Ingenieria

Social
 Objetivo

Asegurar que el participante tenga

los conocimientos necesarios para
defenderse ante ataques de
ingenieria social.
Usted puede tener la
mejor tecnologa,
firewalls, sistemas de
deteccin de ataques,
dispositivos biomtricos,
etc. Lo nico que se
necesita es un llamado
a un empleado
desprevenido e ingresan
sin ms. Tienen todo en
sus manos."

Kevin Mitnick.
Ingenieria social
 Ingenieria social

La ingenieria social es el metodo mas efectivo

para sortear los obstaculos de seguridad.

Las personas son el eslabon ms debil en la

cadena de la seguridad

Un ingeniero social tratar de explotar esta

vulnerabilidad antes de gastar tiempo y esfuerzo
en otros metodos.
La ingenieria social se aprovecha de:

El deseo de ayudar
La tendencia a confiar en la gente
El miedo a meterse en problemas
 Quines
la utilizan?
Hackers
Espias
Criminales
Competencia
Detectives
privados
 El factor humano

En el congreso "Access All Areas" de 1997, un

conferenciante aseguraba:
"Aunque se dice que el nico computador seguro es el
que est desenchufado, los amantes de la ingeniera
social gustan responder que siempre se puede
convencer a alguien para que lo enchufe.
No hay un slo computador en el mundo que no
dependa de un ser humano, es una vulnerabilidad
universal e independiente de la plataforma tecnolgica".
 Cmo nos atacan?
Todo objetivo se vale de una estrategia para
lograrlo.
 Cmo nos atacan?

Preparar un ataque a un sistema informtico:

versin, bug, etc.

Elaborar una lista sobre el objetivo.

Gustos, vicios, marca de cigarrillos, matrcula del

coche, modelo, mvil, DNI, nombre de los hijos, de la
mujer, de la novia, figuras principales en su vida, se
elabora un perfil psicolgico de la persona.

Fuente: Internet, basura, amigos, familiares,

personas mayores, abuelas, o nios, hijos,
hermanos, etc.
Poniendo la trampa
Conociendo a la vctima, se podr predecir
como actuar frente a determinados
estmulos.
Conociendo sus gustos, sus deseos, es
fcil llevarlo por donde se quiera.
 Tcnicas
Pretexting
Phishing
Spear Phishing
IVR/Phone Phishing (Vishing)
Caballos de troya
Shoulder Surfing
Dumpster Diving
Road Apples
Quid pro quo Something for something
Otros tipos
 Pretexting

Usa un escenario inventado

(normalmente por telefono) para
obtener infomacin

El pretexto es el escenario creado

con alguna informacin vlida para
conseguir ms informacion
 Phishing
Usualmente llega por
email de un negocio
legtimo uno que
usamos
Incluye un sentido de
urgencia
Bancos y sitios de
compras por tarjeta
de crdito son los
blancos mas
frecuentes.
 Historia

El trmino phishing viene de la palabra en ingls "fishing"

(pesca) haciendo alusin al acto de pescar usuarios
mediante seuelos cada vez ms sofisticados y de este
modo obtener informacin financiera y contraseas.

Tambin se dice que el trmino "phishing" es la contraccin

de "password harvesting fishing" (cosecha y pesca de
contraseas).

Data en 1996, fue adoptado por crackers que intentaban

"pescar" cuentas de miembros de AOL.
 Ejemplo
Scotiabank
 Ejemplo
Interbank
Ejemplo
BCP
 Ejemplo

https://www.youtube.com/watch?v=lLpFIRARKqo
 Spear Phising

Estudios recientes muestran que los phishers

son capaces de establecer con qu banco una
posible vctima tiene relacin, y de ese modo
enviar un e-mail, falseado apropiadamente, a la
posible vctima.
 Spear Phishing
emails dirigidos exclusivamente a un blanco

Aparecen como si vinieran de una persona

legitima que se conoce
Un Gerente
Una persona que trabaja
La Mesa de Ayuda
 IVR/Phone Phishing (Vishing)
Dirigo a llamar a un numero telefnico
El IVR parece legtimo

Los Sistemas IVR normalmente solicitan el ingreso de

informacin personal
PIN
Password
SSN

Incluso podria ser transferido a un representante

 Implicancias del vishing
La gente confia mas en el sistema telefnico que
en el Internet.
La gente ya espera interactuar con operadores no-
humanos
Mas gente puede ser atacada por telefono que por
computadora.
La gente de edad son facilmente engaables

Tomado de : Vishing as an Emerging Attack Vector. Casey C. Rackley

 Ejemplo ataque Vishing

Tomado de : Vishing as an Emerging Attack Vector. Casey C. Rackley

Caballo de Troya
Usa la curiosidad o la
avaricia para entregar
malware
Normalmente llega gratis
Atachado a un email
Screen Saver
Anti-Virus
Ultimos chismes
Una vez que carga el
Troyano
 Shoulder Surfing

Muy usada en aeropuertos, coffee shops, areas

Wi-Fi en hoteles, lugares publicos.
Consiste en la observacin para obtener logins y
passwords, informacin confidencial.
Cajeros automaticos de Bancos, bloqueos de
seguridad, teclados de alarma
Incluye piggy backing alguien inresa a un area
segura basado en una auenticacin valida.
 Dumpster Diving

Obtener informacin de la basura. No es raro!

Que se puede obtener?
Informacin Confidencial
informacin personal
Datos de tarjetas de creditos.
Informacin de bancos
Lista de telefonos
Road Apples
Medios fiscos
( CDs, USBs)
Etiquetados para
llamar la
curiosidad
Una vez
colocados carga
Troyanos o virus
para rastrear
keystrokes
Usado para
obtener IDs y
passwords
 Quid pro quo
Algo para algo
Concursos de chapitas
Promociones
Encuestas
Regalos por intercambio de Informacin
Otros tipos de Ingeniera Social

Spoofing/hacking IDs de emails populares como

Yahoo, Gmail, Hotmail
Conexiones Wi-Fi gratuitas
Punto-a-Punto
Paginas Web y direcciones email
Estafas en el cajero automtico
 Conclusiones

La ingeniera social NUNCA PASAR

DE MODA.

Es un arte, el arte que deja la tica de

lado.

El ingrediente necesario detrs de todo

gran ataque.
 Contramedidas
La mejor manera de estar protegido pasa por el
conocimiento.

Concientizar a los usuarios

Pruebas peridicas
Programa de concientizacin a usuarios (Security
Awareness Program)
SP 800-50
 Programa de Concientizacin
Mensajes directo a los Colaboradores
Programa de concientizacin