Ingenieria Social
9
Curso: Ethical Hacking Profesor: Ing. Manuel Antonio Pereyra Tema a exponer: INGENIERÍA SOCIAL Alumnos: Kenneth Zevallos Saravia Vitton A. Núñez Carrasco Robert Bello Tacilla UCSUR - 2014 FACULTAD DE INGENIERIA DE GESTIÓN Y DE SISTEMAS EMPRESARIALES Programa para EJECUTIVO C.P.E UNIVERSIDAD CIENTÍFICA DEL SUR
-
Upload
jamesbellot -
Category
Documents
-
view
19 -
download
3
description
Ingenieria Social 2
Transcript of Ingenieria Social
Curso:Ethical Hacking
Profesor:Ing. Manuel Antonio Pereyra
Tema a exponer:INGENIERÍA SOCIAL
Alumnos:Kenneth Zevallos SaraviaVitton A. Núñez CarrascoRobert Bello Tacilla
UCSUR - 2014
FACULTAD DE INGENIERIA DE GESTIÓN Y DE SISTEMAS EMPRESARIALES
Programa para EJECUTIVO C.P.E
UNIVERSIDAD CIENTÍFICA DEL SUR
INTRODUCCIÓN
INGENIERÍA
SOCIAL
Engaño y Persuasión
Información Significativa
Victima realice un determinado
acto
Conseguir aquello que
buscan
Regalos Sorpresa
Explota el Factor
Humano
Método
Utilizado
Lograr
Ejemplo
Apela
Apunta
Lograr que nosotros hagamos click en determinado link. Con este fin, intenta hacernos creer que son fotos de amigos y así logra infectarnos, entre otras acciones.
Supuesto e-mail de nuestro banco para que coloquemos nuestros datos personales o login en determinado formulario online. De esa manera, el delincuente los graba para finalmente extraer dinero de nuestra cuenta o vender los datos al mejor postor.
Casos típicos de
I.S.
Mensaje instantáne
o
Phishing
Postal electrónica
enviadas por email que, al abrirlas, nos requieren que coloquemos nuevamente el login de nuestro correo electrónico
Nos dejen en nuestra oficina un CD con programas ejecutables infectados o unlink que al dar clic en él nos robe la cookie de sesión que está en nuestra PC paraluego hacernos un robo de sesión.
Trampa Servicios hosting
E. engaño al administrador del hosting en el que el intruso pide que se le dé un espacio para probar o comprar el servicio donde luego sube un script-shell en PHP o ASP y,acto seguido, puede ver los códigos fuente de otras páginas en ese mismo servidoro proveedor, hacerse pasar por el dueño del sitio para que haga el favor de reemplazar el email de registro y reenviar la clave ftp o del panel de administración a esa cuenta.
La Ingeniería Social puede estar dirigida
a:
Una organización objetivo.Una organización al azarDeterminado empleado.Un grupo de empleados.
Un usuario
Prestadora de servicios
Conocido, amigo o pariente de alguien
Autoridad
Colega de otro sector o sucursal
Anónimo
La Ingeniería Social es realizada
supuestamente por:
Impersonalizado
Movie. En Duro de matar 4.0, hay una escena de ingeniería social (minuto 57) llevada a cabo para robar un auto. Luego de activar los airbargs a golpes para que la central del sistema OnStar se comunicara, Justin Long, interpretando a un hacker, convence a la operadora de encender el auto con la excusa de ir a un hospital luego de colisionar. En www.onstar.com/us_spanish/jsp/explore/onstar_basics/technology.jsp, encontramos el funcionamiento del sistema.
MEDIDAS CONTRA EL ENGAÑO
En las organizaciones serias que utilizan recursos y recaudos en cuanto a seguridad de la información, la ingeniería social es tomada como una potencial amenaza a su activo: la información.A través del hacking ético, un profesional de seguridad intentará emular en la organización estos ataques a fin de lograr lo mismo que podría alcanzar esta vez un ingeniero social o intruso (ya sea un empleado descontento o ex empleado, hacker, espía industrial, competencia). El propósito de esto es descubrir cuáles son los errores que se cometen en el trato con las personas en cuanto a divulgación de información supuestamente inofensiva y agentes externos a través de los medios de comunicación o en persona, es decir, desde el momento en que se le recibe en la empresa.
Algunas medidas para mejorar este aspecto• Entrenar a la gente mediante charlas (especialmente a las
recepcionistas que trabajan en mesa de entrada, a las telefonistas, al personal de seguridad, a las secretarias y a los ejecutivos) acerca de esta fuga de información.
• Desarrollar políticas para el manejo interno de la información y su clasificación.
• Llevar a cabo testeos éticos de seguridad (que no tendrán impacto en la organización, sino que darán una noción de cómo está resguardada ante este tipo de amenaza).
• Realizar pruebas como la de los pendrives-trampa y otros métodos más intrusivos.
Todos los integrantes de todo el sistema deben tener presente lo siguiente:• Concientización institucional acerca de la ingeniería social.• Políticas internas que contemplen la descentralización de datos y el
resguardo de la información.• Políticas acerca del buen uso de recursos de comunicación e
informáticos, por parte de todos los empleados.• Lucidez mental.
Lo más importante dentro de la organización es integrar a la gente que se desempeña en el sistema como parte del planeamiento estratégico de seguridad de la información y concientizarla periódicamente a partir del mismo reclutamiento.
Tácticas comúnmente utilizadasÁrea de riesgo Táctica intrusiva Estrategia
Teléfono (recepcionista)
Impersonalización y persuasión Entrene a sus empleados para que no den información confidencial ni passwords
Entrada de edificio Acceso físico no autorizado Personal de seguridad
Oficina Búsqueda de puertas abiertas Invitados y visitantes escoltados
Intranet e internet Plantar sniffers Continuo revisiones de los cambios en la red y uso de los passwords
Cestos de basura Extraer basura Monitoree, borre de modo seguro y destruya lo descartado.
General - Psicológico Impersonalización ypersuasión
Entrene al personal periódicamente.
