Documente Academic
Documente Profesional
Documente Cultură
Martin Valdivia
CISA, CISM, CCISO, ISMS-LA, ITIL-F, CLOUD-F, ISO 27002,CISCS
Objetivo
Ingenieria social
Ingenieria social
La ingenieria social es el metodo mas efectivo
para sortear los obstaculos de seguridad.
Las personas son el eslabon ms debil en la
cadena de la seguridad
Un ingeniero social tratar de explotar esta
vulnerabilidad antes de gastar tiempo y esfuerzo
en otros metodos.
Quines
la utilizan?
Hackers
Espias
Criminales
Competencia
Detectives
privados
El factor humano
En el congreso "Access All Areas" de 1997, un
conferenciante aseguraba:
"Aunque se dice que el nico computador seguro es el
que est desenchufado, los amantes de la ingeniera
social gustan responder que siempre se puede
convencer a alguien para que lo enchufe.
No hay un slo computador en el mundo que no
dependa de un ser humano, es una vulnerabilidad
universal e independiente de la plataforma tecnolgica".
Poniendo la trampa
Conociendo a la vctima, se podr predecir
como actuar frente a determinados
estmulos.
Conociendo sus gustos, sus deseos, es
fcil llevarlo por donde se quiera.
Tcnicas
Pretexting
Phishing
Spear Phishing
IVR/Phone Phishing (Vishing)
Caballos de troya
Shoulder Surfing
Dumpster Diving
Road Apples
Quid pro quo Something for something
Otros tipos
Pretexting
Usa un escenario inventado
(normalmente por telefono) para
obtener infomacin
El pretexto es el escenario creado
con alguna informacin vlida para
conseguir ms informacion
Ejemplo pretexting
Sr. Perez: Alo?
Atacante: Alo, Sr. Perez. Soy Jos Mendoza
de Soporte Tcnico. Estamos teniendo
restricciones de espacio en disco en el
servidor principal de archivos y vamos a
mover algunas carpetas de los usuarios a
otro disco hoy a las 8 de la noche. Su
usuario ser parte de esta migracin, y
estar temporalmente sin servicio.
Ejemplo Pretexting
Sr. Perez: Ah, Ok. Bueno, a las 8 de la noche
ya no estar en la Oficina.
Llamante: No hay problema. Asegurese de
salir del Sistema. Solo necesito chequear un
par de cosas. Cual era su usuario, jperez?
Sr. Perez: Si, es jperez. Ninguno de mis
archivos se perder, verdad ?
Ejemplo Pretexting
Llamante: No Sr. Perez. Pero chequeare su
cuenta para estar seguro. Cual es su password,
para chequear porsiaca?
Sr. Perez: Mi password es Inocencio2015$,
todo con letras minusculas.
Llamante: Ok, Sr. Perez, dejeme ver Si, no
habr ningun problema con sus archivos
Muchas Gracias
Phishing
Usualmente llega por
email de un negocio
legtimo uno que
usamos
Incluye un sentido de
urgencia
Bancos y sitios de
compras por tarjeta
de crdito son los
blancos mas
frecuentes.
Historia
El trmino phishing viene de la palabra en ingls "fishing"
(pesca) haciendo alusin al acto de pescar usuarios
mediante seuelos cada vez ms sofisticados y de este
modo obtener informacin financiera y contraseas.
Tambin se dice que el trmino "phishing" es la contraccin
de "password harvesting fishing" (cosecha y pesca de
contraseas).
Data en 1996, fue adoptado por crackers que intentaban
"pescar" cuentas de miembros de AOL.
Ejemplo
Scotiabank
Ejemplo
Interbank
Ejemplo
BCP
Ejemplo
https://www.youtube.com/watch?v=lLpFIRARKqo
Spear Phising
Spear Phishing
emails dirigidos exclusivamente a un blanco
Aparecen como si vinieran de una persona
legitima que se conoce
Un Gerente
Una persona que trabaja
La Mesa de Ayuda
Caballo de Troya
Usa la curiosidad o la
avaricia para entregar
malware
Normalmente llega gratis
Atachado a un email
Screen Saver
Anti-Virus
Ultimos chismes
Una vez que carga el
Troyano
Shoulder Surfing
Muy usada en aeropuertos, coffee shops, areas
Wi-Fi en hoteles, lugares publicos.
Consiste en la observacin para obtener logins y
passwords, informacin confidencial.
Cajeros automaticos de Bancos, bloqueos de
seguridad, teclados de alarma
Incluye piggy backing alguien inresa a un area
segura basado en una auenticacin valida.
Dumpster Diving
Obtener informacin de la basura. No es raro!
Que se puede obtener?
Informacin Confidencial
informacin personal
Datos de tarjetas de creditos.
Informacin de bancos
Lista de telefonos
Road Apples
Medios fiscos
( CDs, USBs)
Etiquetados para
llamar la
curiosidad
Una vez
colocados carga
Troyanos o virus
para rastrear
keystrokes
Usado para
obtener IDs y
passwords
Conclusiones
La ingeniera social NUNCA PASAR
DE MODA.
Contramedidas
La mejor manera de estar protegido pasa por el
conocimiento.
Concientizar a los usuarios
Pruebas peridicas
Programa de concientizacin a usuarios (Security
Awareness Program)
SP 800-50
Programa de Concientizacin
Mensajes directo a los Colaboradores
Programa de concientizacin