INGENIERÍA SOCIAL – OTRA FORMA DE

HACKEAR

“Seguridad, un servicio que genera valor para su empresa”

Guillermo Santos Calderónguillermo.santos@enter.co

“Se puede gastar una fortuna adquiriendo tecnología y servicios...y su infraestructura de IT puede seguir siendo vulnerable a manipulaciones tradicionales.”

-Kevin Mitnick

“No hay ningún parche o actualización para la ingenuidad o estupidez del ser humano.”

“Es el arte y la ciencia de hacer que las personas cumplan con sus deseos”

4

“Una forma de hackear basada en la influencia, decepción y/o manipulación sicológica para convencer a una persona a cumplir con una solicitud”

¿Que es Ingeniería Social?

¿Porque los Hackers usanIngeniería Social?

Los computadores, redes y aplicaciones se han endurecido -“hardened”-

El ser humano se ha convertido en el eslabón más débil en la cadena de seguridad informática

Más fácil que hackear un sistemaNo los detienen los sistemas para detección

de intrusiónMuy poco riesgo para el hacker

5

Muy poco riesgo para el hackerFunciona en todas las plataformas de S/OSin bitácoras que puedan ser auditadasEfectividad de casi el 100%Poca gente tiene conciencia de este tipo de

ataques

6

¿Porque los Hackers usanIngeniería Social?

Los Ingenieros Sociales se apoyan en la confianza, ganas de ayudar, educación, conocimiento de procesos y de información confidencial, suplantación de autoridades y tecnología

Frecuentemente realizan ataques pequeños para obtener información que les permita hackear una red o un sistema

Se apoya en seis características del ser humano que lo hacen vulnerable a ataques de Ingeniería Social

¿Cómo funciona laIngeniería Social?

Seis tendencias del Ser Humanoque lo Hacen Vulnerable

La AutoridadHacer algo porque alguien con autoridad lo

solicitaLa Empatía

Realizar algo solicitado por alguien con quien se tiene muy buena empatía

La ReciprocidadRealizar algo por obtener un producto o un

beneficio a cambio

8

El CompromisoHacer algo después de que se pactó un

compromiso para realizarloLa Validación social

Hacer algo que está de moda, que es muy popular y bien recibido por la sociedad

La EscasezRealizar algo para obtener un producto o

beneficio que está escaso o disponible por poco tiempo

9

Seis tendencias del Ser Humanoque lo Hacen Vulnerable

El Firewall Humano

La ilusión de la invulnerabilidad (“eso nunca me va a pasar a mi”)

La tendencia frecuente de confiar en terceros (“el beneficio de la duda”)

La pereza de aplicar los protocolos de seguridad

La subestimación del valor de la información

La naturaleza de ayudar a los demás No entender cuales son las consecuencias

de algunas acciones

10

Recolección de Inteligencia

Algunas técnicas importantes:Uso de InternetInformación libreBarrido de basuras

11

Pequeñas piezas de información cuando se juntan se pueden convertir en información muy valiosa

Reconocimiento de Empresas

Sitio Web de la empresaNombres de empleados/Organigrama y

estructuraBoletines de la empresaDirectorio telefónico de la empresaLenguaje interno, terminología y nombres

de los servidores

12

Reconocimiento de Empresas

Vacantes, candidatos a empleos/nuevos empleados

Empleados/terceros que utilizan recursos de la empresa en forma remota

13

Reconocimiento del Personal

Teléfonos y correos electrónicoTítulo y cargo en la empresa Responsabilidades/deberes (a que tiene

acceso) Aficiones o intereses especiales Educación y colegios

14

Reconocimiento del Personal

Páginas web personales/blogs/Biografías/Hojas de vida/publicaciones

Cédula y otras identificaciones personalesProgramación de

licencias/vacaciones/viajes

15

Algunas Técnicas

PretextoSe inventa un escenario y se usa el teléfono

para obtener acceso a informaciónEl pretexto es el escenario que sea crea con

poca información para obtener más Cédula, nombre de los padres, ciudad de

nacimiento

16

Phishing

Por email o por teléfonoAparenta ser de un negocio legal (banco,

etc.) que el atacado esté usandoSiempre dan sensación de urgenciaAmenazan la seguridad personal o de sus

recursosSolicitan reconfirmar datos personales

Otro Phishing

Correos o llamadas de alto nivelSimulan ser de alguien conocido

Jefe de un departamentoUn compañero de trabajoEl centro de ayuda o soporte

Esta es otra forma de hacer phishing

Phishing IVR/Teléfono

Usted es convencido de llamar a un teléfonoEl IVR aparece ser legítimo

El IVR solicita ingreso de datos personalesPIN, clave, cédula

Puede terminar hablando con un “agente”, parte de la trampa

Trojanos

Utiliza la curiosidad o las ganas de las personas para hacer que baje (download) un “malware”

Simula ser algo gratisAnexo a un mail

Screen Saver, antivirus, fotos, enlaces

Abrirlo baja un troyanoExpone lo que se teclea, agendas de

direcciones, datos financieros

Shoulder surfing

Se usa en aviones, aeropuertos, cafeterías, areas con Wi-Fi público y otros sitios públicos

Se observa la entrada de usuarios y claves y hasta se pueden grabar

Se descubren tarjetas de crédito y otra información confidencial

Sumergirse en Basura

Es sumergirse en la basura de alguien¿Que se busca?

Información confidencial, bancos, tarjetas de crédito, estrategias, nombres de proyectos, correspondencia

Nombres de empleados, correos electrónicos, directorios telefónicos, manuales, servidores y aplicaciones, agendas, papel empresarial, memorandos, apuntes, usuarios y palabras claves

Discos duros eliminados

Manzanas Bajitas

Se basa en medios físicosCD, DVD, floppy, USB Flash Drive

Rotuladas para llamar la atención“Aumento salarios”“Reducción Personal”“Estrategias confidenciales”

Una vez se instala en el PC, el “autorun” baja un troyano, virus o keylogger

Quid pro quo

La trampa del “algo por algo”Dos ejemplos:

Suplantación de soporte o help deskRegalos a cambio de información

Encuestas demuestran que la gente cambia información privada por datos confidenciales

Encuesta

Siete de diez (70%) trabajadores dieron la palabra clave de su computador de la oficina a cambio de un chocolate.

Esto sucedió en la Estación Waterloo en Londres.

El año anterior el resultado había sido del 90%

Tomado del Libro “El Arte de la Decepción” de Kevin Mitnick (2005)

25

Como reconocer ataques deIngeniería Social

Sentirse incómodo es un síntoma al que hay que ponerle atención

Negación para dar información de contactos o personal

Solicitudes extrañas o inusualesDemasiadas muestras de hacerse pasar

como una persona confiable o para ganar amistad o confianza

26

Uso de posiciones autoritariasGeneralmente estas carácterísticas no son

fáciles de reconocer. Lo clave es entrenar a la gente para seguir protocolos de seguridad en lugar de convertirlos en “detectores de mentiras”

27

Como reconocer ataques deIngeniería Social

Barreras anti-Ingeniería SocialMUY IMPORTANTE el apoyo de la alta

directiva de la empresaDemostrar vulnerabilidades personales

(Juegos de roles orientados por expertos y sicólogos). Sugerir métodos para contrarrestar/proteger estas vulnerabilidades

Hacer que las personas puedan sentir lo que se siente cuando se es manipulado

28

Barreras anti-Ingeniería SocialMotivar el uso de los protocolos de

seguridad explicándolos y diciendo como protegen a la emporesa

Desarrollar reglas simples para definir que es información sensible y confidencial

Enseñar que está bien DECIR QUE NO!

29

Defensas contra la Ingeniería SocialPolíticas/procedimientos/procesos de

seguridadClasificación de los datos/manejo de

información sensibleEl Método del Beso – respuesta fácil sin

mucho que pensarEducar a los empleados y reforzar la

conciencia de la seguridad informática

30

Realizar pruebas de ingeniería socialBúsquedas periódicas en las basuras de la

empresaEntrenamiento frecuente de seguridad

informáticaIncorporar ingeniería social en el plan de

respuesta a incidentes

31

Defensas contra la Ingeniería Social

La Ingeniería Social es la amenaza mássencilla y más efectiva para la seguridad informática

Para mitigar esta amenaza se requiere de una vigilancia permanente

Las medidas anti-Ingeniería Social más efectivas son las políticas, procedimientos y procesos de seguridad, el entrenamiento para evitarla y las pruebas frecuentes

Conclusiones

Ejemplos

Ejemplo 1 (tinyurl.com/3gluswy):Hadnagy, Auditor de SE, fue contratado para

hackear los servidores de una compañíaEncontró dirección de servidores,

direcciones IP, correos, teléfonos, servidores de correo, nombres de empleados y sus cargos

33

Ejemplo 1:Supo que el CEO tenía un familiar que tuvo

cáncer y sobrevivióEl CEO estaba interesado en recolección de

recursos para investigaciones para combatir el cáncer

Encontró información adicional sobre el CEO como restaurantes favoritos, equipos favoritos, etc, en Facebook

34

Ejemplos

Ejemplo 1:Hadnagy se hizo pasar por un miembro de

una entidad recaudadora de fondos para combatir el cáncer y le ofreció al CEO boletas para partidos de su equipo favorito y bonos para sus restaurantes favoritos

El CEO le pidió más información que le envío en un archivo PDF

35

Ejemplos

Ejemplo 1:Inclusive el CEO dijo que versión de PDF

tenía para que pudiera leer el PDFAl abrir el PDF, se instaló un programa

(shell) que le abrió su computador a HadnagyHecho esto el sistema pudo haber sido

hackeado el sistema

36

Ejemplos

Ejemplo 2Caso del hacker de un banco

Ejemplos

Ejemplo 3Convencer a un amigo que se le puede

arreglar y actualizar su computadorSe le arreglan problemas menores en el

computador y se le instala un troyanoSe tiene acceso total al computador de

la persona que confío en el favor que se le iba a hacer

Ejemplos

The Art of Deception by Kevin D. Mitnick

The Art of Intrusion by Kevin D. Mitnick

Influence by Robert B. Cialdini Confidential by John Nolan The Human Firewall Council www.humanfirewall.org Dr. Kelton Rhoads www.workingpsychology.com

Recursos de Información