Ing social

Ingeniera Social Parte 1Javier Romero, CISSP, GCIAJulio 2003

Ingeniera Social Parte 1, JaCkSecurity.com 2003 - 2004

IntroduccinLa ingeniera social es una prctica que es usada para explotar las debilidades de una cadena de seguridad, considerando el factor humano. La ingeniera social es muy usada no slo en el mbito laboral, tambin se utiliza en el mover diario de la gente. Bsicamente es una manera de obtener informacin deseada de manera sutil y segura. La presente es una recopilacin de datos para explicar algunos de los casos ms comunes de ingeniera social.


Tcnicas comunesAproximacin directa: un agresor puede preguntar directamente al objetivo aprovechando que este se encuentre atareado. Buenos das Srta. Soy el nuevo arquitecto Rochefeller y necesito un cdigo para ingresar al sistemaMucho gusto Sr. Rockefeller el cdigo de acceso es


Tcnicas comunesUsuario Importante: Pretender ser una persona importante de la organizacin, con una importante tarea. El atacante puede presionar al ayudante de escritorio para obtener la informacin.Le digo que soy el Presidente de la corporacin!Si Sr. tanto gusto, pase Ud. Por favor...


Tcnicas comunesUsuario desvalido: Por ejemplo un atacante puede llamar a la secretaria de una organizacin pretendiendo ser un nuevo empleado y que tiene un gran problema para ingresar al sistema de la compaa. La secretaria para no ofender a la persona o hacerla parecer incompetente, se inclina a ayudarlo y le suple el nombre de usuario y la contrasea.


Tcnicas comunesQue tonto, pobrecillo!Hola, disculpa es que soy nuevo y me olvide mi clave me ayudas?Claro como no, te doy mi clave hasta que consigas la tuya


Tcnicas comunesEn que lo puedo ayudar Sr.Srta. Como puede ver estoy en silla de ruedas, y en el edificio no hay rampa para incapacitados de modo que no puedo subir al rea de programacin, podra usted facilitarme su terminal para hacer mi trabajo desde aqu?


Tcnicas comunesPersonal de soporte tcnico: Es pretender pertenecer a un equipo de una organizacin de soporte tcnico. El atacante puede extraer til informacin de manera insospechada, Por ej.: el atacante puede pretender ser un administrador del sistema que trata de resolver un problema y requiere un nombre de usuario y una contrasea para resolver el problema.


Tcnicas comunesOiga quien es Ud. Y que esta haciendo!Ahora si me robo el disco duro ji, ji, ji Soy el tcnico Roboncio de la CIA. De serv. Tcnicos Trifi-trafaAh, ya siga nomas


Tcnicas comunesIngeniera Social Reversa (RSE): Un usuario legitimo es seducido con preguntas de un atacante para obtener informacin de sus respuestas. Con este acercamiento el atacante percibe si la persona es ms, que un usuario legtimo, el cual pudiera ser un posible objetivo.


Tcnicas comunesAsi que Ud. Trabaja en la CIA. De enfrente, y que tal como les vaBienUn amigo me cont que han cambiado su sistema es verdad?Si, ahora usamos cdigos de acceso todos los trabajadores


Ataques tpicos de RSESabotaje: Despus de haber obtenido un simple acceso, el atacante puede corromper todos los archivos de una estacin de trabajo.Me voy de sta empresa ahora mismo. Ya van a saber con quin se metieron


Ataques tpicos de RSEMarketing: De manera segura un usuario llama al atacante; el atacante esta advertido. El atacante puede hacer de este o estos un negocio y su objetivo son obtener los nmeros y las claves de las tarjetas de crdito.Si Sr. Para concederle una entrevista necesitamos algunas referencia bancarias, como nmeros de sus cuentasBuenas tardes,es la CIA. CHAMBIX que requiere socios capitalistas?


Ataques tpicos de RSESoporte: Finalmente el atacante puede asistir a alguien con un problema, obteniendo informacin mientras transcurre el tiempo de su ayuda.


E-mailUn uso comn de a taque es el de correo electrnico en el que se suele enviar mensajes a personas ofrecindoles premios o fotos gratis de artistas de cine o cantantes; al acceder a estos mensajes se infiltrara un virus de manera muy sutil en sus sistemas.


WebsiteUn uso muy comn es el visitar un website que promueve un atractivo concurso. Para lo cual se requiere un nombre de usuario y un password, los cuales pueden ser iguales o muy parecidos a los que usted usa en su trabajo.


Website


Ejercicio: Prueba tu KungFuKung-Fu, entre hackers significa tcnica personal.Como parte de este curso, ahora te pedimos que nos platiques de ocasiones en las cuales has hecho uso de tu propia habilidad, para persuadir a las personas.Si algunas vez persuadiste a alguien a hacer lo que no quera o deba, entonces eres un ingeniero social.


Kung Fu buen intentoTodava debes entrenarte ms.No sirves para hacker.


Kung Fu muy listoTe falt ms credebilidad.


Kung Fu mejora msEsts por el mal camino, puedes hacer peores cosas.


Kung Fu - sorprendenteLo tuyo slo se ve en las pelculas de espionaje.


Kung Fu muy imaginativoSimple pero preciso.Te pueden contratar de espa, pero tambin puedes detectar actos sospechosos en tu empresa y alertar tempranamente algn acto oculto de Ingeniera Social.


Te da las gracias por tu participacin.Este matrial pertenece a una serie de cursos JaCkBasis, para alertar en temas de seguridad y entrenar a oficinistas contra hackers (e ingenieros sociales)


Por ejemplo: Una llamada telefnica a la recepcionista preguntndole nombres de usuarios o contraseas.

Uno de los casos mas comunes es cuando un atacante se aprovecha de la situacion de apuro en la que puedan encontrarse los empleados de una compaa ya sea por exceso de trabajo o los apuros de la maana al comenzar la jornada laboral. A esto summosle una llamada telefnica muy particular: el Sr. Rockefeller, apellido muy llamativo e intimidante. La mayora de telfonos usados por empleados de una compaa no tienen la opcin de mostrar el numero de procedencia de la llamada, as que, no hay manera de saber si la llamada es de la calle o del mismo edificio. El atacante conociendo lasa condiciones psicolgicas en las que se encuentra el empleado en las maanas, aprovecha la situacin para obtener informacin como cdigos de acceso o nombres de usuario.Otra tcnica es en la que el atacante pretende ser un miembro importante de la organizacin, como un presidente o gerente general, los empleados de menor jerarqua se ven obligados a ceder a las peticiones de tan importante figura. As, montemos un escenario: llega un hombre en un auto muy fino, escolta de seguridad privada y vistiendo un traje vistosamente caro; llega a la recepcin de la compaa y aduce ser El Presidente de la corporacin, de manera muy intransigente exige que se le permita la entrada y el acceso a informacin vital del sistema. Y asi una vez mas el atacante logra su objetivo.Si hay algo a lo que casi nadie se puede resistir, es al hacho de ayudar a un compaero de trabajo, y mas si este es nuevo en el trabajo. De esto tambin se aprovecha un atacante. Se recibe una llamada, la cual dice ser un empleado nuevo y que por los nervios del primer da se ha olvidado su contrasea; tomando en cuenta, que no se puede conocer la procedencia de la llamada, el supuesto empleado nervioso y olvidadizo puede ser un atacante que llama del exterior. Entonces el afn de ayudar, hace que se le habilite la informacin: Usuario y contrasea, muchas veces es la misma de quien recibi la llamada.Esta modalidad, es tambin comn. El entrar en una oficina pretendiendo ser un empleado de mantenimiento de lneas telefnicas o de computadoras, concede al atacare una oportunidad de tener contacto con la informacin requerida de manera rpida y sin ser detectado. Si el atacante finge y logra penetrar la seguridad externa de una empresa, aduciendo ser de mantenimiento de telfonos, podra colocar un transmisor telefnico lo que es mas conocido como chuponeo, de esta manera el atacante obetndra la informacin y no solo eso sino tambin podria robar componentes fsicos.Esta tcnica es usada no solamente en lo la laboral sino tambin en lo cotidiano de algunas personas. El sacar informacin de otras personas sin que estas se preacaten de ello es casi un arte, ya que el atacante consigue su objetivo utilizando preguntas y palabras claves de manera muy sutil. Por ejemplo, Cmo es que usted llega a saber si una dama tiene no enamorado, sin llegar a preguntrselo directamente? Seguramente Ud. Lo ha conseguido alguna vez, bueno, la respuesta es simple, utilizando la Ingeniera Social. Ahora sabe que la tcnica que Ud. Us se llama asi.Lo peligroso de brindar la informacin de manera involuntaria, a causa de la ingeniera Social reversa, es que con esta informacin e agresor puede atrofiar, desfigurar hurtar, datos de importancia ara los usuarios. Esto es el mayor xito de un atacante.Un atacante se vate tambin de las personas que fortuitamente buscan negocios en los cuales invertir. Para ello utilizan anuncios en peridicos ofreciendo alguna posible oportunidad de negocios. Claro que el objeto de esto es obtener algunos nmeros de cuentas bancarias o an mas sus claves.Si una persona llega a la empresa en donde Ud. Labora y se encuentra en una silla de ruedas, argumentando que es una clase de tcnico que tiene la urgencia de resolver un problema, pero como la empresa no cuenta con rampas para sillas de rueda, se negara Ud. A concederle ayuda?. Pues bien, este atacante se valdr de esto para apoderarse de una Terminal para acceder a la informacin.En algn tiempo, los atacantes usaron el E-mail para transmitir virus a los usuarios. Como as. Aqu la explicacin. Llega a su terminal un E-mail con un mensaje amoroso, obviamente Ud. querr saber de que se trata, mientras Ud. se dedica a revisar el mensaje el trasfondo de este es un virus que se esta instalando en su sistema. Lo mismo sucede a nivel de red.

Finalmente, visitar una pagina Web tambin puede ser riesgoso, sobre todo aquellas que ofrecen premios fabulosos con solo ingresar un usuario o pasword. Como es comn casi todos usamos el misma nombre de usuario y la misma contrasea, lo cual es peligroso, y como llegamos a memorizar solo este dato, cometemos el error de ingresar esta misma informacin creyendo que estamos participando en un concurso, e ignorando el peligro en que hemos cado. Redacta brevemente en una hoja, un ejemplo, de ataque de ingeniera social que podras hacer t, con tus conocimientos actuales. Piensa de la siguiente manera:qu tipo de informacin te gustara conocer?Identifica a la vctima.Usa los conocimientos que tienes de la vctima y ahora incremntalos subjetiva y lgicamente.Inicia y escribe tu KUNG FU

Ing social

Documents

Transcript of Ing social