Hace poco he sido participante del
I Reto para Jóvenes Profesionales de ISACA,
presentando un paper sobre information gathering y
social engineering.
Tras pasar dos procesos de selección me quedé a las puertas del evento
final, quedándome sin la posibilidad de exponer mi paper.
El motivo de este post es para enseñar unos de los ejemplos que contenía
mi paper, donde se observa como el más mínimo detalle puede acabar
resultando en un ataque de ingeniería
social.
Todo empezó en mi antiguo trabajo, debido a que una de las aplicaciones
no gestionaba correctamente el envío de información y cualquiera que
tuviera acceso a la misma red podría leerla sin problema.
Mientras tuneaba el SIEM me encuentro con varias alertas que indicaban
que "habiámos sufrido" un
ataque web, sin embargo, se trataban de falsos
positivos. Lo curioso es que al analizarlas me encuentro que la
petición que había hecho saltar la alarma era parecida a la siguiente:
GET
/someapp/consultas...
Continuar leyendo