1

ndice

Introduccin
Conceptos de Ingeniera Social (IS)
Objetivos
Por qu Funciona?
Formas de Ataque.
Casos prcticos. Phishing bancario y Spam

Introduccin

La mayora de las personas no es consciente de que

sus datos personales no se muestran en cualquier
sitio o se revelan a cualquiera en la vida real, pero s
los va dejando por la red de redes con una facilidad
pasmosa.

Definicin de IS: Segn wikipedia:

la prctica de obtener informacin confidencial a
travs de la manipulacin de usuarios legtimos

Conceptos de IS I

La ingeniera social consiste en obtener

informacin de terceros sin que stos se
den cuenta.
No existe limitacin en cuanto al tipo de
informacin obtenida ni a la utilizacin
posterior que se hace de sta.
Existe desde hace mucho tiempo y todos
hemos sido vctimas de ella alguna vez en
la vida.
4

Conceptos de IS II

La ingeniera social aprovecha

sentimientos tan variados como
curiosidad, la avaricia, el sexo, la
compasin o el miedo.
Busca una accin por parte del usuario.

Conceptos de IS III
Grupos que la usan:
1. Los hackers.
2. Los espas.
3. Los ladrones o timadores.
4. Los detectives privados.
5. Los vendedores.

Conceptos de IS IV

Cambio de paradigma en el objetivo de los

ataques

Conceptos de IS V

La ingeniera social acaba en el momento

que se obtiene la informacin deseada, es
decir, las acciones delictivas que esa
informacin pueda facilitar o favorecer no
se enmarcan bajo este trmino.

Conceptos de IS

MORALEJA:
Aunque se dice que el nico ordenador
seguro es el que est desenchufado, los
amantes de la ingeniera social gustan
responder que siempre se puede convencer
a alguien para que lo enchufe.
Congreso "Access All Areas 1997
9

Objetivos I

Antiguos
Conseguir beneficios econmicos para los
creadores de malware y estafadores debido
al nfimo costo de implementacin y el alto
beneficio obtenido.
Realizar compras telefnicamente o por
Internet
con
medios
de
terceros,
conociendo bastante sobre ellos (datos
personales, tarjeta de crdito, direccin,
etc.).
10

Objetivos II

Acceder gratuitamente a Internet si lo que

se buscaba era nombre de usuario y
contrasea de algn cliente que abone
algn servicio de Banda Ancha.

11

Objetivos III

En la actualidad.
Obtener el control de una cuenta de correo
para difamar, enviar spam, etc.
Obtener el control de un perfil social para
pedir
a
cambio
favores
sexuales,
econmicos o de otra ndole.
Conseguir el control total de un equipo
para unirlo a una red zombi.
12

Por qu funciona? I
Fundamentos
Hay que obtener informacin personal de la
vctima primero.
Todas las tcnicas no sirven indefinidamente.
Poseer cualidades, bien sea de forma innata o
entrenndolas.
Existen ciertos procesos (sociales) que son
automticos tanto en el ser humano como en
los animales en virtud de las relaciones con
los dems

13

Por qu funciona? II
Cualidades que se deben poseer:

Reciprocidad.
Compromiso.
Consistencia.
Gustarse y ser parecidos.

14

Por qu funciona? III

Los 4 principios de la IS segn Kevin
Mitnick:

15

Por qu funciona? III

Los 4 principios de la IS segn Kevin
Mitnick:

Todos queremos ayudar.

16

Por qu funciona? III

Los 4 principios de la IS segn Kevin
Mitnick:

Todos queremos ayudar.

El primer movimiento es siempre de
confianza hacia el otro.

17

Por qu funciona? III

Los 4 principios de la IS segn Kevin
Mitnick:

Todos queremos ayudar.

El primer movimiento es siempre de
confianza hacia el otro.
No nos gusta decir No.

18

Por qu funciona? III

Los 4 principios de la IS segn Kevin
Mitnick:

Todos queremos ayudar.

El primer movimiento es siempre de
confianza hacia el otro.
No nos gusta decir No.
A todos nos gusta que nos alaben.
19

Formas de ataque I

Medios: telfono fijo, mvil, ordenador de

sobremesa o porttil con conexin a
internet, correo postal.

Todo el mundo tiene acceso a

ellos!!!!!!

20

Formas de ataque II
ATAQUE TELEFNICO

Requisitos: Telfono fijo o mvil.

Es un tipo de ataque muy eficiente debido a
que no hay contacto visual entre vctima y
atacante.
No se pueden percibir expresiones del rostro
ni de lenguaje corporal que diesen indicios de
que el atacante nos est engaando.
El atacante puede usar todo su potencial de
persuasin.
21

Formas de ataque III

ATAQUE TELEFNICO

Ejemplo.

22

Formas de ataque IV
ATAQUE WEB

Requisitos: Ordenador con conexin a internet.

Actualmente es el medio principal para llevar a cabo
ataques de todo tipo contra los datos privados.
La lnea entre ataque de ingeniera social y el delito
es muy delgada, sobre todo si se instala un
programa keylogger (programa que captura las
pulsaciones del teclado) o troyano que convierte al
ordenador en un bot (ordenador secuestrado o
zombi).
23

Formas de ataque V
ATAQUE WEB

Ejemplo.

24

Formas de ataque VI
ATAQUE WEB

Ejemplo.

25

Formas de ataque VII

ATAQUE POSTAL

Requisitos: Un apartado de correos propio y

un modelo de cupones descuento o
suscripcin a revista.
En los datos se solicita una clave que le
interese al atacante.
Est comprobado que el usuario promedio
utiliza la misma clave para mltiples usos.
El atacante tiene la esperanza de que esa
misma ya se haya usado en otros lugares ms
sensibles por parte de la vctima
26

Formas de ataque VIII

ATAQUE SMS

Requisitos: se necesita un listado de telfonos

mviles y algn tipo de programa informtico
o empresa de mensajera mvil masiva.
Se basa en la falsa creencia de que la
telefona mvil es un medio seguro y no se
puede robar a travs de l.
En este tipo de ataques, lo ms corriente es
robar saldo ms que algn tipo de datos.
27

Formas de ataque IX
ATAQUE SMS

No es frecuente en Espaa.
Para engaar al usuario se usan diferentes
excusas, como una felicitacin por haber
ganado mensajes de texto (sms) gratis o
haber ganado algn premio en un sorteo o
una persona caritativa y sin nimo de lucro
que te ensea cmo hacer para que tu lnea
tenga ms crdito. Todo con slo mandar un
sms.
28

Formas de ataque X
ATAQUE SMS

Al hacerlo, se est transfiriendo parte del

saldo de tu lnea a la persona que te envi
el mensaje.
Es un servicio que brindan las compaas
de telefona mvil a sus clientes para
transferir crdito a otra persona.

29

Formas de ataque XI
ATAQUE SMS
Ejemplo:

30

Formas de ataque XII

ATAQUE CARA A CARA

REQUISITOS: Una puesta en escena bien

cuidada y creble, incluyendo vestuario, atrezo
y todo lo que sea necesario.
El propio atacante el que se persona ante la
vctima para extraer la informacin.
Son los ms eficientes, puesto que el atacante
se gana la confianza total de la vctima.
Son los ms difciles de realizar. Si te pillan, te
enchironan seguro.
31

Formas de ataque XIII

ATAQUE CARA A CARA
Ejemplo.

32

PHISHING BANCARIO I

33

PHISHING BANCARIO II
El trmino phishing proviene de la palabra inglesa
"fishing" (pesca), haciendo alusin al intento de
hacer que los usuarios "piquen en el anzuelo". A
quien lo practica se le llama phisher. Tambin se
dice que "phishing" es la contraccin de "password
harvesting
fishing"
(cosecha
y
pesca
de
contraseas), aunque probablemente es un
acrnimo retroactivo.

Orgenes: Se empez a usar en 1996 y estaba

relacionada con la pesca de cuentas de AOL.
34

PHISHING BANCARIO III

Aplicado al sector bancario, el objetivo es

conseguir la clave de acceso y el usuario
para luego proceder a retirar fondos.
Obtener una lista de correos electrnicos.

En el mercado negro.
Hacerlo uno mismo.

Realizar un envo masivo de un correo

electrnico
con
las
siguientes
caractersticas:
35

PHISHING BANCARIO IV
Debe ser un correo que aparente proceder de una
entidad bancaria.
Debe transmitir la idea de que el banco ha tenido
problemas y necesita comprobar usuario y
contrasea de la vctima.
Debe ser lo ms fiel posible a la entidad original.
No importa si se enva un correo de una entidad
de la que la vctima no es usuario.
Debe poseer un enlace a una pgina falsificada en
la que la vctima pueda introducir sus datos.
Si no se hace lo que indica el correo, se amenaza
con un posible cierre de la cuenta.
36

PHISHING BANCARIO V

37

PHISHING BANCARIO VI
Una vez introducido los datos, el usuario, satisfecho
por no haber perdido su cuenta se olvidar del correo.
Muleros (las otras vctimas)
Sacan el dinero de la cuenta de la vctima y traspasar
el dinero a otra cuenta de Pay-Pal o Western Union,
controlada por el atacante.
Son los que se ensucian las manos y cometen un
delito.
Para captarlos se usa nuevamente la IS ofreciendo un
empleo con altos beneficios, jornada reducida y
muchas vacaciones.
38

PHISHING BANCARIO VII

Correo buscando muleros.

39

PHISHING BANCARIO VIII

El sistema de phishing bancario deja dos

vctimas detrs de s y pinges beneficios
para los atacantes con un riesgo mnimo.
El dinero se enva a un apartado de correos
en el extranjero o a una cuenta falsa de
pay-pal, Western Union u otra empresa de
envo de dinero.
El mulero, aunque se haya quedado con un
10%-20% de lo sustrado carga con el total.
40

PHISHING BANCARIO IX
Resumen

41

PHISHING BANCARIO X

Medidas que se estn tomando:

Sociales
Legales
Tcnicas

42

SPAM. CICLO COMPLETO I

Cmo crear listas de correos para luego venderlas

en el mercado negro?

Se aplica de nuevo la IS.

Aprovechar los sentimientos y emociones humanos.

Compasin
Curiosidad
Avaricia

43

SPAM. CICLO COMPLETO II

Ejemplo

44

SPAM. CICLO COMPLETO III

Otros ejemplos de excusa para que el usuario
reenve:

un gran nmero de aos de mala suerte si no se hace

la imposibilidad de encontrar el amor en la vida
no encontrar la felicidad

Otra variante: aquellos que nos amenazan con

cerrarnos la cuenta del cliente de correo si no lo
reenviamos a 18 personas
45

SPAM. CICLO COMPLETO IV

OBJETIVO: que se produzca el mayor nmero de reenvo de

correos posible y obtener una cosecha del tipo:

46

SPAM. CICLO COMPLETO V

Finalmente, se venden las listas con direcciones de

correo a los interesados.
Precio?

1 milln de envos por 3 euros.

800 euros por el envo de un milln de correos basura.

Envo de spam con ofertas de viagra, relojes, etc.

Con que responda un 0,5% de los millones de

correos enviados es rentable
47