de señas es más aceptable. 2. En los EE.UU. este gesto es un “signo de la paz,” pero en Europa significa “victoria”. Si se pone la palma de la mano hacia su cara que realmente significa, “empujarlo.” 3. En los EE.UU. esto es una forma cómoda de estar y no denota ninguna mala intención. Sin embargo, en otros países, como Tailandia, Japón y Francia, así como los países del Oriente Medio y Próximo, que muestran las plantas de los pies demuestra la falta de respeto. La exposición de la parte más baja y la más sucia de su cuerpo es un insulto.

4. En los EE.UU. este gesto significa que todo está bien. Pero en otras partes del mundo que tiene un significado muy diferente. En Brasil y Alemania es un gesto obsceno, en Japón significa “dinero”, y en Francia que significa “sin valor.”

5. En los EE.UU. esto es un saludo, una manera de decir hola o adiós. En Europa se puede decir “no”, y en Nigeria es un insulto grave. 6. En los EE.UU. asentir con la cabeza es una forma de decir “sí”. Lo mismo es cierto para muchos lugares, pero en algunas áreas, tales como Bulgaria o Grecia, que es una forma de decir “no”.

Estos son sólo algunos ejemplos de los gestos que pueden tener significados diferentes dependiendo de dónde se encuentre o que se está hablando. La comprensión de los diferentes significados de los gestos es importante porque la comunicación es a menudo mucho más de lo que se dice. Esta sección está destinada a mostrar que, durante una interacción con un objetivo, no sólo se pueden observar estos principios pero también se pueden utilizar para manipular el objetivo en un camino de menor resistencia. La comprensión de la cultura de los objetivos que consulte podrán también evitará la realización de un gesto que puede tener resultados no deseados.

anclaje

Los gestos pueden tener algunos efectos de gran alcance cuando se utiliza correctamente. Algunos de estos principios llegado a partir del estudio de la PNL, pero puede tener una gran cantidad de energía cuando se está tratando de establecer la mente de su objetivo en un camino que controles. Uno de tales métodos es de anclaje, que es un método de vincular las declaraciones de una especie como con un cierto gesto. Por ejemplo, si usted está hablando con un objetivo y describe algo positivo y bueno, se puede repetir de nuevo, mientras que solamente haciendo un gesto con la mano derecha. Si se trata de algo malo que pueda gesto con sólo su mano izquierda. Después de hacer este gesto un par de veces se empieza a “ancla” en la mente de su objetivo de que los gestos diestros están vinculados a las cosas buenas.

Los vendedores utilizan este método para consolidar aún más que “su producto” o “su servicio” es excelente y el competidor no lo es. Algunos políticos utilizan este método para anclar pensamientos positivos o pensamientos que quieren que su audiencia a pensar en positivo con ciertos gestos. Bill Clinton fue un gran ejemplo de alguien que entiende esto. Para ver esto en acción (aunque no el ex presidente

Clinton)

visitar www.youtube.com/watch?

v = c1v4n3LKDto y feature = player_embedded .

Mirroring Otra táctica cuando se trata de gestos se llama reflejo, donde se intenta que coincida con sus gestos a la personalidad del objetivo. Por supuesto, esto no es tan fácil como parece. Pero ¿qué se puede discernir sobre el objetivo de sólo observación? Es ella tímida? Está fuerte y saliente? Si se acerca a una persona tímida, con grandes gestos fuertes que seguramente ahuyentarla y potencialmente arruinar sus posibilidades de hacer el intento de ingeniería social. Por la misma razón, si son más tímidos que tendrá que reflejar gestos “más fuertes” cuando se trata de personas “más fuertes”. La creación de reflejo no sólo consiste en imitar el lenguaje corporal de un objetivo, sino también el uso de gestos que hacen que sea fácil para una persona que te escucha.

Puede tomar este principio a otro nivel. Al ver gestos un objetivo está familiarizado con puede ser reconfortante para él o ella. Sin embargo, se debe encontrar un equilibrio cuidadoso, porque si su objetivo tiene un gesto particular que él parece estar usando mucho y lo usa exactamente de la misma manera, entonces se corre el riesgo de

irritarlo. ¿Quieres que lo espejo, pero no exactamente. Si el objetivo termina un pensamiento colocando su mano en la barbilla puede terminar un pensamiento colocando su mano en otra parte de la cara o levantar un dedo para tocar la barbilla un par de veces.

En la siguiente sección se analiza el tema de un gesto un poco más allá al discutir la importancia de la posición y la colocación de los brazos y las manos de un objetivo.

Brazo y colocación de las manos Los oficiales de policía están entrenados para observar la colocación y posición de los brazos y las manos durante las dos entrevistas e interrogatorios. Un aumento en el movimiento o “inquietud” durante un interrogatorio puede mostrar un aumento en los niveles de estrés, lo que significa que el interrogatorio es tener el efecto deseado. Esto es, por supuesto, en un entorno de aplicación de la ley; en una ingeniería social ajuste que tener en cuenta estas mismas señales, pero los signos de estrés en el blanco pueden indicar que necesita dar marcha atrás (a menos que su objetivo es hacer hincapié en que él o ella fuera).

Ciertos agentes de la ley se les enseña a prestar atención a un par de signos: codos en general, andar libre junto al cuerpo cuando una persona está relajado. Cuando se siente amenazado o asustado reacción natural del cuerpo es para tirar los codos hacia dentro de la caja torácica. En esencia esta posición sirve como una capa de protección a los órganos internos de uno que podría ser amenazada. Mano gestos a menudo puede ser muy revelador, también. Un objetivo puede describir algo con sus manos que no dice. Por ejemplo, en un crimen de interrogatorio a sospechosos pueden hacer un gesto que describe la actividad (es decir, estrangulando, tiro, punzante, y así sucesivamente), pero sólo decir la palabra crimen o incidente. La observación de la mano sutiles gestos su objetivo puede utilizar es importante. Tomando nota de los signos de que el objetivo se siente amenazado o asustado puede ayudar a ajustar y poner de nuevo a gusto. Cuando se acerque a un objetivo, se puede decir mucho con el lenguaje corporal y los gestos de brazos y manos antes

la primera palabra se habla incluso. Otros gestos para tomar nota de los siguientes: La palma abierta podría indicar la sinceridad. juntó los dedos podrían indicar la persona se siente con autoridad. Golpeando o golpecitos con los dedos puede indicar ansiedad.

Al tocar la cara puede indicar pensamiento; tocando el pelo puede indicar la inseguridad; y tocar los oídos pueden indicar indecisión. Tomando nota de estos gestos en su destino que puede decir mucho acerca de su modo de pensar. Por otra parte, la realización de estos gestos puede ayudarle a retratar una de estas imágenes si este es su pretexto. Desde el punto de vista de ingeniería social aquí hay algunos puntos clave sobre los gestos, que puede ser imprescindible si usted es un gesturer “grande” como yo:

Nadie debe recordar el gesto, pero sólo el mensaje que se le atribuye. Si la gente tiende a decir: “Wow, ese tipo gestos mucho” que necesita para calmarse un poco. El mensaje es importante, no es el gesto. Evitar la monotonía. Incluso en los gestos puede ser tan soso, aburrido, repetitivo y que el gesto puede ajustar la percepción que el objetivo de que sea negativo. Estar muy preocupados por exhibir la ansiedad, tales como tocar o tamborilear con los dedos o hacer movimientos bruscos. Le dicen al objetivo que está nervioso y en detrimento de su mensaje. Demasiado es demasiado malo. Overgesturing también puede ir en detrimento de su mensaje.

Recuerde que el uso de las expresiones faciales, los gestos y la postura es un paquete. Todos ellos deben mezclan juntos, ser equilibrado, y apoyan su pretexto. Tan bueno como toda esta información es, una herramienta en el arsenal de interrogación puede definir el modo de usar este conocimiento en sus habilidades de ingeniería social.

Escuchando su camino al éxito Probablemente no existe una habilidad que puede ser como abarcando lo escucha.

Escuchar es una parte importante de ser un ingeniero social. Lo que tiene que darse cuenta es que existe una gran diferencia entre audición y escuchando. Se cree comúnmente que la gente retiene mucho menos que el 50% de lo que escuchan. Esto significa que si usted está hablando con una persona durante diez minutos él recordará a sólo unos minutos de lo que ha dicho. Aunque las personas se ganan la vida de esta manera, no es aceptable para un ingeniero social.

A menudo las pequeñas cosas que se dice puede hacer o romper el éxito que están en un esfuerzo de ingeniería social. Esta zona es donde mejorar en gran manera su capacidad de escucha entra, y no sólo escuchar lo que se dice, sino cómo se dice, cuando se dice, y con qué emoción. Todos estos factores contribuyen a la percepción de la información que se transmite. Ser un buen oyente puede sonar fácil, pero cuando estás en el calor del momento, su objetivo final es obtener acceso a la sala de servidores, y que esté escuchando una historia de unos pocos empleados hacia fuera para una rotura del humo que planea el siguiente en el edificio, en verdad escucha puede ser difícil. Sin embargo, es en estos momentos es posible que desee escuchar realmente. Tal vez Susan comienza a quejarse de su gerente de recursos humanos, el Sr. Jones. Se cuenta una historia sobre lo corta que él ha estado con ella últimamente y cómo se está harto de ella. Entonces su compañero de fumador, Beth, dice, “Bueno, debe venir al paraíso de contabilidad. Está lleno de sacudidas allí, también “.

Tal vez esto suena como la charla quejándose de dos empleados cansados ​y tictac-off. O es más? Tiene tanto de sus nombres, el nombre de un director, los nombres de sus departamentos, y una idea de la actitud general de algunos de los empleados. Esta información puede ser muy valiosas en el futuro si es necesario proveer prueba de su validez por ser el interior del edificio. A menudo, la forma en que alguien dice algo que se puede decir mucho acerca de la persona, pero la aplicación de esto requerirá una gran cantidad de escucha. Es la persona enojada, triste o feliz? ¿Se acelerar o ralentizar en su entrega? ¿Lo consiguió emocional o no su emoción se apagara? Prestar atención a este tipo de cosas se puede decir mucho más que las palabras a veces. Entonces, cómo puede convertirse en un gran oyente? Los siguientes pasos pueden ayudar a perfeccionar su capacidad de escucha. estos consejos

le puede ayudar no sólo en la ingeniería social, sino también en la vida, y cuando se aplica a una auditoría de la ingeniería social puede hacer un mundo de diferencia. 1. Presta atención. Dar a su destino su atención indebida. No juegue con el teléfono o cualquier otro artilugio. No tambor de sus dedos o toque. Trate de concentrarse intensamente en lo que se dice, mirando a la persona que habla. Hacer esto de una manera muy curiosa, no en un miedo, “Quiero acechar” manera. Tratan de no pensar en el futuro y planificar su próxima respuesta. Si usted está planeando su próxima respuesta o refutación no se centrará, y es posible que pierda algo importante o dar la impresión de la meta que realmente no importa. Esto puede ser muy difícil de controlar, por lo que el perfeccionamiento de esta tendencia tendrá un trabajo serio para la mayoría de la gente.

Además, trate de no distraerse por factores ambientales. Ruido de fondo o un pequeño grupo de reír de algo puede cambiar su enfoque; no permita que eso ocurra. Por último, prestar mucha atención a lo que el hablante es no diciendo, también. El lenguaje corporal, expresiones faciales, y otros aspectos de la comunicación deben ser “escuchado” a intensidad. 2. Proporcionar pruebas de que se está escuchando. Sea abierto y acogedor, con su lenguaje corporal y expresiones faciales. Asentir de vez en cuando, no muy a menudo, pero a menudo lo suficiente como para dejar que el destino sabe que están allí. Usted no quiere ver como una muñeca muñeco, pero desea que el objetivo saber que está “con él.” No se olvide de la sonrisa de suma importancia. Sonreír puede indicar al destino que estás con él mentalmente y entender lo que está diciendo. Al igual que con el pago de la atención se ha mencionado anteriormente, añadir pequeñas sonrisas cuando sea apropiado. Si la persona que usted está diciendo su perro acaba de morir, moviendo la cabeza y sonriendo lo más probable llevará a ninguna parte. 3. Proporcionar información valiosa. Dejar que sus creencias y experiencias personales filtran el mensaje que viene de camino es demasiado común. Si lo hace es posible que no realmente “escuchar” lo que dice el orador. Asegúrese de hacer preguntas pertinentes. Si ella te está diciendo sobre el cielo azul y luego se dice, “Entonces, ¿cómo era el cielo azul?” No será eficaz. Sus preguntas deben demostrar que ha estado escuchando activamente y tienen la

el deseo de obtener una comprensión más profunda. Cada reflejo o resumir lo que ha oído puede funcionar bien, también de vez en cuando. No recitar la conversación como un informe del libro, pero volver a tapar algunos de los principales pensamientos puede ayudar a ver el objetivo que está en sintonía con el mensaje.

4. No interrumpas. No mucho más hay que decir sobre este extremo. Interrumpir su objetivo muestra una falta de preocupación por sus sentimientos y se detiene el flujo de pensamientos. Dejarlo terminar y después de hablar es mejor.

Sin embargo, existen circunstancias en las que la interrupción puede ser útil o incluso una táctica. Si desea ver un ejemplo, ver la película Zapatillas. Cuando Robert Redford está tratando de acceder a una puerta cerrada con llave que debe ser dejen entrar, se interrumpe el portero en una acalorada disputa sobre algunos artículos de la entrega. Lo hace un par de veces, finalmente, frustrando el portero y lo que le hace abrir la puerta sin autorización. Si usted piensa que va a llegar a alguna parte, interrumpiendo podría ser una buena idea. La mayor parte de sin embargo el tiempo, no lo es.

5. Responda apropiadamente. Este es el pináculo de la buena o mala capacidad de escucha. Si estaba centrado en su refutación o la siguiente declaración, o estás pensando en la rubia muy atractiva que acaba de pasar, es posible poner el pie en la boca. Una vez estaba entrenando a un grupo de personas y les decía a algunos aspectos de las tácticas de manipulación muy detalladas. Me di cuenta de dos chicos no estaban escuchando. Pongo en un pensamiento al azar como, “Entonces se hornea el león a 350 grados durante 15 minutos hasta crujiente.” El resto del grupo estalló en risas y se dirigió a uno de los dos y dijo: “¿Qué opinas , John?”Él respondió con una mirada en blanco y acompasado,‘Um, yah, suena perfecto’. No vuelvas a hacer eso a un objetivo. Es un golpe de muerte a rapport (discutido más adelante en este capítulo). Sea respetuoso, mantener sus emociones bajo control, y responder apropiadamente en todo momento al conversar con un objetivo.

Prestar atención, aportar la prueba, dando retroalimentación positiva, teniendo cuidado de no interrumpir, y responder adecuadamente puede hacer o deshacer cuando se trata de escuchar. Sobre todo entran en juego durante los compromisos de ingeniería social extendidos, como cuando tenía que interactuar con el

muchacho de la Cámara de Comercio de reunión social por “reunión” con él en el bar y luego hablar con él acerca de su negocio. Mucha de la información que estaba buscando habrían sido divulgada en una conversación normal, mundano. Asegúrese de que la práctica estos consejos en casa o en la oficina antes de que llegue el momento de que la conversación tenga lugar. ¿Quieres una buena escucha se convierta en una segunda naturaleza como parte de su arsenal de talentos, no es algo que tienes que pensar.

Sus propias emociones son otro aspecto de la escucha se debe tener en cuenta. Por ejemplo, me criaron en una estricta familia italiana, religiosa. Me enseñaron que no haya faltas el respeto a las mujeres, y tiemblo para informarle de la única vez que llamé a mi madre un nombre despectivo. Voy a decirle que no terminó muy bien para mí. Un día, muchos años después de ese incidente, yo estaba trabajando un compromiso y estaba hablando con un chico del que yo estaba tratando de obtener alguna información. Me acerqué a él en un entorno social y empezamos una conversación. Empezó a hablar de una mujer que trabajó con, de una manera muy inapropiada. Siendo levantado la forma en que estaba, me encontré con una gran cantidad de ira hirviendo dentro de mí. Tenía un tiempo duro que contiene esos sentimientos y debe haber demostrado en mi cara y en mi lenguaje corporal, lo que lleva a que el vector particular que está siendo soplado. �� cuando se trata de escuchar durante los compromisos de ingeniería social, debe probar su más duro para no dejar que los filtros incorporados que tiene en el camino.

Además, recuerde que reaccionar al mensaje, no la persona. Si no está de acuerdo con las creencias o la postura de una persona, él o ella la dignidad ofreciendo que recorrer un largo camino para hacer que la persona se sienta cómodo con usted. Incluso en situaciones en las que no esté de acuerdo se puede encontrar algo que decir empático. Por ejemplo: Objetivo: “Este trabajo apesta. Me hacen trabajar esto y cambio horrible para los salarios bajos, también “. SE: “Me suena como que está abrumado por su situación aquí.” A pesar de que podría estar pensando “esforzarse más” ™, respondiendo de esta manera deja que el objetivo de saber que estaba escuchando, así como empatizar con su situación en la vida. Esta técnica se conoce como reflectante de responder. respondiendo reflectante tiene algunos principios básicos a que:

Escuchar activamente, como se describió anteriormente. Cuando llega la hora de responder, ser consciente de sus emociones. Saber lo que se siente como el objetivo está hablando puede ayudar a reaccionar adecuadamente. Repetir el contenido, no como un loro, pero en sus palabras. Comience su respuesta con una frase evasiva como: “Suena como” “Parece que,” ​o “Parece que.” Estas frases facilitan el mensaje que está tratando de entregar. Si necesita una prueba de ello, la próxima vez que usted entra en una discusión con su compañero, jefe, padres, o quien dice, “Usted está enojado conmigo porque ...” y comparar la reacción de la persona con lo que se obtiene cuando se dice “Es aparece estás loco debido a ...”en su lugar. Va a ver cuál se toma mejor. Reflectante que respondieron se utiliza con la escucha activa es una fuerza muy mortal en el campo de la confianza y habilidades de trabajo en la relación.

A medida que aprenda a escuchar mejor y se convierte en parte de su naturaleza va a mejorar su capacidad de reacción ante el mensaje que se oye. El objetivo de un ingeniero social es reunir información, acceder a algún lugar o algo que no debería tener acceso a, o hacer que el objetivo reciba una acción que no debe tomar. Pensando que debe ser perfecto en la manipulación menudo impide que las personas a aprender y practicar gran capacidad de escucha, pero esta es la razón exacta que necesita para ser un gran oyente.

Considere estas dos situaciones:

Uno de sus vecinos se acerca y le pregunta si usted tiene tiempo para ayudar con un proyecto en su garaje durante aproximadamente una hora. Este vecino tiene un perro que se ha metido en la basura un par de veces y tiende a gustaría usar su jardín como un cuarto de baño. Usted está a punto de sentarse a relajarse al final de un largo día y ver la TV o leer un libro. Su amigo de la infancia se acerca y le dice que necesita un poco de ayuda para mover algunos muebles. Él acaba de conseguir un lugar cerca de cinco millas de usted y él no puede conseguir el sofá por las escaleras. Usted está a punto de sentarse a relajarse un poco. Por qué escenario es más propenso a dejar a un lado relajante? La mayoría de la gente va a dejar a un lado relajante para el segundo escenario, pero se van a plantear con una

excusa o razón para no ayuda a cabo en el primer escenario, o al menos tratar de aplazarlo para otro día cuando no están “ocupados”.

¿Por qué? La gente es muy abierta y libre con los amigos. Cuando se sienta cómodo con alguien, no tiene límites y va a dejar a un lado sus propios deseos y necesidades a veces para ayudar a cabo. Una forma natural confía en el mensaje que viene de un amigo, mientras que con el desconocido se podría empezar a doble adivinar lo que se dice, se trata de determinar si es veraz o no. En el caso de la relación con el amigo, esta conexión se llama compenetración. Desde hace años una relación sólo se ha hablado de cuando se trata de vendedores, negociadores, y similares. Rapport no es sólo para los vendedores; es una herramienta que cualquiera puede utilizar, especialmente el ingeniero social. Si usted se está preguntando cómo construir una buena relación al instante, entonces sigue leyendo.

La construcción de simpatía inmediata Mi antiguo compañero de trabajo, Tony, solía decir que una buena relación edificio era más importante que respirar. Realmente no creo que eso sea cierto, pero tiene un anillo de la verdad en que la construcción de relaciones es vital.

Wikipedia define una relación como: “Una de las características más importantes o características de la interacción humana inconsciente. Es comunidad de perspectivas: “estar 'en sintonía' con, o estar 'en la misma onda' como la persona con la que está hablando. ¿Por qué es una buena relación discute en este capítulo? Es un elemento clave en el desarrollo de una relación con cualquier persona. Sin relación que está en un punto muerto. Dentro de los principios psicológicos detrás de la ingeniería social, buena relación es uno de los pilares. Antes de entrar en los aspectos de cómo utilizar una buena relación como un ingeniero social debe saber cómo construir una buena relación. La construcción de relaciones es una herramienta importante en el arsenal de un ingeniero social. Imagínese que usted podría hacer personas que se encuentran desea hablar con usted, quiere decir que su historia de vida, y quiere confiar en usted. ¿Has conocido a alguien así, alguien que se reunió recientemente, pero se siente totalmente a gusto revelador

él o ella cosas muy personales? Muchas razones psicológicas pueden jugar de por qué esto puede ser el caso, pero el caso puede ser que usted y esa persona acaba de tener una buena relación. Las siguientes secciones describen puntos importantes sobre la construcción de relaciones y cómo utilizar una relación de ingeniería social.

Sea genuino sobre el deseo de conocer a la gente ¿Qué importancia tienen las personas para usted? ¿Le gusta conocer gente nueva? Es un modo de pensar acerca de la vida, no es algo que se puede enseñar. El requisito previo para la construcción de relaciones es gusto personas. La gente puede ver a través de un interés falso. Para ser un buen ingeniero social y ser capaz de utilizar una buena relación, la gente tiene que ser importante para usted. Debe gusto de la gente y disfrutar de la interacción con ellos. Tienes que quieran aprender acerca de las personas. La gente puede ver a través de sonrisas falsas e intereses falso. El desarrollo de un verdadero interés en su destino puede recorrer un largo camino hacia la construcción de una buena relación.

Deberá tener cuidado con su apariencia No se puede cambiar algunas cosas que pueden afectar su interacción con los demás. Por desgracia, la gente todavía puede mantener su color de piel, sexo o edad, en contra de usted antes de facilitar cualquier interacción. No se puede controlar esas cosas, pero se puede controlar aspectos de su apariencia como la ropa, el olor corporal, y la limpieza, así como el contacto visual, los movimientos del cuerpo y expresiones faciales. He leído un comunicado, una vez que he visto verdaderos demostrado demasiadas veces como para ignorar: “Si una persona no se siente cómodo consigo mismo, otros no se sienten cómodos con él tampoco.” Sea consciente de su pretexto y su objetivo. Si su pretexto es el conserje, asegúrese de que su comportamiento, el vestido, la actitud y palabras reflejan a alguien en esa posición. Si su pretexto es un gerente de una empresa, a continuación, asegúrese de actuar y vestirse adecuadamente. Esto toma la investigación pero no hay nada más fácil que mata a una relación sin mirar la parte. Su objetivo en algunos casos es mantener a la gente en el modo de piloto automático que les permitan no se cuestionan. Tener su vestido, aseo personal, o comportamiento fuera de lugar elimina el objetivo del piloto automático y

perjudica sus posibilidades de éxito.

Se un buen oyente Vea la sección anterior para más detalles. La importancia de una buena escucha no puede ser exagerada. Ya sea que usted está tratando de hacer un amigo o hacer un movimiento de ingeniería social, el escuchar es una habilidad que necesita para dominar.

Sea consciente de cómo afectan a las personas Una vez vi a una mujer mayor caída de un elemento cuando salía de una tienda de comestibles. La recogí y la seguí a la playa de estacionamiento. Por el momento me encontré con que ella tenía su baúl abierto y estaba cargando las tiendas de comestibles en su coche. Me acerqué por detrás de este breve pequeña mujer, de edad avanzada y con los 6' 3” de mí se cierne sobre ella dijo: ‘Disculpe, señora.’ Obviamente estaba demasiado cerca para su comodidad y cuando se dio vuelta Gritó, "¡Ayuda! Está tratando de asaltarme. ¡Ayuda!" obviamente, necesitaba pensar en cómo mi presencia podría afectar a esta mujer durante mi interacción con ella. Me he dado cuenta de que una mujer de edad avanzada y solo un estacionamiento que no se esperaba un hombre enorme para caminar detrás de ella podría asustarse. Debería haber llegado alrededor y se acercó a ella desde un ángulo diferente. Sea consciente de cómo su apariencia y otros aspectos personales podrían afectar a la que va a estar en contacto con. ¿Necesita una pastilla de menta? Asegúrese de que no hay comida en la cara o en los dientes. Trate de estar relativamente seguro de que nada es evidente en su apariencia personal que dará vuelta a la persona fuera.

UCLA profesor de Psicología Albert Mehrabian es conocido por la Regla 7-38-55, que establece que las estadísticas muestran que sólo el 7% de la comunicación es normal, las palabras que decimos, mientras que muchos más se encuentra en el lenguaje corporal y tonos vocales. Trate de ser consciente de sí mismo, sino también prestar atención a los primeros segundos de la interacción con una persona. Su reacción a su enfoque puede decirle si usted posiblemente perdido algo, o si necesita cambiar algo para ser más eficaces.

Como un ingeniero social, estar al tanto de cómo afectan a las personas. Si su objetivo final es todo lo que está en su mente que afectará a las personas que entran en contacto con negativamente. Piense en cómo su apariencia, las palabras y el lenguaje corporal pueden afectar a su objetivo. Que desea que aparezca abierto y acogedor.

Mantener la conversación fuera usted mismo A todos nos gusta hablar de nosotros mismos, y más aún si consideramos que tenemos una gran historia o cuenta para compartir, es la naturaleza humana. Hablar de uno mismo es una manera de matar a una buena relación. Deje que la otra persona hablar de sí mismo hasta que se cansa de ella; se considerará un “amigo increíble”, un “marido perfecto”, “gran oyente”, “tipo de ventas perfecto”, o cualquier otro título que está buscando. Las personas se sienten bien cuando pueden hablar de sí mismos; Creo que todos somos un poco narcisista, pero dejando que la otra persona hable por ti saldrá de que la interacción con el que les gusta mucho más. Mantener la conversación fuera de sí mismo. Este punto es especialmente convincente para los ingenieros sociales. Usted tiene una meta definida en mente ya veces su juicio y sentido puede verse empañado por lo que “usted” desea. Tomando ese foco del objetivo es peligrosa por lo que el éxito va. Deje objetivos hablan de sus puestos de trabajo, las funciones y proyectos, y se sorprenderá de la cantidad de información que liberan.

Recuerde que la identificación es clave para Rapport Empatía-definida por Diccionario aleatoria Casa como “la identificación intelectual con o vicaria vivencia de los sentimientos, pensamientos o actitudes de los otros” - que falta en muchas personas hoy en día y es especialmente difícil sentir si usted piensa que tiene la solución para el problema de alguien. Sin embargo, realmente escuchar lo que alguien dice, tratando de identificar y comprender las emociones subyacentes, y luego usando las habilidades de reflexión puede hacer que una persona se sienta como si usted está realmente en sintonía con él. Sentí que era necesario para proporcionar la definición de empatía, porque la comprensión de qué es lo que hay que hacer es importante. En cuenta que debe “identificar intelectualmente” y luego con experimentar “los sentimientos, pensamientos, o

actitudes”de otra persona. Estos no son siempre serio, deprimente, o las emociones extremas. Incluso entender por qué alguien está irritado, cansado o no en el mejor estado de ánimo puede recorrer un largo camino. Imagínese que vaya a la unidad bancaria a través de la dama y el cajero le da una actitud monstruo porque se olvidó de firmar su cheque y ahora tiene que devolverlo. También olvidó una pluma y la necesidad de pedirle otro favor. Su reacción podría ser similar a la mía, sobre todo si ella le dio el rollo de los ojos y la mirada irritada-que quiere decir que ella está aquí para servirle. En su lugar, trate de decir esto, “Parece que podría ser un poco irritado. Entiendo que; Me irritarse cuando tengo que lidiar con mis clientes olvidadizos, también. Odio preguntar esto, pero ¿podría por favor conseguir una pluma?” Es importante no ser condescendiente cuando se trata de mostrar empatía. Si su empatía parece desprenderse soberbio o arrogante, puede hacer que el objetivo se siente como usted les está deseando volver. Usted reconoció su ser molesto pero sin acusación, mostró que tiene los mismos sentimientos, y luego hizo una petición. La empatía puede recorrer un largo camino hacia la construcción de relaciones; Una advertencia es que una relación no puede ser falsificada. La gente necesita sentir que está realmente preocupado de construir esa relación de confianza. Si usted no es un natural en mostrar empatía, entonces la práctica. Practique con su familia, amigos, compañeros de trabajo, profesores o compañeros de clase. Sin embargo, y donde quiera que lo haga, la práctica de la empatía que mejorará en gran medida sus habilidades de construcción de relaciones. La empatía es una herramienta del ingeniero social. Por desgracia, también se utiliza a menudo en la ingeniería social malicioso. Cuando una catástrofe golpea en algún lugar del mundo un ingeniero social malicioso es a menudo allí para “empatizar” con usted. Lo que probablemente hace que esta herramienta tan fácil para los ingenieros sociales maliciosos que utilizan en muchos casos se debe a que realmente son de los malos, pobres o empobrecidos lugares. Al estar en malas estrechos sí hace aparecer empático con apremiantes necesidades de los demás en la vida más fácil y por lo tanto crea una relación de forma automática. Nada crea relaciones más cuando la gente siente que “los consigue.” Esto se demuestra muy cierto cuando alguien es víctima de desastre. Es un pensamiento aterrador, pero los que han sido víctimas de abuso, crimen, violación, desastres naturales, guerra, u otras atrocidades en la tierra a menudo puede “entender” los sentimientos de aquellos

que ellos están experimentando. Esto abre las víctimas hasta confiar en el tipo equivocado de personas si esa relación se construye. Como se mencionó antes, cuando ocurrieron los ataques del 9/11 en Nueva York, muchas personas afirmaron haber perdido familiares o amigos en ataques terroristas. Eso hizo que la gente empatizar y por lo tanto se les dio estas “víctimas” de dinero, la fama, o lo que estaban buscando.

Como auditor de la ingeniería social, debe ser capaz de tener una amplia gama de emociones que puede tocar. Al estar cerrado en sus emociones hace que ser empático muy duro. Este punto va de la mano con la gente realmente gusto. Si lo hace, usted no tendrá dificultades para llegar a conocer a ellos y sus historias y empatizar con ellos.

Ser bien redondeado en su conocimiento general

El conocimiento es poder. Usted no tiene que saber todo acerca de todo, pero tener algún conocimiento acerca de algunas cosas es una buena idea. Te hace interesante y le da algo para basar en una conversación. El conocimiento es poder. El viejo mantra de hackers vuelve a ti como un ingeniero social. Un ingeniero social debe ser un lector y un estudioso. Si se llena la cabeza con el conocimiento, entonces tendrá algo de qué hablar cuando se acerque a un objetivo. No se olviden de la lectura, la investigación y el estudio sobre el tema de la ocupación o aficiones del objetivo. Su objetivo no es ser un “know-it-all” y convertirse en un experto en todos los temas, pero en lugar de tener suficiente conocimiento de que no mire al objetivo con una mirada en blanco cuando se le pregunta: “¿Trajiste una conector RJ-45 con usted para solucionar los problemas de conexión de red del servidor?”

Desarrollar su lado curioso Normalmente, las personas se sienten un poco de justicia propia cuando se trata de sus creencias o pensamientos sobre la forma en que deben hacerse las cosas. Que la auto-justicia o actitud de juicio pueden cambiar la forma en que una persona reacciona a algo que se dice. Incluso si usted no dice nada que pueda empezar a pensar en él, que puede mostrar en su lenguaje corporal o las expresiones faciales. En lugar de ser autosuficiente,

desarrollar una curiosidad sobre la forma en que otras personas piensan y hacen cosas. Ser curioso le impide hacer juicios precipitados. Esto se puede aplicar por ser lo suficientemente humilde para pedir ayuda o pedir más información. Sé mente abierta lo suficiente para estudiar y aceptar los pensamientos del otro sobre un tema, incluso si esos pensamientos difieren de los suyos.

La curiosidad no mató al ingeniero social. Este punto no cambia mucho desde una perspectiva ingeniero no social. Cuando se convierte en curiosidad por los estilos de vida, culturas y lenguas de otros que comienzan a entender lo que mueve a las personas. Ser curioso también le impide ser rígida e inflexible en sus juicios personales. El usuario no puede estar de acuerdo personalmente con ciertos temas, creencias o acciones, pero si usted puede seguir siendo curioso y sin prejuicios a continuación, usted puede acercarse a una persona al tratar de entender por qué él es, actúa, o retrata de una manera determinada, en lugar de juzgar.

Encontrar maneras de satisfacer las necesidades del pueblo Este punto es el pináculo de la lista y es uno de los puntos más poderosos en este libro. El Dr. William Glasser escribió un libro llamado Teoría de la elección en la que identificó cuatro necesidades psicológicas fundamentales para los seres humanos: Perteneciente / conexión / amor de encendido / significado / competencia libertad / responsabilidad Diversión / aprendizaje El principio detrás de este punto es que la creación de formas para la gente para conseguir estas necesidades satisfechas por conversar con usted construye simpatía inmediata. Si usted puede crear un entorno para proporcionar esas necesidades de las personas, puede crear lazos que son irrompibles. Déjame que te cuente una breve historia sobre cómo reunión poderosa necesidades de las personas pueden ser. Yo estaba en un accidente automovilístico menor. Un conductor joven sacó delante de mí y luego decidió parar. Yo tenía una fracción de segundo para decidir entre golpeándolo que va a 55 millas por hora o virar lejos de él, entonces el lanzamiento de mi coche a través de una pequeña zanja en la ladera de una montaña. Elegí en un segundo para no matar a los tres jóvenes en el coche. Mi coche fue en el aire hasta que fue detenido por la roca sólida. Vi a mi pequeña y hermosa de deformación Jetta personalizado bajo la

peso, y mi cara smacked en el parabrisas. Apenas mellado parachoques trasero del otro conductor, pero me estaba moviendo lo suficientemente rápido que su coche estaba en el lado de la carretera. Cuando pude orientarme llamamos a la policía y una ambulancia.

El joven tenía una compañía de seguros diferente de lo que hice. A la mañana siguiente me dieron una llamada de su agente, quien amablemente me hizo preguntas. Me dijo que un ajustador saldría a ver a mi Jetta ahora arrugado, y dentro de 48 horas que se entregó un cheque y una carta en la que iban a cubrir todos los gastos médicos de mi recuperación. Me hicieron entonces una llamada de seguimiento de su agente de seguros para ver si estaba bien. ¿Cuántas llamadas de mi compañía de seguros qué crees que tengo? Tengo uno, sólo para decirme cómo responder a las preguntas. Entiendo que preocuparse por cada persona no es el trabajo de estas grandes empresas. Pero el otro agente me llamó simplemente ver si yo estaba bien. He luchado ninguna batalla para recibir el pago y me dieron un precio muy razonable para mi coche. Dos días después de que me cancelaron mi seguro y fui a ver a Eric, el agente de seguros que me llama, de la compañía del joven. Yo le dije que estaba tan impresionado que quería lo que estaba vendiendo. Han pasado 12 años y me usar Eric para cada necesidad de seguro que tengo. Hace aproximadamente dos años, recibí una llamada de una compañía de seguros me propone los precios que eran sustancialmente más bajos que lo que Eric y su oferta de la empresa. Ni siquiera podía pensar en hacer eso a Eric. ¿Por qué? Rapport-simple y llanamente. Eric es mi amigo, mi ayudante, alguien a quien puedo llamar para preguntas sobre el seguro, y alguien que siempre me va a dar el mejor asesoramiento. Él se preocupa, él sabe mi familia, y nunca intenta difíciles de vender mi. Él no tiene por qué, porque voy a comprar todo lo que tiene, porque confío en él.

Este es el poder de una buena relación. No sé, a lo mejor final del juego de Eric en la comprobación en mí fue a buscarme a mover a su práctica de seguros, aunque lo dudo. Conociéndolo, realmente se preocupa y cualquier persona que lo conoce dice lo mismo. Su hermano y él dirigen un negocio sólido. Rapport puede crear lazos entre las personas que trascienden coste o pérdida. Llenar una necesidad de la persona que está hablando drásticamente aumenta las posibilidades de establecer una relación. Hacerlo sin que parezca tener un final del juego, hacerlo con un deseo genuino de ayudar, y se sorprenderá de los resultados. Quizás

ninguna otra vía es más valioso para los ingenieros sociales que ser capaz de responder a estas necesidades. Aprender a crear un ambiente que permita el blanco se sienta cómodo y obtener una de las cuatro necesidades básicas fundamentales Met es una manera segura de garantizar una buena relación irrompible. Espías utilizan este principio de llenar una necesidad o deseo a menudo. En un reciente viaje a un país de América del Sur me dijeron que su gobierno se infiltra todo el tiempo a través de satisfacer la necesidad básica de “conectar o amor.” Una mujer hermosa será enviada a seducir a un hombre, pero esto no es de una sola noche estar. Ella le seducirá por días, semanas, meses o incluso años. Como el tiempo sigue ella conseguirá más audaz con sus solicitudes de dónde están íntima, con el tiempo que se dirigían a su oficina, donde se obtiene acceso a chinches de las plantas, troyanos, o unidades de clones. Este método es devastador, pero funciona. Los ingenieros sociales llenan deseos a través de correos electrónicos de phishing también. En una prueba de 125 empleados de una empresa muy buena reputación se envían archivos de imágenes falsas etiquetados BritneyNaked.jpg, MileyCyrusShowering.jpg, y otros nombres, y cada imagen se codifican con un código malicioso que le daría al acceso ingeniero social en el ordenador del usuario. Los resultados fueron que más del 75 por ciento de las imágenes se ha hecho clic. Lo que se encontró fue el más joven de la estrella se ha mencionado en la imagen, mayor será la relación clic. Estos hechos repugnantes y devastadoras muestran lo bien que cumplen los deseos de las personas pueden trabajar. En persona, también, que no es diferente. interrogadores de la policía utilizan esta táctica para la construcción de relaciones todo el tiempo.

Una vez que entrevistó a un agente de la policía de un podcast que hice en social-engineer.org

( www.social-engineer.org/framework/Podcast/001_-

_Interrogation_and_Interview_Tactics ). El invitado contó una historia que demuestra este punto sobre el poder de hacer que la gente relación a cumplir con las solicitudes. Los agentes habían detenido a un hombre que era un Peeping Tom. Él tenía un fetiche donde le gustaba para invadir la privacidad de las mujeres que usaban botas de vaquero de color rosa. La aplicación de la ley, en lugar de juzgar por el monstruo que es, utiliza frases como: “Me gustan los rojos a mí mismo,” y “vi a esta chica el otro día llevaba pantalones cortos y botas altas de vaquero, guau!” Después de poco tiempo empezó a relajarse. ¿Por qué? Estaba entre las personas de ideas afines. Se sentía conectada, parte de la multitud. Sus comentarios lo pusieron en la facilidad y empezó a derramar sus tripas de sus “hábitos”.

El anterior es un buen ejemplo de cómo desarrollar y construir una buena relación, pero ¿cómo se puede utilizar como un ingeniero social? Se puede establecer una relación en cuestión de segundos mediante la aplicación de los principios de la construcción de relaciones discutidas anteriormente. Para probar esto, imagina que necesita para agarrar un poco de dinero en efectivo, usted no tiene su tarjeta de cajero automático en usted, y usted olvidó su número de cuenta, por lo que tiene que ir y preguntar a alguien un poco de ayuda. Tal vez se sienta un poco de vergüenza por tener que pedir su número de cuenta. Entras en una rama local de su banco nunca han estado en. Nadie está en el banco y usted tiene su elección de escrutadores. Tal vez usted no piensa en ello, la mayoría de la gente no, pero que se verá sobre todos los carriles abiertos y elegir a la persona que te hace sentir más cómodo. Obtendrá los mismos resultados de cada carril, pero va a elegir la que te hace sentir bien.

Tal vez que elija la persona más atractiva, o el que tiene la sonrisa más grande, o el que le saluda primera persona que elija y sin embargo usted elige a tomar la decisión, ya sea consciente o inconscientemente, pero mucho de ello tiene que ver con compenetración. El mismo principio se probará cierto cuando se trata de usted y su objetivo. Como se puede caminar hasta un objetivo se hará juicios rápidos instantáneos de usted basado en su apariencia personal, comportamiento, expresiones faciales, y, por supuesto, su estado de ánimo. La mayoría de estos factores que se pueden controlar, a fin de tomar medidas preventivas en ellos para asegurar el éxito.

compenetración edificio crea un vínculo adecuadamente como pegamento fuerte que puede soportar el inconveniente menor e incluso algún malentendido. Rapport permite a una persona a decir y hacer cosas que sólo los amigos cercanos pueden hacer, porque él o ella se pone en ese círculo interno de confianza. Es una fuerza poderosa sin la cual los vendedores, las amistades, el empleo, y muchas otras situaciones son mucho más difíciles.

Recuerde que en el capítulo 4 pretextos? Aprendió que pretextos es más que jugar una parte, es vivir, ser y convertirse en la persona a la que retrata a la meta. Tener una fuerte pretexto es imprescindible para construir el tipo de relación. En muchos compromisos de ingeniería social que no tendrá el tiempo para construir una historia y utilizar técnicas de seducción o rapport a largo plazo, por lo que su éxito estará basado en muchas de las cosas no verbales

que tendrá que hacer.

Utilizando otras técnicas de construcción-Rapport Otras técnicas de fomento de la relación que existen se basan en la investigación de la PNL. Como usted sabe, una buena relación es básicamente conectando con alguien y él o ella poner a gusto; algunas técnicas de PNL utilizados por los hipnotizadores y profesionales de la PNL se pueden poner a la gente en la facilidad de inmediato, como se discute a continuación.

Respirar al mismo ritmo que su blanco Respirar al mismo ritmo que alguien no significa que se escucha con atención a cada respiración y tratar de inhalar y exhalar cuando su objetivo hace. Sin embargo, algunas personas han patrones de respiración muy definido: Algunos tienen respiración rápida y corta, y algunos tienen la respiración larga y profunda. Observe cómo respira el objetivo y el espejo ese patrón, pero sin repetir como loros (es decir, haciendo al mismo tiempo exacto).

Su juego de tono vocal y la forma de hablar de destino Nací en Nueva York y criado en una familia italiana. Hablo rápido, fuerte, y con las manos. Además de ser el 75 por ciento italiana, soy el 25 por ciento de Hungría. Soy grande, alto, y en voz alta y el gesto como un traductor de lenguaje de señas profesional en la velocidad. Si me acerco a un sureño tímido, tímido, lento-hablar Puedo matar relación si no reducir la velocidad, puse las manos de distancia, y cambiar mi estilo de comunicación. Escuchar el tono de voz de su objetivo y que coincida con el suyo a él, si él es un orador lento, rápido, fuerte, tranquilo, o blando. En cuanto a los acentos, una buena regla es: No trate. A menos que pueda hacerlo muy bien ni siquiera lo intentan. Un acento mal hecho es un asesino relación. En esta misma línea, también se puede tratar de escuchar frases clave. La gente utiliza términos como “dokie Okie” o “yepper.” Preste atención a cualquier frases clave, e incluso si están por ahí, usted podría ser capaz de trabajar con ellas en una frase.

Una vez, hablando con un objetivo que decía cosas como: “Son las seis de una y media docena de otro.” No uso esa frase mucho y no quería meter la pata, ya que esto crearía una falta de relación. En su lugar, me gustaría mezclar

en algunas de las palabras clave de esa frase y decir cosas como: “Debo haber hecho de que una media

docena veces." ¿Cómo alguien habla es también un área donde se debe restringir sus juicios personales. Algunas personas son cercanos conversadores, algunos son murmuradores, algunos son touchers-si no está, es necesario permitir a una persona la libertad para hablar de la manera que él o ella se siente cómoda y luego reflejarlo.

Coincidencia de lenguaje corporal de tu objetivo Coincidencia de lenguaje corporal es una vía muy interesante de la construcción de relaciones, principalmente debido a que puede trabajar para crear lazos muy fuertes, pero al mismo tiempo puede matar a toda su relación en cuestión de segundos en el caso de un desajuste.

Si nota que alguien de pie de cierta manera, tal vez con ambos brazos cruzados, no asuma que se está cerrando a cabo, tal vez ella es sólo frío. Se puede cruzar un brazo sobre su cuerpo para reflejar su postura, o doblar las manos en un campanario? Cuando se sienta a través de alguien que está comiendo una comida que puede tomar unos sorbos de su copa mientras se come a él espejo. No hacer todo lo que hace, pero que acciones similares.

La gente como personas que son como ellos. Eso es sólo la naturaleza humana. Esto los hace sentir cómodo. Bill Philips fue el genio detrás del cuerpo- para- programa de vida que cambió la forma se desarrollaron programas de entrenamiento. Promovió algo que estaba fuertemente ligado al principio de la creación de reflejos. Si usted es gordo y sólo pasar el rato con la gente gorda, la posibilidad de que su cambio es prácticamente nula. ¿Por qué? La respuesta es que se siente cómodo con la gordura y con personas que también se sienten cómodos con ella. Si desea cambiar, a continuación, pasar el rato con la gente flaca y un cambio mental suceder rápidamente.

Este principio es el mismo en la ingeniería social. Usted no quiere que sus objetivos para hacer un cambio, por lo que necesita ser como ellos. ¿Quieres que se sientan bien con usted.

Prueba de Rapport

El uso de estas técnicas de construcción de relación alternativos, así como emparejar los niveles de energía, expresiones faciales, y similares puede construir una relación fuerte en un nivel subliminal. Después de probar algunas de estas tácticas que puede poner a prueba su relación al hacer un movimiento, como rascarse la cabeza o el roce de la oreja, y si en el próximo par de minutos que vea a su objetivo realizar un movimiento similar es probable que haya desarrollado alguna relación fuerte.

Estas técnicas pueden hacer maravillas en muchas partes de su vida en el desarrollo, construcción, e iniciar relaciones con los demás. Aprender a usar los principios psicológicos incluidos en este capítulo puede hacer una gran diferencia en su práctica de la ingeniería social. Durante años, ha habido un mito que la mente humana puede sobrescribir como un programa. ¿Es sólo un mito? Se puede dominar la mente humana?

La siguiente sección revela algunas de las informaciones más alucinante en este libro.

El desbordamiento del búfer humana Un vidrio sólo puede contener tanto líquido. Si usted tiene un vaso de 8 onzas y se intenta verter 10 onzas de líquido en ella, ¿qué pasará? Que se desbordará y derramarse por todo el lugar. Si se intenta forzar el recipiente para contener más líquido que tiene la intención de eventualmente puede romper el vidrio debido a la presión. Los programas de ordenador funcionan de una manera similar. Imagine que tiene un pequeño programa que tiene un solo propósito y dos campos: nombre de usuario y contraseña. Cuando se abre el programa se ve una pequeña pantalla donde se escribe administración en el campo Nombre de usuario y contraseña en el campo Contraseña. Aparece una pequeña caja que dice “OK”, que significa que todo está bien. El desarrollador asigna una cierta cantidad de espacio de memoria para el campo Nombre de usuario, lo suficiente para mantener la palabra administración un par de veces. ¿Qué ocurre si pones 20 A en ese campo y haga clic en OK?

El programa se bloquea y le da un mensaje de error. ¿Por qué? La entrada introducida es más largo que el espacio asignado y sin manejo de errores adecuado

el programa genera una excepción y se estrella. El objetivo de los hackers de software es encontrar la dirección que el programa invocará en un accidente e insertar código malicioso en esa dirección. Al controlar el flujo de ejecución del hacker puede decirle al programa que “ejecutar” cualquier programa que desea. Se puede inyectar comandos de cualquier tipo en el espacio de memoria de ese programa porque ahora lo controla. Como pruebas de penetración pocas cosas son más emocionante que ver un programa ejecutar comandos que lo indique.

La mente humana funciona de “software” y con los años que construir conjuntos de instrucciones, tampones, y longitudes de memoria en su “paquete de software.”

Antes de aplicar esto a la mente humana, las definiciones de algunos términos técnicos son necesarios. UNA buffer es un área del espacio que se da para que algo suceda o para recoger datos. Como en el ejemplo simplista de vidrio-de-agua, el campo de contraseña se da un tampón, que es el número de caracteres que se les permite tener. Si un número mayor que el buffer se introduce el programador tiene que decirle al programa que hacer algo con el mayor de los datos necesarios establecidos. Si no lo hace, se bloquea el ordenador y el programa se cierra. A menudo lo que sucede en el fondo es el programa de no saber qué hacer con todos los datos por lo que se desbordó el espacio asignado, se estrelló el programa, y ​se cierra. Por lo tanto el desbordamiento del búfer plazo. La mente humana funciona de una manera similar. El espacio se asigna para ciertos conjuntos de datos. Si un determinado conjunto de datos no se ajusta al espacio que tenemos para ello, lo que pasa? A diferencia de una computadora, su cerebro no se estrella, pero sí abrir una brecha momentánea que permite un mando a inyectar por lo que el cerebro se le puede decir qué hacer con los datos adicionales. Un desbordamiento de memoria humana es básicamente el mismo principio. El objetivo es identificar un “programa” en ejecución e insertar códigos en ese programa que le permitirá inyectar comandos y en esencia controlar el movimiento del pensamiento a una dirección determinada. Para probar este concepto, echar un vistazo a un ejemplo muy simplista (véase Figura 5-16 ). Debido a que la imagen de este libro es blanco y negro, he puesto una copia a color

arriba

en

la

sitio web

a www.social-

engineer.org/resources/book/HumanBufferOverflow1.jpg . Aquí está el quid. Abrir esa URL y, a continuación, lo más rápido que se puede tratar de leer el

color de la palabra, no es lo que define la palabra. Figura 5-16: tampón humano experimento desbordamiento 1.

Este juego no es tan fácil como parece. Si usted consigue con éxito a través de él, a continuación, tratar de hacer el ejercicio más rápido y más rápido. ¿Qué pasará con la mayoría, si no todos, de nosotros, es que al menos una vez que se lea la palabra y no el color, o se encuentra luchando a través de él. ¿Por qué tenemos tantas dificultades con este ejercicio? Es a causa de comandos inyectados. Nuestros cerebros no quieren leer las palabras de los colores. Es la forma está conectado a la mente humana. Nuestro cerebro ve el color, sino que reacciona a la palabra que se escribe en primer lugar. Por lo tanto, la idea en nuestra mente es la palabra no el color. Este ejercicio muestra que el tener “código” ejecutar en el cerebro humano que podría ser lo contrario de lo que la persona está pensando o ver es posible.

Establecer las reglas básicas

En un documento titulado “Modificación de habla audible y visual” ( www.prometheus-inc.com/asi/multimed Michele), los investigadores Covell, Malcolm Slaney, Cristoph Bregler, estatales y Margaret Withgott que los científicos han demostrado que las personas hablan de 150 palabras por minuto, pero piensa en 500-600 palabras por minuto. Esto significa que la mayoría de las personas con las que habla pueden saltar alrededor de sus conversaciones en sus cabezas. Así que desborda el cerebro a través del habla rápida parece casi imposible. También debe comprender cómo las personas toman decisiones en la vida. La gente hace la mayor parte de sus decisiones inconscientemente, incluyendo cómo conducir al trabajo, tomar un café, cepillarse los dientes, y qué ropa usar, sin pensar realmente en ello.

¿Alguna vez ha conducido todo el camino al trabajo y al llegar allí, no puede recordar lo que ha pasado vallas publicitarias, qué ruta que tomó o que accidente de tráfico en las noticias? Usted estaba en un estado de ánimo en su subconsciente se hizo cargo e hizo lo que siempre haces sin su conscientemente pensando en cada vuelta. La mayoría de las decisiones de las personas son así. Algunos científicos creen incluso las personas toman decisiones hasta siete segundos antes en su subconsciente antes de hacerlas en el mundo real. Cuando las personas hacen finalmente tomar una decisión consciente lo hacen desde algo más que lo que escuchan la vista, sentimientos y emociones se involucran en la decisión. La comprensión de cómo funcionan los seres humanos y piensan puede ser la forma más rápida de crear un desbordamiento del búfer o un desbordamiento de los programas naturales de la mente humana para que pueda inyectar comandos.

Fuzzing el sistema operativo Humano En la piratería de software reales, un método llamado la formación de pelusa se utiliza para encontrar errores que se pueden sobrescribir y dar el control a un hacker malicioso. fuzzing es donde el hacker lanza datos aleatorios en el programa en diferentes longitudes para ver lo que hace que choque, ya que no puede manejar los datos. Eso le da al hacker un camino para inyectar código malicioso. Al igual que fuzzing un programa, es necesario entender cómo la mente humana reacciona a ciertos tipos de datos. La presentación de las personas con diferentes conjuntos de

decisiones o diferentes conjuntos de datos, a continuación, ver cómo reaccionan nos puede decir los “programas” que se están ejecutando. Ciertas leyes en la mente humana parecen ser inherentes que todos sigan. Por ejemplo, si se acercan a un edificio con dos juegos de puertas (una exterior y otra interior) y se mantiene el primer conjunto abierto para un completo desconocido, ¿qué te parece que va a hacer a continuación? Él ya sea realizar el próximo conjunto abierto para usted o para asegurarse de que conjunto permanece abierto hasta que entras. Si se encuentra en una línea de fusión de tráfico y deja que un desconocido se funden en frente de usted, más probable es que si necesita fusionarse más tarde se le dejaría en sin ni siquiera pensar. ¿Por qué?

La razón tiene que ver con el ley de las expectativas, que establece que las personas suelen cumplir con una expectativa. Las decisiones se hacen generalmente sobre la base de lo que esa persona siente el solicitante él o ella espera hacerlo. Una forma puede empezar a enviar sus “datos” maliciosas para el programa se llama cerebro presuposición. Al dar a la primera algo objetivo, la solicitud de realizar la próxima será “espera” a seguir. Un ejemplo sencillo para poner a prueba es con las puertas. Mantenga una puerta para alguien y lo más probable que la persona va a hacer al menos un intento de asegurar el siguiente conjunto de puertas está abierta para usted. Un ingeniero social puede hacer esto por primera vez el objetivo de dar un cumplido o una pieza de información que consideren valiosa, antes de que se hizo la solicitud. Dando que más del primero crea en ellos la necesidad de cumplir con una solicitud futuro, ya que se espera. La presuposición puede describirse mejor mediante un ejemplo:

“¿Sabías que mi vecino de al lado, Ralph, siempre conduce un Ford Escort verde?”

En esta frase que presuponer: Sé que mi vecino. Su nombre es Ralph. Él tiene una licencia de conducir. Él conduce un coche verde.

Para utilizar con eficacia presuposición hace una pregunta usando las palabras, el lenguaje corporal, y una expresión facial que indica lo que está pidiendo ya está aceptado. La esencia básica de este método consiste en pasar por alto el “firewall”

(La mente consciente) y obtener acceso directamente a la “raíz del sistema” (el subconsciente). La forma más rápida para inyectar su propio “código” es a través de comandos incrustados, se discute a continuación.

Las Reglas de comandos incrustados Algunos principios básicos de comandos incorporados a hacer el trabajo:

Por lo general, los comandos son cortos: tres o cuatro palabras. Se necesita énfasis ligero para hacerlos efectivos. Ocultándolos en oraciones normales es el uso más eficaz. Su lenguaje facial y corporal debe ser compatible con los comandos. comandos incrustados son populares en marketing con cosas como: “Comprar ahora!” “Actúa ahora!” “¡Sígueme!” En un verdadero desbordamiento del búfer, explotan escritores utilizan el relleno, que es un método de añadir algunos caracteres que no interrumpen la ejecución, pero permiten una pequeña “pista de aterrizaje” que conduce al código malicioso. Los ingenieros sociales pueden utilizar frases que son como relleno, para ayudar a que el siguiente comando tiene un lugar suave a la tierra cuando se inyecta, tales como:

"Cuando tú…" “¿Cómo se siente cuando usted ...” “Una persona puede ...” “Como ...”

Todas estas declaraciones crean una emoción o un pensamiento que le permite inyectar código en el subconsciente.

Existen muchos ejemplos de comandos incrustados, pero aquí hay algunos a considerar: El uso de frases o historias: El cerebro tiende a procesar historias de manera diferente que otra información. Algunos de los más grandes maestros que han vivido-Aristóteles, Platón, Gamaliel, Jesús-todas las historias e ilustraciones utilizados para enseñar a los que escuchan a ellos. ¿Por qué?

La mente inconsciente procesa historias como instrucciones directas. Bandler, uno de los padres de la PNL, enseñó que los practicantes de PNL necesitan aprender a usar comillas. Él sabía que el poder de las historias o las cotizaciones daría el poder altavoz sobre el pensamiento de sus oyentes. La lectura de las cotizaciones, el uso de citas, y luego la incorporación de comandos en las citas puede ser un poderoso uso de esta técnica. Por ejemplo, en una situación que necesitaba para manipular un objetivo que me diera una contraseña antigua por lo que pude “cambio” a una contraseña más segura. Mi pretexto era un representante de soporte y se cuestionó de forma automática por qué había una necesidad de cambiar las contraseñas de edad. Solía ​algo como: “Un estudio reciente realizado por Xavier Research Inc. indicó que el 74% de las personas utilizan contraseñas débiles en el mundo empresarial. Esa es la razón por la que puso en marcha un programa para cambiar las contraseñas de toda la empresa. Voy a realizar ese cambio de contraseña para usted; Necesito para que me des tu antigua contraseña de Windows y luego haré que el cambio ahora.”Por citar un centro de investigación, agregó peso a mis palabras acerca de por qué este cambio tenía que ocurrir.

El uso de la negación: La negación es muy similar a la psicología inversa. Al decirle el objetivo de no hacer algo demasiado, puede incrustar un comando en la sentencia. Por ejemplo, si te digo “No pasar demasiado tiempo practicando el uso de comandos incrustados,” yo puedo resbalar el comando “practicar el uso de comandos incrustados”

en la frase. También puedo presuponer que será practicarla, en cierta medida, y si usted es terco se podría decir, “Usted no me puede decir qué hacer, voy a practicar todo lo que quiero.”

Decirle a una persona que algo no es importante o relevante hace que su inconsciente prestar una atención especial para que pueda determinar si es relevante o no. Puede incrustar comandos en frases negativas como el ejemplo anterior que dejará el oyente otra opción que tomar medidas. Obligando al oyente a utilizar su imaginación: Este método funciona cuando se hace una pregunta al oyente, utilizando frases como “lo que pasa ...” o “¿Cómo se siente cuando ...”, para lo cual tiene que imaginar algo para responder a ella. Si usted pregunta, “¿Qué pasa cuando se convierte en rico y famoso?” El oyente tiene que imaginar internamente el tiempo que podría ser rico y famoso a responder a esa pregunta. Si te pregunto: “¿Qué

que sucede cuando a dominar el uso de comandos incrustados?”Yo te estoy obligando a imaginar convertirse en un maestro y cómo se sentirá cuando esto sucede. Piénsalo de esta manera: Si te digo: “No imaginar una vaca roja,” hay que imaginar una vaca roja primero en decirse a sí mismo a no pensar en ello. Su mente inconsciente es responsable de interpretar cada palabra en un conjunto de comandos en algo que puede representar y dar significado a.

En el momento en que su cerebro ha entendido la frase, su inconsciente ha imaginado. La mente inconsciente procesa declaraciones directamente, sin tener en cuenta el contexto. La otra gran parte es que el inconsciente puede realizar un seguimiento de lenguaje corporal, expresiones faciales, tonos de voz y gestos, y luego conectar cada uno de ellos para el mensaje que se habla. Mientras se está conectando los puntos, por así decirlo, la mente inconsciente tiene más opción que cumplir si existe un comando integrado. Lo que es importante cuando se utilizan los comandos incrustados es no estropear sus tonos. Si se ponen demasiado énfasis en las palabras a continuación, usted sonar extraño y asustar a la persona fuera en lugar de comandos embed. Al igual que con un desbordamiento de memoria de software, la información debe coincidir con el comando que está tratando de desbordarse.

Resumen Como probablemente ya se ha imaginado, la incorporación de comandos es un vasto campo con un montón de espacio para el error. Usted debe practicar a ser muy acertado en él. Aunque yo no promuevo el uso de esta información para la seducción existen algunos videos decentes sobre la seducción que muestran cómo los comandos incrustados pueden trabajar.

El uso de estos principios puede crear un ambiente donde el objetivo es muy receptivo a sus sugerencias. El hecho de que usted le dice a la persona, “Va a comprar de mí” no significa que siempre lo hará. Así que ¿por qué utilizar estos comandos? Se crea una plataforma para hacer más fácil la ingeniería social. El uso de estos tipos de comandos también es una buena lección para las empresas con las que trabaja a

educarlos sobre qué buscar y cómo detectar alguien que puede estar tratando de utilizar este tipo de táctica de ingeniería social contra ellos. Si se va a escribir este principio de comandos incrustados en forma de ecuación, se podría escribir de esta manera:

Buffer Overflow humana = Ley de Expectativas + Relleno Mental + códigos incrustados. Iniciar una conversación con un objetivo el uso de frases, el lenguaje corporal y el habla assumptive. Suponer que las cosas que usted pide ya son tan buenos como consumado. A continuación, la almohadilla de la mente humana con algunas afirmaciones que hacen que la incrustación de los comandos más fácil, mientras que al mismo tiempo la incorporación de la orden. En esencia, esto es la ecuación para el desbordamiento de memoria humana. Utilice esta ecuación con moderación, pero la práctica mucho antes de que lo haga. Probarlo en el trabajo o en casa. Elegir un objetivo en el trabajo que normalmente no podrían cumplir con las peticiones simples y tratar de ver si puede conseguir que te sirven café: “Tom, veo que se dirige a la cocina, me vas a tomar una taza de café con dos cremas ¿Por favor?" Escalar sus comandos para tareas más grandes para ver hasta qué punto se puede conseguir. Trate de usar esta ecuación para obtener el compromiso de las personas. Eventualmente utilizar esta ecuación para ver la cantidad de información que puede obtener y cuántos comandos que se pueden inyectar. Este capítulo cubre algunos de los principios más profundos y más sorprendentes de psicología en la ingeniería social. En este capítulo el único que puede cambiar su vida, así como su capacidad como ingeniero social. La comprensión de cómo la gente piensa, por qué piensan de una manera determinada, y cómo cambiar sus pensamientos es un aspecto de gran alcance para ser un ingeniero social. El siguiente en la lista de casos: cómo influir en su objetivo.

Capítulo 6

Influencia: El poder de la persuasión

Si desea persuadir, debe apelar a los intereses en lugar de intelecto.

- Benjamin Franklin El epígrafe resume este capítulo entero. Es posible que se pregunte por qué no incluí esta dentro del Capítulo 5 de la discusión de los principios psicológicos de la ingeniería social. La psicología es una ciencia y existe un conjunto de reglas en él que, si se siguen, se dió resultado. psicología de la ingeniería social es científica y calculado. Influencia y la persuasión son mucho como el arte que está respaldado por la ciencia. Persuasión y la influencia implican emociones y creencias. Como se discutió en algunos de los capítulos anteriores, usted tiene que saber cómo y por qué la gente está pensando.

Influencia y el arte de la persuasión es el proceso de conseguir que otra persona querer hacer, reaccionar, pensar o creer en el camino tú queremos que.

Si es necesario, vuelva a leer la frase anterior. Es probablemente una de las frases más poderosas de todo este libro. Esto significa que el uso de los principios discutidos en este documento, usted será capaz de mover a alguien a pensar, actuar y tal vez incluso creen que el camino lo quiere porque quiere. Los ingenieros sociales utilizan el arte de la persuasión todos los días y, por desgracia, los estafadores maliciosos e ingenieros sociales utilizan, también.

Algunas personas han dedicado su vida a investigar, estudiar y perfeccionar el arte de influencia. Aquellos que, como el Dr. Ellen Langer, Robert Cialdini, y Kevin Hogan han contribuido en gran depósito de conocimiento en este campo. Mezclar este conocimiento con la investigación y las enseñanzas de la PNL (programación neurolingüística) maestros como Bandler, Grinder, y más recientemente Jamie Smart, y lo que tiene es una receta para convertirse en un verdadero artista.

La verdadera influencia es elegante y suave y la mayoría de las veces indetectable a los que están siendo influenciado. Cuando se aprende los métodos que comenzará a notar que en los comerciales, en las carteleras, y cuando se utiliza por los vendedores. Va a empezar a irritarse por los intentos de mala calidad de la gente de marketing y si

usted es como yo, usted comenzará a despotricar en terribles anuncios y vallas publicitarias durante la conducción (que no hace mi esposa muy feliz). Antes de entrar en cómo los ingenieros sociales utilizará en la influencia y la persuasión, el capítulo comienza con un breve recorrido por algunos de los elementos clave de la persuasión y la influencia que he recopilado y usados. En este capítulo se hablará de cosas como la reciprocidad, la manipulación y el poder de fijación de objetivos, sólo para nombrar unos pocos de estos elementos clave.

Influencia y la persuasión pueden dividirse en cinco aspectos importantes, como se explica en las siguientes secciones.

Los cinco elementos fundamentales de influencia y persuasión

Los cinco fundamentos de la persuasión son cruciales para la obtención de cualquier tipo de influencia sobre un objetivo con éxito: El establecimiento de objetivos claros relación de construcción

Ser observador de su entorno ser flexible Ponerse en contacto con uno mismo

El objetivo general de la ingeniería social es influir en el objetivo de tomar una acción que pueden o no estar en su mejor interés. Sin embargo, no sólo tomar la acción, pero querer para tomar las medidas y tal vez incluso gracias por ello al final. Este tipo de influencia es poderosa y puede hacer que un ingeniero social que posee estas habilidades legendarias. entrenador de renombre mundial PNL Jamie Smart dijo una vez: “El mapa no es el territorio.” Me encanta esa cita, ya que combina perfectamente con estos cinco fundamentos. Ninguno de ellos es la suma total por su propia cuenta, pero individualmente son como puntos en un mapa que muestre todo el territorio de lo que quiere lograr. En la siguiente sección profundiza en el primer fundamental: ¿por qué el establecimiento de objetivos claros es muy importante.

Tener un objetivo claro en mente

No sólo debe tener un objetivo claro en mente, usted debe incluso ir tan lejos como para anotarla. Pregúntese: “¿Qué quiero salir de este compromiso o interacción?” Como ya os comentamos en el capítulo 5, especialmente en relación con la PNL, los sistemas internos de un ser humano se ven afectados por sus pensamientos y metas. Si se centra en

algo, que puede ser más probable que se convierta o conseguirlo. Esto no quiere decir que si usted se centra en la idea de conseguir un millón de dólares, lo conseguirá. De hecho, es poco probable. Sin embargo, si usted tenía un objetivo de hacer un millón de dólares y se centró en los pasos necesarios para hacer que el dinero, sus objetivos, la educación, y las acciones podría aumentar la probabilidad de que el logro de ese objetivo. Lo mismo es cierto con la persuasión. ¿Cuál es tu objetivo? ¿Es para cambiar las creencias de alguien? Para conseguir que se tome una acción? Supongamos que un querido amigo está haciendo algo muy poco saludable y que desea tratar de persuadirla para detener. ¿Cuál es el objetivo? Tal vez el objetivo final es persuadir a que se detuviera, pero existe quizá objetivos poco a lo largo del camino. Resumiendo todos estos objetivos puede hacer el camino de influir en esa persona más clara.

Después de fijar el objetivo, usted debe preguntarse: “¿Cómo voy a saber cuando he conseguido?” Una vez escuché a un programa de formación ofrecido por Jamie Smart, uno de los líderes mundiales en la PNL, y se pidió a cada persona en el aula estas dos preguntas:

¿Qué deseas? Cómo vas a saber cuando lo tienes? En este punto, hice una pausa el CD para la primera pregunta y respondió por mí mismo en voz alta lo que quería de este curso. Entonces presioné jugar una y cuando le preguntó a la segunda pregunta: “¿Cómo va a saber que han conseguido?” Hice una pausa el CD de nuevo y estaba perdido. Era claro para mí que no tenía una hoja de ruta. Yo sabía lo que quería salir de ese curso, pero no sabía cómo calibrar cuando había conseguido. Saber lo que quiere de sus compromisos es un aspecto importante de influencia y persuasión táctica. Cuando se acerque a un objetivo de saber cuáles son sus objetivos y cuáles son los indicadores son que vas a encontrar lo que quieres, entonces se puede identificar claramente el camino que debe tomar. Es evidente que los objetivos definidos pueden hacer o romper el éxito de las tácticas de influencia utilizadas por un ingeniero social, así como hacer el siguiente paso mucho más fácil de dominar.

Rapport, Rapport, Rapport Capítulo 5 tiene una sección completa sobre la construcción de relaciones. Leerlo, estudiarlo, y perfeccionar sus habilidades de trabajo en la relación.

El desarrollo de una relación significa que usted obtiene la atención de la persona a la que se dirigen y su mente inconsciente, y se construye la confianza dentro de la parte inconsciente. Dominio de la habilidad de la construcción de relaciones puede cambiar la forma de tratar con la gente, y cuando se trata de la ingeniería social, que puede cambiar toda su metodología.

Para construir una buena relación, comenzar cuando la persona que quiere influir mentalmente

-

tratar de comprender su estado de ánimo. ¿Son sospechoso? Son molestos, triste o preocupado?

Cualquiera que sea el estado emocional que ellos perciben como en, comenzar desde allí. No se concentre en sus objetivos tanto como centrándose en la comprensión de la persona. Este es un punto muy importante. Esto significa un ingeniero social debe entender su objetivo suficiente como para que se puedan imaginar donde están conscientemente. ¿Cuáles son los pensamientos y estado de ánimo es el objetivo?

Por ejemplo, imagine que desea influir en su querido amigo que quiere dejar de fumar o usar drogas o alguna otra cosa. Tenga en cuenta que no quiere convencerla para dejar de fumar, pero la convencen a querer abandonar. Su objetivo no puede ser acerca tú, ¿Correcto? Debe centrarse en el objetivo. No se puede iniciar la conversación con lo que su adicción está haciendo para tú y cuánto tú odio el olor, y así sucesivamente. El argumento tiene que ser lo que está en él para su. No se puede iniciar la conversación con un ataque verbal sobre lo que la persona ha hecho a usted con su hábito, pero hay que entender que de ánimo de esa persona está, lo acepta, y están en alineación con ella.

La ingeniería social es la misma: no se puede iniciar cuando tú son mentalmente. Esta va a ser la lucha para muchas personas. ¿Sabe por qué se fuma? ¿Usted entiende las razones psicológicas, físicas, mentales o por qué? Hasta que realmente puede conseguir en sus zapatos, no se puede construir una fuerte relación y sus esfuerzos en la influencia fallarán.

Además, no siempre se puede basar la idea de construir una relación en la lógica. Una vez estaba en el hospital con un querido amigo que se estaba muriendo de cáncer de garganta. Que había fumado durante más de 40 años y un día descubrió que tenía cáncer. Se extendió rápido, llevándolo al hospital para vivir sus últimos días. Sus hijos vendrían a visitar y de vez en cuando iban a salir de la habitación. Pensé que fueron superados por la emoción. Un tiempo después de que se excusaron que salió a consolarlos y estaban fuera del tabaquismo hospital! Me quedé sin habla. No fumar y no tienen ningún deseo, y aunque puedo entender lo fuerte que una adicción puede ser, no podía entender cómo después de ver el dolor de su padre estaba en, cómo se podría plantear un cigarrillo a sus labios.

La lógica no ganaría en este caso. Decirle a los niños de mi amigo por qué fumar es malo y cómo se va a matarlos no serviría de nada, esta información era inútil porque era combativo y sólo me hizo sentir bien al decirlo, pero no se alinee con su presente estado de ánimo. Hasta que entienda que la persona no se puede construir con éxito una buena relación suficiente como para influir en él o ella.

Cada vez que alguien quiere hacer algo es una mezcla de emoción y

la lógica, así como la comprensión y la humildad en muchos casos. Una vez que entré en una oficina que iba a hacer un trabajo para y que había oído un comentario divertido fuera, así que cuando entré en el vestíbulo principal que se estaba riendo. La mujer detrás del mostrador debe haber solo hecho algo embarazosa porque cuando me vio, de inmediato se enojó y me gritó, “No es muy divertido y usted es un idiota.” Ahora no sabía que esta mujer y que le diga la verdad que tenía un objetivo en mente que esta interacción no iba a ayudar. Además, me sentí insultado que ella supuso que yo estaba riendo de ella, y quería desquitarse con ella. Pero en cambio, vi que estaba molesta. Me acerqué al mostrador a fin de no avergonzar a ella nunca más, yo la miraba a los ojos, y con sinceridad, dijo, “Lo siento mucho si usted pensaba que estaba riendo de ti. Yo estaba en el estacionamiento y algunos de sus compañeros de trabajo estaban contando una historia sobre una fiesta el fin de semana y me pareció que era muy divertido “.

Ella me miró y me di cuenta de que ella era ahora aún más incómodo, por lo que para salvar la cara por ella, en voz alta dijo: “Señora, lo siento por la risa y embarazoso.” Esto le permitió salvar la cara a los que lo rodean nosotros. Ella entendió que “tomó uno para el equipo” y ella respondió con amabilidad extrema. Un minuto más tarde se disculpó y funcionó a mi beneficio como se me dio todos los datos que pedí, los datos que normalmente habría tenido que trabajar muy duro para llegar.

Un maestro que había usado una vez para decirme “matar con amabilidad.” Esa es una declaración bastante poderosa. Ser amable con la gente es una forma rápida de establecer una buena comunicación y para establecer si mismo en los cinco fundamentos de la persuasión y la influencia.

Un método para influir en las personas que utilizan la bondad y la relación es para hacer preguntas y dar opciones que les llevan a una ruta que desee. Por ejemplo, una vez que fui influenciado para tomar un trabajo que realmente no quería como parte de un esfuerzo de equipo. El líder del equipo era muy carismático y amable y tenía el “factor de encanto” que le permitía hablar con nadie. Se acercó a mí y dijo: “Chris, yo quería hablar con usted por separado del equipo. Necesito una mano derecha para un proyecto pequeño. Sin embargo, la persona tiene que ser un buscavidas, auto motivado. Creo que éste es usted, pero no quiero asumir; ¿Qué piensas?"

Yo estaba emocionado y halagado por los elogios y el potencial de ser “importante”, por lo que respondí: “Soy una persona muy auto-motivados. Lo que necesite, dime “. El líder del equipo continuó: “Bueno, yo soy un gran creyente en el ejemplo. Y yo creo que hay que la calidad del liderazgo. El problema es que algunos en el equipo no lo hacen, y que necesitan una persona fuerte para mostrarles cómo es

hecho."

Antes del final de la conversación, lo que quería aparecido como si fuera mi idea, lo que hizo imposible a la parte posterior de. Alcance de hecho, y todo comenzó con el poder de la persuasión.

Estar en sintonía con uno mismo y su entorno Ser consciente de sí mismo y de su entorno, o la agudeza sensorial, es la capacidad de notar los signos de la persona a la que está apuntando a sí mismo y que le dirá que usted se está moviendo en la dirección correcta o no.

Muchos de los principios discutidos en el capítulo anterior se aplican a la persuasión. Leer el lenguaje corporal y las señales faciales puede decir mucho acerca de su influencia sobre la persona. Para dominar realmente la doble arte de la influencia y la persuasión, tiene que convertirse en un maestro observador y oyente maestro. Chris Westbury, un neuropsicólogo cognitivo de la Universidad de Alberta, Canadá, estima que el cerebro humano procesa la información a los 20 mil millones de millones de cálculos por segundo. Estos cálculos están representados por las expresiones faciales, microexpresiones, gestos, postura, tonos de voz, parpadeo de los ojos, la frecuencia respiratoria, los patrones del habla, expresiones verbales, y muchos más tipos de patrones distintivos. El dominio de influencia significa ser consciente de esas cosas sutiles en sí mismo ya otros. He encontrado, por mí mismo, la capacidad de ser observador resultó ser más fácil para mí después de haber recibido algún tipo de formación de Ekman en microexpresiones. He encontrado después de que no sólo he llegado a ser mucho más conscientes de lo que estaba pasando con los que me rodean, sino también a mí mismo. Cuando sentí una cierta expresión en mi cara, yo era capaz de analizarlo y ver cómo podría ser retratado a los demás. Este reconocimiento de mí mismo y mi entorno fue una de las experiencias más iluminadoras de mi vida.

expertos en PNL promueven minimizar su diálogo interno cuando se trata de influir en los demás. Si se acerca a la meta de pensar en la próxima etapa del ataque, el objetivo final, o remontadas para los posibles tapones de conversación, que el diálogo interno puede causar que pierda una gran cantidad de lo que está sucediendo a su alrededor. Ser observador lleva mucho trabajo, pero la recompensa vale la pena.

No actúe Insane-Sea flexible ¿Qué quiero decir al no actuar loco y ser flexible? Una definición de la locura que ha estado flotando alrededor de los años es “hacer la misma cosa una y otra vez y esperar resultados diferentes.” Estar dispuesto y capaz de flexionar es uno

persuasión.

Se puede pensar en esta flexibilidad en términos de cosas físicas. Si se encargaron de persuadir o doblarse algo, sería más bien que ser una rama de un árbol de sauce o una barra de acero? La mayoría de la gente diría que la rama de sauce porque es flexible, fácil de doblar, y hace que la tarea realizable. Tratando de persuadir a los demás mientras que ser inflexibles e inflexible que no funciona, y tampoco lo hace la persuasión si no son flexibles. Muchas veces, una auditoría no salen según lo planeado. Un buen ingeniero social será capaz de lidiar con los golpes y ajustar sus objetivos y métodos, según sea necesario. Esto no va en contra de la idea de la planificación anticipada; en cambio, nos habla del punto de no ser tan rígida que cuando las cosas no salen según lo planeado se puede mover y adaptar lo que el objetivo no se pierde.

La forma en que una persona podría ver una persona demente es la forma en que un objetivo sería ver el ingeniero social inflexible. El ingeniero social sería poco razonable y que lo más probable es que nunca llegar a final de juego.

Póngase en contacto con uno mismo

Poniéndose en contacto con uno mismo, no estoy sugiriendo alguna vía de la meditación Zen, sólo que a entender sus emociones. Las emociones controlan prácticamente todo lo que haces, así como todo lo que hace su objetivo. Conocer sus emociones y estar en contacto con uno mismo puede ayudar a sentar las bases para ser un ingeniero social efectiva.

Volviendo al ejemplo anterior de usted y su amistad fumar acercarse a su amigo si usted tiene un profundo odio por los que fuman afecta a su enfoque. Puede hacer actuar, expresarse, por ejemplo, o hacer algo que va a cerrar la puerta a la persuasión. Nunca se puede ceder en ciertas cosas, y siendo conscientes de las cosas y sus emociones acerca de ellos puede ayudarle a desarrollar un camino claro a influir en un objetivo.

Estos cinco aspectos fundamentales son la clave para la comprensión de la influencia y la persuasión. Ser capaz de crear un ambiente donde un blanco quiere hacer lo que está solicitando es el objetivo de la persuasión, y estos cinco fundamentos le ayudará a crear ese ambiente. La siguiente sección examina cómo los ingenieros sociales utilizan estos fundamentos.

tácticas de influencia Como se mencionó, los ingenieros sociales deben practicar la habilidad de persuasión hasta que se

se convierte en parte de sus hábitos cotidianos. Esto no quiere decir que tienen que influyen en todo el mundo en todo lo que hacen, pero ser capaz de convertir esta habilidad de encendido y apagado a voluntad es una potente característica de un buen ingeniero social. Influencia y persuasión tienen muchos aspectos que puede utilizar y muchos que encajan fácilmente en una auditoría. Otros aspectos podrían no encajar con demasiada facilidad, pero mantener una posición muy poderosa en el mundo de la influencia. Las siguientes secciones cubren ocho técnicas diferentes de influencia que se utilizan a menudo por los medios de comunicación, los políticos, el gobierno, los estafadores, estafadores, y por supuesto, los ingenieros sociales.

Cada sección proporciona un análisis de cada técnica para ver cómo se utiliza en otras áreas de influencia, además de la ingeniería social, así como da un vistazo más de cerca cómo se puede aplicar a un ingeniero social.

Reciprocidad Reciprocidad es inherente la expectativa de que cuando los demás te tratan bien responda en especie. Un ejemplo sencillo es cuando usted está caminando en un edificio- si alguien tiene una puerta abierta para ti, espera que usted pueda decir gracias y luego asegurarse de que la próxima puerta permanece abierta para él mientras que él entra. La regla de la reciprocidad es importante porque a menudo el favor a cambio se realiza de manera inconsciente. Sabiendo esto significa que ahora tiene un paso adelante respecto de cómo se puede utilizar como un ingeniero social. Antes de entrar en eso, sin embargo, aquí hay algunos ejemplos en los que se utiliza a menudo la reciprocidad:

Las compañías farmacéuticas se gastan $ 10,000- $ 15,000 por médico (si, por médico) en “regalos” que podrían incluir cenas, libros, computadoras, sombreros, ropa u otros artículos que tengan el logo de la compañía farmacéutica en él. Cuando llegue el momento de elegir un medicamento para apoyar y comprar, a quién cree usted que los médicos son más propensos a ir? Los políticos están influenciados en gran parte la misma manera. No es ningún secreto que muchas veces los políticos o los grupos de presión son más favorables para las personas que ayudaron a su campaña política que los que no lo hicieron. La reciprocidad se utiliza a menudo en los negocios, sobre todo cuando se trata de asuntos de contratos. Tal vez el tipo de ventas va a pagar por una comida, a continuación, pedir más tarde para una concesión en el contrato. El cliente está obligado a dar a esta concesión.

Un compañero de trabajo rellenará una semana cuando se necesitabas un día de descanso. Ahora se le pide que devolver el favor, pero hay planes. En esta situación, la gente va a cambiar la fecha y honrar la solicitud. Todos estos son ejemplos de reciprocidad. El sociólogo Alvin Gouldner escribió una

papel llamado, "Los Norma de ( http://media.pfeiffer.edu/lridener/courses/normrecp.html ) En el que señala:

Reciprocidad"

En concreto, le sugiero que una norma de reciprocidad, en su forma universal, hace dos, exigencias mínimas interrelacionados: (1) la gente debe ayudar a los que les han ayudado, y (2) la gente no debe perjudicar a los que les han ayudado. Genéricamente, la norma de reciprocidad puede ser concebida como una dimensión que se encuentra en todos los sistemas de valores y, en particular, como uno entre un número de “Componentes Principales” universalmente presentes en códigos morales.

Básicamente, su investigación lo llevó a ver que las obras de reciprocidad a pesar de los antecedentes culturales. La reciprocidad, que se utiliza en las circunstancias adecuadas, es casi imposible de resistir.

Piense de reciprocidad como el proceso se muestra en la Figura 6-1 .

Figura 6-1: El ciclo de reciprocidad.

En las secciones siguientes se expanden en algunos puntos clave de la idea anterior.

Dar algo lejos Lo que das no puede haber algún simple pedazo de chatarra. La cosa dada tiene que tener valor para el receptor. Regalando una hermosa novela de tapa dura escrito en un idioma que el destinatario no ha leído ni recoge es inútil. El elemento puede ser un servicio, un elemento físico, alguna información valiosa, ayuda, o cualquier otra cosa que el receptor se considere como un valor (incluso algo tan simple como la celebración de la puerta o recoger algo caído). Algunas organizaciones de ventas promueven este método, pero luego se quedan cortos, ofreciendo algo que no tiene valor. Imagine que está en una feria comercial y en cada mesa es un claro indicativo. Si usted camina hasta una mesa y nota un montón de plumas que buscan baratoque sólo podría caminar por ella. La siguiente tabla tiene un puzzle- interesante como juego. Están intrigados por lo que lo recoja; después de pasar unos minutos de jugar con él un vendedor se acerca y dice: “¿Quieres una pista?” Después de mostrar una pequeña pista que pregunta si usted tiene un minuto para que se pueda mostrar un servicio realmente posible que el amor.

¿Cómo puedes decir no? Se obtiene un juego intrigante y una pista libre, y ahora lo único que quiere es un minuto de su tiempo? Es una configuración perfecta.

Crear sentimientos Endeudados

El mayor valor del regalo tiene que el receptor y el más inesperado es, mayor es el sentido de endeudamiento. No permitir que el don para ser utilizado en una táctica evidente manipulación es importante. No decir o actuar como “Te di este gran regalo ahora que me debes.” Incluso pensando que puede quitar cualquier sentimiento de endeudamiento. El “regalo” debe ser totalmente libre y de gran valor para el receptor. La Sociedad Humana de los Estados Unidos, por ejemplo, regala etiquetas de correo personalizadas como un regalo. No hay cadenas están unidas y muchas personas los utilizan para tarjetas de vacaciones o cartas personales. Son atractivos y de buena calidad. Se suscribe a ellos, y muchos meses más tarde obtendrá una llamada pidiendo una donación para apoyar a su sociedad humana local. sentido de la obligación del beneficiario suele ser demasiado grande como para no contribuir aunque sea un poco.

A modo de otro ejemplo, la revista Fortune profesores de la universidad ofrece ejemplares gratuitos de su revista de probar en sus clases sin ningún compromiso en absoluto.

Existen muchos ejemplos de la reciprocidad como estos. Por otro lado, muchas empresas fallan en reciprocidad por pensar cosas como las siguientes son buenos regalos: Sharp-mirando y coloridos folletos corporativos

juguetes inútiles y adicto literatura sobre ventas tu productos o empresa Estas cosas no construyen endeudamiento. El destinatario debe considerar que el “don” valiosa. Otra fuente de “regalos” que se pueden acumular cierto endeudamiento es la información. Regalando una pieza valiosa, beneficioso o útil de información, literalmente, puede ser de más interés que un regalo físico para algunos.

Pedir lo que quiere En una ocasión, cuando estaba entrando en un edificio, vi a un hombre que se parecía mucho a ser el “jefe” salir de su coche aparcado en el lugar marcado “Para CFO Sólo”, y él estaba en su teléfono celular. Él no era un hombre feliz, y yo le oyó decir a alguien que estaba molesto porque tenía que entrar y dejar que algunas personas van. Asumí por su tono que estaba en con su esposa o novia y no le gustó el trabajo que estaba a punto de hacer. Pasé por delante de él y fui a la recepción y mientras caminaba hacia arriba vi que la chica detrás del mostrador estaba jugando Buscaminas. Como me acerqué al mostrador me dio la norma, “¿Cómo puedo ayudarle?” Ella tenía una mirada en su cara que dijo que estaba aburrido y no en el estado de ánimo. Le dije: “Mira, yo estoy aquí para una reunión, pero su jefe está a punto de entrar y que es de mal humor ...” entonces se apagó, y quedé allí con una carpeta en la mano. Unos segundos más tarde el jefe irrumpieron por la puerta principal y me dijeron en voz alta, “Muchas gracias por su ayuda.”

Ella miró y me dijo: “Disculpe, señor”, luego dijo a su jefe: “Buenos días, Sr. Smith, tengo sus mensajes”, y luego le entregó una pequeña pila de papel mientras caminaba por. Cuando desapareció a su oficina me dio las gracias profusamente. Sólo le salvo y ella lo sabía. La información que le di fue muy valiosa, y mis próximas palabras sería imprescindible: “Necesito su ayuda. Yo quería ver el director de recursos humanos sólo por un breve encuentro. ¿Me puede entrar en su oficina muy rápido?” Ella me llevó de nuevo a la oficina del gerente y me presentó como “su amigo” que se detuvo. En cuestión de minutos se puso en marcha mi plan, y todo gracias a la reciprocidad. Como un ingeniero social, buscar pequeñas oportunidades para dar a conocer la información que le hará valiosa para el receptor y lo más importante, hacer que el receptor en deuda con usted.

Sea consciente de su entorno y lo que puede tomar para hacer que sus objetivos en deuda con usted poco. Recuerde que no tiene que ser algo increíble, algo que ellos valoran. Un buen punto a tener en cuenta es

no “acechar” el objetivo. De pie y mirando a él o ella a la espera de una oportunidad de hacer o decir algo que puede ser una experiencia desagradable. Estos principios deben ser naturales. La naturalidad significa empezar a hacer estos principios en la vida cotidiana. Mantenga las puertas para las personas, ser muy educado, y buscar oportunidades para hacer cosas buenas por los demás. Estas acciones se convertirán en una segunda naturaleza y que tendrán menos luchas que hacen ellos en una auditoría.

La reciprocidad es una poderosa táctica de influencia, y los dos siguientes principios discutidos están estrechamente ligado a ella.

Obligación Obligación tiene que ver con acciones que uno siente que debe tomar debido a algún tipo de exigencia social, legal o moral, el deber, contrato o promesa. En el contexto de la ingeniería social, la obligación está íntimamente relacionada con la reciprocidad, pero no se limita a ella. Obligación puede ser tan simple como la celebración de una puerta exterior para alguien, que por lo general hacer que se mantenga la puerta interior para usted. Se puede aumentar a alguien que le da información privada porque se crea en ellos un sentido de obligación con el usuario. Obligación es un vector de ataque común que se utiliza cuando la orientación de las personas de servicio al cliente.

También puede utilizar obligación en pequeñas dosis mediante la utilización complementando inteligente. Por ejemplo, complementar la persona, a continuación, seguir con una solicitud. Esta técnica es muy fácil de hacer mal si es nuevo o sin experiencia, y puede venir a través de tan falso que alerta sentido interno del blanco y tiene el efecto equivocado. Pero si se hace correctamente, puede conducir a la obtención de incluso pequeñas piezas de información valiosa.

Un ejemplo de complementar de manera equivocada sería algo así como, “Wow, tiene bellos ojos, puedo entrar en la sala de servidores?” Suena estúpido, ¿eh? Asegúrese de decir que su método en voz alta para ver cómo suena. Si suena como una línea de recogida barato, entonces tiene que ir. Una pequeña conversación como esta, por el contrario, puede ser una forma adecuada para complementar:

Al acercarse a la mesa de la recepcionista que vea algunas fotos de un par de niños pequeños en Disney World y después de que usted se presenta usted dice: “Son esos sus hijos? Sí que son lindos.”Sin importar si son niños de la recepcionista o sus sobrinos, que lo más probable es disfrutar de su cumplido. A continuación, el seguimiento con, “Tengo un par de mi propia. Nos mantienen joven, ¿eh?”

“Sí, mis dos hijos. Y no estoy seguro de joven,”ella se ríe,“pero

me hará cansar “.

“No he tomado la mía a Disney, sin embargo,” digo. “¿Encontraste lo disfrutaron a esa edad?”

“Oh sí, les encantó cada segundo de ella,” dice la recepcionista. “Mientras mi hija está con su papá, ella es la diversión.” “Ah, sí, tengo mi pequeña princesa también,” contestar. “Bueno, podría estar aquí y hablar de mis hijos todo el día, pero estoy preguntando si usted me puede ayudar. Llamé y hablé con alguien la semana pasada sobre un nuevo paquete de software de recursos humanos y dije que iba a dejar a este paquete de información, pero he perdido el papel que escribí su nombre en. Estoy terriblemente avergonzada “. “Oh, eso es probablemente la señora Smith,” ofrece la recepcionista. “Ella se encarga de todo eso.”

"Eres un salvavidas. Te debo una. Gracias." Estos tipos de felicitaciones recorrer un largo camino para la apertura de la meta para ser más agradable a la influencia.

La regla de oro-treat los demás como le gustaría ser tratado, es un principio clave en la creación de obligación. Tratar a las personas con amabilidad y darles algo que puedan necesitar, incluso si es tan pequeño como un cumplido, puede crear un sentido de obligación con el usuario.

Psicólogo Steve Bressert hace este punto en su artículo “La persuasión y cómo influir en los demás”, en el que afirma, “de acuerdo con la Organización Panamericana de veteranos discapacitados, enviar por correo un recurso sencillo para donaciones produce una tasa de éxito del 18%. Que encierra un pequeño regalo, tales como etiquetas de dirección personalizadas, casi duplica la tasa de éxito de 35%. "Desde que me enviaron algunas etiquetas de direcciones útiles, te voy a enviar una pequeña donación a cambio”. Si quieres demostrar a sí mismo el poder de este principio este sencillo ejercicio. Incluso algo tan pequeño como una pregunta puede crear obligación. La próxima vez que alguien le hace una pregunta, por no decir nada. Sólo se mantenga en silencio o ignorarlo y seguir adelante en la conversación. Observe lo incómodo que es; algo tan simple como una pregunta crea un sentido de obligación de responder. Simplemente pidiendo al objetivo una pregunta puede conducir a resultados sorprendentes. Si su primera acción crea la sensación de que hay un seguimiento de esperar, a continuación, el cumplimiento de esa expectativa puede conducir a un fuerte sentimiento de obligación. Cuando la persona con la que está interactuando espera consecuencia, el cumplimiento puede crear un fuerte sentido de compromiso en él o ella a hacer lo mismo para usted.

Este método se puede utilizar, por ejemplo, mediante el envío del director financiero de una compañía de una pieza de tecnología, tal vez un iPod cargado con software malicioso. Cuando llega el regalo que está obligado a conectarlo. Un ataque exitoso del vector I

sierra en juego era donde el ingeniero social envió un pequeño regalo relevante para el director financiero o el director general con una tarjeta que decía: “Por favor acepte un pequeño regalo de las compañías. Todo lo que pedimos es que se navega en nuestros productos www.products.com y descargar nuestro catálogo en formato PDF aquí en www.products.com/catalog.pdf . Te llamaré la próxima semana “. Este método se ha realizado correctamente cada vez.

Concesión UNA concesión, o el acto de conceder, se define como “un reconocimiento o admisión,” o “el acto de ceder.” Las concesiones se utilizan a menudo en el contexto de la ingeniería social como una obra de teatro en el instinto movimiento alternativo de los seres humanos. Los seres humanos parecen tener una función incorporada que hace que quieran “hacer a los demás como te traten a” ti. Un ingeniero social puede utilizar el “algo por algo” idea o el principio “Yo te rasco la espalda si rascas la mía”. Hay principios básicos a las concesiones y cómo utilizarlos de manera adecuada: Etiquetar sus concesiones: Que se sepa cuándo y lo que está concediendo, lo que hace que sea difícil para su marca de hacer caso omiso de la necesidad de corresponder. Esto tomará el equilibrio, ya que no quiere soplar una trompeta, por así decirlo, mientras que usted anuncia una concesión, sino una simple declaración como, “OK, voy a darle este”, o “Nos encontraremos a mitad de camino ”mostrar que está dispuesto a conceder.

La demanda y definir la reciprocidad: Puede comenzar con la plantación de las semillas de la reciprocidad y esto aumenta sus posibilidades de obtener algo a cambio. Una manera fácil de comenzar a plantar estas semillas es a través de la comunicación no verbal que muestra que usted es flexible, y también por ser un buen oyente. Estas pequeñas cosas pueden hacer una gran diferencia en la construcción de los sentimientos de reciprocidad en su objetivo.

Hacer concesiones contingentes: Puede utilizar concesiones “libres de riesgo” cuando la confianza es baja o cuando se necesita para indicar que está listo para hacer otras concesiones. Lo que quiero decir con esto es una concesión que no venga con una actitud “ahora se puede hacer algo por mí”. Al ceder a algo que el destino quiere o necesita sin la demanda de venta libre, se puede construir un vínculo muy fuerte con el objetivo. Hacer concesiones en cuotas: La idea de la reciprocidad está profundamente arraigada en nuestra mente. La mayoría de la gente siente que si alguien les hace un favor a continuación, que están socialmente contratados para volver finalmente ese favor. Del mismo modo, si alguien hace una concesión, por ejemplo en un acuerdo de negociación o negociación, entonces uno se siente obligado a instintivamente

“Ceder” un poco, también. Dado que este es un hecho, que no tiene que sentir que todas las concesiones deben ser a la vez. Usted puede hacer “cuotas” con sus concesiones, en el que dar en un poco aquí y un poco allá en el tiempo para mantener su movimiento alternativo de destino. Las concesiones son utilizados diariamente por los vendedores, negociadores, y los ingenieros sociales. Un ingeniero social exitosa puede usar y abusar de esta tendencia instintiva, no sólo resistir las manipulaciones que se colocan sobre ellos por los demás, sino también tratando de hacerse cargo de la situación por completo. De concesión y de movimiento alternativo habilidades juegan bien con muchas de las otras técnicas de ingeniería social discutidos en las páginas de este libro.

Un ejemplo de cómo muchas personas caer en concesiones se puede ilustrar con los vendedores telefónicos que llaman para las donaciones. Utilizan una estrategia para la obtención de concesiones después de que alguien se da por primera vez la oportunidad de rechazar un pedido grande. Las mismas contraofertas de solicitante con una petición más pequeña que usted es más probable que acepte que la solicitud general.

Ampliación de solicitud: “¿Se puede donar $ 200 a nuestra caridad?” Respuesta: “No, no puedo.”

Solicitud más pequeño: “Oh, lo siento señor, y lo entiendo. ¿Pueden donar sólo $ 20?” Las personas que no son conscientes de esta técnica podrían sentirse como la carga se retira de ellos y se dan cuenta que pueden desprenderse de un mero $ 20, en lugar que el precio de venta inicial de 200 $.

Otro gran ejemplo apareció en un artículo ( http://ezinearticles.com/? How-to-negociar-la-salario-Uso de-la-Power-de-la-Norma-de- Reciprocidad & id = 2449465 ) Escrito por David Hill: El poder de esta norma se puede sentir en la mayoría de situaciones de negociación. Supongamos que un comprador y un vendedor están regateando el precio de un coche. El vendedor comienza con una oferta en $ 24.000. El comprador encuentra esta oferta inaceptable y hace una contraoferta de $ 15.000. Ahora, el vendedor reduce su oferta a $ 20.000, es decir, se hace una concesión. En este caso, el comprador más a menudo se sienten inclinados a aumentar su oferta, tal vez a $ 17.000. La razón por la que el comprador se sentirá esta inclinación se debe a la presencia de la norma de reciprocidad. Esta norma exige ahora que el comprador responde a la concesión del vendedor con otra concesión. Al igual que con la mayoría de los principios discutidos hasta ahora, la concesión debe ser valioso para el receptor. No se puede conceder algo que es valioso sólo para usted o se pierde la potencia a ganar con una buena concesión.

Como un ingeniero social, no dar una concesión que hará que se pierda

cara, una buena relación, o su posición también es imprescindible. Un delicado equilibrio debe existir entre la concesión y su posición con el objetivo, y encontrar que es la mitad del trabajo. Encontrarlo, sin embargo, y las concesiones pueden ser una herramienta muy serio en sus manos.

Escasez La gente a menudo se encuentran los objetos y las oportunidades más atractivas si son raros, escasos, o difícil de obtener. Esta es la razón verá periódicos y anuncios de radio llenos de “Último Día”, “tiempo limitado”, “Sólo el 3-Day Sale” y “Salida del negocio para siempre” los mensajes que atraen a la gente a venir de todas partes para conseguir una parte del producto pronto-a-ser-visto nunca de nuevo.

El uso de la escasez en el contexto de ventas es el más conocido con el eslogan "¡Actuar ahora!

Las existencias son limitadas!” Otras técnicas son la común “Las primeras llamadas X consigue un widget libre” o tener un suministro a corto intencional de un producto popular. En los últimos tiempos, esta práctica se alegó más popularmente con la Nintendo Wii. Jason Dobson, un escritor para Gamasutra, dijo, “Pero creo que [Nintendo] seca intencionalmente el suministro porque hicieron sus números para el año. El nuevo año comienza el 1 de abril, y creo que vamos a ver la oferta

fluido"

( www.gamasutra.com/php-bin/news_index.php?

historia = 13297 ).

Donde vivo, un concesionario de coches publicó un anuncio en un jueves afirmando que tenía que deshacerse de un número X de coches debido a la nueva acción de llegar. Los precios eran tan bajos y algunos de los coches-esperar a que-se ya no se producen, y ese fin de semana fue el fin de semana pasado nunca que usted podría entrar un pedazo de la historia de auto-venta.

Las ventas se dispararon ese fin de semana, por lo que la venta fue por delante del derecho? No, ese anuncio corrió todos los jueves durante más de tres meses. A menudo me preguntaba cómo la gente simplemente no tuvo éxito a la misma, pero el concesionario vendido una gran cantidad de vehículos que utilicen este método.

Los eventos sociales pueden a menudo parecen ser más exclusivo, si se introduce la escasez. El beneficio social percibido de asistir a estos eventos va a menudo en estas circunstancias. En la publicidad, este punto es conducido a casa con anuncios de eventos musicales que señalan cómo el último concierto se agotó rápidamente. Muchos restaurantes populares han sido conocidos para cerrar secciones del restaurante a aparecer más ocupado de lo que realmente son. La percepción de que son extremadamente populares a menudo puede desencadenar un mayor deseo de comer en ese establecimiento. Para ver un anuncio que realmente se menciona el uso de la escasez en la promoción

un

evento,

ir

a www.social-

engineer.org/wiki/archives/Scarcity/Scarcity-Advertisment.html . Este anuncio jugado en cuatro componentes principales de la escasez: El lanzamiento es el acceso limitado.

La aplicación no es pública y solamente limitado. Los promotores son recogidas a mano y limitada. El libro electrónico es libre para quienes tienen la suerte de ser elegido venir. Todos estos puntos de uso escasez haciendo que los aspirantes a los asistentes a la fiesta sienten que entrar en este evento es tan difícil que sólo la élite, los pocos y los orgullosos se pueden incluso tener una remota posibilidad de poner un pie sobre ese terreno sagrado.

Los fundamentos de la economía se componen de la asignación de los recursos que tienen usos alternativos. Esta asignación es impulsado por la escasez de los objetos que se están asignando. El más raro sea el recurso, mayor será el valor percibido del objeto retiene. Esta rareza es por qué el oro vale más que la sal, que vale más que la arcilla. Asimismo, dentro de las interacciones diarias se utiliza a menudo la escasez. La escasez puede introducirse en situaciones sociales en un intento de hacer algo que uno tiene a subir de valor. Por ejemplo, uno podría actuar como él es muy ocupado en una base regular, y el tiempo libre es difícil de conseguir. Esta acción le puede excusar de no pasar tiempo con alguien que puede tener la obligación de pasar el tiempo, y al mismo tiempo hacer que el tiempo que se gasta parece que mucho más valioso.

Se puede manipular la atención a través del uso de la escasez también. Piense en cuántas personas se quejan de los vendedores les molestan en una tienda cuando no hay escasez de la atención de los vendedores, sin embargo, son tan molestos cuando son ignorados por los vendedores cuando su atención es escasa. En general, las personas se ven obligados a desear lo que es difícil de obtener, ya que se considera que tienen más valor. Esto es válido para la atención también. La escasez se utiliza a menudo en contextos de ingeniería social para crear una sensación de urgencia en un contexto de toma de decisiones. Esta urgencia a menudo puede conducir a la manipulación del proceso de toma de decisiones, permitiendo que el ingeniero social para el control de la información proporcionada a la víctima. Esto se realiza comúnmente mediante el uso de una mezcla de autoridad y de escasez de principios. Por ejemplo, decir algo como: “El director financiero, el Sr. Smith, me llamó antes de partir hacia el fin de semana largo y me dijo que bajara y se fijan sus problemas de correo electrónico. Dijo que estaba enfermo y cansado de los accidentes y quería lo arreglen antes del lunes.”Esto crea urgencia junto a la escasez en que el CFO no está disponible para hablar y el tiempo es el elemento escaso.

El uso de la escasez se mezcla con otros principios también puede hacer que el ataque aún

mortal. De cualquier manera, la escasez crea un deseo y ese deseo puede llevar a alguien a tomar una decisión que podría lamentar más tarde.

Esto me fue demostrada recientemente cuando un camión se detuvo en mi camino de entrada con un congelador en la parte posterior. Este joven decentemente vestido se acercó a mi esposa y le explicó que es un vendedor de carne. Se ofrece a los clientes la carne y estaba a punto de regresar a la oficina y la vio trabajando en el patio. Empezó hablando de precios de la carne y lo caro que están las cosas en la tienda. Mi esposa es un comprador muy consciente de los precios, por lo que esta relación construida. Además de que tenía un acento sureño muy agradable y la llamó “señora” y era muy respetuoso.

Después de unos minutos de conversación, ella deja escapar la pregunta que por lo general se detiene vendedores muertos, “¿Cuánto quieres?”

Sin perder demasiado de un latido que dice “, Escucha, he estado vendiendo éstos durante todo el día por $ 400 por caja, pero esta es mi última caja. Me gustaría ir a la oficina con un congelador vacío y darle un poco de carne de alta calidad, mientras tanto “.

Oh no, la última caja! Le dijo antes de que él sólo viene a través de una vez cada dos meses. El deseo se ha planteado, pero mi esposa es ningún tonto. Ella sabía que estaba siendo manipulado. Se disculpó y me vino a buscar. Fue a través de su aguantar y puso sobre la escasez de espesor. Por supuesto, este tipo de una cuenta puede ser una lección sobre cómo no caer en esta táctica. El problema es que la emoción se involucra. El ve que tengo una parrilla exterior que mira usado, por lo que sabe Me encanta cocinar fuera y juega en eso. Luego habla de la calidad de la carne y rápidamente hace que las comparaciones de calidad del restaurante y lo que está en sus cajas. Muchas personas podrían caer fácilmente por el aspecto emocional de su argumento de venta. “¿Y si es el último?” “Está en lo cierto, esto es mucho más barato que comer fuera.” “Él viene a mí ... Ni siquiera tengo que ir a la tienda.”

En cambio, me sacó una calculadora y le pregunte por la cantidad de las dos últimas cajas, dividido por el peso y luego le preguntó a mi esposa lo mucho que normalmente paga por libra para un Delmonico o chuletón en la tienda. Cuando su precio de vino en la parte baja de $ 3.00 por libra Simplemente yo callado. Ahora sus emociones se involucren. Él se apresura a salvar la cara. Baja la precio de $ 150 de descuento del palo. Yo de nuevo a hacer los cálculos y él sigue siendo de $ .50 más por libra.

Se trata de hablar de calidad, conveniencia, y todos aquellos aspectos que hacen que valga la pena el $ .50 más. Yo cambio mi postura y posición para estar lejos de él y para mostrar desinterés. Sin decir nada, se desvanece al final de un rollo débil y me ofrece otros $ 50 de descuento. Le digo: “Lo siento, yo no creo que vale la pena.”

Luego hace el error clásico que muestra cómo sus afirmaciones de escasez eran falsos se derrumba más. “¿Cuánto quiere pagar por estas cajas?” “Probablemente podría hacer $ 100.” “Si usted me puede dar $ 125 podemos decir que es un trato.”

Ahora cuenta hace poco estaba en $ 400 por caja y fueron los dos últimos en esta área durante dos a tres meses. Esto debería haber sido una guerra de ofertas por ese valor, pero en su lugar, le envió embalaje con sus dos cajas de carne y no dinero en efectivo. La lección de esta historia para los ingenieros sociales es que por la escasez de trabajar que o bien tiene que ser real, o usted tiene que pegarse a sus armas para dar la apariencia de la realidad.

La gente percibe el valor más alto cuando algo es realmente necesita. Un ejemplo malicioso de esto es cómo las compañías petroleras plantearon los precios del combustible después del huracán Katrina. El reclamo era que el combustible estaba en escasez debido a la destrucción, lo que provocó aumentos de precios terribles. Por supuesto, si esto fuera cierto, el combustible sería vale mucho más de lo que es; en cambio, era un ejemplo de la afirmación de la escasez utilizado para hacer dinero. Sin embargo, al mismo tiempo, cuando provocó el error de BP millones de galones de aceite que se pierde en el Golfo de México, arruinando el ecosistema, en lugar de los precios del combustible por las nubes debido a la falta de suministro, que cayeron. ¿Cómo? Bueno, yo no voy a entrar en eso aquí, pero demuestra el punto de que la escasez de trabajar, tiene que ser creíble, y esto donde las compañías petroleras y donde fallan los ingenieros sociales pueden fallar, también.

Desde el punto de vista de un ingeniero social, la más limitada o difícil que es obtener una oportunidad más valor tendrá para las personas. Si la información se considera como privada, restringida y difíciles de conseguir, y que está dispuesto a compartirlo con alguien, sólo ha ganado una gran cantidad de valor en sus ojos. Un ingeniero social puede aprovechar la escasez de información mediante el uso de una declaración como: “No se supone que estoy diciendo esto, pero ...” o “No estoy seguro de si escuchó esta noticia, pero yo oído ...” Declaraciones como éstas que se habla en voz baja implica que esta información es escasa.

Autoridad

La gente está más dispuesta a seguir las instrucciones o recomendaciones de alguien que ven como una autoridad. Encontrar a una persona que tiene la suficiente agresividad como para cuestionar la autoridad directa, especialmente cuando esa autoridad tiene poder directo sobre él o es cara a cara con él es poco común. Los niños, por ejemplo, se les enseña a obedecer a los adultos como los maestros,

consejeros, sacerdotes y niñeras porque tienen autoridad sobre ellos. A menudo, la autoridad interrogatorio se considera como una falta de respeto y la obediencia absoluta es lo que se ve recompensado. Estos principios se trasladan a la vida adulta porque se nos enseña a respetar a las figuras de autoridad y no cuestionar las reglas u órdenes dadas a nosotros por aquellos a quienes consideramos autoridades. Por desgracia, es este principio conduce a muchos niños en manos de abusadores y violadores. Por supuesto, este principio no exclusivamente, pero los que se aprovechan de los niños se dan cuenta de cómo se enseña a los niños acerca de la autoridad y, a menudo buscan a aquellos que parecen ser más compatible. Del mismo modo, los ingenieros sociales maliciosos utilizan este principio para manipular sus objetivos para tomar alguna acción o falta de acción que puede conducir a una violación.

La comprensión de cómo la autoridad se utiliza desde un aspecto de ingeniería social es importante. sociólogo y economista alemán política, Max Weber, definen la autoridad en categorías que he adaptado para ajustarse más estrechamente en el ámbito de la ingeniería social.

Autoridad legal Autoridad legal se basa en el gobierno y la ley. Esto se aplica generalmente a los oficiales de la ley u otras personas que hacen cumplir las leyes del país, área o instalación el que se encuentra. Como un ingeniero social, pretextos que involucran a la policía u otros funcionarios del gobierno suelen ser ilegal. Sin embargo, los guardias de seguridad, la seguridad bancaria, u otros tipos de figuras de autoridad de aplicación pueden ser bien representados y se utilizan a menudo por los ingenieros sociales. En un episodio del programa de televisión de la BBC El Real Hustle, Paul Wilson y sus seguidores se vistieron como los guardias que recoger el dinero. Cuando alguien se presenta en los uniformes que se parecen a los reales y actúa como una persona normal en esa posición de autoridad actuaría, los objetivos tienen pocas razones para dudar de que el impostor es quien “dice” que es. Actuando como una figura de autoridad es una táctica importante utilizado por los ingenieros sociales para tener acceso a una empresa.

Otra estratagema que puede ser eficaz se hace pasar por un abogado que trate de obtener cierta información. Jugando un papel que por lo general se teme o respetado por las masas puede ser una forma de utilizar una estratagema autoridad legal.

Autoridad organizacional autoridad organizativa es simplemente cualquier autoridad definida por medio de una organización. Típicamente, esto se refiere a una jerarquía de supervisión. alguien dentro de

una posición de poder en una organización tiene más poder y el acceso a más información que alguien en la parte inferior de la jerarquía. En una auditoría de la ingeniería social, un consultor puede hacerse pasar por el CIO u otra persona con autoridad para la organización claramente definida. El consultor puede entonces ser capaz de obtener contraseñas u otra información del servicio de asistencia o cualquier otro empleado que pueda percibir que la persona suplantada tiene autoridad sobre él o ella. En un documento titulado “La 'ingeniería social' contra los Fraudes en Internet” Jonathan J. Rusch del Departamento de Justicia de Estados Unidos escribe: “La gente es muy probable, en la situación correcta, que es altamente sensible a las afirmaciones de la autoridad, aun cuando el persona que pretende ser en una posición de autoridad no está físicamente presente”( www.isoc.org/inet99/proceedings/3g/3g_2.htm ). Esta táctica se utiliza en otras formas, al no actuar como si usted es el director financiero, sino que envía o autorizado por el director financiero. La autoridad del nombre y el cargo es quien ejerce puede ser suficiente para otorgar ese poder para el atacante a los ojos de la meta.

Rusch cita un experimento realizado por Robert B. Cialdini y grabado en su libro Influencia ( 1993), que mostró un 95 por ciento de las enfermeras dentro de 22 estaciones de tres hospitales diferentes estaban dispuestos a administrar a los pacientes una dosis peligrosa de la medicación en base a una llamada telefónica de un investigador que pretende ser un médico a las enfermeras no se conocían.

Este experimento muestra claramente que en base a órdenes y la noción percibida de la autoridad, la gente podría tomar ciertas acciones a pesar de su mejor juicio. Este tipo de autoridad puede y se utiliza a menudo para explotar empresas para que den datos valiosos.

Autoridad Social autoridad social se refiere a los “líderes natos” de cualquier grupo social. Un grupo social podría consistir en compañeros de trabajo, amigos de la universidad, o cualquier otra reunión de personas. En Influencia, Cialdini escribe: “Cuando se hace reaccionar a la autoridad de una manera automática, hay una tendencia a menudo a hacerlo en respuesta a los meros símbolos de la autoridad en lugar de a su sustancia.” Para la autoridad social que se produzca, puede no ser necesario una cantidad extraordinaria de tiempo o estructura para definir una figura con autoridad. En cualquier escenario, un flash rápido de prueba social, donde las personas se ven influidas por un grupo de personas que toman la misma acción, puede ayudar a proporcionar una autoridad social persona.

autoridad social se puede utilizar para una ventaja en la ingeniería social

pidiendo o presionar a la meta de la información. Si el objetivo se niega y por lo tanto no es del agrado de la líder del grupo, el objetivo puede caer en desgracia con todo el grupo. Cumpliendo con la autoridad social del líder es percibido como ventajoso. autoridad social se utiliza con éxito cuando sea directamente establece o implica que una persona o grupo anterior reaccionaron la forma en que el atacante está pidiendo. “Ayer, el director financiero me envió a hacerse cargo de este problema y Joe me dejó pasar y comprobó todos mis credenciales, hizo que los puso en el archivo?” Una declaración simple como que utiliza un par de formas de autoridad. Siempre y cuando cumpla con las autoridades sin pensar, es posible responder a símbolos de la autoridad en lugar de a la realidad. Tres símbolos de autoridad son particularmente eficaces en los países occidentales, que puede recompensar a las personas con cualquiera de estos (y ninguna otra evidencia de autoridad) para su cumplimiento:

Títulos ropa automóviles En una entrevista que realicé con el Dr. Ellen Langer, psicóloga de Harvard y investigador

de

persuasión y

influencia

( www.social-

engineer.org/episode-007-using-persuasion-on-the-mindless-masses ), Habló extensamente acerca de inconsciencia. Dijo que la gente suele hacer mucho de su trabajo en un estado donde no hay mucho pensamiento; en otras palabras, ellos están en piloto automático. En estas posiciones, el abuso de autoridad el papel es muy peligroso. autoridad percibida puede hacer que alguien reaccione con el piloto automático y sin límites. El uso de la ropa adecuada, el lenguaje corporal, e incluso tener una tarjeta de visita impresa falsa ha trabajado durante muchos ingenieros sociales en la presentación de una postura autoridad y mantener sus objetivos en piloto automático.

Otras formas de autoridad pueden entrar en juego para un ingeniero social que las que se describen aquí, pero estos son los más comúnmente utilizados. La autoridad es una fuerza poderosa cuando se trata de influir en los demás, y con un poco de razonamiento y la recopilación de información un ingeniero social puede utilizar con eficacia un pretexto autoridad para su ventaja.

Compromiso y Consistencia La gente valora la consistencia en los demás, y ellos también quieren aparecer consistentes en su propio comportamiento. En general, la gente probablemente quieren que sus palabras, actitudes y acciones que sean coherentes y congruentes. La consistencia reduce la necesidad de volver a procesar la información y ofrece accesos directos a través de decisiones complejas.

Gut sentimientos, esos momentos en los que sientes que una acción es buena o mala, o bien o mal, en base a la experiencia pasada, a menudo son indicadores de que una decisión sea tomada podría estar en contra de los sentimientos y creencias cometidos anteriormente. Estas señales indican que a menudo se siente empujado a aceptar algo que no desea.

Gut sentimientos también pueden ocurrir cuando se trata de hacer compromisos. Gut sentimientos pueden indicar que no está seguro de si su compromiso fue un error. Puede preguntarse, “ Sabiendo lo que sé ahora, si pudiera hacerlo de nuevo, me gustaría hacer el mismo

compromiso? ” Antes de ver cómo un ingeniero social puede utilizar consistencia al ganar el compromiso de alguien, echar un vistazo a tres ejemplos que podrían ayudar a golpear este punto a casa. Márketing: Las empresas a menudo gastan cantidades extraordinarias de dinero para ganar cuota de mercado. No hay retorno real, pero que luchan para permanecer en esa proporción que ellos creen que es rentable. Coca-Cola y Pepsi son grandes ejemplos de uso de marketing a lo largo de las décadas en la lucha para permanecer visible, pero a menudo un comercial no influir en una persona para cambiar de Pepsi a Coca-Cola. Debido a que las dos empresas han sido “comprometido” con la guerra contra la otra parece que cuando uno de ellos viene con un nuevo producto o idea de la comercialización, el otro no es demasiado lejos.

subastas: La creciente popularidad de las casas de subastas en línea como eBay tiene este principio sea más visible. La gente se siente un nivel de compromiso con algo que ponga una oferta encendido y si alguien les supera en la competencia es como si se ven obligados a pujar de nuevo. A veces incluso aumentar la oferta de manera más allá de su zona de confort, porque se sienten comprometidos. Un ejemplo clásico de esto es cuando Robert Campeau compró Bloomingdales. Él pagó $ 600 millones de dólares Más

de lo que valía. Max Bazerman, autor del libro negociar racionalmente citó a un periodista de la Wall Street Journal como diciendo, “No estamos tratando con un precio más, pero con el ego ....” Carnavales, casas de juego, y así sucesivamente: los juegos de azar en cualquier momento o casas de juego están involucrados existe un mayor riesgo de compromiso y consistencia se utilizan para convencer a la gente. Un columnista, Ryan Healy, un consultor de marketing en línea, escribió una historia de cuando tomó a su hija a un circo ( consistencia www.ryanhealy.com/commitment-and- / ). Pasó $ 44 sobre los boletos, $ 5 para aparcar su coche, a continuación, 40 minutos de coche para llegar allí. Él se ha comprometido a ser en el circo. Su hija quería algodón de azúcar por lo que se comprometió con un sí

dándole $ 5. ¿Cómo podría algodón de azúcar costar más que eso? Cuando el vendedor se acercó y dijo que la bolsa era de $ 12, ¿cómo iba a echarse atrás en su compromiso ahora? No podía, y por lo tanto terminamos gastando los $ 12 en un solo algodón de azúcar.

La consistencia de esta pretensión se define como lo que se espera basado en la experiencia o las expectativas anterior. Esa experiencia o expectativa pueden motivar a un objetivo de tomar una acción que puede provocar una violación. Por ejemplo, cuando el tipo de soporte técnico viene se espera que va a ir a la sala de servidores. Esa solicitud es consistente con la experiencia previa y la expectativa. Cuando se solicita el acceso a la sala de servidores, es más probable que se cumplan porque es coherente con lo que se espera. El compromiso y la coherencia pueden ser importantes factores de influencia sobre la mayoría de la gente a tomar acciones, dar información, o divulgar secretos. Un ingeniero social puede hacer que el compromiso y la coherencia algunas de las herramientas más poderosas de su arsenal. Si un ingeniero social puede conseguir un objetivo de comprometerse con algo pequeño, por lo general la escalada del compromiso no es demasiado difícil.

En su libro Influencia, Robert Cialdini escribe: La clave para utilizar los principios de compromiso y consistencia a manipular a la gente se mantiene dentro del compromiso inicial. Es decir, después de hacer un compromiso, tomar una postura o posición, las personas están más dispuestos a aceptar las solicitudes que sean coherentes con su compromiso previo. Muchos profesionales de cumplimiento a tratar de inducir a otros a tomar una posición inicial que es consistente con un comportamiento que lo harán más tarde petición. El ingeniero social con la esperanza de emplear la técnica de compromiso y coherencia general trata de conseguir el objetivo de dar a conocer una pequeña pieza de información hacia el objetivo pretendido en general. Al obtener el objeto de mantener la coherencia con las cosas que él o ella ya se ha dicho, el atacante puede obtener el objeto de revelar aún más información.

Por otra parte, el atacante debe ser coherente con lo que está pidiendo. El atacante debe comenzar pequeño y escalar la recopilación de información. Para usar un ejemplo realista, un atacante nunca debe comenzar pidiendo los códigos de lanzamiento nuclear. Esta solicitud será denegada, y el atacante se dejó pocas opciones, pero a recular la solicitud. Sin embargo, partiendo pequeña y la escalada del valor de la información solicitada con cada nueva pieza de información recopilada se parece como una progresión más natural y no aparece tan evidente a la víctima.

Va lenta y progresiva puede ser duro como ingenieros sociales a menudo son impacientes y quieren conseguir la “contraseña” en este momento. Jugar relajados y el paciente restante puede hacer esta avenida gratificante. Definir claramente, tal vez incluso escribir, un camino que se puede utilizar en cada auditoría puede ayudar a entrar en la auditoría con objetivos claramente definidos y un camino para llevarlos a cabo.

He creado un gráfico se puede ver en Figura 6-2 que muestra cómo un ingeniero social puede ser capaz de visualizar este camino para obtener información mediante el compromiso y la coherencia. Conseguir un objetivo de cometer verbalmente a una determinada acción puede forzar al objetivo en un determinado camino de la acción. Cialdini afirma: “Las reglas de compromiso y coherencia estados que una vez que tomamos una decisión, que experimentarán la presión de los demás ya nosotros mismos a comportarse consistentemente con esa decisión. Puede ser presionados para tomar decisiones, ya sea bueno o malo dependiendo de sus acciones pasadas “.

Tal vez usted ha sentido esta si alguna vez verbalmente le dijo a su esposa o esposo que quería bajar de peso. Eso verbal “compromiso” conduce a una gran presión para sostener a su fin de la “ganga”. A veces, llegando a estar en desacuerdo con usted mismo puede ser difícil y casi imposible. Todo el mundo tiene, en un momento u otro murmuró la frase, “Lo siento, he cambiado de opinión,” al menos una vez en nuestras vidas. Cuando lo hacemos, colgar la cabeza de vergüenza, nuestros tonos de voz caen, y en que el sonido triste. ¿Por qué? Nos acaban de romper el compromiso que hicimos y nos sentimos culpables por hacerlo.

Figura 6-2: Es evidente que la definición de sus objetivos puede ayudarle a obtener un compromiso de información.

Incluso compromisos pequeños, aparentemente insignificantes pueden conducir a la explotación. Por ejemplo, una conversación telefónica a menudo utilizado por los abogados es algo como esto: “Hola, ¿cómo estás hoy?” Su respuesta, “estoy haciendo muy bien.” Ahora, se preparan para la hazaña: “Esto es bueno escuchar, porque algunas personas que no están haciendo tan grande pueden usar su ayuda.” No se puede volver atrás en lo que ahora acaba, porque todavía se está haciendo muy bien y comprometidos con ella.

Esto no quiere decir que tiene que ser tan paranoico que ni siquiera se puede responder a preguntas sencillas sin el temor de la explotación, pero siendo conscientes de que un compromiso no significa que usted debe comprometerse con todo lo que sigue es vital. Una vez trabajé con un tipo que literalmente podría conseguir a nadie para hacer los peores trabajos y hacerlos pensar que era su idea. Asegurando su compromiso era un método que ha utilizado.

Si usted comprometido con un camino de acuerdo con él en ciertas cosas, que era casi imposible no hacerlo, ya que tienes que decir “sí” por adelantado, entonces tienes que seguir diciendo “sí”. Esas síes conducen por un camino y ese camino fue derecho a donde él quería, estar de acuerdo con el trabajo que tenía que hacer. Al ser consciente de que está bien decir “no” puede salvarlo de comprometerse a algo que podría ser desastroso. Sin embargo, a veces nos convencemos de que decir “no” es algún tipo de pecado capital que necesita muchas oraciones para ser perdonados. En el ejemplo anterior del vendedor de carne congelada, mi esposa es una persona muy consciente de sí mismo. Sabiendo que podría ser manipulado por un “buen trato aparentemente” se vino dentro de conseguir porque yo soy un “idiota”.

Uno de los mejores ejemplos que he oído que realmente demuestra el poder del compromiso es un experimento social realizado por el Dr. Thomas Moriarty en 1972. Él envió a un asistente a la playa como una “víctima” con un radio portátil. La víctima estaba sentada en su silla escuchando la radio durante unos 10 minutos, luego se levantó para ir a comprar una bebida.

Durante su ausencia, otro asistente, el “criminal” que nadie sabía estaba trabajando con él, vino a “robar” la radio. Sólo 4 de cada 20 personas-eso es sólo el 20% -stopped el ladrón de tomar la radio. Los investigadores luego subió la apuesta en la siguiente ronda. Antes de la “víctima” dejaría de comprar la bebida que pedirá a uno de los vecinos que toman el sol para ver a su radio para él. ¿Qué opinas del cambio fue?

Ahora un asombroso 19 de 20 detuvieron al ladrón, algunos incluso recurrir a la violencia. ¿Por qué la diferencia asombrosa? Compromiso y consistencia. El investigador obtuvo el compromiso de los bañistas y vecinos que les hizo tienen que actuar de manera coherente con ese compromiso. En mi opinión, se trata de estadísticas sorprendentes que muestran el poder de este método de influencia. Un ingeniero social puede utilizar con eficacia este método de influencia para conseguir un objetivo que se comprometan a incluso un pequeño acto o pequeño “sí” y el uso de ese compromiso para escalar en un conjunto más amplio de acciones.

Gusto La gente como personas que les gusta. Como lengua retorciendo como esa frase es, se trata de una declaración muy cierto. La comprensión de la profundidad de esa declaración que se hace mucho más cerca de dominar la persuasión.

Cuando digo comprender la profundidad, lo digo de verdad, porque esa frase tiene mucho más que lo que ve el ojo. Esta afirmación no es decir que las personas que les gusta que responderán bien. Los vendedores a menudo se les enseña que la gente compra de la gente que les gusta. Eso es cierto, pero no es el punto. Tampoco se dice que la gente debe gustaría que-se es

diciendo que debe como personas y luego que le gustaría a cambio. Esta tarea no es tan fácil como parece, porque le gustaba alguien no puede ser falsificada. Como se discutió en el Capítulo 5, sonrisas y felicidad son muy difíciles de falsificar. Debe ir a la circunstancia realmente el cuidado de la persona que usted está tratando de influir. El cuidado de las personas y sus sentimientos no es una práctica estándar del ingeniero social malicioso; por lo tanto, a menudo dependen de encanto. Encanto puede trabajar sobre una base a corto plazo, pero a largo plazo, le gustaba la gente es una habilidad practicado y aprendido.

Gusto se utiliza ampliamente en la comercialización. En 1990 Jonathan Frenzen y Harry Davis publicó un estudio titulado “Comportamiento de Compra en los mercados implícitos” ( www.jstor.org/pss/2626820 ) Que examina por qué los partidos de Tupperware son tan exitosos. Todas sus investigaciones llevaron a este principio de gusto.

Los investigadores concluyeron que la mayoría de la gente compró porque querían la anfitriona para ser feliz, para ayudar a un amigo, y de ser querido. Qué vergüenza para ir a una fiesta como esta y no comprar nada! Ese miedo a no ser querido es lo que impulsará la mayoría de la gente a comprar en estos partidos y tiene poco que ver con ganas de más Tupperware. Otras encuestas y estudios han comparado la confianza que la gente tiene en recibir “consejos o asesoramiento” de aquellos que consideran amigos a la confianza que tienen en completos extraños o, peor aún, las personas que no les gusta. Un amigo puede dar

un mal consejo y uno pueden ser más propensos a seguir a él que un buen consejo de una persona uno no le gusta. Desde un punto de la ingeniería social el concepto de gusto es una herramienta poderosa. No sólo usted tiene que ser agradable y ganar su confianza, pero también hay que estar realmente interesado en las personas. Este concepto se remonta a la discusión de pretextos en el Capítulo 4. Cuando pretexto, usted no está actuando simplemente a cabo una idea o creencia debe convertirse en la persona que está pretextos; que el papel es lo que su vida está a punto. Si puede hacerlo, entonces el paso del gusto puede llegar a ser más fácil. Su pretexto será realmente interesados ​en ayudar, el gusto, o ayudar a esa persona.

Un último aspecto de la afición que es importante para usted como un ingeniero social es atractivo físico. Los seres humanos tienden a automáticamente “como” los que nos encontramos atractivo. Tan vano como suena, es la verdad. Algunos principios psicológicos serios respaldan esta idea.

Lo que es bello es bueno. En 1972 Berscheid, Walster, y Dion realizó un estudio titulado precisamente eso, “lo que es bello es bueno”, que desencadenó algunas conclusiones muy profundas. Se pidió a los participantes que calificaran las fotos de tres individuos que van de baja, media, alta y atractivo. Con base en las fotos solo eran para evaluar las personas por los rasgos de personalidad, felicidad en general, y el éxito profesional. Se compilan las clasificaciones y los promediaron y se encontró que las personas que se consideraron fueron más atractivo socialmente deseable, tenían mejores ocupaciones, eran más feliz, y más exitoso. El estudio demostró que las personas tienden a vincular la belleza con otras cualidades de éxito y altera sus opiniones y capacidad de confiar en alguien. Este estudio es un ejemplo de un fenómeno llamado efecto aureola, donde uno influencias rasgo particular o se extiende a las otras cualidades de la persona. Se ha demostrado que el sesgo de decisiones de una persona con una tendencia a centrarse en los buenos rasgos de la otra persona. He archivado una copia de este sorprendente estudio

a www.socialengineer.org/wiki/archives/BlogPosts/BeautifulGood.pdf . En otras palabras, si alguien te ve tan hermosa, entonces ese buen rasgo se extiende a otros juicios que dicha persona realice sobre usted. Este efecto de halo se utiliza a menudo en la comercialización. gente hermosa se dan productos para beber, comer, y el desgaste, y otras personas asumirán automáticamente estas cosas son buenas, posiblemente pensando: “Bueno, debe ser bueno si esta bella persona está usando.” Hace poco vi un anuncio en la televisión que realmente dio en este punto en casa el anuncio se burla de los esfuerzos de marketing, pero lo hace de forma muy inteligente. Un atractivo

mujer joven viene en la pantalla usando hermosa ropa y dice: “Hola, soy una atractiva creíble de edad 18-24 años.” Usando una mujer atractiva que no es demasiado atractiva, pero creíble verdadero, alguien que la gente normal puede mirar hacia arriba para es genio del marketing. Realmente no podemos decirle a su edad, pero su belleza se puede colocar en alguna parte entre las edades de 18-24.

“Se puede relacionarse conmigo porque soy racialmente ambiguo.”

Una vez más, esta es otra punta del genio del marketing. Ella no es negro, blanco o nativos americanos, no podemos decir, pero ella puede ser una mezcla, que puede ser atractivo para muchas carreras y no es ofensivo para la mayoría. “Estoy en este comercial porque la investigación de mercado muestra chicas como tú amas chicas como yo.”

Su belleza y seguridad en sí mismo que nos hace como ella; ella está bien vestido, bien hablado, y queremos conocerla. La cámara entonces filtra a diferentes tomas de ella haciendo cosas como el kickboxing, porristas, y jugando con las flores. Al mostrar a los espectadores que puede hacer todas estas cosas mientras que ser tan bella como es, que percibimos como su fuerte y poderoso, y todas las cosas que está haciendo tan bien.

“Ahora voy a decirle a comprar algo ...” Luego va a vender tampones. Este comercial es genial, ya que el anunciante se esbozan en realidad, utiliza y educa al consumidor sobre los métodos utilizados para hacer que desea comprar. Pero a pesar de todo eso, dentro de este comercial se encuentra este principio de gusto y el efecto de halo. Sabiendo todo esto acerca de la importancia de gusto, ¿qué se puede hacer? Tengo un tiempo bastante difícil convertirse en un hombre atractivo, y mucho menos una mujer atractiva. Debido a un sinfín de carreras a mi cirujano plástico local, están fuera, ¿hay algo que un ingeniero social puede hacer para sacar provecho de este principio? Conozca a su objetivo. Saber lo que es y no es aceptable para él o ella. ¿Cómo se visten, y lo que él considera malo y bueno? El exceso de joyas, maquillaje, u otro aspecto de la vestimenta puede desactivar un objetivo. Supongamos que está auditando el consultorio de un médico y su pretexto es un representante de ventas de drogas. Usted sabe que la mayoría de los representantes de ventas llevan trajes; tener el pelo perfecto; y mirar, oler, y actuar con confianza, un rasgo de muchas personas atractivas, por lo que caminar con pelo de punta y perforaciones faciales podría llamar más la atención sobre sí mismo que no sea su objetivo.

Usted debe conocer su destino lo que puede buscar con éxito la forma en que el objetivo era de esperar. Use ropa, peinados, joyas y maquillaje que no choque, sorpresa, asco o el objetivo. Poniendo su mente en la facilidad puede recorrer un largo camino hacia la creación de una atmósfera en la que se le gustaría, que construirá

confiar y llevar al éxito. Un ingeniero social puede buscar cosas para complementar un objetivo en. Cuando la contratación de un objetivo, y en su caso, iniciar la conversación con una pregunta simple cortesía (como “Esos son los zapatos agradables;? ¿Dónde los compra”) es útil. La gente como el refuerzo positivo. Cuando uno recibe elogios de otra, que tiende a permanecer comprometidos con el fin de recibir el refuerzo más positivo. Estos cumplidos tienden a reforzar la propia imagen de un objetivo, haciendo que se sienta como si usted tiene una comprensión mayor de lo normal de él.

los

Universidad

de

Minnesota

emitido

una

papel

( www.cehd.umn.edu/ceed/publications/tipsheets/preschoolbehaviortipsheets/posrein.pdf ) Sobre el refuerzo que se afirma que el exceso de refuerzo positivo puede tener un efecto negativo. Lo llaman la saciedad, lo que significa que cuando el refuerzo se da demasiada comienza a perder su eficacia. Para combatir este efecto, se puede refuerzo positivo respaldada por una pregunta. Este método refuerza el comportamiento o la actitud positiva, pero también hace feliz a la gente como se les pregunta por sí mismos.

Cuatro pasos pueden ayudar a conseguir que la gente como tú:

1. Proyectar una actitud de confianza y positiva. 2. Establecer una buena relación.

3. Sincronizar o ponerse en sintonía con el blanco y su entorno utilizando los métodos mencionados anteriormente.

4. Comunicar eficazmente. En su libro Cómo hacer que personas como usted en 90 segundos, Nicholas Boothman dice que las personas deciden si les gusta alguien en los primeros dos segundos de él o ella reuniones. Después se hace una impresión cambiante que puede ser difícil. Se promueve que entra en una interacción con una buena actitud. Tener la capacidad de hablar y comunicarse de manera efectiva en muchas situaciones diferentes puede hacerlo más agradable. Lo que proyectas en los demás es lo que sentirán. Sus expresiones faciales, el lenguaje corporal, de vestir, y así sucesivamente todos deben proyectar una buena actitud, positiva.

Boothman dice algunas cosas claves en su libro acerca de ser agradable, incluso a hacer muchas preguntas, escuchar activamente, y estar interesado en lo que dice la gente. Hacer estas cosas le ayudará a la gente como usted. Un ingeniero social puede necesitar para practicarlo, pero siendo agradable que recorrer un largo camino hacia el éxito en sus auditorías.

Consenso o prueba social

Prueba social es un fenómeno psicológico que se produce en situaciones sociales cuando las personas son incapaces de determinar el modo adecuado de comportamiento. Se puede suponer fácilmente un comportamiento es apropiado si ves a otros actuando o hablando de una manera determinada. La influencia social, en general, puede conducir a la conformidad de los grandes grupos de personas, ya sea en decisiones correctas o equivocadas. Este comportamiento es común cuando la gente entrar en situaciones desconocidas y no tienen un marco de referencia sobre cómo hacer frente a la situación; son un reflejo de su comportamiento fuera de otros a los que asumen son más familiar y por lo tanto mejor informado.

En su libro, Influencia: La psicología de la persuasión, El Dr. Robert Cialdini afirma, “prueba de las personas Sociales van a hacer cosas que ven otras personas están haciendo. Por ejemplo, en un experimento, uno o más cómplices mirarían hacia el cielo; transeúntes sería luego mirar hacia el cielo para ver lo que estaban viendo. En un momento dado se interrumpe este experimento, ya que muchas personas estaban buscando hasta que dejaron de tráfico “. Voy a esbozar algunos ejemplos excelentes de la prueba social que le ayudarán a ver lo poderoso que es, y si alguna vez ha caído en la trampa.

Prueba social es muy usada en la comercialización. Prueba social es utilizada en las ventas cuando los números altos de ventas son liberados, demostrando a los clientes potenciales que el producto es popular. Otro ejemplo es cuando las empresas publican camisas con logotipos o eslóganes impresos en ellos, en los que el usuario se da un apoyo implícito.

Prueba social no sólo está influenciada por grandes grupos, sino también por personas de alto perfil. Por ejemplo, una única celebridad convertirse en asociados con el producto hará que otros quieren ser asociados con rasgos positivos de la celebridad, y entonces usará el mismo producto. Existen muchos ejemplos de apoyo de las celebridades, pero en los últimos años, la empresa que se convirtió en un importante proveedor de boinas fue capaz de conseguir Samuel L. Jackson para endosar su producto, como se muestra en Figura 6-3 .

Figura 6-3: Samuel L. Jackson endosar un sombrero Kangol.

En sus esfuerzos de marketing de la empresa dijo que sus sombreros eran algunos de los más calientes en el mercado y prueba de ello fue que el señor Jackson se puede ver el uso de ellos.

Los anunciantes suelen decir cosas como: “de mayor venta” o “producto más caliente” para convencer a su audiencia que tienen el respaldo de muchos de nuestros compañeros en estas afirmaciones.

Además, el sitio Media-Studies.ca publicó un artículo en que influyen en su objetivos utilizando social prueba ( www.mediastudies.ca/articles/influence_ch4.htm ): Los experimentos han encontrado que el uso de la risa enlatada provoca una audiencia a reír más y más a menudo cuando se presenta material humorístico y para evaluar el material como más divertido. Además, hay evidencias que indican que la risa enlatada es más eficaz para chistes malos “La pregunta es:. ¿Por qué funciona, especialmente cuando la pista de la risa a menudo es tan obviamente falso? Para responder a esta pregunta, Cialdini postula el principio de la prueba social: “Uno de los medios que utilizamos para determinar lo que es correcto es averiguar lo que otras personas piensan que es correcto ... Vemos un comportamiento como más correcto en una situación dada en la medida en que nosotros ven a otros que lo realiza “.

Al igual que con las otras “armas de influencia” prueba social es un atajo que por lo general funciona bien para nosotros: si nos ajustamos al comportamiento que vemos a nuestro alrededor, somos menos propensos a hacer un paso en falso sociales. El hecho de que la risa enlatada provoca una respuesta automática en audiencias sugiere que las señales auditivas son poderosos estímulos, ya que nos influyen a un nivel de conciencia que es difícil de criticar. Otros ejemplos son la forma camareros u otros establecimientos serán “sal del tarro de la extremidad,” mediante la colocación de unos cuantos billetes en el frasco. Como un patrón se acerca a la compra de alimentos, la implicación es, “Muchos antes de que me haya inclinado, ¿por qué no?” Y funciona, también!

Una de las más profundas bits de la investigación en este campo que realmente fuera rodales hecho por el Dr. Craig KD en 1978. El Dr. Craig dedicó su vida al estudio del dolor y su efecto en las personas. En 1978 se publicó un documento titulado “Modelado social influye en la Teoría de la Decisión sensorial y psicofisiológico

índices

de

Dolor"

( www.ncbi.nlm.nih.gov/pubmed/690805?dopt=Abstract ), En la que hizo un experimento que se describe como: Los sujetos expuestos a modelos sociales tolerancia o la intolerancia disimular generalmente exhiben un comportamiento coincidente en sus calificaciones verbales de

estimulación dolorosa. Ha sido claro, sin embargo, si estos cambios reflejan alteración voluntaria de pruebas o cambios genuinos en peligro. Este estudio utilizó medidas alternativas y controlado por las limitaciones metodológicas de los estudios anteriores mediante el examen de potencial de la piel no-palmar palmar, además de conductancia de la piel y de la frecuencia cardíaca índices de respuesta fisiológica psicológica a una descarga eléctrica, y mediante la evaluación de las expresiones verbales del dolor con la teoría de la decisión sensorial metodología. Varios índices de potencial de la piel no palmar y reactividad del ritmo cardíaco exhibieron reactividad más baja en el grupo tolerante. modelado tolerante también se asoció con una disminución del estrés subjetivo. Los resultados fueron consistentes con la posición que los cambios en los índices de dolor asociados con la exposición a un modelo tolerantes representado variaciones en las características fundamentales de las experiencias dolorosas en oposición a la supresión de la información.

Para hervir esto abajo, lo que hizo fue básicamente la gente de choque y pedirles que calificaran su nivel de dolor. Luego, utilizando similares pero diferentes choques hizo la misma prueba en presencia de una persona que era “tolerante” al dolor; era como si un manto mágico había terminado el tema, ya que ahora eran más tolerantes al dolor. Este experimento apunta al hecho de que parte de la motivación para mostrar, exhibir, o sentir dolor está relacionado con cómo otros alrededor de actuar. Las personas del estudio no estaban actuando como que duela menos: Sus reacciones cutáneas y de la frecuencia cardíaca en realidad mostraron menos reacción de dolor cuando un modelo tolerantes estaba en su lugar.

Para un ejemplo de humor de la potencia de la prueba social, ver un vídeo del programa de televisión de edad Cámara indiscreta

a www.social-

engineer.org/framework/Influence_Tactics:_Consensus_or_Social_Proof . Este video muestra a los sujetos siendo influenciados para hacer frente a diferentes direcciones en un ascensor, incluso en un momento mirando hacia la parte de atrás porque todo el mundo lo está haciendo. Había cuatro o cinco participantes en el ascensor actuar como patronos. A intervalos fijos, los participantes de todo gire a la izquierda, a la derecha, o se enfrentan al revés. Después de unos segundos, una cámara oculta cogería el sujeto desprevenido cumpliendo y frente a la misma dirección, la eliminación de un sombrero, o tomar alguna otra acción. El uso de la prueba social como un ingeniero social puede ser una herramienta mortal. Este principio se puede utilizar para estimular el cumplimiento por parte de una persona con una petición de él o ella que muchas otras personas, tal vez algunos que son modelos a seguir informando, tomó la acción o comportamiento que está intentando conseguir a esta persona a hacer.

Prueba social puede proporcionar un acceso directo para determinar cómo comportarse. Pero al mismo tiempo puede hacer que los objetivos vulnerables a las manipulaciones de otros que buscan explotar dicha influencia.

Prueba social es más influyente en dos condiciones: Incertidumbre: Cuando las personas no están seguros y la situación es ambigua que tienen mayor probabilidad de observar el comportamiento de los demás y para aceptar que el comportamiento correcto.

Semejanza: La gente está más inclinado a seguir el ejemplo de otros que son similares a ellos. Estas condiciones son donde un ingeniero social puede utilizar la prueba social. Afirmar o incluso lo que implica que muchas personas antes de este objetivo han tomado una acción particular puede aumentar sus posibilidades de éxito. En una situación de ingeniería social donde fui detenido por un guardia de seguridad recelosos, simplemente actué confundido en cuanto a por qué me detuvo y dijo: “Ayer, Jim me dejó entrar después de comprobar todos mis credenciales. Sólo pensé que todavía estaba en el expediente “.

La presente guardia de seguridad, al oír que Jim me aprobó, me permitió pasar sin lugar a dudas. Prueba social no siempre funciona tan fácilmente, pero es una fuerza muy poderosa. Los principios descritos en esta sección son algunas de las tácticas de influencia más letales utilizados en la actualidad. Estas tácticas, literalmente, puede dar unos poderes ingeniero social para motivar a la gente, moverlos, y hacer que reaccione de manera que los ponga en el control del ingeniero social.

Recuerde que la influencia y el arte de la persuasión es el proceso de conseguir que otra persona querer hacer, reaccionar, pensar o creer en el camino tú queremos que. La creación de esta motivación dentro de un objetivo es una fuerza poderosa; es superpotencia un ingeniero social. Los principios descritos en este capítulo pueden hacer que la superpotencia una realidad, pero no sin consecuencias y mucho trabajo.

¿Qué quiero decir con eso? He encontrado a menudo que después de que practico una cierta habilidad y convertirse en expertos en ello, “apagarlo” es muy duro. Este rasgo puede sonar atractivo, pero ser cauteloso cuando se trata de quién está influyendo, sobre todo como un ingeniero social, es una buena idea. Para arraigar estas habilidades en su personalidad, los utilizan para ayudar a los demás. Por ejemplo, cuando se empieza a practicar microexpresiones de lectura e incluso utilizarlos para manipular un objetivo, la respuesta inicial podría ser cree que tiene algún poder místico que le permite leer casi mentes. Aquí es donde la precaución es aconsejable. Practicar la habilidad y el trabajo hacia el perfeccionamiento, pero no asuma que lo sabes todo.

Si puede influenciar a alguien a dejar de fumar, para empezar a trabajar, o para ser más saludable, entonces usted va a aprender a aprovechar estas habilidades a voluntad para beneficiar a otros, y utilizarlos en su práctica de la ingeniería social no es una idea descabellada.

Muchas de estas habilidades requieren que se encuentre realmente interesado en las personas, se preocupa por ellos, y empatizar con ellos. Si estos no son habilidades naturales para usted, entonces usted debe trabajar duro para obtener esas habilidades. Yo insto a tomar ese tiempo, porque las habilidades en el apartado anterior se puede llevar a ser un ingeniero social de gran maestro.

Imagínese que usted podría alterar lo que usted piensa en la medida en que la obtención de estas habilidades podría ser más sencillo. Imagínese ahora, también, si se pudiera alterar el pensamiento de sus objetivos por lo que lo que experimentan es exactamente lo que usted quiere que experimentan. Literalmente alterar la realidad de los que se interactúa con, incluido usted mismo, es el siguiente tema, y ​sólo le golpe de distancia.

La realidad alterando: Framing

Enmarcado ha sido definida como la información y experiencias en la vida que alteran la forma en que uno reacciona a las decisiones hay que tomar. Desde un punto de ingeniero no de vista social, el encuadre es sus propias experiencias personales y las experiencias de otros que le permiten a la mente consciente para alterar la manera de tomar decisiones. Las tiendas de comestibles usan encuadre poniendo “75% magra” en un paquete de carne molida en lugar de “25% de grasa.” Estos términos significan lo mismo (ambos tienen 25% de materia grasa) pero suena más saludable y es más atractivo para el comprador, y es por eso que las tiendas utilizan un 75% magra en lugar de etiquetar el contenido real de materia grasa.

El ejemplo anterior es simple, pero también es uno que ayuda a mostrar el poder de enmarcar. La simple presentación de los hechos de una manera diferente puede hacer que algo parezca bien que normalmente sería considerado malo. En las siguientes secciones se ven en algunas áreas donde encuadre se utiliza a menudo para que pueda ver lo poderoso que es.

Política Framing ha sido utilizado en la política. Simplemente las campañas forma o mensajes están redactadas puede hacer una gran diferencia en la forma en que el público percibe un mensaje.

Consideremos, por ejemplo, George Lakoff, lingüista cognitivo profesional. En

una observación interesante en la elaboración de la política, que establece la diferencia en cómo la gente percibe el uso de las frases “Contraterrorismo como aplicación de la ley” frente a “Contraterrorismo como la guerra.” Cuando ocurrieron los ataques del 9/11, Colin Powell argumentó que debe tratarse como delitos. Cuando el público exigió más acción y políticas más estrictas, a continuación, el presidente Bush anunció la campaña “guerra contra el terrorismo”. Otro ejemplo es el programa de Seguridad Social en los Estados Unidos. El nombre implica que este programa puede ser invocada para proporcionar seguridad para el futuro.

Sin embargo, otro ejemplo es la diferencia en los términos rescate versus de estímulo económico. rescate se reunió con un montón de oposición, ya que puede pintar un cuadro palabra de rescate de agua de un barco que se hunde. Pero de estímulo económico

pinta la imagen mental de ayudar a la economía mediante la estimulación de la economía. Ambos programas hicieron casi la misma cosa, pero expresada en lenguaje sencillo hicieron este último término más aceptable. Judith Butler, profesor de Berkeley y autor del libro aclamado por la crítica Los marcos de la Guerra, escribió acerca de cómo se utiliza el encuadre especialmente en las culturas occidentales cuando se trata de las agendas políticas y de guerra. En su libro que explora la representación de la violencia estatal de los medios de comunicación:

Esta representación ha saturado nuestra comprensión de la vida humana, y ha conducido a la explotación y el abandono de pueblos enteros, que se presentan como amenazas existenciales, más que como las poblaciones que viven en necesidad de protección. Estas personas están enmarcadas como ya se ha perdido, a prisión, el desempleo y el hambre, y puede ser descartada fácilmente. En la lógica retorcida que racionaliza sus muertes, se considera la pérdida de tales poblaciones necesarias para proteger la vida de “los vivos”. Estos son sólo algunos ejemplos donde encuadre se utiliza en la política.

El uso de marcos en la vida cotidiana

El termino marco de referencia se define como un conjunto de ideas, condiciones o supuestos que determinan cómo se acercó algo, percibido o comprendido. Esta definición puede ser útil para entender cómo se utiliza enmarcar. Cualquier cosa que pueda alterar las percepciones de las personas o de la forma en que toman decisiones pueden ser llamados enmarcar. Un amigo le dice que la semana pasada se fue a la ciudad y tomó una ruta determinada que fue respaldada por 10 millas debido a algunas obras de construcción. A continuación, puede tomar una ruta más larga para evitar el retardo potencial, a pesar de que la noticia de su amigo compartió más de una semana de edad.

Nuestras mentes están diseñados para no como “desorden” o el caos. Cuando se presentan con las cosas que se amontonaban en nuestro cerebro a tratar de poner orden en ellos. Un ejemplo interesante de esto se encuentra en Figura 6-4 .

Figura 6-4: Se puede alterar su marco para cambiar la realidad lo que se ve?

En el marco de la actualidad, lo que es el fondo y el primer plano lo que es? Sus mentes va a insistir en la búsqueda de patrones familiares en las cosas. Lo hacemos en las nubes, el espacio y los objetos inanimados. Los seres humanos también tienden a ver las caras en estas cosas.

En Figura 6-4 se puede alterar su marco y cambiar lo que es la imagen y

¿cuál es el fondo? Intenta, centrándose en lo contrario de lo que se observó por primera vez.

Otro ejemplo muy interesante de cómo el cerebro humano encontrar orden en el caos puede ilustrarse en un correo electrónico que circuló en los últimos años que se parecía a esto:

O lny srmat poelpe puede raed tihs.

Me cdnuolt blveiee taht I cluod aulaclty uesdnatnrd waht estaba rdanieg. El pweor phaonmneal de la mnid hmuan, Aoccdrnig a un rscheearch en Cmabrigde Uinervtisy, se deosn't mttaer en waht oredr los ltteers en un wrod son, la tihng iprmoatnt olny es taht la Frist y ltteer lsat estar en el pclae rghit. El rseto puede ser una MYPE taotl y se puede sitll raed que wouthit un porbelm. Tihs es bcuseae los deos mnid huamn no raed ervey lteter por istlef, pero el wrod como wlohe. Amzanig eh? yaeh y yo awlyas tghuhot awlyas era ipmorantt! si se puede raed tihs anuncios de servicio público en !! No estoy seguro de si esto es en realidad la investigación de Cambridge, pero la parte interesante en el sentido de correo electrónico reenviado es como muchos de nosotros que utilizan Inglés como lengua principal o son muy competentes en la lectura de Inglés son probablemente capaz de leer ese párrafo sin mucho esfuerzo , porque nuestros cerebros son muy eficientes en hacer orden a partir del caos.

Muchas veces el encuadre es más subliminal. Las empresas utilizan esta en la comercialización con la esperanza de que los mensajes subliminales van a alterar la percepción del destino de su producto. Muchas veces las empresas utilizarán medidas sutiles de enmarcar a plantar una idea.

Por ejemplo, Figura 6-5 muestra algo que probablemente ha visto muchas veces.

Figura 6-5: ¿Puede usted manchar el marco?

Después les muestro esto, usted nunca verá el logotipo de FedEx de la misma manera, hay una flecha en el logotipo de FedEx. En una entrevista con el creador del logo, dijo que la flecha incrustada en el logotipo para plantar una idea acerca de los servicios de FedEx. Está ahí para comunicar el movimiento, la velocidad y la naturaleza dinámica de la empresa.

¿Lo has encontrado todavía? Mirar Figura 6-6 donde he descrito y rodeó la flecha.

Figura 6-6: La flecha indica la calidad del servicio que está siempre en movimiento.

FedEx no es la única empresa que utiliza enmarcar. Durante décadas, las empresas han estado incrustando los mensajes en los logotipos en un esfuerzo para enmarcar el pensamiento del espectador para recordar, pensar y ver su empresa en la manera que quieren. Las siguientes cifras muestran más ejemplos. ¿Alguna vez se observa el logotipo de Amazon para su mensaje de encuadre incrustado

Figura 6-7: Cómo ves el cliente feliz sonriendo?

Amazon tiene dos mensajes enmarcadas en su logotipo. Una de ellas es la felicidad que se sentirá como un cliente, representado por la sonrisa en la imagen, pero la sonrisa es también una flecha. Que los puntos de flecha de la A a la Z, lo que indica la Amazonía tiene todo, desde ambos puntos y en el medio.

Otro gran ejemplo es el logotipo Tostitos. Se trata de un logotipo muy social, como se puede ver en Figura 6-8 .

Figura 6-8: Qué hacer este logo que desea compartir un chip con alguien?

Los dos T de en medio son personas que comparten un chip sobre un tazón de salsa. En 2004, Tostitos emitió un comunicado de prensa que decía: “Tostitos juega un papel como un 'aperitivo social', ayudando a crear conexiones entre amigos y familiares, ya sea en una fiesta, durante la 'gran juego', o por lo sencilla todos los días llegar - reuniones. El nuevo logotipo da vida a esta idea de hacer las conexiones “. Estos ejemplos son sólo una pequeña parte de cómo se utiliza el encuadre en la comercialización. Encuadre no es todo sobre las imágenes; sobre todo es acerca del valor que

el objetivo percibe. La percepción de que el objetivo tiene de un elemento puede aumentar o disminuir su valor. Tome una tienda de ropa cara, cuando entras todo está colgado ordenadamente, presionado, y perfecto. La percepción puede ser que la ropa es digno de la cantidad exorbitante de la etiqueta de precio. Sin embargo, si

fueron a tomar una de las corbatas, camisas, u otras piezas de ropa de la rejilla; llevarlo a una tienda de descuento; y tirarlo en un gran recipiente lleno de otras prendas de vestir marcada, “Descuento 75% de descuento” su percepción del valor de esa prenda de vestir iría hacia abajo.

gurús de marketing juegan fuera de este fenómeno, en un esfuerzo para enmarcar la percepción del público de valor. Muchas empresas han tenido éxito en las estructuras hasta tal punto que la gente realmente han acuñado frases para crear todo un género de las palabras para describir productos. Por ejemplo, todo el mundo probablemente ha dicho, “le hará una fotocopia de eso?”, Incluso si la máquina no es una Xerox, pero de otra marca. Xerox es el nombre de la marca, no el tipo de máquina. Un ejemplo más reciente es no importa qué motor de búsqueda que utiliza, la gente suele decir, “¿Usted es Google?” Ya que Google se ha convertido en sinónimo de búsqueda en la Web. Y la gente dice, “Pásame un Kleenex por favor”, cuando en realidad quieren un pañuelo de papel.

Otros que puede que ni siquiera tener en cuenta eran los nombres de marca (a menos que esté de la generación en la que se introdujeron) incluyen: Aspirina es un producto de marca registrada de Bayer.

Termo es un nombre de producto de la empresa Termo GmbH. Tirita es una marca registrada de Johnson & Johnson. Frisbee era una marca registrada de Wham-O.

Todos estos nombres se hizo tan popular que el marco de referencia de la gente terminó por abarcar cualquier producto similar a ella. Nunca tomo aspirina que suelen utilizar otra marca, pero siempre voy a pedir “dos aspirinas,” tener la marca que uso, y ser feliz. existen volúmenes de información sobre el encuadre, pero hirviendo esta información a algunos principios fundamentales se puede utilizar como un ingeniero social es necesario. La información precedente establecido una etapa muy detallada de lo que el marco es y cómo se utiliza en diferentes áreas de la vida. Antes de pasar a la arena de la ingeniería social, echar un vistazo a los diferentes tipos de alineaciones de trama.

Cuatro tipos de alineación de trama

Dos investigadores, David nieve de la Universidad de Arizona y Robert Benford, de la Universidad de Nebraska, escribieron un artículo titulado, “aclarar la relación entre Framing e

ideología en el estudio de los movimientos sociales” ( www.social-engineer.org/resources/book/SNOW_BED.pdf ). Nieve y Benford argumentan que cuando los cuadros individuales se vinculan en

congruencia y complementariedad,

ese alineación de trama ocurre,

productor resonancia marco, que es clave para el proceso de un grupo de la transición de una trama a otra. Nieve y Benford continuación resaltan cuatro condiciones que afectan a los esfuerzos que enmarcan:

“La solidez, integridad y el rigor del esfuerzo framing”: Nieve y Benford identificaron tres tareas básicas de encuadre, y el grado en que estas tareas son atendidos determinará la cantidad de cada participante se involucra. Los tres pasos son: 1. Diagnosticar el marco de problemas. 2. Analizarla de soluciones. 3. Si tiene éxito, una llamada a la acción. Cuanto más esfuerzo puesto en el marco de la mejor oportunidad que la persona tiene que llamar a los que él es enmarcar en acción.

“La relación entre el mayor sistema de creencias marco y propone”: La gente tiende a descartar marcos o marcos propuestos si un enlace no existe a una creencia central o un valor de su sistema de creencias. Tratar de convencer a una persona que sostiene la creencia de que comer carne es crueldad a los animales para ir al lugar de carne en el camino que tiene un gran especial sin duda fallar. El marco debe caer con el núcleo de las creencias de una persona para tener éxito (a menos que su objetivo es usar un marco para cambiar sus creencias básicas); es imprescindible para el éxito. Un cambio a gran escala encuadre intento fue hecho a través de los controvertidos anuncios publicitarios antitabaco donde los voluntarios se acumulan bolsas de cadáveres frente a la puerta de un edificio industria del tabaco. Las bolsas de plástico representan el número de personas mueren cada minuto, hora, día o de fumar. La esperanza es alterar el marco de los que apoyan a fumar a pensar en el número de muertos de los que fuman.

“Relevancia de la trama a las realidades de los participantes”: El marco debe ser relevante para la persona (objetivo). Debe ser acreditable y comprobable lo que se refiere a la experiencia del objetivo. No se puede esperar a utilizar un marco de comercialización que animar a la gente a tomar un crucero de lujo en un país donde la gente no puede permitirse el lujo de comida para el día. No importa lo bueno que eres en el uso de marcos en la comercialización, sólo sería un fracaso. Para el marco para alinear, no sólo debe ser relevante, pero también debe ser demostrable con el fin de llevar a cabo valor, incluso si es sólo una prueba de que en la mente del objetivo.

Por ejemplo, en 2007 una fuente de noticias muy popular y de confianza, Visión

revista ( que es propiedad de la misma compañía que El Washington Times) informó que el entonces candidato presidencial Obama había asistido a una escuela sólo para los musulmanes que se conoce para la enseñanza de una forma muy radical y fundamental del Islam. Cuando esta noticia fue lanzado muchos creyeron que de inmediato, ¿por qué? Se encaja en el marco de su realidad, parecía creíble, y que venía de una fuente “de confianza”.

CNN, otra fuente de confianza para las noticias, envió a los investigadores, descubrió que la historia era falsa, e informó de sus hallazgos. Este es un buen ejemplo de la alteración de los marcos de las personas en cuestión usando una fuente muy confiable para los medios de comunicación “verdad” -Noticias. Las personas que querían creer que Obama era musulmán radical corrieron con esa historia, y la noticia se volvieron locos. Cuando la investigación reveló que la historia era falsa, el pensamiento de muchas personas se alteró de nuevo.

“Ciclos de protesta; el punto en el que emerge el marco en la línea de tiempo de la era actual y las preocupaciones existentes con el cambio social”: ¿Qué está pasando en el mundo puede afectar a un marco social. Piense de nuevo hace unos años; si la idea de escáneres de rayos X de cuerpo completo se propuso a las empresas en las otras culturas occidentales de Estados Unidos o, la idea habría sido arrojado al viento. Activistas de la vida privada habrían luchado contra la idea y ganó, simplemente mediante el uso de la idea de que alguien sea capaz de ver sus áreas privadas y potencialmente ahorrar esa imagen para burlarse o acosar sexualmente. Este argumento habría superado los esfuerzos de ventas de los creadores de las máquinas. Sin embargo, después de los ataques en los Estados Unidos el 11 de septiembre y el posterior aumento de la actividad terrorista, esas máquinas se están instalando en los aeropuertos de todo el mundo a pesar de los gritos de los activistas, incluso discutiendo con el poder de las leyes de pornografía infantil en su lado. ¿Por qué? El marco social de la forma de permanecer a salvo ha sido alterado, lo que permite una nueva clase de decisión de entrar.

Nieve y Benford proponen que cuando las tramas apropiadas se construyen como se describe en estos cuatro puntos, cambios a gran escala en la sociedad, tales como los necesarios para movimiento social se puede lograr a través de la alineación de trama. Sus estudios se centran en la sociedad en su conjunto, pero estos mismos principios son eficaces cuando se trata de una escala más pequeña, o incluso uno-a-uno. La discusión anterior es sólo el proceso de marco de alineación; en realidad cuatro tipos diferentes de alineación pueden ocurrir después de que se cumplan estas cuatro condiciones. Aunque muchos de estos aspectos están orientados a la elaboración de los grupos en su conjunto, las siguientes secciones se describen estas cuatro alineaciones enmarcado en una

nivel personal que mostrará cómo se puede utilizar en una escala más pequeña, tanto como un ingeniero social y / o simplemente como una persona que desea alinear los marcos con los demás. Imagínese tratando de alinear su objetivo de entrada a un edificio con el marco de la guardia de seguridad diseñado para detenerlo. Con lo que su marco en alineación con su pretexto puede garantizar el éxito.

Una cosa para recordar acerca de las tramas es que nunca se construyen a partir de cero. Marcos siempre se dibujan en los códigos culturales ya existentes que implican el núcleo de las creencias y experiencias de una persona. Sabiendo esto afectará a cómo se utiliza enmarcar.

Bridging marco El Centro para el Censo Marsh Cathie y define la información de la Encuesta puente marco como la vinculación de dos o más cuadros ideológicamente congruentes pero estructuralmente no relacionados con respecto a un tema en particular.

Puente no se trata de engañar a la gente en la creencia de su marco tanto como su comprensión de su marco tan profundamente que a encontrar el nexo de unión. A continuación, utiliza la conexión de enlace que traer un objetivo en su marco.

La situación podría ser que desea tener acceso a una zona, edificio o parte de la información. Su marco es que desea que esto suceda. El bastidor de la persona se está acercando no es necesariamente para detenerlo; Ni siquiera se puede saber lo que se va a tratar. Si se va a abordar la situación en ese marco que le puede alertar a un problema y con ello cierra sus posibilidades. Mediante la comprensión de trabajo de la meta, el papel y la actitud mental se puede entender su estado de ánimo y tal vez encontrar un enlace que hará su transición en su marco mucho más fácil.

¿Cuál es su excusa? ¿Cómo sería la persona que está a punto de abordar el tratamiento de una persona en su pretexto? Un buen ingeniero social debe entender que esto tenga éxito. El “guardián” va a tratar un tipo diferente de ventas el repartidor de refrescos. Comprender el marco del objetivo significa saber cómo te-no se tratará como un ingeniero social, pero como pretexto. Un ejemplo más personal puede ser pensar en cómo desea que otros usuarios vean You- tal vez lo más fresco, “juntos” inteligente, o confianza. Un profesor quiere parecer inteligente. Un gerente quiere aparecer en el control. Un atleta quiere aparecer sereno y fuerte. Un cómico quiere que el público verla como divertida. Todos estos son marcos que una persona quiere otros para estar en alineación con. En el caso del comediante, lo que si hay una persona que interrumpe, una persona que no lo hace

verla como fresco, divertido, inteligente, o confianza? Debido marco de la persona que interrumpe están enojados, no es feliz, postergar, o simplemente no le interesa? Si el comediante persiste en su marco se puede convertir algunas personas a su alrededor, pero hasta que se adentra profundamente y tratar de entender que alguien está viniendo de él no será capaz de alinear sus dos marcos y llevar a esa persona en su marco. El comediante que puede manejar una persona que interrumpe es capaz de dejar a un lado sus temores acerca de su marco y utilizar la persona que interrumpe a su favor. La técnica de alineación de trama de puente puede ser uno de los más poderosos utilizado por un ingeniero social, sino que implica un poco de preparación para asegurarse de que lo haga bien.

Un ingeniero social puede utilizar esta forma particular de alineación de trama, ayudando a un puente de destino la brecha de lo que ven y lo que necesitan para creer a través de un pretexto adecuado. Una vez más, recordar el ejemplo de tratar de obtener acceso al edificio como un representante de soporte técnico. Su vestido, herramientas y el lenguaje deben coincidir con el marco que el objetivo de espera de un representante de soporte. Si lo hacen, se crea el puente y se produce la alineación.

La amplificación del marco

amplificación Frame, de acuerdo con la nieve, se refiere a “la clarificación y fortalecimiento de un marco interpretativo que lleva sobre un tema en particular, un problema o conjunto de eventos.” En otras palabras, se amplifican, o centrarse en los valores o creencias del objetivo. Al centrarse en los valores que se pueden encontrar un área que va a alinear los dos marcos, o por lo menos conducir al objetivo a pensar que hay alineación.

Esta forma de alineación ha sido etiquetado como el más básico de los cuatro porque es más de un método de mantenimiento. Se trata de la acentuación, aumentar, o puntuando de un evento como más importantes que otros, lo que permite para este evento a estar vinculado con otros eventos con mayor facilidad. Un ejemplo de amplificación marco puede ser revelada si hacemos la investigación adicional en el ejemplo anterior sobre los escáneres de rayos X de cuerpo completo. Los escáneres se venden ahora como elementos de disuasión para los terroristas. El marco que se venden bajo la forma es la reciente actividad terrorista causó una necesidad de productos como estos, y aquí están a satisfacer esa necesidad. Sin embargo, la investigación de estos dispositivos muestra que se están construyendo, comercializan, y rechazaron mucho antes de los ataques del 9/11 y otros ataques recientes. El uso de los acontecimientos del 9/11 se combina con el miedo a volar muchas personas han debido a los ataques permite que el escáner empresas para vincular su marco con el marco del miedo que muchas personas tienen, y por lo tanto obtener apoyo para la implementación de estos dispositivos en los aeropuertos de todo el mundo .

Uno de los otros puntos fuertes de la amplificación del marco es que puede ser utilizado con éxito para desenfocar el marco y hacer que las personas con una cierta creencia de que se distancian de esa creencia. Por ejemplo, muchos de los que cree en la intimidad y la libertad de elegir cómo se proyectará han sido puestas en un marco diferente por los fabricantes de escáneres de rayos X que se centran en ciertos aspectos de otros métodos de detección de ser inseguro o incompleta, y para probar su punto que llevar a cabo historias como “el bombardero de la ropa interior.” Estas tácticas amplifican su cuerpo que los nuevos escáneres de rayos x son mejores y más seguras, utilizando creencia generalizada respecto a la falta de protección de otros métodos. Un ingeniero social puede utilizar esta técnica de alineación de varias maneras diferentes. Por ejemplo, un ingeniero social puede querer convencer a un guardia de seguridad que le permitan el acceso a un área contenedor de basura en el lugar. El pretexto de trabajar para una empresa de eliminación de residuos es bueno y muy bien puede trabajar solo, pero funcionaría mejor si usted presentó la idea de que hay un daño en uno de los contenedores de basura, lo que representa un pasivo de seguridad para la empresa. Amplificar ese marco se puede llevar a una alineación con el guardia de seguridad que la mejor solución es permitir que el sitio para comprobarlo.

Extensión del marco

“ extensiones del marco son el esfuerzo de un movimiento para incorporar los participantes mediante la ampliación de los límites del marco propuesto para abarcar los puntos de vista, intereses, y, lo más importante, los sentimientos de un grupo.”En otras palabras, al ampliar las fronteras de su marco para abarcar otros temas o intereses de su destino, puede llevarlos a la alineación.

Por ejemplo, existe la posibilidad de que los grupos que apoyan iniciativas “verdes” ambientales o ampliarán su marco a los movimientos antinucleares, indicando que están bajo el paraguas de un ser preocupado por los riesgos ambientales. Sin embargo, un riesgo con el uso de extensiones de estructura es que puede debilitar la postura en la trama original y un cierto nivel de apelación se puede perder. Esto se puede hacer mediante la inclusión de demasiadas extensiones de estructura en un determinado marco, finalmente diluyendo el marco principal y haciendo que el interés que se pierde.

Incluso a nivel personal, lo simple es mejor. Cuando se utiliza esta táctica de alineación de trama, que sea sencillo y fácil de seguir. No cometa el alma de unión tan complicada se pierde el interés del objetivo. Un ingeniero social puede utilizar esta técnica de alineación de trama a través de las habilidades de obtención discutidos en el Capítulo 3. Cuando un ingeniero social se aproxima a un objetivo, se puede recoger información sobre el objetivo o su compañía al no actuar interesado en eso, pero la utilización de charla en una fiesta o

con un pretexto como reportero. Esto le dará al ingeniero social “derecho” para solicitar la información que normalmente tendrían que trabajar muy duro para llegar.

La transformación del marco

“Transformación del marco es un proceso necesario cuando los marcos propuestos no pueden resonar con, y en ocasiones pueden aparecer incluso la antítesis de los estilos de vida tradicionales o rituales y marcos interpretativos existentes “. En otras palabras, un ingeniero social ofrece nuevos argumentos que apuntan a por qué su marco es mejor en un esfuerzo para transformar los pensamientos o creencias de un objetivo desde donde están a donde el ingeniero social quiere que sean.

Cuando se produce una transformación del marco, se requieren nuevos valores y nuevos entendimientos para mantener a la gente involucrada y mantener su apoyo. Este tipo de transformación se llevó a cabo en un gran nivel social en la década de 1970, donde el movimiento conservador se reformuló o se transforma en un movimiento ecologista más progresivo. En una escala más pequeña, más personal, las transformaciones del marco ocurren todos los días a través de la conversión religiosa, en la que se altera el marco de una persona o sistema de creencias, cambiar y transformarse para ser alineado con un nuevo marco de pensamiento, el de la nueva religión.

La transformación del marco de alguien no es fácil; es una de las tácticas de alineación más complicadas de poner en práctica ya que puede tomar: Hora: estructura de creencias toda cambiar de alguien no es un proceso rápido y puede tomar el uso de otras técnicas de alineación y un montón de tiempo para hacer que funcione.

Esfuerzo: Saber dónde el objetivo está viniendo y donde quiera que sea son sólo los pasos iniciales. ¿Cuáles serán sus objeciones y bloqueos mentales? Averiguar esto tomará algo de trabajo. Educación: El conocimiento es poder. Usted debe ayudar a entender el objetivo del nuevo marco que quiere que “convertir” a. Lógica: La educación debe ser lógica y no toda la emoción. El objetivo debe ser capaz de razonar y racionalizar la acción que está a punto de tomar. La única forma en que puede hacerlo es con la lógica.

lazos emocionales profundos: El conocimiento es lo que prepara a la persona para la acción, la lógica le convence de la acción es buena para tomar, pero la emoción es lo que hace que la acción ocurra. Si usted es emocional acerca de su “causa” el objetivo sentir esa emoción. Sólo asegúrese de que la emoción que están expresando y el sentimiento coincide con el pretexto. Si su pretexto es un consejero y entraste como una animadora se quiere

compensar la capacidad del objetivo de alinear.

Ser capaz de alinear a otros a su marco y alinearse con la de ellos puede dar a la gente incentivo para hacer las cosas que preguntar. Aunque el uso de cualquiera de los cuatro métodos de encuadre es de gran alcance, un ingeniero social que tiene éxito en la transformación del marco tiene un poder infinito.

Siga leyendo para averiguar cómo aplicar estas técnicas de enmarcado como un ingeniero social.

El uso de marcos como un ingeniero social A lo largo de esta sección he mencionado muchas maneras un ingeniero social podría utilizar como una técnica encuadre. Algunos de estos métodos son tan potentes que el perfeccionamiento de ellos se puede convertir en un factor de influencia principal.

Para utilizar realmente encuadre como un ingeniero social debe comprender cuatro cosas acerca de enmarcar. Estas cuatro cosas le ayudará a entender claramente cómo enmarcar las obras y la forma de utilizarlo como un ingeniero social. Recuerda lo que es un marco. Un marco es una estructura conceptual que nuestra mente utilizan en el pensamiento. Esta es una pieza vital de información debido a que su objetivo es, ya sea para crear un nuevo marco, alinee con el marco de una persona, o traer el blanco en su marco.

Uno de esos tres objetivos, hay que resumir con las cuatro reglas siguientes con el fin de enmarcar maestro como un ingeniero social.

Regla 1: Todo lo que diga evocará un Marco mente de las personas trabajan imaginando cosas. Este hecho natural no puede ser alterado, pero se puede utilizar para su ventaja.

Si empiezo a hablar con usted acerca de su jefe, su mente va a imaginarlo. Si pinto un cuadro con palabras acerca de cómo estaba fuera en el teléfono celular y que estaba enfadado, su mente comienza a imaginar su cara de enojo, el lenguaje corporal, y las palabras. Usted no será capaz de controlar esto y ese marco mental provocar emociones y reacciones. Pinta un cuadro con las palabras es una forma eficaz de utilizar enmarcar. Al elegir cuidadosamente sus palabras puede causar la mente de un objetivo de imaginar cosas que usted quiere que él la imagen y empezar a moverlo a un marco que desee.

¿Alguna vez has oído a alguien que usted pensaba que era un gran narrador? ¿Por qué? Lo que la hizo grande? Ella era capaz de pintar un cuadro mental, te hacen ver las cosas en su mente, lo que le intriga y que se involucra. Esta habilidad es muy importante para un ingeniero social. Esto no significa que usted habla como si

está contando una gran historia todo el tiempo, pero desea mantener en mente las palabras que usted elija, porque esas palabras tienen el poder para pintar imágenes en las mentes de los objetivos.

Aquí está un ejemplo sencillo: Te puedo decir que tuve espaguetis para la cena de anoche. Si no eres un entusiasta o no italiano, tal vez la última vez que tuvo espaguetis que no era tan agradable. Su marco mental no es tan fuerte y que podría estar apagado.

¿Y si te dijera que anoche mi esposa hizo una salsa de tomates madurados en la planta de albahaca y creció en el jardín? También había trozos de ajo fresco y orégano en ella, así como un toque de sabores de vino tinto. Ella lo sirvió en un plato de espaguetis perfectamente preparada y con pan casero de ajo. Independientemente de si usted es un fan de pasta, que está imaginando un plato de calidad de restaurante. Se trata de cómo se debe planificar sus palabras con sus objetivos. Ellos deben ser descriptivos, robusta y llena de imágenes. Sin embargo, la precaución no es ser demasiado teatral como un ingeniero social. Su objetivo debe ser construir una imagen con sus palabras, para no llamar la atención sobre sí mismo oa su entrega.

Regla 2: Las palabras que se definen dentro de un marco evocar el marco mental Usted no tiene que utilizar las palabras exactas para hacer que una persona la imagen del fotograma que desee. Por ejemplo, ¿qué piensa usted de cuando se lee la siguiente frase?

“Vi la lucha de insectos para liberarse de la web, pero no pudo. Momentos más tarde, fue envuelto en un capullo y se guarda para la cena “. Aviso, que no tenía que hablar de una araña para hacer pensar en una araña. Si quiero que enmarcar a pensar en una araña, puedo hacerlo sin tener que mencionar la palabra araña. Este poderoso imperio de la influencia y el encuadre da un ingeniero social la capacidad de controlar los pensamientos del objetivo utilizando el estilo indirecto. Toastmasters, la organización internacional centrada en las capacidades de las personas de habla, enseña a sus miembros a mover a la gente con su discurso de conseguir las emociones de su audiencia involucrados. La entrega de una historia que hace que el objetivo de imagen El cuadro que desea, mientras que involucra emocionalmente solidificará su posición en la dirección de esa conversación. Una vez más, el uso de este método de encuadre se llevará a la planificación. Un aspecto de gran alcance de esta norma marco es que mientras que el cerebro de un objetivo está procesando la información que está alimentando y generando las imágenes mentales que está pintando, hay un momento en el que se puede plantar pensamientos o ideas. A diferencia de cuando pinté una

directas de imagen de un hermoso plato de pasta, esta regla permite que el objetivo de la libertad de imaginar otra cosa. Podría haber acabado mi historia cena de espaguetis antes con “Mi esposa luego se sirve en un plato de pasta perfectamente preparado. ¿Qué tipo de pasta? No te estoy diciendo, hay que imaginarlo “, y cuando el cerebro empieza a imaginar que entonces puede decir:‘Mientras le dio vueltas en mi tenedor, la salsa era tan espesa y perfecto se pegaba a cada uno de los tallarines.’

Esta descripción pinta la imagen mental de espaguetis. ¿Qué otro tipo de pasta que girar qué? (Sé que hay otros, pero usted consigue el punto.)

Regla 3: La negación del marco Si se lo digo a no la imagen de una araña en una web, su cerebro tiene que imaginarse la araña primero en decir sí mismo para no imaginarlo.

Esta técnica de negar el marco es de gran alcance. Contar una meta que tener cuidado, cuidado, o sea cauteloso sobre algo los pone automáticamente en el marco es posible que desee. Esta técnica se utiliza a menudo por los ingenieros sociales profesionales. En una entrevista que hice con un grupo de ingenieros sociales, todos coincidieron en que esta técnica funciona muy bien.

Durante una auditoría, se me cayó un par de llaves USB que estaban cargados de código malicioso que quería a alguien en la empresa para funcionar sin pensar. Me acerqué a uno de los empleados que se había ganado la confianza de y dijo: “Juan, oí una nota fue emitida para estar a la expectativa de un par de llaves USB que se hayan caído. Ellos están buscando ahora “. Lo que pasa es que son allí como conserje y se le cayó de las llaves USB cargados de archivos maliciosos, y ahora diciéndole a la gente a mirar hacia fuera para ellos, que son, en esencia, la siembra de la semilla para que hagan su oferta. Este tipo de una frase niega la preocupación que pueden sentir al encontrar una llave USB pícaro y hacer que conectarlo a ver quién es.

Regla 4: Hacer que el objetivo pensar acerca del marco refuerza que Marco Cada vez que el cerebro se centra o piensa en algo que se ve reforzada. Cuanto más se puede hacer que el objetivo pensar o imaginar el marco que él quiere, más fácil será para reforzar y trasladarlo a ese fotograma. Mirar hacia atrás en el capítulo 2 en el modelado de comunicación y analizar cómo los mensajes se desarrollará un ingeniero social puede tener efectos sorprendentes en sus objetivos.

Una vez estaba viajando en la India. No recuerdo el incidente exacta en el

noticias, pero lo único que sé es que el presidente George W. Bush había perdido el favor de la gente en Europa. Estaba ojeando las estaciones de noticias y vi cómo la gente en ciertos países europeos en los que cuelgan las muñecas que parecían George W. Bush en las calles. Después de terminar banderas de Estados Unidos en torno a las muñecas que estaban encendiendo les prendió fuego.

Era una escena impactante y mientras yo estaba en el teléfono con mi esposa esa noche le dije: “Vaya que historia de noticias sobre lo que está ocurriendo en Europa es una locura, ¿verdad?”

No había oído nada al respecto. ¿Por qué? medios de comunicación y estaciones de noticias son maestros en lo que respecta a la elaboración y manipulación. Un ingeniero social puede aprender mucho de mirar cómo los medios de comunicación utiliza esta habilidad. Mediante el uso de omisiones, o dejando de lado los detalles de una historia o de toda la historia en sí, los medios de comunicación puede llevar a la gente a una conclusión que parece que sí solos, pero en realidad es la década de los medios de comunicación.

Los ingenieros sociales pueden hacer eso, también. Al omitir ciertos detalles y sólo “pérdida” de datos que quieren filtraron, pueden crear el marco que quieren que el objetivo de pensar o sentir. etiquetado es otra táctica utilizada por los medios de comunicación. Cuando quieren enmarcar algo positivo que puedan decir cosas como: “la fuerte defensa de ...” o “nuestra economía sana.” Estas frases pintan cuadros mentales de la estabilidad y la salud que pueden ayudar a sacar conclusiones positivas. Las mismas reglas se pueden aplicar para marcos negativos, también. Las etiquetas como, “terroristas islámicos” o “teorías de conspiración” pintan un cuadro muy negativo.

Puede utilizar estas habilidades para etiquetar las cosas con palabras descriptivas que traerán un objetivo en el marco que desee. Una vez, se acerca a una caseta de vigilancia que quería tener acceso a, caminé a través como si yo pertenecía. Me detuvo bruscamente al instante. Miré a la guardia en estado de shock y de disculpa utilicé una frase como, “Oh, ayer que extremadamente útil guardia de seguridad, Tom, desprotegido todos mis creds y me dejó pasar. Es por eso asumí yo todavía estaba en la lista “.

Etiquetado de la guardia anterior como “extremadamente útil” pone automáticamente el presente guardia en un marco que quiero. Si quiere recibir una etiqueta tan prestigioso, que mejor que sea como “extremadamente útil”, como era Tom.

El encuadre es eficaz, ya que se dobla la verdad, pero no tanto que se convierte en falsa, lo que sigue siendo creíble. Un ingeniero social puede crear una impresión deseada sin alejarse demasiado de la apariencia de objetividad. He leído un libro blanco llamado “status quo Framing aumenta el apoyo a la tortura”, escrito por Christian Crandall, Scott Eidelman, Linda Skitka, y

Scott Morgan, todos los investigadores de diferentes universidades. En el libro blanco que suministran un conjunto de datos muy interesante que me ha intrigado sobre este tema. En el Nosotros nos parece que muchas personas están en contra del uso de la tortura en tiempos de guerra como una táctica para obtener información de inteligencia. El propósito de este estudio era ver si los investigadores pudieron obtener un subconjunto de las personas de acuerdo en que la tortura es menos desagradable al enmarcar el mensaje de manera diferente.

Tomaron un grupo de muestra de aproximadamente 486 personas y les pidió que leyeran dos párrafos.

La primera lectura: El uso de estrés por las fuerzas estadounidenses al interrogar a los sospechosos en el Medio Oriente está en las noticias. Este tipo de entrevista de estrés es nueva; según algunos informes, es la primera vez que ha sido ampliamente utilizado por el Ejército de Estados Unidos. fuerzas estadounidenses han utilizado muchos métodos diferentes, incluyendo flejes detenidos a una tabla y mojando bajo el agua, los detenidos relleno de cara contra un saco de dormir, y largos períodos de colgar detenidos por cuerdas en posiciones dolorosas. Los detenidos también se mantienen despierto y solo durante días a la vez.

Este párrafo pinta la idea de que estos son nuevo técnicas que se emplean por el Gobierno de Estados Unidos para obtener datos.

El segundo párrafo decía: El uso de estrés por las fuerzas estadounidenses al interrogar a los sospechosos en el Medio Oriente está en las noticias. Este tipo de entrevista de estrés no es nueva; según algunos informes, se ha utilizado durante más de 40 años por el Ejército de Estados Unidos. fuerzas estadounidenses han utilizado muchos métodos diferentes, incluyendo flejes detenidos a una tabla y mojando bajo el agua, los detenidos relleno de cara contra un saco de dormir, y largos períodos de colgar detenidos por cuerdas en posiciones dolorosas. Los detenidos también se mantienen despierto y solo durante días a la vez.

La versión status quo del párrafo era idéntica, salvo que la segunda frase del párrafo se sustituyó por “Este tipo de entrevista de estrés no es nueva; según algunos informes, se ha utilizado durante más de 40 años por el ejército de Estados Unidos “. ¿Cuáles fueron los resultados en tan sólo cambiar un fotograma de un marco que estos son métodos completamente nuevos o que éstas sean juzgados y probados métodos que se han utilizado durante décadas?

El documento describe las medidas de los investigadores. Siete elementos forman el conjunto básico de variables dependientes. Estos elementos corresponden a un punto de la escala “botón” de siete, con las etiquetas de los puntos de desacuerdo mucho, moderadamente

no están de acuerdo, un poco en desacuerdo, inseguro, poco de acuerdo, de acuerdo moderadamente, y muy de acuerdo. Todos los artículos fueron anotados inverso, de modo que las puntuaciones más altas reflejan un mayor acuerdo con cada elemento.

¿La conclusión? “La manipulación status quo tuvo un efecto sobre la evaluación global de la tortura, cuando descrito como una larga en lugar de nuevo la práctica, se evaluó la tortura más

positivamente; [ m] aking tortura parece ser el status quo para interrogatorios aumento de apoyo y justificaciones individual para usarlo como una táctica “. Cambiando sólo una pequeña parte de la trama de los investigadores fueron capaces de traer a un grupo importante de personas en la alineación y hacerlos de acuerdo (en su mayor parte) que la tortura puede ser una política aceptable. Las declaraciones de que el papel continuo, “Ellos pueden solicitar a través de muchos, muchos dominios, y pueden afectar el juicio, la toma de decisiones, la estética y las preferencias políticas”, concluyendo con “cambios relativamente modestos en la forma en que se presentan las opciones éticas y dilemas de valor, enmarcados, o poner en contexto puede tener un profundo efecto sobre la elección y la política de política “.

Este experimento demuestra lo poderosa que es la elaboración, ya que puede cambiar incluso centrales creencias, juicios y decisiones que las personas pueden haber tenido durante años. Como ingeniero social que no es aún la meta mayor parte del tiempo. Usted no está tratando de convertir a la gente; que sólo está tratando de llegar a tomar una acción que con un poco de pensamiento que les razón no es que bueno tomar. La aplicación de las cuatro reglas de encuadre y hacer un montón de planificación puede hacer que la elaboración de una fuerza devastadora a tener en cuenta, por lo que, por desgracia, los ingenieros sociales maliciosos utilizan esta técnica todos los días. En los EE.UU., y “culturas occidentalizadas”, sobre todo, las personas están capacitados para aceptar ser enmarcado, a aceptar que le digan qué pensar y cómo pensar él.

Si te dijera que hace 15 años que casi todos los programas en la televisión sería sobre la observación de personas reales hacen cosas reales, que podría haber reído de mí. ¿Por qué? Debido a ver programas como sonaba aburrida y tonta. Sin embargo, en

2006, el Los Angeles Times declaró que el número de programas de televisión de realidad saltó 128% ( http://articles.latim onlocation31-2010mar31 ), Y no ha disminuido mucho desde entonces, y es porque viendo ellos es lo que hay de nuevo y la cadera, y se nos dice que viendo ellos es bueno y divertido, y todo el mundo lo hace. Estos espectáculos son un ejemplo de cómo una cosa se puede hacer para quedar bien que la mayoría de la gente se han considerado tonto sólo unos pocos años antes.

El encuadre es sin duda una forma de arte que cuando se mezcla con la ciencia de la comunicación y su influencia puede convertirse en una fuerza formidable a nivel personal

en manos de un experto ingeniero social, a través de la presentación

información de una manera que puede hacer la alineación con el ingeniero social “fácil” para el objetivo, puede hacer que se tome acción que no lo dejará sintiéndose culpable, y alterar su percepción de la realidad.

Encuadre y la influencia son partes fundamentales de la ingeniería social, aunque otra habilidad

se asocia a menudo con los “oscuros rincones” de la vida social

Ingenieria. La introducción del libro mencionado mirando en estas esquinas; la siguiente sección se presenta la información que va a alterar la forma de ver la influencia.

Manipulación: Cómo controlar el destino

La manipulación es considerado por muchos como un tema muy oscuro, un tema que crea una sensación de miedo por la forma en que a menudo es retratado.

Echando un vistazo a unas cuantas definiciones que se encuentran en Internet puede ayudar a explicar: “ejercer influencia astuta o tortuosa especialmente para la propia

ventaja" “Influencia o control astutamente o sinuosamente”

“control (otros o uno mismo) o influencia con habilidad, por lo general a su ventaja” Se puede ver claramente por qué muchos ingenieros sociales babean por este tema. ¿Puede usted imaginar la posibilidad de utilizar sus habilidades para controlar o influenciar a alguien a su ventaja?

Desde algo tan oscuro como el lavado de cerebro a los sutiles toques de un vendedor, tácticas de manipulación son algo que cada ingeniero social debe estudiar y perfecto. El objetivo de la manipulación es superar el pensamiento crítico y el libre albedrío de su objetivo. Cuando el objetivo se pierde la capacidad de tomar una decisión basada en procesos informados, pueden ser alimentados con las ideas, valores, actitudes o pensamientos de la manipulación de ellos.

La manipulación se utiliza en seis formas que son válidas si el tema es lavado de cerebro o algo menos insidiosa. Voy a ir rápidamente a través de cada uno antes de entrar en esta sección muy profundo. El aumento de la sugestión de su blanco. En su forma más extrema, dormir o privación de alimentos aumenta la sugestión de un objetivo. En el lado más ligero, pistas sutiles que se acumulan en intensidad con el tiempo para hacer que su objetivo más sugestionables.

Ganar control sobre el entorno del objetivo. Esta técnica puede implicar todo, desde controlar el tipo y cantidad de información

a la que un destino tiene acceso a cosas mucho más sutiles, como el acceso a sitios web de medios sociales de un objetivo. En un contexto de ingeniería social, el acceso a las redes sociales le permite ver las comunicaciones de su destino, así como ejercer el control sobre la información que recibe. La creación de la duda. Desestabilizar y socavar el sistema de creencias de su destino puede recorrer un largo camino hacia la manipulación de su objetivo de tomar una acción que desea. Desde un punto de vista de ingeniería social, esto debe hacerse de manera sutil. No se puede irrumpir y empezar a degradar su objetivo; en cambio, cuestionando las reglas que siguen, su trabajo o sus creencias pueden afectar la capacidad del objetivo de tomar decisiones racionales.

Creando una sensación de impotencia. Esta técnica verdaderamente malicioso se utiliza en los interrogatorios en tiempos de guerra para hacer un objetivo sentir una falta de confianza en sus convicciones. Un ingeniero social puede utilizar esta táctica mediante la eliminación de la agencia del objetivo mediante la presentación de los “hechos” que ha recibido de alguien con autoridad, creando así una sensación de poder.

La creación de fuertes respuestas emocionales en el objetivo. respuestas emocionales fuertes incluyen todo, desde la duda a la culpa a la humillación y más. Si los sentimientos son lo suficientemente intensas, que pueden provocan que el objetivo de alterar su sistema de creencias. Un ingeniero social debe tener cuidado de no dañar crear emociones negativas, pero el uso de tácticas que crean una respuesta emocional basada en el miedo de la pérdida o el castigo puede resultar beneficioso para su meta SE. intimidación pesada. El miedo de dolor físico o de otras circunstancias extremas puede ser utilizado para hacer una grieta objetivo bajo presión. Una vez más, la mayoría de los ingenieros sociales no van a seguir este camino a menos que utilicen el espionaje corporativo como una táctica, pero en la ingeniería social normal, esta táctica utiliza percibida autoridad para construir una fuerte miedo y sentimientos de pérdida potencial.

La mayoría de las veces, sin embargo, la manipulación no es tan extrema. En su nivel muy básico, imagina que estás en una habitación llena de gente y alguien llama por tu nombre. ¿Cuál es su reacción? Por lo general, se trata de dar la vuelta o responder con un “Sí?” Usted ha sido manipulado, pero no necesariamente en una mala manera.

A nivel psicológico, siendo manipulada que es aún más profunda. Observe lo que sucede para hacer que la interacción anterior a suceder: Su cerebro oye su nombre, y de forma automática a formular una respuesta ( “Sí?”). La conexión entre la respuesta y la respuesta vocal es muy corto. Aunque haya hecho ninguna respuesta vocal o si los insultos no está dirigido a usted

personalmente, si se hace una pregunta de opinión formulará una respuesta.

Sólo estar en estrecha proximidad de dos personas conversando y escuchar una pregunta hará que su mente para formular una respuesta. La respuesta puede ser una imagen o sonido en su mente. Si un objetivo oye dos personas hablando de lo que alguien ve como su mente se forma una imagen mental. Si escucha a dos personas que cuenta una broma acerca de un pollo que cruza el camino, es posible imaginar el pollo, el camino, o toda la escena.

Este tipo de manipulación es sólo el comienzo de lo que puede hacer. Otra táctica es la de la manipulación acondicionamiento. Las personas pueden estar condicionados para conectar ciertos sonidos o acciones con sentimientos y emociones. Si cada vez que algo positivo se menciona una persona oye un clic del lápiz, después de un breve periodo de tiempo el objetivo puede estar condicionado a asociar un sentimiento positivo con este sonido.

Uno de los ejemplos más clásicos de acondicionamiento fue Ivan Pavlov y lo que llamamos el perro de Pavlov, que se discutió en el capítulo 5. La pregunta entonces es si se puede utilizar este tipo de acondicionamiento en las personas. A pesar de hacer la boca agua blancos no está en la lista de prioridades mayoría de los ingenieros sociales (aunque sería humorística), hay maneras para acondicionar un objetivo de reaccionar a ciertos conjuntos de entrada de la forma en que desea que reaccionen?

Para encontrar la respuesta, lea las siguientes secciones, que proporcionan algunos ejemplos de manipulación en los negocios y de marketing para establecer una base para la discusión y el análisis de cómo utilizar la manipulación a nivel personal.

Para mostrar o no recordar

En mayo de 2010 los El Correo de Washington informó una historia interesante ( www.washingtonpost.com/wpdyn / content / article / 2010/05/27 / AR2010052705484.html ). El fabricante de Tylenol para niños, Motrin, Benadryl y Zyrtec, entre otros líquidos más de medicamentos de venta libre, descubrió un lote defectuoso de Motrin y no quería llevar a cabo una retirada debido a los costes de tal acción. ¿Cuál fue la respuesta de la empresa? Se utiliza la manipulación. La empresa contrató a una gran cantidad de contratistas que ir de tienda en tienda y comprar de nuevo todo el Motrin en la tienda, que luego sería destruido. Por desgracia, sus planes se vieron frustrados cuando un contratista dejó caer un papel en una tienda que esbozó la trama, que luego fue reportado a la Administración Federal de Drogas (FDA).

En una nota, la FDA hizo que la empresa recuperar 136 millones de botellas en tan sólo uno de cada cuatro retiros. Por desgracia, ya era demasiado tarde, ya 775

Se han reportado casos de niños y bebés que tuvieron reacciones adversas a este lote contaminado, con un 37 que termina en la muerte. Los informes no son concluyentes si las muertes fueron el resultado de la mala Motrin o una reacción a la Motrin. Ese no es el foco aquí. Este es un ejemplo muy oscura de la manipulación, o al menos intento de manipulación. Para proteger la imagen de esta empresa que estaba dispuesto a renunciar a los procedimientos adecuados y la seguridad de los niños en todo el mundo. Se trató de manipular el sistema y en el proceso de personas perdieron la vida. La documentación que se dejó caer en la tienda discutió cómo los contratistas tenían órdenes para comprar el producto y no mencionar “recuperación” en cualquier punto en el tiempo. Cuando la compañía fue capturado desplegó muchas tácticas de manipulación interesantes. Se desvía la situación diciendo que el motivo de la acción era sus expertos no pensaban que existía un riesgo importante para los niños. Se siguió a esta declaración de una disculpa formal y el despido de seis altos ejecutivos. A continuación, la manipulación de bienes entró. Mientras está siendo cuestionado, la empresa declaró que no estaban tratando de hacer un “recuerdo fantasma”, ya que estaba siendo llamado. La compañía estaba probando la supuesta lotes dañados por tener los contratistas volver a comprarla para ser probado. Si se encontró defectuosa la empresa habría tomado los procedimientos adecuados. Esta compañía intentó utilizar una técnica de manipulación de llamada desviación, para desviar la atención de lo que realmente estaban haciendo para hacer que parezca mejor de lo que era. Además, se utiliza una técnica de encubrimiento para manipular el pensamiento de aquellos que estaban en desacuerdo con sus acciones mediante la emisión de las declaraciones que la compañía estaba tratando de hacer las pruebas para determinar si existía la necesidad de una retirada.

Este tipo de manipulación de la pena discutir, porque una táctica de distracción puede trabajar en una escala mucho más pequeña en un entorno personal, también. Si está atrapado en un área o lugar que no debería ser, y luego tener una buena nota de tapa que es creíble puede recorrer un largo camino hacia la manipulación de la meta para permitirle el paso seguro. Desviar la atención del objetivo a algo que no sea el problema en cuestión puede darle el tiempo suficiente para redirigir su preocupación. Por ejemplo, si son capturados por un guardia de seguridad, en lugar de ponerse nervioso, simplemente podría mirarlo y decir: “¿Sabe lo que estoy haciendo aquí? ¿Has oído que algunas llaves USB se han perdido con datos muy importantes sobre ellos? Es imperativo que los encontremos antes de que todos se presenta en el mañana. ¿Quieres comprobar los baños?”

Muchos de ustedes probablemente nunca oído hablar de la historia de recordatorio Motrin, lo que demuestra que la compañía hizo un buen trabajo de manipulación (hasta ahora) el sistema de medios de comunicación y la justicia para mantener el centro de atención fuera de ella. En cualquier caso, esta situación

describe cómo la desviación y encubrimiento pueden ser utilizados en la manipulación.

La ansiedad se cura a Último

En 1998 SmithKline Beecham, una de las mayores compañías farmacéuticas del mundo, lanzó una campaña publicitaria diseñada para “educar” a las masas acerca de algo que llama “trastorno de ansiedad social.” Se plantaron 50 artículos de prensa y encuestas con preguntas como: “¿Tiene trastorno de ansiedad social?”Estas pruebas y encuestas se orienta a‘educar’a la gente sobre este trastorno y cómo saber si sufren de ella. Más tarde ese año cambió su copia campaña de marketing en revistas médicas de “Paxil significa paz ... en la depresión, trastorno de pánico, y el TOC” a “Mostrarles que pueden ... el primer y único tratamiento aprobado para el trastorno de ansiedad social.” Costó Este cambio del compañía de alrededor de $ 1 millón a hacer. En 1999, una campaña de $ 30 millones lanzó en prensa y televisión anunciando que SmithKline Beecham encontró la cura para el trastorno de ansiedad social, y su nombre es Paxil. Utilizando los datos de las encuestas y cuestionarios la compañía compró los puntos de alguna de la televisión “más caliente” muestra en ese momento y vertedera estadísticas que 10 millones de estadounidenses sufren de (trastorno de ansiedad social) SAD, y ahora hay esperanza. Para el año 2000, las ventas de Paxil representaron la mitad del aumento en todo el mercado: La compañía “se convirtió en número uno en el mercado de los inhibidores selectivos de la recaptación de serotonina Estados Unidos para las nuevas recetas de venta en 2000. '' En el año 2001 se obtuvo la aprobación de la FDA para comercializar Paxil para ambos trastorno de ansiedad generalizada y trastorno de estrés postraumático.

Los ataques del 9/11 resultaron en un aumento dramático en las recetas para todos los antidepresivos y ansiolíticos. Durante este tiempo de publicidad de Paxil posicionada como una respuesta a los sentimientos incontrolables de miedo y la impotencia que muchas personas sentían en las consecuencias de los ataques. No estoy diciendo que estos medicamentos no funcionan, o que el motivo de la compañía es malicioso, pero encuentro este caso particularmente interesante, ya que la manipulación del mercado comenzó con la educación y la terminó con un aumento masivo de ventas, mientras que la creación de nuevos trastornos a lo largo la manera.

Este tipo de manipulación de fomento caso se utiliza a menudo en la comercialización, pero también se utiliza en la política e incluso a nivel personal, presentando un problema que es terrible, pero luego presentar “hechos” que ha derivados como prueba de por qué lo que dice es verdad. En un episodio de El Real Hustle, Paul Wilson configurar un escenario donde tuvo que extraer una estrella famosa que estaban utilizando en una estafa

para robar algunos CDs en una tienda. El empleado de la tienda detenido la estrella y esperó a que los policías en llegar. Pablo entró, se identificó como un policía, mostró su billetera con nada más que una foto de sus hijos en ella, y fue capaz de “detener” la estrella, tome los CDs y el dinero en la caja registradora como prueba, y dejar incontestable. Esta historia es un ejemplo excelente de este tipo de manipulación de fomento caso. Pablo tenía un problema (la estrella ladrona) y se presentó como la solución (el policía) para el problema. Cualquiera que sea el escenario, construir el caso para lo que es una buena persona que eres, antes de presentar su solicitud, y que el caso hace la solicitud más aceptable para la persona que está tratando de manipular.

Si no puede realizar comprarme eso!

Kmart. Me sentía como acaba de salir de esta sección de eso, pero creo que debería explicar más. Kmart desarrolló una idea que llamó el planograma, que es un diagrama que muestra los minoristas cómo mostrar sus productos a base de colores, tamaños, y otros criterios para manipular a sus clientes a querer comprar y gastar más.

Planogramas están diseñados para crear la colocación del producto visual y comercial óptima. El uso de estos planogramas es una forma de manipulación porque los investigadores han estudiado cómo la gente compra, piensan y compran. La comprensión de estas cosas ayudaron a desarrollar mecanismos para controlar la entrada visual para aumentar el deseo de los compradores para comprar.

Software, así como las compañías enteras, están dedicados a la planificación y ejecución de estos planogramas para el máximo efecto en mantener a los compradores de compras. Tres diseños diferentes se utilizan para manipular los compradores:

la colocación de productos Horizontal: Para aumentar la concentración de un cliente en un determinado artículo, se aplica un lado la colocación horizontal múltiple por lado de un solo producto. Algunos minoristas encontraron que una gama colocación mínima entre 15 y 30 cm de un solo producto

es necesario para lograr un aumento en la atención al cliente (véase Figura 6-9 ). la colocación de productos Vertical: Un método diferente usado es la colocación de productos vertical. Aquí un producto se coloca en más de un nivel de bandeja para alcanzar 15-30 cm de espacio de colocación (ver Figura 6-10 ). Figura 6-9: La colocación de los mismos o similares artículos en una fila horizontal aumenta enfoque en el cliente.

Figura 6-10: Los mismos productos se colocan en más de una plataforma.

la colocación de bloques: Los productos que tienen algo en común se colocan en un bloque (marcas). Esto se puede hacer al lado del otro, en la parte superior de

cada uno otros centrados, o utilizando perchas, magnetizados (ver Figura 6- 11 ).

Figura 6-11: Un bloque de colocación de productos o marcas similares.

Planogramas no son el único método de manipulación de los compradores. Una prueba que se hace implicado un centro comercial que ejecuta bucles de música diseñados específicamente. El resultado fue que los compradores se quedaron en el centro comercial un promedio del 18% más largo que cuando la música no estaba funcionando.

En el Journal of Business Research, Jean-Charles Chebat y Richard Michon publicó un

estudio que llevaron a cabo en un centro comercial de Canadá ( www.ryerson.ca/~rmichon/Publications/Ambient%

los

).

investigadores bombean aromas especialmente diseñados en el aire que se suponía que iba a desencadenar la felicidad y el deseo de comprar. El resultado fue que hay un promedio de $ 50 más por comprador se gastó en ese estudio una semana de duración.

Sus viajes a los centros comerciales y tiendas de comestibles nunca serán lo mismo ahora. Sin embargo, se puede aprender mucho de estos métodos y experimentos. Saber cómo el grupo de personas cosas en sus cerebros pueden afectar a la forma de organizar sus estantes para manipular los sentimientos, emociones y pensamientos de sus objetivos. Sobre el tema de los colores, que son una forma importante para manipular las emociones de un objetivo. Muchos de los mismos principios se aplican a los colores como lo hacen a la colocación de productos. Los colores que eligen usar o usar puede afectar al objetivo. Mucho

se ha hecho en los colores y sus efectos. La siguiente es una breve lista de algunas formas en que un color en particular podría afectar el pensamiento o las emociones de otra persona:

Blanco: Blanco se asocia a menudo con la pureza, la luz y la limpieza. Da la sensación de seguridad y neutralidad, así como la bondad y la fe. Esta es la razón por blanco se utiliza a menudo en bodas o como el color de la entrega.

Negro: Negro menudo denota poder, la elegancia, misterio, y la fuerza. Se utiliza para denotar autoridad, la profundidad y la estabilidad. Negro da la sensación de calma y tranquilidad. Porque contrasta con otros colores, también se puede utilizar para mejorar otros colores. Rojo: El rojo se asocia con el entusiasmo y la alegría. Es un color lleno de celebración, la acción y la energía. Puede referirse a la buena salud, la velocidad, la pasión, el deseo y el amor. El rojo puede estimular las emociones, así como la tasa de aumento del corazón, la respiración y la presión arterial. El rojo puede desencadenar emociones fuertes precaución de usar cuando se utiliza el rojo. A pesar de que puede denotar el poder y la impulsividad, que puede denotar fuerza, la intimidación, y la conquista, incluso la violencia y la venganza. Tenga cuidado de cómo se utiliza el rojo.

Naranja: Naranja da calor, el entusiasmo, la atracción, la determinación, fuerza y ​resistencia. Puede estimular una persona se sienta lleno de energía e incluso estimular su apetito. Orange es otro color que ser cautos con. Aunque el uso de naranja tiene muchos buenos beneficios, como hacer que el espectador se siente caliente y atrajo a usted o su producto, el exceso o la combinación equivocada puede crear sentimientos de inseguridad, la ignorancia y la pereza.

Oro: El oro se asocia generalmente con la iluminación, la sabiduría, riqueza y prestigio. Amarillo: Amarilla se asocia con la energía y el optimismo, la alegría y el buen humor, la lealtad y la frescura. Se puede hacer que una persona se sienta centrado y atento. El amarillo también tiene un impacto en la memoria de una persona (por eso son tantas notas adhesivas amarillas?). Se utiliza en pequeñas cantidades, puede provocar emociones positivas, pero demasiado puede causar un objetivo a perder el foco o se siente criticado. Verde: El verde se asocia a menudo con la naturaleza, la armonía, la vida, la fertilidad, la ambición, la protección y la paz. Se puede producir un efecto muy calmante, lo que hace que alguien se sienta seguro. El verde es otro color de energía, pero también puede hacer que uno se sienta codiciosos, culpable,

los celos, y desordenado si se utiliza en una configuración incorrecta o se utiliza demasiado.

Azul: El azul se asocia con el color del cielo y el océano. Puede estar relacionado con la inteligencia, la intuición, la verdad, la tranquilidad, la salud, el poder y el conocimiento. Es muy calmante y refrigeración, y se ha sabido para ralentizar el metabolismo. El azul es el color más fácil para los ojos para enfocar. Puede tener muchos efectos positivos, pero tenga cuidado de no hacer que el objetivo sentir frío o deprimido.

Púrpura: Púrpura se asocia con la realeza, la nobleza, el lujo, la creatividad, y el misterio.

Marrón: Brown está asociado con la tierra, la fiabilidad, la accesibilidad, la convención y el orden. Se puede crear sentimientos de arraigo o conectada, o que tengan un sentido de orden. ¿Cómo puede utilizar toda esta información? No estoy sugiriendo que con un simple traje azul que puede hacer que alguien se sienta lo suficientemente tranquilo para entregarle su contraseña. Sin embargo, se puede utilizar esta información para planificar sus vectores de ataque, asegurando que tiene la mejor oportunidad de tener éxito, que incluye cómo se ve y cómo se visten.

Un ingeniero social podría querer analizar el objetivo de que harán un llamamiento a y asegúrese de que los colores que eligen llevar aumentar su capacidad de manipular el destino y no apagarlas. Por ejemplo, sabiendo que el verde puede provocar sentimientos de codicia o ambición puede ayudar a un ingeniero social decidir no usar verde a una reunión con una organización benéfica donde se puede evocar sentimientos y emociones contrarias a la misión de la caridad. Llevar algo azul para la oficina de un abogado, por el contrario, puede tener un efecto calmante, lo que permite al abogado a abrirse más. La planificación cuidadosa y el uso sensato de estas tácticas pueden ayudar a asegurar el éxito de sus auditorías de ingeniería social.

Las metas de acondicionamiento para responder positivamente

El acondicionamiento se utiliza en todo, desde una conversación normal a la comercialización a la manipulación maliciosa. Sólo

como el perro de Pavlov, la gente ha sido

condicionado a responder a ciertos artículos. La naturaleza humana es a menudo utilizado para manipular la mayoría de la gente a tomar las acciones de los manipuladores quieren. Cuando la mayoría de la gente piensa en los bebés van a sonreír, nos encontraremos con animales que hablan “mono”, y que incluso podría ser manipulada para cantar un jingle para un producto popular en nuestra cabeza.

Estas tácticas son tan encubierta que muchas veces ni siquiera saben que están trabajando. Muchas veces me pregunto lo que una ligera de ropa, bikini- desgasta de la mujer tiene que ver con la cerveza.

Un ejemplo de cómo se usa acondicionado está neumáticos Michelin (véase Figura 6- 12 ). Durante años, esta empresa ha utilizado los bebés en sus anuncios. ¿Por qué? “Debido a que tanto está montando en sus neumáticos.” Pero estos anuncios tienen más que ellos. Ves a un bebé, sonreír, y que esté satisfecho. Esa emoción desencadena una respuesta positiva, y que las condiciones de respuesta que sea aceptable para lo que se cuenta para la próxima. Cuando vea al bebé sonreír; cuando se ve lo suficiente está condicionado a pensar en cálidos sentimientos felices, cuando se ven los neumáticos Michelin.

Figura 6-12: No son los bebés lindo?

Ver al bebé al lado de la llanta hace equiparas sentimientos de felicidad positivas con esa marca. Este es un ejemplo de la manipulación clásico.

Otro anuncio (ver Figura 6-13 ) Que podrían haber tenido muchos la gente se pregunta de Budweiser-recuerdo aquellos ranas populares eructos de “Bud” “Weis” y “ER”? ¿Qué ranas tienen que ver con la cerveza? En ese mismo sentido, pensar en el caballo Clydesdale más reciente y su banda de amigos de los animales. Estos anuncios son pegadizas incluso divertido la primera vez, pero en realidad no explica por qué usted quiere comprar su cerveza.

Figura 6-13: Ranas venta de cerveza.

Esta forma de manipulación, acondicionamiento, es sutil. Usted se ríe de ese comercial, y más tarde se extraen en su distribuidor local de cerveza, ve una figura de cartón de las ranas o caballo, y sonreír a ti mismo, lo que crea esa sensación positiva que te hace sentir bien a comprar el producto. Estas tácticas de acondicionamiento se utilizan a menudo en el mundo de las ventas y las empresas de marketing con el objetivo de manipular al consumidor a comprar sus productos frente a la competencia. Los ingenieros sociales no están realmente vendiendo un producto, pero ellos no quieren que sus objetivos a “comprar” las líneas que están vendiendo, el pretexto de que están poniendo por ahí, y las acciones que desea que el objetivo reciba. Pero ¿por qué utilizar la manipulación? ¿Cuáles son los incentivos para la utilización de esta poderosa forma de control? La siguiente sección cubre ese mismo tema.

Incentivos de manipulación

¿Cuáles son los incentivos para manipular a alguien? Esta pregunta llega a la raíz de los métodos, el pensamiento y las tácticas utilizadas en ningún tipo de manipulación. No todos manipulación es negativo, pero se relaciona con los incentivos detrás de él. pero cada uno

incentivo puede ser positivo o negativo.

¿Qué es un incentivo? Un incentivo puede ser etiquetado como cualquier cosa que te motiva a tomar una acción. Puede ser dinero, el amor, el éxito, o cualquier cosa: incluso las emociones negativas como el odio, los celos y envidia.

Las principales razones por las que optaron por manipular a los demás se pueden dividir en tres categorías: incentivos económicos, sociales e ideológicos. En las siguientes secciones se miran el uno de estos incentivos y cómo se aplican a la manipulación.

Incentivos financieros Los incentivos financieros tienden a ser los más comunes, como en los casos mencionados anteriormente relacionados con el aumento de las ventas. Muchas estafas tienen un incentivo financiero detrás de sus tácticas.

¿Cuántas personas juegan a la lotería todos los días con la esperanza de conseguir que el boleto ganador? Pueden gastar cientos de dólares a través del tiempo, y ganar una recompensa $ 20 que les hace feliz y mantiene regresando por más. Un ejemplo no maliciosa de incentivo financiero es cupones. Si usted compra este producto en particular en esta tienda en particular obtendrá X dólares o centavos de descuento. Si usted es un comprador ahorrativo o si quieres probar que el producto va a ir a esa tienda.

Muchos anuncios que promueven la promoción de su educación, carrera, o conjunto de habilidades utilizan incentivos financieros por pintar un cuadro que sus ingresos aumentarán después de la carrera o la educación.

El incentivo del atacante malintencionado para el uso de la manipulación es su propio beneficio económico y, por tanto, su motivación y su técnica reflejará eso. Por ejemplo, si el objetivo del ingeniero social malicioso es conseguir su objetivo a desprenderse de parte de su dinero duramente ganado, el ingeniero social utilizará pretextos que se “permitió” para pedir dinero-pretextos como organizaciones de caridad son adecuados en este escenario porque pedir donaciones o información financiera no es fuera de lo común.

Los incentivos ideológicos

incentivos ideológicos son los más difíciles de describir. ideales de cada persona son diferentes y esos ideales pueden afectar el incentivo. Si su sueño en la vida es ejecutar un restaurante, entonces ese es su pasión. Va a trabajar más horas y poner más esfuerzo que cualquiera de sus empleados. También va a trabajar por menos dinero, porque es su sueño o su motivación; para todos los demás es sólo un trabajo.

Los sueños y las creencias pueden ser tan arraigada en una persona que los separa de la persona puede ser casi imposible. Cuando se escucha la frase “, me

tener un sueño,”Qué piensa de Martin Luther King? sueños y metas de algunas personas son lo que son, no lo que piensan acerca. Las personas tienden a ser atraídos a los que tienen sueños y objetivos similares, por lo que la frase, “Aves del mismo plumaje vuelan juntos” se aplica tan bien en esta discusión. Pero también es por qué tantas personas se pueden manipular. Mira teleevangelistas cristianos, por ejemplo. Las personas que tienen una fe y un deseo de creer en Dios y ellos se juntan. las personas con gustos similares pueden fortalecer la fe y el deseo de hacer lo correcto de cada uno, sino un televangelista pueden usar esa ideología para convencer a la gente de que el deseo de Dios es que esa iglesia en particular a prosperar, por lo tanto, también llenar los bolsillos televangelist' con dinero en efectivo.

El tele-evangelista da unos sermones que motivan y derrama algunas lágrimas y de repente la gente está enviando en los controles. Estos teleevangelistas utilizan las herramientas de ambos ideales financieros y sociales (ver la siguiente sección, “incentivos sociales”) para convertir sus oyentes a sus ideales por lo que aquellos personas desprenderse de su dinero duramente ganado. Lo que es interesante es que si le preguntas a un seguidor de lo que siente por ser el predicador forma más rica de lo que es, él cree que es la voluntad de Dios. Su conjunto ideal ha sido cambiado o manipulado. incentivos ideológicos también se pueden utilizar para el bien mediante la educación de la gente acerca de la moral, e incluso recurrir a usar el miedo como el incentivo puede tener grandes efectos sobre las personas. incentivos ideológicos, se suelen enseñar a los niños a través de cuentos y fábulas que tienen significados detrás de ellos. Los hermanos Grimm son un excelente ejemplo de este tipo de incentivos. Historias que a menudo terminan en los malos personajes que sufren daños físicos o incluso la muerte y los buenos personajes, perseverar a través de todas las formas de privaciones, consiguiendo una recompensa masiva al final se basa en el miedo de que ser malos lleva a la muerte o algún terrible castigo.

incentivos ideológicos se utilizan en la comercialización, también, a través de la colocación de anuncios en los ideales “afines” a menudo “se encuentran.” Por ejemplo, el mercado de empresas de pañales en las revistas de la familia, los animales mercado de los refugios en los zoológicos, atlético mercado de empresas de engranajes en eventos deportivos, y por lo tanto en. Este tipo de incentivo da una mayor posibilidad de que los bienes o servicios que se anuncian serán comprados por aquellos que comparten los mismos ideales.

incentivos ideológicos se utilizan para llevar los ideales de uno en alineación con los de una mente similares. A menudo, una vez que la gente es simpática a una causa es cuando comienzan las tácticas de manipulación. Una vez más, no todo tipo de manipulación es malo, pero tiene que ser utilizado de la manera adecuada.

Incentivos sociales

incentivos sociales son probablemente el más utilizado y el más complejo

un conjunto de incentivos por ahí, especialmente cuando se trata de la ingeniería social.

Los seres humanos son sociales por naturaleza; es lo que hacemos en la vida diaria normal. incentivos sociales también abarcan todos los otros tipos de incentivos. La relación correcta puede mejorar sus necesidades financieras y también puede ajustar, alinear, o aumentar sus ideales. Se podría argumentar que los incentivos sociales son más fuertes que los otros dos tipos de incentivos. El poder que tiene sobre la presión de grupo muchas personas es fácil de ver. Para jóvenes y viejos por igual, el sorteo de la conformidad es de gran alcance. Muchas veces, lo que es aceptable están directamente vinculadas a un incentivo social. Una perspectiva de la vida y uno mismo puede verse afectada en gran medida por su entorno social. En esencia, la presión de grupo puede existir incluso en ausencia de compañeros directos.

¿Estoy bien parecido? Bueno eso depende. Si estoy en los Estados Unidos, donde una supermodelo es una talla cero y los chicos tienen músculos en lugares que no sabía que existía músculos, probablemente no. Si estoy en la antigua Roma, donde tal vez ser más grande significaba que era rico y poderoso, entonces yo soy. Todo tu ser interior está enmarcada por su punto de vista social del mundo.

En 1975, la Fuerza Aérea de Estados Unidos publicó un estudio titulado “Identificación y análisis de los incentivos sociales en la formación técnica de la Fuerza Aérea” para tratar de ver el poder de los incentivos sociales en la creación de líderes durante sus ejercicios de entrenamiento. Se corrió cuatro escenarios diferentes con un grupo y se analizan los efectos que tuvieron sobre los estudiantes.

Los resultados finales fueron que un cierto incentivo social, que generalmente afectan a la alabanza o el refuerzo positivo de los compañeros o figuras de autoridad, crea un fuerte vínculo entre los estudiantes y los instructores:

La conclusión más importante de todo este esfuerzo de investigación es que la gestión de los incentivos sociales es un arte particularmente difícil. Mientras que los incentivos sociales pueden ser identificados y se escalan con facilidad considerable, manipulación y gestión de los mismos incentivos requiere considerablemente mayor esfuerzo. Los datos de escala muestran un alto valor atractivo para los diversos incentivos sociales. Los resultados del experimento de campo muestran la influencia positiva del ejercicio de conocimiento y contrato psicológico sobre las actitudes hacia compañeros de entrenamiento. Ambos de estos hallazgos subrayan la importancia de los factores sociales. En otras palabras, aumentando o disminuyendo el atractivo del incentivo social no es demasiado difícil una vez que sabes lo que motiva a una persona. Este fenómeno es particularmente evidente en los grupos de adolescentes. Cuando se enteran de lo que molesta a alguien, a menudo se utiliza como un arma para obligar a su cumplimiento. Cuanto mayor sea el grupo que proporciona la presión, mayor es la posibilidad de que el objetivo de cumplir.

Se trata de una declaración de gran alcance. Me pregunto cómo que la investigación se habría ido si los investigadores habían sido capaces de utilizar la gran cantidad de sitios de medios sociales que existen en la actualidad. La presión de grupo es una influencia fuerte y todo el mundo quiere encajar y ser parte de la multitud.

incentivos sociales trabajan. En 2007 un grupo de investigadores (Oriana Bandiera, Iwan Barankay, e Imran Rasul) escribió un trabajo de investigación titulado “Los incentivos sociales: las causas y consecuencias de las redes sociales en el lugar de trabajo”

( www.socialengineer.org/wiki/archives/Manipulation/Manipulation-SocialIncentivespdf.pdf ). El informe es un estudio interesante en la línea de estudio de la Fuerza Aérea, pero fijan en 2007. Básicamente, los investigadores analizaron cómo los que tienen “amigos” en el trabajo manejar sus puestos de trabajo cuando trabajan en grupos con sus amigos. Su conclusión:

Nuestros hallazgos indican que hay incentivos sociales, la presencia de amigos afecta a la productividad del trabajador, a pesar de que no existieran las externalidades de esfuerzo del trabajador en sus compañeros de trabajo debido a la tecnología de producción o sistema de compensación en su lugar. Debido a los incentivos sociales, los trabajadores se ajustan a una norma común al trabajar juntos. El nivel de la norma es tal que la presencia de amigos aumenta la productividad de los trabajadores que son menos capaces que sus amigos y disminuye la productividad de los trabajadores que son más capaces que sus amigos. incentivos sociales son un factor determinante cuantitativamente importante del desempeño del trabajador. A medida que los trabajadores se les paga a destajo basado en la productividad individual, la fuerza de incentivos sociales es tal que (i) los trabajadores que son más capaces que sus amigos están dispuestos a renunciar a un 10% de sus ganancias a ajustarse a la norma; (Ii) los trabajadores que tienen al menos un amigo que es más capaz que ellos mismos están dispuestos a aumentar la productividad en un 10% para cumplir con la norma. En general, la distribución de la capacidad del trabajador es tal que este último efecto domina por lo que el efecto neto de los incentivos sociales sobre los resultados empresariales es positivo.

La presencia de amigos significaba que una persona realmente trabajar más o menos difícil dependiendo de su nivel normal de trabajo. La presión de grupo con la ausencia de la presión real puede afectar al trabajo de las personas. La presión es percibido por lo que es estándar. ¿Por qué? Tal vez si una persona puede trabajar más rápido o mejor, probablemente no quería dar la impresión de ser un sabe-lo-todo-o marrón Noser, ya que estas personas pueden ser llamados. Tal vez si él es normalmente más de un vago, que no quería aparecer vago por lo que hizo subir el ritmo un poco. En cualquiera de los casos su ética de trabajo se vio afectado por tener amigos.

Un buen punto para la gestión es poner siempre los más trabajadores y líderes naturales sobre el grupo. Pero hay mucho que aprender en esta investigación. Este método es cómo los ingenieros sociales utilizan “cola-gating.” Estar en una gran multitud de personas que regresan de descanso o de almuerzo y mirando como uno de los empleados reduce al mínimo la posibilidad de que el guardia de seguridad se detendrá mientras usted camina a través de las puertas delanteras .

Es también cómo los grupos enteros de personas pueden ser manipulados en el pensamiento de una determinada acción o actitud que es aceptable. Esto se puede ver en la industria del entretenimiento, ya que cada año el nivel de lo que es aceptable o moral parece que se baja, sin embargo, esta reducción de los estándares se vende como “libertad”.

Estos tres incentivos no son los únicos tipos que se utilizan. Pueden ramifican en otros aspectos más allá del alcance de este libro, pero la pregunta sigue surge de cómo se puede utilizar como un ingeniero social.

La manipulación de la ingeniería social

La manipulación es menos acerca de lo que otros piensan igual que lo hace y que se sientan cómodos, y más acerca de forzarlos a hacer lo que quiera. Coerción no es una palabra amigable. Significa “a la fuerza para actuar o pensar de una manera determinada” o “dominar, refrenar, o control por la fuerza.”

La manipulación y coerción utilizan la fuerza psicológica para alterar la ideología, creencias, actitudes y comportamientos de la diana. La clave para usarlos es hacer los pasos tan pequeños que son casi invisibles. El ingeniero social no quiere alertar al objetivo que está siendo manipulado. Algunos de los métodos siguientes puede ser muy controvertido y francamente horrible, pero se utilizan cada día por los estafadores, ladrones de identidad y similares. Uno de los objetivos de la manipulación puede ser la creación de la ansiedad, el estrés y la presión social indebida. Cuando un objetivo siente de esa manera es más probable que tome una acción que el ingeniero social está manipulando que realicen.

Con esto en mente, se puede ver la razón por la manipulación se piensa a menudo de una imagen negativa, pero se utiliza en la ingeniería social y, por tanto, debe ser discutido.

El aumento de sugestionabilidad de un objetivo El aumento de la sugestión de un objetivo puede implicar el uso de las habilidades de programación neurolingüística (PNL) que se analizan en el capítulo 5 u otras señales visuales. A principios de leer acerca de acondicionamiento de las personas con el uso de un bolígrafo u otro clics

ruidos o gestos que pueden provocar una emoción aun cuando las palabras no se hablan.

Una vez vi esto en acción cuando estaba con una persona que estaba manipulando un objetivo. Él utilizó un lápiz clic para indicar un pensamiento positivo. El diría algo positivo y luego sonreír y haga clic en su pluma. Literalmente, vi a la persona comience a sonreír después de unos cuatro o cinco veces de oír el clic del lápiz. Luego trajo un tema muy deprimente y hace clic en su pluma, y ​luego el destino sonrió y sintió vergüenza al instante. Que vergüenza era la puerta abierta que necesitaba para manipular el objetivo de hacer lo que quería. La creación de una situación en la que la otra persona se siente susceptibles a la sugestión puede ser a través de la repetición de las ideas u otros medios que suavizar el objetivo de las ideas que están tratando de presentar. Un ingeniero social puede asegurarse de que toda la instalación se orienta hacia esta manipulación, las frases utilizadas, las imágenes de palabras pintadas, los colores de la ropa elegidos al desgaste. Todo ello puede hacer que el objetivo más susceptibles.

William Sargant, un psiquiatra y controvertido autor del libro Batalla por la mente, habla de los métodos por los cuales las personas están manipulados. De acuerdo con Sargant, diversos tipos de creencias se pueden implantar en las personas después de que el objetivo ha sido perturbada por el miedo, la ira, o la excitación. Estos sentimientos causa sugestibilidad y alteraciones en el juicio. Un ingeniero social puede utilizar este dispositivo para su ventaja al ofrecer el objetivo de una sugerencia que causa el miedo o la emoción y luego ofrecer una solución que se convierte en una sugerencia. Por ejemplo, en el programa de televisión de la BBC golpeado El Real Hustle, el elenco se pasó una estafa para mostrar cómo funciona esto cuando establecieron un stand en un centro comercial que permitió a la gente a comprar boletos de la rifa. La gente iba a comprar un boleto para la oportunidad de ganar tres premios vale mucho más que el billete que acaba de comprar.

Una mujer compró el boleto, y, por supuesto, ganó el premio más grande. Su entusiasmo era extrema porque nunca había ganado nada como esto antes. En este punto, Paul Wilson dio la sugerencia de manipularla: A la altura de excitación que le dijo que tenía que llamar a un número de teléfono y proporcionar su información bancaria para reclamar su premio.

Lo hizo sin pensarlo dos veces. La sugerencia tiene sentido, sobre todo a la luz de su excitación. Conocer el objetivo y gustos, disgustos, los nombres de sus infantiles, equipos favoritos y comidas favoritas, y luego usar esto para crear un ambiente emocional hará que la creación de un ambiente susceptibles de manera mucho más fácil.

El control de Medio Ambiente del objetivo

Controlar el entorno del destino se utiliza a menudo en la ingeniería social en línea, estafas y robo de identidad. Pasando a formar parte de las mismas redes sociales y grupos le da al atacante la oportunidad de tener “tiempo de la cara” para poder manipular los objetivos a actuar o pensar en la forma en que el atacante quiere. Ser capaz de utilizar las redes sociales de un objetivo de averiguar lo que desencadena que tienen es también una poderosa herramienta.

He utilizado este método una vez en la búsqueda de un estafador ilegal que un cliente que quería obtener los datos de contacto de los estafadores. Yo era capaz de obtener una cuenta en un foro que solía publicar sus “logros”. El uso de esta táctica de entrar en su entorno, a continuación, hacerse amigo de él, fui capaz de ganar su confianza, utilizar sus redes sociales para saber lo que estaba haciendo y, finalmente, obtener su información de contacto.

Cualquier método utilizado para controlar el ambiente del objetivo se puede utilizar en esta técnica de la manipulación. Control del entorno puede ser tan sencillo como acercarse cuando usted sabe que tiene la menor posibilidad de interrupción, o permitir que un destino para ver o no ver algo que va a causar una reacción. Por supuesto, a menos que pretenda llevar a su destino a un armario oscuro, realmente no se puede controlar todo su entorno, por lo que el control de todo lo que puede tomará la planificación y la investigación. Después de localizar los círculos sociales de su objetivo, ya sea en línea o en el mundo real, que tendrá que pasar tiempo planeando cómo va a obtener una en el control de ese entorno. Una vez dentro, ¿qué elementos quieres controlar? Un buen ingeniero social no vendrá en el funcionamiento para el “matar tiro”, pero tomará tiempo para construir una relación y recopilar información antes de administrar el golpe final. control de entorno se utiliza a menudo en la policía o en tiempo de guerra interrogatorios. El entorno en el que se llevará a cabo el interrogatorio tendrá una cierta atmósfera para hacer que el objetivo se sienta a gusto, nervioso, asustado, ansioso, o cualquier otra emoción que el atacante (o funcionario de plomo) quiere que el objetivo de sentir.

Forzando el objetivo de reevaluar Socavar las creencias de una diana, la conciencia, o el control emocional de una circunstancia que puede tener un efecto muy perturbador sobre él o ella. Esta táctica es muy negativo, ya que se utiliza para hacer lugar a dudas objetivo de lo que él o ella se le ha dicho que es verdad. Cultos usan esta táctica para hacer presa en aquellos que buscan orientación a través de la vida. Muchas veces, las personas que se sienten perdidos o confundidos están convencidos de que su sistema de creencias necesita ser reevaluado. Cuando los cultos tienen control que pueden

ser tan convincente de que las víctimas pueden estar completamente convencidos de que su familia y amigos no saben qué es lo mejor.

A nivel personal de ingeniería social puede hacer que una persona reevaluar las creencias que se ha enseñado acerca de lo que es seguro y lo que no es, o lo que es política de la empresa y lo que no. Cada día social, los ingenieros utilizan tácticas similares mediante la presentación de una pregunta bien pensada que pueden causar el objetivo de reevaluar su posición sobre un tema y le causa a vacilar. Por ejemplo, en esta economía, los vendedores tienen hambre de hacer las ventas, y se puede llamar al departamento de ventas de una empresa que pasa a tener una política estricta sobre la descarga de archivos PDF desde la web sin necesidad de exploraciones y las precauciones adecuadas. Sin embargo, todavía pueden hacer esta llamada:

“Hola, estoy con la empresa ABC y quiero hacer un pedido para su producto que podría ser más de 10.000 piezas. Mi empleador quiere que consiga tres cotizaciones para ver si podemos hacer algo mejor. He subido el paquete de cotización a nuestro sitio web; puedo darle la URL? Voy a una reunión de dos horas. Podrías mirar por encima del paquete y conseguirme una cotización preliminar antes de esa fecha?” No creo que esta táctica podría funcionar? Lo más probable es que el vendedor podría descargar y ejecutar ese archivo con poco o ningún pensamiento. Usted ha causado que reevaluar la política se le ha enseñado.

Haciendo que el objetivo se sienten impotentes

Haciendo que el objetivo de sentirse vulnerable o incapaz es otro muy oscuro, pero efectivo, táctica. A menudo se utiliza en la ingeniería social cuando el pretexto es un ejecutivo o alguien que debería tener poder sobre el blanco enojado. Enojado por la falta de respuesta o la incapacidad del objetivo de dar respuestas rápidas, el atacante le reclama o amenaza al objetivo, lo que le hace dudar de su posición y sentir una pérdida de potencia.

Otra forma más sutil esto se utiliza es socavar el sistema de creencias el uso de incentivos sociales. En una auditoría, fui detenido por un custodio mientras se hace exploraciones de la red interna. Cuando ella hizo lo correcto para mí parar, reaccioné con algo como, “¿Sabías que cada año esta empresa se ocupa de una batalla constante contra las violaciones de la red? Estoy tratando de asegurar que, y me buscan para dejar de hacer mi trabajo!”

Mi actitud abrumadora hizo que se sienten impotentes y ella se echó atrás. Dando un objetivo la impresión de que no tiene tiempo para pensar o no es grave

urgencia también puede hacer que se sienta impotente. Él no puede tomar el tiempo para pensar acerca de cómo manejar un problema y por lo tanto debe tomar una decisión de manera que sabe que no debe.

Esta táctica fue utilizada después de los recientes terremotos en Haití. Un sitio web fue lanzado que afirmó tener información sobre sus seres queridos que podrían haberse perdido. Debido a que su reclamo era que nadie fue capaz de proporcionar información sobre sus seres queridos, pero este grupo que creó el sitio, se podría exigir que se cumplan ciertos criterios para obtener esta información. Muchas personas, sentimiento de desesperanza e impotencia, entraron demasiada información y hace clic cosas que sabían que no debían y al final fueron dañadas por ella. La BBC publicó una historia acerca de esto y se enumeran algunos consejos para mantenerse protegidos:

http://news.bbc.co.uk/2/hi/business/8469885.stm .

Repartiendo castigos no físicos Estrechamente relacionado con lo que el objetivo se sienten impotentes está haciendo sentir culpa, humillación, ansiedad o pérdida de privilegios. Estos sentimientos pueden ser tan fuertes que un objetivo, posiblemente, podría hacer nada para “recuperar el favor.”

La culpa por no dar lo que se esperaba puede causar humillación y la duda, lo que puede hacer que el objetivo reaccionar la forma en que el atacante quiere.

No sugiero el uso de la humillación en la mayoría de los ajustes de ingeniería social, pero he visto que se usa en un objetivo en un esfuerzo de equipo para abrir la puerta, y el otro miembro del equipo de ingeniería social para suavizar la cara del blanco, haciéndolas más flexibles a la sugestión.

El primer atacante se acercó al objetivo en un lugar público tratando de obtener información; que estaba jugando el papel de alguien importante.

En medio de la conversación a un subordinado, que pasó a ser de sexo femenino (y en el equipo), se acercó y le hace una pregunta que irritó al primer atacante. Él reaccionó diciendo, “Usted tiene que ser la persona más tonta que he conocido.” En un ataque de ira se alejaba. El atacante femenina parecía abatido y herido y fue consolado rápidamente por el objetivo, que se alimenta en su acto. La empatía de la meta le permitió ser manipulada para dar a conocer de manera más información de lo que quería.

Intimidar a un destino La intimidación no es una táctica que podría pensar en utilizar en un sentido tradicional de la ingeniería social. Usted no se va a amarrar su objetivo y llegar hasta “Jack Bauer” en él, pero se puede utilizar la intimidación de maneras sutiles.

Lo que sugiere que el incumplimiento puede llevar a ser despedidos u otras consecuencias adversas pueden intimidar al objetivo de reaccionar de una manera determinada. Los gobiernos suelen utilizar esta táctica para manipular a la sociedad a creer que el sistema económico se está colapsando. De esta manera se pueden controlar las emociones de aquellos que gobiernan.

Se puede utilizar en una auditoría de la ingeniería social, incluso por tener una apariencia intimidante. Mirando ocupado, molesto, y en una misión puede intimidar a muchos. Hablando con expresiones muy autorizadas también puede intimidar a la gente. En los negocios, el envío de las cosas por correo certificado o mensajería connota un nivel de intimidación. Hacer la señal persona para un paquete cuyo contenido es desconocido puede hacer que algunas personas intimidadas. El objetivo con esta táctica de manipulación es hacer que el blanco se sienta incómodo y ansioso, lo que puede provocar que reaccione de una manera que más tarde se arrepentirá, pero para entonces ya es demasiado tarde.

Estas técnicas de manipulación más oscuros se utilizan con éxito por los ingenieros sociales y los auditores profesionales. La manipulación de una persona se sienta completamente indefenso él o ella hace sentir que ceder al atacante tiene sentido. Eso sí que es donde la manipulación difiere en una práctica de la ingeniería social de otras formas de influencia. Con la manipulación negativa del ingeniero social se va y no le importa cómo se siente el objetivo más adelante. Incluso si un objetivo se da cuenta que ha sido hackeado, no importa porque el daño ya está hecho y la empresa o persona que ya está infiltrada. Otros aspectos de la manipulación de ingeniería social son igual de potente, pero no tan oscuro.

Utilizando Manipulación Positivo

la manipulación positiva tiene los mismos objetivos en mente como la manipulación negativa

- al final el objetivo está en consonancia con sus pensamientos y deseos. Las diferencias están en cómo llegar allí. Pero en la manipulación positiva, el objetivo no necesita terapia cuando haya terminado. Durante mis años de investigación, he recopilado algunos consejos sobre cómo los padres interactúan con sus hijos para conseguir que se cumplan los deseos de los padres. Algunos de sus puntos en la manipulación positiva son útiles para los ingenieros sociales. Las siguientes secciones cubren algunas de estas técnicas positivas.

Desconectar tu emoción de su comportamiento Mantener sus emociones separado de la conducta de su objetivo es importante. Tan pronto como deja que sus emociones se involucren el objetivo que está manipulando.

Se puede sentir la emoción, por supuesto, pero estar en control de lo que se siente y cómo mostrar lo que está sintiendo. Usted no quiere ser el único fuera de control. También desea controlar las emociones negativas tanto como sea posible para que pueda seguir siendo en control en todo momento. Desconectar sus emociones también puede poner a la gente a gusto. Esto no significa que carezca de emoción; eso no es reconfortante para las personas. Pero si alguien está realmente molesto, que muestra el nivel adecuado de preocupación es buena, pero si su despliegue de emoción es demasiado usted puede compensar el objetivo y arruinar el concierto.

Mantener sus emociones en alineación con el pretexto de que está tratando de lograr. Si no permite que sus emociones se involucren puede mantener el control en todo momento. Un buen ingeniero social es capaz de hacer esto a pesar de las acciones o actitudes mostradas por el objetivo. Si el objetivo es molesto, enojado, agresivo, grosero, o si aparece cualquier otra emoción negativa, un buen ingeniero social se mantiene en calma, fresco, y recogido.

Buscar la positiva mencionar Siempre que es posible, encontrar algo para hacer una broma sobre o cumplido, pero sin ser pesados. Usted no quiere que caminar hasta el guardia de seguridad y decir: “Así que dos monjas caminan en una barra ....” Este método probablemente no irá demasiado bien. Al mismo tiempo no se puede entrar en la oficina y decir a la chica detrás del mostrador, “Wow, eres bonita.”

Encontrar algo positivo mencionar tranquiliza a todos, pero debe ser equilibrada y controlada, y de buen gusto. Usando el ejemplo de acercarse a un guardia de seguridad, después de presentarse a sí mismo, complementando la foto de sus hijos, diciendo algo como, “Wow, ella es muy linda; la edad, cuatro o cinco? Tengo una niña en casa, también,”puede ir un largo camino hacia la apertura de la puerta.

Supongamos, suponer, suponer

Es probable que haya oído lo que dicen de las personas que asumen, pero en este caso, asumir todo. Supongamos que el objetivo de actuar de la manera deseada, asumir que responderá de la manera deseada, y asumir que se le conceda a todas sus peticiones.

Asumir con las preguntas que usted y las declaraciones que realice. “Cuando vuelva de la sala de servidores ...” Esta afirmación supone que pertenece allí y que ya se le concede acceso. En el guardia de seguridad situación se mencionó anteriormente, después de la

complementar tal vez ofrecer un seguimiento: “Cuando vuelva de la comprobación de los servidores, te voy a mostrar una foto de mi hija.”

Suponiendo que lo que quiere va a ocurrir es un punto fuerte, demasiado, ya que afecta a su actitud mental. Debe tener la mentalidad de que vas a encontrar lo que vinieron a buscar; ese sistema de creencias creará un nuevo lenguaje corporal y expresiones faciales que alimentará a su pretexto. Si vas en esperando el fracaso va a fracasar, o en el mejor de que afectará a su lenguaje corporal y expresiones faciales. Si usted tiene la actitud mental que este acuerdo está hecho, el mismo ocurrirá. Una palabra de advertencia, sin embargo-no dar este paso en lo que va a convertirse en arrogante.

Por ejemplo, ir en el pensamiento, “Por supuesto que tengo esto en la bolsa porque soy increíble y el mejor”, puede afectar la forma en que se caen y apague el objetivo rápidamente.

Pruebe diferentes líneas de apertura

Iniciar una conversación con el estándar por qué / qué / cuándo es común, pero intentar un enfoque diferente y ver qué pasa. El grupo de investigación que dirige un popular sitio de citas ( www.okcupid.com ) Compilado datos que muestra el valor de comenzar con abridores no tradicionales. Recuerde que la discusión sobre los cumplidos? Bueno, los chicos OkCupid encontrado que partiendo de demasiado “grande” de un cumplido tuvo el efecto contrario de lo que cabría pensar. Palabras como atractivo,

hermoso, y caliente tenido efectos terribles sobre las personas, mientras que las palabras como fresco, impresionante, y fascinante tenido un mejor efecto. En saludos de rigor estos chicos encontraron que decir cosas como “Hola”, “bueno” y “hola” a la izquierda del bla sensación de destino y sin motivación, mientras que “¿Cómo va todo ?,” “¿Qué pasa ?,” “Hola”, y “ hola”eran abridores fuertes para su uso. Por supuesto, estas son las estadísticas acerca de las citas, pero el punto que hay que aprender es que la gente reacciona mejor a los saludos tradicionales.

Del mismo modo, en una situación en la ingeniería social, variar su enfoque y es posible que observe un aumento en la forma en que el objetivo reacciona al mensaje.

Utilice Tiempo Pasado

Cuando se quiere hacer frente a cualquier cosa negativa que no desea que el objetivo de repetir, lo puso en tiempo pasado. Esta técnica pone las actitudes y acciones negativas en el pasado en su mente, presentándolo con el nuevo y mejorado “borrón y cuenta nueva” en el que hay que hacer cosas buenas para usted. Por ejemplo: "Cuando tú dijo No pude conseguir en reunirse con el Sr. Smith ...”

en lugar de: “Cuando decir No puedo entrar a conocer al Sr. Smith .... Sólo el tiempo del verbo cambiado, pero el efecto es muy importante. Da la impresión de que la declaración es negativa hasta el momento en el pasado, vamos a pasar a algo nuevo y mejorado. También hace que la sensación de destino que se siente que está en el pasado.

Buscar y destruir Determinar, cartografiar y planificar cómo va a manejar las actitudes y acciones perturbadoras o negativas. Imagínese si su pretexto es ser un tipo de soporte técnico que va a tener acceso a la sala de servidores. En sus llamadas anteriores que sabía que cada día a las 10 horas un grupo grande va a dar un descanso de humo. Decide que éste es un buen momento ya que la gente arrastrando los pies dentro y fuera. Vas con todo preparado, pero al entrar en el edificio de la recepcionista acaba de recibir malas noticias y es un desorden emocional. Usted debe tener un plan para el manejo de este trastorno.

Si espera a pensar en cómo va a manejar los posibles tapones de conversación, o influencias perturbadoras, hasta que la primera vez que se oye es muy probable que falle para manejarlos. Esto presenta una idea interesante a continuación. Usted tiene que sentarse y pensar como el objetivo: lo que iba a plantear objeciones? Cuando una persona que no conoce las llamadas o se aproxima a él, lo que podría decir? ¿Qué objeciones que podría plantear? ¿Qué actitudes iba a retratar? Pensamiento a través de estas cosas puede ayudar a hacer un plan de juego para estos problemas potenciales.

Anote sus pensamientos y posibles objeciones del objetivo y luego el juego de roles. Tienen su cónyuge o amigo juegan el guardián o guardia de seguridad media. Por supuesto, él o ella no puede imitar elementos tales como expresiones faciales y así sucesivamente. Pero usted le puede dar a una pequeña lista de los tapones de conversación para elegir a prueba su reaparición. Practica hasta que se sienta cómodo, pero no un guión. Recuerde que el regreso no debe ser estructurado de manera rígida que no se puede alterar en absoluto.

la manipulación positiva puede tener un efecto muy fuerte sobre el objetivo. No sólo no dejar que se sintiera violó, pero si se hace correctamente puede sentir consumado y como si él hizo algo bueno para el día.

Resumen La manipulación es un componente clave para la ingeniería social, así como la influencia. Este capítulo cubierta áreas del comportamiento humano que se extendió por décadas de

la investigación de algunas de las mentes más inteligentes en la tierra.

Las reacciones comunes a la idea de manipular a los demás podría ser:

“No quiero manipular a la gente.” “Se siente mal estar aprendiendo esto.” Estas observaciones representan la forma en la mayoría de la gente piensa cuando escuchan la palabra manipulación. Con suerte, usted ahora está convencido de que la manipulación no siempre es un arte oscuro y se puede utilizar para el bien.

El mundo de la influencia ha sido diseccionado, investigado y analizado por algunos de los psicólogos y los investigadores más brillantes de la actualidad. Esta investigación sirvió como la base de mi propia investigación para desarrollar la información de este capítulo. La sección sobre el encuadre, por ejemplo, puede realmente cambiar la forma de interactuar con la gente, y el concepto de la reciprocidad puede dar forma a su pensamiento como un ingeniero social y cómo utilizar la influencia. La influencia es un tema tan sorprendente, sin embargo, que los volúmenes de los libros están dedicados a ese tema solo.

La comprensión de lo que desencadena una persona para motivarlo a querer hacer una determinada acción y luego tener que la acción parece bueno para el objetivo, que es el poder de influencia.

En este capítulo se iluminó la ciencia y la psicología de lo que mueve a las personas, y aclaró cómo la influencia es utilizado por los ingenieros sociales.

Recuerde, la influencia y el arte de la persuasión son los procesos de conseguir algún otro querer hacer, reaccionar, pensar o creer en el camino tú queremos que.

La potencia en esta declaración trasciende la ingeniería social y la manipulación. Es la clave para alterar cualquier marco, la llave para abrir cualquier puerta de la manipulación, y la vía de convertirse en un maestro en la influencia. Los ingenieros sociales también utilizan muchas herramientas físicas, algunas de las cuales podría parecer que fueron sacados de una página de una película de James Bond, y que se discuten en el capítulo siguiente.

Capítulo 7

Las herramientas del ingeniero social

El hombre es un animal que utiliza herramientas. Sin herramientas, no siendo nada, con las herramientas que él es todo.

- Thomas Carlyle Cuando se trata de la ingeniería social que tiene un conjunto de herramientas decente puede hacer o deshacer la capacidad del ingeniero social para tener éxito. Además, no es tanto tener las herramientas, sino que también posee el conocimiento sobre el uso de ellos que pueden cerrar la brecha entre el éxito y el fracaso. Este capítulo trata de las diferencias entre las herramientas físicas, herramientas de teléfono y herramientas basadas en software. Tenga en cuenta que sólo poseen las más caras o mejores herramientas no hacer que un ingeniero social. En su lugar, las herramientas pueden mejorar su práctica de seguridad la forma en que la mezcla de especias puede aumentar una comida demasiado o demasiado poco puede hacer la comida blanda o abrumador. Usted no quiere ver como Batman lleva un cinturón de herramientas de entrar en un concierto de la ingeniería social, ni tampoco quiere estar en la puerta delantera del objetivo sin el conjunto de herramientas adecuada para obtener acceso. categoría de herramientas del ingeniero social tiene el potencial de ser enorme, pero este libro no está tratando de convertirse en un manual sobre cómo abrir cerraduras o falsificar un número de teléfono. En cambio, es un intento para darle suficiente información para decidir qué herramientas aumentaría su práctica.

La primera sección de este capítulo, “herramientas físicas”, se centra en cosas como ganzúas, cuñas, y cámaras. Algunas herramientas nuevas e interesantes están en el mercado que hará que el ingeniero social media se siente como James Bond. Este capítulo trata de algunas de estas herramientas y cómo utilizarlas, e incluso muestra algunas fotos de las herramientas. Además, este capítulo se proporciona información sobre el uso de la suplantación de teléfono en un ataque de ingeniería social, continúa con una discusión de algunos de los mejores basados ​en software de recopilación de información herramientas en el mercado, a continuación, termina con una discusión sobre las herramientas de perfilado contraseña.

Herramientas físicos La seguridad física se compone de las medidas que las empresas o personas toman para permanecer seguro que no implican un ordenador. A menudo implica cerraduras, cámaras de movimiento, sensores de ventana, y similares. La comprensión de la seguridad física y la forma en que funciona es parte de ser un buen ingeniero social. Usted no tiene que ser un ingeniero de estos dispositivos, pero con una clara comprensión de los mecanismos de seguridad un objetivo ha puesto en marcha puede ayudar a superar los obstáculos que podrían interponerse en el camino de una auditoría de la ingeniería social exitosa.

selecciones de la cerradura Antes de entrar en el tema de abrir cerraduras que tiene que saber un poco acerca de cómo funciona una cerradura. Figura 7-1 muestra una imagen muy aproximada de un simple bloqueo. Figura 7-1: A simple vista de una cerradura.

Básicamente, la forma en que funciona una cerradura es que no tiene vasos que son manipuladas por la clave. La clave empuja hacia arriba los vasos y pines superiores, y cuando se alinean permite la tecla para activar y abrir la puerta, la sala de servidores, el gabinete, y así sucesivamente. Una ganzúa simula la clave en el movimiento de todas las clavijas en la posición correcta, uno por uno, lo que permite el bloqueo gire libremente y abrir la puerta. Se necesitan dos herramientas principales para abrir una cerradura: picos y una llave de la tensión.

Selecciones son largas piezas de metal que curva en el extremo, similar a la herramienta de un dentista. Alcanzan dentro de la cerradura y se mueven los pasadores hacia arriba y abajo hasta que estén en la posición correcta.

llaves de la tensión son pequeños dispositivos metálicos planos que le permiten ejercer presión sobre el bloqueo durante el uso de la selección.

rastrillos parecerse a selecciones sino que se utilizan en un “rastrillo” movimiento sobre el bloqueo en un intento de atrapar todos los bolos. Es el movimiento rápido de mover el rastrillo dentro y fuera de la cerradura que muchos recolectores de bloqueo encuentran atractivo, ya que por lo general hace el trabajo rápido de la mayoría de las cerraduras. Para abrir una cerradura, siga estos pasos:

1. Inserte la llave de la tensión en el ojo de la cerradura y girar en la misma dirección en que gire la llave. La habilidad real aquí es saber Cuánto cuesta tensión para añadir usar demasiado o demasiado poco, y los pines no caerá en su lugar, lo que permite el bloqueo a su vez. Proporcionar sólo la cantidad correcta de tensión crea una pequeña repisa que compensa el enchufe suficiente para atrapar a los ejes de pasador. 2. Insertar el enganche y lo utilizan para levantar los pasadores de uno en uno hasta que note bloqueo en su lugar. Se puede escuchar un ligero clic cuando un pasador superior cae en su posición. Al llegar todos los bolos en su posición el tapón girará

libremente, y se le han tomado la cerradura. Lo anterior es el tour $ 2 de la recolección de bloqueo y apenas rasca su superficie. Si quieres una gran información sobre la recolección de bloqueo visitar cualquiera de los siguientes sitios web:

http://toool.us/ http://home.howstuffworks.com/home-improvement/household- seguridad / seguridad / bloqueo picking.htm http://www.lockpicking101.com/ Estos son sólo algunos de los muchos sitios dedicados a la educación de apertura de cerraduras. Como un ingeniero social, el gasto de tiempo practicando abrir cerraduras es prudente. Llevar un pequeño conjunto con ganzúa que puede ser un salvavidas cuando se está frente a un armario de servidores, cajón del escritorio, u otro obstáculo cerrado que contiene la información jugosa. conjuntos de selección de la cerradura pueden ser tan pequeños como las mostradas en Figura 7-2 , Que son el tamaño de una tarjeta de visita normal. Figura 7-2: Este tamaño de una tarjeta conjunto ganzúa negocio encaja fácilmente en una cartera o bolso.

También pueden ser más voluminoso, tal como se muestra en las Figuras 7-3 y 7-4 . Figura 7-3: Este conjunto es aproximadamente del tamaño de una navaja de bolsillo.

Figura 7-4: Este conjunto ganzúa es más voluminoso, pero contiene todo lo necesario.

Una buena recomendación es no dejar que la primera vez que juega con una ganzúa estar en una situación crítica. En lo personal, me fui a comprar unos candados maestro de diferentes tamaños. Después de que era capaz de recoger con éxito todos ellos me

luego compró un juego de esclusas práctica, algo así como los que se muestran en Figura 7- 5 . Estos vienen en muchos diferentes tipos de anclaje. Cerraduras contienen diferentes tipos de pasador, que puede agregar al nivel de dificultad en la selección. Tener cerraduras práctica de diferentes tipos y tamaños de pasador maximiza la eficacia de sus sesiones de práctica.

Figura 7-5: Estos bloqueos ver a través de le permiten ver cómo se encuentra.

Incluso he visto algunas configuraciones muy agradable en diferentes conferencias que serían excelentes para el aprendizaje, como una pared de bloqueo casero. Por supuesto, como a recopilar inteligencia en su objetivo, la toma de fotografías o simplemente tomando notas mentales de los tipos, lo hace, y los modelos de las cerraduras que puedan bloquear su camino hacia el éxito es una buena idea. Conocer esta información puede ayudarle a prepararse antes de participar en el intento de ingeniería social.

Utilización práctica Cosecha de la cerradura en el cine y en la televisión se retrata de manera que uno sólo pone el bloqueo de selección y unos segundos después, la puerta se abre mágicamente. Por supuesto, algunas personas abrir cerraduras tan bien, pero la mayoría de la gente va a encontrar el éxito poco a poco, después de innumerables veces la aplicación de demasiada tensión, frustrado, y luego, por fin el aprendizaje de cómo el rastrillo y abrir una cerradura de verdad. rastrillar es un talento en sí mismo. Aquí es donde se utiliza una herramienta de rastrillo y deslizar suavemente el rastrillo dentro y fuera de la cerradura mientras se aplica una ligera presión a la llave de la tensión. Esta técnica funciona en muchos tipos de cerraduras, lo que les permite ser “elegido” por medio de este método simple. El aprendizaje en el rastrillo de manera eficiente enseña un ingeniero social mucho acerca de cómo utilizar la llave de la tensión correctamente y lo que se siente cuando se tomó la cerradura.

Muchas empresas están comenzando a utilizar la tecnología RFID, tarjetas de tarjeta magnética, u otros tipos de acceso electrónico, lo que puede llevar a creer que ganzúas son obsoletas. No lo son, y tampoco lo es la habilidad de abrir cerraduras. Es una buena habilidad para tener que se pueden guardar en una prueba de intrusión. He aquí un ejemplo de los beneficios de llevar a ganzúas con usted: Por un compromiso me encontré con un obstáculo que no pudo ser engineered- social de una puerta. Sacando un bloqueo de confianza de bolsillo sistema de la selección y utilizando el método de rastrillo, gané el acceso en unos 30 segundos. Muchos ingenieros sociales tienen historias como ésta, en la comprensión de un poco acerca de los bloqueos y tener las herramientas adecuadas destinadas éxito al final. Es demasiado a menudo el caso de que las empresas gastarán miles o incluso millones de dólares en su hardware, servidores de seguridad, sistemas IDS, y otros métodos de protección, y luego ponerlos todos en una habitación con cristal barato y una cerradura $ 20 que lo protege.

La práctica es esencial, ya que forzar una cerradura siempre conlleva el riesgo de ser visto o capturado. Debe ser rápido en coger una cerradura para reducir ese riesgo. En algunos lugares se instalan cámaras para atrapar a la gente en el acto, pero al final, a menos que la cámara está abierta por una persona viva, que sólo grabará una persona en romper y robar los servidores. Además, muchas cámaras pueden ser fácilmente inutilizados mediante el uso de métodos simplistas de luces LED brillado a la derecha en la lente o el uso de un sombrero o una capucha para cubrir su cara.

Abrir cerraduras magnéticos y electrónicos Cerraduras magnéticas se han vuelto más populares porque son muy baratos para funcionar y proporcionar un cierto nivel de seguridad, ya que no son una cerradura tradicional que puede ser recogido. cerraduras magnéticas vienen en todas las formas, tamaños y fortalezas. cerraduras magnéticas, sin embargo, también ofrecen un nivel de inseguridad: Si se va la luz cerraduras magnéticas más se desenganche, el desbloqueo de la puerta. Esto es, por supuesto, si el bloqueo no está conectado a una fuente de energía de reserva.

Johnny Long, ingeniero y hackers sociales de renombre mundial que ha creado la base de datos de Google hacking y autor de Sin Tech Hacking, cuenta una historia de una forma en que omite una cerradura magnética usando un gancho de ropa y una toallita. Se dio cuenta de las cerraduras fueron desenganchados basado en el movimiento de un empleado a caminar hacia la puerta. También notó un vacío en las puertas que era lo suficientemente grande como para deslizar un paño unido a través de una percha. Agitando la tela alrededor lanzado la cerradura y le dio acceso. Recientemente tuve la oportunidad de probar esta técnica. Efectivamente, con un poco de esfuerzo y pruebas de diferentes longitudes de percha, gané el acceso en menos de dos minutos. Lo que más me sorprendió de todo esto es que a pesar de la cantidad de dinero se gastó en las, cierres y puertas de metal profesionales de calidad comercial con ventanas de vidrio a prueba de balas en ellos, con fuentes de energía copia de seguridad de las cerraduras y autobloqueantes perno cerraduras si se va la luz, todo fue frustrado por una percha con un trapo. Por supuesto, hay formas de tecnología más avanzada de recoger estos bloqueos. Algunos han creado clonadores

RFID, un pequeño dispositivo que puede capturar a continuación, volver a reproducir el código RFID desbloqueo de las puertas. Hay máquinas para copiar tarjetas de acceso magnéticas también.

Herramientas varias de apertura de cerraduras Además de llaves de la tensión y picos, un ingeniero social puede querer emplear otras herramientas, como cuchillos de la verdad, llaves Bump, y calzas del candado, para tener acceso físico. Algunas de estas herramientas, cuando se domina, se puede hacer el trabajo de esfuerzo de acceso físico.

shove Cuchillos los cuchillo empujón, se muestra en la Figura 7-6 , Es aclamado como la forma más rápida para obtener acceso a puertas de la oficina o cualquier puerta con una palanca de bloqueo, tales como salas de servidores o puertas de la oficina. Básicamente, este cuchillo puede caer en una posición en la que puede liberar el pestillo sin dañar la puerta. Figura 7-6: Un cuchillo empujón típico.

Claves Bump llaves de percusión han existido desde hace siglos, pero han estado recibiendo una gran cantidad de aviso en las noticias debido a que se han utilizado en los crímenes. Bump claves son las claves que permiten al usuario a “reactivar” la llave en la cerradura con fuerza de luz que cuando se hace bien, pone todos los bolos en la alineación adecuada y permite que el tapón se volvió sin dañar la cerradura especialmente diseñados. La técnica básica es que se pone la llave dentro de la cerradura y tire de ella uno o dos niveles; a continuación, poner una ligera tensión en la llave y utilizar un destornillador u otro objeto pequeño a “reactivar” la llave en la cerradura usando fuerza de la luz. Esta acción hace que los pasadores en la posición correcta y luego permite que el enchufe para encender. Figura 7-7 muestra una clave de golpe. Figura 7-7: Una clave de golpe típico de una puerta.

Las cuñas candado

UNA calce es una pequeña pieza de metal delgado que se deslizó en la base del candado y se utiliza para liberar el mecanismo de bloqueo. La cuña se empuja en en la base del eje de bloqueo, que separa el mecanismo de bloqueo del eje y desbloquear el candado. Esto se muestra en Figura 7-8 .

Figura 7-8: ¿Cómo funciona una cuña.

Figura 7-9 muestra cuñas de nivel profesional, pero también se puede hacer un par de una lata de aluminio.

Algunas historias recientes ( www.youtube.com/watch?v=7INIRLe7x0Y ) show lo fácil que es pasar por alto un hotel o otra puerta con una cerradura de la cadena. Este video en particular muestra cómo un atacante puede atar una banda elástica alrededor de la cerradura

y, usando la tensión natural de la banda de goma, obtener la cadena se deslice de inmediato. Además, MIT tiene una guía libremente distribuida ( guía www.lysator.liu.se/mit- / MITLockGuide.pdf ) En la recolección de bloqueo que es mucho más profundo que la breve introducción incluye en este capítulo.

Figura 7-9: hecho profesionalmente cuñas.

Tal vez se pregunte si los bloqueos que son imposibles, o al menos difícil escoger, existen. El BiLock prueba Bump ( www.wholesalelocks.com/bump- prueba bilock-ULT-360.html ) Es sólo una cerradura de este tipo. Sus dos cilindros hacen que sea imposible NEAR-bump o recoger con facilidad. Uno de los problemas que he visto en mi carrera no es la opción de bloqueo, sino más bien la seguridad apoyar la cerradura. Muy a menudo, una empresa va a comprar una cerradura de alta resistencia que requiere la biometría y la clave de acceso para llegar a la sala de servidores, pero justo al lado de la puerta es una ventana de vidrio de un solo acristalamiento pequeña. ¿Quién necesita una selección de la cerradura, entonces? Un ladrón se rompe el cristal y acceder sin mucho esfuerzo. La moraleja de la historia es que un bloqueo por sí sola no le hará seguro. La seguridad es un estado mental, no una simple pieza de hardware.

No todos los ingenieros sociales debe ser un experto cerrajero, pero tener algunos conocimientos básicos sobre el funcionamiento de las cerraduras y un poco de experiencia forzar cerraduras podría hacer la diferencia entre un éxito y el fracaso de ingeniería social.

Esta discusión se rascó la superficie del tema de la cerradura-cosecha

herramientas de un ingeniero social puede utilizar. Uno de los otros conjuntos de herramientas que tiene un valor incalculable para un ingeniero social es dispositivos de grabación, como se discute en la siguiente sección.

Cámaras y dispositivos de grabación Las cámaras y dispositivos de grabación parecen tan “peeping Tom-ish” que surge muchas veces la pregunta: “¿Por qué? ¿Por qué utilizar cámaras ocultas y dispositivos de grabación encubierta en un concierto SE?”Buena pregunta. Cuenta con un sencillo de dos partes respuesta: para la prueba y la protección. Vamos a discutir el concepto de prueba. Como ya se ha mencionado, una auditoría de la ingeniería social es donde se está probando personas. Se está tratando de ayudar a una empresa parchear la infraestructura humana para ser más seguro. Por desgracia, se utilizan estos mismos principios cuando los ingenieros sociales maliciosos hacen sus obras también. Muchas personas son reacias a admitir que pueden ser engañados a menos que vean la prueba o uno de sus colegas siendo engañados. La vergüenza de ser engañado por medio de un simple ataque de ingeniería social o el miedo a las repercusiones del empleador puede hacer que las personas dicen que nunca ocurrió. Un dispositivo de grabación puede proporcionar esa prueba, pero también puede ser utilizado para entrenar tanto usted como auditor y su cliente sobre lo que debe observar.

Nunca se debe utilizar estos dispositivos con la intención de conseguir un empleado en problemas o que él o ella aprietos. Sin embargo, la información que se obtiene de estos dispositivos proporciona una gran herramienta de aprendizaje después de que muestra el personal que cayó por pretexto del ingeniero social y cómo. Dando fe de un pirateo con éxito puede recorrer un largo camino hacia la educación de la empresa y su personal sobre cómo deben reaccionar ante los intentos maliciosos de ingeniería social, en otras palabras, la forma de aviso y luego o bien evitar o mitigar estos ataques.

La segunda razón para utilizar dispositivos de grabación en un concierto SE es para la protección, principalmente para los ingenieros sociales profesionales. ¿Por qué? Al ver todos los microexpression, gesto facial y pequeño detalle que se puede utilizar más adelante es imposible. La captura de esta información en la cámara le da algo para analizar lo que hacen obtener todos los datos necesarios para realizar el ataque. Se puede proporcionar protección en que usted tiene una grabación de los eventos para demostrar lo que era y no se hizo, sino también en que no dejar todo a la memoria de la situación. También es una buena herramienta educativa para el análisis de intentos fallidos o exitosos SE.

Este principio se utiliza en aplicación de la ley. La policía y los agentes federales registrar sus paradas de tráfico, entrevistas e interrogatorios para la protección, la educación, y la prueba que se utilizarán en los tribunales. Estos principios se aplican también para la grabación de audio. Captura de una llamada telefónica o una conversación en un dispositivo de grabación sirve a todos los mismos fines que los mencionados anteriormente para el vídeo. Un punto importante a mencionar aquí es que la grabación de personas sin su consentimiento es ilegal en muchas zonas del mundo. Asegúrese de que su capacidad de utilizar dispositivos de grabación es parte del contrato de ingeniería social que ha firmado con la empresa. dispositivos de grabación de audio vienen en todas las formas y tamaños. Soy dueño de una pequeña grabadora de voz que es una verdadera pluma de trabajo. Este dispositivo se asienta muy bien en el bolsillo delantero y registros de sonido claramente hasta 20 pies de distancia. Con 2 GB de almacenamiento interno que pueda grabar fácilmente un par de horas de conversación sin preocupación y luego analizarla más adelante.

cámaras Hoy en día se pueden encontrar cámaras con forma de botones; plumas; escondido en las puntas de las plumas; Relojes dentro, osos de peluche, cabezas de los tornillos falsos, detectores de humo; y básicamente cualquier otro dispositivo que pueda imaginar. Localización de una cámara como la que se muestra en Figura 7-10 No es demasiado difícil.

Figura 7-10: La cámara está oculta en el nudo de la corbata.

Sí, lo creas o no, este lazo se esconde una cámara a todo color que funciona con una batería de 12 voltios y se conecta a un dispositivo de grabación mini. Que lleva este lazo en una auditoría de la ingeniería social asegura que capturar todo dentro de un ángulo de 70 grados.

El uso de un dispositivo de grabación como esto le da una ventaja. El ingeniero social puede centrarse en el pretexto o la pregunta de valoración que él o ella practica de antemano sin tener que preocuparse por tratar de recordar todos los detalles. Una de las historias Me gusta decirle es cómo he utilizado un dispositivo de grabación de audio en una auditoría en la que estaba probando un parque temático que vende boletos en línea. Esta compañía opera una pequeña taquilla con una mujer detrás de él dotación de un ordenador con un sistema operativo Windows en él. El pretexto fue que compré billetes en línea con el hotel, pero no podía imprimirlos. Para ayudar a los imprimí a PDF y enviado por correo electrónico el documento a mí mismo. Luego utiliza una línea similar a esto: “Sé que esto es una petición extraña, pero mi hija vi su anuncio en un restaurante. Volvimos al hotel y comprar los boletos en línea con el código de descuento y luego me di cuenta que no podía imprimirlos. La impresora de hotel

Estaba en el Fritz y yo no quiero perder los boletos. Así que les imprimió a un PDF y lo envié a mi cuenta de correo electrónico. Podría sólo tiene que entrar o has acceder a mi correo electrónico para obtener el documento? “Por supuesto, los‘niños’estaban esperando en el banquillo y como un padre que no quería decepcionar. Efectivamente como el empleado hace clic en el PDF, no se presentó con nuestros billetes, sino una pieza maliciosa de código que fue un guión que me diera acceso a su ordenador e inicie autocollecting datos. La grabación de la conversación, el método utilizado, y las cuerdas del corazón que se extrajeron ayudó a educar a la empresa por lo que este ataque no se podría repetir, costando miles de dólares o más. Un dispositivo que está disponible utiliza una tarjeta de celular “pay-as-you-go” para enviar contenido de audio a través de una señal celular a cualquier número programado. O el ingeniero social puede llamar y escuchar lo que está pasando en cualquier momento. Este dispositivo puede guardar las decenas de ingenieros sociales de horas en la obtención de contraseñas o información personal que se puede utilizar en un ataque de ingeniería social.

Uno puede pasar literalmente docenas de horas (y yo podría escribir decenas de páginas) hablando de todas las cámaras limpias y frescas por ahí. Figuras 7-11 y 7-12 mostrar algunas fotos de un proveedor de aplicación de la ley popular de “equipos de espionaje” ( www.spyassociates.com ). Todas estas fotos son cámaras ocultas o dispositivos de grabación de audio, aunque no lo crean. Se puede utilizar cada uno de estos dispositivos para grabar secretamente un objetivo para una inspección posterior.

Figura 7-11: Todos estos dispositivos de audio y vídeo en color de captura de una cámara oculta a excepción de la pluma, que es una grabadora de audio.

Figura 7-12: Estos dispositivos también capturar audio y vídeo de las cámaras ocultas.

Uso de las herramientas de un ingeniero social En la sección anterior se describen algunos de los diferentes tipos de dispositivos de grabación por ahí, pero la pregunta sigue siendo cómo usarlos. Increíble que parezca, el uso de cámaras o dispositivos de grabación sigue los mismos principios que cualquier otra herramienta del ingeniero social, tales como pretextos o provocación. La práctica es esencial. Si no determinar la colocación apropiada para una cámara lleva en el cuerpo o dispositivo de grabación de audio, que podría terminar la captura de vídeo del techo o de audio de una voz apagada. Configuración del equipo apropiado y equipamiento que puede llevar y encontrar la ubicación adecuada para la cámara o dispositivo de audio es una buena idea. Trate de sentarse, estar de pie o caminar y ver cómo estos movimientos afectan la calidad de sonido y video. Desde un punto de vista social profesional ingeniero debo subrayar una vez más la gravedad de conseguir el contrato para esbozar su capacidad de grabar. Hacerlo sin un contrato puede ser una pesadilla legal. Comprobación de las leyes locales para asegurarse de que no se puede meter en problemas por el uso de estos dispositivos es también una buena idea. Nunca sería un ingeniero social utilizar estos dispositivos para registrar las personas en situaciones embarazosas o para capturar a la gente en circunstancias personales. La discusión sobre este tema se puede seguir y seguir, pero espero que esta breve visión general de las herramientas que están disponibles y cómo los utilizan pueden abrir las opciones que hay para los ingenieros sociales. En la siguiente sección voy a dar algunos ejemplos del uso de ciertas herramientas que pueden ser muy útiles para un ingeniero social.

El uso de un GPS Tracker

Los ingenieros sociales a menudo quieren seguir blancos antes o después de salir de la oficina. Lo que detiene el objetivo realiza en el camino a la oficina puede decir mucho acerca de él. Recopilar y analizar esta información puede ayudar a desarrollar un pretexto adecuado o buenas preguntas a utilizar para obtener la respuesta correcta de la diana. Conocer los tiempos de inicio y fin de su día también puede ser valiosa para los ataques del equipo rojo físicos, donde el objetivo del equipo es romper en realidad

y recuperar los activos valiosos para mostrar la empresa sus debilidades físicas. Se puede rastrear a las personas de muchas maneras diferentes, pero una forma es utilizar un dispositivo diseñado para ayudar a localizar un objetivo. Uno de tales dispositivos es un rastreador de GPS; por ejemplo, el notable registro de datos USB SpyHawk SuperTrak GPS en el mundo de Super TrackStick disponible de www.spyassociates.com . Un tipo de muchos, estos dispositivos puede variar entre $ 200-600. SpyHawk SuperTrak adhiere magnéticamente a un vehículo y puede almacenar el valor de los datos sobre el destino días. Las siguientes secciones proporcionan un tutorial de instalación para el uso de este pequeño dispositivo.

El SpyHawk SuperTrak GPS TrackStick Instalación del software necesario para hacer funcionar el dispositivo es indoloro. Simplemente haga clic en el software que viene con el dispositivo y siguiendo los pasos que aparecen en pantalla van a instalar todo el software necesario. Se instala sin ningún problema y la configuración después es igual de doloroso. La pantalla TrackStick, se muestra en la

Figura 7-13 , Es muy intuitivo de usar y fácil de configurar.

Figura 7-13: TrackStick Administrador emplea una interfaz intuitiva sencillo de usar.

Como se puede ver, que proporciona opciones para elegir veces, husos horarios, y más opciones de registro personalizado.

Utilizando el SpyHawk TrackStick

El dispositivo SpyHawk SuperTrak GPS Worldwide Súper TrackStick sí es ligero y fácil de usar y se esconden. Viene con un interruptor on / off, pero tiene algo de tecnología limpia. Cuando se siente el movimiento se enciende y comienza

explotación florestal. Cuando el movimiento se detiene durante un período de tiempo, se detiene el registro. Las instrucciones dicen que ocultar el dispositivo en algún lugar con los imanes potentes contra metal, pero el dispositivo apuntando hacia arriba o hacia plástico. Perder el dispositivo en su primera carrera es siempre una preocupación, por lo que encontrar un lugar seguro agradable bajo el capó puede aliviar esas preocupaciones y facilitar el acceso a la visión del cielo. Una vez que tenga acceso (ya sea interno o externo) para el coche del objetivo, encontrar un lugar seguro en una rueda así, bajo el capó, o en la parte posterior del coche por el tronco. En cualquier lugar que no es de metal va a funcionar. Si usted tiene acceso interno, haciendo estallar el capó y ponerlo en algún lugar en el compartimiento del motor puede ayudar a aliviar las preocupaciones sobre el descubrimiento y / o pérdida. En mis primeras pruebas, he encontrado un lugar en el compartimiento del motor para colocar el dispositivo. Incluso a través del metal de la campana del dispositivo conectado a la perfección. Otra idea de ubicación es esperar hasta que se desbloquea el coche del objetivo y luego se coloca en el maletero debajo de la alfombra o por las luces traseras. En una nota personal, cuando me encontré con esta prueba, el dispositivo se quedó en cinco días de recolección de datos, algunos de los cuales se puede ver en las siguientes figuras. Como se muestra en Figura 7-14 , Parece que el destino le gusta la velocidad.

Figura 7-14: El objetivo gusta la velocidad.

Tiempo, marcas de fecha y duración ayudar a esbozar el movimiento de un objetivo, como se muestra en Figura 7-15 . Figura 7-15: Seguimiento de los movimientos del objetivo.

Figura 7-16 muestra los iconos en un mapa de Google Earth, que muestran la velocidad, el tiempo, el tiempo se detuvo, y mucho más.

Figura 7-16: salida del dispositivo dictada en Google Earth.

Como se puede ver en Figura 7-17 , El software crea buenos mapas de la toda la ruta. Figura 7-17: La cartografía de la ruta del objetivo con SuperTrack.

El uso de Google Earth o Google Maps Incluso se puede conseguir primeros planos (ver

Figura 7-18 ). Figura 7-18: Reducción a cero en los viajes del objetivo.

Revisión de los datos GPS Tracker La recolección de datos es donde un ingeniero social verá el mayor beneficio. Ser capaz de realizar un seguimiento de cada vez que el CEO de la empresa objetivo se detuvo para tomar un café, lo que a su tienda favorita es, y lo que el gimnasio que asiste puede permitir que el ingeniero social para planear un ataque con la mayor tasa de éxito.

El conocimiento de los lugares y paradas puede decir que el atacante donde él o ella tendrá las mejores oportunidades para la clonación de una tarjeta de RFID o hacer una impresión de una llave. La ventaja es que se puede obtener esta información sin tener que acechar el objetivo al ser el tipo raro al lado. Las siguientes figuras muestran cómo estos detalles se pueden dar al atacante el control. Note el detalle en Figura 7-19 . Se puede ver la velocidad del objetivo conducía, y la fecha y hora que se detuvieron. Si quieres ver la ubicación con más detalle, haga clic en el enlace de Google Maps. Haga clic en el botón Exportar para exportar a todo el conjunto de datos se puede hacer clic en un mapa de Google o Google Earth Map. Figura 7-19: el conjunto de datos.

Después de abrir el conjunto de datos en Google Earth se puede ver los puntos se detuvo, la ruta que tomó desde y hacia su destino, y los tiempos se detuvo, como se muestra en Figura 7-20 .

Figura 7-20: Paradas en el camino.

Si desea ver toda la ruta, no hay problema, solo exportar toda su ruta a uno de los muchos formatos, como se muestra en Figura 7-21 . Figura 7-21: Exportación de toda la ruta del objetivo.

Figura 7-22 muestra los datos exportados y que se muestran en Google Maps. Esta breve sección no podría cubrir todas las herramientas disponibles para un ingeniero social. Las claves del éxito son la práctica y la investigación. Sabiendo que están disponibles para los ingenieros sociales pueden hacer o deshacer la auditoría herramientas. Eso es sólo la mitad de la batalla, sin embargo, porque entonces como un ingeniero social profesional, usted debe practicar, practicar y practicar. Saber utilizar adecuadamente las herramientas hará una gran diferencia.

En el marco ingeniero social situada en www.social-engineer.org , YO será la revisión de muchas herramientas que los ingenieros sociales pueden utilizar para mejorar su práctica. herramientas físicas son sólo una parte de ser un ingeniero social exitosa sin embargo. Todas las herramientas físicas de la Tierra están respaldados por la calidad y la recopilación de información a fondo como se discutió en el Capítulo 2. La siguiente sección cubre algunos de los más sorprendentes herramientas de recopilación de información en el mundo.

Figura 7-22: La ruta del destino hizo en Google Maps.

Herramientas para la recopilación de información Como se expuso anteriormente, la recopilación de información es un aspecto clave de la ingeniería social. No pasar suficiente tiempo en este punto solo puede y va a llevar a una insuficiencia para el ingeniero social. Hoy en día muchas herramientas disponibles para el ingeniero social que puede ayudar a recoger, catalogar y utilizar los datos que se recopilan. Estas herramientas pueden literalmente cambiar la forma en que un ingeniero puntos de vista sociales y utiliza los datos. Ya no son los ingenieros sociales limitados a lo que pueden encontrar en las búsquedas de rutina; estas herramientas se abren todos los recursos en Internet para ellos.

Maltego Recoger y catalogar la información es probablemente un punto débil para muchas personas. ¿Qué pasaría si existiera una herramienta que le permitió realizar docenas de

búsquedas específicas a un dominio, dirección IP, o incluso una persona? ¿Y si te dio la ponderación de los resultados, que muestran lo que era más probable que sea importante o no? ¿Y si esta herramienta a continuación, tuvo una interfaz GUI que mostró todo en objetos con códigos de colores que se pueden exportar y utilizar? Por encima de todo, lo que si hay una versión libre de esta increíble herramienta estaba disponible? Introduzca Maltego. Maltego es herramienta de sueño de un ingeniero social. Esta herramienta asombroso es hecho por los chicos de Paterva ( www.paterva.com ). Maltego tiene una edición de la comunidad disponibles para su descarga gratuita desde su página web, que también se incluye en todas las ediciones de BackTrack4. Si desea eliminar las limitaciones de la edición libre de tipo el número de transformaciones que se pueden ejecutar y guardar datos en el gasto alrededor de US $ 600 será conseguir que una licencia completa. La mejor manera de mostrar el poder de Maltego es contar una historia de una auditoría que estaba involucrado. Yo tenía la tarea de auditoría de una pequeña empresa que tenía una muy pequeña presencia en la web. El objetivo era llegar al CEO, pero que estaba fuertemente custodiada, paranoico, y no hizo uso de la web mucho más. Como propietario de una compañía de impresión que era todo acerca de su negocio y no hizo uso de la tecnología al máximo. Sin duda, esta tarea iba a ser difícil. Saqué Maltego primero. El uso de dominio tal de la Compañía y tirando hacia arriba todas las direcciones de correo electrónico vinculadas con la información de Whois y el dominio de sí mismo me dio una buena base de información para iniciar la búsqueda con. a continuación, profundicé más profundo para ver si el correo electrónico del CEO que surgió fue utilizado en otros sitios o direcciones URL. Me pareció que había escrito un par de comentarios de un restaurante local y vinculado a su dirección de correo electrónico públicamente. También lo usó en una revisión que hizo para un restaurante en un estado diferente. Al leer su opinión totalmente reveló que había visitado el restaurante durante su visita a la familia en ese estado, dando el nombre de su hermano en la revisión. Con unas cuantas búsquedas en Maltego Localicé sus padres y hermano en esa zona. Unas cuantas más búsquedas con el apellido y me encontré con un par de enlaces que hablaban sobre el uso de otro correo electrónico que tenía de un negocio que empezó allí para discutir un problema que había tenido con una iglesia local y su cambio a una nueva. Más tarde, me encontré con un blog que une su página de Facebook con fotos de su familia después de salir de un juego de pelota donde su equipo favorito juega. Esto es lo que era capaz de encontrar en menos de dos horas de búsqueda utilizando Maltego:

Su comida favorita de su restaurante favorito Sus niños nombres y edades Eso es divorciado de sus padres, nombres nombre de su hermano, donde creció su religión

Su equipo favorito Lo que toda su familia se parecía a su negocio más allá Un día más tarde envié un paquete a la diana que contiene información sobre el sorteo de las empresas locales. La oferta era que si gana se pone una cena gratis en el restaurante que aparece como su favorito, y tres entradas gratis para un partido de los Yankees. Todo el negocio tiene que hacer es ponerse de acuerdo para tener una breve reunión con una

representante de ventas para hablar de una organización benéfica local. Si el negocio de acuerdo a esa reunión su nombre se entró en el sorteo para tener la oportunidad de ganar los boletos de los Yankees. El nombre de mi pretexto fue “Joe” y me preparó un esbozo de una llamada al CEO. Mi objetivo era conseguir que se acepte un PDF de mi parte que esbozó lo que queremos y lo inscribió en el dibujo. En el momento en que llamé, él debería haber recibido mi paquete “enviado por correo” y que fácilmente podría utilizar la línea, “Sí, él está esperando mi llamada.”

Si bien en el teléfono con “Joe”, el director general aceptada y abrió un correo electrónico con todos los detalles de la rifa, así como un archivo maliciosamente codificada, lo que garantiza la entrega de la cáscara inversa, y me da acceso a su red. Por supuesto, él no tiene nada en su pantalla y estaba frustrado que Adobe mantuvo estrellarse. Le dije, “Lo siento, usted está teniendo problemas para abrir el archivo; vamos a incluir su nombre en el sorteo y enviarla por correo a cabo algo de información adicional para el día de hoy.”Pero antes de que el paquete entró en el correo y llegó me ​llama un informe de la reunión para discutir cómo el objetivo se ha visto comprometida por completo. La mayor parte de este éxito se debe a la utilización de una herramienta de Maltego. Se ayudó a recolectar, organizar y categorizar los datos para el mejor uso. ¿Cómo Maltego ayudar a tener éxito en este concierto? Piense en Maltego como una base de datos relacional de la información, la búsqueda de vínculos entre los bits de información en Internet (en adelante, las entidades dentro de la aplicación). Maltego también toma una gran parte del trabajo duro de la minería de información como direcciones de correo electrónico, páginas web, direcciones IP y la información de dominio. Por ejemplo, puede buscar cualquier dirección de correo electrónico dentro de un dominio de destino o dominios de forma automática con sólo unos clics. Simplemente añadiendo el “EMAIL” transformo en la pantalla a continuación, hacer clic en el cuadro y escribiendo el correo electrónico Quiero buscar, me dieron una vista como lo que se ve en Figura 7-23 .

Figura 7-23: Una representación de la información que se puede extraer de Maltego.

¿Por qué utilizar Maltego? Maltego automatiza gran parte de la recopilación de información y datos de gran tamaño

de correlación para el usuario, ahorrando horas de buscar en Google para obtener información y determinar cómo todo

que la información se correlaciona. El descubrimiento de estos datos

relaciones es donde el verdadero poder de Maltego entra en juego. Aunque la minería es útil, el descubrimiento de las relaciones entre la información es lo que ayudará a que el ingeniero social.

A www.social-engineer.org/se-resources/ , He publicado algunos videos delineando cómo utilizar Maltego para obtener el máximo provecho de ella. En la historia anterior Maltego contribuyó en gran medida al éxito del ejercicio, pero el compromiso vino con otra herramienta increíble.

SET: Kit de herramientas de Ingeniero Social Los ingenieros sociales pasan mucho de su tiempo a perfeccionar el aspecto humano de sus habilidades, sin embargo, muchos vectores de ataque exigen que se puedan producir correos electrónicos o archivos PDF incrustados con código malicioso.

Ambas cosas se pueden hacer de forma manual utilizando muchas de las herramientas que existen en BackTrack, pero cuando comenzaba la www.social-engineer.org página web que estaba hablando con un buen amigo mío, Dave Kennedy. Dave es el creador de una muy popular herramienta llamada FastTrack que automatiza algunos de los ataques más comunes utilizados en una prueba de penetración utilizando scripts de Python y una interfaz web. Le dije a Dave que pensé que sería una clara idea de desarrollar algo así como FastTrack pero sólo para los ingenieros social -una herramienta que permitiría a un ingeniero social para crear archivos PDF, correos electrónicos, páginas web y más con unos pocos clics y luego se centran más en la parte “social” de la ingeniería social. David pensó y decidió que podía crear unos scripts de Python fáciles que permitan al ingeniero social para crear archivos PDF y enviar mensajes de correo electrónico con el código malicioso incrustado en ellas. Este fue el nacimiento de la Guía Práctica Ingeniero Social (SET). En el momento de la escritura, SET había sido descargado más de 1,5 millones de veces, y se había convertido rápidamente en el conjunto de herramientas estándar para auditorías de ingeniería social. Esta sección le guiará a través de algunos de los principales puntos de SET y cómo emplearlos.

Instalación La instalación es sencilla. Todo lo que necesita tener instalado Python y son el marco de Metasploit. Ambos están instalados en la distribución BackTrack y no hay que preocuparse por la configuración en BackTrack 4 está instalado, incluso el conjunto de herramientas. En caso de que no está o está empezando desde cero, la instalación es sencilla. Navegue hasta el directorio que desea en y ejecutar este comando en una ventana de la consola:

svn co conjunto http://svn.secmaniac.com/social_engineering_toolkit / Después de ejecutar este comando, tendrá un directorio llamado conjunto que contendrá todas las herramientas SET.

ejecución de conjunto Ejecución de conjunto es, de nuevo, un proceso fácil. Sólo hay que escribir ./ conjunto mientras que en el conjunto

directorio se inicia el menú inicial SET.

Esto le muestra exactamente lo que el menú SET se parece. Un comprensivo,

en profundidad tutorial sobre cada opción de menú está disponible en www.social-

engineer.org/framework/Computer_Based_Social_Engineering_Tools:_Social_Engineer_Toolkit_%28SET%29 , Pero las siguientes secciones se explican dos de los aspectos más ampliamente utilizados de SET. En primer lugar es la discusión de la lanza ataque de phishing, y después de esto es la discusión de la página web de la clonación de ataque.

Lanza Sitio de caza con SET El phishing es un término acuñado para describir cómo los estafadores malicioso va a “lanzar una amplia red” por medio de mensajes de correo electrónico dirigidos a tratar de atraer a la gente a sitios web, archivos maliciosos abiertas, o revelar información que puede ser utilizado para ataques posteriores. Ser capaz de detectar y mitigar estos ataques es esencial para la supervivencia en el mundo de Internet hoy en día. SET permite el auditor para probar sus clientes mediante el desarrollo de mensajes de correo electrónico dirigidos y luego ingresar el número de empleados se encuentran por estos ataques. Esta información puede ser utilizada en la formación para ayudar a los empleados ver cómo detectar y evitar estas trampas. Para llevar a cabo una lanza ataque de phishing en SET, la opción 1. Después de pulsar eligió ese número se le presenta algunas opciones: 1. Realizar un correo electrónico Mass Attack

2. Crear una carga útil FileFormat

3. Crear una plantilla de ingeniería social La primera opción es donde realmente se inicie un ataque de phishing de lanza de correo electrónico basados. La segunda opción es donde se crea un PDF malicioso u otro archivo a enviar en sus correos electrónicos. Por último, la opción 3 es donde se puede crear plantillas para su uso en el futuro. El lanzamiento de un ataque en el SET es tan sencillo como elegir las opciones adecuadas en los menús a continuación, en Iniciar. Por ejemplo, si quería lanzar un ataque por correo electrónico que enviaría a una víctima de un PDF malicioso disfrazado de un informe técnico, volvería a elegir la opción 1, Realizar un correo electrónico Mass Attack.

A continuación, yo elegiría un vector de ataque (opción 6) que estaba presente en muchas versiones de Adobe Acrobat Reader: Adobe util.printf () de desbordamiento del búfer.

Las siguientes opciones configuran el aspecto técnico del ataque. El uso de Metasploit para recibir la cáscara inversa, o la conexión posterior de la computadora de la víctima, y ​el puerto de volver a evitar IDS u otros sistemas, la opción de elegir 2, Windows Meterpreter reverse_tcp. Seleccione el puerto 443 por lo que el tráfico se ve como si es el tráfico SSL. El SET hace que el PDF malicioso y establece el oyente.

Después de hacerlo, SET le pregunta si desea cambiar el nombre del archivo PDF a algo más tortuosa como TechnicalSupport.pdf y luego se le pide que complete la información de correo electrónico para el envío y recepción. Por último, SET envía un e-mail de aspecto profesional que tratará de engañar al usuario para que abra el PDF adjunto. Una muestra de lo que la víctima recibe se muestra en la Figura 7-24 . Figura 7-24: Un correo electrónico inocua con un simple accesorio.

Después se envía el correo electrónico, SET establece el oyente y espera a que el objetivo de abrir el archivo. Una vez que el objetivo hace clic en el PDF, el oyente responde mediante la manipulación del código malicioso entrante y dando al atacante el acceso a la computadora de la víctima.

Sorprendentemente (o tal vez no, dependiendo de su perspectiva), todo esto se ha hecho en tal vez seis o siete clics del ratón, y se deja que el auditor con la libertad para centrarse en el aspecto de ingeniería social real de estos ataques.

Este es un ataque devastador porque explota una pieza del lado del cliente de software, y muchas veces no hay ninguna indicación en pantalla que sucedió algo malo. Este es sólo uno de los muchos ataques que se pueden iniciar usando SET.

Vector de ataque Web

SET también permite que el auditor para clonar cualquier sitio web y alojarlo localmente. El poder de este tipo de ataque es que permite que el ingeniero social para engañar a los usuarios a visitar el sitio bajo la pretensión de ser un desarrollador de realizar cambios, o incluso usando el truco de añadir o borrar una letra en la URL, pero apuntando a la gente a la nuevo sitio que se clona. -recolección de información iniciadas una vez en el sitio web clonado, muchas partes diferentes de este ataque puede ser, recolección de credenciales, y la explotación son sólo unos pocos.

Para ejecutar este ataque en conjunto que elegir la opción 2, Ataque Sitio web Vectores, desde el menú principal. Al elegir la opción 2, que se presentan con algunas opciones:

1. El método Java Applet Ataque 2. El navegador de Metasploit Exploit Método

Método 3. Credencial Harvester Ataque

4. Método Ataque tabnabbing 5. El hombre que queda en el método de ataque Medio

6. Volver al menú anterior Un vector de ataque sobre todo el mal es la opción 1, un applet de Java Ataque. Básicamente, el applet de Java Ataque presenta al usuario una advertencia de seguridad de Java diciendo que el sitio web ha sido firmado por la empresa ABC y pide al usuario que apruebe la advertencia.

Para llevar a cabo este ataque la opción 1, y después la opción 2, Sitio Cloner eligió. Tras la elección del sitio Cloner, se le preguntará qué sitio web que desea clonar. En este caso, se puede elegir cualquier cosa que desee el sitio del cliente, un proveedor que utilizan, o un gobierno sitio web la elección es suya. Como se puede imaginar, sin embargo, la elección de un sitio que tenga sentido para el objetivo esencial.

En este ejercicio, imagina que clonaste Gmail. Usted se presentará con la siguiente en la pantalla: SET soporta HTTP y HTTPS Ejemplo: http://www.thisisafakesite.com entre el URL para clonar: http://www.gmail.com [*] La clonación de la página web: http://www.gmail.com [* ] Esto podría tomar un poco ... [*] Ataque Inyectar applet de Java en el sitio web recientemente clonado. [*] Nombre del archivo ofuscación completar. Carga útil

nombre

es:

DAUPMWIAHh7v.exe

[*] Java applet de sitio web malicioso preparado para el despliegue

Una vez que haya terminado con esto, SET le preguntará qué tipo de conexión que desee para crear entre usted y la víctima. Para utilizar una tecnología discutido en este libro, elija la cáscara inversa Metasploit llamada Meterpreter. SET le da la opción de codificar su carga útil con diferentes codificadores. Esto es para ayudar a evitar ser capturado por los sistemas antivirus. A continuación, establezca lanza su propio servidor web incorporado, aloja el sitio, y establece un oyente para captar su víctima navegar por la web. Ahora le toca al ingeniero social a una de las naves de un correo electrónico o una llamada telefónica para dibujar el objetivo de la URL. Al final, el usuario podría ver lo que se muestra en Figura 7-25 . El resultado final es que la víctima se presenta con un applet de Java que indica el sitio ha sido firmado por Microsoft y que el usuario necesita para permitir la certificación de seguridad que se ejecute con el fin de acceder al sitio.

Tan pronto como el usuario permita la certificación de seguridad, el atacante se presenta con un mensaje para su ordenador. Figura 7-25: ¿Quién no confiar en un applet firmado digitalmente de Microsoft?

Otras características de SET SET fue desarrollado por los ingenieros sociales con los ingenieros sociales en mente, por lo que el conjunto de herramientas que le da al usuario se basa en torno a los ataques comunes que se necesitan por aquellos en el negocio de la auditoría. SET está en constante crecimiento y expansión. En los últimos meses, por ejemplo, se ha convertido en SET capaz de manejar otros ataques, además de la clonación y la página web de phishing de lanza; que también alberga un generador de medios infecciosa. Un generador de medios infecciosa es donde el usuario puede crear un DVD, CD o USB

llave codificada con un archivo malicioso que se pueden caer o se deja en el edificio de la oficina del objetivo. Cuando se inserta en un ordenador que ejecutará esa carga maliciosa y causar la máquina de la víctima se vea comprometida. SET también puede crear una carga simple y oyente adecuado para ello. Si el ingeniero social sólo quiere tener un archivo EXE que es un shell inversa que conectará de nuevo a sus servidores, que puede llevar esto en una llave USB para su uso en una auditoría. Si él se encuentra en frente de una máquina a la que desea tener acceso remoto, que puede poner en la llave USB y soltar el archivo de carga útil en el equipo y luego haga clic en él. Esto le dará una conexión rápida de nuevo a sus máquinas. Un vector de ataque más reciente es el vector de ataque Teensy HID. dispositivos diminutas son diminutas placas de circuitos programables que se pueden incrustar en cosas como teclados, ratones u otros dispositivos electrónicos, que se enchufan en los ordenadores.

SET produce la programación necesaria para contar estas pequeñas placas de qué hacer cuando están enchufados; dando órdenes como conchas inversa o la creación de puertos de escucha son comunes. Una de las nuevas características de conjunto es una interfaz web para la herramienta. Esto significa que un servidor web, empezará automáticamente a la sede de la SET en una página web para facilitar su uso. Figura 7-26 muestra lo que esta interfaz web se parece.

Figura 7-26: La nueva interfaz web de la Guía Práctica ingeniero social.

SET es una poderosa herramienta hecha para ayudar a un ingeniero auditor social de probar las debilidades que normalmente existen en una empresa. El desarrollador de herramientas SET está siempre abierto a sugerencias y ayuda en la creación de nuevas partes de la herramienta para seguir creciendo que se convierta en un conjunto de herramientas más populares. Otra vez, www.social- engineer.org tiene una explicación completa de todas las opciones de menú para su revisión si

querer profundizar en esta increíble herramienta. Continuar comprobando los www.social-engineer.org www.secmaniac.com si hay actualizaciones para el Kit de herramientas ingeniero social.

Herramientas de telefonía de base

Una de las herramientas más antiguas en el libro de los ingenieros sociales es el teléfono. Hoy en día, con los teléfonos celulares, VoIP, servidores y teléfonos caseros, las opciones de cómo un ingeniero social puede utilizar el teléfono han crecido considerablemente. Debido a que las personas se ven inundados con llamadas de telemarketing, argumentos de venta, y los anuncios, un ingeniero social tiene que ser experto para utilizar el teléfono con éxito en una auditoría. A pesar de estas limitaciones, el uso del teléfono como una herramienta de ingeniería social puede llevar a un compromiso total de una empresa en un período muy corto de tiempo.

En una época donde todo el mundo tiene un teléfono celular y la gente llevar a cabo conversaciones personales y profundas en el autobús, metro o en cualquier lugar público, el teléfono se puede utilizar de muchas maneras. Espionaje o llamar a un objetivo en su teléfono celular permite a los vectores adicionales que no estaban disponibles en los días pasados. Con el aumento del número de teléfonos inteligentes y los teléfonos por ordenador similar en el mercado cada vez más personas están almacenando contraseñas, datos personales y la información privada en sus teléfonos. Esto abre la posibilidad de que el ingeniero social para poder acceder al destino y sus datos en muchas situaciones diferentes

Además, al estar conectados 24/7 hace que la gente más dispuesta a dar información rápidamente si la persona que llama pasa un cierto conjunto de “criterios” que lo hace creíble. Por ejemplo, si el identificador de llamadas en el teléfono celular indica que la persona está llamando desde la sede corporativa, a mucha gente le dará más información sin verificación. Tanto los teléfonos inteligentes iPhone y Android tienen aplicaciones que se pueden utilizar para suplantar su número de identificación de llamadas a cualquier número que desee. Aplicaciones como SpoofApp ( www.spoofapp.com ) Permiten al ingeniero social para hacer llamadas que se ven como si se originan desde cualquier lugar en la tierra por un costo relativamente bajo por llamada. Todo esto va a construir credibilidad de su pretexto.

El uso del teléfono para la ingeniería social puede ser dividido en dos ámbitos diferentes: la tecnología detrás de ella y la planificación de lo que dice. Identificador de llamadas Spoofing Identificador de llamadas se ha convertido en una tecnología común en los negocios y el uso doméstico. Sobre todo ahora con los teléfonos celulares reemplazando muchas de las líneas telefónicas realizadas en tierra que utilizan las personas, identificador de llamadas es parte de la vida diaria. Ser consciente de este hecho y cómo utilizar esto para su ventaja es una necesidad para un ingeniero social exitosa.

suplantación de identificación de llamadas básicamente es cambiar la información que aparece en la pantalla de identificación de llamadas del objetivo. En otras palabras, a pesar de que está realizando la llamada desde un número, un número diferente aparece en el identificador de llamadas del objetivo. Una manera de aprovechar esta información es para que simule el número que has encontrado en un contenedor de buceo de un proveedor que utiliza su objetivo. Si el ingeniero social encuentra

que utilizan la tecnología para ABC soporte informático, el ingeniero social puede encontrar su número y suplantar que cuando se hace una llamada a establecer una cita por la tarde. El uso de suplantación de identidad del llamante, puede “originar” llamadas de los siguientes lugares: Una oficina remota Dentro de la oficina Una organización asociada Una empresa de servicios públicos / servicios (teléfono, agua, internet, exterminador, y así sucesivamente)

Un superior Una compañía de entrega

Entonces, ¿cómo spoof? Las secciones siguientes describen algunos de los métodos y equipo disponible un ingeniero social puede utilizar para falsificar los números.

SpoofCard Uno de los métodos más populares de suplantación de identidad del llamante es mediante el uso de un SpoofCard ( www.spoofcard.com/ ). El uso de una de estas tarjetas, se llama el número 800 que le ha asignado en la tarjeta, introduce el PIN, el número al que desea que el identificador de llamadas para que aparezca, y luego el número al que desea llamar. Algunas de las nuevas características de la SpoofCard le ofrecen la posibilidad de grabar la conversación telefónica y enmascarar su voz para ser hombre o mujer. Estas características maximizan la capacidad de ocultar quién está llamando y engañar a la meta en la divulgación de información que el ingeniero social busca.

En el lado positivo, SpoofCard es fácil de usar, no necesita hardware o software adicional de otro teléfono, y se ha demostrado con el servicio a miles de clientes. El único aspecto negativo a SpoofCard es el coste que supone para comprarlo.

SpoofApp Con tantas personas que utilizan teléfonos inteligentes como el iPhone, Android o Blackberry ha habido una afluencia de aplicaciones creadas para ayudar en la suplantación de identidad del llamante. SpoofApp utiliza SpoofCards (ver la sección anterior), pero reúne las características en un paquete en su teléfono celular. En lugar de tener que llamar a un número de teléfono gratuito sólo tiene que introducir el número al que desea llamar en la aplicación, a continuación, introduzca el número al que desea mostrar, y SpoofApp le conecta con el objetivo de mostrar la información que ha solicitado a la meta. Todo esto es tan simple como un clic de un botón.

Asterisco Si usted tiene una computadora de repuesto y un servicio de VoIP también puede utilizar un servidor de Asterisk para que simule la identificación de las llamadas. Puede encontrar información acerca de este método en www.social-engineer.org/wiki/archives/CallerIDspoofing/CallerID- SpoofingWithAsterisk.html . Un servidor del asterisco es muy similar a cómo funciona SpoofCard, con la excepción del servidor utilizado para falsificar la identificación. En este caso, es el propietario del servidor. Esto es atractivo porque permite una mayor

la libertad y no hay temor de ser cortados o quedarse sin minutos. Los aspectos positivos de Asterisk es que está libre, es fácil de usar y flexible después de la instalación, y menos controlarlo. Desventajas incluyen que un equipo adicional o se necesita VM, es imprescindible tener conocimientos de Linux, y se necesita un proveedor de servicios VoIP actual.

La gran parte de esta opción es que toda la información acerca de la persona que llama y la persona llamada recae en el ingeniero social. Los datos personales y las cuentas no están en manos de un tercero. El uso de secuencias de comandos

El teléfono es una herramienta favorita del ingeniero social. Ofrece anonimato, así como la posibilidad de practicar numerosos objetivos, cambiando simplemente leves partes del pretexto. Un aspecto de usar el teléfono en la ingeniería social que debe tener en cuenta es el uso de scripts. Secuencias de comandos puede ser una parte esencial para asegurar que todos los elementos necesarios están cubiertos y tocaron; Sin embargo, una secuencia de comandos no debe ser un discurso palabra por palabra que debe darse. Nada irrita el objetivo más que ser presentado con una persona que suena como que está leyendo un guión.

Después de escribir un script que debe practicar una y otra vez de modo que el sonido real, genuino, y creíble, Aquí es donde sus sesiones de recopilación de información se convertirán en vital. Cuanto mejor sea la información que el ingeniero social recoge la más clara la secuencia de comandos se convertirá. Me resulta útil leer algunos datos sobre las aficiones e intereses del objetivo para que pueda usarlo para construir una buena relación. Una vez que tenga toda la información distribuida que puede ser de utilidad para luego delinear un plan de ataque. En el caso discutido previamente el CEO de la empresa de impresión-tuve que desarrollar un esquema que permitirá que utilice las piezas clave de mi tono, puntos altos quería golpear, así como notas a mí como, “hablan claramente “,‘no se olvide de empujar la caridad’,‘reducir la velocidad’, y así sucesivamente, lo que me mantuvo concentrado durante la llamada.

El uso de un guión o esquema frente a un manuscrito completo en escrito le mantendrá fluido y natural y permitir la libertad creativa cuando se presenta con cosas que no planificar. El teléfono sigue siendo una herramienta mortal para el ingeniero social y cuando se utiliza con los principios mencionados hasta ahora en este libro, puede conducir un ingeniero social por el camino del éxito.

Los perfiladores de contraseña Otro conjunto de herramientas que dan citan ayuda perfilar los objetivos y las contraseñas que se pueden utilizar. Una vez que tenga toda la información sobre un objetivo que pueda reunir, el siguiente es el desarrollo de un perfil. Un perfil es donde va a cabo un par de vectores de ataque sienta que trabajar y también donde se puede empezar a construir una lista de contraseñas posibles para tratar los ataques de fuerza bruta. Desde una perspectiva de la herramienta, que tiene una lista de posibles contraseñas puede ayudar a acelerar un corte si se le presenta con esa opción. Esta sección cubre un par de perfiladores que están disponibles.

Contraseña herramientas de perfilado pueden tardar horas o incluso días de descanso el trabajo que tiene que hacer. Cada año el número de personas que caen presa de ataques simples aumenta, a pesar de las muchas advertencias que se emiten. El número de personas que se enumeran a todo tipo de información sobre sí mismos, sus familias y sus vidas en Internet es increíble. La combinación de un perfil construido a partir de su uso de las redes sociales, lo que se encuentra en otro lugar en la web, y el uso de las herramientas discutidas posteriormente, un ingeniero social puede delinear toda la vida de una persona.

Una de las razones de que esto funciona tan bien es cierto que muchas personas eligieron sus contraseñas. Se ha demostrado que mucha gente va a utilizar la misma contraseña una y otra vez. Lo que es peor es que muchas personas eligen contraseñas que puedan ser fácilmente adivinadas con poca o ninguna habilidad.

Recientemente, BitDefender, una firma de seguridad en Internet, realizó un estudio que demostró este hecho. BitDefender analizó el uso de la contraseña de más de 250.000 usuarios. Los resultados fueron sorprendentes: el 75% de los 250.000 utiliza la misma contraseña para el correo electrónico, así como todas las cuentas de redes sociales. Esto debe ser especialmente aterrador teniendo en cuenta la reciente historia de cómo 171 millones de usuarios de Facebook tuvieron su información personal liberado en un torrente. La historia completa se puede encontrar en www.securityweek.com/study-reveals-75-percentindividuos de usar-misma-password-sociales-redes-y-mail . En 2009 un hacker con el sobrenombre de Tonu a cabo un poco de investigación muy interesante. Sin intención maliciosa obtuvo un caído recientemente URL de un sitio de medios sociales populares. Él falsa a la página, a continuación, durante un breve período de tiempo registra los intentos de personas tratando de acceder.

Tú

puede

ver

la

resultados

a www.social-

engineer.org/wiki/archives/BlogPosts/MenAndWomenPasswords.html . Algunos de estos datos, sorprenderá incluso a los profesionales de la seguridad más experimentados. Fuera de 734.000 personas, 30.000 utilizaron su nombre como contraseña y casi 14.500 utilizaron su apellido. Aunque estos números son impactantes lo que se encontró al lado era exorbitante-los ocho mejores contraseñas más utilizadas se resumen en la siguiente tabla.

Contraseña Género Número de usuarios

123456 M

17601

contraseña M

4545

12345

METRO

3480

1234

METRO

2911

123

METRO

2492

123456789 M

2225

123456

F

1885

QWERTY

METRO

1883

17.601 varones utilizan la contraseña 123456? asombrosas estadísticas. Si esto no es lo suficientemente impactante, Tonu publicado estadísticas que más del 66% de los usuarios de esa lista utiliza contraseñas que eran seis a ocho caracteres de longitud. Con la información que la mayoría de las personas tienen contraseñas simples, utilizando una

populares herramientas para descifrar contraseñas, como Caín y Abel se muestra en la Figura 7-27 , Para descifrar una contraseña simple no es razonable que un ingeniero social que debe hacer. Usted notará que el cuadro Izquierda Tiempo dice 3.03909 días. Para la mayoría de los piratas informáticos, tres días es poco tiempo para esperar a tener acceso claro a los servidores. Es de tres días realmente todo ese tiempo para esperar a que la contraseña de administrador?

Para que esta información sea realmente dio en el blanco, mira Figura 7-28 , cual

muestra la diferencia hecho si el mismo usuario fuera a usar una contraseña 14-16 de caracteres que contiene mayúsculas y minúsculas, así como caracteres no alfanuméricos.

Figura 7-27: Sólo tres días para descifrar una contraseña simple.

Figura 7-28: El cuadro de la izquierda El tiempo ha aumentado a billones de años.

Hace más de 5 billones de años parecen un poco de tiempo para esperar? Con sólo el aumento de los caracteres a 14 y el uso de algunos caracteres no básicos (es decir, *, y, $,%, y ^) las probabilidades de que un hacker obtener la contraseña a través de la fuerza bruta convertido en casi imposible. Debido a que muchos usuarios no utilizan este nivel de complejidad, la identificación de la debilidad de las contraseñas de muchos usuarios no es difícil. Algunas de las herramientas (un par de los cuales se describen en la siguiente sección) ayudan contraseñas posibles perfil de un usuario puede haber elegido.

Común contraseña de usuario de perfiles (CUPP) El perfil de una persona es uno de los principales aspectos de una auditoría de la ingeniería social exitosa. Como se comentó anteriormente, la investigación de Tonu muestra que de 734.000 personas, más de 228.000 de ellos usaron sólo seis caracteres en sus contraseñas. Más de 17.000 de los que optaron por utilizar la contraseña de “123456” y cerca de 4600 eligieron la palabra “contraseña” como su contraseña. Usuario Contraseña común Profiler (CUPP) es una herramienta que fue creada para hacer una tarea fácil perfilar contraseña.

Murgis Kurgan, también conocido como j0rgan, creó esta pequeña herramienta increíble. Se ejecuta como un script en la distribución líder en pruebas de penetración, BackTrack, o se puede descargar desde www.social-engineer.org/cupps.tar.gz . La forma más común de autenticación es la combinación de un nombre de usuario y una contraseña o frase de contraseña. Si ambos coinciden con los valores almacenados en una tabla almacenada localmente, el usuario se autentica para una conexión. Seguridad de la contraseña es una medida de la dificultad de adivinar o romper la contraseña a través de técnicas criptográficas o pruebas automatizado basado en la biblioteca de valores alternativos.

Una contraseña débil puede ser muy corto o utilice solamente caracteres alfanuméricos, por lo que el descifrado simple. Una contraseña débil también puede ser una que sea fácil de adivinar por alguien de perfiles de usuario, como un cumpleaños, apodo, dirección, nombre de un animal doméstico o familiar, o una palabra común, como Dios, el amor, el dinero, o la contraseña. Debido a que la mayoría de los usuarios tienen contraseñas débiles que pueden ser fácil de adivinar, CUPP es una herramienta perfecta para la creación de perfiles. Puede ser utilizado para las pruebas de penetración legales o investigaciones forenses del crimen.

El siguiente es un copiar / pegar de una sesión utilizando CUPP en BackTrack 4:

root @ bt4: / pentest / contraseñas / cupp # ./cupp.py -i

[+] Inserte la información sobre la víctima para hacer un diccionario [casos de baja!] [+] Si usted no sabe toda la información, simplemente pulse Enter cuando se le preguntó! ;)

> Nombre: John > Apellido: Smith > Apodo: Johnny > Fecha de nacimiento (DDMMAAAA; es decir, 04111985): 03031965 > Nombre (del marido) de la esposa Sally > sobrenombre (del marido) de la esposa: Isa > de la esposa (del marido) Fecha de nacimiento (DDMMAAAA; es decir, 04111985): 05011966 > Nombre del niño: Roger > El apodo de niño: Roggie > fecha de nacimiento (DDMMAAAA; es decir, 04111985) del niño: 05042004

> nombre de su mascota: Max > Nombre de empresa: Papel ABC > ¿Quieres añadir algunas palabras clave de la víctima? Y / [N]: Y > Por favor, introduzca las palabras separadas por comas. [Es decir, hacker, jugo, negro]: cristiano, esmalte, persona de las ventas > ¿Quieres añadir caracteres especiales al final de las palabras? Y / [N]: N >

¿Quieres añadir un poco de números aleatorios al final de las palabras? Y / [N] n

> Modo de Leet? (Es decir, leet = 1,337) Y / [N]: Y [+]

Haciendo ahora un diccionario ... [+] Lista de clasificación y eliminación de duplicados ...

[+] Almacenamiento de diccionario para John.txt, contando 13672 palabras. [+] Ahora carga el pistolero con John.txt y dispara! ¡Buena suerte! Nótese que al final de un archivo de diccionario de 13.672 contraseñas usando la información proporcionada fue creado. El poder de este tipo de herramientas es que puede tomar una gran cantidad de las conjeturas de los aspectos adivinar la contraseña de la ingeniería social.

CEWL Como se ha descrito por sus autores, CEWL es una aplicación Ruby que las arañas de un URL dado a una profundidad especificada, opcionalmente siguiente enlaces externos, y devuelve una lista de palabras que se pueden usar entonces para galletas de la contraseña como John the Ripper. Para obtener más información acerca de CEWL visitar su página web

www.digininja.org/projects/cewl.php . Echar un vistazo a una sesión utilizando CEWL en BackTrack4: root @ bt: / pentest / contraseñas / CEWL # rubí cewl.rb

- - ayuda CEWL 3.0 Robin Wood ([email protected]) (www.digininja.org) Uso: CEWL [OPCIÓN] ... URL --help, -h: mostrar ayuda --depth x, -dx: profundidad de araña para, por defecto 2 --min_word_length, -m: longitud mínima palabra, por defecto 3 - fuera del sitio, -o: dejar que el visita araña otros sitios --write, archivos -w: escribir el resultado en el archivo --ua, el usuario -u

agente: agente de usuario para enviar --no-palabras, -n: no dan salida a la --meta lista de palabras, archivos -a: incluir metadatos, --email archivo de salida opcional, -e archivo: incluir direcciones de correo electrónico,

archivo de salida opcional --meta-temp-dir directorio: el directorio, por defecto temporal / tmp -v: URL detallado: El sitio de araña. root @ bt: / pentest / contraseñas / CEWL # ./cewl.rb -d 1 -w pass.txt http://www.targetcompany.com/about.php

root @ bt: / pentest / contraseñas / CEWL # cat passwords.txt | wc -l 430 root @ bt: / pentest / contraseñas / CEWL #

Usando CEWL contra una empresa, esta sesión generó 430 contraseñas posibles para tratar de una sola página en su presencia en la web. CUPP y CEWL son sólo dos herramientas a su disposición para ayudar perfil y generar listas de contraseñas posibles. Un ejercicio interesante es ejecutar una de estas herramientas utilizando su propia información y ver si hay algún contraseñas que utiliza se encuentran en las listas generadas. Puede ser muy aleccionador y hacer que desea tomar la seguridad de contraseñas muy en serio.

Resumen

Las herramientas son un aspecto importante de la ingeniería social, pero no hacen que el ingeniero social. Una herramienta solo es inútil, pero el conocimiento de la forma de aprovechar y utilizar esa herramienta es muy valiosa.

Si un tema abrumador en este capítulo resuena, es que la práctica hace al maestro. Ya sea que esté utilizando el teléfono, herramientas basadas en software, la web, u otros aparatos de espionaje, practicando cómo utilizarlos es esencial para el éxito. Por ejemplo, cuando se utiliza el teléfono para la ingeniería social, puede utilizar las tecnologías de suplantación de identidad o tecnologías, incluso de voz cambiante, y al mismo tiempo teniendo toda esta gran tecnología es increíble, si usted hace una llamada y suenan demasiado con guión, nervioso y nervioso, o sin preparación y unknowledgeable, a continuación, toda la esperanza para el éxito de ingeniería social se pierde y lo más probable ninguna credibilidad, también. Este principio se remonta a ser muy versado en pretextos. ¿Cómo la persona que está tratando de hacerse pasar por hablar? ¿Qué le diría? ¿Cómo iba a decirlo? ¿Qué conocimiento tendría que poseer? ¿Qué información le pedir?

Si el ingeniero social utiliza una herramienta de software, herramienta de hardware, o ambos, tomando el tiempo para aprender los entresijos de cada herramienta y cada característica se puede hacer o romper el éxito de la auditoría. Las herramientas pueden tomar un tiempo considerable fuera de auditorías y también pueden llenar los vacíos de deficiencia de un auditor puede tener. Esta dinámica se hace evidente a medida que analiza los estudios de caso en el capítulo 8.

Capítulo 8

Estudios de caso: La disección del ingeniero social

La mejor seguridad es a través de la educación.

- Mati Aharoni A lo largo de este libro voy a través de cada aspecto de lo que hace un gran ingeniero social. Poner la información en estas páginas en juego puede hacer que un ingeniero social en una fuerza a tener en cuenta. En la escuela, los estudiantes revisan la historia para aprender lo que debe o no se debe hacer. La historia es una gran herramienta para educar sobre qué cosas han funcionado en el pasado y por qué. Se nos puede decir dónde vamos y cómo podemos llegar allí.

historia de la ingeniería social no es tan diferente. A lo largo de la historia de los negocios, la gente ha estado allí para estafar y robar. La gente ha dedicado su vida a ayudar seguro contra esas fuerzas malas. La discusión de los aspectos de los ataques de ingeniería social profesional es a menudo difícil debido a que se realizaron ya sea ilegal o no se pueden discutir abiertamente debido a contratos de clientes. Afortunadamente, Kevin Mitnick-famoso ingeniero social y la seguridad del equipo de expertos ha publicado muchas de sus historias para nuestro placer de la lectura. He tomado algunas de estas historias de su libro El arte del engaño. En este capítulo se tomo dos de las historias más famosas de Mitnick de sus libros y darles un breve resumen de lo que hizo Kevin, analizar qué aspectos de la ingeniería social que utilizan y discutir lo que todo el mundo puede aprender de ella.

Después de la disección de esas dos cuentas hago lo mismo con dos de mis propias cuentas que demuestran la facilidad con que se puede obtener información y la facilidad con que se puede utilizar la información para comprometer toda una empresa. Por último, voy a revelar dos historias “alto secreto”, cuyas fuentes I

no puede ni siquiera hablar, pero como se verá, usted va a aprender mucho de estas cuentas. Lo que yo estoy con el objetivo de lograr es que le muestre cómo peligrosos incluso pequeños trozos de información pueden ser, y lo devastador que puede estar en manos de un experto ingeniero social. Al mismo tiempo, se verá que un ingeniero social puede aprender de los éxitos y fracasos del pasado para mejorar su propio conjunto de habilidades. Vamos a empezar con el primer estudio de caso.

Mitnick Estudio de Caso 1: El cortar el DMV

Kevin Mitnick es ampliamente conocido como uno de los ingenieros sociales más notorios del mundo. Se ha presentado algunas de las hazañas más audaces y más famosos en el mundo y el exploit examinado aquí es especialmente así. Una licencia de conducir a menudo puede ser útil para la obtención de información sobre las personas. Tiene el número de la licencia de conducir del objetivo puede permitir que un ingeniero social para obtener todo tipo de información personal. Sin embargo, no existen servicios gratuitos que permiten a una persona para obtener acceso a esta información personal. Un ingeniero social o investigador privado deben pasar por algunas longitudes para poder obtener y luego utilizar esta información en un objetivo.

Kevin Mitnick, en su libro El arte del engaño, tiene una historia que él llama “The Sting inversa.” Las siguientes secciones proporcionan información de antecedentes y análisis de esta cuenta.

El objetivo En una de las historias más grandes Mitnick, que analiza cómo “Eric” quería usar el Departamento no pública de Vehículos Motorizados (DMV) y de policía para obtener los números de licencia de conducir de las personas. Él regularidad necesaria para obtener la información de licencia en los objetivos. Eric tenía un método para obtener esta información, pero temía repite llamadas de ingeniería social haría llamar al DMV inútil o alertar a la policía a sus caminos.

Se necesita un método diferente para acceder a la red del DMV y con un poco de conocimiento de la forma en que funciona el DMV sabía cómo hacerlo. Su

objetivo doble: no sólo era el DMV, sino también la policía le ayudaría (por supuesto, sin saberlo) en el cumplimiento de su objetivo de obtener esta información.

La historia

Eric sabía que el DMV podría dar información privilegiada a las agencias de seguros, los investigadores privados (IP), y algunos otros grupos. Cada industria tiene acceso sólo a ciertos tipos de datos. Una compañía de seguros tiene conocimiento de información diferente a un IP, mientras que un agente de policía puede hacer de todo. El objetivo de Eric era para obtener toda la información.

La obtención de un número de teléfono no publicado DMV

Eric dio unos pasos que realmente demostraron sus excelentes habilidades de ingeniería social. En primer lugar se llama información telefónica y le pidió el número de teléfono de la sede del DMV. Por supuesto, el número que se le dio fue para el público y lo que quería era algo que lo vuelven más profundos.

Luego llamó a la oficina del sheriff local y pidió teletipo, que es la oficina donde las comunicaciones se envían desde y recibidas por otros cuerpos de seguridad. Cuando llegó al departamento de teletipo, le preguntó a la persona por el número que la policía usaría al llamar a la oficina central del DMV. Ahora bien, no sé ustedes, pero que parece que sería un fracaso. Es casi lo hizo:

“¿Quién eres tú?”, Le preguntó Tenía que pensar con rapidez y respondió, “Este es Al. Estaba llamando 503-555-

5753.” Todo lo que hizo fue dar un número aleatorio con el mismo código de área y el número base y formado por los últimos cuatro dígitos. Luego que se calle. El oficial hizo algunas suposiciones:

Él era interno y ya tenía el número de un área no pública (teletipo).

Tenía casi todo el número para el DMV. Con estos dos hechos firmemente en la mente del oficial asumió que Eric se le permitió y le dio el número. Eric quería más de un número, sin embargo; deseaba tanto como él podría tener en sus manos. El logro de este objetivo requeriría una aún más profunda Hack-a varios niveles, el ataque de múltiples facetas, con muchas vías diferentes. Sería de proporciones épicas.

El acceso a sistema de teléfono del Estado Eric llamó al número que se le dio a entrar en el DMV. Él le dijo al representante del DMV que era de Nortel y necesitaba hablar con un técnico porque trabajó con el DMS-100, un interruptor muy usado. Cuando estaba con el técnico se ha hecho pasar con el centro de asistencia técnica de Texas Nortel y explicó que estaba actualizando todos los interruptores. Se llevaría a cabo de forma remota y el técnico no tendría que hacer nada más que proporcionar el número de marcación de entrada al interruptor de modo Eric podía realizar las actualizaciones directamente desde el centro de asistencia técnica. Esta historia sonaba completamente creíble, por lo que el técnico accedió, dando Eric toda la información que solicitó. Armado con esta información que ahora podía marcar directamente en uno de los conmutadores telefónicos del estado.

Conseguir una contraseña El siguiente obstáculo fue uno que podría haber dejado todo este truco muertos en sus pistas contraseñas-que consigue. El Nortel interruptores que el DMV utiliza estaban protegidos contraseña. A partir de la experiencia pasada en el uso de Nortel Conmutadores Eric sabía que Nortel utiliza una cuenta de usuario por defecto, NTAS. Eric y marcó en varias veces tratando las contraseñas estándar que ha encontrado: NTAS quebrar Cuenta Nombre quebrar ayudante de falla del parche de falla

Update-ÉXITO

¿Wow en serio? La contraseña era actualizar. Ahora tenía un control total sobre el interruptor y todas las líneas conectadas a él. Se cuestionó las líneas telefónicas que eran su objetivo. Rápidamente se descubrió que 19 líneas telefónicas fueron al mismo departamento. Después de comprobar algunos de la configuración interna del interruptor se dio cuenta de que el interruptor se programó para buscar a través de las líneas 19 hasta que encuentra uno que no estaba ocupado. Tomó la línea 18 y entró en el código de desvío estándar que añade un comando de desvío de llamadas a la línea telefónica. Eric compró un teléfono barato, pre-pago de células que podrían ser eliminados fácilmente. Entró en ese número como el número de remitir a cuando se tocó la línea 18. Básicamente, tan pronto como el DMV tiene suficiente gente para tener gente en 17 líneas, la llamada sería 18a no suena al DMV, pero al teléfono celular de Eric.

No era demasiado tiempo hasta que comenzó a suceder. Alrededor de las 8:00 am de la mañana siguiente, el teléfono celular comenzó a sonar. Cada vez, era un oficial de policía en busca de información sobre una persona de interés. Él llamadas de campo de la policía en su casa, en el almuerzo, en el coche, no importa donde se hizo pasar por el representante del DMV.

Lo que me hizo personalmente tengo una buena risa era cómo se informa de las llamadas como ir:

El teléfono sonaría y Eric diría, “DMV, puedo ayudarle?” “Este es el detective Andrew Cole.” “Hola detective, ¿qué puedo hacer por usted hoy?” “Necesito un Soundex en su licencia de conductor 005602789.”

“Claro, déjame abrir el registro.” Mientras que simula trabajo en un ordenador, preguntó un par de preguntas: “¿detective Cole, ¿cuál es su agencia” “Condado de Jefferson.” Eric lanzaría entonces las siguientes preguntas: “¿Cuál es su código solicitante?” “¿Cuál es el número de licencia de conducir” “¿Cuál es su fecha de nacimiento?”?

Como el oficial le daría toda su información personal, Eric sería pretender ser la verificación de todo. Entonces él fingiría confirmación y pedir lo que necesitaba detalla en su llamada. Él sería pretender buscar el nombre y otra información luego decir, “Mi computadora apenas bajó de nuevo. Lo sentimos, detective,

mi equipo ha estado en un abrir y cerrar toda la semana. ¿Le importaría volver a llamar y conseguir otro empleado para ayudarle?”

Esto sería un poco irritante, estoy seguro, para el oficial, pero sería atar todos los cabos sueltos. Mientras tanto, Eric ahora propiedad de la identidad de ese oficial. Se podría utilizar esta información para muchas cosas, pero sobre todo para obtener información del DMV cada vez que necesitaba. Hizo su información DMV reunir durante unas horas y luego llamados de nuevo en el interruptor y el desvío de llamadas con discapacidad; ahora tenía una lista jugosa de la información en su poder. Durante meses después de este corte, Eric fácilmente podría marcar de nuevo, que el interruptor de transferencia de llamadas, recoger una serie de datos de información oficial, desactivar el desvío de llamadas, y luego utilizar esas credenciales de policía para obtener licencias de conducir válidas que iba a vender a los investigadores privados o otros que no le pediría cómo obtuvo esta información.

La aplicación del marco SE al DMV Hack En la historia, Kevin identificó algunas cosas que Eric hizo y actitudes que había que lo hicieron con éxito, tales como no tener miedo o incómodo hablando con la policía y ser capaz de encontrar su camino alrededor de las áreas desconocidas.

También puede identificar qué parte del marco de la ingeniería social Eric usa y cómo lo usó. Por ejemplo, el primer paso para el éxito de cualquier auditoría de ingeniería social o ataque es la recopilación de información. En esta cuenta se puede ver que Eric debe haber realmente hecho su tarea antes del ataque. Él sabía mucho sobre el sistema telefónico, la forma en que el DMV opera, y el funcionamiento general del proceso que quería infiltrarse. No estoy seguro de cuánto tiempo hace que se produjo este ataque, pero hoy en día haciendo un ataque como es aún más fácil debido a la Internet. Es una mina de oro para la recopilación de información. Hace sólo un par de años alguien se dio un corte para un cajero automático de Tranax, y dentro de unas semanas estaban disponibles los manuales que contienen los procesos paso a paso de cómo llevar a cabo el ataque en Internet.

Además, como se mencionó anteriormente en este libro, la elección de un pretexto que imita lo que haces en la vida real o cosas que hizo en el pasado puede aumentar su

posibilidad de éxito. El poder reside en el hecho de que debido a que el pretexto es más “realista” para que lo ayuda a recopilar información, así como el incumplimiento del objetivo. Eric parecía tener un conocimiento muy íntimo de este campo.

Como se recordará, la siguiente parte del marco es el desencadenamiento, o ser capaz de diseñar inteligentemente preguntas para obtener información o acceso a algo que desea. Eric obtuvo información con maestría. Cuando en el teléfono con la policía, el uso de Eric de elicitación sirvió como prueba de que era quien decía que era y sabía que su “trabajo” también. Él conocía la jerga y las preguntas de rutina que tenían que ser respondidas. Como cuestión de hecho, no hacer esas preguntas probablemente habría causado más de una alarma que preguntándoles. Ese es el poder de una buena táctica de elicitación. Al principio de Eric sabía que tenía que obtener ciertos números de teléfono para realizar el ataque. En lugar de tratar de explicar por qué necesitaba cierta información, se utilizó una estrecha assumptive como se mencionó en el capítulo 3, e hizo preguntas que, básicamente, declaró: “Merezco estas respuestas ahora, así que dime lo que estoy pidiendo.” Este es otro ejemplo de poderosa provocación; se puede aprender mucho de analizar sus métodos de cerca. La mayoría de los ataques buenas también incluyen una cantidad muy alta de pretextos. Esta cuenta no fue la excepción. Eric tuvo que desarrollar unos pretextos en este tipo de ataque. Tuvo que cambiar de marcha muchas veces para lograr sus objetivos. Tan impresionante como es que Eric tuvo que hacerse pasar por aplicación de la ley (que lo hizo muy bien), tener en cuenta que esta práctica es altamente ilegal en los Estados Unidos. Se puede aprender mucho de los procesos y métodos de Eric utilizado, pero tenga cuidado de cómo se las aplica. Incluso en una auditoría de la ingeniería social pagada, hacerse pasar por un agente de la ley es ilegal.

Conoce tus leyes locales-que es la lección o no tenga miedo de ser atrapado. A pesar de que es ilegal, se puede aprender mucho de analizar la actitud de Eric en este corte. Siempre se recogió. Cuando se puso el pretexto de que el agente del DMV fue capaz de utilizar elicitación que sirvió de prueba. Cuando se puso el pretexto de la policía, su porte, voz y frases todas las copias de seguridad con el pretexto. Cambiar de marcha puede ser difícil para muchas personas, por lo que es mejor para practicar antes de ir “en vivo” con esto. pretextos de Eric eran sólidos y él hizo un trabajo magistral en la que los unía, sobre todo cuando tenía que actuar como un agente de DMV y llamadas de campo reales

de la policía. En muchas circunstancias podría haber caído fácilmente fuera de lugar pero parecía mantenerlo unido bastante bien. Muchas de las técnicas utilizadas para los aspectos psicológicos de la ingeniería social, tales como las señales de los ojos y microexpresiones, no se utilizaron en este ataque, ya que se presentó principalmente a través del teléfono. Eric tuvo que utilizar ciertos aspectos del marco, sin embargo, como el establecimiento de una relación, la PNL (programación neurolingüística), y los modos de pensar.

Eric parecía ser un natural en la construcción de relaciones. Él era agradable y relajado, parecía no tener miedo a la “qué pasaría si”, y pudo ser y actuar con confianza en sus habilidades. Se planteó su voz y su conversación de una manera que le dio a la persona en el otro extremo del teléfono toda la razón para confiar en él y no hay razón para no creerle.

Eric utiliza impresionantes de interrogatorio y entrevistas tácticas, incluso usarlos en agentes de la ley que tienen experiencia en las tácticas de la entrevista. Se utiliza esas tácticas con tanto éxito que le fue detectado en sus métodos y obtener toda la información que quería. Eric también parecía tener un excelente dominio de y habilidad para usar tácticas de influencia. Probablemente uno de los más destacados en el ataque fue cuando le preguntó al oficial de policía que volver a llamar para obtener un agente del DMV diferente. Esto fue probablemente molesto para el oficial, pero lo que hizo la exitosa táctica es que Eric “dio” el algo oficina primero. Es decir, se “verifica” los datos que el agente sea necesario y cuando se supone que debe dar el oficial de la última pieza de información es cuando la congeló “ordenador”. La aplicación de algunas reglas de influencia Eric era fácilmente capaz de conseguir que los oficiales cumplan.

Estrechamente relacionado con el pretexto de Eric era su capacidad de utilizar enmarcar correctamente. Para refrescar la memoria, enmarcado está en línea con lo que el objetivo con su pensamiento mediante la colocación de sí mismo y sus historias para que sean creíbles. Es una pieza importante del rompecabezas pretexto de que le hace destacar y demostrar al objetivo que sin duda es quien dice ser. pretextos de Eric eran grandes y creíble, pero lo que realmente les vendidos fueron los cuadros que usó. Su cuerpo cambia dependiendo de quién estaba hablando. En un momento que tenía que asegurarse de que el agente en el otro extremo le daría el número teletipo; por otra llamada que tenía que ser un DMV conocimientos y formación

agente.

Eric se hizo creíble el uso de marcos, suponiendo que iba a obtener la información que le preguntó, sin mostrar miedo en sus tratos, y con confianza pidiendo información “sintió” que se le debía. Todas estas actitudes enmarcan el objetivo de aceptar su pretexto y permitir respuestas naturales. Como se puede ver, se puede aprender mucho analizando ataque ingeniero social de Eric. Uno sólo puede suponer que Eric ya sea había practicado todos estos métodos o tenían unos simulacros para saber todo lo que hizo acerca de los sistemas internos utilizados en el ataque.

métodos de Eric trabajaron para él y tuvieron éxito, pero me habría tomado un par de precauciones adicionales. Por ejemplo: Cuando estaba recibiendo llamadas del DMV, me he asegurado envié el número sólo cuando yo estaba en la “oficina”. Me hubiera establecido un área de oficina con algunos ruidos de fondo de oficina y tenía los suministros adecuados para descolgar toda la información que necesitaba para evitar el riesgo de una camarera o un amigo soplando mi cubierta. A pesar de un teléfono celular desechable es una buena idea a efectos de rastreo, otra técnica es tener ese número hacia adelante a un número de Google Voice o Skype. No tienden a confiar en las señales celulares, y nada podría haber arruinado el concierto más rápido que tener la caída de llamada o tener una señal débil, lleno de estática. Además de estos elementos no se puede mejorar mucho en este truco. Eric hizo un trabajo excelente en asegurarse de que se hizo bien mediante el uso de muchos de los talentos y habilidades en el marco de lograr su objetivo.

Mitnick Estudio de Caso 2: El cortar la Administración de Seguridad Social Mitnick menciona a un hombre llamado Keith Carter, un investigador menos que honorable privado contratado para hacer algo de investigación en un hombre que se ocultaba fondos de su esposa pronto-a-ser-distanciado. Ella había financiado su aventura, que se había convertido en una empresa multimillonaria. El divorcio era casi resuelta, pero los abogados de la mujer necesita para encontrar los “activos ocultos”. Este tipo de ataque es interesante porque, como en la primera

estudio de caso, la historia sigue un método muy sombrío de la recolección de inteligencia.

El objetivo El objetivo era encontrar los activos del marido, “Joe Johnson,” pero ese no era el objetivo utilizado para el ataque real ingeniería social. Para obtener información acerca de Joe, el investigador privado, Keith, tuvo que cortar la Administración de Seguridad Social (SSA). Muchas veces en una auditoría de la ingeniería social esta opción se presentará. Esta sección cubre algunos de los métodos que utilizó para lograr este objetivo, pero basta con decir que la piratería de la SSA es una pendiente muy resbaladiza. A medida que se desarrolla la historia verá la peligrosidad de este corte en particular.

La historia

Joe Johnson estaba casado con una mujer muy rica. Había utilizado a sabiendas decenas de miles de sus dólares para invertir en una de sus ideas. Esa idea se convirtió en una organización multimillonaria. A medida que pasan las cosas, su matrimonio no era demasiado sólida, por lo que decidieron divorciarse. Durante el proceso de divorcio, que pronto será ex-señora. Johnson “sabía” que estaba ocultando su dinero, tratando de mantenerlo fuera del acuerdo de divorcio.

Ella contrató a Keith, el investigador privado que era un tipo menos-que-ética que no le importaba viajar en el borde de lo que es legal y lo que no fue para obtener la información que necesitaba para hacer el caso. Como Keith se sentó a analizar el caso determinó que un buen punto de partida fue la Administración de la Seguridad Social. El pensó que si podía obtener los registros de Joe iba a ser capaz de encontrar algunas discrepancias y luego clavar su ataúd cerrado. El quería ser capaz de llamar libremente bancos de Joe, empresas de inversión, y en el mar representa pretextos como Joe. Para ello necesitaba un poco de información detallada, que es lo que le llevó a la senda de la piratería de la oficina de la Seguridad Social.

Keith comenzó con la recopilación de información básica. Él se puso en línea y encontró una guía que describe los sistemas internos de la SSA y su terminología y la jerga interna. Después de estudiar eso y tener la jerga al dedillo que llamó el

número público local de la oficina de la Seguridad Social. Cuando llegó una persona viva pidió ser conectado a la oficina de reclamaciones. La conversación fue así: “Hola, esto es Gregory Adams, Oficina del Distrito 329. Escucha, estoy tratando de llegar a un ajustador de reclamos que maneja un número de cuenta que termina en 6363 y el número que tengo va a una máquina de fax.”

“Oh, eso es Mod 3, el número es ...” De Verdad? ¿Así de fácil? Guau. Dentro de unos instantes se obtiene el número de los teléfonos de oficina internos que el público normalmente no se puede conseguir. Ahora viene la parte difícil.

Él tiene que llamar Mod 3, cambiar su pretexto, y obtener información útil sobre Joe. Jueves por la mañana, vuelve y parece que Keith tiene su plan bien diseñado. Se coge el teléfono y marca el número de la MOD 3: “Mod 3. Este es mayo Linn Wang.”

"Sra. Wang, esto es Arthur Arondale, en la Oficina del Inspector General. ¿Te puedo llamar 'puede'?” “Se trata de 'mayo Linn',” dice ella. “Bueno, la cosa es así, mayo Linn. Tenemos un nuevo tipo que no tenga un ordenador, sin embargo, y en este momento tiene un proyecto prioritario para hacerlo él está usando la mía. Somos el gobierno de los Estados Unidos, por el amor de Dios, y dicen que no tienen suficiente dinero en el presupuesto para comprar un ordenador de este tipo a utilizar. Y ahora mi jefe piensa Estoy quedando atrás y no quiere escuchar ninguna excusa, sabes?”

“Sé lo que quieres decir, está bien.” “¿Me puede ayudar con una consulta rápida en MCS?”, Preguntó, usando el nombre del sistema informático para buscar información sobre los contribuyentes.

"¿Claro que necesitas?"

“Lo primero que necesito que hagas es un ALPHADENT sobre Joseph Johnson, DOB 07/04/69.” ( Alph significa tener la búsqueda electrónica de una cuenta alfabéticamente por el nombre del contribuyente, más identificado por fecha de nacimiento).

"¿Qué necesitas saber?" “¿Cuál es su número de cuenta?” Keith pide (esto es el número de la Seguridad Social de Joe que está pidiendo).

La leyó fuera. “Está bien, necesito que hagas un numident en ese número de cuenta.” ( Numident es similar a ALPHADENT, sólo que es una búsqueda numérica en lugar de uno alfabético.) Esta fue una petición para que ella lee los datos básicos de los contribuyentes, y mayo Linn respondió dando lugar del contribuyente de nacimiento, nombre de soltera de la madre, y el nombre del padre . Keith escuchó pacientemente mientras ella también le dio el mes y el año el número de la Seguridad Social de Joe fue emitida, y la oficina del distrito que fue emitida por. Keith siguiente pidió un DEQY (pronunciado “CUBIERTA-wee”, es la abreviatura de “consulta de ganancias detalladas.”)

“Para qué año?” “Año 2001.”

Mayo Linn dijo: “La cantidad fue de $ 190,286, y el pagador era Johnson MicroTech.” “Cualquier otro salarios?” “No.” “Gracias”, dijo Keith. “Usted ha sido muy amable.” Keith luego trató de organizar a llamarla cada vez que necesitaba información y “no se pudo llegar a su computadora”, usando un truco favorito de los ingenieros sociales de siempre tratando de establecer una conexión para que pueda seguir yendo a la misma persona, evitando la molestia de tener que encontrar una nueva marca cada vez. “No la próxima semana,” le dijo ella, porque ella iba a Kentucky para la boda de su hermana. En cualquier otro momento, ella haría todo lo que pudiera. En este punto, parecía que el juego. Keith tenía toda la información que se dispuso a obtener y ahora era sólo una cuestión de llamar a los bancos y cuentas en el extranjero, que, armados con la información que tenía, se había convertido en una tarea mucho más fácil. Un bien ejecutada y verdaderamente impresionante ataque.

La aplicación del marco SE a la SSA Hack El ataque SSA se acaba de describir sale de su entreabierta boca y los ojos muy abiertos. Usted puede aprender mucho de este ataque en particular, que utiliza lo social

sistema de ingeniería. Keith comenzó el ataque con la recopilación de información. Usted probablemente está muy cansado de oírme decir esto una y otra vez, pero tener la información es realmente el quid de todo buen ataque por el ingeniero social más tenga, mejor. Keith encontró por primera vez una pieza verdaderamente sorprendente de Intel en la Web, que dumbfoundingly

suficiente,

es

todavía

en línea

a

https://secure.ssa.gov/apps10/poms.nsf/ . Este enlace le dirige a un manual en línea para operaciones de un programa de la Administración de Seguridad Social. Contiene abreviaturas,

jerga, y

instrucciones, así como lo que los empleados de la SSA se les permite decir a la policía. Armado con esta información, Keith sabía qué preguntar, cómo preguntar y cómo suena como que pertenecía, así como qué información sería una señal de alerta. Aunque el enlace proporcionado una gran cantidad de información, se decidió llevar a su recopilación de información un paso más con el pretexto de un empleado de oficina del Inspector General y llamar a su oficina local de la SSA. Que realmente pensaba el borde del área, mediante el uso de su oficina local para obtener los números internos necesarios para completar su pretexto como empleado interno. Keith cambió pretextos un par de veces y lo hizo con maestría. Él fue capaz de obtener mucha de la información que necesitaba utilizando el manual de la SSA en línea para desarrollar las preguntas correctas. Este manual resultó ser el sueño de un desarrollador de elicitación. Armado con las palabras y el lenguaje adecuados, que sonaba como si encajar perfectamente. Él construyó una buena relación y un marco que alimenta los pretextos perfectamente. compenetración edificio no es una tarea fácil, pero Keith hizo bien y de una manera que indicaba que estaba bien practica en esta técnica. Utilizó muchas tácticas de influencia para asegurarse de que el objetivo se sentía cómodo ya gusto. Por ejemplo, mezcló obligación y la reciprocidad ingeniosamente. Cuando él fue capaz de llegar mayo Linn de su lado con la descripción de la falta de buenas herramientas y la falta de apoyo de su gestión, se sintió obligado a ayudar a él. También usó palabras clave y frases que comandaban la empatía y sin embargo, mostró su autoridad, tales como “mi jefe no está contento conmigo”, lo que da una indicación de que él está en problemas y que el empleado de la SSA, mayo Linn, lo puede salvar. La gente tiene la obligación moral de salvar a aquellos que lo necesitan. No muchos

puede alejarse cuando alguien está pidiendo ayuda, y mayo Linn tampoco podía. Ella se sintió obligado, no sólo para ayudar, pero a decir incluso Keith acerca de su horario personal.

Al final, Keith utiliza una serie de habilidades importantes en el marco que no implican el lugar, la acción personal en persona. El hecho de que los sistemas gubernamentales están dirigidas por personas que sean falibles a los métodos de hacking utilizadas en esta historia. Este no es un argumento a favor de la invención de sistemas robóticos o computarizados para hacer estos trabajos; se limita a señalar el hecho de que muchos de estos sistemas se basan tanto en las personas con exceso de trabajo, mal pagados, estresados ​que la manipulación de ellos no es un trabajo muy duro.

Para ser honesto, la mejora en este ataque en particular es difícil, ya que no es uno que alguna vez realizar mi mismo y Keith hizo un trabajo excelente de la aplicación de los principios del marco. Así que mucha gente está acostumbrada a ser maltratado, abusado, y gritaron a que un poco de bondad puede hacer que se vayan a alturas extraordinarias para ayudar. Este ataque en particular como fue transmitido en Mitnick de El arte del engaño muestra cómo los sistemas vulnerables que dependen de las personas realmente son.

Hadnagy Estudio de Caso 1: El CEO Exceso de confianza

Mi experiencia con un CEO exceso de confianza es interesante porque el CEO pensó que iba a ser impermeable a cualquier intento de ingeniería social por dos razones: En primer lugar, él no utilizó la tecnología tanto en su vida personal, y en segundo lugar, sentía que era demasiado inteligente y protegido para caer en lo que llamó “juegos tontos.” Con eso se dice que su equipo de seguridad interna decidieron pedirme que centrarse en él como el objetivo de la auditoría. Sabían que si lo hacía fallar la auditoría que sería más fácil de obtener la aprobación para poner en práctica muchas de las correcciones que ayudarían a su seguridad.

El objetivo

El objetivo era una empresa de impresión de tamaño decente en los EE.UU. que tenía algunos procesos y proveedores propietarios que algunos de sus competidores buscaban. Los equipos de TI y de seguridad dado cuenta de la compañía tenía algunas debilidades y convenció al director general era necesaria una auditoría. En una reunión telefónica con mi pareja, el director general arrogantemente dijo que sabía que “la piratería le sería casi imposible porque guardaba estos secretos con su vida.” Ni siquiera una parte de su personal de base conocían todos los detalles.

Mi trabajo como auditor de la SE era infiltrarse en la empresa para obtener acceso a uno de los servidores de la empresa, donde se ha celebrado esta información propietaria y recuperarlo. La dificultad, como el CEO había mencionado en el teléfono, era que las contraseñas de los servidores se almacenan en su ordenador y nadie tenía acceso a ella, ni siquiera el personal de seguridad, sin su permiso.

La historia Al parecer, la manera en la tendría que implicar el CEO, el cual presenta un desafío debido a que estaba listo ya la espera de un intento de infiltración. Empecé como lo hice con cualquier trabajo de medio mediante la recopilación de información. He investigado la empresa usando recursos en línea y otras herramientas como Maltego. Yo era capaz de recoger información como la ubicación de los servidores, direcciones IP, direcciones de correo electrónico, números de teléfono, direcciones físicas, servidores de correo, nombres de los empleados y títulos, y mucho más. Por supuesto, he documentado toda esta información de una manera que hace que sea fácil de usar más adelante. La estructura de la dirección de correo era importante porque mientras buscaba el sitio web vi que era [email protected]. No pude localizar dirección de correo electrónico del director general, pero muchos artículos que figuran su nombre (vamos a llamarlo Charles Jones) y el título de su sitio. Esta información sería un estándar, atacante no informada sería capaz de obtener. Utilizando la [email protected] formato, traté de enviar un correo electrónico a él. No funcionó. En realidad estaba decepcionado en este momento, porque estaba seguro de que el método de e-mail produciría una gran cantidad de detalles jugosos.

Decidí probar un apodo para Charles, [email protected].

asique

intentó

Dulce éxito! Tenía una dirección de correo electrónico verificada. Ahora sólo tenía

que comprobar que era del director general y no algún otro tipo con el

mismo nombre.

Pasé más tiempo en Google y Maltego para cosechar la mayor cantidad de información que pude. Maltego tiene esta gran transformación que me permite buscar un dominio para todos los archivos que serían visibles a un motor de búsqueda normal. Me encontré con la transformada de dominio en contra de la compañía y fue recibido con una increíble cantidad de archivos para mi navegación. Maltego no se detiene con sólo proporcionar los nombres de archivo con esta transformación. Muchos archivos contienen metadatos, que es la información acerca de las fechas, los creadores, y otras cositas jugosas sobre el archivo. Ejecución de los metadatos del Maltego transforman me mostró que la mayoría de estos archivos fueron creados por un “Chuck Jones”. Gran parte del contenido de los archivos hablaba de él como el CEO. Esta fue la confirmación que necesitaba, pero durante mi búsqueda de archivos había llamado mi atención-InvoiceApril.xls. Tras la lectura de ese archivo descubrí que era una factura de un banco local para una empresa de marketing Chuck estaba involucrado. Tenía el nombre del banco, la fecha y la cantidad, pero no tienen el caso de que la empresa era una parte de . Hice una búsqueda rápida de la página web del banco, pero debido a que el evento fue seis meses antes, que no figuraba en el sitio. ¿Qué puedo hacer?

Decidí hacer una llamada a la persona de marketing del banco: “Hola, este es Tom de [CompanyName]. Estoy tratando de organizar nuestros libros y veo una factura aquí desde abril por $ 3.500 como un paquete de patrocinio. No veo el caso de nombre puede usted por favor dime lo que la factura fue de?”

“Claro, Tom,” ella dijo y oí algo de ruido de chasquido en el fondo. “Veo que era infantil anual del banco Cancer Fund Drive y que eran parte del paquete de plata.” "Muchas gracias; Soy nuevo aquí y aprecio su ayuda. Te hablo despues." Estaba empezando a ver una foto de un posible medio de ataque que podría utilizar, pero necesitaba más investigación y necesitaba hacer una llamada telefónica muy cuidadosamente planificada. He encontrado un par de artículos en la web sobre esta recaudación de fondos y cuántos

empresas vinieron de toda la comunidad para apoyar con dinero para la investigación del tratamiento del cáncer. Además, más de excavación que hice en el CEO más me enteré de él. Tenía los nombres, sus hermanas de sus padres nombres, fotos de sus hijos que él tiene en Facebook, la iglesia fue a cuando vivía cerca de sus padres, una opinión que escribió de su restaurante favorito, su equipo deportivo favorito, el más antiguo equipo deportivo favorito del hijo y donde asistió a la universidad, donde sus hijos van a la escuela, y la lista sigue y on.I quería averiguar por qué la empresa dona al Fondo de cáncer Infantil. Aunque muchos ingenieros sociales maliciosos explotan emociones de los demás, y me di cuenta de que podría tener que ir por ese camino, así, lo que quería saber si el fondo era algo que estaba involucrado en porque uno de sus hijos tiene cáncer.

“Hola, este es Tom de XYZ. Fui contratado por el First National Bank en la ciudad para llamar a los que tomaron parte en el Fondo de Niños con Cáncer de abril y me preguntaba si podría tomar unos minutos de su tiempo para obtener alguna información?”

“Claro”, Sue, el director de marketing, dijo. “Sue, veo que usted era parte de nuestro paquete de plata en abril. ¿Se sintió la comercialización que recibió la pena el precio que pagó?” “Bueno, esto es algo que hacemos todos los años y lo hace de conseguir una gran cantidad de tiempo de la prensa en el área local. Creo que no me importaría ver un poco más en la página web para el paquete de plata “. "Excelente; Voy a señalar que. Cada año, sí, puedo ver que usted hace esto todos los años. Me pregunto personalmente, con tantos de recaudación de fondos por ahí ¿Por qué eligió este?”

“Sé Chuck siempre ha sido determinada a éste. Él es nuestro CEO y creo que alguien en su familia luchó contra el cáncer “.

"Oh mi; Lamento oír eso. No sus propios hijos se es?”“No, creo que un sobrino o un primo. Nosotros realmente no hablar de ello.”‘Bueno, ciertamente apreciamos sus donaciones y apoyo.’Terminé con un par de preguntas más y luego lo dejé así, dándole las gracias por su tiempo, y nos separaron.

Me dio la información que necesitaba, no era uno de sus hijos que tenían cáncer. Una vez más, sabía que esto no se detendría un ingeniero social malicioso, pero yo estaba muy curioso. Armado con esta información que estaba listo para planear mi ataque del vector. Yo sabía que el director general era originario de Nueva York y su restaurante favorito era un lugar llamado Domingoes. Iba a traer a sus hijos en la frecuencia para un partido de los Mets y luego se iba a ir a comer en Domingoes.

Escribió algunas notas en el lugar y habló de sus tres primeros platos favoritos. Yo sabía que sus padres aún vivían cerca y visitó a menudo de algunas otras cosas que escribió en Facebook. Planeé mi ataque del vector a ser un recaudador de fondos para la investigación del cáncer. Fue por el área tri-estatal y de una pequeña donación nombre de uno sería ingresado en un sorteo. El premio de la rifa sería de dos entradas para un partido de los Mets y una selección de tres cupones de restaurante, uno de los cuales era Domingoes. Yo pretendo ser desde Nueva York a mí mismo, pero relativamente nuevo, en caso de que tiró las cosas en mí que no conocía.

Mi objetivo final sería para él aceptar un PDF de mí que sería codificada maliciosamente a darme una concha reversa y me permitir el acceso a su ordenador. Si no usó una versión de Adobe que me permita el acceso, entonces me gustaría tratar de convencerlo para descargar un archivo zip y ejecutar un archivo EXE cerrado que tendría el archivo malicioso incrustado. Me practicado la conversación telefónica que yo usaría para mi pretexto, he probado mis archivos PDF y EXE, y tuve Google Maps abiertos a la ubicación de Domingoes para poder hablar sobre esa área abierta. Después de tener a mi equipo listo y esperando para recibir la carga maliciosa de la víctima, que estaba listo para realizar la llamada. Coloqué la llamada telefónica alrededor de las 4:00 de la tarde, porque he encontrado a través de la web de la empresa que la oficina cierra a las 04:30 los viernes. Porque no estaba en la llamada reunión inicial para establecer esta auditoría, (mi pareja era), el director general sería no reconoce mi voz.

“Hola, es el Sr. Charles Jones disponible?”

“Claro un segundo.” La voz en el otro extremo sonaba cansada y estaba listo para transferir.

“Hola, habla Chuck.”

“Hola, señor Jones, mi nombre es Tony, del Instituto de Investigación del Cáncer de Estados Unidos. Estamos funcionando con una campaña anual de fondo para apoyar nuestra investigación sobre los cánceres que afectan a hombres, mujeres, y niños “.

“Por favor, llámame Chuck,” interrumpió él. Esta era una buena señal porque él no me dio ninguna excusa o tratar de poner fin a la llamada telefónica diciendo que estaba ocupado; que se encargó de personalizar la conversación. Continué, “Chuck, gracias. Estamos funcionando con una campaña de recaudación para las empresas que apoyaron los fondos de cáncer antes y estamos pidiendo pequeñas donaciones de $ 50- $ 150 dólares. La gran parte es que todos los que nos ayuda a cabo se está entrando en un sorteo de dos grandes premios. Si gana se obtienen dos entradas para un partido de los Mets en Nueva York y luego una cena gratis para dos personas en uno de los tres grandes restaurantes. Estamos dando a cinco de esos paquetes “. “Mets de juego, en realidad?”

“Sé que, si no te gusta los Mets el premio no podría apelar a usted, pero los restaurantes son buenos.” “No, no, amo a los Mets, es por eso que he dicho. Yo era feliz."

“Bueno, piensa en esto: no sólo estás ayudando a cabo un gran fondo de investigación, pero se obtiene un buen juego y se llega a comer en Morton, Basil, o Domingoes.” “Domingoes! ¡De Verdad! Me encanta ese lugar."

“Ha, que es grande. Usted sabe que yo sólo fuimos allí la otra noche por primera vez y tenía su Portabella pollo. Fue impresionante.”Esta fue su tercer plato favorito. “Oh, si usted piensa que es bueno, olvídalo, es necesario tratar la Fra Diablo. Es realmente el mejor plato en ese país. Lo como todo el tiempo." “Voy allí de nuevo el fin de semana, definitivamente probarlo. Gracias por el consejo. Mira, sé que se está haciendo tarde. En este momento ni siquiera estoy en busca de dinero, no tomo el dinero a través del teléfono. Lo que puedo hacer es enviar el PDF; se puede ver en él y si usted está interesado sólo se puede enviar por correo el cheque con la forma “. “Claro que sí, enviarlo de nuevo.”

“Está bien sólo un par de preguntas. ¿Cuál es tu e-mail?" " [email protected]. ”

“Si es posible, abrir su lector de PDF, haga clic en el menú Ayuda y Acerca de, y dígame el número de versión, por favor.”

"Un minuto; es 8,04 “. "Excelente; No quiero que le envíe una versión que no se puede utilizar. Sólo un segundo ya que estamos en el teléfono Voy a enviar esto a usted-Está bien, es enviado “. "Muchas gracias. Espero que gane; Me encanta ese lugar “.

"Lo sé; la comida es buena. Antes te dejo ir, ¿podrías comprobar para ver si recibió el correo electrónico y quiero saber si está funcionando?”

“Claro, estoy cerrar la sesión en unos cinco minutos, pero puedo comprobar. Sí, es aquí.”Cuando oí el sonido de un doble clic, miré en mi equipo BackTrack vi a mi colector de carga maliciosa, Meterpreter (véase el capítulo 7), reaccionando. Yo estaba conteniendo la respiración (porque esta parte nunca se vuelve aburrido) y Bam, apareció la cáscara. Mis guiones Meterpreter cambiar la propiedad a algo así como Explorer.exe. Chuck luego dijo, “Hmm, todo lo que tengo es una pantalla en blanco. No está haciendo nada “.

"¿De Verdad? Eso es extraño. Déjame ver aquí.”Lo que estaba realmente revisando era que tenía acceso a su empuje y la capacidad de cargar una cáscara inversa que funcionaría en el reinicio en caso de que se apague. Le dije: “Lo siento, no sé lo que pasó. ¿Me puede dar un minuto o necesita ir?” “Bueno, tengo que ir a vaciar esta taza de café, así que voy a colgar el teléfono y estar de vuelta en un minuto.”

“Excelente, gracias.” Que hora era todo lo que necesitaba para asegurarse de que yo tenía acceso ilimitado y regresar a su ordenador. Regresó. "Espalda."

“Bueno, Chuck, estoy muy avergonzado, pero no sé lo que pasó. No quiero abrazarte, así que ¿por qué no vas y voy a enviar un correo electrónico a esta cuando te hago otra PDF. Podemos tocar la base Lunes “. "Está bien, no hay problema. Que tengan un buen fin de semana.”‘Usted, también, Chuck.’

Nos separamos y para mi sorpresa y alegría extrema su equipo permaneció en y activa. Sí, se mantuvo todo en una unidad segura que sólo él

tenido acceso a, pero en documentos de Word. He descargado rápidamente esos documentos de Word y dentro de unas horas tuve acceso a los servidores e imprimir todos los procesos internos que quería proteger. Hicimos base de toque en la mañana del lunes, no como Tony la recaudación de fondos, pero como sus asesores de seguridad con las impresiones de sus “secretos”, sus contraseñas, y las grabaciones de las llamadas telefónicas que se hicieron para él y su personal. Este primer encuentro después de un ataque con éxito siempre está lleno de choque inicial del cliente y afirma que se utilizó tácticas desleales y debilidades personales para obtener acceso. Cuando explicamos que los malos van a utilizar las mismas tácticas exactas, el aspecto de la ira se vuelve a temer, y que el miedo se convierte en comprensión.

La aplicación del marco SE para el Exceso de confianza CEO Hack

Al igual que en los ejemplos anteriores, aplicando el caso al sistema de ingeniería social y ver lo que era bueno y lo que podría haber sido mejorado puede ser beneficioso. Como siempre, la recopilación de información es la clave para cualquier esfuerzo de ingeniería social, y esta historia en particular demuestra. La recopilación de información de muchas fuentes-la Web, Maltego, el teléfono, y mucho más, es lo que hizo este ataque exitoso. La falta de información habría dado lugar a un fracaso.

Adecuada y abundante

información hace todo

la diferencia, incluso

información nunca que necesitaba, al igual que su iglesia, y sus padres y hermanos de los nombres. Estas cosas eran útiles para tener en caso de que los necesitaba, pero lo que resultó ser muy valiosa fue la información que se encuentra sobre la convención de nombres de correo electrónico y los archivos en los servidores que utilizan Maltego. Esta fue la vía de conseguir mi pie en la puerta de esta empresa. Mantener la información que encuentre catalogado en cesta o Dradis, como se discutió en el capítulo 2, y listo para su uso también es importante; de lo contrario, sólo hay un archivo de texto con un revoltijo de información que no se puede hacer uso de. La organización de la información es tan importante como la recopilación y el uso de la misma.

Pensar como un mal tipo, es decir, buscando la manera de explotar las debilidades y deseos de la gran parte NO ES-objetivo del trabajo, pero si un auditor profesional quiere proteger a los clientes, que les mostrará cómo

vulnerables que son. Cuanta más información se reúnen, las vulnerabilidades encontrar más fácil se vuelve. Se empieza a ver caminos que pueden conducir al éxito. El desarrollo de pretextos realistas y los temas que tendrán el máximo efecto también contribuye al éxito de un ataque. Uno debe desarrollar cuestiones de energía y utilizar palabras clave para que atraiga el objetivo. Al reunir una gran cantidad de información que pude desarrollar buenas preguntas y un marco que participan palabras clave y palabras de la energía neurolingüística (PNL), que a su vez que utilicé en tácticas de influencia que yo estaba bastante seguro de que funcionaría. Mi pretexto tuvo que cambiar a menudo, de llamar a los vendedores de la compañía para llamar a los empleados internos de información. Tenía que planificar cada pretexto entrar en ese carácter, y seguir con éxito a través. Esto, por supuesto, tomó una gran cantidad de planificación para asegurarse de que cada pretexto sonaba bien, fluyó correctamente, y tenía sentido. La práctica hace la perfección. Antes de que el ataque fue lanzado mi pareja y yo practicaba todo. Tenía que asegurarse de que los archivos PDF trabajadas y que el vector tenía sentido. También he tenido que tener un buen conocimiento suficiente como para ser creíble para cualquier objetivo que estaba hablando con el tiempo.

La importancia de practicar no puede ser subestimada. La práctica me permitió averiguar qué tácticas podrían trabajar y lo que no, así como asegurarían que podía seguir con el plan e ir con la corriente, incluso si ese flujo fue en una dirección en la que yo no estaba pensando en ir . En retrospectiva, he descubierto un par de pequeñas mejoras que se han hecho de este ataque más eficiente. Por un lado, siempre hay un riesgo de depender únicamente de un PDF malicioso; Debería haber establecido un pequeño sitio web que imitaba el sitio web de la investigación del cáncer real y tenía el PDF en ese país. Tanto el sitio web y el PDF podría haber sido malicioso. Esto habría duplicado mis posibilidades de éxito y me ha dado respaldo en caso de una vía falló. Otro gran riesgo que tomé fue que el CEO dejaría su ordenador encendido cuando salía de la oficina. Si no lo hacía, habría tenido que esperar hasta el lunes para tratar de obtener acceso. Para mantenerlo en su computadora, que debería haber tenido un “PDF real” con la información de que podía leer que iba a enviar después de que el PDF malicioso trabajó en la explotación de su máquina. Esto le habría seguido trabajando en su máquina del tiempo suficiente para hacer un buen uso de la explotación.

Esta auditoría tomó alrededor de una semana de tiempo para investigar, recopilar y organizar la información para, práctica, y luego poner en marcha. Una semana y los secretos de esta empresa podrían haber sido propiedad de sus competidores o por el mejor postor. Lea la historia un par de veces y tratar de entender los métodos sutiles utilizados y la forma en que las conversaciones fluían. Retomando la voz, el tono y el ritmo conversación es difícil en forma escrita, pero trate de imaginarse a sí mismo en esta conversación y decidir cómo manejaría él.

Hadnagy Estudio de Caso 2: El parque temático Escándalo El caso escándalo parque temático era interesante para mí porque se trataba de algunas pruebas en el lugar. He utilizado muchas de las habilidades de ingeniería social mencionados en este libro y en profundidad a prueba durante este caso.

También fue interesante debido a la naturaleza del negocio y las posibilidades de éxito de una estafa. Si tiene éxito, el ingeniero social podría tener acceso a miles de números de tarjetas de crédito. El objetivo El objetivo era un parque temático que estaba preocupado por tener una de sus sistemas de billetaje comprometidos. Donde los clientes registramos, cada equipo contiene un enlace a los servidores, la información del cliente, y los registros financieros. El parque quería ver si existía la posibilidad de que un atacante utilizar métodos maliciosos para obtener un empleado para tomar una acción que podría conducir a un compromiso. El objetivo no era conseguir un empleado en problemas, sino más bien para ver qué tipo de daño que resultaría de un empleado registro de entrada del ordenador sean comprometidos. Además, el objetivo no era comprometer a los ordenadores a través de la piratería sino a través de los esfuerzos de ingeniería puramente sociales.

Si pudiera producirse tal compromiso, ¿cuáles fueron las consecuencias? ¿Qué datos se puede conocer y qué servidores podría verse comprometida? Ellos no quieren ir profundo, realmente averiguar si la primera etapa, una ingeniería de compromiso social, podría funcionar.

Para averiguar si un ataque exitoso SE fue posible, tenía que entender los procesos y métodos del parque temático para el control de los clientes y lo que los empleados serían y no lo harían en sus terminales - o que es más importante, podía y no podía hacer. La historia Como se mencionó anteriormente, el objetivo de este trabajo en particular no era muy compleja; Sólo tenía que averiguar si la persona detrás del mostrador permitiría un “cliente” para conseguir que el empleado para hacer algo, obviamente, no está permitido. Antes de que pudiera pensar en lo que era que tenía que entender su negocio.

Busqué página web del parque y se utiliza Maltego y Google para artículos de investigación y otra información sobre la organización. También hice algunas investigaciones en el sitio. Entonces fui al parque y pasó por el proceso de comprar un billete en el mostrador de boletos. Durante este proceso, empecé una pequeña conversación con el cajero, y pasé algún tiempo observando el diseño, sus nodos de computación, y otros aspectos de la zona “oficina”.

Esta zona fue donde empecé a ver una imagen clara. Durante la conversación que he mencionado que yo era de una pequeña ciudad con un gran nombre. Cuando le preguntó a dónde, y yo le dije, ella emitió la respuesta normal:

“¿Dónde diablos es eso?”

“¿Tiene acceso a Internet aquí?” “Sí, lo creo.” “Oh, te encantará este. Ir maps.google.com y escriba en el código postal 11111, y lo puso en vista de satélite. Mira lo pequeña que es la ciudad ““Oh, Dios mío.; que es pequeña. No creo que nunca haya oído hablar de este lugar antes de hoy “.

En este corto periodo de tiempo, sabía lo siguiente: El diseño del espacio un cajero tiene que trabajar en cómo los empleados comprobar en cada patrón que los ordenadores tienen acceso a la web completa

Volví a la página web del parque y comenzó a navegar con una nueva iluminación en sus procesos. Necesitaba un camino en su ordenador

Los sistemas. Mi pretexto era una razonable de una sola era padre que iba a llevar a su familia al parque temático para el día.

Mi historia era que la familia y no tenía planes de hacerlo, pero llegó al hotel y fueron navegar por la web cosas que hacer y vio un gran descuento para el parque. Fuimos a la recepción y pregunté por conseguir entradas, pero el precio nos dieron no había mucho más que lo que vimos en la web. Cuando comprobó dos veces el precio que habíamos encontrado, descubrimos que el precio era sólo por Internet. Pagamos y luego dimos cuenta de que las entradas necesarias para ser impreso para que puedan ser escaneados. He intentado conseguir el hotel para imprimirlos pero la impresora estaba abajo. Yo ya había pagado y estaba nervioso por la pérdida de los billetes, así que les imprimió a un PDF y luego enviado por correo electrónico a mí mismo. Suena como una historia razonable, ¿no es así? Se necesitaba un paso más antes de que pudiera lanzar mi mal trama. Tenía que hacer una llamada telefónica rápida: “Hola, este es XYZ oficina principal del parque temático?” “Claro está; ¿como puedo ayudarte?" Que necesitaba para llegar a una persona interna de la oficina a hacer mi pregunta y asegurarse de que tuviera la respuesta correcta. Después de solicitar al departamento de compras, me dirigieron a la persona adecuada. Le dije: “Hola, mi nombre es Paul de SecuriSoft. Estamos regalando una versión de prueba de un nuevo software para leer e incluso imprimir archivos PDF. Me gustaría que le envíe la dirección URL de la descarga gratuita, es que está bien?”

“Bueno, no estoy seguro de si nos interesa, pero me puedes enviar informaciones.” "Bueno; excelente. ¿Puedo preguntar qué versión de Adobe utiliza ahora?”‘Creo que todavía estamos en 8.’ "Bueno; Yo le enviará un paquete de información comparativa en la actualidad.”Armado con la información de versión, todo lo que tenía que hacer era crear un PDF malicioso embebido con una cáscara inversa (que me daría acceso a su computadora una vez que se abrió el PDF), llamada que Receipt.pdf, y luego un mensaje a enviar a mí mismo.

Al día siguiente me cordada mi familia en una pequeña acción de la ingeniería social. Mientras estaban en la distancia me acercaba a la mujer detrás del mostrador

y comenzó una conversación amistosa. “Hola, ¿cómo estás ... Tina?”, Le dije, leyendo su etiqueta con su nombre. “Si lo hace bien, ¿qué puedo ayudarle?” Dijo con una sonrisa amable servicio al cliente. “Mira, nosotros decidimos tomar un pequeño viaje de fin de semana y estoy en el Hilton aquí con mi familia”, le digo, señalando a mi hermosa familia unos pocos pies de distancia. “Mi hija vio el anuncio para su parque de atracciones y nos rogó que fuera. Le dijimos que tomaríamos ella. Encontramos una gran cantidad de entradas en la página web ...” “Oh, sí, nuestra web sólo se ocupan, muy popular en este momento. ¿Puedo tener sus entradas?” “Sí, verá este donde necesito su ayuda, así que no consigo el 'Loser papá del Año'.” Mi risa nerviosa estaba cubierta por su sonrisa. Le expliqué, “Tina, vi ese trato y mi esposa y yo dije, vamos a guardar el 15% y compramos los billetes en el ordenador del hotel. Pero después de que me hecho el pago, no podía imprimir porque la impresora hotel estaba abajo. Pero yo era capaz de guardarlo como un archivo PDF y envié un correo electrónico a mí mismo. Sé que esto es una petición extraña, pero habría que acceder a mi cuenta de correo electrónico e imprimirlo para mí?”Ahora esta cuenta era un genérico llena de correos electrónicos titulada‘Imágenes de los niños’,“papá y de mamá Aniversario " y cosas asi.

Me di cuenta de que estaba luchando con esta decisión y no estaba seguro de si el silencio sería para mi beneficio o si debería ayudarla a pensar en ello. Le dije: “Sé que es una petición extraña, pero mi niña se muere de ir y no me gusta decirle 'no'.” Señalo otra vez a mi hija que estaba haciendo un gran trabajo a ser lindo, pero impaciente. “Está bien, ¿cómo lo hago?” “Ir a gmail.com, accede a [email protected] y una contraseña de BE- inteligente.”(lo sé, usando esta contraseña es terrible de una manera, pero una pequeña advertencia de último minuto no le hace mal. Fue unfollowed). Momentos después Tina era un doble clic en el PDF y conseguir una pantalla en blanco. “¿Es una broma me-me imprimo hacia fuera mal? Wow, definitivamente estoy recibiendo el premio papá perdedor ahora “.

“¿Sabes qué, señor? Me siento tan mal por ti, ¿y si usted acaba de pagar por las entradas para adultos y voy a dejar a su hija en forma gratuita hoy?”

“Wow, eso es tan generoso de su parte.” Con una sonrisa que se bifurcó sobre los $ 50 y le di las gracias por toda su ayuda y le preguntó a salir de mi correo electrónico. Nos separarse de mí tener una hija feliz y el parque de haber sido comprometida. Momentos después, mi pareja me envió un mensaje de texto y me dijo que era “reunión de datos” para el informe “in” y. Después de disfrutar de unas horas de relajación, dejamos el parque para volver a trabajar para compilar el informe de la reunión del lunes.

La aplicación del marco SE del parque temático de Hack La recopilación de información, como se muestra en este estudio de caso, no siempre es mayormente basado en la Web; En su lugar, se puede hacer en persona. La información más jugosa en este caso, se reunieron durante una visita en persona. Averiguar lo que se utilizaron sistemas informáticos, sentirse fuera el objetivo de saber cómo él o ella iba a reaccionar a ciertas preguntas, y saber cómo el sistema de tickets trabajó fueron los principales componentes de la fase de recopilación de información.

La lección real a partir de este corte en particular es que un buen pretexto es algo más que una historia; es más que sólo un traje hecho en marcha y el acento falso. Un buen pretexto es algo que fácilmente puede “vivir” sin demasiado esfuerzo.

En este escenario yo era fácilmente capaz de hablar, actuar, hablar y el padre, porque yo soy uno. Mi preocupación por ser padre “perdedor” era real, sin confeccionar, y viene a ser tan real y luego se transfiere a la meta lo más genuino. Esto hace que todo lo que se dice más creíble. Por supuesto, tener un hijo lindo en la distancia mirando con añoranza a la dama billete ayudó, y lo mismo hizo una historia creíble sobre una impresora hotel no trabaja. Capítulo 2 se refirió a esto, pero a veces un ingeniero social que promoverá pretextos o ingeniería social en general sólo está siendo básicamente un buen mentiroso. No creo que ese es el caso. En un sentido profesional, pretextos implica la creación de una realidad que va a manipular las emociones y las acciones del objetivo de tomar un camino que lo desee

tomar. Las personas no están motivados a menudo por un simple mentira. Un ingeniero social debe “convertirse en” el carácter en el pretexto para un concierto, por lo que el uso de pretextos que son algo que se puede seguir de cerca, vivir y actuar con facilidad es una buena idea.

El pretexto de la “regalo software de PDF libre” tenía un montón de espacio para el error. El pretexto era sólido, pero un rápido rechazo habría significado un retraso de dos días en el siguiente intento de ataque. También fue un “golpe de suerte” que la misma versión de Adobe sería utilizado en toda la compañía y que el cajero particular, elegí no había actualizado su particular versión de Adobe Reader para la nueva edición, que tendría en esencia anulado mi intentos de explotación. Contando con la pereza inherente al ser humano no es un juego de azar normalmente me gusta tomar, pero en este caso funcionó. A veces, la mejor apuesta es seguir adelante como si lo que está pidiendo es ya un hecho. Esa actitud promueve una sensación de confianza y se encuentra con que el objetivo de que lo que está diciendo o haciendo es de fiar. El uso de palabras y frases tales como: “Realmente necesito su ayuda ...” es una herramienta de gran alcance, como se mencionó en el Capítulo 5. Los seres humanos intrínsecamente quieren ayudar a los demás, sobre todo cuando se le preguntó. Cuando se le preguntó, completos extraños irán a medidas extraordinarias para “echar una mano”, incluso, como en este caso, la apertura de un archivo desconocido a partir de otra persona cuenta de correo electrónico. Sobre el motivo de ayudar a un “padre pobre” recuperar a su hija linda en el parque principal de un sistema comprometido.

Una vez comprometido, el software que almacena toda

la tarjeta de crédito

información para cada huésped estaba abierta a un atacante. La capacidad de recopilar esos datos con muy poco esfuerzo podría haber dejado el parque abierto a la pérdida masiva, pleitos, y la vergüenza.

Top-Secret Estudio de Caso 1: Misión no imposible De vez en cuando mi colega y yo estamos involucrados ya sea en una situación o escuchan de una historia que nos gustaría ver convertido en una película, pero por razones de seguridad, no se permite escribir sobre, o incluso hablar de ello. Por estas razones, no puedo mencionar que estuvo involucrado o lo que fue tomado en la historia

que nos viene de un ingeniero social llamado “Tim”. La meta de Tim era infiltrarse en un servidor que aloja la información que podría ser devastador si cayera en las manos equivocadas. La compañía de alto perfil particular en cuestión tenía mucho que proteger. Cuando Tim fue contratada para obtener información de esta empresa sabía que tendría que sacar todas las paradas; este trabajo sería poner a prueba los límites mismos de sus habilidades de ingeniería social.

El objetivo El objetivo es una organización de alto perfil con ciertos secretos corporativos que nunca deben ser revelados a sus competidores. Estos secretos tuvieron que ser vigilado en servidores que no tienen acceso desde el exterior y sólo eran enrutar desde la red interna. Tim fue contratado para ayudar a la empresa probar su seguridad frente a una “persona pícaro” ser capaces de infiltrarse y salir con la mercancía. Tim conoció a una persona de la empresa en una ubicación externa a firmar el acuerdo que trabajaron a cabo por teléfono y correo electrónico.

La historia Tim tenía un gran reto frente a él. La primera etapa, al igual que con cualquier concierto de la ingeniería social, fue la recopilación de información. Sin saber qué información él y no utilizaría, Tim fue paso total, la recogida de información como el esquema de diseño de correo electrónico, solicitudes de cotizaciones abiertas, todos los nombres de los empleados que pudo encontrar, además de los sitios de medios sociales a los que pertenecen, documentos que escribieron y publicaron, clubes que formaban parte de, así como los proveedores de servicios que utilizan. Él quería hacer una inmersión contenedor de basura, pero con ámbito cuando el lugar se dio cuenta de que la seguridad era muy fuerte alrededor de la zona contenedor de basura. Muchos de los contenedores de basura incluso fueron encerrados en pequeñas zonas de paredes, por lo que no podía ver los logotipos en el contenedor de basura a menos que violó el perímetro. Después de descubrir el departamento que se encarga de los servicios de residuos, se decidió a realizar una llamada telefónica planificada a cabo bien a la empresa:

“Hola, este es Paul de TMZ eliminación de residuos. Somos una nueva residuos

el servicio de recogida en la zona y han estado trabajando con algunas de las grandes empresas de la zona. Soy parte del equipo de ventas que se encarga de su región. Podría enviarle una cotización de nuestros servicios?” “Bueno, estamos bastante contentos con nuestro proveedor actual, pero puede enviar una cotización”. "Excelente; ¿Puedo preguntarle a sólo un par de preguntas rápidas?”‘Claro’. “¿Cuántos contenedores de basura tiene usted?”, Preguntó Tim. Después de preguntar si se utilizan contenedores especiales para papel y la tecnología, tales como llaves USB y discos duros, que luego cargó en unos pocos toques finales.

“¿Qué día es su pastilla normal?”

“Tenemos dos pastillas por semana; Set 1 es miércoles y Set 2 es jueves “. "Gracias. Puedo preparar esta cita y que le sea enviada a través de mañana por la tarde. Lo que el correo electrónico se debe usar?”

“Enviar a mí personalmente en [email protected]. ” En este punto un poco de charla amistosa sobrevino y antes de darse cuenta de que eran de risa y de intercambiar cumplidos. "Muchas gracias. Hey, antes de colgar el teléfono puedo pedirle que se utiliza actualmente? Me gusta hacer una cita comparativa “. “Bueno, ya sabes ...” vaciló, pero luego dijo: “Por supuesto, utilizamos factores de pérdida de Gestión.” “Gracias Christie, que se asegurará de que esté satisfecho con la cita. Hablaremos después."

Armado con esta información, Tim fue a la página web de la compañía presente gestión de residuos y copiar el logotipo en un archivo JPG. Luego visitó una impresora de camisa en línea y en 72 horas tenía una camisa con el logotipo en sus manos. Sabiendo que la basura se recogió el miércoles y el jueves que quería ir martes por la noche.

Luego puso otra llamada al departamento de seguridad: “Hola, este es John de Gestión de factores de pérdida, su gente eliminación contenedor de basura. Me llamaron de la oficina de Christie Smith que indique que tiene un contenedor de basura dañada. Sé que la pastilla es el miércoles, así que quería

por la noche. Si hay una unidad dañada voy a tener el camión llevar a cabo una nueva. ¿Está bien si salgo martes por la noche?” “Claro, déjame ver, sí, Joe está en el mañana. Cuando acabas de llegar simplemente parar en la cabina de seguridad y él le dará una tarjeta de identificación “.

"Gracias." Al día siguiente, Tim llevaba su “compañía” camisa de polo y tenía un portapapeles. El pretexto era genio porque sabía que las fechas y los nombres internos. Ahora, el aspecto de un empleado de la compañía, se acercó a la cabina de seguridad.

“Joe, soy John de factores de pérdida y me llamó ayer.” El guardia interrumpió con, “Sí, veo su nombre aquí.” Le entregó una placa y un mapa de papel diciéndole cómo llegar a los contenedores de basura. “¿Necesita uno de nosotros para etiquetar a lo largo?”

“No, yo hago todo el tiempo.” Tim se dejen entrar y pasó por encima de los contenedores de basura. Armado con un pretexto perfecto y una insignia que tenía el tiempo para hacer algo de investigación. El sabía que sostiene el conjunto 2 de basura no alimentaria, por lo que comenzó la excavación allí. Después de un rato cargó un par de discos duros, llaves USB, algunos DVDs, y algunas bolsas transparentes llenas de papel en su tronco. Después de una hora o así lo llevó de vuelta a cabo, agradeció a los chicos de seguridad, y les aseguró que todo está bien. De vuelta en la oficina excavó a través de la “basura” y fue recibido con algunos de los detalles más jugosos que no podría haber encontrado en sus sueños más salvajes. Muchas veces las empresas dispondrán de unidades de disco duro y un dispositivo USB mediante la destrucción de ellos por completo. Se borrarán todos los datos y luego los envía a las unidades de eliminación especiales. De vez en cuando, sin embargo, los empleados que no piensan a través de sus procedimientos de eliminación se acaba de tirar una llave USB que dicen es roto o un disco duro que no arranca. Lo que no se dan cuenta es que hay muchos programas que se tira de datos fuera de las unidades incluso no sean de arranque y los medios de comunicación. Incluso si los medios de comunicación ha sido formateado, los datos todavía pueden ser recuperados en muchas situaciones.

Una de las bolsas contenía lo que parecía ser el contenido de una oficina. Mientras vaciaba la bolsa se dio cuenta de algunos papeles que no había pasado por la trituradora. Se sentó a leerlos y vio uno era un contrato para

algunos servicios de TI que salieron a la candidatura. El trabajo debía comenzar en tan sólo unos días, pero parecía que se utilizó esta copia en particular para absorber algo de café derramado y luego descartados. Esto sería un gran hallazgo, pero no tenía mucho más que buscar a través. Los DVDs estaban en blanco o es ilegible, pero sorprendentemente se encuentran los archivos de las llaves USB. A partir de esta información, descubrió los nombres y las líneas privadas del director financiero, así como algunos otros miembros del personal clave.

El valor de lo que se reunieron fue inmensa, pero quiero que centrarse en lo que hizo a continuación. A la mañana siguiente, armado con el contrato para los servicios de TI en la mano y sabiendo el tipo de trabajo que se iba a llevar a cabo, se coloca una llamada al punto de contacto contrato durante la hora del almuerzo y rezó el contacto fue a comer.

“Hola, es Sebastian disponibles?” “No, él es a comer. ¿Puedo ayudarte?"

“Se trata de Pablo XYZ Tech. Quería confirmar que nuestro equipo va a venir a iniciar el proyecto mañana por la noche “. “Sí, sólo recuerda que no podemos tener ninguna interrupción del servicio por lo que no llegar más temprano que 17:30”

“Sí, señor, lo tienes. Te veo mañana." Al día siguiente, Tim sabía que no podía llegar con el resto del “equipo”. Pero si bien cronometrado que no sería capturado por la compañía de TI o el objetivo. Sentado al otro lado del oscuro estacionamiento observaba la empresa contrato que llegue. Después de unos 30 minutos se acercaba a la puerta principal y explicó cómo él sólo se quedó sin conseguir unos papeles de su coche. Él se dejen entrar y ahora tenía vía libre de la oficina.

Necesitaba hacer algo de reconocimiento, y pensó que lo mejor era acercarse a la compañía como uno de los empleados internos. Dio la vuelta hasta que oyó algunas conversaciones y encontró uno de los chicos en una camisa que lo identifica como uno de los equipos de TI.

Armado con los nombres de la alta gerencia de los archivos clave USB y desde el punto de contactos desde el contrato, comenzó, “Hola, soy Paul y yo trabajo el Sr. Shivaz [CFO] -¿He alguien explicar con usted sobre el servidor de producción prod23?”Tim tenía el nombre del servidor de su información

reunión; Tim sabía que era el servidor estaba atacando. “Sí, sabemos que el servidor está fuera de los límites de este trabajo. El director financiero nos explicó el cifrado y cómo no estamos meterse con ese servidor. Sin preocupaciones."

Después de unos minutos de conversación, Tim había descubierto algunas valiosas piezas de información: El equipo de TI es no tocar el servidor. El servidor tiene cifrado de disco completo. Los técnicos se “jactaban” a por el chico de TI interno acerca de cómo la empresa objetivo utilizar un archivo de claves en una llave USB que sólo los administradores llevan. Tim sabía que este último punto haría su tarea más difícil, y porque los administradores no estaban en, él no sería capaz de acceder al servidor ahora. Además, la seguridad física en torno a este servidor fue muy intensa y puede haber sido demasiado endurecido a asumir el riesgo. Él sabía que los administradores tendrían acceso a este servidor por lo que pensó que tal vez intentaría esa avenida.

Visitó la primera oficina de la administración, pero estaba cerrada. Se registró la segunda oficina, luego la tercera. El tercero fue cerrado, pero no se había cerrado todo el camino y se limitó a abrir cuando empujó un poco. Él estaba en. Al cerrar las persianas y dejar las luces apagadas, sentía que estaría protegido un poco del potencial de ser atrapado. En su kit de ingeniero social que lleva a una amplia variedad de herramientas y prendas de vestir. Una de las herramientas que siempre tuvo con él en este tipo de conciertos era una llave USB que se cargó con una distribución de arranque de Linux como BackTrack. En el BackTrack instalar es una versión precargada de Virtual Box, una máquina virtual de código abierto herramienta gratuita. Se cargó el ordenador del administrador, usando un puerto USB trasero, en BackTrack. Después de que él estaba en BackTrack, que conecta a sus propios servidores a través de SSH, estableció un oyente, y se conectan de nuevo a él usando una concha inversa se inicia a partir de la máquina de administración. Entonces comenzó una keysniffer (para registrar todas las pulsaciones de teclado en el equipo) en BackTrack y configurar el archivo de registro para ser descargado a través de la conexión SSH a su ordenador. Luego hizo algo realmente pernicioso. Abrió Virtual Box y creó una máquina virtual de Windows (VM), usando el disco duro local como los medios físicos para arrancar desde, y se carga la máquina virtual. Automáticamente, se carga el perfil de usuario del administrador y del sistema operativo. En la pantalla de inicio de sesión que ha cargado la máquina virtual para estar en

el modo de pantalla completa, escondidos todos los bares, y hecha la tecla de acceso existentes para salir VirtualBox algunos ridículamente largo combinado. Esto protege al usuario de golpear erróneamente que combo y revelando que son atacados. Un riesgo aún existía que pudiera ser capturado en cualquier momento utilizando este método de una llave USB posterior carga de una máquina virtual usando su propio disco duro, pero si funcionaba que obtendría cada golpe de teclado del administrador mecanografiada y una concha en el ordenador del pobre , dando Tim acceso a todo. A pesar de que la cáscara sería en la máquina virtual, sería registrar todas sus pulsaciones de teclas y luego acceder a la máquina de la víctima usando su nombre de usuario y contraseña capturado. Tim hizo algunas otras cosas en la oficina, tales como establecer una conexión en otra máquina, lo que le dio acceso a la red de forma remota. También estableció un dispositivo de escucha a distancia, del tipo que utiliza una tarjeta SIM del teléfono celular. Podía llamar a su número desde cualquier teléfono en la tierra y escuchar las conversaciones desde cualquier lugar en un radio de 20 pies. Después de sólo unas pocas horas Tim dejó la compañía del objetivo y regresó a su oficina. Estaba excitado para ver si esta todo resuelto, pero aún tenía algunas ideas más para probar. A la mañana siguiente se aseguró de sus conexiones remotas todavía estaban vivos y marcó en su oyente a escuchar el zumbido de la mañana de las personas que entran en la oficina. La anticipación construido mientras esperaba para ver si los primeros registros informáticos venían a través, capturando nombre de usuario y la contraseña del administrador. Alrededor de una hora más tarde, Tim vio unos troncos que viene a través. El sabía que no quería hacer nada que pueda poner en peligro su relación, así que esperó. 12:15 los registros se detuvieron, así que pensó que el administrador debe estar en el almuerzo. Rápidamente se comprobó su cáscara marcha atrás y comenzó a crear un túnel desde la máquina del administrador para el servidor de nuevo a su máquina utilizando la contraseña que capturó desde el administrador del servidor

Después de que se conecta el túnel hizo una carrera loca para copiar todo lo que pudo antes de la 1:00 pm En ese momento no se dio cuenta cualquier registro, por lo que llamó al oyente y escuchó a alguien preguntando, “¿Sabe usted cuánto tiempo esta reunión se debía durar?” Calculando el administrador podría estar en una reunión que hizo otro intento de una

transferencia más grande. Después de unos 30 minutos se dio cuenta de alguna actividad por lo que dejó de recogida de datos y decidió esperar hasta más tarde. No quería alertar al administrador para nada a pescado pasando por ralentizar su conexión a través de una transferencia de gran tamaño. Empezó a tamizar a través de lo que él agarró desde el servidor, sabiendo que el premio gordo.

Su trabajo no había terminado todavía. Esa noche hizo una más masiva transferencia, teniendo tanto como pudo y luego se dirigió a la oficina de la empresa de nuevo, la ingeniería social en su camino como lo hizo antes. Una vez en él se dirigió a la oficina del administrador, que estaba cerrada esta vez y tiró de golpe. Se utilizó un cuchillo empujón (véase el capítulo 7) para entrar. Una vez dentro de él apagó la máquina virtual, a continuación, reiniciar la máquina después de retirar la llave USB, y después de dejar el cargo de la administración de la forma en que la encontró. Él recogió su interlocutor y se aseguró de sus pistas estaban cubiertas. Él salió del edificio para volver a su oficina y compilar sus hallazgos. Por supuesto, en la reunión del informe que entró con una pila de documentos impresos y un disco duro lleno de lo que él era capaz de copiar. Esto fue suficiente para dejar caer las mandíbulas de cada persona en la habitación.

La aplicación del marco SE para Top Secret 1 Esta historia ofrece muchas lecciones. Es un ejemplo de un ingeniero social perfecto. Puede resumirse en la práctica, la preparación, y, por supuesto, la recopilación de información. Todas las habilidades que utilizan podemos imaginar que practicaba, el uso de un cuchillo empujón y la creación de túneles a pretextos eficaz y recopilación de información.

No puedo reiterar lo suficiente la importancia de la recopilación de información. Sé que lo he dicho mil veces, pero todo este asunto hubiera caído a través de Tim y sin contar con la información adecuada. Estar preparado mediante llamadas telefónicas y visitas in situ, y que tiene el hardware adecuado, llevado al éxito. El análisis de este corte, se puede ver algunos de los principios fundamentales de la ingeniería social en el juego. Tim era un maestro en la recopilación de información, el uso de los recursos de Internet para tirar de todo tipo de pepitas, habilidades deducciones de expertos, mientras que en el teléfono, así como habilidades de persuasión magistrales en persona. Estas técnicas le permitieron

recopilar datos que probablemente habrían sido dejados atrás por un hacker no calificada.

La recopilación de información dio Tim las bases de lo tipos de pretextos y preguntas a desarrollar. El buceo basurero fue planeada con precisión quirúrgica. ¿Existe una posibilidad de que él habría sido dejar entrar sin la camisa y cita? Por supuesto. Sin embargo, ¿cuánto más poderosa era la forma en que lo hizo? Nunca dejó lugar a dudas en sus mentes y se permitió que cada persona a la que interactuó con dedicarse a sus negocios y nunca pensar dos veces. Esto es un pretexto perfecto, cuando una persona puede interactuar con usted sin ningún tipo de banderas rojas o señales de advertencia subiendo. Tim hizo eso y se le dio libertad para moverse como si él pertenecía. La mejor parte de la historia es lo que sucedió después de que se puso en el edificio. un amplio margen para el error tales existía, y que podría haber sido capturado muchas maneras. Seguro de que podría haber corrido en, agarró los datos fuera del servidor, ya la izquierda, y probablemente nadie lo habría detenido, pero hacerlo de la manera que él quiere decir que la compañía nunca sabía cómo sus secretos se bajaron y nunca habría sabido que estaban comprometida. Tim tomó un gran riesgo cuando se abandonó el ordenador del administrador ejecutar una máquina virtual. Esa maniobra en particular podría haber fallado en muchos aspectos. Si alguien hubiera reiniciado el ordenador o nunca se había estrellado, o si por error el administrador pulsa combinación de teclas que loco, que podría haber significado el fin de la corte y alertó a la compañía que había sido comprometida.

Podría haber tomado una, ruta de menor riesgo diferente, uno donde podría haber creado un túnel inverso de su equipo de nuevo a mis servidores que utilizan un EXE personalizada que no serían detectados por el software antivirus y de los scripts de arranque del ordenador, algo con menos posibilidades de fracaso, pero el método de Tim tenía el encanto de ser un truco muy atractiva ingeniería social. Probablemente más de una lección se puede aprender de este corte en particular, pero en todo caso, el viejo dicho de hackers de “confiar en nadie” puede aplicarse en cierta medida. Si alguien llama a decir que Christine autorizó una inspección contenedor de basura y que no lo oyó de ella o una nota, llamarla y preguntar. Convertir sus ordenadores fuera por la noche y sin duda hará que sus máquinas importantes no es capaz de arrancar desde USB sin una contraseña. Por supuesto, estas precauciones adicionales significará más trabajo y más tiempo de carga

veces. Ya sea que estén pena hacerlo depende de la importancia de los datos que se sienta detrás de esas máquinas es. En este caso, los datos eran capaces de arruinar esta empresa, por lo que la protección debería haber sido extremo. A pesar de que la compañía tomó muchos excelentes precauciones, como el uso de cifrado completo de disco, cámaras, cerraduras biométricas, y así sucesivamente alrededor de la zona del servidor, no consiguió los ordenadores que tenían acceso a los datos más importantes, y que es lo que llevó a la empresa de fallecimiento.

Top-Secret Estudio de caso 2: Ingeniería Social un Hacker Pensar fuera de la caja y tener que pensar rápido es estándar para un ingeniero social, por lo que es raro estar en una situación que pondrá a prueba el ingeniero social profesional hasta el punto de ser dejado perplejos. ¿Qué pasa cuando un probador de penetración está llamada a poner en un sombrero de la ingeniería social sin previo aviso? Esta cuenta siguiente muestra exactamente lo que sucede cuando se produce esta situación. Es un buen ejemplo de cómo tener ciertas habilidades de ingeniería social practicado de antemano puede ser muy útil cuando se le llama para usarlos sin previo aviso.

El objetivo “John” fue llamado por una prueba de penetración de red estándar para uno de sus clientes más grandes. Era una prueba de intrusión sin emociones como ingeniería social y el trabajo en el lugar no se incluyeron en el esquema de auditoría. Aún así, le gustaba el trabajo de poner a prueba las vulnerabilidades en las redes de sus clientes. En este pentest particular, nada estaba ocurriendo realmente emocionante. Que estaba haciendo sus rutinas normales de análisis y registro de datos y poner a prueba ciertos puertos y servicios que sentía que podría darle una ventaja en su interior. Cerca del final de un día corrió una exploración utilizando Metasploit que reveló un servidor VNC abierta, un servidor que permite el control de otras máquinas en la red. Este es un buen descubrimiento, porque en general la red fue cerrada por lo que este tipo de easy-in es especialmente bienvenida.

John estaba documentando el hallazgo con la sesión de VNC abierta, cuando

de repente en el fondo el ratón comenzó a moverse por la pantalla. Esta era una enorme bandera roja, ya que con este cliente en este momento del día, ningún usuario estaría conectado y utilizar el sistema para un propósito legítimo.

Lo que podría estar sucediendo? Se dio cuenta de que en lugar de actuar como un administrador o un usuario normal, esta persona no parecía estar muy bien informado sobre el sistema. Se sospechaba que había un intruso no deseado en la red. No quería asustar al intruso, pero quería saber si era un administrador u otro hacker que encontró su camino en el mismo sistema. Rápidamente el objetivo pasó de ser la empresa para la que fue contratado para PenTest a un hacker pícaro dentro de la organización.

La historia John rápidamente decidió que tendría que ingeniero social este hacker y obtener tanta información como sea posible para ayudar a proteger a su cliente. En realidad no tiene tiempo para pensar a través de cada paso y planificar de manera adecuada. No tuvo tiempo para hacer la recopilación de información adecuada.

Toma un gran riesgo y abre el Bloc de notas. Rápidamente se desarrolla el pretexto de que es un hacker “n00b”, un novato, alguien no calificado, y se encontró con esta caja abierta y que es la piratería, como este tipo. Él fue capaz de obtener algunas capturas de pantalla de la conversación. Echar un vistazo y observar cómo el pentester tuvo que ingeniero social el hacker, como se muestra en Figura 8-1 . Juan comienza la conversación y cada línea es el hacker.

Figura 8-1: Una captura de pantalla real del evento.

Lo que sigue es la transcripción literal de la conversación que tuvo lugar. Es mucho tiempo, y todos los errores tipográficos y la jerga aparece en el original, pero la transcripción muestra exactamente lo que ocurrió en este corte. Juan habla primero. ¿que pasa? jeje, simplemente mirando a su alrededor, sí, yo también. ¿Cualquier cosa buena?

usted es un "hacker" también? T sólo estaba buscando servidores VNC sin garantía U = I

Yo estaba buscando forsomething fácil. esto fue fácil. ;) Usted ve otra cosa en esta red? Este es el único que tengo.

No encontramos nada más de interés aquí, la mayoría está asegurada bastante bueno. Sí, fácil de acceder, pero quiero privilegios de administrador ...: D Sí, sería fácil desde aquí. Sólo un elev priv. Estoy interesado inwhat más está aquí. ¿Qué es este spreedsheet que está siempre? No tengo ni idea, era Heere cuando entré, yo no ha estado alrededor de mucho. Encontrado este equipo hace 2 horas tal vez. ¿Que pasa contigo?

Lo tenía alrededor de una semana. De vez en cuando. Simplemente no hacer nada con ella. Una especie de perezoso. ¿Cuál fue su archivo de prueba de la cuota rápida? Acabo de descargar cuerdas en él y no reconize nada. Guay. Así, el archivo fue sólo una prueba que hice, estaba tratando de ver si podía conseguir un servidor en funcionamiento (troyano). Sin embargo, el servidor de seguridad no lo permitía.

lol. Yo tuve el mismo problema. Yo metasplit Shell y no- vaya. Es por eso que seguí usando esto. Usted en los EE.UU.? o fuera del país? Sé que algunas personas en Dinamarca. Soy de Noruega realidad, jeje, tengo parientes en Dinamarca. Colgar en cualquier tarjeta? como solía gustaría un poco pero he estado yendo lejos Yo sobre todo quedo en unas tablas de programación, pero no mucho más. Ha estado en la piratería durante mucho tiempo o qué? ¿Cuál es su edad por cierto? Tengo 22. He estado en esto por diversión como por alrededor de un año más o menos. Todavía en la escuela. 16. Sólo es algo que debe hacer. Alguna vez vas a evilzone? No había estado allí. Yo también sobre todo lo hago por diversión, tratando de ver lo que puedo hacer, probar mis habilidades. Escribí el "buscador de VNC" yo por cierto, he encontrado una gran cantidad de servidores, pero este es el único en el que podía realmente tener algo de diversión

Guau. ¿Qué escribió en? ¿Puedo dL? ¿Tiene un mango? Está escrito en un lenguaje llamado PureBasic, pero no es algo listo para el lanzamiento, sin embargo, es sólo para mi propio uso. Pero tal vez pueda compartir todos modos, podría cargar el código en algún lugar y le permiten

compilarlo. Esto es, si se puede encontrar algún compilador PureBasic en algún sitio de warez: P

Eso es genial. se puede poner en ese sitio Pastebin del IRC. Que permite anon puesto que no he hecho PureBasic antes. acaba de Python y Perl Vamos a ver, voy a buscar ese sitio Pastebin y subirlo, dame unos minutos, voy a estar alrededor. ¡Está bien! ¿tiene un mango? II ir por jack_rooby Manejar, ¿para qué? No chatear en IRC mucho ni nada de eso, pero yo podría darle un correo electrónico que podría Reah mí en. Eso es genial. Me refiero a manejar como por IRC y boardz y la dicha. heay correo electrónico también funciona. Sí, en la junta de programación comparto mi nombre completo, etc Tal vez no también

inteligente

a

compartir

sólo

todavía.

Mi

correo electr

es: [email protected] Envíame un mensaje o lo que sea y te puedo agregar en el msn tal vez. Le enviaré una nota. Es bueno tener a alguien que puede programar para saber con este tipo de cosas para cuando se queda bloqueado o encontrar algo bueno Jeje, sí, podríamos ser un equipo: P ¡Guay! hágamelo saber cuando lo hizo el Pastebin http://pastebin.ca/1273205 por cierto ... que es algo muy en la etapa de "alfa", la interfaz gráfica de usuario no está realmente terminado. pero se puede configurar a través de algunos viariables.

Guay. Voy a probarlo y ver lo que puedo hacer con él. Gracias por compartir. si hago algo fresco, debería enviar por correo electrónico? Sí, por favor. Si ejecuta este programa durante algunas horas encontrará una servidores mucho, incluso trató de hacer algo de código para detectar servidores que no tiene seguridad e incluso algunos que tiene un error que puede dejarle entrar, incluso si tiene una contraseña. Estos servidores se mostrarán en el resultado (la "pestaña encontrado") como "inseguros". Pero a veces lo hace un error y dice que algunos son inseguros que son

No, pero eso no es muchos, es sólo para probarlos. Guau. Vi algunos otros servidores VNC aquí también, pero todos ellos quería contraseñas. ¿Su herramienta nos dejó entrar a eso?

Sólo unos pocos tiene el error que le puede entrar, pero debe utilizar el cliente especial para ellos, por cierto más información aquí: http://intruderurl.co.uk/video/ Descargar el archivo zip. Olol, k, wrry SOI

lo siento. Ok, voy a dl eso y echar un vistazo. Eso es genial. ¿Escribiste la puerta trasera de la cuota rápida también? o sacaste eso de algún lugar? Trato de escribir la mayor parte de mis herramientas de mí mismo, de esta manera me entero. Así que sí, lo escribí yo mismo, pero no había terminado, yo era sólo quiero ver si podía ejecutar un servidor, pero no doo nada todavía, jeje. Veo. En cierto modo me dio, pero pensé que iba a volver y probar alguna figura more.I tiene que haber algunas cosas por ahí, pero no tengo una red de bots de myown de usar, este tipo llamado Zoot54 trató de vender uno, y algunas personas, asegurados por él, pero yo no confiaba en él en absoluto. Y no sé cómo escribir mis propias herramientas a todos los demás a continuación, algunos Perl y Python, que no trabajará para la mayoría de los hosts de Windows como este así que he estado tryingthe Metasploit pero consiguiendo el error cortafuegos. ¿Tiene planes para esto? Como algo fresco para hacer? o simplemente moveon a la siguiente?

Perl y Python es un buen comienzo por cierto, no he estado usando yo mismo, pero cuando se sabe algunos idiomas puede aprender fácilmente más: P Tal vez debería darle una oportunidad PureBasic, que es muy fácil en realidad. Jeje, un bot-net estaría bien, yo estaba pensando en hacer uno, pero es un poco difícil de hacer que se extendió, al menos en Vista. Pero nah, no puedo renunciar a este servidor por el momento, tengo que intentar un poco más, tiene que haber una manera de conseguir más privilegios; D thast fresco. Puede hacer que el servidor ya que he tenido durante un tiempo y no sé qué hacer a continuación. quiero saber lo que está haciendo si

usted por lo que puede aprender un poco más sin embargo. Eso sería genial. ¿Tiene un myspace o facebook o algo? O simplemente utilizar el correo electrónico?

E-mail funciona por ahora, cuando confío más que tal vez pueda agregar en facebook, no tengo myspace. Sí, Voy a mantener actualizado :) fresca que funciona para mí. ¿Tiene una cáscara o tiene la misma interfaz gráfica de usuario? ¿Es sólo una conexión VNC múltiples? Sí, acabo de utilizar ThightVNC o lo que sea y lo hizo no desconecta otros usuarios. No soy un fan de la cáscara de verdad, jeje: S fresca. Cuando llego a una concha de una gran cantidad de veces que me hace dissconnect error tand en accidente

Bueno no me dissconnect: D Por cierto, cuando por primera vez vi jugar un poco yo estaba como "maldita, el administrador está aquí", jejeje ... Ja, no busqué la zona horaria y se encuentran en el medio de los EE.UU. por lo que es la mitad de la noche para ellos. Sí, lo hice lo mismo. Incluso hizo una prueba de velocidad de la conexión a Internet, hehe.They parecen tener velocidad de subida más rápido que la velocidad de descarga, raro ... pero es práctico para un ataque DoD tal vez. DoS, quiero decir.

Me extraña woner qué tipo de línea es la que dice que a partir de CO. lo cual me pareció un nombre gracioso .. ¿Alguna vez cualesquiera otros sistemas aquí? Yo vi un servidor wonce warez pero eso fue hace mucho tiempo y que se ha ido ahora. no han encontrado ningún otro sistema. Pero me gustaría seguro para acceder a todos estos equipos de la red que tienen ... maldición muchos, es una especie de universidad. Jeje, Imprimí "hola mundo" anterior hoy. Jaja qué lo envía a una impresora oa la pantalla? Estas personas serían más de likkely asuste si veían el ratón inicia mooving en ellos en medio de la jornada un poco con THT hoja de cálculo raro Jaja, es probable que Woold, pero lo idiotas tonto runds un VNC

servidor sin una contraseña ?! Imprimí a algunas de las impresoras, espero que alguien lo vio. Jaja eso es cierto, apuesto som .. así que lo puedes correr con privs de administración fuera verdad? Por lo tanto, no puede ser sólo algunas de usuario que lo hizo, alguien con administrador tendría que hacerlo o de lo contrario nuestras puertas traseras debe trabajar en él y no van en absoluto. ¿O piensa que alguien acaba de cambiar la configuración? Hmm, bueno, yo creo que tienes razón, tal vez algún administrador o bromista .. qué haces este trabajo para ganarse la vida? Que tanto se puede hacer dinero con él, y creo que si hago esto por un tiempo y llegar a ser bueno que podría ser capaz de conseguir un trabajo con ella. Es eso lo que hizo? He ganado dinero en la programación, pero nunca en la piratería o la materia de seguridad. Pero eso es una buena idea, la gente tendría que pagar para hacerse la prueba de su seguridad y si conseguimos lo suficientemente bueno que probablemente podría ganar mucho de esta manera.

Eso es lo que espero. He comprado un libro sobre el hacker ético y piensan que tienen algunos buenos programas en ese país. No sé lo que es la edad a tomar la prueba, pero si lo hago entender que podría ser un buen comienzo para hacer este trabajo. Y hay algunas buenas herramientas de allí como el Metasploit. Usted debe echar un vistazo a él si no lo ha hecho todavía. Sí, gracias, yo debería comprobar que fuera :) Pero yo estoy un poco cansado por cierto, jeje. No puede sentarse aquí charlando en el bloc de notas con sangre durante todo el día, jejejeje. Así el hombre después cya, fresco de reuniones, muy divertido. Sí, yo estaba asustado cuando vi la parte rápida en la pantalla. Enfriar a conocerlo y voy a enviar por maiul usted y hacerle saber cómo funciona el programa. THT es interesante intentar que salir y ver lo que sucede. A mantenerse a salvo y no les gusta que los malos encontrado! Jeje, gracias, lo mismo para que por cierto! :) Esto era interesante, creo que voy a guardar este registro bloc de notas por cierto, dame un segundo, lol ... allí, lol, lo siento adiós bye

Este chat revela la rapidez con John tuvo que pretexto y convertirse en otra persona. Esta no es una tarea fácil, ya que por lo general se necesita una planificación mucho, pero para asegurar su cliente y averiguar quién es este intruso era que tenía que desempeñar cualquier papel que el “hacker” le iba a poner. Al final, John terminó consiguiendo su imagen, correo electrónico, e información de contacto. Informó este hacker malicioso a su cliente y el problema se resolvió no permitir que tales rienda suelta dentro y fuera de sus sistemas. Este caso de alto secreto muestra hasta qué punto la ingeniería social utiliza en un sentido profesional puede recorrer un largo camino hacia la obtención de los clientes.

La aplicación del marco SE al estudio de caso 2 Top Secret Lo que me parece interesante de esta cuenta es la forma en que la compañía no era realmente un objetivo para los hackers. Fue simplemente escaneando el Internet para “fruta madura” y eso es exactamente lo que encontró. máquinas abiertas con acceso completo son peligrosos y esta cuenta muestra cuánto daño podría haber ocurrido si el probador pluma no estaba sentado allí justo en el momento adecuado. Hay, por supuesto, mucho se puede aprender acerca de la ingeniería social de esta historia, también. John no entró en este proyecto con la idea de utilizar sus habilidades de ingeniería social. En cambio, era una prueba de intrusión en línea recta. A veces estás llamado a usar sus habilidades sin ser capaz de planificar primero. Lo que podría haber permitido a Juan para ser capaz de hacer esto sin tener que ir a casa y tener una sesión de práctica? Lo más probable es estas habilidades eran algo que John utilizado diariamente o que al menos practican a menudo suficiente para hacerlo ágil en su uso de ellos. La principal lección de este estudio de caso es probable que la práctica hace al maestro. Siendo realistas, John podría haber enfrentado el hacker, le dijo que era un administrador y que se está registrando, y que su vida había terminado. Todo tipo de amenazas podrían volar hacia atrás y adelante y podría haber tratado de utilizar el miedo como su principal táctica. Lo más probable es que el hacker habría huido de la escena sólo para volver más tarde y tratar de formatear el sistema o hacer aún más daño a cubrir sus huellas. En su lugar, pensar muy rápido, John fue capaz de cultivar una gran cantidad de información útil en su objetivo. John utilizó más adelante dirección de correo electrónico y el nombre del destino y una buena

copia de Maltego para obtener una imagen muy clara de las actividades de este individuo. Otra lección menor que uno puede aprender de esta historia es analizar cómo ser fluido. Lo que quiero decir con esto es aprender a ir con la corriente. Cuando Juan comenzó “recopilación de información” de los hackers que realmente no sabía si esta persona era un hacker o un administrador. primera línea de Juan, “Hey, ¿Qué hay de nuevo,” podría haber sido contestada por el atacante de muchas maneras. Sin saber exactamente la respuesta que obtendría, John no tenía tiempo para preparar realmente. Tuvo que tratar de usar la jerga y reaccionar de la manera que lo haría un hacker imaginado.

John tomó incluso un paso más allá. Al darse cuenta de que el mejor camino era un sumiso, Juan puso bajo el pretexto de un “n00b”, o una nueva hacker que no sabía mucho y quería un verdadero hacker maravillosa e inteligente para educarlo. Alimentando el ego del hacker, John le consiguió derramar sus tripas sobre todo tipo de cosas, incluyendo toda su información de contacto e incluso una imagen.

¿Por qué son importantes Estudios de casos Estos estudios de casos son sólo algunas de las historias que están ahí fuera, y estos son, con mucho, la más temible no. Cada día, los gobiernos centrales nucleares, corporaciones multimillonarias, redes de servicios públicos, e incluso países enteros son víctimas de ataques de ingeniería social maliciosos, y que ni siquiera incluye las historias personales de fraudes, robo de identidad y el robo que se están produciendo por el minuto. Por triste que leer todas estas historias es, una de las mejores maneras de aprender es mediante la revisión de los estudios de casos. Los expertos de todos los campos utilizan esta metodología. Psicólogos y médicos de la revisión de innumerables horas de cintas y entrevistas para el estudio de las microexpresiones la gente usa cuando se siente ciertas emociones.

La persuasión expertos revisar, analizar y estudiar las cuentas de la persuasión positiva y negativa. Si lo hace, les ayuda a recoger en las áreas sutiles que afectan a las personas y ver cómo se pueden utilizar para aprender y para proteger a sus clientes. aplicación de la ley revisa los estudios de caso como parte de su vida cotidiana para aprender lo que hace que una garrapata penal. En ese sentido, los investigadores criminales

copia de Maltego para obtener una imagen muy clara de las actividades de este individuo. Otra lección menor que uno puede aprender de esta historia es analizar cómo ser fluido. Lo que quiero decir con esto es aprender a ir con la corriente. Cuando Juan comenzó “recopilación de información” de los hackers que realmente no sabía si esta persona era un hacker o un administrador. primera línea de Juan, “Hey, ¿Qué hay de nuevo,” podría haber sido contestada por el atacante de muchas maneras. Sin saber exactamente la respuesta que obtendría, John no tenía tiempo para preparar realmente. Tuvo que tratar de usar la jerga y reaccionar de la manera que lo haría un hacker imaginado.

John tomó incluso un paso más allá. Al darse cuenta de que el mejor camino era un sumiso, Juan puso bajo el pretexto de un “n00b”, o una nueva hacker que no sabía mucho y quería un verdadero hacker maravillosa e inteligente para educarlo. Alimentando el ego del hacker, John le consiguió derramar sus tripas sobre todo tipo de cosas, incluyendo toda su información de contacto e incluso una imagen.

¿Por qué son importantes Estudios de casos Estos estudios de casos son sólo algunas de las historias que están ahí fuera, y estos son, con mucho, la más temible no. Cada día, los gobiernos centrales nucleares, corporaciones multimillonarias, redes de servicios públicos, e incluso países enteros son víctimas de ataques de ingeniería social maliciosos, y que ni siquiera incluye las historias personales de fraudes, robo de identidad y el robo que se están produciendo por el minuto. Por triste que leer todas estas historias es, una de las mejores maneras de aprender es mediante la revisión de los estudios de casos. Los expertos de todos los campos utilizan esta metodología. Psicólogos y médicos de la revisión de innumerables horas de cintas y entrevistas para el estudio de las microexpresiones la gente usa cuando se siente ciertas emociones.

La persuasión expertos revisar, analizar y estudiar las cuentas de la persuasión positiva y negativa. Si lo hace, les ayuda a recoger en las áreas sutiles que afectan a las personas y ver cómo se pueden utilizar para aprender y para proteger a sus clientes. aplicación de la ley revisa los estudios de caso como parte de su vida cotidiana para aprender lo que hace que una garrapata penal. En ese sentido, los investigadores criminales

analizar y diseccionar cada aspecto de una persona con malas intenciones, incluyendo lo que come, cómo interactúa con los demás, en lo que piensa y lo que le hace reaccionar. Toda esta información les ayuda a comprender verdaderamente la mente del criminal. Estos mismos métodos son lo profesional que se dirigen a los perfiladores y atrapar a los “malos”. De la misma manera, los ingenieros sociales profesionales a aprender mucho estudiando no sólo sus propios estudios de casos, sino también los casos en su propia práctica y cuentas maliciosos que pueden encontrar en el Noticias. Mediante la revisión de los estudios de caso de un ingeniero social puede realmente comenzar a ver la debilidad de la psique humana y por qué las tácticas en el marco de la ingeniería social trabajo tan fácilmente. Es por eso que he estado trabajando duro para asegurarse de que el marco de www.social- engineer.org incluirá historias web actualizados y estudios de casos que se pueden utilizar para mejorar sus habilidades. Al final, todas estas hazañas funcionó porque la gente está diseñado para ser de confianza, tener niveles de la compasión, la empatía y el deseo de ayudar a los demás. Estas son cualidades que no hay que perder ya que tenemos que interactuar con los demás seres humanos todos los días. Sin embargo, al mismo tiempo, estas cualidades son las mismas cosas que son más a menudo que no explotado por los ingenieros sociales maliciosos. Puede parecer que estoy promoviendo cada uno de nosotros para convertirse en un ser endurecido, sin emociones que anda por ahí como un robot. A pesar de que sin duda lo mantendrá protegido de la mayoría de los intentos de ingeniería social, sería hacer la vida más aburrida. Lo que yo estoy promoviendo es ser consciente, educada y preparada.

Resumen Seguridad a través de la educación es el lema de este libro. Sólo cuando se da cuenta de los peligros que existen, sólo cuando se sabe cómo el “criminal” piensa, y sólo cuando esté listo para buscar que el mal a los ojos y abrazarla puede realmente protegerse a sí mismo. A tal efecto, el capítulo final de este libro analiza cómo prevenir y mitigar los ataques de ingeniería social.

Capítulo 9

Prevención y Mitigación

En los capítulos anteriores se muestran todos los métodos y formas que los ingenieros sociales truco y objetivos de estafa en la divulgación de información valiosa. También describen muchos de los principios psicológicos que los ingenieros sociales utilizan para influir y manipular a la gente. A veces, después de dar un discurso o una formación de seguridad, la gente va a ver muy paranoico y asustado y decir algo como, “Parece que no hay esperanza para siquiera intentar seguridad. ¿Cómo lo hago?" Esa es una buena pregunta. Promuevo tener un buen plan de recuperación de desastres y un plan de respuesta a incidentes porque hoy en día parece que no es una cuestión de “si” va a hackeado, sino “cuándo”. Puede tomar precauciones para darle al menos una oportunidad de luchar por lo seguridad.

mitigación de la ingeniería social no es tan fácil como garantizar la seguridad de hardware. Con seguridad defensiva tradicional se puede tirar dinero en sistemas de detección de intrusiones, cortafuegos, antivirus, y otras soluciones para mantener la seguridad del perímetro. Con la ingeniería social no existen sistemas de software que puede adjuntar a sus empleados o usted mismo para permanecer seguro. En este capítulo se presentan los seis primeros pasos que le digo a mis clientes que pueden tomar para prevenir y mitigar los intentos de ingeniería social: Aprender a identificar ataques de ingeniería social Creación de un programa de sensibilización sobre la seguridad personal La creación de conciencia sobre el valor de la información que está siendo buscada por los ingenieros sociales Mantener actualizado el software guiones en desarrollo

Aprender de las auditorías de la ingeniería social Estos seis puntos todas se reducen a la creación de una cultura de conciencia de seguridad. conciencia de seguridad no se trata de un programa de 40-, 60-, o 90 minutos una vez al año. Se trata de crear una cultura o un conjunto de normas que cada persona está comprometido a utilizar en toda su vida. No se trata sólo de trabajo o sitios web que se consideran “importantes”, pero es la forma en que uno se acerca a estar seguro en su conjunto.

Este capítulo trata sobre los mencionados seis puntos y cómo crear una cultura de conciencia de seguridad puede ser la mejor defensa contra un ingeniero social malicioso.

Aprender a identificar los ataques de ingeniería social La primera etapa en la prevención y mitigación de la ingeniería social es aprender acerca de los ataques. Usted no tiene que sumergirse tan profundamente en estos ataques que usted sabe cómo volver a crear archivos PDF maliciosos o crear la estafa perfecta. Pero la comprensión de lo que sucede cuando se hace clic en un PDF malicioso y qué muestras de buscar para determinar si alguien está tratando de engañar puede ayudar a protegerlo. Es necesario comprender las amenazas y cómo se aplican a usted.

Esto es un ejemplo: el valor de su casa y las cosas en él, pero sobre todo a las personas en su hogar. No esperar a tener su primer fuego de encontrar la manera de planificar, prevenir y mitigar su peligro. En lugar de instalar detectores de humo y planificar una ruta de escape en caso de incendio. Además, es posible entrenar a sus hijos con la frase de “Parar, caer y rodar” si ellos están en llamas. Usted les enseña cómo tocar la puerta para el calor y mantenerse bajo para evitar la inhalación de humo. Todos estos métodos son formas de prevenir o prepararse para un incendio antes de tener un fuego real y tienen que lidiar con la devastación que trae.

El mismo principio se aplica a la protección de usted y su empresa de los ataques de ingeniería social. No espere a que el ataque se produzca para aprender acerca de lo devastador que puede ser. No creo que sea auto-servicio, pero puedo promover auditorías de ingeniería social para comprobar regularmente la capacidad de sus empleados para resistir estos ataques, y el seguimiento con el entrenamiento.

Enseñar a sí mismo ya sus empleados a “detenerse, tirarse y rodar”, por así decirlo, cuando se trata de este tipo de ataques. ¿Cuáles son las últimas noticias sobre cómo los ingenieros sociales están atacando a las empresas? Sabiendo ellos puede ser una primera línea de defensa, lo mismo que saber lo que un incendio puede hacer para su hogar. Aprender los diferentes métodos que los ingenieros sociales modernas y ladrones de identidad usan. Usted puede encontrar un archivo de artículos de noticias y ejemplos de los ingenieros sociales, los estafadores,

ladrones de identidad y similares, a www.socialengineer.org/framework/Social_Engineering_In_The_News . Otro buen paso es la lectura de este libro. Está lleno de todos los métodos y principios que los ingenieros sociales utilizan para manipular a sus objetivos. Este libro es algo más que una recopilación de historias y trucos maravillosos; que ofrece un análisis del pensamiento y la táctica utilizada por el ingeniero social malicioso.

También puedes ver los vídeos en el www.social-engineer.org sitio, en el área de Recursos, que demuestran explota en acción. El usuario medio no tiene que ver con la intención de comprender cómo llevar a cabo estos ataques a sí mismo, pero para entender cómo una SE lleva a cabo el ataque. Básicamente, cuanto más se sabe acerca de cómo se producen estos ataques, más fácil poder identificarlos en el “salvaje”. Consciente de las lenguaje corporal, expresiones y frases usadas en un intento SE hará que sus oídos se animan cuando escucha o ver a alguien utilizando estos métodos. No es necesario gastar un montón de tiempo a aprender acerca de los métodos SE. Sin embargo, pasar unos minutos de vez en cuando lee las noticias y leyendo historias en www.social-engineer.org u otros sitios pueden ayudar a ver los métodos que se utilizan ahora en contra de las empresas. Después de tener una buena base de conocimientos y una auditoría bajo su cinturón, el siguiente paso, la creación de una cultura de seguridad de mente, le parecerá fácil de desarrollar.

La creación de una cultura sobre temas de seguridad personal En julio de 2010 yo era parte de un pequeño equipo de profesionales de la seguridad que se llevó a cabo uno de los concursos organizados primera y la ingeniería social a nivel profesional en la Defcon 18. Algunas de las mentes más brillantes de todo el mundo

venir a Las Vegas, Nevada, una vez al año para hablar, enseñar y aprender.

Mi equipo y yo decidimos que sería una gran oportunidad para celebrar un concurso que mostrar si la América corporativa es vulnerable a este tipo de ataque (en respuesta a un “concurso”). Hemos organizado el concurso por tener personas interesadas se inscriban para participar en dos etapas de la ingeniería social: la recopilación de información y ataques activos. Para mantener el concurso legal y moral que no queríamos cualquier persona víctima, y ​no hay números de seguridad social, tarjetas de crédito, y no hay información de identificación personal sería recogida. Nuestro objetivo no era conseguir alguna de estas personas disparados. Además, nuestro objetivo no era avergonzar a ninguna compañía en particular, por lo que decidimos también hay contraseñas u otra información relacionada con la seguridad personal de las empresas. En lugar de ello, hemos desarrollado una lista de alrededor de 25-30 “banderas” que iban de si la empresa tenía una cafetería interna, a quien se encarga de su eliminación de la basura, a lo que el navegador que utiliza, y para lo que el software que utiliza para abrir archivos PDF. Finalmente, se optó por las empresas objetivo de todos los sectores de negocio en América corporativa: las compañías de gas, compañías de tecnología, fabricantes, minoristas, y todo lo demás. A cada participante se le asignó una empresa objeto de secreto, en la que tuvo dos semanas para hacer la recopilación de información pasiva. Que los concursantes significado no se les permitió ponerse en contacto con la empresa, enviar mensajes de correo electrónico, o de alguna manera tratan de la información ingeniero social fuera de él. En su lugar, tuvieron que utilizar la web, Maltego, y otras herramientas para recopilar tanta información como sea posible y entrar en todo lo que encontraron en un informe de aspecto profesional. A partir de la información recogida queríamos concursantes para desarrollar un par de vectores de ataque plausibles que ellos pensaban que trabajar en el mundo real. A continuación, los concursantes tuvieron que venir a Defcon en Las Vegas, sentarse en una cabina insonorizada, y hacer una llamada telefónica de 25 minutos con su objetivo de poner en práctica su vector de ataque y ver qué tipo de información que podrían obtener.

Podría pasar los próximos 20-30 páginas que le dice lo que ocurrió en ese concurso y cuál fue el resultado, pero una cosa que encontramos fue la siguiente: Cada concursante obtenido información suficiente de los objetivos que la empresa habría fallado una auditoría de seguridad. Sin importar el nivel de experiencia del participante y el pretexto,

los concursantes tuvieron éxito

cumplimiento de sus objetivos. Para un informe completo acerca de la CTF y lo que ocurrió,

en

v

yo

s

yo

t www.social-engineer.org/resources/sectf/Social-

Engineer_CTF_Report.pdf . Ahora a lo que se aplica aquí la conciencia-seguridad. Las empresas que se preocupan por la seguridad tienen programas donde se forman a sus empleados cómo ser consciente de los riesgos potenciales de seguridad a través del teléfono, Internet o en persona. Lo que encontramos fue que la conciencia de seguridad en aquellas empresas estaba en la fase de insuficiencia. ¿Por qué? Como no podía ser que estas compañías de Fortune 500 que gastan millones o más en la seguridad, la formación, la educación, y servicios diseñados para proteger a sus empleados podrían estar fallando en la concienciación sobre la seguridad? Ese es mi punto en el título de esta toma de conciencia sección de seguridad no es personal para los empleados. A menudo en mi práctica profesional cuando hable con los empleados sobre sus sentimientos acerca de un ataque responden con algo como: “No es mi datos; ¿qué me importa “Esta actitud demuestra que la concienciación sobre la seguridad de que estas empresas estaban tratando de inculcar nunca se dio en el blanco; que no era importante, eficaz, y lo más importante, no es personal. En la revisión de gran parte del material y los métodos disponibles para la denominada conciencia de seguridad, lo que he encontrado es que es aburrido, tonto, y no orientado a hacer que el participante interactuar o pensar. DVD de presentaciones cortas que cubren un montón de cosas en un enfoque de escopeta que lanza el participante con una gran cantidad de pequeños hechos pequeños no están diseñados para hundirse en lo profundo.

Lo que yo desafío a hacer como una empresa, o incluso como un individuo es crear un programa que involucra, interactúa y se sumerge profundamente en la conciencia de seguridad. En lugar de simplemente decirle a sus empleados por qué tener contraseñas largas y complejas es una buena idea, mostrarles lo rápido que uno puede descifrar una contraseña fácil. Cuando me preguntan para ayudar a llevar a cabo la formación de conciencia de seguridad para un cliente, a veces me pregunto a un empleado para llegar a mi ordenador y escriba una contraseña que se siente es seguro. Lo hago antes de dar cualquier información acerca de las contraseñas. A continuación, mientras comienzo mi presentación en esa sección comienzo a una galleta contra esa contraseña. Por lo general, dentro de un minuto o dos de la contraseña está agrietada y revelar a la sala de la contraseña que se escribe en secreto mi equipo. El efecto inmediato y drástico que tiene en cada persona tiene un impacto extremo.

Cuando se discute el tema de los archivos adjuntos maliciosos en el correo electrónico, yo no tengo que mostrar a los empleados la forma de crear un PDF malicioso pero sí mostrarles lo que parece tanto a la víctima de y las computadoras del atacante cuando se abre un archivo PDF malicioso. Esto ayuda a entender que un accidente simple puede conducir a la devastación.

Por supuesto, este método de enseñanza produce mucho miedo, y aunque ese no es el objetivo, no es un producto secundario terrible, porque los empleados van a recordar mejor. Pero el objetivo es hacerlos pensar no sólo por lo que hacen no sólo en el trabajo y con sus ordenadores de oficina, sino también sus propias cuentas bancarias, ordenadores personales, y cómo tratan la seguridad a nivel personal.

Quiero que cada persona que escucha una presentación de seguridad o lee este libro para revisar la forma en que interactúa con Internet como un todo y hacer cambios serios para la reutilización de contraseñas, el almacenamiento de contraseñas o información personal en lugares no seguros, y donde se conectan a la Internet. No puedo decirle cuántas veces he visto a una persona que se sienta en el centro de Starbucks en su conexión Wi-Fi comprobación de una cuenta bancaria o hacer una compra en línea. Por mucho que yo quiero ir y gritar a esa persona y decirle qué rapidez toda su vida puede ser al revés, si la persona equivocada está sentado en esa misma red con ella, no lo hago.

Quiero que la gente que lee esto a pensar también en cómo dar a conocer la información a través del teléfono. timadores y estafadores utilizan muchas vías para robar a los ancianos, los que tienen dificultades económicas, y todos los demás. El teléfono sigue siendo una forma muy poderosa para hacer esto. Ser consciente de los vendedores, bancos, o las políticas de los proveedores en lo que van y no van a pedir por teléfono puede ayudarle a evitar muchas de las trampas. Por ejemplo, la lista de muchos bancos en sus políticas que nunca van a llamar y pedir un número de cuenta bancaria o número de la Seguridad Social. Sabiendo esto se puede salvaguardar para caer en una estafa que puede vaciar sus ahorros de su vida. Llamando a la conciencia de seguridad un “programa” indica que es algo permanente. Un programa significa programar tiempo para educar continuamente a sí mismo. Después de obtener toda esta información útil, entonces usted puede utilizarlo para desarrollar un programa que le ayudará a mantenerse seguro.

Ser consciente del valor de la información que se les solicite En referencia al concurso de ingeniería social Defcon 18 de nuevo, en el que hemos aprendido otra lección valiosa: cuando la información se percibe como que tiene poco o ningún valor, entonces se coloca poco esfuerzo en la protección de la misma. Esta es la declaración de alto rendimiento, pero se demostró cierto con cuántos objetivos entregado voluntariamente sobre la información en sus cafeterías, eliminación de desechos, y mucho más. Debe darse cuenta del valor de los datos que usted tiene y estar al tanto de una táctica de un ingeniero social podría utilizar para reducir el valor de esta información en sus ojos.

Antes de dar información a otra, determinar si la persona que está llamando o interactuar con usted merece. Los seres humanos tienen este deseo incorporada a querer ayudar y ser útil a aquellos a los que percibimos lo necesita. Es una manera importante un ingeniero social manipula un objetivo en la entrega de información valiosa. El análisis de la persona con la que está interactuando y determinar si merece la información que solicita le puede ahorrar la vergüenza y el daño de ser víctimas. Por ejemplo, en el concurso de la ingeniería social en la Defcon un competidor tenía un pretexto de que era un cliente de una empresa importante antivirus. Llamó con un problema grave, su equipo no pudo obtener en línea y que sentía que era debido a algo que el antivirus estaba haciendo y quería que la representación de soporte técnico para hacer una cosa simple-exploración para un sitio web. SE maliciosos suelen utilizar este tipo de ataque. Al conducir a la víctima a un sitio web embebido el código malicioso o archivos maliciosos que pueden obtener acceso a la computadora y la red de un objetivo. En el caso del concurso, el sitio no es dañino en absoluto, pero era para demostrar que si se tratara de un ataque malintencionado que hubiera sido exitosa.

El primer intento fue presentado como éste por el concursante: “No puedo ver a mi sitio web y creo que su producto me está bloqueando. Se puede comprobar yendo a este sitio, así que sé a ciencia cierta si se trata de su software o no?”

El representante de soporte técnico respondió bien al decir: “Señor, nuestro producto no se bloquearía de ir a ese sitio; no importaría si puedo ir allí o no.”Se negó la solicitud.

El concursante no se rindió allí; después de hablar un poco más había intentado de nuevo, “Sé que dijo que su producto no bloquearía el sitio, pero funcionó hasta que he instalado el software, por lo que se puede comprobar por favor para mí?”

De nuevo se le negó su petición: “Señor, lo siento por ese inconveniente, pero de nuevo nuestro producto no se bloquearía y mi ir al sitio no ayudará a solucionar el problema.”

Parecía como si la petición iba a ser rechazada por buena cuando el concursante intentó un último esfuerzo y le dijo: “Señor, me haría sentir mejor si sólo se trata de ir a este sitio para mí. Por favor, ¿me puede ayudar?” Este simple petición que nuestra representante de soporte técnico sobre el borde y abrió su navegador y fue directo al sitio. Él tenía la idea correcta, incluso tenía la respuesta correcta conciencia de seguridad, pero al final quería que su “cliente” a “sentirse mejor” y honrado su petición. Esto podría haber llevado a esa empresa a un gran peligro si se tratara de un ataque malicioso.

El representante de soporte técnico sabía que esta información no era relevante para esa llamada en particular. Al igual que él, debe ser determinado para analizar si la información que se pidió es merecido y relevante a la persona con la que está interactuando. Acercarse a este escenario desde el otro ángulo, ¿y si el concursante fuera un cliente legítimo y el representante había disminuido a ir a ese sitio web, ¿qué es lo peor que podría haber pasado? El cliente podría haber sido un poco molesto por haber sido rechazado la petición que quería pero todavía no habría cambiado el resultado. El producto tenía no era la causa de sus males. Un ingeniero social a menudo utiliza el encanto de iniciar una conversación sobre el tiempo, el trabajo, el producto, nada en absoluto, y lo utiliza para revelar la información buscada. Aquí es donde una buena política de concienciación sobre la seguridad entra en juego-educar a sus empleados acerca de las tácticas que podrían utilizarse contra ellos los puede salvar de actuar por miedo. En una auditoría el pretexto utilicé estaba siendo el ayudante del director financiero. Los empleados del centro de llamadas tenían un miedo a perder sus puestos de trabajo para rechazar las solicitudes de una gestión de tan alto nivel. ¿Por qué? No se les da la educación adecuada para saber que rechazar esa solicitud no les costaría

sus trabajos. Al mismo tiempo, los protocolos deben estar en su lugar para que el empleado para saber cuándo una solicitud de información es correcta. El valor percibido de la información que se pidió estrechamente relaciona con una persona educada y consciente sabiendo que incluso cositas pequeñas de datos pueden dar lugar a una violación masiva. Sabiendo que la persona en el otro extremo del teléfono en realidad no necesita saber cuál es el nombre de la compañía de preparación de alimentos para la cafetería puede ayudar a un empleado para responder de manera apropiada. Si usted es un empleador luego ayudar a sus empleados a desarrollar respuestas a estas solicitudes. En la mayoría de los casos, un simple, “Lo siento, no tengo esa información; por favor, póngase en contacto con nuestro departamento de compras si quieres eso.”O“Lo siento no estoy autorizado a divulgar esa información, pero puede enviar un correo electrónico a [email protected]

para solicitar alguna de esta información,”se puede recorrer un largo camino hacia la

anulación muchos esfuerzos de ingeniería social. He mencionado antes que la creación de una atmósfera que hace que la información parecen menos valiosa es también una táctica utilizada por los ingenieros sociales para que la gente libremente divulgar esta información “sin importancia”.

Usando el ejemplo del concurso de nuevo, se le pidió un competidor proporcionar alguna información de identificación. Su pretexto fue una empresa que fue contratado para hacer una auditoría interna y cuando el destino quiso verificar quién era él pidió algo fuera del formulario de solicitud. Nuestro concursante fingió inclinarse para un compañero de trabajo imaginario y dijo, “Jane, los señores de tu- Target-empresa quiere que el número de identificación de la solicitud, ¿puedes hacerme un favor y agarrarlo del escritorio de Bill?” Como “Jane” fue a buscar la forma de que el concursante participa en el blanco en charla ociosa. “¿Cómo es el clima en Texas?” Y “¿Alguna vez ha estado en Charlie Pub?” Escalado hasta convertirse en cosas como: “¿Quién se encarga de la comida para la cafetería?” Y “¿Quieres ver un sitio web muy interesante que estamos trabajando aquí?”

Todo esto ocurrió mientras estaba “esperando” para el número de identificación. Los ingenieros sociales utilizan esta táctica todos los días. Desvío y encanto son herramientas clave en muchos pretextos. La información que se pidió durante la “charla” se percibe como que tiene menos valor por el tiempo de la conversación se pidió. Si la SE había hecho la misma pregunta cuando fue “verificar sus resultados de la auditoría” que habría sido recibido con una actitud diferente, sino porque él lo pidió durante una conversación amistosa tanta información fue dada libremente.

Mitigación de esta táctica SE es para reflexionar sobre el valor de la información que usted está planeando en la liberación a pesar de que en la conversación que se pidió. En el ejemplo anterior, el objetivo es simplemente esperando a que el número de identificación antes de seguir cualquier conversación habría sido muy apropiado y lo salvó de ser engañado. Este punto en particular no siempre es fácil de implementar porque los empleados, especialmente los que se enfrenta el Cliente, deben ser capaces de liberar un poco de información sin temor a ser atacados. Simplemente ser consciente del valor de la información no pueden solos detener un ataque.

Software y actualización permanente de En la mayoría de las empresas debe ser capaz de entregar información al público y a los clientes. Incluso en mi negocio tengo que ser capaz de dar a conocer mis números de teléfono, correos electrónicos y direcciones web. Debo ser capaz de enviar y recibir archivos PDF y tengo que ser capaz de hablar libremente sobre el teléfono con los clientes, proveedores y vendedores. Sin embargo, los puntos discutidos hasta ahora indican que la liberación de cualquiera de estos datos puede ser el fin de los negocios de una y posiblemente privacidad. ¿Qué se puede hacer para tener la libertad de divulgar cierta información y no temer el final? Mantener actualizado. En nuestro concurso, más del 60% de las empresas que fueron llamados se sigue utilizando Internet Explorer 6 y Adobe Acrobat 8. Esos son asombrosas estadísticas.

no existen en esas dos aplicaciones independientes docenas e incluso cientos de vulnerabilidades públicas. Sabiendo que el objetivo usa esas dos aplicaciones que se abre para un gran número de ataques que pueden ser tan malicioso que todos los ID, cortafuegos y sistemas antivirus no es posible que detenerlos. Pero, ¿sabes lo que puede detenerlos? La respuesta es actualizaciones. Las versiones más recientes de software en general han parcheado sus agujeros de seguridad, al menos la mayoría de ellos. Si una determinada pieza de software tiene un historial horrible, no lo use; cambiar a algo menos vulnerables.

El problema que surge es que las empresas son muy lentos cuando se trata de mejoras. IE 6 es muy antigua, casi al final de su vida de soporte técnico de Microsoft. Adobe tiene 8 hazañas de decenas a disposición del público. Eso es sólo dos de las muchas piezas de información que encontramos en el concurso. La realidad del asunto, sin embargo, es que usted tiene que ser capaz de dar información. Usted debe ser capaz de decir libremente a la gente lo que está pasando. Para hacer eso con menos preocupación, usted debe asegurarse de que usted y su uso de los empleados informado de software.

En las llamadas del concurso, si un empleado divulgó que la compañía utiliza Firefox, Chrome u otro navegador seguro, o FoxIt o la mayoría del software-actualizada de Adobe, concursantes habrían sido cerradas. No estoy diciendo que esas piezas de software no experimentan ningún problema en absoluto. Exploits para ciertas versiones sin duda existen, pero este software es significativamente menos vulnerables. La posesión de esa información sigue siendo valiosa, pero si no hay hazañas están disponibles a continuación, la siguiente fase del ataque no se puede iniciar. Mantener actualizado el software es el consejo que parece sacar el máximo Flack, ya que toma la mayor parte del trabajo y puede causar la mayor parte de arriba. Cambiar las políticas y metodologías internas que permiten que el software muy viejo para estar todavía en el juego puede ser muy difícil y causar todo tipo de cambios internos. Sin embargo, si una empresa está comprometida con la seguridad y el compromiso de crear una conciencia de seguridad personal, entonces comprometerse con estos cambios pasarán a formar parte de la cultura empresarial.

Scripts en desarrollo Una cosa más beneficiosa la pena mencionar: desarrollar guiones. No temblar; No me refiero a los scripts en el sentido de que el empleado debe decir si X es igual a una situación A más B. Estoy hablando de esquemas que ayudan a prepararse un empleado a utilizar el pensamiento crítico cuando más cuenta. Tenga en cuenta estos escenarios:

¿Cuál es la respuesta correcta cuando alguien que afirma que trabaja para las llamadas CEO y exige su contraseña? ¿Qué se hace cuando un tipo que no tiene ninguna cita, pero se ve y actúa de parte de un proveedor exige el acceso a una parte del edificio o propiedad?

Los scripts pueden ayudar a un empleado a determinar la respuesta adecuada durante estas circunstancias y ayudar a que se sientan a gusto. Por ejemplo, un script puede tener este aspecto:

Si alguien llama y dice ser de la oficina de gestión y exige el cumplimiento de cualquiera de entrega de información o datos internos, siga estos pasos: 1. Pedir el número de identificación de empleado de la persona y el nombre. No responda a ninguna pregunta hasta que tenga esta información. 2. Después de conseguir la información de identificación, solicite el número de identificación del proyecto relacionado con el proyecto que él o ella es la gestión que requiere esta información. 3. Si se obtiene con éxito la información en los pasos 1 y 2, corresponder. Si no es así, pida a la persona a tener su gestor de enviar un correo electrónico a su gerente solicitante de la autorización y terminar la llamada. Una secuencia de comandos simple como esto puede ayudar a los empleados saben qué decir y hacer en circunstancias que ponen a prueba su conciencia de seguridad.

Aprender de Ingeniería auditorías sociales Si alguna vez has roto una rama en la que sabe que a medida que se recupere el médico puede enviar para la terapia. Como terapeutas que rehabilitar, puede someterse a algunas pruebas de estrés. Este tipo de pruebas permite a los médicos para ver si tiene debilidades que necesitan ser fortalecidas. Lo mismo se aplica para su negocio, excepto que en lugar de esperar a que la “ruptura” que se produzca antes de “prueba”, auditorías de ingeniería social le permiten realizar pruebas de esfuerzo a su empresa antes de que ocurra una violación. Las siguientes secciones responder a algunas preguntas clave cuando se trata de las auditorías de la ingeniería social y cómo elegir el mejor auditor. Antes de entrar en la profundidad de las auditorías de la ingeniería social, usted debe saber lo que realmente es una auditoría.

Entender lo que una auditoría de ingeniería social es

En los términos más básicos de una auditoría de la ingeniería social es donde se contrató a un profesional de la seguridad a prueba la gente, las políticas, y el perímetro físico de una empresa mediante la simulación de los mismos ataques que un ingeniero social malintencionado podría utilizar. Las dos diferencias principales entre un ingeniero social malicioso y un auditor profesional son:

Por lo general, existen directrices morales y legales que un auditor profesional seguirá.

Los objetivos del auditor profesional son siempre para ayudar y no avergonzar, robar o hacer daño al cliente. auditorías profesionales generalmente tienen limitaciones al alcance que no se imponen a los atacantes reales. El auditor profesional será pasar mucho tiempo en el análisis y la recopilación de datos sobre un “blanco” o cliente y utilizará esa información para desarrollar vectores de ataque realista. Mientras se hace esto el auditor profesional siempre tiene en cuenta los objetivos que se establecen en la escritura para cada auditoría. Esta es una pieza esencial del rompecabezas, porque va por un camino que puede tener muy malas consecuencias tanto en el SE y el objetivo podría ser tentador. Es evidente que los objetivos definidos pueden mantener un auditor de la ingeniería social de hacer ese error.

Establecimiento de objetivos de auditoría El ingeniero social profesional debe tener un comportamiento moral y ético al mismo tiempo que se extiende a través de esa línea que permite que él o ella para poner en el verdadero “sombrero negro” de un ingeniero social malicioso. Esto significa tomar nota de las cosas que él o ella puede utilizar para acceder y exponer un agujero o debilidad en las defensas de una empresa, no importa qué tan bajo que pueda parecer. Encontrar las brechas de seguridad tiene que ser equilibrado con una preocupación por los empleados individuales. Las empresas que son atacados con una auditoría de la ingeniería social a menudo piensan que el despido del empleado (s) que se cayó por el ataque soluciona el problema y se conecta el “hueco”. Lo que el cliente no se da cuenta es que después de una auditoría, aquellos empleados que se cayó de los ataques son probablemente la la mayoría de las personas seguras en el edificio en ese momento. El ingeniero social profesional debe tomar precauciones adicionales para asegurar

que los empleados no se ponen en la línea de fuego. En lo personal lo convierten en un punto clave para informar a los clientes que la auditoría no se trata de los empleados y, por lo que yo puedo evitarlo, no incluyo nombres de los empleados que se utilizaron. En los casos en que no se puede evitar y yo necesidad de incluir esos nombres, se enfoca el informe sobre los defectos de la compañía tiene en su formación, las políticas y las defensas que permitieron que el empleado para vacilar.

Lanzar un empleado bajo el autobús, por así decirlo, o arruinar su carácter o la vida nunca debe ser una opción para una auditoría de rutina ingeniería social. Cuando delineando los objetivos de una auditoría con un auditor esbozo el nivel de intensidad de 0 a 10 de estas áreas clave: Para determinar si los empleados van a hacer clic en enlaces en correos electrónicos o archivos abiertos de las personas que no conocen bien, lo que lleva a comprometer para determinar si un empleado iría a un sitio web e introduzca información personal o relacionada con el negocio en ese sitio Para determinar la cantidad de información puede ser obtenida a través del teléfono o en persona visitas de los empleados en el trabajo o lugares personales (es decir, bares, gimnasios, guarderías) Para determinar el nivel de seguridad en el perímetro de su cargo por los bloqueos de prueba, cámaras, sensores de movimiento, y guardias de seguridad

Para determinar la capacidad de un ingeniero social para crear un USB malicioso o DVD que va a atraer el empleado para usarlo en su equipo de trabajo, poniendo en peligro el negocio Por supuesto, se pondrá a prueba más áreas, pero lo que trato de hacer es delinear estrechamente los objetivos que la empresa tiene para esta auditoría. Lo que me parece es que las empresas a menudo no saben lo que quieren. El trabajo del auditor es caminar a través de diferentes vías en la empresa y para determinar cuál de aquellos a los que desea probar. Cuando estos objetivos están claramente definidos, también debe incluir una lista de las cosas que son para no ser incluidos en una auditoría.

Lo que debe y no debe incluirse en una auditoría Existen muchas maneras diferentes para probar los objetivos planteados para ver con claridad si existe un agujero de seguridad en una empresa. Utilizando todos los principios de este libro puede

ayudar a trazar un buen plan de ataque. Sin embargo, evitar algunas cosas en la planificación de un ataque. Cosas como: Atacando a la familia o amigos de un objetivo Plantar pruebas de delitos o la infidelidad de desacreditar un objetivo Dependiendo de las leyes de la tierra, haciéndose pasar por aplicación de la ley puede ser ilegal Irrumpir en la casa o apartamento de un objetivo A partir de evidencia de una relación real o circunstancia embarazosa para chantajear un objetivo en conformidad

Cosas como estas se deben evitar a toda costa, ya que no logran el objetivo y dejan la sensación de destino violado. Sin embargo, la pregunta viene acerca de lo que debe hacer si en una evidencia de auditoría aparece de algunas de estas cosas. Cada auditor debe decidir personalmente cómo manejar estas circunstancias, pero tenga en cuenta un par de ejemplos. En una auditoría, un auditor descubrió un empleado utilizaba Internet de alta velocidad de la compañía para descargar gigabytes de pornografía a los discos duros externos. En lugar de correr el riesgo de ser despedido del empleado fue al empleado y le dijo que lo sabía, pero no quería que él a ser despedido y simplemente le dio una advertencia para detener. El empleado se convirtió en vergüenza y malestar y pensó que el auditor se va a todavía le informará. Él decidió que quería combatir preventivamente este ataque y se fue a los propietarios y dijo que el auditor estaba plantando evidencia de este delito en su ordenador. Por supuesto, el auditor tenía registros y capturas de pantalla de cuando ocurrió el compromiso y el empleado fue despedido de todos modos. Sino también el auditor fue reprendido por no venir hacia adelante cuando se encontró con un delito por el que la empresa tenía una política estricta.

En otra versión, el auditor encontró evidencia de un hombre de descargar pornografía infantil a su computadora y luego distribuirla a otras personas en Internet. El auditor sabía de las otras imágenes en su ordenador que tenía una esposa e hijos y que los informes que esto llevaría al divorcio, probablemente tiempo en la cárcel, y la ruina de su carrera, así como la vida de la familia. La ley de la tierra era que la pornografía infantil es ilegal, así como moralmente repugnante y vil. El auditor se convirtió en el hombre a la empresa como

así como las autoridades, que cuestan de que el hombre de su carrera, la familia y la libertad.

Tener un claramente definido “no” mejora su lista de auditorías y le impide cruzar las propias directrices morales y legales. En una entrevista que tuve con Joe Navarro, uno de los líderes mundiales en la comunicación no verbal, hizo una declaración sobre este punto. Dijo que a menos que usted es un agente de la ley que tiene que decidir cuáles son las líneas que debe y no debe cruzar antes de que entran en un compromiso. Con esto en mente, entonces qué cosas debe incluir un auditor en las auditorías? Los ataques de phishing: ataques de correo electrónico dirigidos que permiten a una empresa para ver si sus empleados son susceptibles a ataques a través de correo electrónico.

Pretexting ataques en las personas: Muy pretextos precisas y controladas son elegidos y luego realizan por teléfono o en persona para determinar si los empleados caerán para ellos. cebo: Un ataque en persona, donde se accede a la construcción del objetivo u otra propiedad por algún método, y puertos USB o DVD se dejan caer que contienen archivos maliciosos incrustados en ellos con código malicioso.

Chupar rueda (o lleva a cuestas): Un ataque en persona cuando el auditor intenta acercarse a un grupo de empleados para acceder al edificio con sólo seguir en. Seguridad Física (equipo rojo): Un intento de obtener acceso físico a una oficina y tomar los objetos de valor a la empresa. Esta breve lista puede ayudar a un auditor profesional establecido algunas pautas para definir lo que debe y no debe ser incluido. Sin embargo, uno de los problemas más grandes que muchas empresas tienen es tratar de escoger un buen auditor, que puede realizar estas tareas a la mano.

Elegir el mejor Auditor Si se rompió una extremidad y el daño era malo, y un médico le ha dicho que tiene una oportunidad para la recuperación de sólo el 50%, pero que va a ver un buen cirujano podría aumentar las probabilidades, ¿no buscar alta y baja para una buen cirujano para arreglar sus problemas? Y cuando lo encontró, lo que preguntas le haría? ¿No le gustaría ver a su trabajo anterior? Querrías

alguna prueba de su capacidad para captar los conceptos y realizar las tareas que aumenten sus posibilidades de recuperación. Se sigue un proceso similar para encontrar el auditor derecha. Éstos son algunos de los conceptos básicos que usted puede ser que desee para averiguar como usted habla a un auditor:

Conocimiento: el equipo ha publicado ninguna investigación, documentos, discursos, u otros materiales que muestran que son conocedores de la ingeniería social? ¿Son conocidos en la comunidad por ser líderes en este campo? Usted no quiere confiar en su auditoría y seguridad a un equipo que está utilizando métodos anticuados y no está en que se utilizan las tácticas más recientes. La determinación de la cantidad de conocimiento que un auditor y el equipo tiene es difícil de hacer sin un poco de investigación. Pidiendo los auditores acerca de los documentos, artículos o informaciones que han escrito sobre los temas no es una mala idea. Asegúrese de que el equipo que contrate está en la cima de su juego.

Experiencia: Los clientes a menudo no quieren ser identificados o nombrado. En mi caso, muchos clientes no quieren ser puesto en un sitio web o material de comercialización, ya que sienten que esto avergonzarlos o hacerlos vulnerables. Sin embargo, se puede determinar la experiencia del auditor de otras maneras. Pregúntale sobre los métodos que ha utilizado y cómo se implementa soluciones en el pasado. Un auditor a menudo no quiere dejar que todos los secretos de la bolsa en una reunión inicial, sino que le pregunte por uno o dos cuentas de ataques se puso en marcha, lo que ayudará a determinar su nivel de habilidad. Contrato: Tener la auditoría completamente esbozó, documentado, y limitaciones establecidas puede recorrer un largo camino hacia el éxito de una auditoría. En lo personal, no me gusta trabajar con un montón de limitaciones porque la mayoría de los ingenieros sociales maliciosos no tienen ninguna en absoluto. Pero por lo menos un pequeño subconjunto de reglas escritas sobre lo que está y no está permitido debe ser acordado. Un ingeniero social quiere permiso para grabar llamadas telefónicas; de vídeo a grabar el edificio y las interacciones; y sobre todo si una auditoría incluye la seguridad física, tener permiso por escrito para eliminar elementos de las instalaciones. Un auditor no quiere terminar la auditoría sólo para ser presentado con una orden judicial o una demanda.

También designará una persona de contacto de emergencia que sabe de la auditoría y puede dar fe de que el auditor y el equipo. Si un auditor se encuentra en un atasco legal que querrá un número para llamar. Nadie quiere ser la realización de un contenedor de basura de buceo nocturno para ser recibidos por la policía y tiene que sentarse la noche en la cárcel. Tener una persona de contacto proporciona un “salir de la cárcel libre” tarjeta y puede ahorrar un montón de problemas en el largo plazo.

Compenetración: Aplicar los principios de este libro para encontrar un buen auditor. Al contactar con él por teléfono o en persona ¿cómo te hace sentir? ¿Que ves? ¿Le da la sensación de que es muy profesional y su objetivo es ayudar realmente? ¿El equipo represente a sí mismo y su negocio como uno desea ser asociado con? Si usted es el jefe de proyecto que está contratando un auditor, una carga de la responsabilidad recae sobre usted. El auditor puede no querer reunirse con un equipo. El menor número de personas que saben lo que el equipo SE parece, mejor para las auditorías de seguridad física. El equipo, como resultado, sólo puede querer cumplir con una o dos personas. Esto significa que usted debe asegurarse de que el auditor es de alta calidad y puede hacer el trabajo necesario. Hora: Uno de los mayores errores que hacen las empresas en la búsqueda de los auditores para ayudarles a que no les está dando tiempo suficiente para realizar el trabajo. Calculan que un par de llamadas de teléfono o una visita al lugar todos pueden llevarse a cabo en un solo día. Aunque esto puede ser cierto, ¿qué pasa con la recopilación de información, la planificación y de alcance a los objetivos? Estas cosas toman tiempo. El tiempo es importante, pero también es un tiempo suficiente de doble filo espada de permitir que el auditor de hacer un buen trabajo, pero no tanto tiempo que se convierte en un problema de costes. Gestionar, pero no las micro manejar.

Estas son sólo algunas de las áreas a considerar al elegir el auditor para su empresa. Al final, usted debe sentirse cómodo y bueno que el equipo de ingeniería social tienen sus mejores intereses en el corazón, hará todo lo posible para seguir siendo profesional, y permanecer dentro de las directrices.

Observaciones finales

El conocimiento no tiene valor si no se lleva a la práctica.

- Anton Chejov La información que proporciono en este libro no es alegre. Mucha de la información muestra vulnerabilidades graves en la forma de pensar y actuar. Cuando enseño clases de seguridad con mi mentor, Mati, habla de un codificador de carga útil llamado “Shikata ga nai”, que en japonés significa “que no se puede evitar” o menos traducido, “no hay esperanza.” Pensé en hacer que el epígrafe, pero pensé que la frase “no hay esperanza” es un poco más fatalista que me gusta estar normalmente. En lugar de ello, siento el pensamiento acerca de la práctica y el conocimiento cabe más del tema del libro. He dicho una y otra vez que el perfeccionamiento de las habilidades, así como la capacidad de detectar estas habilidades en uso necesita mucho más que un simple conocimiento. Ser demasiado miedo de las cosas que he mencionado en este libro lleva a la ira en todas las formas en que se hackeado, que sólo lleva por un camino que hará que cerremos nuestras mentes. En lugar Sugiero un enfoque diferente a la información de este libro, además de miedo: Una nueva forma de pensar que le anima a aprender y pensar y entender los métodos de la utilización “malos” para que pueda ser protegido de caer presa de ellos.

Ahora no estoy diciendo que no hay lugar para el miedo. Definitivamente hay espacio para sentir algún temor saludable. La protección de sus datos, su información personal y su identidad, pero al mismo tiempo la comprensión de la mentalidad “hacker” se combina con la información de este libro, puede ser más beneficioso para usted. Esta sección aborda algunas cosas que espero que puedan sacar de este libro y utilizar en su vida, especialmente si usted está a cargo de la seguridad de su empresa, sus clientes, o leyendo esto para su propia seguridad personal ..

Ingeniería social no es siempre negativa

Espero que me impresionó sobre ti que la ingeniería social no siempre es negativo. No siempre los hackers o los estafadores que usan tácticas de ingeniería social. Médicos, terapeutas, trabajadores sociales, padres, hijos, jefes, empleados de todo el mundo utiliza tácticas de ingeniería social hasta cierto punto. El arte de la persuasión se utiliza a menudo en la normalidad social cotidiana

situaciones. Al enterarse de que la ingeniería social no siempre es miedo, oscuro, y el mal puede recorrer un largo camino hacia el descubrimiento de cómo se utilizan ciertas habilidades. Después de comprender esas habilidades, la práctica y convertirse en experto o perito en ellas; discernir cómo están siendo utilizados contra personas, entonces se vuelve mucho más fácil. Se pueden encontrar lugares para analizar estas habilidades que no están en las esquinas oscuras del mundo. Puede leer libros sobre la psicología, la persuasión, y las ventas, luego observar en el campo para ver cómo se usan estas habilidades.

La importancia de reunir y organizar la información Realmente no puedo reiterar lo importante información de calidad reunir realmente es. La calidad, el profesionalismo y el éxito de todos los trabajos de ingeniería social depende del nivel de recopilación de información que haces. La Web es un recurso ilimitado e inagotable de información. Las empresas publican sus registros financieros, los nombres y títulos, información de contacto, fotos de la ubicación física, las políticas de seguridad, contratos, vendedores y proveedores empleados nombres, los archivos personales de la gente, y mucho más. En el plano personal, empleados, así como la gente común publicar imágenes personales, sus direcciones, sus compras, arrendamientos, contratos, los alimentos favoritos, equipos, música, y así sucesivamente.

Armado con toda esta enorme cantidad de información que un ingeniero social puede escoger y elegir lo que quiere usar y qué tipo de vector de ataque para poner en práctica. A medida que el compromiso sigue la información recopilada dará el ingeniero social la posibilidad de utilizar líneas de la historia y pretextos que tendrán el mayor efecto sobre el objetivo. Sin recopilación de información, como se reitera a lo largo del libro, el compromiso conducirá muy probablemente a la falta.

Por ejemplo, si se le da un auditor profesional tres semanas para un trabajo, debería pasar la mitad de ese tiempo reuniendo información. Sin embargo, los auditores profesionales a menudo tienen una tendencia a excitarse y acercarse al objetivo con los viejos pretextos de reserva. No caer en este hábito; pasar mucho tiempo en la recolección de información. Casi tan importante como la recopilación de información en sí es la forma de almacenar

y catalogar la información, tal vez utilizando uno de los métodos mencionados en el Capítulo 2 para almacenar y organizar esta información. Aprender a no sólo recolectar eficientemente la información, pero la forma de almacenar la información puede recorrer un largo camino hacia lo que es eficaz para su uso. No simplemente vertido cosas en un documento de enorme pero la categorización de las cosas, catalogación y etiquetado de esa opción para que la información sea fácil de usar, especialmente si usted está en un compromiso teléfono.

Sólo recuerde que un ingeniero social es sólo tan buena como la información que obtenga. Yo personalmente he visto demasiados conciertos van por el desagüe debido a la mala información o falta de información. Al mismo tiempo he visto a personas que podrían no ser los altavoces terso o el más encantador tener éxito en situaciones muy difíciles a causa de la información que se reunieron. La información es el quid de la ingeniería social, y si se toma cualquier cosa lejos de este libro, que sea eso.

Elija cuidadosamente sus palabras Al igual que el epígrafe de apertura de esta sección, este tema se presta a la idea de que la información no tiene valor si no se lleva a la práctica. Usted puede tener toda la información recogida y organización y catalogación, pero hay que utilizarlo de manera eficiente. El primer paso en este es organizar lo que las palabras que va a utilizar.

Discutí las habilidades de elicitación y precarga. Estos son dos de las habilidades más valiosas, y espero que la práctica de usarlos. Use anclas, palabras clave y frases para cargar el objetivo con las emociones y pensamientos para que lo siguiera su ejemplo. La precarga es una técnica muy poderosa que no se puede dominar en un corto tiempo, pero la práctica le permitirá utilizar esta habilidad. Lo bueno de la precarga es que se puede practicar esta habilidad en el hogar, en el trabajo, con sus hijos, sus padres, sus clientes, en cualquier lugar realmente. No piense que la práctica esto significa que siempre tendrá que conseguir que la gente haga cosas contra su voluntad. La precarga se utiliza para motivar mente de las personas a ser más abierto a una sugerencia o idea. Usted no tiene que utilizar maliciosamente. Los niños lo hacen todo el tiempo. Por ejemplo, su hija dice: “Papi, te amo ...” y añade unos segundos más tarde, “¿Puedo tengo esa nueva muñeca?” Esta es una

ejemplo de precarga, poniendo un “blanco” en un estado emocional agradable. Una vez que domines esa habilidad, o al menos ser competentes en su uso, trabajar en el modo de usar la elicitación. Recuerde que nadie le gusta la sensación de ser interrogado. Elicitación no debe imitar a un interrogatorio policial; debe ser una conversación fluida, transparente que se utiliza para reunir información de inteligencia sobre el objetivo o tema que está buscando. El aprendizaje de los métodos y procedimientos utilizados para llegar a las preguntas que se pueden utilizar en una conversación normal no sólo mejorará sus habilidades como ingeniero social, sino también como comunicador. La gente disfruta cuando se sienten otros están interesados ​en su vida y su trabajo. El uso de esta técnica para el bien puede mejorar su capacidad como ingeniero social.

Tengo un buen amigo que hace que la gente le dicen nada. Es extraño. extraños serán, al final de una conversación, dicen cosas como: “Es que no sé por qué te estoy diciendo todas estas cosas ...” Ella no es un ingeniero social o incluso en la seguridad, pero ella es una gran inductor. El dominio de la precarga y la elicitación puede mejorar su capacidad de planificar también lo que va a decir. Estas habilidades pueden poner su mente en el marco de la búsqueda y recopilación de información de una manera más inteligente y menos intrusivo.

Tener un buen pretexto

Recuerde que un buen pretexto no es una mentira o una historia. En su lugar se convierte en el pretexto y vive por un corto tiempo. Cada fibra de su ser-sus pensamientos, acciones, palabras y la motivación debe reflejar lo que el pretexto haría. Si se puede lograr esto, entonces su pretexto será creíble a la meta. La otra cosa a tener en cuenta es que los pretextos se utiliza en la vida cotidiana, no sólo en la ingeniería social. Imagínese este escenario: Usted acaba de tener una discusión con su pareja. Ahora es el momento para el trabajo. Usted no quiere que todos sepan que las cosas en casa no son tan buenos el día de hoy, por lo que cuando se va a trabajar y conocer a sus compañeros de trabajo que dicen, “Hey Jim ¿cómo te va?” Su respuesta es “impresionante. No podría ser mejor “.

Esto es lo contrario de la verdad, pero ¿qué se puede hacer para que eso creíble? Disparar a alguien una sonrisa, o la confianza del proyecto a través de su postura o el lenguaje corporal. Dependiendo de cómo usted es privada y cuánto

no quieren compartir con sus compañeros de trabajo que incluso podría tener un “artículo de portada” para demostrar lo grande que es la vida. Este es sólo un escenario, pero la gente usar pretextos todo el tiempo. Cada vez que usted está tratando de retratar una diferencia con respecto a lo que es la realidad a la gente de la “historia de la cubierta” para que sea creíble es un pretexto. Por supuesto, la mayoría de la gente no es muy bueno en eso y se detectan fácilmente, pero darse cuenta de estas situaciones en su vida y el trabajo le dará una buena base de pretextos para analizar. El análisis de estos escenarios puede ayudar a identificar áreas que desea mejorar en sus pretextos y ayudarle a dominar esta habilidad muy útil.

Práctica de lectura Expresiones Creo que puedo hablar durante semanas sobre microexpresiones. El tema me fascina, y me intriga pensar que las personas se han incorporado en los mecanismos para la visualización de nuestros sentimientos más profundos y oscuros, y la mayoría de nosotros tendrá ningún control sobre él. ¿Cómo nuestras emociones causan ciertos músculos se contraigan y muestran una cierta expresión de milisegundos es sólo un aspecto sorprendente de la creación. Pero aprender a cuenta de ellos, leerlos, y utilizar esas mismas expresiones para manipular a los demás es algo que realmente me sorprende.

Practique cómo volver a crear las microexpresiones discutidos en el Capítulo 5. Mientras lo hace, nota las emociones las microexpresiones evocan en ti. La práctica de estas expresiones también ayudará a que las lee cuando los demás a expresar.

A medida que la práctica, no se centran sólo en lo se tarda en leer microexpresiones en otros, sino en la forma de controlar su propio microexpresiones y evitar que alguien que use sus habilidades de lectura del rostro de lectura en usted. Recuerde que la lectura de los demás es una buena habilidad, pero tener el control sobre sus propios microexpresiones, lenguaje corporal, y tonos de voz es mucho mejor. Esta habilidad se puede mejorar su práctica de seguridad, así como sus relaciones personales. Una vez que tenga muchas de esas habilidades, usted comenzará a ver cómo se puede utilizar uno de los conceptos principales del capítulo 5, el desbordamiento de búfer humana (HBO). La mente humana funciona como el software, sólo en un nivel más alto. Pero se puede fuzzed, examinó, y derrocado como el software. Vuelva a leer esa sección para asegurarse de que entiende plenamente los principios

presentada.

La manipulación e influencia

La manipulación e influencia son dos aspectos de la interacción social que tienen algunos efectos dramáticos y de gran alcance en las personas que interactúan con. Por esa razón, utilice la información en el capítulo 6 con extremo cuidado. Aprender a persuadir y manipular a la gente, literalmente, puede hacer la diferencia entre el éxito o el fracaso en una tarea de ingeniería social. Cada día, la gente trata de manipular y persuadir a otros a tomar acciones. Algunas de estas acciones son muy malos y pueden costar dinero, la libertad personal, y las identidades. Utilizar esas situaciones como herramientas de enseñanza. Analizar los métodos que los vendedores, psicólogos, consejeros, maestros, compañeros de trabajo e incluso los utilizan para tratar de manipularlo. Seleccionar puntos que usted piensa que usted puede aprender de y ponerlos en su arsenal. Recuerde que la persuasión no siempre es negativo: No siempre tiene que significar conseguir a alguien a hacer algo que no quieren. La persuasión puede tener efectos muy positivos, y muchas veces, la persuasión positiva es mucho más difícil. Si usted puede dominar las habilidades y los utilizan para ayudar a las personas a mantenerse seguro, usted será más fácilmente capaces de identificar cuando alguien está usando tácticas de persuasión en un sentido negativo.

Esté alerta a las tácticas maliciosos Ser consciente de lo que los atacantes utilizan tácticas seguramente evitar que sean víctimas de ellas. Los auditores profesionales pueden utilizar estas tácticas para educar a sus clientes sobre lo que debe buscar en un posible ataque. Esté alerta para escoger casos de cómo se están utilizando. Por ejemplo, una de las tácticas del uso “malos” es de huelga durante los tiempos difíciles. Cuando los aviones se estrellaron contra las torres gemelas, los terremotos golpearon Haití y el tsunami golpeó Asia, la devastación de la población humana y de sus vidas, la psique y las emociones era insuperable. Durante los momentos de vulnerabilidad y debilidad de las personas es exactamente cuando los malos huelga. Permítanme ilustrar esta manera: Una vez leí un artículo que hablaba sobre cómo

leones cazan en la naturaleza. Se dice que un león, cuando se quiere confundir y disjuntos un grupo de presas para elegir una víctima, rugirá hacia el suelo, y no hacia la presa o el cielo, pero el suelo. ¿Por qué? Esto se debe a la masiva, rugido inspirador de temor se reverb de la tierra y rodear a la presa. Ellos se confunden por no saber qué dirección el león está viniendo. Algunos dispersará izquierda, algunos se dispersan bien, pero van a salir de sus miembros jóvenes, viejos, enfermos, e inmaduros manada abierta. Lo anterior no es demasiado lejos de cómo operan los ingenieros sociales maliciosos profesionales. Ellos “rugido” de una manera tal como para causar o aumentar la confusión. Utilizan sitios web que ayudar a encontrar a sus seres queridos muertos después de un desastre natural, o reclamar a sí mismos que han perdido familiares y amigos en la carnicería. Cuando las emociones de los “blancos” son tan involucrados que no pueden ver bien es cuando se produce un ataque. Los inmaduros y sin experiencia (tecnológicamente hablando) son víctimas por primera vez por dar pequeños trozos de información hasta que el atacante tiene suficiente para construir un perfil. Ese perfil ayuda a lanzar nuevos ataques, y esos ataques conseguir más vicioso y sin corazón. Esté alerta a estas instancias, y va a mantener a sus clientes y usted mismo protegido de ser víctimas de ellos. Asimismo, el uso de estas situaciones como una lección de aprendizaje, analizar los métodos utilizados, y ver si trabajan o fallaron. Si lo hace, va a mejorar su capacidad de ser más atentos a las amenazas potenciales.

La desafortunada diferencia en entre un león y un ingeniero social (además de lo obvio) es que un ingeniero social no da ningún ruido audible. Él no está por ahí gritando: “Quiero presa, ahora corre!” Ataques astuto, sutiles ingenieros sociales En lugar maliciosos truco miles en sus trampas cada año.

Utilice su miedo Ahora bien, si este capítulo ha construido ningún tipo de miedo en ti todo lo que puedo decir es, “bueno.” Usted lo necesita. Porque el temor saludable puede salvar su vida, o al menos en este caso, su identidad y su negocio.

El uso que el miedo para motivar el cambio. No consiga enojado y molesto. Tomar la decisión de cambiar y educarse a sí mismo, sus familias y sus empresas cómo observar, aviso, y defenderse contra estos ataques. Hacer

la decisión de no permitir que sus identidades y sus empresas a ser pirateadas, y luego hacer algo al respecto. Todo este libro se reduce a “seguridad a través de la educación.” piratería humana es una forma de arte. La ingeniería social es una mezcla y mezcla de ciencias, el arte, y habilidad. Cuando se mezclan en la cantidad correcta y la mezcla de la derecha los resultados son “shikata nai ga.” Las empresas pierden millones de dólares por año en caso de incumplimiento, con una gran mayoría de esas violaciones derivadas de ataques de ingeniería social. Sin embargo, más a menudo que no, cuando nos ofrecemos a los clientes la oportunidad de añadir la auditoría de la ingeniería social para sus servicios Pentesting que declinan. ¿Por qué?

Las empresas tienden a temer el cambio. Innumerables veces en mi práctica profesional he oído dueños de negocios inteligentes y exitosos dicen cosas como: “No necesitamos una auditoría de la ingeniería social. Nuestro pueblo no caer en los trucos.”Luego, durante la prueba de intrusión vamos a hacer un par de llamadas autorizados para obtener información y cuando se presenta la información en el informe que sorprende lo fácil que era para obtener la información. En todos los niveles de varias empresas, la conciencia de seguridad no tiende a cambiar mucho. Cuando se habla de las empresas después de una prueba de intrusión de un programa de formación de conciencia de seguridad pusimos en marcha, muchos nos dijeron que no llevan a cabo un entrenamiento formal intenso para centro de llamadas o departamentos de soporte técnico. Sin embargo, esos son los mismos departamentos que más a menudo caen en ataques de ingeniería social.

Esto apunta a la raíz del problema que estoy hablando aquí. Seguridad a través de la educación no puede ser un simple eslogan; tiene que convertirse en una declaración de misión. Hasta que las empresas y las personas que integran esas compañías toman la seguridad personal y en serio, este problema no se solucionará por completo. Mientras tanto, los que estaban lo suficientemente grave como para leer este libro y tener un deseo de mirar en los rincones oscuros de la sociedad puede mejorar sus habilidades suficientes para mantener a sus familias, los mismos, y las empresas un poco más seguro.

Cuando el león ruge “” ser el que está en la parte frontal del envase que lleva el éxodo fuera del camino. Ser un ejemplo de qué hacer y cómo defenderse contra estos ataques.

Con suficiente tiempo y esfuerzo suficiente cualquiera puede ser ingeniería social. Esas palabras son verdaderas, tan temible como son. Eso no quiere decir que no hay esperanza; esto significa que su trabajo es hacer que la ingeniería social malicioso tan difícil y lleva mucho tiempo que la mayoría de los hackers se dará por vencido y va a buscar “la fruta que cuelga baja” o la presa que se deja atrás. Lo sé; suena frío. Me gustaría que si todo el mundo lo lea este libro y hacer un poco de cambios-masiva, entonces las empresas sería realmente segura. Pero eso no es más que el mundo en que vivimos. Esta afirmación, a continuación, plantea una cuestión muy seria. Si verdaderamente no hay esperanza, ¿cómo pueden las empresas, las personas, las familias, y todo el mundo protegen contra esta vulnerabilidad masiva? Hasta que las empresas empiezan a darse cuenta de su vulnerabilidad a ataques de ingeniería social, los individuos tendrán que educarse sobre los métodos de ataque y permanecer vigilantes, así como difundir la palabra a los demás. Sólo entonces tenemos la esperanza de quedarse si no un paso por delante de un ataque, a continuación, no demasiado lejos.

Resumen Al concluir este libro, espero que te ha abierto los ojos al mundo de la ingeniería social. Espero que continuará para ayudarle a tomar nota de la posibilidad de ataques maliciosos. Espero que haya ayudado a construir o mantener un sano temor de la posibilidad de un desastre.

También espero que este libro le ayuda a proteger sus empresas, sus familias, sus hijos, sus inversiones y su vida. Espero que la información dentro te ha declarado que el permanecer completamente seguro y protegido no es imposible. Mati Aharoni, mi mentor, dice en una de sus clases que la razón por la que los malos ganan generalmente es porque tienen la dedicación, el tiempo y la motivación de su lado. No deje que la vida en el camino de la seguridad. Por el contrario, no deje demasiado miedo a los malos que impiden disfrutar de la vida. Espero que la aplicación de los principios de este libro mejora su capacidad de leer y comunicarse más eficazmente con las personas que le rodean. Su uso en muchos aspectos de su vida, no sólo la seguridad, puede llegar a ser una alteración de la vida

ejercicio. La ingeniería social es realmente una forma de arte. Disfrutar.

Índice

Números Regla 7-38-55 419 estafa UNA

Abagnale, Frank Jr.

escucha activa, reflexiva y responder enfoque agresivo para el interrogatorio Aharoni, Mati programa se bloquea la colección de sellos la formación de la Fuerza Aérea, los incentivos sociales y el alcohol, y eliciation ruta alternativa Amazon logotipo de anclaje

ira, ansiedad microexpresiones la apariencia, la construcción de relaciones y la colocación del brazo / mano pedir lo que quiere saber que manejaba

supuestos en los ataques de manipulación positiva preguntas assumptive Asterisk

más costoso

Dalai Lama identificar atención, el atractivo sosteniendo Ventas de grabación de audio, la consistencia de la tarjeta celular pensadores auditivas auditorías la fijación de objetivos de selección del auditor incluye elementos autoridad

autoridad legal autoridad social autoridad organizativa símbolos de símbolos

segundo

fondo de damas BackTrack BasKet dradis Balmund, DC, modelo transaccional de las comunicaciones Bandiera, Oriana Bandler, Richard historias como cuentas bancarias, instrucciones directas Blippy

transferencia bancaria, Stanley Marcos Rifkin Barankay, Iwan Barlett, Frederic C. comportamiento de la línea de base para las notas objetivos CESTA capturas de pantalla Bateson, Gregory

Batalla por la mente ( Sargant) la belleza, el éxito y cambios de comportamiento en el engaño Benford, Robert

Berlo, David, SMCR (Sender-mensaje-canal-receptor) modelo de BitDefender, el uso de la contraseña asociación de color negro Blippy

compra de color azul lenguaje corporal asociación Condon, William coincidente Bloomingdale

micromovimientos la postura del cuerpo, el interrogatorio y Boehm, Stephan G. Boothman, nombres de marcas Nicholas

Brandler, Richard, ritmo respiratorio programación neurolingüística

Bregler, Christoph Bressert, Steve asociación de color marrón

marrón, tampón definición desbordamiento humana

comandos incrustados Fuzzing llaves bump Bump BiLock Prueba Butler, Judith do

cámaras de suplantación de identificación de llamada

Campeau, Robert CTU Canadiense (Unidad contra el Terrorismo), los planes de construcción

Cámara indiscreta carnavales, consistencia y estudios de casos DMV truco

importancia de CEO exceso de confianza Administración de Seguridad Social truco parque temático Escándalo Top Secret Top Secret 1 2 Cathie Marsh Center de Censo y Encuesta de Información celebridad respaldo del producto de tarjeta de celular para CEWL grabación de audio

CFB (Canadian Forces Base), violación de la seguridad Chebat, Jean-Charles

cheques arrancaron en el coche autoridad Cialdini, Robert y el compromiso y la coherencia enfermera experimento prueba social preguntas cerradas compañeros de trabajo como la coacción amenaza a la seguridad Cafetería conversación color de la disonancia cognitiva en la manipulación negro oro azul verde marrón naranja, rojo, morado

blanco amarillo enfoque de combinación de interrogación carnavales zonas de confort de compromiso

decisiones y casas de juego sensaciones de la tripa la recopilación de información y comunicación

formas de energía definición

porción no verbal percepción y realidades personales y proceso reglas

preguntas y reglas ingenieros sociales y unidad de parte verbal aceptación USB

comunicación de canal modelo retroalimentación en desarrollo la recopilación de información y el receptor de mensajes modelo de Shannon-Weaver

base problemas para

SMCR (Sender-mensaje-canal-receptor) el éxito fuente del modelo modelado de comunicación modelo transaccional

concesión encuesta Computer Security Institute

concesiones contingentes Donación solicitudes de cuotas concesiones de etiquetas negociación y reciprocidad conclusión, pretextos y comercialización acondicionado

lenguaje corporal micro-movimientos Condon, William PNL (programación neurolingüística) los datos confidenciales en la confrontación de correo electrónico, consenso positivo Conservadores de consistencia Movimiento Ventas carnavales

decisiones y casas de juego la recopilación de información y comercialización

desacato, Microexpresiones contingentes concesiones contradicciones en el engaño que controlan la educación ambiental conversación expresiones faciales

avaricia dominar el arte comportamiento natural lucha contra el terrorismo, el encuadre y cupones como incentivo financiero Covell, Michele Craig, KD

Crandall, cultos cristianos, manipulación y las diferencias culturales gestos

reciprocidad y CUPP (Common User contraseñas Profiler) curiosidad, simpatía y re

Dalai Lama DarkMarket, Maestro Splynter DarkReading, las violaciones de datos Darwin, Charles, La

expresión de las emociones en el hombre y los animales

Davis, Harry de Boulogne, de Duchenne, sonriendo comportamiento de detección engaño cambia gestos contradicciones mano titubear

la toma de decisiones, el compromiso y la coherencia DeLozier, Judith

Tortugas todo el camino

negaciones, el interrogatorio y Departamento de Defensa, el interrogatorio y el DHS (Departamento de Seguridad Nacional), dialectos de obtención, practicando

Dialectos para la etapa ( Machlin) enfoque directo a un interrogatorio instrucciones directas, historias como las víctimas de desastres

empleados descontentos asco, microexpresiones desvío Hack (DMV) Mitnick médicos

documentos, rallado de Perros sentido dominante, la donación de discernimiento solicita Dradis salto del contenedor punteros Dunn, Patricia

informes Dunn and Bradstreet mi

economía, principio de la escasez y la educación, la seguridad y

enfoque egoísta a un interrogatorio Eidelman, Scott Ekman, Paul emociones Revealed FACS (Facial Action Coding System)

microexpresiones formación emociones

O'Sullivan, Maureen Desenmascarando la cara la colocación del codo Proyecto magos cerraduras electrónicas de alcohol elicitación apelando al ego asumido definición del conocimiento DHS (Departamento de Seguridad Nacional) expresiones faciales y declaraciones falsas, objetivos deliberados de la recopilación de información y el interés mutuo

NSA (Agencia de Seguridad Nacional) precarga y preguntas assumptive de composición cerrada que conduce

Abierto enfoque razones de pirámide funciona éxito voluntario de correo electrónico de la información, los datos confidenciales

confidenciales comandos incrustados acercamiento emocional a un interrogatorio lazos emocionales de las emociones de destino que controlan sensaciones de la tripa influyen interferring

macroexpressions microexpresiones la ira menosprecio disgusto Ekman, Paul miedo

felicidad tristeza sorpresa persuasión comportamiento y unversality de destino

Emociones Revealed ( Ekman) empatía desastre seguro de víctimas empresa relación y empleados descontentos robo

energía, comunicación y

ingeniería, control de entorno Defintion Las leyes europeas, analizadores de puertos enfoque exagerado a un interrogatorio reclutadores de ejecutivos expectativas, la ley de las expectativas expresiones, ojos que practican señales

interrogación y F enfrentar de ahorro de acercamiento a la interrogación Facebook

expresiones faciales y elicitación La expresión de las emociones en el hombre y los animales

macroexpressions microexpresiones limitaciones de detección engaño de reflejo neurolingüística piratería de entrenamiento para ver expresiones micromomentáneos ojos estoico FACS (Facial Action Coding System) del FBI, los modos de pensar el miedo

microexpresiones

sorpresa y el logotipo de FedEx retroalimentación mientras escucha pies. Ver manos / pies Festinger, León, incentivos financieros disonancia cognitiva primeras impresiones flexibilidad

seguimiento a través de, pretextos y marco de referencia propósito marco framing

alineación, tipos de amplificación marcas de puente etiquetado extensión de lucha contra el terrorismo la percepción y la política de protesta las relaciones y las tareas de relevancia subliminal tortura

transformación de la realidad programas de televisión usos

visual

Frenzen, Jonathan FTC (Comisión Federal de Comercio) pretextos y Winston, Joel formación de pelusa

sol

casas de juego, consistencia y gestos la ansiedad de anclaje colocación brazo / mano grandes diferencias culturales reflejo de la palma abierta repetitivo

juntó los dedos dedos en movimiento / tambores que tocan metas auto de auditoría influencia persuasión

Asociación de color oro Google operandos Google Dorks

Google cortar para la penetración probadores ( Largo)

Gouldner, Alvin, a los gobiernos de reciprocidad ubicación GPS, teléfonos inteligentes, fotografías GPS Rastreador de datos de lectura

Asociación de color verde Grinder, John

Programación neurolingüistica

Tortugas todo el camino culpa gut sentimientos

H los piratas informáticos

versus compañeros de trabajo como amenaza a la seguridad ROI (retorno de la inversión) y los cortes del DMV CEO exceso de confianza Tema de la Administración de Seguridad Social Parque Escándalo Top Secret Top Secret 1 efecto de halo 2

gestos con las manos en posición de las manos el engaño manos / pies, el interrogatorio y la felicidad sonrisa, verdadero versus recolección falsa

posición de la cabeza, el interrogatorio y la audición

versus retención de escuchar y

vacilación en el engaño

Hewlett-Packard, ejemplo pretextos Hogan, Kevin comandos incrustados de desbordamiento del búfer humano Fuzzing

humillación infraestructura humana yo

ICanStalkU.com identificar ataques de los ladrones de identidad arrancado de verificación en el coche ideológico incentivos imaginación del oyente incentivos para la manipulación financiera ideológico sociales

sentimientos endeudados, la reciprocidad y el enfoque indiferente a los interrogatorios aproximación indirecta a la interrogación influencia. Ver también autoridad persuasión

autoridad legal

autoridad organizativa autoridad social símbolos de Cialdini, Robert concesión compromiso

concesiones contingentes Donación solicitudes de cuotas concesiones de etiquetas negociación y reciprocidad acondicionamiento, comercialización emociones consistencia consenso y la flexibilidad y el encuadre

amplificación de la alineación de extensión de la reducción de la protesta política

relaciones relevancia tareas subliminales usos de transformación

fundamentos

objetivos

Hogan, Kevin

diálogo interno y Langer, Ellen gusto y primeras impresiones manipulación atractivo físico color de la ansiedad acondicionamiento control sobre medio ambiente Definiciones de desviación duda

respuestas emocionales culpabilidad incentivos humillación de pérdida de intimidación de privilegio Motrin recuerdan planograma positivo impotencia compradores colocación de productos ansiedad social sugestionabilidad campaña de desorden y usos

PNL y la obligación compenetración

reciprocidad pedir lo que desea regalar algo sentimientos endeudados escasez ciencias económicas restaurantes vendedor de carne de alimentación corto intencionales de eventos sociales urgencia agudeza sensorial prueba social

Cámara indiscreta risa sigue las ventas tolerancia al dolor punta similitud alrededores frasco de salazón incertidumbre tácticas la recopilación de información BackTrack

BasKet Dradis

cafetería conversación compromiso y consistencia

consistencia modelado y elicitación y pretextos observación y fuentes

sitios web de información de valor cuotas a las instrucciones de concesiones, como historias

insurance company empathy intentional short supply of product internal dialog, influence and Internet fraud, social engineering and interrogation aggressive approach alternate route baseline behavior changes body posture

combination approach denials Department of Defense direct approach

egotistical approach emotional approach end goal environment control exaggeration approach eyes

face-saving approach

gestures anchoring arm/hand placement cultural differences mirroring hands/feet head position

indifferent approach indirect approach

versus interview listening distractions feedback

versus hearing interrupting paying attention proof

reflective responding responses logical approach mouth/lips objections

positive confrontation prep questions primary sense

professional tactics pronoun use response time signs, groups skin color

sympathetic approach

temático verbo desarrollo voz tensa acuñando la coartada entrevista palabras de aproximación versus la intimidación de interrogación direcciones IP, servidores, hosting

K Kaspersky Labs, redes sociales frases clave, que coinciden la bondad, la construcción de relaciones y pensador cinestésica submodalidades tocar objetos de conocimiento planograma relación asumida de Kmart y Kurgan, Murgis

L etiquetado

Lakoff, George Langer, inconsciencia Ellen reír pistas, prueba social y el derecho de las expectativas de los abogados

líderes, la autoridad social y los principales conductores de preguntas, cálido conduce autoridad legal cuestiones legales, pretextos

Li, Wen gusto las primeras impresiones influencia y la comercialización y atractivo físico y medidas para hacer que la gente Tupperware partes labios de LinkedIn. Ver también boca / labios escucha

distracciones retroalimentación

versus interrupción de audición prestar atención a prueba la construcción de relaciones y respuestas ganzúas que responden reflectantes llaves de percusión Bump Prueba BiLock cerraduras electrónicas kits cerraduras magnéticas

cerraduras candado abrir cerraduras cuchillos práctica rastrillo shove cerraduras

Loftus, Elizabeth enfoque lógico a un interrogatorio largo, Johnny, Google cortar para la

Penetración probadores científico de Los Alamos en la pérdida del privilegio de China Lustig, Victor

METRO

Machlin, Evangeline, Dialectos de la Etapa macroexpressions cerraduras magnéticas hackers maliciosos Maltego ansiedad manipulación asociaciones de color negro azul de oro marrón naranja verde rojo púrpura

blanco amarillo acondicionado

control sobre cultos de entorno

definiciones desvío duda respuestas emocionales objetivos culpabilidad

incentivos humillación intimidación social, ideológico financiera pérdida de privilegios Motrin recordar planograma positivo impotencia compradores colocación de productos bucles de música trastorno de ansiedad social campaña y sugestionabilidad el aumento de clics pluma

socavando usos creencias

márketing belleza y consistencia acondicionado

incentivos ideológicos gusto y campaña de trastorno de ansiedad social Matherly, John Mehrabian, Albert Michon, Richard detección de micro-movimientos microexpresiones engaño Ekman, Paul

emociones emociones de formación la ira de desacato limitaciones felicidad disgusto miedo de reflejo

tristeza piratería neurolingüística los ingenieros y los ojos estoico sociales sorpresa entrenamiento para ver

expresiones micromomentáneos microsoft.com archivos PDF Milán, Cesar

inconsciencia, Ellen Langer gestos que reflejan

microexpresiones reflejo Mischke, Tom errores, un objetivo de mitigación auditorías y la fijación de objetivos de selección del auditor incluye artículos guiones de cultivo de conciencia de seguridad personal software de actualización pasos de mantenimiento

Mitnick, Kevin

El arte del engaño truco del DMV Administración de Seguridad Social hackear Mizrahi, Avi modos de pensar pensadores auditivas sentido dominante, el discernimiento del FBI memo importancia de interrogación y cinestésicas pensadores

los sub-modalidades de escucha para

pluma de la observación de ejercicio sentidos sub-modalidades pensadores visuales

submodalidades

“Modificación de habla audible y visual” Morgan, Scott robo de los empleados de Morgan Stanley Moriarty, Thomas, el robo de radio en la playa recuerdo Motrin

Moulton, Scott, puerto explora la boca / labios, el interrogatorio y películas, precarga y Mularski, J. Keith, DarkMarket lazos de la música para la manipulación comprador norte

necesidades naturales nacidos en los líderes, psicológico

negación, comandos incrustados y negociación, concesiones neurolingüística piratería Nickerson, Chris pretextos estafa nigeriana

PNL (programación neurolingüística) Bandler, Richard Bateson, Gregory Brandler, Richard

respirar códigos de tasas

Condon, William consciente definición relaciones / inconsciente DeLozier, Judith Grinder, la historia de John

influencia y frases clave meta-modelo nuevo código filtros perceptivos guiones Planet PNL patrón de usos del habla estructura de la oración ingenieros sociales juego estados

última Voz voz para igualar los tonos vocales NMAP, escaneo de puertos

comunicación no verbal NSA (Agencia Nacional de Seguridad), elicitación

O observación objeciones obligación

oficina suena herramientas en línea Maltego

SET (Ingeniero Toolkit Social) preguntas abiertas palma abierta la apertura de líneas de abrir

asociación de color naranja el músculo orbicular de los párpados en la sonrisa de autoridad organizativa O'Sullivan, Maureen Ekman, Paul Proyecto Wizards

truco CEO exceso de confianza PAG

calzas del candado la tolerancia al dolor, el modelado social y Paller, Ken A. perfiladores de contraseña CEWL CUPP (Común contraseña de usuario Profiler) JMJ (¿Quién es su papá) Lista ataque contraseñas

estudio de BitDefender comúnmente utilizado temas pasado para los negativos Pavlov, Ivan

prestar atención pluma programa de pruebas de penetración clic manipulación se bloquea la percepción

la comunicación y el encuadre y persona en peligro accesorios personales de destino información personal, sitios web que ofrecen intereses personales, pretextos y realidades personales y la comunicación cultura concienciación sobre la seguridad personal sitios web personales persuasión. Ver también influencia acondicionado, emociones consenso comercialización y la flexibilidad y metas

gusto y primeras impresiones manipulación atractivo físico color acondicionamiento control sobre medio ambiente Definiciones de desviación duda

respuestas emocionales

incentivos intimidación Motrin recordar planogramas compradores colocación de productos impotencia

ansiedad social sugestionabilidad campaña de desorden y usos prueba social agudeza sensorial

Cámara indiscreta risa sigue las ventas tolerancia al dolor punta similitud entorno frasco de salazón de incertidumbre las compañías farmacéuticas y la reciprocidad de phishing de correo electrónico SET (Kit de herramientas ingeniero social) el uso del teléfono fotografías, teléfonos inteligentes, localización GPS atractivo físico ganzúas herramientas de cámaras físicas

llaves de percusión Bump Prueba BiLock cerraduras electrónicas kits cerraduras magnéticas cuñas candado empujan dispositivos de grabación cuchillos razones para abrir cerraduras Llaves de percusión cerraduras electrónicas cerraduras magnéticas candado cuñas práctica de rastrillado meter cuchillos Planet PNL planograma las ideas de la siembra. Ver precarga de los políticos y la política recriprocation, encuadre y los escaneos de puertos Las leyes europeas Mizrahi, Avi Moulton, Scott

confrontación positiva manipulación positiva refuerzo positivo impotencia de prácticas de tiro

práctica

expresiones de precarga

películas y cena de carne pretextos presuposición celebridad muerte conclusión descripción de la definición dialectos ejemplos Hewlett-Packard Rifkin, Stanley Active Expresión seguimiento a través de la FTC y recopilación de información y de Internet y cuestiones legales usos de la vida intereses personales de teléfono usar Pitt, Brad después de un desastre estafas principios de los conductores de radio y la investigación y simplicidad

spontenaity los objetivos, los archivos adjuntos tecnología herramientas individuo de la ayuda auditorías de prevención y la fijación de objetivos de selección del auditor incluye artículos guiones de cultivo de conciencia de seguridad personal software de actualización pasos de mantenimiento colocación de productos perfiladores contraseña software de perfiles

CUPP (Common User contraseñas Profiler) JMJ (¿Quién es su papá) uso de los pronombres progresiva Movimiento Ambientalista prueba de escuchar puntales, pretextando necesidades psicológicas Psicólogo de informes públicos servidores públicos Matelgo asociación de color púrpura

Q

preguntas assumptive de composición cerrada que conduce

Abierto enfoque de la pirámide

cotizaciones, órdenes incrustadas y

R rastrillos para la recolección de bloqueo cerraduras de rastrillado relación

escucha activa, reflexiva responder edificio cajeros de banco

afectar a la apariencia y la gente idioma correspondiente tasa de respiración corporal frases clave bondad y las personas que gustan de escuchar

forma de hablar a juego vocal curiosidad tono de juego y definición

empatía y importancia general conocimiento

influencia y satisfacer las necesidades de las personas que hablan de las pruebas de auto

Rasul, Imran reality shows, el encuadre y la reciprocidad

pedir lo que quiere y concesiones las diferencias culturales y regalar algo Gouldner, sentimientos endeudados dispositivos de grabación influencia y Alvin razones de tarjetas para celulares

asociación de color rojo refuerzo responder reflectante relaciones, el encuadre y alquiler de coches informes, los informes públicos de investigación, y pretextos tiempo de respuesta, el interrogatorio y Rifkin, Stanley Marcos arrancó el cheque en el coche ROI (retorno de la inversión), los piratas informáticos y los routers, la búsqueda de reglas para la comunicación Rusch, Jonathan J.

S

tristeza ventas, la prueba social y vendedores ingenieros sociales que reflejan la salazón Sargant tarro de la extremidad, William, Batalla

por la mente la saciedad de los estafadores de refuerzo principio de la escasez economía restaurantes vendedor de carne de alimentación corto intencionales eventos sociales guiones de urgencia

prevención y mitigación SE (ingeniería social) Overview escasez y usos seguridad de los motores de búsqueda Google Shodan los piratas informáticos versus compañeros de trabajo parches para el software

seguridad personal cultura conciencia de la seriedad seguridad a través de la educación confianza en sí mismo, los sentidos de situación modos de pensar submodalidades agudeza sensorial estructura de la oración, la PNL y servidores pública de alojamiento

buscando SET (Kit de herramientas ingeniero social) Shannon, Claude base el modelo de Shannon-Weaver problemas para Shodan compradores del motor de búsqueda, loops de música manipulación escasez de cuchillos shove producto para la recolección de bloqueo rallado similitud documentos, prueba social y simplicidad en las habilidades de pretextos, ingraining color de la piel, el interrogatorio y Skitka, Linda Slaney, Malcolm Smart, Jamie

“El mapa no es el territorio.” Teléfonos inteligentes, imágenes, ubicación GPS

SMCR (Sender-mensaje-canal-receptor) modelo sonrisas de Boulogne, de Duchenne verdadera versus Nieve artificial, David la amplificación del marco social, la definición autoridad social campaña de trastorno de ansiedad social

ingenieros sociales marco de la ingeniería social empleados descontentos de comunicación y los médicos reclutadores de ejecutivos de los gobiernos de los hackers Los ladrones de identidad abogados microexpresiones y el uso de la PNL artistas penetración probadores psicólogos vendedores de estafa espías

pensar como tipos

incentivos sociales redes sociales cola Gaiting gobierna la interacción social medios de comunicación social Blippy recopilación de información medios de comunicación social, información de los trabajos prueba social

Cámara indiscreta celebridad respaldo de producto Cialdini, Robert risa sigue las ventas tolerancia al dolor y la similitud y la incertidumbre tarro de la extremidad y la salazón

Administración de Seguridad Social Hack (Mitnick) Número de Seguridad Social a las damas de fondo y software de uso ilegal

software de perfiles

Maltego perfiladores de contraseña Internet en busca de patrón de habla parches de seguridad actualización de mantenimiento a juego espías

SpoofApp SpoofCard suplantación de identificación de llamadas identificador de llamadas SpyHawk dedos SuperTrak GPS en el mundo de Super Trackstick registrador de datos USB lectura de la colección de sellos de datos steepled

Stevens, Tom G., confianza en sí mismos ojos estoico historias como instrucciones directas subliminal, sugestión elaboración de clics objetivo aumentar la pluma sorprenden miedo y

símbolos de la autoridad

enfoque favorable a la interrogación

T -cola gating metas los dedos en movimiento / percusión atención, la línea de base que sostiene

comportamiento y su entorno lazos emocionales emoción, controlando

intimidación

accesorios personales impotencia sugestionabilidad, el aumento de las creencias que socavan soporte técnico, pretextando Teensy HID ataque utilización de vectores telefónico donde se herramientas basadas en el teléfono del asterisco guiones de suplantación de identificación de llamada

SpoofApp SpoofCard Privacy Protection Act de 2006 interruptores tensas telefónicas y registros llaves de la tensión para la recolección de bloqueo

El arte del engaño ( Mitnick) La expresión de las emociones en el hombre y los animales ( Darwin)

The Real Hustle robo, hurto empleado desarrollo del tema del parque temático Escándalo Prosperando tarro de la extremidad Oficina salazón Tomkins, herramientas Silvan Localizador GPS onlineMaltego SET (Kit de herramientas ingeniero social)

social) Contraseña física

ganzúas cámaras grabación de la práctica dispositivos pretextos basado en el teléfono Asterisco Identificador de llamadas secuencias de comandos de suplantación SpoofApp SpoofCard Top Secret estudio de caso 1 2 Top Secret estudio de casos de tortura, el encuadre y el logotipo Tostitos tocar objetos que tocan por los pensadores cinestésicas auto modelo transaccional de las comunicaciones, Balmund, basura DC punteros de buceo contenedor triturados documentos cosas valiosas reuniones de Tupperware

Tortugas hasta el fondo ( DeLozier y Grinder) y reality shows, encuadre y

T

Última voz, la PNL y

la incertidumbre, la prueba social y las creencias que socavan

Desenmascarando la cara ( Ekman) software de actualización la aceptación unidad USB, sitios de comunicación y de los usuarios

V

cosas valiosas tiran valor de verbo información tensa la comunicación verbal de encuadre visual pensadores visuales submodalidades tono vocal voz a juego

interrogatorio y PNL y Symantec DLP, los datos confidenciales de correo electrónico

W plomos calientes Weaver, Warren. Ver también Shannon-Weaver modelo de ataque Web del vector, SET (Engineer Toolkit Social) sitios web

damas fondo ICanStalkU.com la información recogida recolección de bloqueo

microsoft.com, archivos PDF sitios web personales informes públicos servidores públicos motores de búsqueda social-engineer.org sitios de los usuarios de medios sociales

acuñando el enfoque coartada a un interrogatorio Westbury, Chris de color blanco asociación Whois

Winston, Joel Withgott, Margaret Wong asistentes de proyecto, Kelvie las palabras, los amigos de interrogación y el lugar de trabajo JMJ (¿Quién es su papá) programa de perfilación

Y asociación color amarillo

Z Zinbarg, Richard E.

zigomático mayor en la sonrisa