OWAND’11 Granada

Ingeniería social

David Montero Abujas

OWASP Andalucia Chapter Leader
Grupo iSoluciones
david.montero@owasp.org
OWASP Twiitter:@raistlinthemage
Education Project

Copyright 2007 © The OWASP Foundation

Permission is granted to copy, distribute and/or modify this document
under the terms of the OWASP License.

The OWASP Foundation

http://www.owasp.org
Ingeniería social
Acerca mía

CISA, CISM, CRISC, ISMS Lead Auditor

Socio fundador Grupo iSoluciones, Jerez de la Frontera (Cádiz)

OWASP Andalucia Chapter Leader

Security Researcher en Malware Intelligence

BankingITSec, Hackin9, ENISE,…

OWASP 2
Ingeniería social
Perfiles de usuario

Usuarios confiados

Usuarios desconfiados que no razonan

Usuarios desconfiados que razonan

OWASP 3
Ingeniería social
Perfiles de usuario

Aparece una ventana al navegar que dice:

Presione el botón Aceptar si quiere ver un mono de dos

cabezas bebiendo una botella de Grog (Monkey Island©).

Aceptar

OWASP 4
Ingeniería social
Perfiles de usuario

Presione el botón Aceptar si quiere ver un mono de dos

cabezas bebiendo una botella de Grog (Monkey Island©).

Aceptar

Usuarios confiados. !Flipa! Seguro que el mono es trending topic

mañana…

OWASP 5
Ingeniería social
Perfiles de usuario

Presione el botón Aceptar si quiere ver un mono de dos

cabezas bebiendo una botella de Grog (Monkey Island©).

Aceptar

Usuarios desconfiados. Seguro que es un timo y me quieren

vender un seguro…

OWASP 6
Ingeniería social
Perfiles de usuario

Presione el botón Aceptar si quiere ver un mono de dos

cabezas bebiendo una botella de Grog (Monkey Island©).

Aceptar

Usuarios desconfiados que razonan. Las ventanas emergentes

en Internet suelen ser publicitarias, es francamente improbable que
exista un mono de dos cabezas, y menos bebiendo bebidas
alcohólicas. Es publicidad, timo o malware, mejor no pulso Aceptar.
OWASP 7
Ingeniería social
¿Que és?

Aprovechar las habilidades sociales de los atacantes para obtener

privilegios o información ante una persona u organización.

El phishing es una forma de ingeniería social, engañar a los usuarios

para acceder a una página de banca electrónica fraudulenta.

OWASP 8
Ingeniería social
Perfil ideal

Profesional de las tecnologías de la información con conocimientos y

experiencia en gestión TI.

Conocimientos y experiencia en gestión empresarial.

Habilidades sociales (elocuencia, empatía,…) a un nivel alto.

Experto en seguridad de la información.

Imaginación.

OWASP 9
Ingeniería social
Historia

La ingeniería social existe desde tiempo inmemoriales, pero a nivel

TIC su máximo precursor fue Kevin Mitnick “Condor”.

Mitnick afirmaba que la ingeniería social funcionaba por cuatro

preceptos:

 Todos queremos ayudar.

 El primer movimiento es siempre de confianza hacia el otro.
 No nos gusta decir No.
 A todos nos gusta que nos alaben.

OWASP 10
Ingeniería social
¿Por qué funciona?

Falta de concienciación en seguridad por parte de los trabajadores

de las empresas, a todos los niveles.

La confianza mueve el mundo. Determinadas características y

situaciones generan mayor confianza hacia la víctima (halagos,
empatía,…)

Deslocalización de ubicaciones facilita la creación de falsos perfiles

internos, no necesariamente tienen que ser grandes empresas.

OWASP 11
Ingeniería social
Medios

Físico. Suplantación de identidad,…

Electrónico. Phishing, e-mails falsos,…

OWASP 12
Ingeniería social
Marco de proyectos

Generar Ejecutar
Objetivo Análisis
vector vector

OWASP 13
Ingeniería social
Marco de proyectos

Objetivo

¿Qué deseamos conseguir con el ataque?

OWASP 14
Ingeniería social
Marco de proyectos

Objetivo Análisis

Obtener datos corporativos públicos (Google, DNS, visitas,

colaboradores…)

Identificar potenciales usuarios o personas destinatarias del ataque
OWASP 15
Ingeniería social
Marco de proyectos

Generar
Objetivo Análisis
vector

Usuario/s objetivo, recursos necesarios, medio físico / electrónico

Timing, contingencias
OWASP 16
Ingeniería social
Marco de proyectos

Generar Ejecutar
Objetivo Análisis
vector vector

Ejecución del vector de ataque y comprobación de resultados

OWASP 17
Ingeniería social

Caso 1 – Asaltando un banco

 Objetivo: Obtener información de infraestructura TIC privada

en búsqueda de vulnerabilidades para explotar de forma externa

OWASP 18
Ingeniería social

Caso 1 – Asaltando un banco

 Objetivo: Obtener información de infraestructura TIC privada

en búsqueda de vulnerabilidades para explotar de forma externa

 Análisis

Deslocalización de oficinas -> Usuarios alejados geográficamente no se
suelen conocer.

Confianza y amabilidad de los directores de oficina ante clientes potenciales.

Usuarios de sistema de información de nivel bajo y poco concienciados en
seguridad de la información.

Problema idiomático.

OWASP 19
Ingeniería social

Caso 1 – Asaltando un banco

 Vector de ataque.
• Visita a una oficina del banco
• Convencer al director de la oficina de la potencialidad de
Paso 1 una operación financiera para generar confianza

• Envío de documentación para la operación financiera por

medio electrónico
Paso 2 • Solicitud de acuse de recibo

• Recopilar y contrastar información del acuse de recibo

Paso 3

OWASP 20
Ingeniería social

Caso 1 – Asaltando un banco

 Ejecución del vector.

Obtuvimos nombre y versión exacta del gestor de correo electrónico.

Obtuvimos datos de los enrutadores, DMZ y de la gestión del tráfico de red.

Se montó posteriormente un ataque exitoso contra el gestor de correo.

OWASP 21
Ingeniería social

Caso 2 – Amigos de los animales

 Objetivo: Suplantar la identidad de socios de un zoológico y

acceder a la intranet.

OWASP 22
Ingeniería social

Caso 2 – Amigos de los animales

 Objetivo: Suplantar la identidad de socios de un zoológico y

acceder a la intranet.

 Análisis

Desconocimiento de los nombres de los socios.

Socios tienen acceso a una Intranet corporativa.

Oficina técnica del Zoo centralizada.

Confianza y amabilidad del personal del Call Center.

Zoo promueve diversos eventos con gran interés y difusión. N.B.:
¿generación de confianza mediante halagos?

Problema idiomático -> ataque medio electrónico, no físico.

Grupos de Facebook de amigos del Zoo.

Política de calidad del Zoo orientada hacia el servicio a los clientes y socios.
OWASP 23
Ingeniería social

Caso 2 – Amigos de los animales

 Vector de ataque.

• Buscar en los grupos de Facebook de amigos del Zoo nombres de personas que
geográficamente se encuentren cerca de la localidad del zoo.
Paso 1

• Seleccionar nombres de amigos de Facebook

• Crear direcciones de gmail con esos nombres
Paso 2
• Mensaje por correo electrónico notificando el cambio de direcciones de correo de
contacto y felicitando al zoo por el último evento celebrado.
• Mensaje a los tres días solicitando cambio de contraseña del acceso del usuario a
Paso 3 la intranet

OWASP 24
Ingeniería social

Caso 2 – Amigos de los animales

 Ejecución del vector.

Seleccionamos dos mujeres casadas con hijos del grupo de Facebook que
vivían cerca de las instalaciones del Zoo.

Resultaron ser socias y desde el Contact Center nos cambiaron las cuentas
de contacto mediante el envío de correos electrónicos desde dichas cuentas
falsas.

Se felicitó también al Zoo por el paseo nocturno y los fuegos artificiales.

A los días se envío un correo solicitando el cambio de contraseña para el
acceso a la Intranet.

OWASP 25
Ingeniería social

Caso 3 – Fans de los expertos en seguridad

 Objetivo: Suplantar la identidad de expertos en seguridad

informática y directivos de grandes empresas.

OWASP 26
Ingeniería social

Caso 3 – Fans de los expertos en seguridad

 Objetivo: Suplantar la identidad de expertos en seguridad

informática y directivos de grandes empresas.

 Análisis

Los expertos en seguridad informática ligan bastante, eso de la seguridad
engancha a las mujeres.

Los expertos en seguridad y directivos suelen dar tarjetas de visita a los
asistentes a congresos.

Los jóvenes universitarios que asisten a los congresos de seguridad,
especialmente hombres, les gusta ligar, especialmente si son solteros.

En Dinamarca y países limítrofes, casi con toda probabilidad, no conozcan a
los expertos y directivos de España.

OWASP 27
Ingeniería social

Caso 3 – Fans de los expertos en seguridad

 Vector de ataque.

• Buscar en un congreso directivos y expertos en

seguridad que den tarjetas de visita.
Paso 1

• Modificar las tarjetas de visita con Photoshop para

cambiar los nombres de los titulares de las tarjetas.
Paso 2

• Viajar a Dinamarca en un Erasmus y ligar con dos

modelos danesas dándole las tarjetas de visita como
Paso 3 directivos de Google o Microsoft.

OWASP 28
Ingeniería social

Caso 3 – Fans de los expertos en seguridad

 Ejecución del vector.

En la OWAND’11 Granada un joven universitario pide una tarjeta de visita al

ponente.

El joven universitario cambia el nombre de la tarjeta de visita mediante
escaneo y Photoshop, y aparece como Fulano Perez, CISA, CISM, CRISC,
director gerente de un grupo de empresas especializado en seguridad.

El joven universitario viaja a Dinamarca en Erasmus y en un bar conoce una
modelo danesa rubia de 1,90m, y se arriesga con la estrategia.

El joven universitario chapurrea en inglés un par de frases de seguridad
informática, le comenta que está de visita, y convence a la modelo para
echar una noche de juerga.

La modelo a la semana llama a la oficina de la empresa, mi mujer se entera
que he ligado con una modelo danesa y me pega una ostia.

OWASP 29
Ingeniería social
Conclusiones

Es una herramienta muy efectiva que golpea la seguridad de las

organizaciones por su eslabón más débil, las personas.

La ingeniería social es un excelente complemento de los pentesting.

La mejor fórmula para minimizar los riesgos de ataques de

ingeniería social son la elaboración e implantación de planes de
concienciación.

Es necesario seguir un marco de trabajo para conseguir objetivos

concretos y realistas.
OWASP 30
Ingeniería social

¡¡MUCHAS GRACIAS POR SU

ATENCIÓN!!

OWASP 31