image1.jpg

Cómo prevenir ataques de piratas informáticos: 4 formas de recopilar información pública

Los piratas informáticos suelen utilizar información pública para dirigirse a organizaciones. La cantidad de información pública que puede recopilar sobre el negocio y los sistemas de información de una organización en Internet es asombrosa. Para ver por sí mismo cómo los piratas informáticos utilizan la información pública para lanzar un ataque, utilice las técnicas que se describen a continuación para recopilar información sobre su propia organización.

Usar las redes sociales para prevenir ataques de piratas informáticos

Los sitios de redes sociales son el nuevo medio para que las empresas interactúen en línea. Examinar los siguientes sitios puede proporcionar detalles incalculables sobre cualquier empresa y su gente:

Como todos hemos visto, los empleados a menudo son muy comunicativos sobre lo que hacen para trabajar en sitios de redes sociales como Facebook , detalles sobre su negocio e incluso lo que piensan sobre sus jefes, especialmente después de rechazar algunos cuando sus filtros sociales han se salió de la pista! También puede encontrar información interesante basada en lo que dicen las personas sobre sus antiguos empleadores en Glassdoor .

Realizar una búsqueda web para ver cómo los piratas informáticos encuentran información sobre una organización

Realizar una búsqueda en la web o simplemente navegar por el sitio web de su organización puede mostrar la siguiente información:

  • Nombres de empleados e información de contacto
  • Fechas importantes de la empresa
  • Presentaciones de incorporación
  • Presentaciones de la Comisión de Bolsa y Valores (SEC) (para empresas públicas)
  • Comunicados de prensa sobre movimientos físicos, cambios organizativos y nuevos productos.
  • Fusiones y adquisiciones
  • Patentes y marcas registradas
  • Presentaciones, artículos, webcasts o webinars (que a menudo revelan información confidencial, a menudo irónicamente etiquetada como confidencial )

Bing y Google extraen información, desde documentos de procesamiento de texto hasta archivos gráficos, en cualquier computadora de acceso público. Además, son gratis. Google es un favorito. Se han escrito libros completos sobre el uso de Google, así que espere que cualquier pirata informático criminal tenga bastante experiencia en el uso de esta herramienta, incluso en su contra.

LEER  Chromebook: Empiece a utilizar Google Play

Con Google, puede buscar en Internet de varias formas para ver cómo un hacker puede obtener información sobre su organización:

  • Escribir palabras clave: este tipo de búsqueda a menudo revela cientos y, a veces, millones de páginas de información, como archivos, números de teléfono y direcciones, que nunca imaginó que estaban disponibles.
  • Realización de búsquedas web avanzadas: las opciones de búsqueda avanzada de Google pueden encontrar sitios que enlazan con el sitio web de su empresa. Este tipo de búsqueda a menudo revela mucha información sobre socios, proveedores, clientes y otras afiliaciones.
  • Uso de interruptores para profundizar en un sitio web: si desea encontrar una determinada palabra o archivo en su sitio web, simplemente ingrese una línea como una de las siguientes en Google:

site:www.your_domain.com keyword
site:www.your_domain.com filename

Incluso puede hacer una búsqueda genérica de tipo de archivo en Internet para ver qué aparece:

filetype:swf company_name

Utilice la búsqueda anterior para encontrar .swfarchivos de Adobe Flash , que se pueden descargar y descompilar para revelar información confidencial que se puede utilizar en contra de su empresa.

Utilice la siguiente búsqueda para buscar documentos PDF que contengan información confidencial que pueda usarse en contra de su empresa:

tipo de archivo: pdf nombre_empresa confidencial

El rastreo web como herramienta contra ataques de piratas informáticos

Las utilidades de rastreo web, como HTTrack Website Copier , pueden reflejar su sitio web descargando todos los archivos de acceso público, de forma similar a la forma en que un escáner de vulnerabilidades web rastrea el sitio web que está probando. Luego, puede inspeccionar esa copia del sitio web sin conexión, profundizando en lo siguiente:

  • El diseño y la configuración del sitio web
  • Directorios y archivos que de otro modo no serían obvios o de fácil acceso
  • El código fuente HTML y script de las páginas web
  • Campos de comentario
LEER  Qué debe saber antes de actualizar la memoria de la PC

Los campos de comentarios a menudo contienen información útil, como los nombres y direcciones de correo electrónico de los desarrolladores y del personal de TI interno, nombres de servidores, versiones de software, esquemas de direccionamiento IP internos y comentarios generales sobre cómo funciona el código. En caso de que esté interesado, puede evitar algunos tipos de rastreo web creando entradas de No permitir en el robots.txtarchivo de su servidor web . Incluso puede habilitar tarpitting web en ciertos firewalls y sistemas de prevención de intrusiones. Los rastreadores (y atacantes) que son lo suficientemente inteligentes, sin embargo, pueden encontrar formas de evitar estos controles.

La información de contacto para desarrolladores y personal de TI es excelente para ataques de ingeniería social.

Sitios web que ofrecen información pública sobre organizaciones.

Los siguientes sitios web pueden proporcionar información específica sobre una organización y sus empleados:

  • Sitios web gubernamentales y comerciales:
    • Hoovers.com y finance.yahoo.com dan información detallada sobre las empresas públicas.
    • Sec.gov/edgar.shtml muestra las presentaciones ante la SEC de empresas públicas.
    • USpto.gov ofrece registros de patentes y marcas comerciales.
    • El sitio web de la secretaria de estado de su estado o una organización similar puede ofrecer información sobre incorporación y funcionarios corporativos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *