ingeniería social – parte 1 javier romero, cissp, gcia julio 2003

Ingeniería Social – Parte 1

Javier Romero, CISSP, GCIA

Julio 2003

Ingeniería Social – Parte 1, JaCkSecurity.com 2003 - 2004

Introducción

La ingeniería social es una práctica que es usada para explotar las debilidades de una cadena de seguridad, considerando el factor humano.

La ingeniería social es muy usada no sólo en el ámbito laboral, también se utiliza en el mover diario de la gente. Básicamente es una manera de obtener información deseada de manera sutil y segura.

La presente es una recopilación de datos para explicar algunos de los casos más comunes de ingeniería social.


Técnicas comunes

Aproximación directa: un agresor puede preguntar directamente al objetivo aprovechando que este se encuentre atareado.

Buenos días Srta. Soy el nuevo arquitecto

Rochefeller y necesito un código para

ingresar al sistema…

Mucho gusto Sr. Rockefeller el

código de acceso es…


Técnicas comunes

Usuario Importante: Pretender ser una persona importante de la organización, con una importante tarea. El atacante puede presionar al ayudante de escritorio para obtener la información.

¡Le digo que soy el Presidente de la corporación!…

¡Si Sr. tanto gusto, pase Ud. Por

favor...


Técnicas comunes

Usuario desvalido: Por ejemplo un atacante puede llamar a la secretaria de una organización pretendiendo ser un nuevo empleado y que tiene un gran problema para ingresar al sistema de la compañía. La secretaria para no ofender a la persona o hacerla parecer incompetente, se inclina a ayudarlo y le suple el nombre de usuario y la contraseña.


Técnicas comunes

¡Que tonto,

pobrecillo!

Hola, disculpa es que soy nuevo y me olvide mi clave ¿me ayudas?

Claro como no, te doy mi clave hasta que consigas la tuya…


Técnicas comunes

En que lo puedo ayudar Sr. Srta. Como puede ver

estoy en silla de ruedas, y en el edificio no hay

rampa para incapacitados de modo que no puedo

subir al área de programación, ¿podría

usted facilitarme su terminal para hacer mi

trabajo desde aquí?


Técnicas comunes

Personal de soporte técnico: Es pretender pertenecer a un equipo de una organización de soporte técnico. El atacante puede extraer útil información de manera insospechada, Por ej.: el atacante puede pretender ser un administrador del sistema que trata de resolver un problema y requiere un nombre de usuario y una contraseña para resolver el problema.


Técnicas comunes

¡Oiga quien es Ud. Y que esta

haciendo!

Ahora si me robo el

disco duro ji, ji, ji …

Soy el técnico Roboncio de la CIA. De serv.

Técnicos “Trifi-trafa”…Ah, ya… siga

no´mas…


Técnicas comunes

Ingeniería Social Reversa (RSE): Un usuario legitimo es seducido con preguntas de un atacante para obtener información de sus respuestas. Con este acercamiento el atacante percibe si la persona es más, que un usuario legítimo, el cual pudiera ser un posible objetivo.


Técnicas comunes

Asi que Ud. Trabaja en la

CIA. De enfrente, y que

tal como les va…

Bien

Un amigo me contó que han cambiado su sistema ¿es

verdad?

Si, ahora usamos

códigos de acceso todos

los trabajadores


Ataques típicos de RSE

Sabotaje: Después de haber obtenido un simple acceso, el atacante puede corromper todos los archivos de una estación de trabajo.

Me voy de ésta empresa ahora

mismo. Ya van a saber con quién

se metieron



Marketing: De manera segura un usuario llama al atacante; el atacante esta advertido. El atacante puede hacer de este o estos un negocio y su objetivo son obtener los números y las claves de las tarjetas de crédito.

Si Sr. Para concederle una entrevista necesitamos algunas

referencia bancarias, como números de sus cuentas…

Buenas tardes,¿es la CIA. CHAMBIX que requiere

socios capitalistas?



Soporte: Finalmente el atacante puede asistir a alguien con un problema, obteniendo información mientras transcurre el tiempo de su ayuda.


E-mail

Un uso común de a taque es el de correo electrónico en el que se suele enviar mensajes a personas ofreciéndoles premios o fotos gratis de artistas de cine o cantantes; al acceder a estos mensajes se infiltraría un virus de manera muy sutil en sus sistemas.


Website

Un uso muy común es el visitar un “website” que promueve un atractivo concurso. Para lo cual se requiere un nombre de usuario y un password, los cuales pueden ser iguales o muy parecidos a los que usted usa en su trabajo.


Website


Ejercicio: Prueba tu KungFu

Kung-Fu, entre hackers significa técnica personal.

Como parte de este curso, ahora te pedimos que nos platiques de ocasiones en las cuales has hecho uso de tu propia habilidad, para persuadir a las personas.

Si algunas vez persuadiste a alguien a hacer lo que no quería o debía, entonces eres un ingeniero social.


Kung Fu – buen intento

Todavía debes entrenarte más.

No sirves para hacker.


Kung Fu – muy listo

Te faltó más credebilidad.


Kung Fu – mejora más

Estás por el mal camino, puedes hacer peores cosas.


Kung Fu - sorprendente

Lo tuyo sólo se ve en las películas de espionaje.


Kung Fu – muy imaginativo

Simple pero preciso. Te pueden contratar de

espía, pero también puedes detectar actos sospechosos en tu empresa y alertar tempranamente algún acto oculto de Ingeniería Social.

Te da las gracias por tu participación.

Este matrial pertenece a una serie de cursos JaCkBasis, para alertar en temas de seguridad y entrenar a oficinistas contra hackers (e ingenieros sociales)

ingeniería social – parte 1 javier romero, cissp, gcia julio 2003

Documents