You are on page 1of 50

Ingenieria social

Tema 8
Curso: Seguridad Informática Martin Valdivia B. CISA, CISM, ISMS-LA

Introducción

“Usted puede tener la mejor tecnología, firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Lo único que se necesita es un llamado a un empleado desprevenido e ingresan sin más. Tienen todo en sus manos." Kevin Mitnick.

¿Qué es la Ingeniería Social?
Lograr que la gente cumpla con tus deseos.

Ingenieria Social

Las personas son el eslabon más debil en la cadena de la seguridad La ingenieria social es el metodo mas efectivo para sortear los obstaculos de seguridad Un “ingeniero social” tratará de explotar esta vulnerabilidad antes de gastar tiempo y esfuerzo en otros metodos.

Ingenieria Social La ingenieria social se aprovecha de las cualidades del ser humano El deseo de ayudar La tendencia a confiar en la gente El miedo a meterse en problemas .

¿Quiénes la usan? • Hackers • Espías • Ladrones o timadores • Detectives privados .

El factor humano • En el congreso "Access All Areas" de 1997. los amantes de la ingeniería social gustan responder que siempre se puede convencer a alguien para que lo enchufe. un conferenciante aseguraba: "Aunque se dice que el único ordenador seguro es el que está desenchufado. No hay un sólo cmputador en el mundo que no dependa de un ser humano. es una vulnerabilidad universal e independiente de la plataforma tecnológica". .

Ingeniería social antes del s. XXI • La gente era más inocente • Las contraseñas más débiles • Los sistemas más vulnerables • Las leyes menos rigurosas .

. Ese es el fin mismo de la estrategia.Preparando la estrategia • Todo objetivo se vale de una estrategia para lograrlo. .

modelo. o niños. Fuente: Internet. hijos. Gustos. móvil. de la mujer. amigos. Vamos elaborando una lista. vicios. . sobre nuestro objetivo. familiares. marca de cigarrillos.Preparando el ataque Al igual que al preparar un ataque a un sistema informático. abuelas. nombre de los hijos. bug. Versión. buscar siempre las personas mayores. DNI. etc. se elabora un perfil psicológico de la persona. basura. de la novia. figuras principales en su vida. hermanos. matrícula del coche. etc.

y se podrá predecir como actuará frente a determinados estímulos. Conocer todo de la víctima. y es fácil llevarlo por una conversación telefónica a donde queremos. • Conociendo sus gustos.La ingeniería social por excelencia • Ahora se puede poner la trampa. . sus deseos.

Tecnicas • Pretexting • Phishing • Spear Phishing • IVR/Phone Phishing (Vishing) • Caballos de troya • Shoulder Surfing • Dumpster Diving • Road Apples • Quid pro quo – Something for something • Otros tipos .

Pretexting • Usa un escenario inventado (normalmente por telefono) para obtener infomación • El pretexto es el escenario – creado con alguna información válida para conseguir más informacion .

y estará temporalmente sin servicio. Sr. Perez. . Soy José Mendoza de Soporte Técnico. Estamos teniendo restricciones de espacio en disco en el servidor principal de archivos y vamos a mover algunas carpetas de los usuarios a otro disco hoy a las 8 de la noche.Ejemplo: Sr. Perez: Alo? Atacante: Alo. Su usuario será parte de esta migración.

Ninguno de mis archivos se perderá.Ejemplo Sr. verdad ? . Llamante: No hay problema. a las 8 de la noche ya no estaré en la Oficina. Ok. jperez? Sr. Perez: Si. Cual era su usuario. Asegurese de salir del Sistema. Bueno. Solo necesito chequear un par de cosas. Perez: Ah. es jperez.

Llamante: Ok. para chequear porsiaca? Sr. todo con letras minusculas. Pero chequeare su cuenta para estar seguro. no habrá ningun problema con sus archivos… Muchas Gracias Sr. dejeme ver… Si. Perez. Perez: Gracias a ti. Cual es su password. Sr. Perez: Mi password es “febrero$”. Perez. Nos vemos.Ejemplo Llamante: No Sr. .

.Phishing • Usualmente llega por email • Aparenta llegar de un negocio legítimo – uno que usamos • Normalmente incluye un sentido de urgencia • Es una seria amenaza a su seguridad personal • Usted será preguntado para verificar datos personales • Bancos y sitios de compras por tarjeta de crédito son los blancos mas frecuentes.

• La primera mención del término phishing data en 1996. .Historia del phishing • El término phishing viene de la palabra en inglés "fishing" (pesca) haciendo alusión al acto de pescar usuarios mediante señuelos cada vez más sofisticados y de este modo obtener información financiera y contraseñas. fue adoptado por crackers que intentaban "pescar" cuentas de miembros de AOL. • También se dice que el término "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas).

. el mensaje podía contener textos como "verificando cuenta" o "confirmando información de factura". • Para poder engañar a la víctima de modo que diera información sensitiva. • Un cracker se hacía pasar como un empleado de AOL y enviaba un mensaje instantáneo a una víctima potencial.Phishing en AOL AOL tomó medidas tardíamente en 1995 para prevenir el Phishing.

el atacante podía tener acceso a la cuenta de la víctima y utilizarla para varios propósitos. .Phishing en AOL •Una vez el usuario enviaba su contraseña. •En 1997. AOL reforzó su política respecto al phishing y fueron terminantemente expulsados de los servidores de AOL. •Durante ese tiempo el phishing era tan frecuente que decidieron añadir en su sistema de mensajería instantánea. • Simultáneamente AOL desarrolló un sistema que desactivaba de forma automática una cuenta involucrada en phishing. una línea que indicaba que "no one working at AOL will ask for your password or billing information" ("nadie que trabaje en AOL le pedirá a usted su contraseña o información de facturación"). comúnmente antes de que la víctima pudiera responder.

Ejemplo .

Ejemplo .

Ejemplo .

Ejemplo .

Ejemplo .

Ejemplo .

. • URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers. como el ejemplo en esta URL: http://www.com/general/custverifyinfo.asp • Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carácter arroba: @.trustedbank. para posteriormente preguntar el nombre de usuario y contraseña.Técnicas de phishing • La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar.

com. . o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL legítima.google.google.tripod. cuando realmente el enlace envía al navegador a la página de members. la página abrirá normalmente).com@members.com. el enlace: http://www. si no existe tal usuario.com (y al intentar entrar con el nombre de usuario de www.tripod.Técnicas de phishing • Por ejemplo. • Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones.com/ puede engañar a un observador casual a creer que el enlace va a abrir en la página de www.google.

Técnicas de phishing • En otro método popular de phishing. el enlace esta modificado para realizar este ataque. seguido por un enlace que parece la página web auténtica en realidad. ya que dirigen al usuario a iniciar sesión en la propia página del banco o servicio. . • Este tipo de ataque resulta particularmente problemático. el atacante utiliza los propios códigos del banco o servicio del cual se hacen pasar contra la víctima. donde la URL y los certificados de seguridad parecen correctos. • En este método de ataque los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas. además es muy difícil de detectar si no se tienen los conocimientos necesarios.

• Para que una persona pueda darse de alta con esta clase de empresas debe rellenar un formulario en el cual se indicarán entre otros datos. chats. la cuenta bancaria. donde empresas ficticias les ofrecen trabajo. ofreciendoles ejercer desde su propia casa y amplios beneficios.Lavado de dinero producto del phishing • Se está tendiendo actualmente a la captación de personas por medio de e-mails. • Esto tiene la finalidad de ingresar en la cuenta del trabajadorvíctima el dinero procedente de las estafas bancarias realizadas por el método de phishing. • Todas aquellas personas que aceptan se convierten automáticamente en víctimas que incurren en un grave delito bajo su ignorancia: el blanqueo de dinero obtenido a través del acto fraudulento de phishing. .

pudiendo rondar el 10%-20%. • Estas denuncias se suelen resolver con la imposición de devolver todo el dinero sustraído a la víctima. como comisión de trabajo y el resto lo reenviará a través de sistemas de envío de dinero a cuentas indicadas por la seudo-empresa. pudiéndose ver requerido por la justicia. . • Una vez hecho este ingreso la víctima se quedará un porcentaje del dinero total.Lavado de dinero producto del phishing • Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su cuenta bancaria y es avisado por parte de la empresa del mismo. obviando que esta únicamente recibió una comisión. previa denuncia de los bancos. • Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad económica) esta se ve involucrada en un acto de estafa importante.

Spear Phishing • emails dirigidos exclusivamente a un blanco • Aparecen como si vinieran de una persona legitima que se conoce – Un Gerente – Una persona que trabaja – La Mesa de Ayuda .

. y de ese modo enviar un e-mail. falseado apropiadamente. a la posible víctima.• Spear Phishing • Estudios recientes muestran que los phishers son capaces de establecer con qué banco una posible víctima tiene relación. • En términos generales. esta variante hacia objetivos específicos en el phishing se ha denominado spear phishing (literalmente phishing con lanza).

IVR/Phone Phishing (Vishing) • Dirigo a llamar a un numero telefónico – El IVR parece legítimo • Los Sistemas IVR normalmente solicitan el ingreso de información personal – PIN – Password – SSN • Incluso podria ser transferido a un “representante” .

Rackley . • La gente ya espera interactuar con operadores nohumanos • Mas gente puede ser atacada por telefono que por computadora.Implicancias del vishing • La gente confia mas en el sistema telefónico que en el Internet. Casey C. • La gente de edad son facilmente engañables Tomado de : Vishing as an Emerging Attack Vector.

Ejemplo de mensaje de texto Tomado de : Vishing as an Emerging Attack Vector. Rackley . Casey C.

Rackley .Ejemplo ataque Vishing Tomado de : Vishing as an Emerging Attack Vector. Casey C.

copia el libro de direcciones.Caballo de Troya • Usa la curiosidad o la avaricia para entregar “malware” • Normalmente llega “gratis” – Atachado a un email – Screen Saver – Anti-Virus – Ultimos chismes • Abriendo el attachment se carga el Troyano – Registra keystrokes. busca archivos con información financiera .

lugares publicos. bloqueos de seuridad. teclados de alarma • Incluye “piggy backing” – alguien inresa a un area segura basado en una auenticación valida.Shoulder Surfing • Muy usada en aeropuertos. . • Consiste en la observación para obtener logins y passwords • Revelación de tarjetas de credito • Información confidencial puede ser revelada • Cajeros automaticos de Bancos. coffee shops. areas Wi-Fi en hoteles.

– Información de bancos – Lista de telefonos • No es raro obtener información de la basura • Control: Destructores cruzados de información confidencial TRASH .Dumpster Diving • Obtener información de la basura • Que se puede obtener ? – Información Confidencial. información personal y datros de tarjetas de creditos.

Road Apples • Se basa en medios fisícos – CD. la caracteristica “autorun” carga Troyanos o virus para rastrear keystrokes – Usado para obtener IDs y passwords . USB • Etiquetados para llamar la curiosidad – “Lista de persnal con sueldos” – “Plan de reduccíón de personal” – “Cambio Organizacional (Confidencial)” • Una vez colocado en la PC. floppy.

Quid pro quo • Algo para estafar algo • Ejemplos: – Suplantación del Help Desk – Regalos por intercambio de Información • Las encuestas muestran que la gente está dispuesto a intercambiar información privada por un valor relativamente bajo – Concursos de “chapitas” – Promociones – Encuestas .

Otros tipos de Ingenieria Social • Spoofing/hacking IDs de emails populares como Yahoo. Gmail. Hotmail • Conexiones Wi-Fi gratuitas • Punto-a-Punto • Paginas Web y direcciones email • Estafas en el cajero automático .

Ejemplo .

Ejemplo .

. el arte que deja la ética de lado. Es un arte.Conclusiones La ingeniería social NUNCA PASARÁ DE MODA. El ingrediente necesario detrás de todo gran ataque.

cadenas ni bromas. USB ? No los uses Nunca use un link dentro de un email o llame a un numero telefonico dentro de un email– busque esa información de menera independiente No reenvie ni responda un mail no solicitado.Recomendaciones • • • • • • • • • Nunca comparta passwords – NEVER. Bloquee su pantalla cuando se ausente. No permitir extraños en areas seguras No comparta información confidencial con extraños por telefono . NEVER. NEVER Use passwords diferentes para temas personal y laborales. No discutir temas confidenciales de la Empresa en público Al encontrar un CD’s.

• Concientizar a los usuarios .Contramedidas La mejor manera de estar protegido pasa por el conocimiento.

.Caso Practico Desarrolle un ataque de Ingenieria Social contra el área de Registros Academicos de la Universidad Continental.