Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ingenieria Social
Ingenieria Social
Adrin Ramrez
adrian@dolbuck.com
Lecturas recomendadas
Introduccin
"Usted puede tener la mejor tecnologa, firewalls,
sistemas de deteccin de ataques, dispositivos
biomtricos, etc. Lo nico que se necesita es un llamado
a un empleado desprevenido e ingresan sin ms. Tienen
todo en sus manos." Kevin Mitnick.
Qu es la ingeniera social?
Bajo el nombre de Ingeniera Social (literalmente traducido del ingls Social
Engineering)
ACCIONES O CONDUCTAS tiles para conseguir informacin de las personas
cercanas a un sistema.
Es una disciplina que consiste, ni ms ni menos en sacar informacin a otra persona sin que
esta s de cuenta de que te esta revelando "informacin sensible".
Con este curioso trmino se engloba una serie de tretas, artimaas y engaos elaborados
cuyo fin es confundir al usuario o, peor todava, lograr que comprometa seriamente la
seguridad de sus sistemas.
Aprovecha sentimientos tan variados como curiosidad, la avaricia, el sexo, la compasin
o el miedo, de esta forma se consigue el objetivo, una accin por parte del usuario.
Quines la usan?
Hackers
Espas
Ladrones o timadores
Detectives privados
El factor humano
En el congreso "Access All Areas" de 1997, un
conferenciante aseguraba:
Internet
Crculos
Amistades
Familiares
Basura??
tica ??
* Recomendado leer El gran Juego
Justificaciones:
El espa y el detective>>> es su trabajo.
El gobierno >>>> por la seguridad de la
nacin.
El timador >>>> su medio de vida (la pasta)
El hacker >>>> curiosidad?!!!
Ordenando la informacin:
Al igual que al preparar un ataque a un sistema informtico.
Versin, bug, etc.
Vamos elaborando una lista, sobre nuestro objetivo.
Gustos, vicios, marca de cigarrillos, matrcula del coche, modelo, mvil,
DNI, nombre de los hijos, de la mujer, de la novia, figuras principales
de en su vida, se elabora un perfil psicolgico de la persona.
Fuente: Internet, basura, amigos, familiares, buscar siempre las personas
mayores, abuelas, o nios, hijos, hermanos, etc.
Preparando la estrategia
Todo objetivo se vale de una estrategia para
lograrlo. Ese es el fin mismo de la
estrategia.
Antes debemos:
SABER, QUERER Y PODER hacerlo.
(http://www.guardiacivil.org/)
dirigindola hacia un site gay.
Como ha comentado la benemrita
en varias ocasiones, no se debi a
ningn fallo de su sistema, sino a
que el atacante, envi un correo
como si se tratara del administrador
del dominio guardiacivil.org a
Network Solutions y estos
cambiaron los DNS del registro del
dominio por los que quiso el
atacante, redirigiendo as la Web de
la Guardia Civil a la Web gay.
Pistas:
Si nos hacemos pasar por tcnicos, hablar en
lenguaje tcnico, la gente suele no entender nada y
decirnos siempre que si.
Encuestas inocentes a los familiares de las victimas,
edades, nombres, etc. (Hacer unas cuantas para
tener soltura).
Oferta increble enviaremos la ampliacin por mail
(ah introducimos el troyano). Es un mail
esperado, lo abrir seguro.
HOTMAIL HACKEABLE?
Tecnolgicamente es difcil
tenemos que hackear los
servidores de Micorsoft,
para obtener qu, una
cuenta?. Es caro, lleva
tiempo, y en mi caso es
imposible. Soy realista
Conclusiones:
La ingeniera social NUNCA PASAR DE MODA.
Es un arte, el arte que deja la tica de lado
El ingrediente necesario detrs de todo gran ataque.
Tu red tiene firewall?. .
Tiene antivirus???
Tus administradores estan entrenados para hablar
con hackers y detectar sus intentos de ingeniera
social?
Y Mara la de la limpieza?
Contramedidas
La mejor manera de esta protegido pasa por el conocimiento.
Educar a las personas, en concreto a las personas que trabajan
cerca de las terminales, desde los operarios, hasta personal de
limpieza.
Analizar con antivirus todo los correos que reciban
No informar telefnicamente de las caractersticas tcnicas de la
red, ni nombre de personal a cargo, etc.
Control de acceso fsico al sitio donde se encuentra los
ordenadores.
Polticas de seguridad a nivel de Sistema Operativo.
Lecturas recomendadas