En la conferencia de seguridad Silver Bullet en São Paulo, el jefe de seguridad de UOLDiveo Nelson Novaes Neto mostró como utilizó LinkedIn, Amazon y Facebook para convencer a su objetivo, un experto en seguridad a quien el llamó “SecGirl”, de aceptar su petición de amistad por medio de ingeniería social.
Novaes creó una cuenta de Facebook fraudulenta, “clonando” la identidad de el jefe del objetivo. Entonces envió peticiones de amistad a los amigos de los amigos de la cuenta clonada, en total 432 personas. En tan solo una hora, 24 de estas peticiones fueron aceptadas, a pesar de que el 96 por ciento de estas personas ya tenía la cuenta legítima del manejador en su lista de contactos. Entonces prosiguió con los amigos directos del jefe, utilizando sus conexiones de LinkedIn, siendo aceptado por 14 de estos en una hora. Luego de 7 horas en el experimento, la petición de amistad desde su cuenta clonada fue aceptada por SecGirl.
Con la información obtenida al establecer una amistad con alguien, es posible, dijo Neto, apropiarse de una cuenta legítima de Facebook al utilizar el sistema de recuperación de contraseñas “Tres amigos de confianza”. A través de la herramienta de recuperación de contraseñas un hacker puede cambiar la contraseña y la dirección de contacto de la cuenta, y después utilizar la cuenta hackeada para hacer ataques de ingeniería social contra otras cuentas.
Fuente:
arstechnica.com (en inglés)