Documentos de Académico
Documentos de Profesional
Documentos de Cultura
OWAND11 Granada - Ingeniería Social
OWAND11 Granada - Ingeniería Social
Ingeniera social
OWASP
Education Project
Copyright 2007 The OWASP Foundation
Permission is granted to copy, distribute and/or modify this document
under the terms of the OWASP License.
Ingeniera social
Acerca ma
CISA, CISM, CRISC, ISMS Lead Auditor
Socio fundador Grupo iSoluciones, Jerez de la Frontera (Cdiz)
OWASP Andalucia Chapter Leader
Security Researcher en Malware Intelligence
BankingITSec, Hackin9, ENISE,
OWASP
Ingeniera social
Perfiles de usuario
Usuarios confiados
Usuarios desconfiados que no razonan
Usuarios desconfiados que razonan
OWASP
Ingeniera social
Perfiles de usuario
Aparece una ventana al navegar que dice:
Aceptar
OWASP
Ingeniera social
Perfiles de usuario
Presione el botn Aceptar si quiere ver un mono de dos
cabezas bebiendo una botella de Grog (Monkey Island).
Aceptar
OWASP
Ingeniera social
Perfiles de usuario
Presione el botn Aceptar si quiere ver un mono de dos
cabezas bebiendo una botella de Grog (Monkey Island).
Aceptar
OWASP
Ingeniera social
Perfiles de usuario
Presione el botn Aceptar si quiere ver un mono de dos
cabezas bebiendo una botella de Grog (Monkey Island).
Aceptar
Ingeniera social
Que s?
Aprovechar las habilidades sociales de los atacantes para obtener
privilegios o informacin ante una persona u organizacin.
El phishing es una forma de ingeniera social, engaar a los usuarios
para acceder a una pgina de banca electrnica fraudulenta.
OWASP
Ingeniera social
Perfil ideal
Profesional de las tecnologas de la informacin con conocimientos y
experiencia en gestin TI.
Conocimientos y experiencia en gestin empresarial.
Habilidades sociales (elocuencia, empata,) a un nivel alto.
Experto en seguridad de la informacin.
Imaginacin.
OWASP
Ingeniera social
Historia
La ingeniera social existe desde tiempo inmemoriales, pero a nivel
TIC su mximo precursor fue Kevin Mitnick Condor.
Mitnick afirmaba que la ingeniera social funcionaba por cuatro
preceptos:
OWASP
10
Ingeniera social
Por qu funciona?
Falta de concienciacin en seguridad por parte de los trabajadores
de las empresas, a todos los niveles.
La confianza mueve el mundo. Determinadas caractersticas y
situaciones generan mayor confianza hacia la vctima (halagos,
empata,)
Deslocalizacin de ubicaciones facilita la creacin de falsos perfiles
internos, no necesariamente tienen que ser grandes empresas.
OWASP
11
Ingeniera social
Medios
Fsico. Suplantacin de identidad,
Electrnico. Phishing, e-mails falsos,
OWASP
12
Ingeniera social
Marco de proyectos
Objetivo
Anlisis
Generar
vector
Ejecutar
vector
OWASP
13
Ingeniera social
Marco de proyectos
Objetivo
14
Ingeniera social
Marco de proyectos
Objetivo
Anlisis
15
Ingeniera social
Marco de proyectos
Objetivo
Anlisis
Generar
vector
16
Ingeniera social
Marco de proyectos
Objetivo
Anlisis
Generar
vector
Ejecutar
vector
17
Ingeniera social
Caso 1 Asaltando un banco
Objetivo: Obtener informacin de infraestructura TIC privada
en bsqueda de vulnerabilidades para explotar de forma externa
OWASP
18
Ingeniera social
Caso 1 Asaltando un banco
Objetivo: Obtener informacin de infraestructura TIC privada
en bsqueda de vulnerabilidades para explotar de forma externa
Anlisis
Deslocalizacin de oficinas -> Usuarios alejados geogrficamente no se
suelen conocer.
Confianza y amabilidad de los directores de oficina ante clientes potenciales.
Usuarios de sistema de informacin de nivel bajo y poco concienciados en
seguridad de la informacin.
Problema idiomtico.
OWASP
19
Ingeniera social
Caso 1 Asaltando un banco
Vector de ataque.
Paso 1
Paso 2
Paso 3
OWASP
20
Ingeniera social
Caso 1 Asaltando un banco
Ejecucin del vector.
Obtuvimos nombre y versin exacta del gestor de correo electrnico.
Obtuvimos datos de los enrutadores, DMZ y de la gestin del trfico de red.
Se mont posteriormente un ataque exitoso contra el gestor de correo.
OWASP
21
Ingeniera social
Caso 2 Amigos de los animales
Objetivo: Suplantar la identidad de socios de un zoolgico y
acceder a la intranet.
OWASP
22
Ingeniera social
Caso 2 Amigos de los animales
Objetivo: Suplantar la identidad de socios de un zoolgico y
acceder a la intranet.
Anlisis
Desconocimiento de los nombres de los socios.
Socios tienen acceso a una Intranet corporativa.
Oficina tcnica del Zoo centralizada.
Confianza y amabilidad del personal del Call Center.
Zoo promueve diversos eventos con gran inters y difusin. N.B.:
generacin de confianza mediante halagos?
Problema idiomtico -> ataque medio electrnico, no fsico.
Grupos de Facebook de amigos del Zoo.
Poltica de calidad del Zoo orientada hacia el servicio a los clientes y socios.
OWASP
23
Ingeniera social
Caso 2 Amigos de los animales
Vector de ataque.
Paso 1
Paso 2
Paso 3
Buscar en los grupos de Facebook de amigos del Zoo nombres de personas que
geogrficamente se encuentren cerca de la localidad del zoo.
OWASP
24
Ingeniera social
Caso 2 Amigos de los animales
Ejecucin del vector.
Seleccionamos dos mujeres casadas con hijos del grupo de Facebook que
vivan cerca de las instalaciones del Zoo.
Resultaron ser socias y desde el Contact Center nos cambiaron las cuentas
de contacto mediante el envo de correos electrnicos desde dichas cuentas
falsas.
Se felicit tambin al Zoo por el paseo nocturno y los fuegos artificiales.
A los das se envo un correo solicitando el cambio de contrasea para el
acceso a la Intranet.
OWASP
25
Ingeniera social
Caso 3 Fans de los expertos en seguridad
Objetivo: Suplantar la identidad de expertos en seguridad
informtica y directivos de grandes empresas.
OWASP
26
Ingeniera social
Caso 3 Fans de los expertos en seguridad
Objetivo: Suplantar la identidad de expertos en seguridad
informtica y directivos de grandes empresas.
Anlisis
Los expertos en seguridad informtica ligan bastante, eso de la seguridad
engancha a las mujeres.
Los expertos en seguridad y directivos suelen dar tarjetas de visita a los
asistentes a congresos.
Los jvenes universitarios que asisten a los congresos de seguridad,
especialmente hombres, les gusta ligar, especialmente si son solteros.
En Dinamarca y pases limtrofes, casi con toda probabilidad, no conozcan a
los expertos y directivos de Espaa.
OWASP
27
Ingeniera social
Caso 3 Fans de los expertos en seguridad
Vector de ataque.
Paso 1
Paso 2
Paso 3
OWASP
28
Ingeniera social
Caso 3 Fans de los expertos en seguridad
Ejecucin del vector.
En la OWAND11 Granada un joven universitario pide una tarjeta de visita al
ponente.
El joven universitario cambia el nombre de la tarjeta de visita mediante
escaneo y Photoshop, y aparece como Fulano Perez, CISA, CISM, CRISC,
director gerente de un grupo de empresas especializado en seguridad.
El joven universitario viaja a Dinamarca en Erasmus y en un bar conoce una
modelo danesa rubia de 1,90m, y se arriesga con la estrategia.
El joven universitario chapurrea en ingls un par de frases de seguridad
informtica, le comenta que est de visita, y convence a la modelo para
echar una noche de juerga.
La modelo a la semana llama a la oficina de la empresa, mi mujer se entera
que he ligado con una modelo danesa y me pega una ostia.
OWASP
29
Ingeniera social
Conclusiones
Es una herramienta muy efectiva que golpea la seguridad de las
organizaciones por su eslabn ms dbil, las personas.
La ingeniera social es un excelente complemento de los pentesting.
La mejor frmula para minimizar los riesgos de ataques de
ingeniera social son la elaboracin e implantacin de planes de
concienciacin.
Es necesario seguir un marco de trabajo para conseguir objetivos
concretos y realistas.
OWASP
30
Ingeniera social
OWASP
31