ataques de ingeniería social
DESCRIPTION
Información sobre qué son los ataques de ingeniería social, las clasificaciones, ejemplos y medidas preventivas.TRANSCRIPT
![Page 1: Ataques de Ingeniería Social](https://reader034.vdocumento.com/reader034/viewer/2022052304/5575e371d8b42af74e8b47b1/html5/thumbnails/1.jpg)
1
Ing. Karina Astudillo B.
Gerente de IT
Ataques de Ingeniería Social
![Page 2: Ataques de Ingeniería Social](https://reader034.vdocumento.com/reader034/viewer/2022052304/5575e371d8b42af74e8b47b1/html5/thumbnails/2.jpg)
Agenda
Entorno de seguridad informática actual
Ataques de Ingeniería Social
Ataques directos o telefónicos
Tailgating y Dumpster Diving
Ataques haciendo uso de computadoras: mail scams y phishing, virus,
gusanos y troyanos
Mecanismos de defensa
Demo
Ataque de Phishing con SET y Metasploit
2
![Page 3: Ataques de Ingeniería Social](https://reader034.vdocumento.com/reader034/viewer/2022052304/5575e371d8b42af74e8b47b1/html5/thumbnails/3.jpg)
Entorno de seguridad informática actual Casos en Ecuador: Ataques a websites del
gobierno (defacements)
Laptop Raúl Reyes
Pornografía en Internet
Revisión de Microfilm del Banco Central
Caso Peñaranda (Discos Duros)
Estafas / Suplantación de identidad
Infracciones de Propiedad Intelectual
Clonación de Tarjetas
¡1300 denuncias de phishing en 1er trimestre del 2011!
3
![Page 4: Ataques de Ingeniería Social](https://reader034.vdocumento.com/reader034/viewer/2022052304/5575e371d8b42af74e8b47b1/html5/thumbnails/4.jpg)
¿Qué es la ingeniería social?
Es la manipulación de personas mediante engaños para obtener información confidencial sobre un objetivo o víctima.
4
![Page 5: Ataques de Ingeniería Social](https://reader034.vdocumento.com/reader034/viewer/2022052304/5575e371d8b42af74e8b47b1/html5/thumbnails/5.jpg)
Debilidad humana
Las personas son el eslabón más débil de la cadena de seguridad.
Una defensa exitosa depende en tener buenas políticas implementadas y educar a los empleados para que cumplan con las políticas.
La ingeniería social es la forma de ataque más difícil de combatir porque no puede defenderse con hardware o software solamente.
![Page 6: Ataques de Ingeniería Social](https://reader034.vdocumento.com/reader034/viewer/2022052304/5575e371d8b42af74e8b47b1/html5/thumbnails/6.jpg)
Tipos comunes de ingeniería social La ingeniería social puede
dividirse en dos tipos: basada en humanos y basada en computadores
1. La Ingeniería Social Basada en Humanos se refiere a la interacción persona-a-persona para recuperar la información deseada.
2. La Ingeniería Social Basada en Computadoras s refiere al uso de software/hardware para recuperar la información deseada.
6
![Page 7: Ataques de Ingeniería Social](https://reader034.vdocumento.com/reader034/viewer/2022052304/5575e371d8b42af74e8b47b1/html5/thumbnails/7.jpg)
Categorías:
Personificación
Suplantar una persona importante
Acercamiento de tercera persona
Soporte técnico
Búsqueda en la basura
“Surfing” de hombros
Basada en Humanos
7
![Page 8: Ataques de Ingeniería Social](https://reader034.vdocumento.com/reader034/viewer/2022052304/5575e371d8b42af74e8b47b1/html5/thumbnails/8.jpg)
Llamada al soporte técnico
Un hombre llama al soporte técnico
y dice que ha olvidado su clave.
En pánico agrega que si no entrega
un documento a tiempo su jefe podría
despedirlo.
La persona de soporte siente pena por él y resetea la clave, dándole acceso a la red
corporativa.
8
![Page 9: Ataques de Ingeniería Social](https://reader034.vdocumento.com/reader034/viewer/2022052304/5575e371d8b42af74e8b47b1/html5/thumbnails/9.jpg)
Dumpster diving
Un ejecutivo bota papeles corporativos a la papelera.
El personal de limpieza toma la basura y la coloca en los tanques provistos para que los recoja el barrendero.
Espías maliciosos se apropian de los papeles desde la basura antes de que se los lleve el camión.
Los papeles contienen información de nombres, cargos y extensiones de ejecutivos de la empresa y balances financieros. Esta información es suficiente para lanzar un ataque exitoso de ingeniería social. 9
![Page 10: Ataques de Ingeniería Social](https://reader034.vdocumento.com/reader034/viewer/2022052304/5575e371d8b42af74e8b47b1/html5/thumbnails/10.jpg)
Tailgating o Piggybacking
Se refiere al acto de ingresar a un área restringida siguiendo a otra persona que sí está autorizada.
Métodos:
Haciendo de “escolta”
Pretendiendo ser parte del
grupo
Fingiendo haber perdido la
credencial o tener las
manos ocupadas 10
![Page 11: Ataques de Ingeniería Social](https://reader034.vdocumento.com/reader034/viewer/2022052304/5575e371d8b42af74e8b47b1/html5/thumbnails/11.jpg)
Dejando una “carnada”
En este método se incita la curiosidad de las personas dejando un “objeto valioso” en un sitio de fácil acceso en la empresa víctima.
Ejemplos:
Pendrive o CD con
malware “olvidados” en
el baño
11
![Page 12: Ataques de Ingeniería Social](https://reader034.vdocumento.com/reader034/viewer/2022052304/5575e371d8b42af74e8b47b1/html5/thumbnails/12.jpg)
Basada en computadoras
Categorías
Adjuntos de correo electrónico
Ventanas emergentes
Sitios webs falsos o maliciosos
Correo basura (spam)
Mails falsos
Software “gratis” o pirata
12
![Page 13: Ataques de Ingeniería Social](https://reader034.vdocumento.com/reader034/viewer/2022052304/5575e371d8b42af74e8b47b1/html5/thumbnails/13.jpg)
Virus, Gusanos y Troyanos
Un virus es un aplicativo malicioso que se adjunta a otro programa para efectuar una acción no deseada.
El gusano a diferencia del virus puede replicarse a sí mismo de forma automática.
El troyano es sólo diferente en que la aplicación completa ha sido escrita para lucir como algo diferente, cuando en efecto es una herramienta de ataque.
13
![Page 14: Ataques de Ingeniería Social](https://reader034.vdocumento.com/reader034/viewer/2022052304/5575e371d8b42af74e8b47b1/html5/thumbnails/14.jpg)
Phishing
Uso de sitios “réplica” de páginas webs legítimas, para capturar las credenciales de usuarios ingenuos, con el objetivo de perpetrar estafas electrónicas.
14
![Page 15: Ataques de Ingeniería Social](https://reader034.vdocumento.com/reader034/viewer/2022052304/5575e371d8b42af74e8b47b1/html5/thumbnails/15.jpg)
Mails falsos
El correo puede ser falsificado fácilmente.
Las personas tienden a confiar mucho en lo que una persona conocida y con autoridad les solicita vía mail.
15
![Page 16: Ataques de Ingeniería Social](https://reader034.vdocumento.com/reader034/viewer/2022052304/5575e371d8b42af74e8b47b1/html5/thumbnails/16.jpg)
Mecanismos de defensa
Definición de una Política de Seguridad Corporativa.
Implantación de un Sistema de Gestión de Seguridad de Información (SGSI).
Capacitación de todo el personal sobre fraudes electrónicos y medidas preventivas.
Capacitación del personal de sistemas en seguridad informática.
Rediseño de la red para incorporar dispositivos y protocolos de seguridad.
Uso de tecnologías Anti-X.
Ejecución de auditorías de seguridad informática anuales.
16
![Page 17: Ataques de Ingeniería Social](https://reader034.vdocumento.com/reader034/viewer/2022052304/5575e371d8b42af74e8b47b1/html5/thumbnails/17.jpg)
Sistemas de protección Herramientas Comerciales
Antivirus / Antispam
Kaspersky
Eset
McAffee
Norton
Firewalls e IPS’s
Cisco ASA, Cisco Security
Agent
Juniper
Fortinet
Checkpoint
Sistemas de Correlación
Cisco MARS
Checkpoint Smart Event
Herramientas Open Source
Antivirus / Antispam
ClamAV
Firewalls e IPS’s
Linux IPTables
Solaris IPFilter
FWBuilder
Snort
Sistemas de Correlación
AlienVault Open Source
SIEM (OSSIM)
Hyperic
Nagios
17
![Page 18: Ataques de Ingeniería Social](https://reader034.vdocumento.com/reader034/viewer/2022052304/5575e371d8b42af74e8b47b1/html5/thumbnails/18.jpg)
Hacking Ético
Tipos de Hacking Ético
Externo
Interno
Computador Robado
Ingeniería Social
18
Modalidades
Black Box
Gray Box
White Box
![Page 19: Ataques de Ingeniería Social](https://reader034.vdocumento.com/reader034/viewer/2022052304/5575e371d8b42af74e8b47b1/html5/thumbnails/19.jpg)
Ataque de Phishing con SET y Metasploit
19
![Page 20: Ataques de Ingeniería Social](https://reader034.vdocumento.com/reader034/viewer/2022052304/5575e371d8b42af74e8b47b1/html5/thumbnails/20.jpg)
¿Preguntas?
![Page 21: Ataques de Ingeniería Social](https://reader034.vdocumento.com/reader034/viewer/2022052304/5575e371d8b42af74e8b47b1/html5/thumbnails/21.jpg)
Mayor información
Website: http://www.elixircorp.biz
Blog: http://www.SeguridadInformaticaFacil.com
Facebook: www.facebook.com/elixircorp
Twitter: www.twitter.com/elixircorp
Google+: http://google.com/+SeguridadInformaticaFacil
![Page 22: Ataques de Ingeniería Social](https://reader034.vdocumento.com/reader034/viewer/2022052304/5575e371d8b42af74e8b47b1/html5/thumbnails/22.jpg)
¡Gracias por su tiempo!
Twitter: KAstudilloB
Facebook: Kastudi