Ingeniera Social

Martin Valdivia
CISA, CISM, CCISO, ISMS-LA, ITIL-F, CLOUD-F, ISO 27002,CISCS

Objetivo

Asegurar que el participante tenga

los conocimientos necesarios para
defenderse ante ataques de
ingenieria social.

Usted puede tener la

mejor tecnologa,
firewalls, sistemas de
deteccin de ataques,
dispositivos biomtricos,
etc. Lo nico que se
necesita es un llamado
a un empleado
desprevenido e ingresan
sin ms. Tienen todo en
sus manos."
Kevin Mitnick.

Ingenieria social

Ingenieria social
Las personas son el eslabon ms debil en la
cadena de la seguridad

La ingenieria social es el metodo mas

efectivo para sortear los obstaculos de
seguridad.
Un ingeniero social tratar de explotar esta
vulnerabilidad antes de gastar tiempo y
esfuerzo en otros metodos.

La ingenieria social se aprovecha de:

El deseo de ayudar
La tendencia a confiar en la gente
El miedo a meterse en problemas

Quines
la utilizan?

Hackers
Espias
Ladrones
Detectives
privados

El factor humano
En el congreso "Access All Areas" de 1997, un
conferenciante aseguraba:
"Aunque se dice que el nico computador seguro
es el que est desenchufado, los amantes de la
ingeniera social gustan responder que siempre se
puede convencer a alguien para que lo enchufe.
No hay un slo computador en el mundo que no
dependa de un ser humano, es una vulnerabilidad
universal e independiente de la plataforma
tecnolgica".

Ingeniera Social antes del S.XXI

La gente era ms inocente

Las contraseas ms dbiles
Los sistemas ms vulnerables
Las leyes menos rigurosas

Preparando la estrategia
Todo objetivo se vale de una estrategia para
lograrlo.

Preparando el ataque
Preparar un ataque a un sistema informtico: versin, bug,
etc.
Elaborar una lista sobre el objetivo.
Gustos, vicios, marca de cigarrillos, matrcula del coche,
modelo, mvil, DNI, nombre de los hijos, de la mujer, de la
novia, figuras principales en su vida, se elabora un perfil
psicolgico de la persona.

Fuente: Internet, basura, amigos, familiares, personas

mayores, abuelas, o nios, hijos, hermanos, etc.

Poniendo la trampa
Conociendo a la vctima, se podr predecir
como actuar frente a determinados
estmulos.
Conociendo sus gustos, sus deseos, es
fcil llevarlo por donde se quiera.

Tcnicas
Pretexting
Phishing
Spear Phishing
IVR/Phone Phishing (Vishing)

Caballos de troya
Shoulder Surfing
Dumpster Diving

Road Apples
Quid pro quo Something for something
Otros tipos

Pretexting
Usa un escenario inventado (normalmente
por telefono) para obtener infomacin
El pretexto es el escenario creado con
alguna informacin vlida para conseguir
ms informacion

Ejemplo pretexting
Sr. Perez: Alo?
Atacante: Alo, Sr. Perez. Soy Jos Mendoza
de Soporte Tcnico. Estamos teniendo
restricciones de espacio en disco en el
servidor principal de archivos y vamos a
mover algunas carpetas de los usuarios a
otro disco hoy a las 8 de la noche. Su
usuario ser parte de esta migracin, y
estar temporalmente sin servicio.

Ejemplo Pretexting
Sr. Perez: Ah, Ok. Bueno, a las 8 de la noche
ya no estar en la Oficina.
Llamante: No hay problema. Asegurese de
salir del Sistema. Solo necesito chequear un
par de cosas. Cual era su usuario, jperez?

Sr. Perez: Si, es jperez. Ninguno de mis

archivos se perder, verdad ?

Ejemplo Pretexting
Llamante: No Sr. Perez. Pero chequeare su
cuenta para estar seguro. Cual es su password,
para chequear porsiaca?
Sr. Perez: Mi password es febrero$, todo con
letras minusculas.
Llamante: Ok, Sr. Perez, dejeme ver Si, no
habr ningun problema con sus archivos
Muchas Gracias
Sr. Perez: Gracias a ti. Nos vemos.

Phishing
Usualmente llega por
email de un negocio
legtimo uno que
usamos
Incluye un sentido de
urgencia
Bancos y sitios de
compras por tarjeta
de crdito son los
blancos mas
frecuentes.

Historia
El trmino phishing viene de la palabra en ingls "fishing"
(pesca) haciendo alusin al acto de pescar usuarios mediante
seuelos cada vez ms sofisticados y de este modo obtener
informacin financiera y contraseas.

Tambin se dice que el trmino "phishing" es la contraccin de

"password harvesting fishing" (cosecha y pesca de contraseas).
Data en 1996, fue adoptado por crackers que intentaban
"pescar" cuentas de miembros de AOL.

Ejemplo
Scotiabank

Ejemplo
Interbank

Ejemplo
BCP

Spear Phising
Estudios recientes muestran que los phishers son
capaces de establecer con qu banco una posible
vctima tiene relacin, y de ese modo enviar un e-mail,
falseado apropiadamente, a la posible vctima.

Spear Phishing
emails dirigidos exclusivamente a un blanco
Aparecen como si vinieran de una persona
legitima que se conoce
Un Gerente
Una persona que trabaja
La Mesa de Ayuda

IVR/Phone Phishing (Vishing)

Dirigo a llamar a un numero telefnico
El IVR parece legtimo
Los Sistemas IVR normalmente solicitan el ingreso de
informacin personal
PIN
Password
SSN

Incluso podria ser transferido a un representante

Implicancias del vishing

La gente confia mas en el sistema telefnico que
en el Internet.
La gente ya espera interactuar con operadores nohumanos
Mas gente puede ser atacada por telefono que por
computadora.
La gente de edad son facilmente engaables

Tomado de : Vishing as an Emerging Attack Vector. Casey C. Rackley

Ejemplo ataque Vishing

Tomado de : Vishing as an Emerging Attack Vector. Casey C. Rackley

Caballo de Troya
Usa la curiosidad o la
avaricia para entregar
malware
Normalmente llega gratis
Atachado a un email
Screen Saver
Anti-Virus
Ultimos chismes
Una vez que carga el
Troyano

Shoulder Surfing
Muy usada en aeropuertos, coffee shops, areas Wi-Fi en
hoteles, lugares publicos.
Consiste en la observacin para obtener logins y
passwords
Revelacin de tarjetas de credito
Informacin confidencial puede ser revelada
Cajeros automaticos de Bancos, bloqueos de seuridad,
teclados de alarma
Incluye piggy backing alguien inresa a un area segura
basado en una auenticacin valida.

Dumpster Diving
Obtener informacin de la basura
Que se puede obtener ?
Informacin Confidencial, informacin personal y datros
de tarjetas de creditos.
Informacin de bancos
Lista de telefonos
No es raro obtener informacin de la basura
Control: Destructores cruzados de informacin
confidencial

Road Apples
Medios fiscos
( CDs, USBs)
Etiquetados para
llamar la
curiosidad
Una vez
colocados carga
Troyanos o virus
para rastrear
keystrokes
Usado para
obtener IDs y
passwords

Quid pro quo

Algo para estafar algo
Ejemplos:
Suplantacin del Help Desk
Regalos por intercambio de Informacin
Las encuestas muestran que la gente est dispuesto a
intercambiar informacin privada por un valor relativamente
bajo
Concursos de chapitas
Promociones
Encuestas

Otros tipos de Ingeniera Social

Spoofing/hacking IDs de emails populares como Yahoo,
Gmail, Hotmail
Conexiones Wi-Fi gratuitas
Punto-a-Punto
Paginas Web y direcciones email
Estafas en el cajero automtico

Conclusiones
La ingeniera social NUNCA PASAR DE
MODA.
Es un arte, el arte que deja la tica de
lado.

El ingrediente necesario detrs de todo

gran ataque.

Contramedidas
La mejor manera de estar protegido pasa por el
conocimiento.
Concientizar a los usuarios
Pruebas peridicas
Programa de concientizacin a usuarios (Security
Awareness Program)
SP 800-50

Programa de Concientizacin
Mensaje directo al Colaborador

Programa de concientizacin
Por lo general incluye una mascota de seguridad
Despliegue en lugares visibles (posters, flayers, corchos)
Charlas de concientizacin

TA 1 - Desarrolle una aplicacin Visual Studio de

Control de Accesos con 2 formularios:
1) Registro de usuarios y contraseas. Aqu se
deben considerar las sgtes. restricciones de
contrasea:

Long. Min de 8 posiciones

Al menos dos minsculas
Al menos dos maysculas
Al menos tres nmeros
Al menos 1 smbolo especial
No permitir repetir las 12 ultimas contraseas
Obligacin de cambiar la contrasea cada 60 dias

2) Autenticacin de usuarios. Aqu, el usuario

debe ingresar al Sistema.
La contrasea debe ser cambiada
inmediatamente por el usuario la primera vez.
Bloquearse al 5to intento fallido y
desbloquearse despus de 2 minutos
Cerrar la sesin por inactividad luego de 2
minutos

TA 2
Utilizando la herramienta Go!
Animate, escriba un ataque
de Ingenieria Social.
El Ataque ser realizado por
cada grupo.
El objetivo en cada caso es
robar credenciales de la
victima para ganar acceso al
sistema objetivo.

Opciones
Gru
po

Victima

Objetivo

DBA de Banco 1.

Numeros de tarjeta de crdito

DBA de Banco 2

Obtener listado de clientes2

Profesor del curso

Modificar la nota del Segundo

consolidado

Coordinador Registros Acadmicos

Modificar las notas de un curso del

ciclo pasado

Administrador de Servidores de
Banco 1

Obtener password de Servidores de

Directorio Activo

Administrador de Servidores de
Banco 2

Obtener password de Servidores de

Correo

DBA de Municipalidad

Obtener password de BBDD para

limpiar arbitrios

DBA de Empresa Electrica

Obtener password de BBDD para

pagar consumos.