Ingeniería Social Martin Valdivia CISA, CISM, CCISO, ISMS-LA, ITIL-F, CLOUD-F, ISO 27002,CISCS
Objetivo
Asegurar que el participante participante tenga los conocimientos necesarios para defenderse ante ataques de ingenieria social.
Objetivo
Asegurar que el participante participante tenga los conocimientos necesarios para defenderse ante ataques de ingenieria social.
“Usted puede tener la
mejor tecnología, firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Lo único que se necesita es un llamado a un empleado desprevenido e ingresan sin más. Tienen todo en sus manos." Kevin Mitnick.
Ingenieria social
Ingenieria social • Las personas son el eslabon más debil en la
cadena de la seguridad • La ingenieria social es el metodo mas
efectivo para sortear los obstaculos de seguridad. • Un “ingeniero social” tratará de explotar esta
vulnerabilidad antes de gastar tiempo y esfuerzo en otros metodos.
La ingenieria social se aprovecha de: El deseo de ayudar La tendencia a confiar en la gente El miedo a meterse en problemas
¿Quiénes la utilizan? • • • •
Hackers Espias Ladrones Detectives privados
El factor humano • En el congreso "Access All Areas" de 1997, un
conferenciante aseguraba: • "Aunque se dice que el único computador seguro es el que está desenchufado, los amantes de la ingeniería social gustan responder que siempre se puede convencer a alguien para que lo enchufe. • No hay un sólo computador en el mundo que no dependa de un ser humano, es una vulnerabilidad universal e independiente de la plataforma tecnológica".
Ingeniería Social antes del S.XXI • • • •
La gente era más inocente Las contraseñas más débiles Los sistemas más vulnerables Las leyes menos rigurosas
Preparando la estrategia • Todo objetivo se vale de una estrategia para
lograrlo.
Preparando el ataque • Preparar un ataque a un sistema informático: versión, bug,
etc.
• Elaborar una lista sobre el objetivo. • Gustos, vicios, marca de cigarrillos, matrícula del coche,
modelo, móvil, DNI, nombre de los hijos, de la mujer, de la novia, figuras principales en su vida, se elabora un perfil psicológico de la persona.
• Fuente: Internet, basura, amigos, familiares, personas
mayores, abuelas, o niños, hijos, hermanos, etc.
Poniendo la trampa • Conociendo a la víctima, se podrá predecir
como actuará frente a determinados estímulos. • Conociendo sus gustos, sus deseos, es fácil llevarlo por donde se quiera.
Técnicas • Pretexting • Phishing • Spear Phishing • IVR/Phone Phishing (Vishing) • Caballos de troya • Shoulder Surfing • Dumpster Diving • Road Apples • Quid pro quo – Something for something • Otros tipos
Pretexting • Usa un escenario inventado (normalmente
por telefono) para obtener infomación • El pretexto es el escenario – creado con
alguna información válida para conseguir más informacion
Ejemplo pretexting •
•
Sr. Perez: Alo? Atacante: Alo, Sr. Perez. Soy José Mendoza de Soporte Técnico. Estamos teniendo restricciones de espacio en disco en el servidor principal de archivos y vamos a mover algunas carpetas de los usuarios a otro disco hoy a las 8 de la noche. Su usuario será parte de esta migración, y estará temporalmente sin servicio.
Ejemplo Pretexting •
Sr. Perez: Ah, Ok. Bueno, a las 8 de la noche ya no estaré en la Oficina. Llamante: No hay problema. Asegurese de salir del Sistema. Solo necesito chequear un par de cosas. Cual era su usuario, jperez? Sr. Perez: Si, es jperez. Ninguno de mis archivos se perderá, verdad ?
Ejemplo Pretexting • Llamante: No Sr. Perez. Pero chequeare su
cuenta para estar seguro. Cual es su password, para chequear porsiaca? Sr. Perez: Mi password es “febrero$”, todo con
letras minusculas. Llamante: Ok, Sr. Perez, dejeme ver… Si, no habrá ningun problema con sus archivos…
Muchas Gracias Sr. Perez: Gracias a ti. Nos vemos.
Phishing • Usualmente llega por email de un “negocio legítimo “ – uno que
usamos • Incluye un sentido de urgencia • Bancos y sitios de compras por tarjeta de crédito son los blancos mas frecuentes.
Historia • El término phishing viene de la palabra en inglés "fishing"
(pesca) haciendo alusión al acto de pescar usuarios mediante señuelos cada vez más sofisticados y de este modo obtener información financiera y contraseñas. • También se dice que el término "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas).
• Data en 1996, fue adoptado por crackers que intentaban
"pescar" cuentas de miembros de AOL.
Ejemplo Scotiabank
Ejemplo Interbank
Ejemplo BCP
Spear Phising • Estudios recientes muestran que los phishers son
capaces de establecer con qué banco una posible víctima tiene relación, y de ese modo enviar un e-mail, falseado apropiadamente, a la posible víctima.
Spear Phishing • emails dirigidos exclusivamente a un blanco • Aparecen como si vinieran de una persona
legitima que se conoce – Un Gerente – Una persona que trabaja – La Mesa de Ayuda
IVR/Phone Phishing (Vishing) • Dirigo a llamar a un numero telefónico – El IVR parece legítimo • Los Sistemas IVR normalmente solicitan el ingreso de
información personal – PIN – Password – SSN
• Incluso podria ser transferido a un “representante”
Implicancias del vishing • La gente confia mas en el sistema telefónico que
en el Internet. • La gente ya espera interactuar con operadores nohumanos • Mas gente puede ser atacada por telefono que por computadora. • La gente de edad son facilmente engañables
Tomado de : Vishing as an Emerging Attack Vector. Casey C. Rackley
Ejemplo ataque Vishing
Tomado de : Vishing as an Emerging Attack Vector. Casey C. Rackley
Caballo de Troya • Usa la curiosidad o la
avaricia para entregar “malware” • Normalmente llega “gratis” – Atachado a un email – Screen Saver – Anti-Virus – Ultimos chismes • Una vez que carga el Troyano …
Shoulder Surfing • Muy usada en aeropuertos, coffee shops, areas Wi-Fi en • • • • •
hoteles, lugares publicos. Consiste en la observación para obtener logins y passwords Revelación de tarjetas de credito Información confidencial puede ser revelada Cajeros automaticos de Bancos, bloqueos de seuridad, teclados de alarma Incluye “piggy backing” – alguien inresa a un area segura basado en una auenticación valida.
Dumpster Diving • Obtener información de la basura • Que se puede obtener ? – Información Confidencial, información personal y datros
de tarjetas de creditos. – Información de bancos – Lista de telefonos • No es raro obtener información de la basura • Control: Destructores cruzados de información confidencial
Road Apples • Medios fisícos
( CDs, USBs) • Etiquetados para llamar la curiosidad • Una vez colocados carga Troyanos o virus para rastrear keystrokes • Usado para obtener IDs y passwords
Quid pro quo • Algo para estafar algo • Ejemplos: – Suplantación del Help Desk – Regalos por intercambio de Información • Las encuestas muestran que la gente está dispuesto a
intercambiar información privada por un valor relativamente bajo – Concursos de “chapitas” – Promociones – Encuestas
Otros tipos de Ingeniería Social • Spoofing/hacking IDs de emails populares como Yahoo, • • • •
Gmail, Hotmail Conexiones Wi-Fi gratuitas Punto-a-Punto Paginas Web y direcciones email Estafas en el cajero automático
Conclusiones • La ingeniería social NUNCA PASARÁ DE
MODA. • Es un arte, el arte que deja la ética de
lado. • El ingrediente necesario detrás de todo
gran ataque.
Contramedidas La mejor manera de estar protegido pasa por el conocimiento.
• Concientizar a los usuarios • Pruebas periódicas • Programa de concientización a usuarios (Security
Awareness Program) • SP 800-50
Programa de Concientización Mensaje directo al Colaborador
Programa de concientización
Por lo general incluye una mascota de seguridad Despliegue en lugares visibles (posters, flayers, corchos) Charlas de concientización
TA 1 - Desarrolle una aplicación Visual Studio de
Control de Accesos con 2 formularios: 1) Registro de usuarios y contraseñas. Aquí se deben considerar las sgtes. restricciones de contraseña: – – – – – – –
Long. Min de 8 posiciones Al menos dos minúsculas Al menos dos mayúsculas Al menos tres números Al menos 1 símbolo especial No permitir repetir las 12 ultimas contraseñas Obligación de cambiar la contraseña cada 60 dias
2) Autenticación de usuarios. Aquí, el usuario debe ingresar al Sistema. • La contraseña debe ser cambiada inmediatamente por el usuario la primera vez. • Bloquearse al 5to intento fallido y desbloquearse después de 2 minutos • Cerrar la sesión por inactividad luego de 2
TA 2
• Utilizando la herramienta Go!
Animate, escriba un ataque de Ingenieria Social. • El Ataque será realizado por cada grupo. • El objetivo en cada caso es robar credenciales de la victima para ganar acceso al sistema objetivo.