IngenieraSocial - CarlosBiscione 1 PDF

INGENIERA SOCIAL
PARA NO CREYENTES
Carlos A. Biscione
Technical Account Manager North of Latin America
Sun Microsystems
Contenido
Ingeniera Social en Perspectiva:
> Definiciones.
> !"etivos.
T#cnicas y $erramientas %e Ingeniera Social:
> Invasivas o Directas o &sicas.
> Se%uctivas y'o Ina%verti%as.
(omo Defen%erse:
> Tips Simples para Defen%erse.
> (omo I%entificar al )$ac*er Social+.
> ,strat#gias %e (om!ate.
-ecursos para sa!er m.s.
Contenido
> Definiciones.
> !"etivos.
(omo Defen%erse:
Una buena manera de esconder
algo es mostrarlo
An!nimo
Si necesitas algo" solo #$delo El
secreto del %&ito en obtenerlo est'
en la manera de #edirlo
An!nimo
(e)iniciones
La ingeniera social consiste en la manipulaci/n %e las
personas para 0ue voluntariamente realicen actos 0ue
normalmente no haran.
(arole &ennelly.
The human si%e of computer security.
Sun1orl%2 3ulio 4555.

T#rmino usa%o entre crac*ers y samurais para referirse a las
t#cnicas %e violaci/n 0ue se sustentan en las %e!ili%a%es %e las
personas mas 0ue en el soft6are. ,l o!"etivo es enga7ar a la
gente para 0ue revele contrase7as u otra informaci/n 0ue
comprometa la seguri%a% %el sistema o!"etivo.
Tra%ucci/n mo%era%a %e T$, (MPL,T, S(IAL ,N8IN,,-IN8 &A9:
http:''pac*etstorm.linu;security.com'%ocs'social<engineering'socialen.t;t
Contenido
> Definiciones.
> Objetivos.
(omo Defen%erse:
Ob*eti+os ,-./e .uieren 0acer123
Los o!"etivos !.sicos %e la Ingeniera Social son los mismos
%el )hac*ing+ o )crac*ing+ =%epen%ien%o %e 0uien lo haga> en
general: ganar acceso no autori?a%o a los sistemas2 re%es o a
la informaci/n para...
>(ometer &rau%e2
>,ntrometerse en las -e%es2
>,spiona"e In%ustrial2
>-o!o %e I%enti%a% =%e mo%a>2
>Irrumpir en los Sistemas o -e%es.
@Definiciones %e Sara 8ranger
http:''666.sairy.com'!io.html
Ob*eti+os ,-A .uien 4an (irigidos123
Las vctimas tpicas incluyen
>
,mpresas Telef/nicas
>
Servicios %e $elp%es* y (-M
>
(orporaciones -enom!ra%as
>
Agencias e Instituciones 8u!ernamentales y Militares
>
Instituciones &inancieras
>
$ospitales.
,l !oom %e la internet tuvo su parte %e culpa en la proliferaci/n
%e ata0ues a pe0ue7os )start<upAs+2 pero en general2 los
ata0ues se centran en gran%es compa7ias.
@Definiciones %e Sara 8ranger
http:''666.sairy.com'!io.html
Contenido
> Definiciones.
> !"etivos.
> Invasivas o Directas o Fsicas.
(omo Defen%erse:
T%cnicas 5 0erramientas de
Ingenier$a Social
In+asi+as o (irectas o 6$sicas
T%cnicas de Ingenier$a Social
,In+asi+as o (irectas o 6$sicas2
El Tel%)ono
El Sitio de Traba*o
La 7asura
La Internet8Intranet
6uera de la O)icina
El Tel%)ono
Personificaci/n &alsa y Persuaci/n
>
Tretas ,nga7osas: Amena?as2 (onfusiones &alsas.
>
&alsos -eportes %e Pro!lemas.
Personificaci/n &alsa en llama%as a $elpDes*s y
Sistemas (-M
>
(ompletaci/n %e Datos Personales
-o!o %e (ontrase7as o (laves %e Acceso
Telef/nico:
>
(onsulta %e !u?ones %e vo?.
>
Bso frau%ulento %e lneas telef/nicas.
>
Bso %e Sistemas Internacionales %e Co? so!re IP.
El Sitio de Traba*o
,ntra%a a los sitios %e tra!a"o
> Acceso &sico no Autori?a%o
> Tailgating
ficina
> )Shoul%er Surfing+ =ver por encima %el hom!ro>2 Leer al rev#s.
> -o!ar2 fotografiar o copiar %ocumentos sensi!les.
> Pasearse por los pasillos !uscan%o oficinas a!iertas
> Intentos %e ganar acceso al cuarto %e PDE y'o servi%ores para:
> (onseguir acceso a los sistemas2
> Instalar anali?a%ores %e protocolo escon%i%os2 sniffers o2
> -emover o ro!ar pe0ue7os e0uipos con o sin %atos.
La 7asura
)Dumpster Diving+ o F9u# hay en nuestra !asuraG:
> Lista%os Telef/nicos.
> rganigramas.
> Memoran%os Internos.
> Manuales %e Polticas %e la (ompa7ia.
> Agen%as en Papel %e ,"ecutivos con ,ventos y Cacaciones.
> Manuales %e Sistemas.
> Impresiones %e Datos Sensi!les y (onfi%enciales.
> )Logins+2 )Logons+ y a veces... contrase7as.
> Lista%os %e Programas =c/%igo fuente>.
> Dis0uettes y (intas.
> PapelMem!reta%o y &ormatos Carios.
> $ar%6are !soleto.
La Internet8Intranet
Si en algo es consistente un usuario es en repetir
pass6or%s.
)Pass6or% 8uessing+
>
Placa %el (arro.
>
Nom!re %e la $I3A H IJJK.
>
&echa %e nacimiento.
,ncuestas2 (oncursos2 &alsas Actuali?aciones %e
Datos.
Ane;os con Troyanos2 ,;ploits2 Spy6are2 Soft6are
%e Navegaci/n remota y Screen -en%ering.
Todos los dias sale uno a la calle
6uera de la O)icina
Almuer?os )De Negocios+ %e Ciernes2 0ue terminan
en vola%a %e oficina y )$appy $ours+2 con
potenciales consecuencias %esastrosas:
>
Sesiones %e confesi/n %e contrase7as2 e;tensiones2
%irecciones %e correo electr/nico. Al otro %ia2 la vctima
no se acuer%a.
(one;iones )%e oficina a ficina+:
>
FPue%o leer mi e<mail %es%e a0uiG
>
,so est. en la Intranet %e la ,mpresa2 pero =en tono
"actancioso> yo pue%o entrar %es%e a0ui.
>Lo 0ue no sa!e la victima es %e la e;istencia %e )Ley8ra!!ers+
>Soluci/n: ne Time Pass6or%s.
Contenido
> Definiciones.
> !"etivos.
> Seductivas !o Inadvertidas.
(omo Defen%erse:
T%cnicas 5 0erramientas de
Ingenier$a Social
Seducti+as 59o Inad+ertidas
T%cnicas de Ingenier$a Social
,Seducti+as 59o Inad+ertidas2
Autoridad
Carisma
Reci#rocidad
Consistencia
4alidaci!n Social
Ingenier$a Social Re+ersa
Autoridad
Pretender estar con la gente de TI o con
un alto ejecutivo en la Empresa o
Institucin.
Puede usar un tono de voz:
> Intimidante
> Amenazante
> Urgente
Carisma
Se usan modales amistosos
agrada!les.
Se conversa so!re intereses comunes.
Puede usar la adulacin para ganar
in"ormacin del conte#to so!re una
persona grupo o producto.
Reci#rocidad
Se o"rece o promete a$uda in"ormacin
u o!jetos %ue no necesariamente &an
sido re%ueridos.
Esto constru$e con"ianza d' la
sensacin de autenticidad $
con"ia!ilidad.
Consistencia
Se usa el contacto repetido durante un
cierto per(odo de tiempo para esta!lecer
"amiliaridad con la )identidad* del
atacante $ pro!ar su con"ia!ilidad.
4alidaci!n Social
Acec&a el comportamiento normal de
tratar de satis"acer un re%uerimiento.
Se puede tomar ventaja de esta
tendencia al actuar como un compa+ero
de tra!ajo necesitando in"ormacin
contrase+as o documentos para su
tra!ajo.
,a victima usualmente es una persona
con cierto potencial de ser segregada
dentro de su grupo o %ue necesita )ser
tomada en cuenta*.
-curre cuando el .ac/er crea una
persona %ue parece estar en una
posicin de autoridad de tal modo %ue le
pedir'n in"ormacin a 0l en vez de %ue
0l la re%uiera.
,as tres "ases de los ata%ues de IS1:
>
Sa!otaje.
>
Promocin.
>
Asistencia.
23omo opera4
> El .ac/er sa!otea una red o sistema
ocasionando un pro!lema.
> Este .ac/er entonces promueve %ue 0l es
el contacto apropiado par solucionar el
pro!lema $ entonces cuando comienza a
dar asistencia en el arreglo el pro!lema
re%uiere pedacitos de in"ormacin de los
empleados $ de esa manera o!tiene lo %ue
realmente %uer(a cuando lleg.
> ,os empleados nunca supieron %ue 0l era
un &ac/er por%ue su pro!lema se
desvaneci 0l lo arreglo $ todo el mundo
est' contento.
Contenido
> Definiciones.
> !"etivos.
(omo Defen%erse:
> "ips Si#ples para Defenderse.
Ti#s Sim#les
#ara
(e)enderse
Ti#s Sim#les #ara (e)enderse
5antenga una actitud cautelosa $ revise
constantemente sus tendencias de
a$udar a personas %ue no conoce. -jo:
6o tiene %ue volverse una persona
&ura+a $ paranica.
7eri"i%ue con %uien &a!la
especialmente si le estan preguntando
por contrase+as datos de empleado u
otra in"ormacin sensitiva.
Al tel0"ono o!tenga nom!res e
identidades 86ro. 9e Empleado por
ejemplo:. 3orro!relos $ ll'melos a su
pretendida e#tensin.
6o se deje intimidar o adular para
terminar o"reciendo in"ormacin.
6o le permita a una persona
desconocida )descrestarlo* con su
aparente conocimiento.
> Ejemplo: A%uellos %ue conocen detalles
t0cnicos o usan acrnimos o la jerga propia
de la empresa o industria.
5uc&os pueden sonar como parte de
)la;cosa;real* pero pueden ser parte de
la conspiracin.
Sea cauteloso 8de nuevo no paranico:
en las encuestas concursos $ o"ertas
especiales via internet tel0"ono $ correo
electrnico $ convencional.
Estas son "ormas comunes de cosec&ar
direcciones de correo electrnico
contrase+as $ otros datos personales.
5
:Por 6a+or;;;
:::NO
RESPON(A
<ENSA=ES EN
CA(ENA;;;
En un solo mensa*e en cadena
Contenido
> Definiciones.
> !"etivos.
(omo Defen%erse:
> Co#o Identificar al $%ac&er Social'.
Como Identi)icar al >0ac?er Social@
Trata =y lo logra...> %e ser cre!le2 luce como
un profesional.
Permanece en calma. ActMa como si
perteneciera a la empresa.
(onoce a sus vctimas y como
reaccionar.n.
-econoce al persona"e alerta y lo evita.
Sa!e retirarse %iscretamente si algo
comien?a a fallar.
Como Identi)icar al >0ac?er Social@
,n los ata0ues telef/nicos2 se aprovechan %el
hecho %e la mayor cre%i!ili%a% %e la mu"er.
Btili?an )marcas %e agua+ cuan%o usan correo
convencional falso.
Bsan tar"etas %e negocio y nom!res =am!os> falsos.
Cerif0uelos antes %e involucrarse.
Tratan %e manipular a las personas menos
afortuna%as2 segrega%as2 a las menos agracia%as y
en general a to%os los 0ue !uscan vali%aci/n
social.
Si el %esafo es muy gran%e2 tra!a"an en e0uipo.
Contenido
> Definiciones.
> !"etivos.
(omo Defen%erse:
> (strat)gias de Co#bate.
Estrat%gias de CombateA
Area de *iesgo
>
La Internet<Intranet
(strat)gia de Co#bate
>
-efuer?o contnuo %el
conocimiento %e los
cam!ios a los sistemas y
re%es.
>
,ntrenamiento en el uso
%e contrase7as
>
In%ucci/n en la creaci/n
%e contrase7as )fuertes+
"+cticas del %ac&er
>
)Pass6or% 8uessing+
>
,ncuestas2 (oncursos2
&alsas Actuali?aciones %e
Datos.
>
Ane;os con Troyanos2
,;ploits2 Spy6are2 Soft6are
%e Navegaci/n remota y
Screen -en%ering.
Area de *iesgo
>
Tel#fono =PDE>
>
,ntrenar a los emplea%os
y help%es* en el senti%o %e
nunca %ar pass6or%s u
otra informaci/n
confi%encial por tel#fono
>
To%os los emplea%os
%e!en tener un PIN
especfico al $elpDes*
>
(ontrolar llama%as larga
%istancia2 seguir llama%as2
rehusarse a transferencias
sospechosas
"+cticas del %ac&er
Personificaci/n &alsa y
Persuaci/n
Personificaci/n &alsa
en llama%as a
$elpDes*s y (-MAs.
-o!o %e (ontrase7as o
(laves %e Acceso
Telef/nico:
Area de *iesgo
>
Sitio %e Tra!a"o
> ,ntrenamiento en uso %el carnet
%e acceso. Presencia %e
Cigilantes.
> No escri!a contrase7as con
alguien vien%o
> -estrin"a uso %e fotocopia%oras2
escaners2 c.maras %igitales.
> -e0uiera 0ue las visitas sean
escolta%as
> (ierre y monitor#e la oficina %e
correspon%encia2 cuartos %e
servi%ores y PDE.
> Mar0ue la informaci/n confi%encial
y man#"ela apropia%amente
"+cticas del %ac&er
> Acceso &sico no Autori?a%o
> Tailgating
> )Shoul%er Surfing+2 Leer al
rev#s.
> -o!ar2 fotografiar o copiar
%ocumentos sensi!les.
> Pasearse por los pasillos
> Intentos %e ganar acceso al
cuarto %e PDE y'o
servi%ores
Area de *iesgo
>
La Dasura
>
Mantenga to%a la !asura en
.reas asegura%as y
monitorea%as.
>
Destruya %atos sensi!les en
papel2
>
Dorre y %estruya me%ios
magn#ticos =%is*ettes y
cintas> y raye los m#%ios
/pticos =(D<-MS2
DCDAs>.
>
Dorre los %iscos %e e0uipos
o!soletos.
"+cticas del %ac&er
>
)Dumpster Diving+ o
)na%ar en la !asura+
Area de *iesgo
>
&uera %e la ficina
>
Mantenga a los
emplea%os alerta a trav#s
%e entrenamientos
contnuos %e
conocimiento y
refor?amiento %e polticas
%e seguri%a%2 t.cticas y
tretas %e los $ac*ers
sociales.
"+cticas del %ac&er
>
-euniones fuera %e la
oficina con uso %e
!e!i%as alcoholicas.
>
(one;iones )%e oficina a
ficina+
Contenido
> Definiciones.
> !"etivos.
(omo Defen%erse:
Recursos #ara saber m's
The human si%e of computer security.
(arole &ennelly.
Sun1orl%2 3ulio 4555.
Tam!ien se consigue en:
http:''sunsite.ua*om.s*'sun6orl%online's6ol<JN<
4555's6ol<JN<security.html
,l $ac*er Social mas famoso: Levin Mitnic*
http:''666.*evinmitnic*.com'
http:''666.perantivirus.com'sosvirus'hac*ers'*evin.htm
Carios escritos famosos so!re Ingeniera
Social.

http:''pac*etstorm.linu;security.com'%ocs'social<
engineering'
INGENIERA SOCIAL
PARA NO CREYENTES
Carlos A. Biscione
Technical Account Manager North of Latin America
Sun Microsystems

IngenieraSocial - CarlosBiscione 1 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

IngenieraSocial - CarlosBiscione 1 PDF

Cargado por

Copyright:

Formatos disponibles

INGENIERA SOCIAL

The human si%e of computer security.

Sun1orl%2 3ulio 4555.

Tra%ucci/n mo%era%a %e T$, (MPL,T, S(IAL ,N8IN,,-IN8 &A9:

Sun1orl%2 3ulio 4555.

Tam!ien se consigue en:

También podría gustarte