hackeando humanos
Hackeando Humanos aaa aa Hackeando Humanos – El Poder de la Ingeniería Social 2 CONTENIDO Resumen 3 ¿Qué es la Ing
Views 96 Downloads 4 File size 2MB
Recommend stories
- Author / Uploaded
- api-457408776
Citation preview
Hackeando Humanos
aaa aa
Hackeando Humanos – El Poder de la Ingeniería Social 2
CONTENIDO Resumen
3
¿Qué es la Ingeniería Social?
4
La ingeniería social aplicada a la informática
5
Variantes de la ingeniería social
6
Poniendo en práctica la ingeniería social
8
Reprogramando Hotmail
9
Subiendo nuestra página a internet
10
¿Cómo defendernos?
12
Consideraciones finales
14
Literatura recomendada
15
Nota Final
16
Aaaaa
Diego Alejandro Ríos Sagastume
Marzo de 2016
Hackeando Humanos – El Poder de la Ingeniería Social 3
Resumen En el mundo tecnológico actual nos enfrentamos a muchos tipos de amenazas en materia de seguridad informática, sin embargo, una de las amenazas a las cuales todos sin excepción alguna estamos expuestos es sin dudas la ingeniería social. Esto son todas aquellas técnicas que se utilizan para engañar a las personas de tal manera que quienes caen en ellas, cedan toda su información a la persona atacante de manera voluntaria. La ingeniería social es poderosa, principalmente porque no hay mecanismos que nos ayuden a impedir que caigamos en sus trampas. Existen multitud de formas en que la ingeniería social puede manifestarse, en este artículo se muestran las más comunes y algunos de los casos que encontrarás ejemplificarán mejor la forma en que esto funciona. Lamentablemente no existe un método seguro para evitarla, sin embargo puedes defenderte de ella instruyéndote y conociendo el tema y como es que los atacantes la utilizan para la obtención de información valiosa. No existe nada 100% seguro en el mundo de la informática y una de las formas más efectivas para evitar caer en las garras de los atacantes informáticos es estar preparados y en este artículo, encontrarás las formas más básicas de la ingeniería social para poder defenderte de esos ataques. Algunos de los conocimientos adquiridos acá te permitirán poner en práctica la ingeniería social; este artículo se escribió única y exclusivamente con fines educativos así que no me responsabilizo por el mal uso que pudiese dársele al conocimiento adquirido en este documento.
3
Hackeando Humanos – El Poder de la Ingeniería Social 4
¿Qué es la ingeniería social? Como lo menciona el título de este artículo (“Hackeando Humanos”), la ingeniería social trata precisamente de esto, de explotar los “errores” que los humanos poseemos con respecto a la tecnología para la obtención de información valiosa. De la misma manera que existen hackers los cuales a través de ciertas técnicas logran explotar las vulnerabilidades del software, existen personas que son expertas en explotar las vulnerabilidades del usuario, es decir, los humanos que operan la tecnología. Pero ¿De qué tipo de vulnerabilidades estamos hablando?, a continuación te muestro algunas: La ignorancia: Si desconocemos algo, desde luego que no sabremos cómo protegernos. Por ejemplo ¿sabías que fácilmente se pueden clonar sitios web?, si, así como lo lees, una persona con algunos conocimientos de software fácilmente puede venir y clonar la página web de tu banco o de tu red social favorita y a través de diferentes engaños hacerte acceder a su página falsa la cual, desde luego, busca únicamente robar tu información.
La curiosidad: ¿Te ha pasado que encuentras a veces una USB tirada?, bueno muchas veces estas usb contienen alguna clase de virus la cual si la conectas a tu computadora, te infectarás. El ejemplo más significativo y más común que se puede observar son los posts que encuentras en Facebook u otras redes sociales: “Mira lo que este hombre le hizo a su propio abuelo”, una persona curiosa fácilmente entrará en ese link el cual puede descargar a tu ordenador un programa malicioso. Atracción Física: No encontré otra forma de definirlo, pero muchas veces nos pasa que nos agregan personas bastante atractivas a nuestra red social, generalmente son perfiles falsos que pueden engañarnos para obtener nuestra información personal o inducirnos confianza para posteriormente citarnos en un lugar y realizar alguna especie de secuestro o robo.
4
Hackeando Humanos – El Poder de la Ingeniería Social 5
La Ingeniería Social Aplicada a la Informática Una de las formas que se aplicaba antiguamente la ingeniería social era a través de llamadas telefónicas y mensajes de texto. Más de alguno recordará que antiguamente les pedía enviar ciertos códigos de tarjetas de saldo para los teléfonos celulares para poder reclamar algún premio como algún automóvil; eso era ingeniería social. Actualmente existen otras formas con el auge de la tecnología, por ejemplo la falsificación de páginas web y la utilización de estas páginas para el robo de información. Por ejemplo, la siguiente página que te muestro la he creado yo mismo:
Luce igual a la de Facebook ¿cierto? Como puedes ver es simple clonar páginas web; ésta web en mi caso solamente se ha creado para ejemplificar, pero hay otras web en internet las cuales no solo han sido clonadas sino también han sido reprogramadas para el robo de contraseñas. La ingeniería social no se queda acá, va mucho más allá de páginas falsas, otro ejemplo son los correos falsos, por ejemplo, los correos electrónicos que recibimos que se ha desactivado nuestra cuenta, el cual es muy común.
5
Hackeando Humanos – El Poder de la Ingeniería Social 6
Variantes de la Ingeniería Social Existen diferentes formas en que puede funcionar la ingeniería social, acá te muestro unas cuantas variaciones: Phishing: Es uno de los métodos más comunes el cual consiste en suplantar la identidad de otra persona o empresa. Estos son utilizados para el robo de contraseñas y nombres de usuarios. Esta será la forma de ingeniería social que utilizaremos en la parte práctica. Baiting: Como lo mencionamos, la ingeniería social explota las vulnerabilidades humanas, pues éste tipo de ingeniería social explota la vulnerabilidad de “la curiosidad”. Se presenta en la forma de que a veces se nos regalan usbs o cds, o nos encontramos tirados estos dispositivos; dichos dispositivos pueden estar infectados con un software malicioso el cuál puede robar tu información. Vishing: Esta variante es bastante antigua, cosiste en que realizan llamadas telefónicas para ofrecerte productos o diciendo que ganaste alguna especie de premio, para eso te dicen que debes de dar tu información personal o alguna dirección para enviarte algún premio, esto con el objetivo únicamente de robar tu información o realizar alguna especie de robo.
Sea cual sea las variantes de la ingeniería social, su único objetivo es el robo de información. Te preguntarás ¿Qué pueden hacer los piratas informáticos con mi información?, bueno déjame decirte que MUCHO!!!. Veamos algunos ejemplos: Un pirata informático puede con tu correo electrónico tratar a través de diferentes métodos de “fuerza bruta” ingresar a tus cuentas bancarias asociadas a tu correo electrónico. Un atacante podría negociar con delincuentes tu información personal, como tu dirección, tu dirección de trabajo, tu teléfono, tus horarios, etc, para que luego éstos delincuentes realicen tu secuestro o vayan personalmente a robar a tu casa o algo peor.
6
Hackeando Humanos – El Poder de la Ingeniería Social 7 Tus datos personales pueden ayudar a localizar a las personas toda tu información si ven las guías telefónicas donde está tu información personal como tus apellidos y dirección. En los adolescentes principalmente se ha dado el caso de que citan a personas en cierto lugar, solo para realizarles un secuestro o violación en caso de las señoritas. Muchas veces realizan lo que se llama secuestros express, lo cual no es más que cuando te reúnes con esa persona que te ha citado por internet, localizan a tu familia diciéndole que tienen 2 o 3 horas para que depositen dinero o de lo contrario te asesinarían. En uno de los casos más comunes, robarían tus datos de cuentas bancarias para realizar transacciones a otras cuentas.
7
Hackeando Humanos – El Poder de la Ingeniería Social 8
Ahora que ya sabemos lo que es la ingeniería social (o por lo menos un poquito) vamos a ponerla en práctica. Lo que haremos será una de las formas más comunes de ingeniería social, el phishing. Como vimos anteriormente, este tipo de ingeniería social consiste en suplantar la identidad de una empresa o persona, en este caso vamos a tomar una empresa bien conocida, Hotmail. Al entrar a la página web de Hotmail, nos encontramos con su respectivo login para ingresar nuestro usuario y contraseña. Para poder clonar el sitio web bastará con dar click secundario en la página y luego dar click en “guardar como” y posteriormente guardar la página como index.html, así:
8
Hackeando Humanos – El Poder de la Ingeniería Social 9 Una vez que guardamos en sitio en nuestra carpeta, vamos a reprogramarlo para poder hacer lo que nosotros deseamos, lo cual para motivos de este tutorial será “extraer contraseñas de nuestras víctimas”.
Luego de descargar la plantilla web, nos damos a la tarea de reprogramarla para eso nos valdremos de nuestros conocimientos de programación para que los campos de nombre de usuario y contraseña sean guardados en un archivo de texto y posteriormente
cuando
ya
guardemos
las
credenciales,
simplemente
redireccionaremos al usuario a la verdadera página de Hotmail. No ahondaré como reprogramar la página de Hotmail, ya que tiene seguridad alta y es necesario saber bastante de html, javascript, css y php además de Ajax y jquery para poder reprogramar la página. Además de lo anterior mencionado, éste es un artículo cuyo objetivo es la de informar cómo funciona la ingenería social y no como programar páginas fake, asi que me limitaré a subir mi página web ya programada en un hosting web para continuar con el artículo. No es difícil reprogramar la página, solo es de realizar un login utilizando los campos que ya tiene la página web para usuario y contraseña.
NOTA: Si estás pensando en subir la página y hacer phishing a tus amigos, lamento darte una mala noticia, no lo lograrás con la página que te muestro acá, más adelante te explico el por qué ya que los proveedores de hosting ya han tomado medidas con respecto al phishing.
9
Hackeando Humanos – El Poder de la Ingeniería Social 10
Subiendo nuestra página a internet
Luego de haber visto cómo se programa nuestra página web, es momento de subirla a internet, puedes contratar un hosting gratuito y sin publicidad en muchos sitios de internet, una vez que nuestra página esté online, podremos acceder a ella a través de una url. En mi caso, he subido mi página falsa a “www.usertech.mipropia.com”. Puedes verla en cualquier momento accediendo a esta dirección y verás algo como esto:
Luce idéntica a Hotmail ¿verdad? Bueno pues si intentas acceder a esta página lo único que sucederá es que te redireccionará a la verdader página de Hotmail y lo único que hizo fue robar tus claves, como lo muestra el archivo que ha guardado la clave:
10
Hackeando Humanos – El Poder de la Ingeniería Social 11
Ahora solo es cuestión de tratar de persuadir a nuestros amigos para que en lugar de ingresar a Hotmail, ingresen a la página que hemos creado, una página llamada “fake” ya que es falsa. Si eres observador te darás cuenta que la URL del sitio web no es la de Hotmail (www.hotmail.com) sino que es una URL totalmente diferente. Así es como funciona el phishing, se copia la página de una empresa y luego con mentiras hacemos que nuestras víctimas caigan. Es necesario decir que actualmente un sitio web de phishing puede ser detectado fácilmente, por lo que no tardará más de 24 horas en el hosting que contrates, esto debido a las técnicas de anti phishing que han surgido en los últimos años. Si intentas entrar a la página web que anteriormente te aparecerá lo siguiente:
11
Hackeando Humanos – El Poder de la Ingeniería Social 12
Lo que hicieron ahí fue suspenderme el dominio y esto sucedió en menos de 15 minutos. Existen otras técnicas para que no detecten tu página falsa, como la ofuscación de código, almacenamiento en la nube, hosting propio, etc, pero eso se verá en otros artículos.
¿Cómo Defendernos? Ahora que ya conocemos como funciona la ingeniería social es momento de ver la forma de evitarla. Si eres observador, te habrás dado cuenta que una de las formas de detectar este tipo de web maliciosas es a través de su URL; mira en la parte práctica y verás que la URL es “usertech.mipropia.com”, a lo cual recordemos que esta URL debería ser la web de Hotmail (www.login.live.com). Nada en la vida es gratuito y más abajo te muestro los datos que no debes compartir con personas desconocidas, ya que una de las formas de ingeniería social que utilizan los atacantes es indicar que has ganado un premio haciéndose pasar por una empresa reconocida, a lo cual es de tener mucho cuidado debido a que mucha gente ni siquiera ha participado en concursos y misteriosamente ha ganado. Cuidado con la información que compartes en tus redes sociales, muchas personas comparten toda su información incluido sus teléfonos y direcciones a lo cual es increíblemente peligroso ya que los piratas informáticos no solo operan en el internet, sino en la vida real también. Para los administradores de sitios web es recomendable volver su sitio seguro de tal manera que los clientes estén seguros de que sus sitios web son legítimos, para eso existen muchas maneras, las principales son la encriptación a través de un certificado SSL y la conexión segura HTTPS. Esto se puede ver en la barra de navegación
12
Hackeando Humanos – El Poder de la Ingeniería Social 13
Ese candadito que se ve en la barra de navegación no solamente es un adorno, nos indica que nuestra conexión con el sitio web que visitamos se maneja encriptada (lo veremos en otros artículos), esto nos da un mayor nivel de seguridad a nuestro sitio web. Si damos clic en Detalles podremos observar que nos mostrará más detalles e incluso catalogará a nuestros sitios web como seguros, no seguros e inseguros, algo así:
Como puedes ver acá, está catalogando al sitio web como seguro ya que la conexión se realiza a través de HTTPS, lo cual le da otro nivel de seguridad al sitio web. Te invito a que verifiques varias de las páginas guatemaltecas para ver ¿Qué tan seguras son?, te aseguro que te sorprenderás de los resultados ;)
Estas seguridades generalmente los usuarios deben de verificarlas, si tiene un candadito verde eso significa que tiene buena seguridad, no garantiza que sea 100% seguro pero le añade un nivel de seguridad mayor al normal.
13
Hackeando Humanos – El Poder de la Ingeniería Social 14
A manera de comentario final es importante mencionar que la ingeniería social no solo es clonar una página, muchas de las formas en que se presenta la ingeniería social es en la forma de páginas que solicitan información privada para el usuario la cual no pueden obtener por métodos convencionales. Si bien existen algunos datos que no importa que las personas tengan, acá te dejo algunos que no debes dar a cualquier persona y debes mantener contigo celosamente: Tu número de identificación personal. Tu número de teléfono tanto celular como residencial y trabajo. Tu número de cuenta bancaria. Tu dirección exacta. Datos de tus familiares. Nombres de los bancos donde tienes cuentas bancarias. El número de tus tarjetas de crédito. Tu curriculum. Recuerdo una anécdota que me pasó una vez, una persona en la calle me realizó una encuesta. Todo iba bien hasta que me comenzó a preguntar si yo tenía micro ondas, si yo usaba tarjetas de crédito, ¿cuál era mi presupuesto mensual?, ¿cuánto ganaba? e incluso llegó a preguntarme la dirección de mi casa y la zona donde vivía, por supuesto, todo asumiendo que era parte de la encuesta. Este tipo de encuestas es muy común y es un tipo de ingeniería social la cual debes tener mucho cuidado, debido a que fácilmente pueden localizarte y realizarte un robo o secuestro. Con respecto a mi encuestador, no creo que me localice a 40 km de donde en realidad vivo
14
Hackeando Humanos – El Poder de la Ingeniería Social 15
Literatura Recomendada Hay mucha literatura sobre ingeniería social en internet, pero al final será la habilidad de palabra y de persuasión de cada quien lo que dependerá del éxito o fracaso del atacante. Es recomendable siempre mantenerse al tanto de las noticias informáticas y quitar el pensamiento de las personas que piensan que esto no es para ellos porque el mundo de la seguridad informática abarca muchas cosas y la mayoría de los errores que se dan es por descuido o falta de información por parte de usuarios finales. Para quienes deseen profundizar en la ingeniería social, acá dejo algunas lecturas y libros recomendados con una pequeña descripción:
Social Engineering: The Art of Human Hacking Un libro muy recomendado para los que les interese la ingeniería social, de hecho, para el título de éste artículo me basé en este libro.
El Arte de la Intrusion Es el libro del famoso Hacker Kevin Mitnick, uno de los más grandes y más famosos. Aunque mezcla algunos conceptos técnicos de programación, sistemas de archivos, etc, nos muestra que en la mayoría de sus ataques utilizaba la ingeniería social como arma.
15
Hackeando Humanos – El Poder de la Ingeniería Social 16
Global Phishing Survey Este es un documento el cual recopila estadísticas de phishing, como por ejemplo en que tipos de dominio se alojan la mayor parte de páginas de phishing, los tipos de ataques separados por tipo de industria atacada, etc. Es un muy buen documento de referencia.
Anti Phishing Security Strategy Este es un documento el cual te muestra cómo funcionan algunas estrategias de anti phishing, un documento el cual tiene un alto nivel técnico y está bastante bien explicado.
Nota Final Esperando que este artículo haya sido de tu agrado, no me queda más que agradecerte por tu tiempo, muchas gracias por leer este documento el cual espero que ayude a más de alguna persona a ver el poder de la ingeniería social y a defenderse de ella, ya que existen muchas amenazas en el mundo especialmente de la informática y más para personas que desconocen esto. Gracias por tu tiempo y cualquier cosa, duda, sugerencia e inconveniente puedes escribirme a mi correo electrónico y con mucho gusto te contestaré.
16