Post on 12-Jan-2015
INGENIERÍA SOCIAL – OTRA FORMA DE
HACKEAR
“Seguridad, un servicio que genera valor para su empresa”
Guillermo Santos Calderónguillermo.santos@enter.co
“Se puede gastar una fortuna adquiriendo tecnología y servicios...y su infraestructura de IT puede seguir siendo vulnerable a manipulaciones tradicionales.”
-Kevin Mitnick
“No hay ningún parche o actualización para la ingenuidad o estupidez del ser humano.”
“Es el arte y la ciencia de hacer que las personas cumplan con sus deseos”
4
“Una forma de hackear basada en la influencia, decepción y/o manipulación sicológica para convencer a una persona a cumplir con una solicitud”
¿Que es Ingeniería Social?
¿Porque los Hackers usanIngeniería Social?
Los computadores, redes y aplicaciones se han endurecido -“hardened”-
El ser humano se ha convertido en el eslabón más débil en la cadena de seguridad informática
Más fácil que hackear un sistemaNo los detienen los sistemas para detección
de intrusiónMuy poco riesgo para el hacker
5
Muy poco riesgo para el hackerFunciona en todas las plataformas de S/OSin bitácoras que puedan ser auditadasEfectividad de casi el 100%Poca gente tiene conciencia de este tipo de
ataques
6
¿Porque los Hackers usanIngeniería Social?
Los Ingenieros Sociales se apoyan en la confianza, ganas de ayudar, educación, conocimiento de procesos y de información confidencial, suplantación de autoridades y tecnología
Frecuentemente realizan ataques pequeños para obtener información que les permita hackear una red o un sistema
Se apoya en seis características del ser humano que lo hacen vulnerable a ataques de Ingeniería Social
¿Cómo funciona laIngeniería Social?
Seis tendencias del Ser Humanoque lo Hacen Vulnerable
La AutoridadHacer algo porque alguien con autoridad lo
solicitaLa Empatía
Realizar algo solicitado por alguien con quien se tiene muy buena empatía
La ReciprocidadRealizar algo por obtener un producto o un
beneficio a cambio
8
El CompromisoHacer algo después de que se pactó un
compromiso para realizarloLa Validación social
Hacer algo que está de moda, que es muy popular y bien recibido por la sociedad
La EscasezRealizar algo para obtener un producto o
beneficio que está escaso o disponible por poco tiempo
9
Seis tendencias del Ser Humanoque lo Hacen Vulnerable
El Firewall Humano
La ilusión de la invulnerabilidad (“eso nunca me va a pasar a mi”)
La tendencia frecuente de confiar en terceros (“el beneficio de la duda”)
La pereza de aplicar los protocolos de seguridad
La subestimación del valor de la información
La naturaleza de ayudar a los demás No entender cuales son las consecuencias
de algunas acciones
10
Recolección de Inteligencia
Algunas técnicas importantes:Uso de InternetInformación libreBarrido de basuras
11
Pequeñas piezas de información cuando se juntan se pueden convertir en información muy valiosa
Reconocimiento de Empresas
Sitio Web de la empresaNombres de empleados/Organigrama y
estructuraBoletines de la empresaDirectorio telefónico de la empresaLenguaje interno, terminología y nombres
de los servidores
12
Reconocimiento de Empresas
Vacantes, candidatos a empleos/nuevos empleados
Empleados/terceros que utilizan recursos de la empresa en forma remota
13
Reconocimiento del Personal
Teléfonos y correos electrónicoTítulo y cargo en la empresa Responsabilidades/deberes (a que tiene
acceso) Aficiones o intereses especiales Educación y colegios
14
Reconocimiento del Personal
Páginas web personales/blogs/Biografías/Hojas de vida/publicaciones
Cédula y otras identificaciones personalesProgramación de
licencias/vacaciones/viajes
15
Algunas Técnicas
PretextoSe inventa un escenario y se usa el teléfono
para obtener acceso a informaciónEl pretexto es el escenario que sea crea con
poca información para obtener más Cédula, nombre de los padres, ciudad de
nacimiento
16
Phishing
Por email o por teléfonoAparenta ser de un negocio legal (banco,
etc.) que el atacado esté usandoSiempre dan sensación de urgenciaAmenazan la seguridad personal o de sus
recursosSolicitan reconfirmar datos personales
Otro Phishing
Correos o llamadas de alto nivelSimulan ser de alguien conocido
Jefe de un departamentoUn compañero de trabajoEl centro de ayuda o soporte
Esta es otra forma de hacer phishing
Phishing IVR/Teléfono
Usted es convencido de llamar a un teléfonoEl IVR aparece ser legítimo
El IVR solicita ingreso de datos personalesPIN, clave, cédula
Puede terminar hablando con un “agente”, parte de la trampa
Trojanos
Utiliza la curiosidad o las ganas de las personas para hacer que baje (download) un “malware”
Simula ser algo gratisAnexo a un mail
Screen Saver, antivirus, fotos, enlaces
Abrirlo baja un troyanoExpone lo que se teclea, agendas de
direcciones, datos financieros
Shoulder surfing
Se usa en aviones, aeropuertos, cafeterías, areas con Wi-Fi público y otros sitios públicos
Se observa la entrada de usuarios y claves y hasta se pueden grabar
Se descubren tarjetas de crédito y otra información confidencial
Sumergirse en Basura
Es sumergirse en la basura de alguien¿Que se busca?
Información confidencial, bancos, tarjetas de crédito, estrategias, nombres de proyectos, correspondencia
Nombres de empleados, correos electrónicos, directorios telefónicos, manuales, servidores y aplicaciones, agendas, papel empresarial, memorandos, apuntes, usuarios y palabras claves
Discos duros eliminados
Manzanas Bajitas
Se basa en medios físicosCD, DVD, floppy, USB Flash Drive
Rotuladas para llamar la atención“Aumento salarios”“Reducción Personal”“Estrategias confidenciales”
Una vez se instala en el PC, el “autorun” baja un troyano, virus o keylogger
Quid pro quo
La trampa del “algo por algo”Dos ejemplos:
Suplantación de soporte o help deskRegalos a cambio de información
Encuestas demuestran que la gente cambia información privada por datos confidenciales
Encuesta
Siete de diez (70%) trabajadores dieron la palabra clave de su computador de la oficina a cambio de un chocolate.
Esto sucedió en la Estación Waterloo en Londres.
El año anterior el resultado había sido del 90%
Tomado del Libro “El Arte de la Decepción” de Kevin Mitnick (2005)
25
Como reconocer ataques deIngeniería Social
Sentirse incómodo es un síntoma al que hay que ponerle atención
Negación para dar información de contactos o personal
Solicitudes extrañas o inusualesDemasiadas muestras de hacerse pasar
como una persona confiable o para ganar amistad o confianza
26
Uso de posiciones autoritariasGeneralmente estas carácterísticas no son
fáciles de reconocer. Lo clave es entrenar a la gente para seguir protocolos de seguridad en lugar de convertirlos en “detectores de mentiras”
27
Como reconocer ataques deIngeniería Social
Barreras anti-Ingeniería SocialMUY IMPORTANTE el apoyo de la alta
directiva de la empresaDemostrar vulnerabilidades personales
(Juegos de roles orientados por expertos y sicólogos). Sugerir métodos para contrarrestar/proteger estas vulnerabilidades
Hacer que las personas puedan sentir lo que se siente cuando se es manipulado
28
Barreras anti-Ingeniería SocialMotivar el uso de los protocolos de
seguridad explicándolos y diciendo como protegen a la emporesa
Desarrollar reglas simples para definir que es información sensible y confidencial
Enseñar que está bien DECIR QUE NO!
29
Defensas contra la Ingeniería SocialPolíticas/procedimientos/procesos de
seguridadClasificación de los datos/manejo de
información sensibleEl Método del Beso – respuesta fácil sin
mucho que pensarEducar a los empleados y reforzar la
conciencia de la seguridad informática
30
Realizar pruebas de ingeniería socialBúsquedas periódicas en las basuras de la
empresaEntrenamiento frecuente de seguridad
informáticaIncorporar ingeniería social en el plan de
respuesta a incidentes
31
Defensas contra la Ingeniería Social
La Ingeniería Social es la amenaza mássencilla y más efectiva para la seguridad informática
Para mitigar esta amenaza se requiere de una vigilancia permanente
Las medidas anti-Ingeniería Social más efectivas son las políticas, procedimientos y procesos de seguridad, el entrenamiento para evitarla y las pruebas frecuentes
Conclusiones
Ejemplos
Ejemplo 1 (tinyurl.com/3gluswy):Hadnagy, Auditor de SE, fue contratado para
hackear los servidores de una compañíaEncontró dirección de servidores,
direcciones IP, correos, teléfonos, servidores de correo, nombres de empleados y sus cargos
33
Ejemplo 1:Supo que el CEO tenía un familiar que tuvo
cáncer y sobrevivióEl CEO estaba interesado en recolección de
recursos para investigaciones para combatir el cáncer
Encontró información adicional sobre el CEO como restaurantes favoritos, equipos favoritos, etc, en Facebook
34
Ejemplos
Ejemplo 1:Hadnagy se hizo pasar por un miembro de
una entidad recaudadora de fondos para combatir el cáncer y le ofreció al CEO boletas para partidos de su equipo favorito y bonos para sus restaurantes favoritos
El CEO le pidió más información que le envío en un archivo PDF
35
Ejemplos
Ejemplo 1:Inclusive el CEO dijo que versión de PDF
tenía para que pudiera leer el PDFAl abrir el PDF, se instaló un programa
(shell) que le abrió su computador a HadnagyHecho esto el sistema pudo haber sido
hackeado el sistema
36
Ejemplos
Ejemplo 2Caso del hacker de un banco
Ejemplos
Ejemplo 3Convencer a un amigo que se le puede
arreglar y actualizar su computadorSe le arreglan problemas menores en el
computador y se le instala un troyanoSe tiene acceso total al computador de
la persona que confío en el favor que se le iba a hacer
Ejemplos
The Art of Deception by Kevin D. Mitnick
The Art of Intrusion by Kevin D. Mitnick
Influence by Robert B. Cialdini Confidential by John Nolan The Human Firewall Council www.humanfirewall.org Dr. Kelton Rhoads www.workingpsychology.com
Recursos de Información