Post on 09-Jun-2015
description
1
Ing. Karina Astudillo B.
Gerente de IT
Ataques de Ingeniería Social
Agenda
Entorno de seguridad informática actual
Ataques de Ingeniería Social
Ataques directos o telefónicos
Tailgating y Dumpster Diving
Ataques haciendo uso de computadoras: mail scams y phishing, virus,
gusanos y troyanos
Mecanismos de defensa
Demo
Ataque de Phishing con SET y Metasploit
2
Entorno de seguridad informática actual Casos en Ecuador: Ataques a websites del
gobierno (defacements)
Laptop Raúl Reyes
Pornografía en Internet
Revisión de Microfilm del Banco Central
Caso Peñaranda (Discos Duros)
Estafas / Suplantación de identidad
Infracciones de Propiedad Intelectual
Clonación de Tarjetas
¡1300 denuncias de phishing en 1er trimestre del 2011!
3
¿Qué es la ingeniería social?
Es la manipulación de personas mediante engaños para obtener información confidencial sobre un objetivo o víctima.
4
Debilidad humana
Las personas son el eslabón más débil de la cadena de seguridad.
Una defensa exitosa depende en tener buenas políticas implementadas y educar a los empleados para que cumplan con las políticas.
La ingeniería social es la forma de ataque más difícil de combatir porque no puede defenderse con hardware o software solamente.
Tipos comunes de ingeniería social La ingeniería social puede
dividirse en dos tipos: basada en humanos y basada en computadores
1. La Ingeniería Social Basada en Humanos se refiere a la interacción persona-a-persona para recuperar la información deseada.
2. La Ingeniería Social Basada en Computadoras s refiere al uso de software/hardware para recuperar la información deseada.
6
Categorías:
Personificación
Suplantar una persona importante
Acercamiento de tercera persona
Soporte técnico
Búsqueda en la basura
“Surfing” de hombros
Basada en Humanos
7
Llamada al soporte técnico
Un hombre llama al soporte técnico
y dice que ha olvidado su clave.
En pánico agrega que si no entrega
un documento a tiempo su jefe podría
despedirlo.
La persona de soporte siente pena por él y resetea la clave, dándole acceso a la red
corporativa.
8
Dumpster diving
Un ejecutivo bota papeles corporativos a la papelera.
El personal de limpieza toma la basura y la coloca en los tanques provistos para que los recoja el barrendero.
Espías maliciosos se apropian de los papeles desde la basura antes de que se los lleve el camión.
Los papeles contienen información de nombres, cargos y extensiones de ejecutivos de la empresa y balances financieros. Esta información es suficiente para lanzar un ataque exitoso de ingeniería social. 9
Tailgating o Piggybacking
Se refiere al acto de ingresar a un área restringida siguiendo a otra persona que sí está autorizada.
Métodos:
Haciendo de “escolta”
Pretendiendo ser parte del
grupo
Fingiendo haber perdido la
credencial o tener las
manos ocupadas 10
Dejando una “carnada”
En este método se incita la curiosidad de las personas dejando un “objeto valioso” en un sitio de fácil acceso en la empresa víctima.
Ejemplos:
Pendrive o CD con
malware “olvidados” en
el baño
11
Basada en computadoras
Categorías
Adjuntos de correo electrónico
Ventanas emergentes
Sitios webs falsos o maliciosos
Correo basura (spam)
Mails falsos
Software “gratis” o pirata
12
Virus, Gusanos y Troyanos
Un virus es un aplicativo malicioso que se adjunta a otro programa para efectuar una acción no deseada.
El gusano a diferencia del virus puede replicarse a sí mismo de forma automática.
El troyano es sólo diferente en que la aplicación completa ha sido escrita para lucir como algo diferente, cuando en efecto es una herramienta de ataque.
13
Phishing
Uso de sitios “réplica” de páginas webs legítimas, para capturar las credenciales de usuarios ingenuos, con el objetivo de perpetrar estafas electrónicas.
14
Mails falsos
El correo puede ser falsificado fácilmente.
Las personas tienden a confiar mucho en lo que una persona conocida y con autoridad les solicita vía mail.
15
Mecanismos de defensa
Definición de una Política de Seguridad Corporativa.
Implantación de un Sistema de Gestión de Seguridad de Información (SGSI).
Capacitación de todo el personal sobre fraudes electrónicos y medidas preventivas.
Capacitación del personal de sistemas en seguridad informática.
Rediseño de la red para incorporar dispositivos y protocolos de seguridad.
Uso de tecnologías Anti-X.
Ejecución de auditorías de seguridad informática anuales.
16
Sistemas de protección Herramientas Comerciales
Antivirus / Antispam
Kaspersky
Eset
McAffee
Norton
Firewalls e IPS’s
Cisco ASA, Cisco Security
Agent
Juniper
Fortinet
Checkpoint
Sistemas de Correlación
Cisco MARS
Checkpoint Smart Event
Herramientas Open Source
Antivirus / Antispam
ClamAV
Firewalls e IPS’s
Linux IPTables
Solaris IPFilter
FWBuilder
Snort
Sistemas de Correlación
AlienVault Open Source
SIEM (OSSIM)
Hyperic
Nagios
17
Hacking Ético
Tipos de Hacking Ético
Externo
Interno
Computador Robado
Ingeniería Social
18
Modalidades
Black Box
Gray Box
White Box
Ataque de Phishing con SET y Metasploit
19
¿Preguntas?
Mayor información
Website: http://www.elixircorp.biz
Blog: http://www.SeguridadInformaticaFacil.com
Facebook: www.facebook.com/elixircorp
Twitter: www.twitter.com/elixircorp
Google+: http://google.com/+SeguridadInformaticaFacil
¡Gracias por su tiempo!
Karina.Astudillo@elixircorp.biz
Twitter: KAstudilloB
Facebook: Kastudi