Ingeniera Social

Martin Valdivia
CISA, CISM, CCISO, ISMS-LA, ITIL-F, CLOUD-F, ISO 27002,CISCS

Objetivo

Asegurar que el participante tenga

los conocimientos necesarios para
defenderse ante ataques de
ingenieria social.

Usted puede tener la

mejor tecnologa,
firewalls, sistemas de
deteccin de ataques,
dispositivos biomtricos,
etc. Lo nico que se
necesita es un llamado
a un empleado
desprevenido e ingresan
sin ms. Tienen todo en
sus manos."
Kevin Mitnick.

Ingenieria social

Ingenieria social
La ingenieria social es el metodo mas efectivo
para sortear los obstaculos de seguridad.
Las personas son el eslabon ms debil en la
cadena de la seguridad
Un ingeniero social tratar de explotar esta
vulnerabilidad antes de gastar tiempo y esfuerzo
en otros metodos.

La ingenieria social se aprovecha de:

El deseo de ayudar
La tendencia a confiar en la gente
El miedo a meterse en problemas

Quines
la utilizan?

Hackers
Espias
Criminales
Competencia
Detectives
privados

El factor humano
En el congreso "Access All Areas" de 1997, un
conferenciante aseguraba:
"Aunque se dice que el nico computador seguro es el
que est desenchufado, los amantes de la ingeniera
social gustan responder que siempre se puede
convencer a alguien para que lo enchufe.
No hay un slo computador en el mundo que no
dependa de un ser humano, es una vulnerabilidad
universal e independiente de la plataforma tecnolgica".

Cmo nos atacan?

Todo objetivo se vale de una estrategia para
lograrlo.

Cmo nos atacan?

Preparar un ataque a un sistema informtico:
versin, bug, etc.

Elaborar una lista sobre el objetivo.

Gustos, vicios, marca de cigarrillos, matrcula del
coche, modelo, mvil, DNI, nombre de los hijos, de la
mujer, de la novia, figuras principales en su vida, se
elabora un perfil psicolgico de la persona.
Fuente: Internet, basura, amigos, familiares,
personas mayores, abuelas, o nios, hijos,
hermanos, etc.

Poniendo la trampa
Conociendo a la vctima, se podr predecir
como actuar frente a determinados
estmulos.
Conociendo sus gustos, sus deseos, es
fcil llevarlo por donde se quiera.

Tcnicas
Pretexting
Phishing
Spear Phishing
IVR/Phone Phishing (Vishing)
Caballos de troya

Shoulder Surfing
Dumpster Diving
Road Apples
Quid pro quo Something for something
Otros tipos

Pretexting
Usa un escenario inventado
(normalmente por telefono) para
obtener infomacin
El pretexto es el escenario creado
con alguna informacin vlida para
conseguir ms informacion

Ejemplo pretexting
Sr. Perez: Alo?
Atacante: Alo, Sr. Perez. Soy Jos Mendoza
de Soporte Tcnico. Estamos teniendo
restricciones de espacio en disco en el
servidor principal de archivos y vamos a
mover algunas carpetas de los usuarios a
otro disco hoy a las 8 de la noche. Su
usuario ser parte de esta migracin, y
estar temporalmente sin servicio.

Ejemplo Pretexting
Sr. Perez: Ah, Ok. Bueno, a las 8 de la noche
ya no estar en la Oficina.
Llamante: No hay problema. Asegurese de
salir del Sistema. Solo necesito chequear un
par de cosas. Cual era su usuario, jperez?
Sr. Perez: Si, es jperez. Ninguno de mis
archivos se perder, verdad ?

Ejemplo Pretexting
Llamante: No Sr. Perez. Pero chequeare su
cuenta para estar seguro. Cual es su password,
para chequear porsiaca?
Sr. Perez: Mi password es Inocencio2015$,
todo con letras minusculas.
Llamante: Ok, Sr. Perez, dejeme ver Si, no
habr ningun problema con sus archivos
Muchas Gracias

Sr. Perez: Gracias a ti. Nos vemos.

Phishing
Usualmente llega por
email de un negocio
legtimo uno que
usamos
Incluye un sentido de
urgencia
Bancos y sitios de
compras por tarjeta
de crdito son los
blancos mas
frecuentes.

Historia
El trmino phishing viene de la palabra en ingls "fishing"
(pesca) haciendo alusin al acto de pescar usuarios
mediante seuelos cada vez ms sofisticados y de este
modo obtener informacin financiera y contraseas.
Tambin se dice que el trmino "phishing" es la contraccin
de "password harvesting fishing" (cosecha y pesca de
contraseas).
Data en 1996, fue adoptado por crackers que intentaban
"pescar" cuentas de miembros de AOL.

Ejemplo
Scotiabank

Ejemplo
Interbank

Ejemplo
BCP

 Ejemplo

https://www.youtube.com/watch?v=lLpFIRARKqo

Spear Phising

Estudios recientes muestran que los phishers

son capaces de establecer con qu banco una
posible vctima tiene relacin, y de ese modo
enviar un e-mail, falseado apropiadamente, a la
posible vctima.

Spear Phishing
emails dirigidos exclusivamente a un blanco
Aparecen como si vinieran de una persona
legitima que se conoce
Un Gerente
Una persona que trabaja
La Mesa de Ayuda

IVR/Phone Phishing (Vishing)

Dirigo a llamar a un numero telefnico
El IVR parece legtimo
Los Sistemas IVR normalmente solicitan el ingreso de
informacin personal
PIN
Password
SSN
Incluso podria ser transferido a un representante

Implicancias del vishing

La gente confia mas en el sistema telefnico que
en el Internet.
La gente ya espera interactuar con operadores nohumanos
Mas gente puede ser atacada por telefono que por
computadora.
La gente de edad son facilmente engaables

Tomado de : Vishing as an Emerging Attack Vector. Casey C. Rackley

Ejemplo ataque Vishing

Tomado de : Vishing as an Emerging Attack Vector. Casey C. Rackley

Caballo de Troya
Usa la curiosidad o la
avaricia para entregar
malware
Normalmente llega gratis
Atachado a un email
Screen Saver
Anti-Virus
Ultimos chismes
Una vez que carga el
Troyano

Shoulder Surfing
Muy usada en aeropuertos, coffee shops, areas
Wi-Fi en hoteles, lugares publicos.
Consiste en la observacin para obtener logins y
passwords, informacin confidencial.
Cajeros automaticos de Bancos, bloqueos de
seguridad, teclados de alarma
Incluye piggy backing alguien inresa a un area
segura basado en una auenticacin valida.

Dumpster Diving
Obtener informacin de la basura. No es raro!
Que se puede obtener?
Informacin Confidencial
informacin personal
Datos de tarjetas de creditos.
Informacin de bancos
Lista de telefonos

Road Apples
Medios fiscos
( CDs, USBs)
Etiquetados para
llamar la
curiosidad
Una vez
colocados carga
Troyanos o virus
para rastrear
keystrokes
Usado para
obtener IDs y
passwords

Quid pro quo

Algo para algo
Concursos de chapitas
Promociones
Encuestas
Regalos por intercambio de Informacin

Otros tipos de Ingeniera Social

Spoofing/hacking IDs de emails populares como

Yahoo, Gmail, Hotmail
Conexiones Wi-Fi gratuitas
Punto-a-Punto
Paginas Web y direcciones email
Estafas en el cajero automtico

Conclusiones
La ingeniera social NUNCA PASAR
DE MODA.

Es un arte, el arte que deja la tica de

lado.
El ingrediente necesario detrs de todo
gran ataque.

Contramedidas
La mejor manera de estar protegido pasa por el
conocimiento.
Concientizar a los usuarios
Pruebas peridicas
Programa de concientizacin a usuarios (Security
Awareness Program)
SP 800-50

Programa de Concientizacin
Mensajes directo a los Colaboradores

Programa de concientizacin