OWAND11 Granada

Ingeniera social

David Montero Abujas

OWASP Andalucia Chapter Leader
Grupo iSoluciones
david.montero@owasp.org
OWASP Twiitter:@raistlinthemage
Education Project

Copyright 2007 The OWASP Foundation

Permission is granted to copy, distribute and/or modify this document
under the terms of the OWASP License.

The OWASP Foundation

http://www.owasp.org
Ingeniera social
Acerca ma

CISA, CISM, CRISC, ISMS Lead Auditor

Socio fundador Grupo iSoluciones, Jerez de la Frontera (Cdiz)

OWASP Andalucia Chapter Leader

Security Researcher en Malware Intelligence

BankingITSec, Hackin9, ENISE,

OWASP 2
Ingeniera social
Perfiles de usuario

Usuarios confiados

Usuarios desconfiados que no razonan

Usuarios desconfiados que razonan

OWASP 3
Ingeniera social
Perfiles de usuario

Aparece una ventana al navegar que dice:

Presione el botn Aceptar si quiere ver un mono de dos

cabezas bebiendo una botella de Grog (Monkey Island).

Aceptar

OWASP 4
Ingeniera social
Perfiles de usuario

Presione el botn Aceptar si quiere ver un mono de dos

cabezas bebiendo una botella de Grog (Monkey Island).

Aceptar

Usuarios confiados. !Flipa! Seguro que el mono es trending topic

maana

OWASP 5
Ingeniera social
Perfiles de usuario

Presione el botn Aceptar si quiere ver un mono de dos

cabezas bebiendo una botella de Grog (Monkey Island).

Aceptar

Usuarios desconfiados. Seguro que es un timo y me quieren

vender un seguro

OWASP 6
Ingeniera social
Perfiles de usuario

Presione el botn Aceptar si quiere ver un mono de dos

cabezas bebiendo una botella de Grog (Monkey Island).

Aceptar

Usuarios desconfiados que razonan. Las ventanas emergentes

en Internet suelen ser publicitarias, es francamente improbable que
exista un mono de dos cabezas, y menos bebiendo bebidas
alcohlicas. Es publicidad, timo o malware, mejor no pulso Aceptar.
OWASP 7
Ingeniera social
Que s?

Aprovechar las habilidades sociales de los atacantes para obtener

privilegios o informacin ante una persona u organizacin.

El phishing es una forma de ingeniera social, engaar a los usuarios

para acceder a una pgina de banca electrnica fraudulenta.

OWASP 8
Ingeniera social
Perfil ideal

Profesional de las tecnologas de la informacin con conocimientos y

experiencia en gestin TI.

Conocimientos y experiencia en gestin empresarial.

Habilidades sociales (elocuencia, empata,) a un nivel alto.

Experto en seguridad de la informacin.

Imaginacin.

OWASP 9
Ingeniera social
Historia

La ingeniera social existe desde tiempo inmemoriales, pero a nivel

TIC su mximo precursor fue Kevin Mitnick Condor.

Mitnick afirmaba que la ingeniera social funcionaba por cuatro

preceptos:

 Todos queremos ayudar.

 El primer movimiento es siempre de confianza hacia el otro.
 No nos gusta decir No.
 A todos nos gusta que nos alaben.

OWASP 10
Ingeniera social
Por qu funciona?

Falta de concienciacin en seguridad por parte de los trabajadores

de las empresas, a todos los niveles.

La confianza mueve el mundo. Determinadas caractersticas y

situaciones generan mayor confianza hacia la vctima (halagos,
empata,)

Deslocalizacin de ubicaciones facilita la creacin de falsos perfiles

internos, no necesariamente tienen que ser grandes empresas.

OWASP 11
Ingeniera social
Medios

Fsico. Suplantacin de identidad,

Electrnico. Phishing, e-mails falsos,

OWASP 12
Ingeniera social
Marco de proyectos

Generar Ejecutar
Objetivo Anlisis
vector vector

OWASP 13
Ingeniera social
Marco de proyectos

Objetivo

Qu deseamos conseguir con el ataque?

OWASP 14
Ingeniera social
Marco de proyectos

Objetivo Anlisis

Obtener datos corporativos pblicos (Google, DNS, visitas,

colaboradores)

Identificar potenciales usuarios o personas destinatarias del ataque
OWASP 15
Ingeniera social
Marco de proyectos

Generar
Objetivo Anlisis
vector

Usuario/s objetivo, recursos necesarios, medio fsico / electrnico

Timing, contingencias
OWASP 16
Ingeniera social
Marco de proyectos

Generar Ejecutar
Objetivo Anlisis
vector vector

Ejecucin del vector de ataque y comprobacin de resultados

OWASP 17
Ingeniera social

Caso 1 Asaltando un banco

 Objetivo: Obtener informacin de infraestructura TIC privada

en bsqueda de vulnerabilidades para explotar de forma externa

OWASP 18
Ingeniera social

Caso 1 Asaltando un banco

 Objetivo: Obtener informacin de infraestructura TIC privada

en bsqueda de vulnerabilidades para explotar de forma externa

 Anlisis

Deslocalizacin de oficinas -> Usuarios alejados geogrficamente no se
suelen conocer.

Confianza y amabilidad de los directores de oficina ante clientes potenciales.

Usuarios de sistema de informacin de nivel bajo y poco concienciados en
seguridad de la informacin.

Problema idiomtico.

OWASP 19
Ingeniera social

Caso 1 Asaltando un banco

 Vector de ataque.
Visita a una oficina del banco
Convencer al director de la oficina de la potencialidad de
Paso 1 una operacin financiera para generar confianza

Envo de documentacin para la operacin financiera por

medio electrnico
Paso 2 Solicitud de acuse de recibo

Recopilar y contrastar informacin del acuse de recibo

Paso 3

OWASP 20
Ingeniera social

Caso 1 Asaltando un banco

 Ejecucin del vector.

Obtuvimos nombre y versin exacta del gestor de correo electrnico.

Obtuvimos datos de los enrutadores, DMZ y de la gestin del trfico de red.

Se mont posteriormente un ataque exitoso contra el gestor de correo.

OWASP 21
Ingeniera social

Caso 2 Amigos de los animales

 Objetivo: Suplantar la identidad de socios de un zoolgico y

acceder a la intranet.

OWASP 22
Ingeniera social

Caso 2 Amigos de los animales

 Objetivo: Suplantar la identidad de socios de un zoolgico y

acceder a la intranet.

 Anlisis

Desconocimiento de los nombres de los socios.

Socios tienen acceso a una Intranet corporativa.

Oficina tcnica del Zoo centralizada.

Confianza y amabilidad del personal del Call Center.

Zoo promueve diversos eventos con gran inters y difusin. N.B.:
generacin de confianza mediante halagos?

Problema idiomtico -> ataque medio electrnico, no fsico.

Grupos de Facebook de amigos del Zoo.

Poltica de calidad del Zoo orientada hacia el servicio a los clientes y socios.
OWASP 23
Ingeniera social

Caso 2 Amigos de los animales

 Vector de ataque.

Buscar en los grupos de Facebook de amigos del Zoo nombres de personas que
geogrficamente se encuentren cerca de la localidad del zoo.
Paso 1

Seleccionar nombres de amigos de Facebook

Crear direcciones de gmail con esos nombres
Paso 2
Mensaje por correo electrnico notificando el cambio de direcciones de correo de
contacto y felicitando al zoo por el ltimo evento celebrado.
Mensaje a los tres das solicitando cambio de contrasea del acceso del usuario a
Paso 3 la intranet

OWASP 24
Ingeniera social

Caso 2 Amigos de los animales

 Ejecucin del vector.

Seleccionamos dos mujeres casadas con hijos del grupo de Facebook que
vivan cerca de las instalaciones del Zoo.

Resultaron ser socias y desde el Contact Center nos cambiaron las cuentas
de contacto mediante el envo de correos electrnicos desde dichas cuentas
falsas.

Se felicit tambin al Zoo por el paseo nocturno y los fuegos artificiales.

A los das se envo un correo solicitando el cambio de contrasea para el
acceso a la Intranet.

OWASP 25
Ingeniera social

Caso 3 Fans de los expertos en seguridad

 Objetivo: Suplantar la identidad de expertos en seguridad

informtica y directivos de grandes empresas.

OWASP 26
Ingeniera social

Caso 3 Fans de los expertos en seguridad

 Objetivo: Suplantar la identidad de expertos en seguridad

informtica y directivos de grandes empresas.

 Anlisis

Los expertos en seguridad informtica ligan bastante, eso de la seguridad
engancha a las mujeres.

Los expertos en seguridad y directivos suelen dar tarjetas de visita a los
asistentes a congresos.

Los jvenes universitarios que asisten a los congresos de seguridad,
especialmente hombres, les gusta ligar, especialmente si son solteros.

En Dinamarca y pases limtrofes, casi con toda probabilidad, no conozcan a
los expertos y directivos de Espaa.

OWASP 27
Ingeniera social

Caso 3 Fans de los expertos en seguridad

 Vector de ataque.

Buscar en un congreso directivos y expertos en

seguridad que den tarjetas de visita.
Paso 1

Modificar las tarjetas de visita con Photoshop para

cambiar los nombres de los titulares de las tarjetas.
Paso 2

Viajar a Dinamarca en un Erasmus y ligar con dos

modelos danesas dndole las tarjetas de visita como
Paso 3 directivos de Google o Microsoft.

OWASP 28
Ingeniera social

Caso 3 Fans de los expertos en seguridad

 Ejecucin del vector.

En la OWAND11 Granada un joven universitario pide una tarjeta de visita al

ponente.

El joven universitario cambia el nombre de la tarjeta de visita mediante
escaneo y Photoshop, y aparece como Fulano Perez, CISA, CISM, CRISC,
director gerente de un grupo de empresas especializado en seguridad.

El joven universitario viaja a Dinamarca en Erasmus y en un bar conoce una
modelo danesa rubia de 1,90m, y se arriesga con la estrategia.

El joven universitario chapurrea en ingls un par de frases de seguridad
informtica, le comenta que est de visita, y convence a la modelo para
echar una noche de juerga.

La modelo a la semana llama a la oficina de la empresa, mi mujer se entera
que he ligado con una modelo danesa y me pega una ostia.

OWASP 29
Ingeniera social
Conclusiones

Es una herramienta muy efectiva que golpea la seguridad de las

organizaciones por su eslabn ms dbil, las personas.

La ingeniera social es un excelente complemento de los pentesting.

La mejor frmula para minimizar los riesgos de ataques de

ingeniera social son la elaboracin e implantacin de planes de
concienciacin.

Es necesario seguir un marco de trabajo para conseguir objetivos

concretos y realistas.
OWASP 30
Ingeniera social

MUCHAS GRACIAS POR SU

ATENCIN!!

OWASP 31