Ingeniería Social Jose André Morales, Ph.D. · • Llamó al banco y se identificó como un ......
Transcript of Ingeniería Social Jose André Morales, Ph.D. · • Llamó al banco y se identificó como un ......
Copyright 2014 Carnegie Mellon University This material is based upon work funded and supported by the Department of Defense under Contract No. FA8721-05-C-0003 with Carnegie Mellon University for the operation of the Software Engineering Institute, a federally funded research and development center. Any opinions, findings and conclusions or recommendations expressed in this material are those of the author(s) and do not necessarily reflect the views of the United States Department of Defense. References herein to any specific commercial product, process, or service by trade name, trade mark, manufacturer, or otherwise, does not necessarily constitute or imply its endorsement, recommendation, or favoring by Carnegie Mellon University or its Software Engineering Institute. NO WARRANTY. THIS CARNEGIE MELLON UNIVERSITY AND SOFTWARE ENGINEERING INSTITUTE MATERIAL IS FURNISHED ON AN “AS-IS” BASIS. CARNEGIE MELLON UNIVERSITY MAKES NO WARRANTIES OF ANY KIND, EITHER EXPRESSED OR IMPLIED, AS TO ANY MATTER INCLUDING, BUT NOT LIMITED TO, WARRANTY OF FITNESS FOR PURPOSE OR MERCHANTABILITY, EXCLUSIVITY, OR RESULTS OBTAINED FROM USE OF THE MATERIAL. CARNEGIE MELLON UNIVERSITY DOES NOT MAKE ANY WARRANTY OF ANY KIND WITH RESPECT TO FREEDOM FROM PATENT, TRADEMARK, OR COPYRIGHT INFRINGEMENT. This material has been approved for public release and unlimited distribution. This material may be reproduced in its entirety, without modification, and freely distributed in written or electronic form without requesting formal permission. Permission is required for any other use. Requests for permission should be directed to the Software Engineering Institute at [email protected]. DM-0001930
Temas
• Introducción • Ataques y Métodos • Recolección de Información • Desarrollar un Pretexto • Indagación “elicitation” • Protección
Introducción • Definición(es) • Confianza • ¿Por qué utilizar la ingeniería social? • Estudio del Caso: Stanley Rifkin • Estudio del Caso: Kevin Mitnick • Personalidad del atacante • Categorías de la ingeniería social • Metas del ingeniero • Victimas Típicas • Como escoger un buen objetivo • Vulnerabilidades que exponen a la organización
Introducción Definición(es) • La manipulación inteligente de la tendencia natural de la
gente a confiar (icde.org.co) • Manipulación psicológica de las personas en la realización de
acciones o divulgar información confidencial (wikipedia) • Disciplina que consiste en sacar información a otra persona
sin que esta se de cuenta de que está revelando "información sensible“ (icde.org.co)
• La ingeniería social consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían (carole fennelly, the human side of computer security, sunworld, July 1999)
Ingeniería social utiliza la influencia y la persuasión para engañar a la gente al convencerlos de que el ingeniero social es alguien que no es, o por la manipulación. como resultado, el ingeniero social es capaz de aprovecharse de la gente para obtener información con o sin el uso de la tecnología. Usted puede tener la mejor tecnología, firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Lo único que se necesita es un llamado a un empleado desprevenido. Tienen todo en sus manos. --Kevin Mitnick
Introducción
Confianza • es una medida de la creencia en
honestidad, benevolencia, competencia • elementos de riesgo: algo que perder, falta de información, un
juego • es difícil de ganar, fácil de perder • el fundamento de la ingeniería social es ganar la confianza!!!!
Introducción ¿Por qué utilizar la ingeniería social? • No es un método totalmente técnico para entrar a un sistema
o organización • El ser human es el componente mas débil de cualquier
sistema de seguridad • El ser humano:
– Siempre quiere ayudar a otros – No le gusta decir NO – Le gusta que le alaben
• Cualquier persona lo puede hacer con sólo un poco de practica!
• Es muy usado actualmente en ataques cibernéticos
Introducción Estudio del Caso: Stanley Rifkin • En 1978, se robó $10.2 Millones del banco Security Pacific
National • Trabajaba en los sistemas del banco • Un día memorizó el código de seguridad para transferir dinero • Llamó al banco y se identificó como un agente de otro banco,
dió el código y transfirió el dinero! • Con sólo unos minutos de ingeniería social se convirtió en
multimillonario
Introducción Estudio del Caso: Kevin Mitnick • Penetró los sistemas de muchas compañías grandes
incluyendo DEC y Pacific Bell • A los 15 años averiguó como montar gratis los buses de Los
Ángeles • Usó la ingeniera social en llamadas de teléfono para conseguir
contraseñas, teléfonos de sistemas, y otro detalles técnicos para penetrar sistemas de computadoras
• Hoy es muy famoso y tiene su propia consultoría de seguridad
Introducción Personalidad del atacante • Mucha confianza en si mismo! • Deseo de dominar a otros • Facilidad de conversar y adaptarse a situaciones dinámicas • Manipulador natural • No tiene que ser muy técnico • En vida personal puede ser extrovertido o introvertido • Capacidad de tomar muchas y distintas personalidades
Introducción Categorías de la ingeniería social • hackers • espías industriales • agentes de gobiernos extranjeros / espionaje económico • ladrones de identidad • empleados descontentos • criminales / estafadores • terroristas • detectives privados
Introducción
Metas del ingeniero • Información • Acceso • Autorización • Confianza! • Dinero (obvio!) • Reputación
• Cometer Fraude • Entrometerse en las Redes • Espionaje Industrial • Robo de identidad • Irrumpir en sistemas y/o
redes
Introducción
Victimas Típicas • Empresas Telefónicas • Servicios de Helpdesk y CRM • Corporaciones Renombradas • Agencias e Instituciones Gubernamentales y Militares • Instituciones Financieras • Hospitales.
Introducción Como escoger un buen objetivo • una persona
– Sin uniforme de seguridad! – Que trabaje en departamentos con mucho contacto al publico – Empleado en una compañía asociada con el objetivo – Familia/Amigo del objetivo – Recién llegado – Con amplia presencia en las redes sociales – Conocido como muy sociable “buena gente”
Introducción Vulnerabilidades que exponen a la organización • Empleados muy activos en redes sociales • Sitios web donde empleados opinan y son accesibles al
publico • Sitios donde una organización escribe detalles como nuevos
avances, eventos, etc… • Organizaciones mencionan personas y otras entidades que
colaboran con ellos • Servicios en la web para empleados que son vulnerables a la
explotación
Ataques y Métodos • Ciclo de ataque de ingeniería social • Métodos de comunicación • El “Help Desk” • Imitar el “Help Desk” • Otros ataques y métodos • Malware y Spyware • El ataque en persona
Ataques y Métodos Métodos de comunicación • en persona • teléfono • e-mail • mensaje de texto • pagina web
Ataques y Métodos El “Help Desk” • Muy fácil de penetrar • Siempre quieren ayudar! • El nuevo empleado • “No se nada!” • La conexión remoto • Usa un numero de teléfono reconocido • Representante de recursos humanos HR • IT de otra localidad
El “Help Desk”: nuevo empleado
¡Que tonto, pobrecillo!
Hola, disculpa es que soy nuevo y me olvide mi clave
¿me ayudas?
Claro como no, te doy mi clave hasta que consigas
la tuya…
Ataques y Métodos Imitar el “Help Desk” • también es fácil de hacer! • llamando un empleado • actividades extrañas • el estudio “survey” de seguridad • trabajando desde la casa
Ataques y Métodos Otros ataques y métodos • invasivas • directas • físicas • seductivas • Inadvertidas
Ataque Directo
• Al grano!!!
Buenos días Srta. Soy el nuevo arquitecto
Rochefeller y necesito un código para ingresar al
sistema…
Mucho gusto Sr. Rockefeller el código
de acceso es…
Ataques y Métodos
Malware y Spyware • Los apps para móviles • “Phishing” es lo mas común!
– El Rey de Nigeria – La lotería
• Troyanos causando inseguridad – Ransomware – Fake AV
Ataques y Métodos
Malware y Spyware Los USB Drives • Excelentes para invadir o inyectar virus, keygrabbers,
etc. • Excelentse para robar información. • Fácil de introducir en entornos empresariales. • Fácil de sacar, casi indetectable.
Android.FakeTrojan.A
www.mikejr1.es/portal/index.php/noticias/11812-robo-de-datos-bancarios-en-android-por-ataques-de-ingenieria-social.html
Ataques y Métodos El ataque en persona • toma un poco de preparación • puede ser el mas difícil, pero también da mejores resultados • visual, audio, y físico • acercamiento al objetivo
– directo – con un intermediario – “de casualidad”
Recolección de Información • Cómo recopilar información?
• Propósito • Investigación de la empresa • Búsqueda de información personal • “dumpster diving”
Recolección de Información Cómo recopilar información?
• Redes sociales – Facebook, Twitter, Linkedin, Foursquare, Pintrest – Maltego – Sitios web de información personal: intelius
• Google – “nombre” + filetype:pdf,txt,ppt,xls,doc
• Departamento de vehículos de motor • nslookup, ping, whois • Departmento de marketing, HR, Correo, relaciones publicas
Recolección de Información Propósito
• Acumular información sobre una persona o negocio • Poder presentar un pretexto para establecer confianza • Establecer como acercarse al objetivo/negocio • Saber cosas en común que uno conoce bien para poder
conversar/presentar • Detalles de el sistema IT para buscar vulnerabilidades
descuidadas
Recolección de Información Investigación de la empresa
• el sitio web oficial • sitios de negocios afiliados • sitios no oficiales, típicamente de empleados o departamentos • licencias y permisos gubernamentales • Whois, nslookup • Google news • Google: “nombre de impressa” + filetype:pdf,txt,xls • Metagoofil
Recolección de Información Búsqueda de información personal
• Maltego • Las redes sociales de la persona
– Facebook es buenísimo! – Twitter – Foursquare – pintrest – linkedin
• Las redes sociales y sitios web de los amigos y asociados
Desarrollar un Pretexto
Definición • una razón que se da para justificar un curso de acción que no
es la verdadera razón • motivo que se alega como excusa para hacer o no haber
hecho algo
Desarrollar un Pretexto
Propósito • Crear un escenario inventado para persuadir al objetivo de
proporcionarle cierta información o de realizar alguna acción. • Normalmente se realizará una investigación para conocer el
tipo de lenguaje y la tecnología empleada por la gente que administra los sistemas o que tiene acceso a la información requerida.
Desarrollar un Pretexto
Preparación • practica el guion delante de un espejo • si es por teléfono, ten todas tus notas • si es en persona, visita el lugar unos días antes • asegura que la persona va a estar ahí o que el negocio este en la
condiciones deseadas • vestuario: apropiado para el pretexto • higiene: depende del pretexto! • confianza en ti mismo • ten claras las metas! • ten presente plan B, C, D
Desarrollar un Pretexto
Los buenos pretextos • el amigo • entrega de una orden • sorpresa • la entrevista • la inspección • el que no sabe nada • el nuevo empleado • departamento de sistemas IT • el contratista
Indagación “elicitation” • Definición
• Metas • Características de un buen indagador “elicitor” • ¿Por qué es tan efectivo? • Objetivos • Técnicas
Indagación “elicitation” Definición
• arte: la recopilación de información de inteligencia de la gente como parte de la inteligencia humana (recolección de inteligencia)
• técnica: cualquiera de las diversas técnicas de recolección de datos en ciencias sociales u otros campos para reunir el conocimiento o información de las personas
• Básicamente, es el proceso de extracción de información de algo o alguien
• Indagación es una técnica de recogida de información de uso común, y a menudo muy eficaz para recoger sutilmente información
Indagación “elicitation” Metas
• información • acceso físico • confianza! • apoyo • un objeto especifico • autorización o privilegio • cosas gratis
Indagación “elicitation” Características de un buen indagador “elicitor”
• confianza en si mismo • buen comunicador • rápida adaptación • sabe dar secuencias de preguntas llegando a la meta • piropos cuando es apropiado • humor
Indagación “elicitation” ¿Por qué es tan efectivo?
• La confianza • La necesidad de ser útil • El deseo de obtener algo a cambio de nada • La curiosidad • El miedo a lo desconocido • El temor a perder algo • La ignorancia • La pereza • Apelar a la autoridad • El ego
Indagación “elicitation” Objetivos
• recursos humanos • nuevos empleados • “help desk” • dept. publicidad • sucursales • personas con gran presencia en redes sociales • personas con posiciones típicamente ignorado
Indagación “elicitation” Técnicas
• Ataque de Autoridad: Insignia falsa o uniforme • Ataque Jerk: declaración extravagante • Ataque persistente: acoso continuo
– culpabilidad o intimidación • Ataque Social: asistir a fiestas sociales, carisma, alcohol !!!! • Ataque de Encuesta falsa: Gana un viaje gratis a Hawaii! Sólo
dime tu contraseña • Ataque Help Desk: suplantar novato
Protección • Aprenda a identificar ataques de ingeniería social • Buena conciencia de seguridad • Comprender el valor de la información que usted
posee • Actualizaciones de seguridad y software • Saber cómo reaccionar • Auditorías
Ejercicio
• Kung-Fu, entre hackers
significa técnica personal. • Como parte de este curso,
ahora te pedimos que nos converses de ocasiones en las cuales has hecho uso de tu propia habilidad, para persuadir a las personas.
• Si algunas vez persuadiste a alguien a hacer lo que no quería o debía, entonces eres un ingeniero social.
Ejercicio Tienen que crear un pretexto y venir vestido de forma apropiada para ejecutarlo. El Jueves van a tener 2 horas para indagar sobre un objetivo con estas metas: 1. Nombre, fecha de nacimiento, dirección de casa, teléfono de
celular, numero de licencia de manejar. 10 pts. 2. Accesa la computadora del objetivo o su móvil, toma un
“screenshot” y te lo envías por email. 10 pts. Entreguen lo que consiguieron y expliquen a la clase las técnicas usadas. (puntos extra si tienen buen Kung-Fu!!!)