OWAND11 Granada

Ingeniera social

OWASP

David Montero Abujas

OWASP Andalucia Chapter Leader
Grupo iSoluciones
david.montero@owasp.org
Twiitter:@raistlinthemage

Education Project
Copyright 2007 The OWASP Foundation
Permission is granted to copy, distribute and/or modify this document
under the terms of the OWASP License.

The OWASP Foundation

http://www.owasp.org

Ingeniera social
Acerca ma

CISA, CISM, CRISC, ISMS Lead Auditor

Socio fundador Grupo iSoluciones, Jerez de la Frontera (Cdiz)

OWASP Andalucia Chapter Leader

Security Researcher en Malware Intelligence

BankingITSec, Hackin9, ENISE,

OWASP

Ingeniera social
Perfiles de usuario

Usuarios confiados

Usuarios desconfiados que no razonan

Usuarios desconfiados que razonan

OWASP

Ingeniera social
Perfiles de usuario

Aparece una ventana al navegar que dice:

Presione el botn Aceptar si quiere ver un mono de dos

cabezas bebiendo una botella de Grog (Monkey Island).

Aceptar

OWASP

Ingeniera social
Perfiles de usuario
Presione el botn Aceptar si quiere ver un mono de dos
cabezas bebiendo una botella de Grog (Monkey Island).

Aceptar

Usuarios confiados. !Flipa! Seguro que el mono es trending topic

maana

OWASP

Ingeniera social
Perfiles de usuario
Presione el botn Aceptar si quiere ver un mono de dos
cabezas bebiendo una botella de Grog (Monkey Island).

Aceptar

Usuarios desconfiados. Seguro que es un timo y me quieren

vender un seguro

OWASP

Ingeniera social
Perfiles de usuario
Presione el botn Aceptar si quiere ver un mono de dos
cabezas bebiendo una botella de Grog (Monkey Island).

Aceptar

Usuarios desconfiados que razonan. Las ventanas emergentes

en Internet suelen ser publicitarias, es francamente improbable que
exista un mono de dos cabezas, y menos bebiendo bebidas
alcohlicas. Es publicidad, timo o malware, mejor no pulso Aceptar.
OWASP

Ingeniera social
Que s?

Aprovechar las habilidades sociales de los atacantes para obtener
privilegios o informacin ante una persona u organizacin.

El phishing es una forma de ingeniera social, engaar a los usuarios
para acceder a una pgina de banca electrnica fraudulenta.

OWASP

Ingeniera social
Perfil ideal

Profesional de las tecnologas de la informacin con conocimientos y
experiencia en gestin TI.

Conocimientos y experiencia en gestin empresarial.

Habilidades sociales (elocuencia, empata,) a un nivel alto.

Experto en seguridad de la informacin.

Imaginacin.
OWASP

Ingeniera social
Historia

La ingeniera social existe desde tiempo inmemoriales, pero a nivel
TIC su mximo precursor fue Kevin Mitnick Condor.

Mitnick afirmaba que la ingeniera social funcionaba por cuatro
preceptos:





Todos queremos ayudar.

El primer movimiento es siempre de confianza hacia el otro.
No nos gusta decir No.
A todos nos gusta que nos alaben.

OWASP

10

Ingeniera social
Por qu funciona?

Falta de concienciacin en seguridad por parte de los trabajadores
de las empresas, a todos los niveles.

La confianza mueve el mundo. Determinadas caractersticas y
situaciones generan mayor confianza hacia la vctima (halagos,
empata,)

Deslocalizacin de ubicaciones facilita la creacin de falsos perfiles
internos, no necesariamente tienen que ser grandes empresas.

OWASP

11

Ingeniera social
Medios

Fsico. Suplantacin de identidad,

Electrnico. Phishing, e-mails falsos,

OWASP

12

Ingeniera social
Marco de proyectos

Objetivo

Anlisis

Generar
vector

Ejecutar
vector

OWASP

13

Ingeniera social
Marco de proyectos

Objetivo

Qu deseamos conseguir con el ataque?

OWASP

14

Ingeniera social
Marco de proyectos

Objetivo

Anlisis

Obtener datos corporativos pblicos (Google, DNS, visitas,

colaboradores)

Identificar potenciales usuarios o personas destinatarias del ataque
OWASP

15

Ingeniera social
Marco de proyectos

Objetivo

Anlisis

Generar
vector

Usuario/s objetivo, recursos necesarios, medio fsico / electrnico

Timing, contingencias
OWASP

16

Ingeniera social
Marco de proyectos

Objetivo

Anlisis

Generar
vector

Ejecutar
vector

Ejecucin del vector de ataque y comprobacin de resultados

OWASP

17

Ingeniera social

Caso 1 Asaltando un banco
 Objetivo: Obtener informacin de infraestructura TIC privada
en bsqueda de vulnerabilidades para explotar de forma externa

OWASP

18

Ingeniera social

Caso 1 Asaltando un banco
 Objetivo: Obtener informacin de infraestructura TIC privada
en bsqueda de vulnerabilidades para explotar de forma externa
 Anlisis

Deslocalizacin de oficinas -> Usuarios alejados geogrficamente no se
suelen conocer.

Confianza y amabilidad de los directores de oficina ante clientes potenciales.

Usuarios de sistema de informacin de nivel bajo y poco concienciados en
seguridad de la informacin.

Problema idiomtico.

OWASP

19

Ingeniera social

Caso 1 Asaltando un banco
 Vector de ataque.

Paso 1

Visita a una oficina del banco

Convencer al director de la oficina de la potencialidad de
una operacin financiera para generar confianza

Paso 2

Envo de documentacin para la operacin financiera por

medio electrnico
Solicitud de acuse de recibo

Paso 3

Recopilar y contrastar informacin del acuse de recibo

OWASP

20

Ingeniera social

Caso 1 Asaltando un banco
 Ejecucin del vector.

Obtuvimos nombre y versin exacta del gestor de correo electrnico.

Obtuvimos datos de los enrutadores, DMZ y de la gestin del trfico de red.

Se mont posteriormente un ataque exitoso contra el gestor de correo.

OWASP

21

Ingeniera social

Caso 2 Amigos de los animales
 Objetivo: Suplantar la identidad de socios de un zoolgico y
acceder a la intranet.

OWASP

22

Ingeniera social

Caso 2 Amigos de los animales
 Objetivo: Suplantar la identidad de socios de un zoolgico y
acceder a la intranet.
 Anlisis
Desconocimiento de los nombres de los socios.
Socios tienen acceso a una Intranet corporativa.
Oficina tcnica del Zoo centralizada.
Confianza y amabilidad del personal del Call Center.
Zoo promueve diversos eventos con gran inters y difusin. N.B.:
generacin de confianza mediante halagos?

Problema idiomtico -> ataque medio electrnico, no fsico.

Grupos de Facebook de amigos del Zoo.

Poltica de calidad del Zoo orientada hacia el servicio a los clientes y socios.

OWASP

23

Ingeniera social

Caso 2 Amigos de los animales
 Vector de ataque.

Paso 1

Paso 2

Paso 3

Buscar en los grupos de Facebook de amigos del Zoo nombres de personas que
geogrficamente se encuentren cerca de la localidad del zoo.

Seleccionar nombres de amigos de Facebook

Crear direcciones de gmail con esos nombres

Mensaje por correo electrnico notificando el cambio de direcciones de correo de

contacto y felicitando al zoo por el ltimo evento celebrado.
Mensaje a los tres das solicitando cambio de contrasea del acceso del usuario a
la intranet

OWASP

24

Ingeniera social

Caso 2 Amigos de los animales
 Ejecucin del vector.

Seleccionamos dos mujeres casadas con hijos del grupo de Facebook que
vivan cerca de las instalaciones del Zoo.

Resultaron ser socias y desde el Contact Center nos cambiaron las cuentas
de contacto mediante el envo de correos electrnicos desde dichas cuentas
falsas.

Se felicit tambin al Zoo por el paseo nocturno y los fuegos artificiales.

A los das se envo un correo solicitando el cambio de contrasea para el
acceso a la Intranet.

OWASP

25

Ingeniera social

Caso 3 Fans de los expertos en seguridad
 Objetivo: Suplantar la identidad de expertos en seguridad
informtica y directivos de grandes empresas.

OWASP

26

Ingeniera social

Caso 3 Fans de los expertos en seguridad
 Objetivo: Suplantar la identidad de expertos en seguridad
informtica y directivos de grandes empresas.
 Anlisis

Los expertos en seguridad informtica ligan bastante, eso de la seguridad
engancha a las mujeres.

Los expertos en seguridad y directivos suelen dar tarjetas de visita a los
asistentes a congresos.

Los jvenes universitarios que asisten a los congresos de seguridad,
especialmente hombres, les gusta ligar, especialmente si son solteros.

En Dinamarca y pases limtrofes, casi con toda probabilidad, no conozcan a
los expertos y directivos de Espaa.

OWASP

27

Ingeniera social

Caso 3 Fans de los expertos en seguridad
 Vector de ataque.

Paso 1

Paso 2

Paso 3

Buscar en un congreso directivos y expertos en

seguridad que den tarjetas de visita.

Modificar las tarjetas de visita con Photoshop para

cambiar los nombres de los titulares de las tarjetas.
Viajar a Dinamarca en un Erasmus y ligar con dos
modelos danesas dndole las tarjetas de visita como
directivos de Google o Microsoft.

OWASP

28

Ingeniera social

Caso 3 Fans de los expertos en seguridad
 Ejecucin del vector.

En la OWAND11 Granada un joven universitario pide una tarjeta de visita al
ponente.

El joven universitario cambia el nombre de la tarjeta de visita mediante
escaneo y Photoshop, y aparece como Fulano Perez, CISA, CISM, CRISC,
director gerente de un grupo de empresas especializado en seguridad.

El joven universitario viaja a Dinamarca en Erasmus y en un bar conoce una
modelo danesa rubia de 1,90m, y se arriesga con la estrategia.

El joven universitario chapurrea en ingls un par de frases de seguridad
informtica, le comenta que est de visita, y convence a la modelo para
echar una noche de juerga.

La modelo a la semana llama a la oficina de la empresa, mi mujer se entera
que he ligado con una modelo danesa y me pega una ostia.
OWASP

29

Ingeniera social
Conclusiones

Es una herramienta muy efectiva que golpea la seguridad de las
organizaciones por su eslabn ms dbil, las personas.

La ingeniera social es un excelente complemento de los pentesting.

La mejor frmula para minimizar los riesgos de ataques de
ingeniera social son la elaboracin e implantacin de planes de
concienciacin.

Es necesario seguir un marco de trabajo para conseguir objetivos
concretos y realistas.
OWASP

30

Ingeniera social

MUCHAS GRACIAS POR SU

ATENCIN!!

OWASP

31