Ingenier

1
Ingeniería Social Parte 1

• Javier Romero, CISSP, GCIA
• Julio 2003

2
Introducción

• La ingeniería social es una práctica que es usada
  para explotar las debilidades de una cadena de
  seguridad, considerando el factor humano.
• La ingeniería social es muy usada no sólo en el
  ámbito laboral, también se utiliza en el mover
  diario de la gente. Básicamente es una manera de
  obtener información deseada de manera sutil y
  segura.
• La presente es una recopilación de datos para
  explicar algunos de los casos más comunes de
  ingeniería social.

3
Técnicas comunes

• Aproximación directa un agresor puede preguntar
  directamente al objetivo aprovechando que este se
  encuentre atareado.

Buenos días Srta. Soy el nuevo arquitecto
Rochefeller y necesito un código para ingresar al
sistema
Mucho gusto Sr. Rockefeller el código de acceso
es
4
Técnicas comunes

• Usuario Importante Pretender ser una persona
  importante de la organización, con una
  importante tarea. El atacante puede presionar al
  ayudante de escritorio para obtener la
  información.

Le digo que soy el Presidente de la corporación!
Si Sr. tanto gusto, pase Ud. Por favor...
5
Técnicas comunes

• Usuario desvalido Por ejemplo un atacante puede
  llamar a la secretaria de una organización
  pretendiendo ser un nuevo empleado y que tiene un
  gran problema para ingresar al sistema de la
  compañía. La secretaria para no ofender a la
  persona o hacerla parecer incompetente, se
  inclina a ayudarlo y le suple el nombre de
  usuario y la contraseña.

6
Técnicas comunes
Hola, disculpa es que soy nuevo y me olvide mi
clave me ayudas?
Que tonto, pobrecillo!
Claro como no, te doy mi clave hasta que consigas
la tuya
7
Técnicas comunes
En que lo puedo ayudar Sr.
Srta. Como puede ver estoy en silla de ruedas, y
en el edificio no hay rampa para incapacitados de
modo que no puedo subir al área de programación,
podría usted facilitarme su terminal para hacer
mi trabajo desde aquí?
8
Técnicas comunes

• Personal de soporte técnico Es pretender
  pertenecer a un equipo de una organización de
  soporte técnico. El atacante puede extraer útil
  información de manera insospechada, Por ej. el
  atacante puede pretender ser un administrador del
  sistema que trata de resolver un problema y
  requiere un nombre de usuario y una contraseña
  para resolver el problema.

9
Técnicas comunes
Ahora si me robo el disco duro ji, ji, ji
Oiga quien es Ud. Y que esta haciendo!
1
2
Soy el técnico Roboncio de la CIA. De serv.
Técnicos Trifi-trafa
Ah, ya siga nomas
3
10
Técnicas comunes

• Ingeniería Social Reversa (RSE) Un usuario
  legitimo es seducido con preguntas de un atacante
  para obtener información de sus respuestas. Con
  este acercamiento el atacante percibe si la
  persona es más, que un usuario legítimo, el cual
  pudiera ser un posible objetivo.

11
Técnicas comunes
Bien
Asi que Ud. Trabaja en la CIA. De enfrente, y que
tal como les va
2
1
Si, ahora usamos códigos de acceso todos los
trabajadores
4
Un amigo me contó que han cambiado su sistema es
verdad?
3
12
Ataques típicos de RSE

• Sabotaje Después de haber obtenido un simple
  acceso, el atacante puede corromper todos los
  archivos de una estación de trabajo.

Me voy de ésta empresa ahora mismo. Ya van a
saber con quién se metieron
13
Ataques típicos de RSE

• Marketing De manera segura un usuario llama al
  atacante el atacante esta advertido. El atacante
  puede hacer de este o estos un negocio y su
  objetivo son obtener los números y las claves de
  las tarjetas de crédito.

Buenas tardes,es la CIA. CHAMBIX que requiere
socios capitalistas?
Si Sr. Para concederle una entrevista necesitamos
algunas referencia bancarias, como números de sus
cuentas
14
Ataques típicos de RSE

• Soporte Finalmente el atacante puede asistir a
  alguien con un problema, obteniendo información
  mientras transcurre el tiempo de su ayuda.

15
E-mail

• Un uso común de a taque es el de correo
  electrónico en el que se suele enviar mensajes a
  personas ofreciéndoles premios o fotos gratis de
  artistas de cine o cantantes al acceder a estos
  mensajes se infiltraría un virus de manera muy
  sutil en sus sistemas.

16
Website

• Un uso muy común es el visitar un website que
  promueve un atractivo concurso. Para lo cual se
  requiere un nombre de usuario y un password, los
  cuales pueden ser iguales o muy parecidos a los
  que usted usa en su trabajo.

17
Website
18
Ejercicio Prueba tu KungFu

• Kung-Fu, entre hackers significa técnica
  personal.
• Como parte de este curso, ahora te pedimos que
  nos platiques de ocasiones en las cuales has
  hecho uso de tu propia habilidad, para persuadir
  a las personas.
• Si algunas vez persuadiste a alguien a hacer lo
  que no quería o debía, entonces eres un ingeniero
  social.

19
Kung Fu buen intento

• Todavía debes entrenarte más.
• No sirves para hacker.

20
Kung Fu muy listo

• Te faltó más credebilidad.

21
Kung Fu mejora más

• Estás por el mal camino, puedes hacer peores
  cosas.

22
Kung Fu - sorprendente

• Lo tuyo sólo se ve en las películas de espionaje.

23
Kung Fu muy imaginativo

• Simple pero preciso.
• Te pueden contratar de espía, pero también puedes
  detectar actos sospechosos en tu empresa y
  alertar tempranamente algún acto oculto de
  Ingeniería Social.

24
Te da las gracias por tu participación.

• Este matrial pertenece a una serie de cursos
  JaCkBasis, para alertar en temas de seguridad y
  entrenar a oficinistas contra hackers (e
  ingenieros sociales)