10 maneras de ser estafado

Hernán M. RacciattiSICinformática - info@sicinformática.com.ar

http://www.sicinformatica.com.ar

“Desventuras…del Ser Paranoico”

http://creativecommons.org/licenses/by-nc-sa/2.5/ar/

Ud. puede:

Copiar, distribuir, exhibir, y ejecutar la obra

Hacer obras derivadas

Bajo las siguientes condiciones:

Atribución. Debe atribuir la obra en la forma especificada por el autor

No Comercial. No puede usar esta obra con fines comerciales.

Compartir Obras Derivadas Igual. Si altera, transforma, o crea sobre esta obra, sólo podrá distribuir la obra derivada resultante bajo una licencia idéntica a ésta.

Licencia de uso: Creative Commons 2.5 Argentina

Conociendo a los Personajes

Un Día Comienza

Tareas matutinas

Acceso a Home Banking

Fotos On-Line

Compra On-Line

Chat con Extraños

Dispositivos USB

Conclusiones

Referencias

Temario

31 Años

Senior Security Consultant

Licenciado en Sistemas de Información

Investigador Independiente de Seguridad

CISSP, CEH, MCSE, CCNA, CCSP, ABCD, A234, MKXR, YAH, HAY, EAEAPEPE, etc.

Conociendo a Bob

27 Años

Estudiante de Diseño

[ Completar aquí ]

[ Completar aquí ]

[ Completar aquí ]

Conociendo a Charlie

Bob llega a la oficina

Enciende su Laptop

Ingresa la password de su BIOS

Coloca el TOKEN USB [1]

Ingresa su Huella Dactilar

Ingresa su user y password de SO

Ingresa su password de SIMP [2]

Ingresa su user y password de Messenger

Ingresa su user y password de Gmail

Bob esta listo para comenzar a trabajar

Un día comienza: Bob

Charlie llega a la oficina

Enciende su Laptop

Su equipo esta configurado con “automatic logon” [3]

Su Messenger esta configurado para iniciar automáticamente al inicio

Su Gmail esta configurado con la opción “Remember me on this computer”

Charlie esta listo para comenzar a trabajar

Un día comienza: Charlie

Bob comienza a chequear su correo

Da una primera recorrida a su bandeja de entrada y elimina todo el correo que su antispam no filtro, así como todo aquel correo de fuente dudosa.

Dedica los primeros 90’ su día para revisar las listas de correo a las que esta suscripto:

WASC Forum

Pentest – OISSG

Full-Disclosure

ISSAArBA

Forosi

DailyDave

Ring of Fire

Security Basics – Security Focus

SecTools – Security Focus

Focus MS – Security Focus

Bugtraq – Security Focus

Pentest – Security Focus

Private 0Days for Geek

Tareas Matutinas: Bob

Charlie comienza a chequear su correo

Da una primera recorrida a su bandeja de entrada y abre todo aquel correo de titulo llamativo.

Al cabo de los primeros 15 minutos:

Re-envió 7 cadenas de correo [4]

Descargo 3 .jpg que le parecieron interesantes

Hizo lo propio con 2 .ppt que le parecieron

graciosos

Tareas Matutinas: Charlie

Bob requiere consultar su estado de cuenta bancaria

Solicita permiso a su jefe para acercarse al banco en su hora de almuerzo.

Bob quiere evitar el uso de la red corporativa para acceder a su cuenta bancaria.

Bob conoce que el certificado digital de su banco ha expirado, y no se siente seguro aceptando un certificado expirado.

A pesar de que el banco de Bob brinda la opción a sus usuarios, de utilizar un teclado virtual, Bob conoce la existencia de técnicas [5] por medio de las cuales es posible capturar el ingreso a través de su uso.

Acceso a Home Banking: Bob

Charlie requiere consultar su estado de cuenta bancaria

Dirige su browser hacia el sitio del banco

Abre un .DOC de nombre “Mis Claves”

Ubica en la lista su clave de acceso a Home Banking.

Copy and Paste

Al ingresar la clave, aparece un mensaje en ruso que dice “Su cl4v3 3s 1nc0rr3ct4 vu3lv4 4 1nt3nt4r”

Vuelve a presentársele la pagina de su banco (Esta vez …. Realmente es la de su banco) [6]

Copy and Paste

Exporta el estado de su cuenta a un archivo de nombre “Estado de Mis cuentas.XLS”

Cierra el Explorador (Sin desconectarse claro…)

Acceso a Home Banking: Charlie

Bob recibe una llamada de su hermano, el cual hace años reside en Florida, EEUU.

El le vuelve a decir que le fue imposible desencriptar las fotografías del bebe de Bob, con ese programita raro que le instalara en la notebook durante su ultimo viaje a BsAs. [7]

Bob le dice que no se preocupe, que hoy mismo le enviará sus fotografías vía FedEx, de modo tal que en un par de días, finalmente pueda tenerlas en su poder.

Bob conoce de la existencia de los fotologs, pero le da pánico de solo pensar lo que alguien podría hacer con sus fotos y las de su familia!

Bob conoce que historias como la de “Allison Stokke”, suceden a diario... [8]

Fotos On-Line: Bob

Charlie recibe una llamada de su amiga Agustina, preguntándole “por que las fotos de ayer por la noche, aún no se encuentran en su fotolog!”.

Charlie envía un mail a Agustina (Una Amiga que conoció por Internet) con la clave de su cuenta de www.fotolog.com, para que ella misma las suba.

Fotos On-Line: Charlie

Bob hace tiempo que espera que su buen amigo Ezequiel, viaje a Puerto Ríco o a los EEUU, a fin de que este pueda comprarle algunos libros que aún no llegan a las librerías de Argentina.

Obviamente Bob conoce de la existencia de ”Amazon”, pero no se siente seguro ingresando los datos de su tarjeta de crédito en este sitio.

Bob aún recuerda que en el 2001, una subsidiaria de “Amazon” fue hackeada y durante cuatro meses, los hackers tuvieron acceso a la información de miles de clientes. [9]

Compra On-Line: Bob

Charlie no lee libros (Tampoco los compra)… no obstante…

Compra On-Line: Charlie

el nunca se priva de crear cuentas en los sitios de compra On-Line, por si algún día los necesita…

Bob es muy selectivo con sus contactos en messenger.

Su lista esta compuesta únicamente de colegas o familiares directos.

Bob no suele hablar de otra cosa que no sea el tiempo, con colegas que no manejen encripción en sus clientes de IM (Instant Messaging).

Bob eventualmente ha recibido mails de hermosas chicas invitándole a que las agregue a su messenger para charlar.

Bob NUNCA se pondría a chatear con extraños. El sabe que ninguna chica lo invitaría a conversar, sino que por el contrario… seguro seria alguien intentando hacerlo caer en algún truco de Ingeniería Social.

Chat con Extraños: Bob

Charlie adora conversar con extraños.

Su lista esta compuesta por cualquier persona que quiera chatear con el.

El se encarga de ingresar a los salones de chat y dejar su cuenta MSN para que lo contacten.

Charlie ha recibido el mismo mail que Bob, de una señorita llamada “LaMorocha25”, Bob no respondió Charlie si… y también la incluyo en su messenger.

Chat con Extraños: Charlie

Ya casi es hora de irse, un buen amigo de Bob le acerca un PENDRIVE con unos e-Books que pueden ser de interés para el.

Bob conoce que el dispositivo de su compañero es U3 [10], y que podría contener algún tipo de carga maliciosa!

Bob prefiere seguir esperando que alguien viaje para obtener los books que necesita…

Dispositivos USB: Bob

Charlie no lee e-Books… sin embargo, el no dudo en copiarse los MP3s que se encontraban en el Pendrive del amigo de Bob.

Dispositivos USB: Charlie

Bob tardo 10’ para poder estar listo para trabajar.

Charlie tardo solo 1’.

Bob tardo 90’ en leer las listas de correo, de modo tal de estar al tanto de las nuevas amenazas de seguridad.

Charlie se hizo realmente popular con los chistes que memorizo de los correos y luego comento en el almuerzo. El también, re-envió uno de los .ppts que recibió a todos sus amigos y hubo varios que se lo agradecieron.

Bob no pudo almorzar el día de hoy, el tuvo que ir al banco por su resumen de cuentas…

Charlie conoció a una Srta. en su hora de almuerzo, y consiguió una cita para el sábado por la noche.

Conclusiones I

El hermano de Bob… aun espera que lleguen las fotografías vía FedEx…

Charlie recibió 12 “acalorados” mensajes de señoritas en su fotolog, solicitando mas “fotitos”. Dos de ellas les pidieron una cita… Agustina al principio se puso celosa… pero después le dijo que esta abierta a nuevas experiencias… Ella le pidió participar de “la cita”…

Bob sigue esperando que Ezequiel viaje nuevamente a Puerto Rico y le traiga los libros, aunque esta evaluando esperar que salga la segunda edición…

Charlie no compra On-Line, pero de uno de los sitios en donde dejo sus datos, le avisaron que se hizo acreedor de un voucher por u$s 250 para gastar en libros o DvDs.

Conclusiones II

Bob no agrego a “LaMorocha25”, Charlie si. Ellos quedaron en encontrarse esta misma noche en un sitio llamado “La casita del Placer”.

Bob sigue sin utilizar Pendrives de compañeros en su Laptop.

Charlie termino de completar la discografía de los Beatles ya que resulto ser la banda predilecta de “LaMorocha25”.

Conclusiones III

[1] Token USB (Epass2000) http://www.macroseguridad.net/productos/Tokens_2000/index.html

[2] SIMP (SimpleLite, The free MSN Messenger encryption)

http://www.secway.fr/us/products/simplite_msn/home.ph

[3] How to turn on automatic logon in Windows XP

http://support.microsoft.com/kb/315231

[4] Cadenas de Correo

http://www.rompecadenas.com.ar

[5] Defeating Citibank Virtual Keyboard […]

http://www.tracingbug.com/index.php/articles/view/23.html

Referencias I

[6] Anti-Phishing Working Group

http://www.antiphishing.org

[7] GnuPG

http://www.gnupg.org

[8] El caso de “Alice Storkke”

http://seguinfo.blogspot.com/2007/05/y-si-miles-de-personas-tuvieran-tu-foto.html

[9] Amazon Hacked?

http://www.theregister.co.uk/2001/03/07/amazon_despite_denials_was_warned

[10] USB Hacks

http://wiki.hak5.org/wiki//usb_hacks

Referencias II

¡Gracias por su atención!