View
2.301
Download
0
Category
Preview:
DESCRIPTION
Se presentan los tipos de ingeniería social, y se hacen recomendaciones para desarrollar un plan de adiestramiento para empleados en el área de seguridad en informática.
Citation preview
Aury M. Curbelo-Ruiz, Ph.D
Seminario- ISSA June 21,2012
©2012Curbelo
Introducción
Valor de la información
Tipos de Ingeniería
Social
Personal Vulnerable a
ataques
Metas de los atacantes
Herramientas disponibles
Discusión de casos
Desarrollando una CULTURA de Seguridad
¿Por qué Ingeniería
Social?
http://www.asobancaria.com/portal/page/portal/Eventos/proximas_capacit
aciones/2011/proximas_capacitaciones_ingenieria_social
Todas las organizaciones tienen una
vulnerabilidad en común: los humanos.
Los humanos. A pesar de que el
factor humano es el recurso más valioso
de una organización tristemente es la
cadena más vulnerable en la seguridad de
la información, en este curso estaremos
explotando esas debilidades.
Los participantes de este curso podrán
aprender las estrategias y técnicas
utilizadas en la Ingeniería Social (IS).
Asimismo se discutirán los aspectos éticos
de los ataques de ingeniería social, así
como el proceso de seleccionar las
potenciales víctimas de ataques,
estrategias de colectar información, crear
reportes y planificar el ataque.
Asobancaria es el gremio representativo del sector financiero colombiano.
Está integrada por los bancos comerciales nacionales y extranjeros, públicos y
privados, las más significativas corporaciones financieras e instituciones oficiales
especiales.
Busca generar
alineamientos de política
en ciberseguridad y
ciberdefensa orientados a
desarrollar una estrategia
nacional que contrarreste el
incremento de las
amenazas informáticas que
afectan significativamente a
Colombia.
Tambien, recoge los
antecedentes nacionales e
internacionales, así como
la normatividad del país en
torno al tema.
http://www.dnp.gov.co/LinkClick.aspx?fileticket=-lf5n8mSOuM%3D&tabid=1260
http://www.latinuxmagazine.com/index.php?option=com_content&view=article&id=26282:jornada-de-
infoalfabetizacion-digital-taller-qingenieria-socialq-colombia&catid=34&Itemid=325&lang=es
http://procedimientospolicialescolombia.blogspot.com/2008/09/ingenieria-social.html
Al primer “Taller regional sobre seguridad y crimen cibernético”, que concluirá
el viernes en San José, asisten representantes de Colombia, Chile, Perú,
Panamá y Venezuela, República Dominicana, El Salvador, Guatemala, Haití,
Honduras, México y Nicaragua, según indicó hoy el ministerio de Ciencia y
Tecnología de Costa Rica (MICIT).
http://elmundo.com.sv/latinoamerica-busca-fortalecer-seguridad-cibernetica
El taller, de acuerdo con las autoridades, “tiene como objetivo el reforzar
las políticas, estrategias, legislación, y otras medidas prácticas en materia
de delito cibernético y la seguridad cibernética”. http://www.micit.go.cr/
http://www.elnuevodia.com/vulnerablelaislaanteunataquedeanonymous-1174300.html
"Si Anonymos decidiera
atacarnos, situación que
no veo ocurrir porque no
tiene razón para hacerlo,
seguramente estaríamos en
la misma posición (de
vulnerabilidad) que el
gobierno federal, ya que
nadie tiene cómo
defenderse ante estos
ataques", indicó Juan
Eugenio Rodríguez,
principal ejecutivo de
información (CIO) del
Gobierno de Puerto Rico.
Una gasolinera del algun lugar de nuestra islita querida…PUERTO RICO
Publicado en el Periódico La Estrella- 7-13 de Junio 2012-PORTADA
El Servicio de Extensión Agrícola (SEA)
de la Universidad de Puerto Rico instó a
la ciudadanía a estar alerta porque
existe una persona que se está
haciendo pasar por empleado de esa
dependencia universitaria para timar
a la gente.
el modus operandi de esta persona, que
viste “impecablemente de chaqueta”,
es ir directo a los negocios, lo que no
hace el personal de Extensión Agrícola,
y ofrecer la matrícula del curso de
Inocuidad de Alimentos que es requerido
por ley.
Una vez hace el ofrecimiento, el timador indica que debe cobrarlo. Dicha
persona utiliza una hoja de matrícula con el logo del SEA. Sin embargo, las
autoridades del Servicio de Extensión Agrícola afirmaron que “este no es el
protocolo establecido para estos fines y el personal del Servicio de Extensión
Agrícola no funge como recaudador”.
http://www.dialogodigital.com/index.php/Estafador-se-hace-pasar-por-empleado-de-Extension-Agricola.html
http://academic.uprm.edu/jhuerta/HTMLobj-112/Evaluacion_SEA.pdf
El 80% de los ataques informáticos se deben a
errores relacionados con el factor humano y no a
temas específicos de tecnología.
http://www.tecnoseguridad.net/el-80-de-los-ataques-informaticos-se-debe-a-errores-de-nosotros-
mismos/
Nombre, Apellido
# Teléfono
Correo electrónico
Dirección
Recibos de Luz/Agua
¿qué puedo hacer con un poco de información?
Nombre, Apellido
Dirección Correo
Electrónico Teléfono
Crear una identidad falsa
Hackear su correo
electrónico
Tomar $$$ prestado
Abusar del crédito
Crear un perfil falso en
Facebook Exponerte a situaciones
embarazosas
http://news.cnet.com/8301-1009_3-10153858-83.html
McAfee estimated
that cybercrime
costs corporations
$1 trillion globally
each year.
Varias webs comprometidas por un ataque a NIC Puerto Rico
lunes 27 de abril de 2009
“Aprovechándose de una vulnerabilidad de inyeccion SQL (todavía presente) en
Nic.pr, unos atacantes lograron modificar los DNS de varios dominios pertenecientes
a reconocidas empresas.”
Compañías Hackeadas
•google.com.pr
•microsoft.com.pr
•hotmail.com.pr
•live.com.pr
•msn.pr
•yahoo.com.pr
•coca-cola.com.pr
•nike.com.pr
•hsbc.com.pr
•nokia.pr
http://blog.segu-info.com.ar/2009/04/varias-webs-comprometidas-por-un-ataque.html
“Desde el año 2007 el crimen de robo de
identidad en Puerto Rico se intensificó como parte
de una ola de escalamientos en escuelas públicas
en donde se hurtaron diferentes tipos de
documentación como certificados de nacimiento y
tarjetas de identificación en aproximadamente 50
escuelas públicas a través de todo Puerto Rico…
son miles las víctimas, entre 5,000 a 7,000”,
afirmó la jefa de la Fiscalía Federal en la Isla,
Rosa Emilia Rodríguez”
http://www.vocero.com/noticia-18103-
hasta_7000_las_vctimas_de_robo_de_identidad.html
“La fiscal Díaz Rex señaló a preguntas de la
prensa que el “set” de certificados de
nacimiento y de tarjetas de seguro social
tenían un costo de entre $150 a $250.”
http://www.vocero.com/noticia-18103-
hasta_7000_las_vctimas_de_robo_de_identidad.html
http://www.elexpresso.com/index.php?option=com_content&view=article&id=2286:arrestos-por-robo-de-
identidad-en-puerto-rico&catid=23:locales&Itemid=65
Las autoridades
estadounidenses
arrestaron el martes a
miembros una banda que
robó información personal
de 7,000 estudiantes de
escuelas públicas en
Puerto Rico y la vendió
en Estados Unidos.
..muchos de los estudiantes afectados "ahora mismo probablemente no
saben" que fueron víctimas de robo de identidad.
Mitchelson añadió que muchas de las víctimas no sentirán las
consecuencias del robo de su información hasta tiempo después. "Ellos
llegan a los 18, 20 años de edad, van comprar un carro y su crédito está dañado".
http://www.primerahora.com/diario/noticia/otras_panorama/noticias/exceso_de_certificados_facilita___robo_de_id
entidad/331994
La gran cantidad de
certificados de nacimiento
que se solicitan y expiden
en Puerto Rico provocó
una “epidemia de robo de
identidad” aquí y en
Estados Unidos, denunció
hoy el director regional de
la Oficina de Pasaportes en
Miami, Ryan Dooley.
La Causa es…“la
facilidad con que
se hallan los
duplicados de los
certificados de
nacimiento de Puerto
Rico”.
…el valor en el mercado ilegal de un certificado de nacimiento de Puerto Rico es
de cerca de $5,000. Estimó, por otra parte, que cerca del 40 por ciento de
casos de robo de identidad en Estados Unidos es de documentos de Puerto Rico.
Más de 7 millones de personas fueron víctimas en E.U. en el 2002
Es el crimen de más rápido crecimiento en Estados Unidos
Le costó US$46 billones en el 2002 a las instituciones financieras en EEUU
http://www.hdmdesigns.com/erp/robo.htm
Sólo 1 de cada 700 personas cometiendo robo de identidad son atrapadas.
El tiempo promedio antes de detectar robo
de identidad: un año
http://www.hdmdesigns.com/erp/robo.htm
http://infotech.aicpa.org/Resources/Privacy/Federal+State+and+Other+Professional+Regulations/State+Privacy+Regulations/
http://infotech.aicpa.org/Resources/Privacy/Federal+State+and+Other+Professional+Regulations/State+Privacy+Regulations/Puerto+Rico+Secu
rity+Breach+Laws.htm
http://infotech.aicpa.org/Resources/Privacy/Federal+State+and+Other+Professional+Regulations/State+Privacy+
Regulations/Puerto+Rico+Security+Breach+Laws.htm
http://www.daco.gobierno.pr/Repositorio/Reglamentos/ReglamentosobreInformacionalCiudadanosobreSeguridad
BancosdeInformacion.pdf
http://www.senadopr.us/Proyectos%20del%20Senado/rs0182.pdf
Nombre, Apellido
# Teléfono
Correo electrónico
Dirección
Recibos de Luz/Agua
¿Cómo y donde puedo encontrar esa información?
“La ingeniería social es la técnica más eficaz para hacerse
con secretos celosamente protegidos, ya que no requiere de
una sólida formación técnica, ni de grandes conocimientos
sobre protocolos y sistemas operativos", dice el informe de
ETEK.”
"Quienes practican la Ingeniería Social requieren
solamente de astucia, paciencia y una buena dosis de
sicología.”
http://www.channelplanet.com/index.php?idcategoria=10126
De acuerdo a Borghello (2009):
La Ingeniería Social puede definirse como una acción o conducta social destinada a conseguir información de las personas cercanas a un sistema.
Visentini (2006):
Es una disciplina que consiste básicamente en sacarle datos a otra persona sin que esta se de cuenta de que está revelando "información sensible" y que normalmente no lo haría.
La Ingeniería Social, se centra en lograr la confianza de las personas para luego engañarlas y manipularlas para el beneficio propio de quien la implementa.
Ingeniería Social:
Son aquellas conductas y técnicas utilizadas para conseguir información de las personas.
“La gente por no querer quedar mal o crear un escándalo, brinda a cualquiera que le solicita, “información sensible”, y ahí es donde juega un papel importante la educación, el enseñarle a los empleados a decir no”.
Recepcionistas
Vendedores
Personal de Nómina
Personal de Recursos Humanos
Personal de Finanzas
Administración de Oficinas
Kevin Mitnick, uno de los hackers más famosos del mundo por delitos utilizando la Ingeniería Social como principal arma:
"usted puede tener la mejor tecnología, firewalls,
sistemas de detección de ataques, dispositivos
biométricos, etc. Lo único que se necesita es hacer una
llamada a un empleado desprevenido y podemos
obtener la información. Los empleados tienen toda la
información en sus manos".
Kevin Mitnick
Mitnick fundamenta las estrategias de Ingeniería Social en los siguientes postulados:
Todos los seres humanos quieren ayudar.
El primer movimiento es siempre de confianza hacia el otro.
No nos gusta decir No.
A todos nos gusta que nos alaben.
Estos procesos son comúnmente utilizados en campañas de mercadeo y negocios para influenciar sobre la gente.
Reciprocidad – una persona hace un favor a otra, entonces la otra tiene que devolverle el favor.
Compromiso y Consistencia – una persona dijo que haría una acción y se ve obligada a hacerla, y debe ser consistente con su forma general de pensar.
Pruebas Sociales - es más cómodo hacer lo mismo que hace la gente.
Autoridad – las personas reconocen ciertos tipos de autoridad real o aparente, y los respetan.
Escasez – las personas se sienten atraídas por lo que es escaso.
El usuario es tentado a realizar una acción necesaria para vulnerar o dañar un sistema:
Esto ocurre cuando el usuario recibe un mensaje que lo lleva a abrir un archivo adjunto, abrir la página web recomendada o ver un supuesto video.
Las personas son engañadas para que revelen información confidencial tal como:
# de tarjetas de crédito
datos bancarios
contraseñas de correos, etc.
Esta información será usada por los delincuentes para estafar, realizar compras a nombre de otro, enviar spam, etc.
El usuario es llevado a confiar información necesaria para que el atacante realice una acción fraudulenta con los datos obtenidos.
En el caso del “Scam” y el “Phishing”, el usuario
entrega información al delincuente creyendo que lo hace a una entidad de confianza o con un pretexto de que obtendrá algo a cambio, generalmente un “gran premio”.
http://www.darkreading.com/security/perimeter/showArticle.jhtml?articleID=208803634
Durante junio de este año se llevó a cabo una auditoria en una empresa estadounidense que se dedica a conceder créditos.
El objetivo principal de la auditoria fue el mostrar la inseguridad de las memorias USB.
Estrategia:
La empresa tomó 20 memorias USB de muestra.
Colocaron archivos de varios tipos, incluyendo un troyano que una vez ejecutado en cualquier computadora comenzaría a enviar información a los servidores de la empresa auditora.
Estos USB fueron dejados «olvidados» en el estacionamiento, zonas de fumadores y otros sitios de la empresa bajo auditoria.
De las veinte (20) memorias, quince (15) fueron encontradas por empleados de la empresa en cuestión.
Las quince terminaron por ser conectadas en computadoras conectados a la red de la compañía, que en seguida empezaron a enviar datos a la empresa Auditora que les permitieron entrar en sus sistemas sin ningún problema.
Autorun USB---Mensaje: TU MAQUINA HA SIDO INFECTADA…CORRE..BUSCA
AYUDA…MENSAJE : 10, 9, 8….DRA. CURBELO
Identificar a la Victima
Reconocimiento
Crear el escenario
Realizar el ataque
Obtener la información
Salir
Consiste en recolectar
información sensible
mediante la interacción entre
humanos.
Se lleva acabo con la
ayuda de las
computadoras
Ingeniería Social:
Basada en Humanos
Consiste en recolectar
información sensible
mediante la interacción entre
humanos.
1. Imitando ser un usuario
legítimo.
2. Imitando ser una persona
importante (alto rango)
3. Imitando ser personal
técnico
4. Espiar por encima de su
hombro (Shoulder Surfing)
5. “Dumpster Diving”-
Buscando en los
zafacones
6. En persona
7. Organización Privada
Imitando ser un usuario legítimo.
Provee una identificación y solicita información sensible.
“Hola Fulano, soy del
departamento X, y se me
olvidó mi password, me lo
puede indicar ó me lo puede
cambiar
Imitando ser una persona importante (alto rango)
“Saludos le habla Juan (Gerencial de
Alto Rango) y el VP me solicitó un
informe sobre los años de servicio
del personal en la oficina de XYZ, y
es con urgencia, ya sabes como es
aquí de un día para otro, anyway por
favor enviame la información al
tecogidebobo@correo.com”
Imitando ser personal técnico -Llama y se hace pasar por técnico
Fulano te habla José de Centro cómputos, anoche tuvimos una caída en el sistema y estamos verificando si hubo alguna perdida de datos por lo que le solicito me indique su nombre de usuario y su contraseña.
Espiar por encima de su hombro (Shoulder Surfing)- consiste en mirar por encima del hombro para conseguir los password.
Herramientas para prevenir
el espionaje por encima del hombro
3M Privacy Filters
Dumpster Diving
Dumpster Diving- Buscando en los zafacones.
Recibos de facturas, luz, agua, teléfono, cable u otros servicios.
Información financiera
Se busca “post it”
Números de teléfono
Matrículas
Otros
libretas telefónicas memos organigramas manuales de
procedimientos calendarios (de
reuniones, eventos y vacaciones)
manuales de operación de sistemas
reportes con información
cuentas de usuarios y sus contraseñas
formatos con membretes
Papel timbrado
¿Cuán común es la práctica de
revisión de desperdicios o
basura?
http://news.cnet.com/Oracle-chief-defends-Microsoft-snooping/2100-1001_3-242560.html
"In 1998, the Supreme Court ruled that Americans do not have a right to privacy regarding trash. The Economic Espionage Act of 1996, which made it a federal offense to steal trade information, doesn’t protect firms that fail to take reasonable steps to protect data." CIO Magazine, 2007
http://www.cio.com/article/28510/Best_Practices_for_Shredding_Corporate_Documents
Candado a los zafacones Colocando portones Colocando letreros de “No pase” Luces Utilizando Cámaras de seguridad Vigilancia Implementando una política de triturar
documentos Utilizando trituradoras en la oficinas Utilizando servicios de trituradoras
According to a recent study* conducted by the Alliance for Secure Business Information (ASBI):
80% of large organizations surveyed indicated that they had experienced one or more data breaches over the previous 12 months
49% of those breaches involved the loss or theft of paper documents.
The average breach recovery cost $6.3 Million!
http://www.fellowes.com/asbi/
¿Cómo puedo disponer de los
documentos importantes de la
oficina?
http://fellowes.com/shredderselector/
http://www.consumersearch.com/paper-shredders
http://www.sileo.com/fellowes/
Estrategia utilizada por el atacante haciendo uso de un cuestionario para recolectar información personal tal como:
Tipo de equipo que utilizan (compras)
Información de Contacto
Horarios
Otros
Utilizan la estrategia de identificarse como el empleado de una compañía de auditoría para recoger datos.
Por ejemplo:
Saludos, soy Fulano de Tal, el jefe me envió para que recogiera el informe de auditoría/ informe de gastos de X,Y, Z. ¿Me lo podría entregar?
Ejemplos de llamadas tramposas
Una vez conocemos todo de la víctima, y podemos predecir como actuará frente a determinados estímulos.
Conocemos sus gustos sus deseos, y es fácil llevarlo por una conversación telefónica a donde queremos.
• ¿Hola, Juan del Pueblo?
• Le hablamos del servicio de marketing de CASA, estamos ofreciendo una promoción especial a nuestros mejores clientes. Consiste en que las llamadas a un número fijo nacional de su elección, serán gratis durante un año sin tener que pagar nada.
• Por favor, para poder hacer esto posible necesitamos que nos confirme una serie de datos….
• - …….
Ingeniería Social:
Basada en Computadora
Se lleva acabo con la
ayuda de las
computadoras 1. Email con Malware
2. PopUp Windows
3. Spam (correo no
deseado)
4. Cadena de cartas
(Chain letters)
5. Emails de engaño
(Hoaxes)
6. “Phishing”
7. Instalando un
“Keylogger”
La mejor manera de estar protegido es el conocimiento
Educar a las personas, a todas las personas. No informar telefónicamente de las características
técnicas de la red, ni nombre de personal a cargo, etc. Control de acceso físico al sitio donde se encuentran
los documentos importantes de la compañía. Políticas de seguridad.******
Conozca los procesos de ingeniería social, sus principios, sus técnicas, la manipulación y la explotación de los sentimientos y emociones de las personas.
De esta forma podrá anticiparse a los riesgos de los ataques.
Trabaje en crear la cultura de la cautela, desconfianza y prudencia ante todas las situaciones.
Los atacantes que usan la ingeniería social prefieren cambiar de víctima cuando se enfrentan a la resistencia educada.
Este bien alerta, hay personas que tienen un talento increíble para “sacarle” información a otras personas.
Cuando usted note que alguien intenta “sacarle” información, confronte a esta persona y pregúntele ¿por que quiere saber esa información?
Así la persona sabrá que usted es una persona alerta y cuidadosa y no volverá a intentar “sacarle” información.
Dra. Aury M. Curbelo acurbelo@gmail.com
(787-202-8643)
Redes Sociales:
http://www.facebook.com/acurbeloruiz
http://twitter.com/acurbelo
Website:
http://digetech.net
Recommended