1

Ing. Karina Astudillo B.

Gerente de IT

Ataques de Ingeniería Social

Agenda

Entorno de seguridad informática actual

Ataques de Ingeniería Social

Ataques directos o telefónicos

Tailgating y Dumpster Diving

Ataques haciendo uso de computadoras: mail scams y phishing, virus,

gusanos y troyanos

Mecanismos de defensa

Demo

Ataque de Phishing con SET y Metasploit

2

Entorno de seguridad informática actual Casos en Ecuador: Ataques a websites del

gobierno (defacements)

Laptop Raúl Reyes

Pornografía en Internet

Revisión de Microfilm del Banco Central

Caso Peñaranda (Discos Duros)

Estafas / Suplantación de identidad

Infracciones de Propiedad Intelectual

Clonación de Tarjetas

¡1300 denuncias de phishing en 1er trimestre del 2011!

3

¿Qué es la ingeniería social?

Es la manipulación de personas mediante engaños para obtener información confidencial sobre un objetivo o víctima.

4

Debilidad humana

Las personas son el eslabón más débil de la cadena de seguridad.

Una defensa exitosa depende en tener buenas políticas implementadas y educar a los empleados para que cumplan con las políticas.

La ingeniería social es la forma de ataque más difícil de combatir porque no puede defenderse con hardware o software solamente.

Tipos comunes de ingeniería social La ingeniería social puede

dividirse en dos tipos: basada en humanos y basada en computadores

1. La Ingeniería Social Basada en Humanos se refiere a la interacción persona-a-persona para recuperar la información deseada.

2. La Ingeniería Social Basada en Computadoras s refiere al uso de software/hardware para recuperar la información deseada.

6

Categorías:

Personificación

Suplantar una persona importante

Acercamiento de tercera persona

Soporte técnico

Búsqueda en la basura

“Surfing” de hombros

Basada en Humanos

7

Llamada al soporte técnico

Un hombre llama al soporte técnico

y dice que ha olvidado su clave.

En pánico agrega que si no entrega

un documento a tiempo su jefe podría

despedirlo.

La persona de soporte siente pena por él y resetea la clave, dándole acceso a la red

corporativa.

8

Dumpster diving

Un ejecutivo bota papeles corporativos a la papelera.

El personal de limpieza toma la basura y la coloca en los tanques provistos para que los recoja el barrendero.

Espías maliciosos se apropian de los papeles desde la basura antes de que se los lleve el camión.

Los papeles contienen información de nombres, cargos y extensiones de ejecutivos de la empresa y balances financieros. Esta información es suficiente para lanzar un ataque exitoso de ingeniería social. 9

Tailgating o Piggybacking

Se refiere al acto de ingresar a un área restringida siguiendo a otra persona que sí está autorizada.

Métodos:

Haciendo de “escolta”

Pretendiendo ser parte del

grupo

Fingiendo haber perdido la

credencial o tener las

manos ocupadas 10

Dejando una “carnada”

En este método se incita la curiosidad de las personas dejando un “objeto valioso” en un sitio de fácil acceso en la empresa víctima.

Ejemplos:

Pendrive o CD con

malware “olvidados” en

el baño

11

Basada en computadoras

Categorías

Adjuntos de correo electrónico

Ventanas emergentes

Sitios webs falsos o maliciosos

Correo basura (spam)

Mails falsos

Software “gratis” o pirata

12

Virus, Gusanos y Troyanos

Un virus es un aplicativo malicioso que se adjunta a otro programa para efectuar una acción no deseada.

El gusano a diferencia del virus puede replicarse a sí mismo de forma automática.

El troyano es sólo diferente en que la aplicación completa ha sido escrita para lucir como algo diferente, cuando en efecto es una herramienta de ataque.

13

Phishing

Uso de sitios “réplica” de páginas webs legítimas, para capturar las credenciales de usuarios ingenuos, con el objetivo de perpetrar estafas electrónicas.

14

Mails falsos

El correo puede ser falsificado fácilmente.

Las personas tienden a confiar mucho en lo que una persona conocida y con autoridad les solicita vía mail.

15

Mecanismos de defensa

Definición de una Política de Seguridad Corporativa.

Implantación de un Sistema de Gestión de Seguridad de Información (SGSI).

Capacitación de todo el personal sobre fraudes electrónicos y medidas preventivas.

Capacitación del personal de sistemas en seguridad informática.

Rediseño de la red para incorporar dispositivos y protocolos de seguridad.

Uso de tecnologías Anti-X.

Ejecución de auditorías de seguridad informática anuales.

16

Sistemas de protección Herramientas Comerciales

Antivirus / Antispam

Kaspersky

Eset

McAffee

Norton

Firewalls e IPS’s

Cisco ASA, Cisco Security

Agent

Juniper

Fortinet

Checkpoint

Sistemas de Correlación

Cisco MARS

Checkpoint Smart Event

Herramientas Open Source

Antivirus / Antispam

ClamAV

Firewalls e IPS’s

Linux IPTables

Solaris IPFilter

FWBuilder

Snort

Sistemas de Correlación

AlienVault Open Source

SIEM (OSSIM)

Hyperic

Nagios

17

Hacking Ético

Tipos de Hacking Ético

Externo

Interno

Computador Robado

Ingeniería Social

18

Modalidades

Black Box

Gray Box

White Box

Ataque de Phishing con SET y Metasploit

19

¿Preguntas?

Mayor información

Website: http://www.elixircorp.biz

Blog: http://www.SeguridadInformaticaFacil.com

Facebook: www.facebook.com/elixircorp

Twitter: www.twitter.com/elixircorp

Google+: http://google.com/+SeguridadInformaticaFacil

¡Gracias por su tiempo!

Karina.Astudillo@elixircorp.biz

Twitter: KAstudilloB

Facebook: Kastudi