Ingeniería Social Jose André Morales, Ph.D.

Copyright 2014 Carnegie Mellon University This material is based upon work funded and supported by the Department of Defense under Contract No. FA8721-05-C-0003 with Carnegie Mellon University for the operation of the Software Engineering Institute, a federally funded research and development center. Any opinions, findings and conclusions or recommendations expressed in this material are those of the author(s) and do not necessarily reflect the views of the United States Department of Defense. References herein to any specific commercial product, process, or service by trade name, trade mark, manufacturer, or otherwise, does not necessarily constitute or imply its endorsement, recommendation, or favoring by Carnegie Mellon University or its Software Engineering Institute. NO WARRANTY. THIS CARNEGIE MELLON UNIVERSITY AND SOFTWARE ENGINEERING INSTITUTE MATERIAL IS FURNISHED ON AN “AS-IS” BASIS. CARNEGIE MELLON UNIVERSITY MAKES NO WARRANTIES OF ANY KIND, EITHER EXPRESSED OR IMPLIED, AS TO ANY MATTER INCLUDING, BUT NOT LIMITED TO, WARRANTY OF FITNESS FOR PURPOSE OR MERCHANTABILITY, EXCLUSIVITY, OR RESULTS OBTAINED FROM USE OF THE MATERIAL. CARNEGIE MELLON UNIVERSITY DOES NOT MAKE ANY WARRANTY OF ANY KIND WITH RESPECT TO FREEDOM FROM PATENT, TRADEMARK, OR COPYRIGHT INFRINGEMENT. This material has been approved for public release and unlimited distribution. This material may be reproduced in its entirety, without modification, and freely distributed in written or electronic form without requesting formal permission. Permission is required for any other use. Requests for permission should be directed to the Software Engineering Institute at permission@sei.cmu.edu. DM-0001930

Temas

• Introducción • Ataques y Métodos • Recolección de Información • Desarrollar un Pretexto • Indagación “elicitation” • Protección

Introducción • Definición(es) • Confianza • ¿Por qué utilizar la ingeniería social? • Estudio del Caso: Stanley Rifkin • Estudio del Caso: Kevin Mitnick • Personalidad del atacante • Categorías de la ingeniería social • Metas del ingeniero • Victimas Típicas • Como escoger un buen objetivo • Vulnerabilidades que exponen a la organización

Introducción Definición(es) • La manipulación inteligente de la tendencia natural de la

gente a confiar (icde.org.co) • Manipulación psicológica de las personas en la realización de

acciones o divulgar información confidencial (wikipedia) • Disciplina que consiste en sacar información a otra persona

sin que esta se de cuenta de que está revelando "información sensible“ (icde.org.co)

• La ingeniería social consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían (carole fennelly, the human side of computer security, sunworld, July 1999)

Un Ejemplo – Arjen Robben

Ingeniería social utiliza la influencia y la persuasión para engañar a la gente al convencerlos de que el ingeniero social es alguien que no es, o por la manipulación. como resultado, el ingeniero social es capaz de aprovecharse de la gente para obtener información con o sin el uso de la tecnología. Usted puede tener la mejor tecnología, firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Lo único que se necesita es un llamado a un empleado desprevenido. Tienen todo en sus manos. --Kevin Mitnick

Introducción

Confianza • es una medida de la creencia en

honestidad, benevolencia, competencia • elementos de riesgo: algo que perder, falta de información, un

juego • es difícil de ganar, fácil de perder • el fundamento de la ingeniería social es ganar la confianza!!!!

Introducción ¿Por qué utilizar la ingeniería social? • No es un método totalmente técnico para entrar a un sistema

o organización • El ser human es el componente mas débil de cualquier

sistema de seguridad • El ser humano:

– Siempre quiere ayudar a otros – No le gusta decir NO – Le gusta que le alaben

• Cualquier persona lo puede hacer con sólo un poco de practica!

• Es muy usado actualmente en ataques cibernéticos

Introducción Estudio del Caso: Stanley Rifkin • En 1978, se robó $10.2 Millones del banco Security Pacific

National • Trabajaba en los sistemas del banco • Un día memorizó el código de seguridad para transferir dinero • Llamó al banco y se identificó como un agente de otro banco,

dió el código y transfirió el dinero! • Con sólo unos minutos de ingeniería social se convirtió en

multimillonario

Introducción Estudio del Caso: Kevin Mitnick • Penetró los sistemas de muchas compañías grandes

incluyendo DEC y Pacific Bell • A los 15 años averiguó como montar gratis los buses de Los

Ángeles • Usó la ingeniera social en llamadas de teléfono para conseguir

contraseñas, teléfonos de sistemas, y otro detalles técnicos para penetrar sistemas de computadoras

• Hoy es muy famoso y tiene su propia consultoría de seguridad

Introducción Personalidad del atacante • Mucha confianza en si mismo! • Deseo de dominar a otros • Facilidad de conversar y adaptarse a situaciones dinámicas • Manipulador natural • No tiene que ser muy técnico • En vida personal puede ser extrovertido o introvertido • Capacidad de tomar muchas y distintas personalidades

Introducción Categorías de la ingeniería social • hackers • espías industriales • agentes de gobiernos extranjeros / espionaje económico • ladrones de identidad • empleados descontentos • criminales / estafadores • terroristas • detectives privados

Introducción

Metas del ingeniero • Información • Acceso • Autorización • Confianza! • Dinero (obvio!) • Reputación

• Cometer Fraude • Entrometerse en las Redes • Espionaje Industrial • Robo de identidad • Irrumpir en sistemas y/o

redes

Introducción

Victimas Típicas • Empresas Telefónicas • Servicios de Helpdesk y CRM • Corporaciones Renombradas • Agencias e Instituciones Gubernamentales y Militares • Instituciones Financieras • Hospitales.

Introducción Como escoger un buen objetivo • una persona

– Sin uniforme de seguridad! – Que trabaje en departamentos con mucho contacto al publico – Empleado en una compañía asociada con el objetivo – Familia/Amigo del objetivo – Recién llegado – Con amplia presencia en las redes sociales – Conocido como muy sociable “buena gente”

Introducción Vulnerabilidades que exponen a la organización • Empleados muy activos en redes sociales • Sitios web donde empleados opinan y son accesibles al

publico • Sitios donde una organización escribe detalles como nuevos

avances, eventos, etc… • Organizaciones mencionan personas y otras entidades que

colaboran con ellos • Servicios en la web para empleados que son vulnerables a la

explotación

Ataques y Métodos • Ciclo de ataque de ingeniería social • Métodos de comunicación • El “Help Desk” • Imitar el “Help Desk” • Otros ataques y métodos • Malware y Spyware • El ataque en persona

Ataques y Métodos Ciclo de ataque de Ingeniería Social

Ataques y Métodos Métodos de comunicación • en persona • teléfono • e-mail • mensaje de texto • pagina web

Ataques y Métodos El “Help Desk” • Muy fácil de penetrar • Siempre quieren ayudar! • El nuevo empleado • “No se nada!” • La conexión remoto • Usa un numero de teléfono reconocido • Representante de recursos humanos HR • IT de otra localidad

El “Help Desk”: nuevo empleado

¡Que tonto, pobrecillo!

Hola, disculpa es que soy nuevo y me olvide mi clave

¿me ayudas?

Claro como no, te doy mi clave hasta que consigas

la tuya…

Ataques y Métodos Imitar el “Help Desk” • también es fácil de hacer! • llamando un empleado • actividades extrañas • el estudio “survey” de seguridad • trabajando desde la casa

Ataques y Métodos Otros ataques y métodos • invasivas • directas • físicas • seductivas • Inadvertidas

Ataque Directo

• Al grano!!!

Buenos días Srta. Soy el nuevo arquitecto

Rochefeller y necesito un código para ingresar al

sistema…

Mucho gusto Sr. Rockefeller el código

de acceso es…

Ataques y Métodos

Malware y Spyware • Los apps para móviles • “Phishing” es lo mas común!

– El Rey de Nigeria – La lotería

• Troyanos causando inseguridad – Ransomware – Fake AV

Ataques y Métodos

Malware y Spyware Los USB Drives • Excelentes para invadir o inyectar virus, keygrabbers,

etc. • Excelentse para robar información. • Fácil de introducir en entornos empresariales. • Fácil de sacar, casi indetectable.

Phishing

Android.FakeTrojan.A

www.mikejr1.es/portal/index.php/noticias/11812-robo-de-datos-bancarios-en-android-por-ataques-de-ingenieria-social.html

CryptoLocker

FBI Ransomware

Fake AV

Ataques y Métodos El ataque en persona • toma un poco de preparación • puede ser el mas difícil, pero también da mejores resultados • visual, audio, y físico • acercamiento al objetivo

– directo – con un intermediario – “de casualidad”

Recolección de Información • Cómo recopilar información?

• Propósito • Investigación de la empresa • Búsqueda de información personal • “dumpster diving”

Recolección de Información Cómo recopilar información?

• Redes sociales – Facebook, Twitter, Linkedin, Foursquare, Pintrest – Maltego – Sitios web de información personal: intelius

• Google – “nombre” + filetype:pdf,txt,ppt,xls,doc

• Departamento de vehículos de motor • nslookup, ping, whois • Departmento de marketing, HR, Correo, relaciones publicas

Red de Maltego

Recolección de Información Propósito

• Acumular información sobre una persona o negocio • Poder presentar un pretexto para establecer confianza • Establecer como acercarse al objetivo/negocio • Saber cosas en común que uno conoce bien para poder

conversar/presentar • Detalles de el sistema IT para buscar vulnerabilidades

descuidadas

Recolección de Información Investigación de la empresa

• el sitio web oficial • sitios de negocios afiliados • sitios no oficiales, típicamente de empleados o departamentos • licencias y permisos gubernamentales • Whois, nslookup • Google news • Google: “nombre de impressa” + filetype:pdf,txt,xls • Metagoofil

Recolección de Información Búsqueda de información personal

• Maltego • Las redes sociales de la persona

– Facebook es buenísimo! – Twitter – Foursquare – pintrest – linkedin

• Las redes sociales y sitios web de los amigos y asociados

Recolección de Información “dumpster diving”

Desarrollar un Pretexto

• Definición • Propósito • Preparación • Los buenos pretextos

Desarrollar un Pretexto

Definición • una razón que se da para justificar un curso de acción que no

es la verdadera razón • motivo que se alega como excusa para hacer o no haber

hecho algo

Desarrollar un Pretexto

Propósito • Crear un escenario inventado para persuadir al objetivo de

proporcionarle cierta información o de realizar alguna acción. • Normalmente se realizará una investigación para conocer el

tipo de lenguaje y la tecnología empleada por la gente que administra los sistemas o que tiene acceso a la información requerida.

Desarrollar un Pretexto

Preparación • practica el guion delante de un espejo • si es por teléfono, ten todas tus notas • si es en persona, visita el lugar unos días antes • asegura que la persona va a estar ahí o que el negocio este en la

condiciones deseadas • vestuario: apropiado para el pretexto • higiene: depende del pretexto! • confianza en ti mismo • ten claras las metas! • ten presente plan B, C, D

Desarrollar un Pretexto

Los buenos pretextos • el amigo • entrega de una orden • sorpresa • la entrevista • la inspección • el que no sabe nada • el nuevo empleado • departamento de sistemas IT • el contratista

Indagación “elicitation” • Definición

• Metas • Características de un buen indagador “elicitor” • ¿Por qué es tan efectivo? • Objetivos • Técnicas

Indagación “elicitation” Definición

• arte: la recopilación de información de inteligencia de la gente como parte de la inteligencia humana (recolección de inteligencia)

• técnica: cualquiera de las diversas técnicas de recolección de datos en ciencias sociales u otros campos para reunir el conocimiento o información de las personas

• Básicamente, es el proceso de extracción de información de algo o alguien

• Indagación es una técnica de recogida de información de uso común, y a menudo muy eficaz para recoger sutilmente información

Indagación “elicitation” Metas

• información • acceso físico • confianza! • apoyo • un objeto especifico • autorización o privilegio • cosas gratis

Indagación “elicitation” Características de un buen indagador “elicitor”

• confianza en si mismo • buen comunicador • rápida adaptación • sabe dar secuencias de preguntas llegando a la meta • piropos cuando es apropiado • humor

Indagación “elicitation” ¿Por qué es tan efectivo?

• La confianza • La necesidad de ser útil • El deseo de obtener algo a cambio de nada • La curiosidad • El miedo a lo desconocido • El temor a perder algo • La ignorancia • La pereza • Apelar a la autoridad • El ego

Indagación “elicitation” Objetivos

• recursos humanos • nuevos empleados • “help desk” • dept. publicidad • sucursales • personas con gran presencia en redes sociales • personas con posiciones típicamente ignorado

Indagación “elicitation” Técnicas

• Ataque de Autoridad: Insignia falsa o uniforme • Ataque Jerk: declaración extravagante • Ataque persistente: acoso continuo

– culpabilidad o intimidación • Ataque Social: asistir a fiestas sociales, carisma, alcohol !!!! • Ataque de Encuesta falsa: Gana un viaje gratis a Hawaii! Sólo

dime tu contraseña • Ataque Help Desk: suplantar novato

Protección • Aprenda a identificar ataques de ingeniería social • Buena conciencia de seguridad • Comprender el valor de la información que usted

posee • Actualizaciones de seguridad y software • Saber cómo reaccionar • Auditorías

Ejercicio

• Kung-Fu, entre hackers

significa técnica personal. • Como parte de este curso,

ahora te pedimos que nos converses de ocasiones en las cuales has hecho uso de tu propia habilidad, para persuadir a las personas.

• Si algunas vez persuadiste a alguien a hacer lo que no quería o debía, entonces eres un ingeniero social.

Ejercicio Tienen que crear un pretexto y venir vestido de forma apropiada para ejecutarlo. El Jueves van a tener 2 horas para indagar sobre un objetivo con estas metas: 1. Nombre, fecha de nacimiento, dirección de casa, teléfono de

celular, numero de licencia de manejar. 10 pts. 2. Accesa la computadora del objetivo o su móvil, toma un

“screenshot” y te lo envías por email. 10 pts. Entreguen lo que consiguieron y expliquen a la clase las técnicas usadas. (puntos extra si tienen buen Kung-Fu!!!)

Preguntas?

Jose Andre Morales, Ph.D. jamorales@cert.org