Cuando se audita la seguridad informática de una empresa, siempre se debe auditar también al eslabón más débil: las personas. La ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos del sistema, con el único objetivo de obtener información, acceso al sistema e incluso privilegios elevados en dicho sistema. SET, o también conocido como Social-Engineer Toolkit te permitirá practicar estas técnicas fácilmente.
La ingeniería social en muchos casos está relacionada con ciberdelincuentes, pero estas técnicas también son utilizados por investigadores de seguridad para comprobar la seguridad de una determinada empresa.
Social-Engineer Toolkit: El conjunto de herramientas más completo para realizar ingeniería social
Social-Engineer Toolki (SET) es un framework de código abierto para realizar pentesting de sistemas y redes, enfocado específicamente en ataques de ingeniería social para conseguir su objetivo. SET tiene una serie de herramientas para realizar ataques personalizados que nos permitirán realizar un ataque de manera rápida y efectiva. Esta herramienta ha sido desarrollada por la firma de seguridad TrustedSec y está disponible de manera libre para todos nosotros.
Las herramientas que incorpora este framework son compatibles con cualquier sistema operativo basado en Linux y también con Mac OS X. En la página web oficial de Social-Engineer Toolkit en GitHub podremos descargar gratis e instalarlo en nuestro sistema, además, el equipo de desarrollo ha creado una completa guía de este framework SET en formato PDF para facilitarnos su utilización al máximo.
Listado de ataques de ingeniería social que incorpora SET
Algunos de los ataques de ingeniería social que incorpora este framework son por ejemplo el Spear-Phishing, un ataque de ingeniería social a través del correo electrónico de la víctima con el objetivo de conseguir información confidencial e incluso acceso al propio sistema. Otros ataques que incorpora la herramienta son utilizando los Applets de Java, el «Full Screen Attack» que sirve para engañar a la víctima de que hemos visitado una web a pantalla completa, también incorpora «Credential Harvester» que consiste en obtener credenciales de usuarios por diferentes métodos. Este framework SET también utiliza para algunos de sus ataques el conocido framework Metasploit para pentesting.
Podéis visitar la completa guía de SET donde encontraréis todos los ataques explicados y cómo llevarlos a cabo con la herramienta.
Os recomendamos visitar nuestra sección de seguridad informática donde tenemos tutoriales para aprender a proteger vuestros sistemas, aunque también es muy importante protegeros vosotros mismos para que nos hagan este tipo de ataques de ingeniería social, es fundamental conocerlos para tratar de evitarlos.
En un artículo explicamos los diferentes ataques de ingeniería social.