Professional Documents
Culture Documents
OWASP LatamTour
Rep.Dominicana 2016
INGENIERA SOCIAL:
HACKING PSICOLGICO
Temario
Temario
Introduccin
Qu es la Ingeniera Social?
Factores Claves
Qu es lo que busca el hacker?
Veamos un ejemplo
Conozcamos al maestro
Categora de Ataques
Medidas de Mitigacin
Conclusiones
08-04-2016
Introduccin
A: Informacin
B: Instalaciones
C: Procesos
D: Hardware
Introduccin
Los riesgos presentes en nuestro ecosistema
08-04-2016
Introduccin
A: Software
B: Internet
C: Usuario
D: Hardware
08-04-2016
Qu es la Ingeniera Social?
* Basada en Computadoras
- Phishing
* Basada en Contacto Humano
- Presencial
- Telefnico
- Etc
Qu es la Ingeniera Social?
USUARIO
INFORMACIN
FIREWALL
INTERNET
08-04-2016
Factores Claves
PSICOLOGA
INTERACCIN
SOCIAL
08-04-2016
Informacin
Confidencial
Y cul es el impacto?
*
*
*
*
Personal
Financiero
Imagen
Legal
Veamos un ejemplo
Usuario: Hola?
Atacante: Si, buenos das, habla Pedro de ac de Sistemas.
Usuario: Pedro?...de Sistemas?
Atacante: Si! (con voz segura) tienes algn problema con tu
usuario de red?. Ac en la pantalla me figuras con error.
Usuario: Que yo sepa no
Atacante: Quizs sea un error nuestro, a ver, dgame su nombre
de usuario.
Usuario: Siehhhh...es msilva.
Atacante: Ummmsegura?...djame buscarlo en el listado de
usuariosOk, ac est. ahora deme su actual
contrasea para cambiarla por una nueva?.
Usuario: Si es marcela80.
Atacante: Ok, muchas gracias. Hasta luego.
08-04-2016
Conozcamos al maestro
Kevin Mitnick (El Cndor) es uno de los hackers ms famosos del mundo.
Su primera incursin en el hacking lo tiene a los 16 aos cuando penetra
el sistema administrativo de su colegio.
En 1981 accede al Sistema COSMOS (Computer
System for Mainframe Operation)
En 1994 accede al computador personal de Tsutomu
Shimomura (Netcom On-Line Communications)
En 1995 el FBI lo apresa y condenado a 5 aos de
crcel.
Hoy es un millonario charlista internacional y bestseller.
Conozcamos al maestro
08-04-2016
Categora de Ataques
Categora de Ataques
ATAQUES TCNICOS
- No existe contacto directo con las vctimas.
- El atacante utiliza emails, pginas web, boletines.
- El atacante simula ser una entidad reconocida y de confianza.
- Orientado a obtener informacin sensible de los usuarios.
- Altamente exitoso.
08-04-2016
Ejemplo de Phishing
Prueba de Concepto.
Demo prctica
Categora de Ataques
ATAQUES AL EGO
- El atacante apela a la vanidad y ego de la vctima.
- La vctima trata de probar su inteligencia y eficacia.
- Se busca que la vctima sienta que esta ayudando en un tema relevante
(y que posiblemente recibir reconocimiento).
- Usualmente la vctima nunca se da cuenta del ataque.
08-04-2016
10
08-04-2016
Categora de Ataques
ATAQUES DE SIMPATA
- Se simula un escenario donde es urgente completar una tarea o
actividad.
- Se apela a la empata de la vctima.
- El atacante pide ayuda hasta que encuentra alguien que le pueda
proporcionar lo que necesita.
- El atacante se muestra bastante desesperado,
indicando que su trabajo est en juego si no
completa su tarea.
Curiosidad (Hardware)
11
08-04-2016
Suplantacin de ID
12
08-04-2016
Categora de Ataques
ATAQUES DE INTIMIDACIN
- El atacante simula ser alguien importante en la organizacin.
- Trata de utilizar su autoridad para forzar a la vctima a cooperar.
- Si existe resistencia utiliza la intimidacin y amenazas (prdida de
Telefnico
13
08-04-2016
Medidas de Mitigacin
A: Capacitar
B: Documentar
C: Monitorear
D: Concientizar
14
08-04-2016
Medidas de Mitigacin
Medidas de Mitigacin
CAPACITAR
CONCIENTIZAR
REFORZAR
MONITOREAR
15
08-04-2016
A: Gerencia
B: RRHH
C: Usuario
D: Quin sabe?
Conclusiones
16
08-04-2016
Conclusiones
Preguntas
17