Professional Documents
Culture Documents
• Introducción
• Ataques y Métodos
• Recolección de Información
• Desarrollar un Pretexto
• Indagación “elicitation”
• Protección
Introducción
• Definición(es)
• Confianza
• ¿Por qué utilizar la ingeniería social?
• Estudio del Caso: Stanley Rifkin
• Estudio del Caso: Kevin Mitnick
• Personalidad del atacante
• Categorías de la ingeniería social
• Metas del ingeniero
• Victimas Típicas
• Como escoger un buen objetivo
• Vulnerabilidades que exponen a la organización
Introducción
Definición(es)
• La manipulación inteligente de la tendencia natural de la
gente a confiar (icde.org.co)
• Manipulación psicológica de las personas en la realización de
acciones o divulgar información confidencial (wikipedia)
• Disciplina que consiste en sacar información a otra persona
sin que esta se de cuenta de que está revelando "información
sensible“ (icde.org.co)
• La ingeniería social consiste en la manipulación de las
personas para que voluntariamente realicen actos que
normalmente no harían (carole fennelly, the human side of
computer security, sunworld, July 1999)
Un Ejemplo – Arjen Robben
Ingeniería social utiliza la influencia y la persuasión para engañar
a la gente al convencerlos de que el ingeniero social es alguien
que no es, o por la manipulación. como resultado, el ingeniero
social es capaz de aprovecharse de la gente para obtener
información con o sin el uso de la tecnología.
--Kevin Mitnick
Introducción
Confianza
• es una medida de la creencia en
honestidad, benevolencia, competencia
• elementos de riesgo: algo que perder, falta de información, un
juego
• es difícil de ganar, fácil de perder
• el fundamento de la ingeniería social es ganar la confianza!!!!
Introducción
¿Por qué utilizar la ingeniería social?
• No es un método totalmente técnico para entrar a un sistema
o organización
• El ser human es el componente mas débil de cualquier
sistema de seguridad
• El ser humano:
– Siempre quiere ayudar a otros
– No le gusta decir NO
– Le gusta que le alaben
• Cualquier persona lo puede hacer con sólo un poco de
practica!
• Es muy usado actualmente en ataques cibernéticos
Introducción
Estudio del Caso: Stanley Rifkin
• En 1978, se robó $10.2 Millones del banco Security Pacific
National
• Trabajaba en los sistemas del banco
• Un día memorizó el código de seguridad para transferir dinero
• Llamó al banco y se identificó como un agente de otro banco,
dió el código y transfirió el dinero!
• Con sólo unos minutos de ingeniería social se convirtió en
multimillonario
Introducción
Estudio del Caso: Kevin Mitnick
• Penetró los sistemas de muchas compañías grandes
incluyendo DEC y Pacific Bell
• A los 15 años averiguó como montar gratis los buses de Los
Ángeles
• Usó la ingeniera social en llamadas de teléfono para conseguir
contraseñas, teléfonos de sistemas, y otro detalles técnicos
para penetrar sistemas de computadoras
• Hoy es muy famoso y tiene su propia consultoría de
seguridad
Introducción
Personalidad del atacante
• Mucha confianza en si mismo!
• Deseo de dominar a otros
• Facilidad de conversar y adaptarse a situaciones dinámicas
• Manipulador natural
• No tiene que ser muy técnico
• En vida personal puede ser extrovertido o introvertido
• Capacidad de tomar muchas y distintas personalidades
Introducción
Categorías de la ingeniería social
• hackers
• espías industriales
• agentes de gobiernos extranjeros / espionaje económico
• ladrones de identidad
• empleados descontentos
• criminales / estafadores
• terroristas
• detectives privados
Introducción
• Al grano!!!
www.mikejr1.es/portal/index.php/noticias/11812-robo-de-datos-bancarios-en-android-por-ataques-de-ingenieria-social.html
CryptoLocker
FBI Ransomware
Fake AV
Ataques y Métodos
El ataque en persona
• toma un poco de preparación
• puede ser el mas difícil, pero también da mejores resultados
• visual, audio, y físico
• acercamiento al objetivo
– directo
– con un intermediario
– “de casualidad”
Recolección de Información
• Cómo recopilar información?
• Propósito
• Investigación de la empresa
• Búsqueda de información personal
• “dumpster diving”
Recolección de Información
Cómo recopilar información?
• Redes sociales
– Facebook, Twitter, Linkedin, Foursquare, Pintrest
– Maltego
– Sitios web de información personal: intelius
• Google
– “nombre” + filetype:pdf,txt,ppt,xls,doc
• Departamento de vehículos de motor
• nslookup, ping, whois
• Departmento de marketing, HR, Correo, relaciones publicas
Red de Maltego
Recolección de Información
Propósito
• Acumular información sobre una persona o negocio
• Poder presentar un pretexto para establecer confianza
• Establecer como acercarse al objetivo/negocio
• Saber cosas en común que uno conoce bien para poder
conversar/presentar
• Detalles de el sistema IT para buscar vulnerabilidades
descuidadas
Recolección de Información
Investigación de la empresa
• el sitio web oficial
• sitios de negocios afiliados
• sitios no oficiales, típicamente de empleados o departamentos
• licencias y permisos gubernamentales
• Whois, nslookup
• Google news
• Google: “nombre de impressa” + filetype:pdf,txt,xls
• Metagoofil
Recolección de Información
Búsqueda de información personal
• Maltego
• Las redes sociales de la persona
– Facebook es buenísimo!
– Twitter
– Foursquare
– pintrest
– linkedin
• Las redes sociales y sitios web de los amigos y asociados
Recolección de Información
“dumpster diving”
Desarrollar un Pretexto
• Definición
• Propósito
• Preparación
• Los buenos pretextos
Desarrollar un Pretexto
Definición