ingenieria social
DESCRIPTION
Ataques de la ingeniería social que se da en la sociedad y en el mundoTRANSCRIPT
Ingeniería Social
Martin Valdivia
CISA, CISM, CCISO, ISMS-LA, ITIL-F, CLOUD-F, ISO 27002,CISCS
Asegurar que el participante tenga
los conocimientos necesarios para
defenderse ante ataques de
ingenieria social.
Objetivo
“Usted puede tener la
mejor tecnología,
firewalls, sistemas de
detección de ataques,
dispositivos biométricos,
etc. Lo único que se
necesita es un llamado
a un empleado
desprevenido e ingresan
sin más. Tienen todo en
sus manos."
Kevin Mitnick.
Ingenieria social
Ingenieria social
• La ingenieria social es el metodo mas efectivo
para sortear los obstaculos de seguridad.
• Las personas son el eslabon más debil en la
cadena de la seguridad
• Un “ingeniero social” tratará de explotar esta
vulnerabilidad antes de gastar tiempo y esfuerzo
en otros metodos.
La ingenieria social se aprovecha de:
El deseo de ayudar
La tendencia a confiar en la gente
El miedo a meterse en problemas
¿Quiénes
la utilizan?
• Hackers
• Espias
• Criminales
• Competencia
• Detectives
privados
El factor humano
• En el congreso "Access All Areas" de 1997, un
conferenciante aseguraba:
• "Aunque se dice que el único computador seguro es el
que está desenchufado, los amantes de la ingeniería
social gustan responder que siempre se puede
convencer a alguien para que lo enchufe.
• No hay un sólo computador en el mundo que no
dependa de un ser humano, es una vulnerabilidad
universal e independiente de la plataforma tecnológica".
¿Cómo nos atacan?
• Todo objetivo se vale de una estrategia para
lograrlo.
¿Cómo nos atacan?
• Preparar un ataque a un sistema informático: versión, bug, etc.
• Elaborar una lista sobre el objetivo.
• Gustos, vicios, marca de cigarrillos, matrícula del coche, modelo, móvil, DNI, nombre de los hijos, de la mujer, de la novia, figuras principales en su vida, se elabora un perfil psicológico de la persona.
• Fuente: Internet, basura, amigos, familiares, personas mayores, abuelas, o niños, hijos, hermanos, etc.
• Conociendo a la víctima, se podrá predecir
como actuará frente a determinados
estímulos.
• Conociendo sus gustos, sus deseos, es
fácil llevarlo por donde se quiera.
Poniendo la trampa
Técnicas
• Pretexting
• Phishing
• Spear Phishing
• IVR/Phone Phishing (Vishing)
• Caballos de troya
• Shoulder Surfing
• Dumpster Diving
• Road Apples
• Quid pro quo – Something for something
• Otros tipos
Pretexting
• Usa un escenario inventado
(normalmente por telefono) para
obtener infomación
• El pretexto es el escenario – creado
con alguna información válida para
conseguir más informacion
Ejemplo pretexting
• Sr. Perez: Alo?
• Atacante: Alo, Sr. Perez. Soy José Mendoza de Soporte Técnico. Estamos teniendo restricciones de espacio en disco en el servidor principal de archivos y vamos a mover algunas carpetas de los usuarios a otro disco hoy a las 8 de la noche. Su usuario será parte de esta migración, y estará temporalmente sin servicio.
Ejemplo Pretexting
• Sr. Perez: Ah, Ok. Bueno, a las 8 de la nocheya no estaré en la Oficina.
Llamante: No hay problema. Asegurese de salir del Sistema. Solo necesito chequear un par de cosas. Cual era su usuario, jperez?
Sr. Perez: Si, es jperez. Ninguno de misarchivos se perderá, verdad ?
Ejemplo Pretexting
• Llamante: No Sr. Perez. Pero chequeare su
cuenta para estar seguro. Cual es su password,
para chequear porsiaca?
Sr. Perez: Mi password es “Inocencio2015$”,
todo con letras minusculas.
Llamante: Ok, Sr. Perez, dejeme ver… Si, no
habrá ningun problema con sus archivos…
Muchas Gracias
Sr. Perez: Gracias a ti. Nos vemos.
Phishing
• Usualmente llega por
email de un “negocio
legítimo “ – uno que
usamos
• Incluye un sentido de
urgencia
• Bancos y sitios de
compras por tarjeta
de crédito son los
blancos mas
frecuentes.
Historia
• El término phishing viene de la palabra en inglés "fishing"
(pesca) haciendo alusión al acto de pescar usuarios
mediante señuelos cada vez más sofisticados y de este
modo obtener información financiera y contraseñas.
• También se dice que el término "phishing" es la contracción
de "password harvesting fishing" (cosecha y pesca de
contraseñas).
• Data en 1996, fue adoptado por crackers que intentaban
"pescar" cuentas de miembros de AOL.
Ejemplo
Scotiabank
Ejemplo
Interbank
Ejemplo
BCP
• Ejemplo
https://www.youtube.com/watch?v=lLpFIRARKqo
Spear Phising
Estudios recientes muestran que los phishers
son capaces de establecer con qué banco una
posible víctima tiene relación, y de ese modo
enviar un e-mail, falseado apropiadamente, a la
posible víctima.
Spear Phishing
• emails dirigidos exclusivamente a un blanco
• Aparecen como si vinieran de una persona
legitima que se conoce
– Un Gerente
– Una persona que trabaja
– La Mesa de Ayuda
IVR/Phone Phishing (Vishing)
• Dirigo a llamar a un numero telefónico
– El IVR parece legítimo
• Los Sistemas IVR normalmente solicitan el ingreso de información personal
– PIN
– Password
– SSN
• Incluso podria ser transferido a un “representante”
Implicancias del vishing
• La gente confia mas en el sistema telefónico que en el Internet.
• La gente ya espera interactuar con operadores no-humanos
• Mas gente puede ser atacada por telefono que por computadora.
• La gente de edad son facilmente engañables
Tomado de : Vishing as an Emerging Attack Vector. Casey C. Rackley
Ejemplo ataque Vishing
Tomado de : Vishing as an Emerging Attack Vector. Casey C. Rackley
Caballo de Troya
• Usa la curiosidad o la
avaricia para entregar
“malware”
• Normalmente llega “gratis”
– Atachado a un email
– Screen Saver
– Anti-Virus
– Ultimos chismes
• Una vez que carga el
Troyano …
Shoulder Surfing
• Muy usada en aeropuertos, coffee shops, areas
Wi-Fi en hoteles, lugares publicos.
• Consiste en la observación para obtener logins y
passwords, información confidencial.
• Cajeros automaticos de Bancos, bloqueos de
seguridad, teclados de alarma
• Incluye “piggy backing” – alguien inresa a un area
segura basado en una auenticación valida.
Dumpster Diving
• Obtener información de la basura. No es raro!
• ¿Que se puede obtener?
– Información Confidencial
– información personal
– Datos de tarjetas de creditos.
– Información de bancos
– Lista de telefonos
Road Apples
• Medios fisícos
( CDs, USBs)
• Etiquetados para
llamar la
curiosidad
• Una vez
colocados carga
Troyanos o virus
para rastrear
keystrokes
• Usado para
obtener IDs y
passwords
Quid pro quo
• Algo para algo
– Concursos de “chapitas”
– Promociones
– Encuestas
– Regalos por intercambio de Información
• Spoofing/hacking IDs de emails populares como
Yahoo, Gmail, Hotmail
• Conexiones Wi-Fi gratuitas
• Punto-a-Punto
• Paginas Web y direcciones email
• Estafas en el cajero automático
Otros tipos de Ingeniería Social
Conclusiones
• La ingeniería social NUNCA PASARÁ
DE MODA.
• Es un arte, el arte que deja la ética de
lado.
• El ingrediente necesario detrás de todo
gran ataque.
Contramedidas
La mejor manera de estar protegido pasa por el
conocimiento.
• Concientizar a los usuarios
• Pruebas periódicas
• Programa de concientización a usuarios (Security
Awareness Program)
• SP 800-50
Programa de Concientización
Mensajes directo a los Colaboradores
Programa de concientización