• Categories
• Suplantación de identidad
• Seguridad nacional
• Política
• Áreas de la informática
• Tecnologías de la información

Citation preview

Ingenieria Social

Objetivo

Asegurar que el participante tenga los conocimientos necesarios para defenderse ante ataques de ingenieria social.

“Usted puede tener la mejor tecnología, firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Lo único que se necesita es un llamado a un empleado desprevenido e ingresan sin más. Tienen todo en sus manos." Kevin Mitnick.

Ingenieria social

Ingenieria social • La ingenieria social es el metodo mas efectivo para sortear los obstaculos de seguridad. • Las personas son el eslabon más debil en la cadena de la seguridad • Un “ingeniero social” tratará de explotar esta vulnerabilidad antes de gastar tiempo y esfuerzo en otros metodos.

La ingenieria social se aprovecha de: El deseo de ayudar La tendencia a confiar en la gente El miedo a meterse en problemas

¿Quiénes la utilizan? • • • • •

Hackers Espias Criminales Competencia Detectives privados

El factor humano • En el congreso "Access All Areas" de 1997, un conferenciante aseguraba: • "Aunque se dice que el único computador seguro es el que está desenchufado, los amantes de la ingeniería social gustan responder que siempre se puede convencer a alguien para que lo enchufe. • No hay un sólo computador en el mundo que no dependa de un ser humano, es una vulnerabilidad universal e independiente de la plataforma tecnológica".

¿Cómo nos atacan? • Todo objetivo se vale de una estrategia para lograrlo.

¿Cómo nos atacan? • Preparar un ataque a un sistema informático: versión, bug, etc. • Elaborar una lista sobre el objetivo.

• Gustos, vicios, marca de cigarrillos, matrícula del coche, modelo, móvil, DNI, nombre de los hijos, de la mujer, de la novia, figuras principales en su vida, se elabora un perfil psicológico de la persona. • Fuente: Internet, basura, amigos, familiares, personas mayores, abuelas, o niños, hijos, hermanos, etc.

Poniendo la trampa • Conociendo a la víctima, se podrá predecir como actuará frente a determinados estímulos. • Conociendo sus gustos, sus deseos, es fácil llevarlo por donde se quiera.

Técnicas • Pretexting

• Phishing • Spear Phishing • IVR/Phone Phishing (Vishing)

• Caballos de troya • Shoulder Surfing • Dumpster Diving

• Road Apples • Quid pro quo – Something for something • Otros tipos

Pretexting • Usa un escenario inventado (normalmente por telefono) para obtener infomación

• El pretexto es el escenario – creado con alguna información válida para conseguir más informacion

Ejemplo pretexting • Sr. Perez: Alo? • Atacante: Alo, Sr. Perez. Soy José Mendoza de Soporte Técnico. Estamos teniendo restricciones de espacio en disco en el servidor principal de archivos y vamos a mover algunas carpetas de los usuarios a otro disco hoy a las 8 de la noche. Su usuario será parte de esta migración, y estará temporalmente sin servicio.

Ejemplo Pretexting • Sr. Perez: Ah, Ok. Bueno, a las 8 de la noche ya no estaré en la Oficina. Llamante: No hay problema. Asegurese de salir del Sistema. Solo necesito chequear un par de cosas. Cual era su usuario, jperez?

Sr. Perez: Si, es jperez. Ninguno de mis archivos se perderá, verdad ?

Ejemplo Pretexting • Llamante: No Sr. Perez. Pero chequeare su cuenta para estar seguro. Cual es su password, para chequear porsiaca? Sr. Perez: Mi password es “Inocencio2015$”, todo con letras minusculas. Llamante: Ok, Sr. Perez, dejeme ver… Si, no habrá ningun problema con sus archivos… Muchas Gracias

Sr. Perez: Gracias a ti. Nos vemos.

Phishing • Usualmente llega por email de un “negocio legítimo “ – uno que usamos • Incluye un sentido de urgencia • Bancos y sitios de compras por tarjeta de crédito son los blancos mas frecuentes.

Historia • El término phishing viene de la palabra en inglés "fishing" (pesca) haciendo alusión al acto de pescar usuarios mediante señuelos cada vez más sofisticados y de este modo obtener información financiera y contraseñas. • También se dice que el término "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas).

• Data en 1996, fue adoptado por crackers que intentaban "pescar" cuentas de miembros de AOL.

Ejemplo Scotiabank

Ejemplo Interbank

Ejemplo BCP

• Ejemplo

https://www.youtube.com/watch?v=lLpFIRARKqo

Spear Phising

Estudios recientes muestran que los phishers son capaces de establecer con qué banco una posible víctima tiene relación, y de ese modo enviar un e-mail, falseado apropiadamente, a la posible víctima.

Spear Phishing • emails dirigidos exclusivamente a un blanco • Aparecen como si vinieran de una persona legitima que se conoce – Un Gerente – Una persona que trabaja – La Mesa de Ayuda

IVR/Phone Phishing (Vishing) • Dirigo a llamar a un numero telefónico – El IVR parece legítimo • Los Sistemas IVR normalmente solicitan el ingreso de información personal – PIN – Password – SSN

• Incluso podria ser transferido a un “representante”

Implicancias del vishing • La gente confia mas en el sistema telefónico que en el Internet. • La gente ya espera interactuar con operadores nohumanos • Mas gente puede ser atacada por telefono que por computadora. • La gente de edad son facilmente engañables

Tomado de : Vishing as an Emerging Attack Vector. Casey C. Rackley

Ejemplo ataque Vishing

Tomado de : Vishing as an Emerging Attack Vector. Casey C. Rackley

Caballo de Troya • Usa la curiosidad o la avaricia para entregar “malware” • Normalmente llega “gratis” – Atachado a un email – Screen Saver – Anti-Virus – Ultimos chismes • Una vez que carga el Troyano …

Shoulder Surfing • Muy usada en aeropuertos, coffee shops, areas Wi-Fi en hoteles, lugares publicos. • Consiste en la observación para obtener logins y passwords, información confidencial. • Cajeros automaticos de Bancos, bloqueos de seguridad, teclados de alarma • Incluye “piggy backing” – alguien inresa a un area segura basado en una auenticación valida.

Dumpster Diving • Obtener información de la basura. No es raro! • ¿Que se puede obtener? – Información Confidencial – información personal – Datos de tarjetas de creditos. – Información de bancos – Lista de telefonos

Road Apples • Medios fisícos ( CDs, USBs) • Etiquetados para llamar la curiosidad • Una vez colocados carga Troyanos o virus para rastrear keystrokes • Usado para obtener IDs y passwords

Quid pro quo • Algo para algo – Concursos de “chapitas” – Promociones – Encuestas – Regalos por intercambio de Información

Otros tipos de Ingeniería Social

• Spoofing/hacking IDs de emails populares como Yahoo, Gmail, Hotmail • Conexiones Wi-Fi gratuitas • Punto-a-Punto • Paginas Web y direcciones email • Estafas en el cajero automático

Conclusiones • La ingeniería social NUNCA PASARÁ DE MODA. • Es un arte, el arte que deja la ética de lado. • El ingrediente necesario detrás de todo gran ataque.

Contramedidas La mejor manera de estar protegido pasa por el conocimiento. • Concientizar a los usuarios • Pruebas periódicas • Programa de concientización a usuarios (Security Awareness Program) • SP 800-50

Programa de Concientización Mensajes directo a los Colaboradores

Programa de concientización