Scribd Logo
Upload

Welcome to Scribd!

  • Ingeniería Social

    Uploaded by

    Diego Luna
    137 views17 pages
    Social

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    Social

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    137 views17 pages

    Ingeniería Social

    Uploaded by

    Diego Luna
    Social

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 17

    08-04-2016

    OWASP LatamTour
    Rep.Dominicana 2016

    INGENIERA SOCIAL:
    HACKING PSICOLGICO

    Temario

    Temario

    Introduccin
    Qu es la Ingeniera Social?
    Factores Claves
    Qu es lo que busca el hacker?
    Veamos un ejemplo
    Conozcamos al maestro
    Categora de Ataques
    Medidas de Mitigacin
    Conclusiones

    08-04-2016

    Introduccin

    Cul es el activo ms importante para


    la organizacin?

    A: Informacin

    B: Instalaciones

    C: Procesos

    D: Hardware

    Introduccin
    Los riesgos presentes en nuestro ecosistema

    08-04-2016

    Introduccin

    Somos humanos, somos falibles y se nota !

    Cul es el eslabn ms dbil cuando


    hablamos de Seguridad de la Informacin?

    A: Software

    B: Internet

    C: Usuario

    D: Hardware

    08-04-2016

    Qu es la Ingeniera Social?

    Conjunto de tcnicas psicolgicas y habilidades sociales (tales como: la


    influencia, la persuasin y la sugestin)
    Busca directa o indirectamente que un usuario revele informacin
    sensible. Sin estar conscientes de los riesgos que esto implica.

    * Basada en Computadoras
    - Phishing
    * Basada en Contacto Humano
    - Presencial
    - Telefnico
    - Etc

    Qu es la Ingeniera Social?

    Es bastante similar al hacking normal, con la nica diferencia que no se


    interacta con una mquina, sino con una persona.
    HACKER

    USUARIO

    INFORMACIN

    FIREWALL

    INTERNET

    08-04-2016

    Por qu Ingeniera Social?

    Es Mas fcil que tratar de hackear un sistema con cdigos y algoritmos

    No es necesario violar o burlar sistemas de deteccin de intrusos o firewalls

    Las herramientas para utilizar son gratis o de muy bajo costo

    Sin registro y con 100 % de efectividad aprox.

    Porque las personas son la vulnerabilidad mas grande en cualquier Empresa

    Factores Claves

    En Ingeniera Social existen 2 puntos claves.

    PSICOLOGA

    INTERACCIN
    SOCIAL

    08-04-2016

    Que es lo que busca el hacker?

    Cual es el botn que persigue el hacker.

    Informacin
    Confidencial
    Y cul es el impacto?
    *
    *
    *
    *

    Personal
    Financiero
    Imagen
    Legal

    Veamos un ejemplo

    Usuario: Hola?
    Atacante: Si, buenos das, habla Pedro de ac de Sistemas.
    Usuario: Pedro?...de Sistemas?
    Atacante: Si! (con voz segura) tienes algn problema con tu
    usuario de red?. Ac en la pantalla me figuras con error.
    Usuario: Que yo sepa no
    Atacante: Quizs sea un error nuestro, a ver, dgame su nombre
    de usuario.
    Usuario: Siehhhh...es msilva.
    Atacante: Ummmsegura?...djame buscarlo en el listado de
    usuariosOk, ac est. ahora deme su actual
    contrasea para cambiarla por una nueva?.
    Usuario: Si es marcela80.
    Atacante: Ok, muchas gracias. Hasta luego.

    08-04-2016

    Conozcamos al maestro

    Kevin Mitnick (El Cndor) es uno de los hackers ms famosos del mundo.
    Su primera incursin en el hacking lo tiene a los 16 aos cuando penetra
    el sistema administrativo de su colegio.
    En 1981 accede al Sistema COSMOS (Computer
    System for Mainframe Operation)
    En 1994 accede al computador personal de Tsutomu
    Shimomura (Netcom On-Line Communications)
    En 1995 el FBI lo apresa y condenado a 5 aos de
    crcel.
    Hoy es un millonario charlista internacional y bestseller.

    Conozcamos al maestro

    Segn Mitnick, existen cuatro conceptos bsicos:


    * Todos queremos ayudar.
    * El primer movimiento es siempre de confianza haca el otro.
    * No nos gusta decir NO.
    * A todos nos gustan que nos alaben.

    08-04-2016

    Categora de Ataques

    4 categoras de ataques por Ingeniera Social:


    + Ataques Tcnicos
    + Ataques al Ego
    + Ataques de Simpata
    + Ataques de Intimidacin

    Categora de Ataques

    ATAQUES TCNICOS
    - No existe contacto directo con las vctimas.
    - El atacante utiliza emails, pginas web, boletines.
    - El atacante simula ser una entidad reconocida y de confianza.
    - Orientado a obtener informacin sensible de los usuarios.
    - Altamente exitoso.

    08-04-2016

    Ejemplo de Phishing

    Prueba de Concepto.
    Demo prctica

    Categora de Ataques

    ATAQUES AL EGO
    - El atacante apela a la vanidad y ego de la vctima.
    - La vctima trata de probar su inteligencia y eficacia.
    - Se busca que la vctima sienta que esta ayudando en un tema relevante
    (y que posiblemente recibir reconocimiento).
    - Usualmente la vctima nunca se da cuenta del ataque.

    08-04-2016

    Dumpster Driving (Contenedor de Basura)

    Shoulder Surfing (Espiar por


    encima del Hombro)

    10

    08-04-2016

    Categora de Ataques

    ATAQUES DE SIMPATA
    - Se simula un escenario donde es urgente completar una tarea o
    actividad.
    - Se apela a la empata de la vctima.
    - El atacante pide ayuda hasta que encuentra alguien que le pueda
    proporcionar lo que necesita.
    - El atacante se muestra bastante desesperado,
    indicando que su trabajo est en juego si no
    completa su tarea.

    Curiosidad (Hardware)

    11

    08-04-2016

    Suplantacin de ID

    Office Snooping (Espionaje en


    la Oficina)

    12

    08-04-2016

    Categora de Ataques

    ATAQUES DE INTIMIDACIN
    - El atacante simula ser alguien importante en la organizacin.
    - Trata de utilizar su autoridad para forzar a la vctima a cooperar.
    - Si existe resistencia utiliza la intimidacin y amenazas (prdida de

    empleo, multas, cargos legales, etc.).

    Telefnico

    13

    08-04-2016

    Ingeniera Social Inversa

    Medidas de Mitigacin

    Cul de las siguientes acciones NO es


    una medida de mitigacin a la Ingeniera
    Social?

    A: Capacitar

    B: Documentar

    C: Monitorear

    D: Concientizar

    14

    08-04-2016

    Medidas de Mitigacin

    Simples mtodos para evitar un ataque:

    Medidas de Mitigacin

    CAPACITAR

    CONCIENTIZAR

    REFORZAR

    MONITOREAR

    15

    08-04-2016

    Cundo estamos en presencia de este


    tipo de ataques:
    de quien es la responsabilidad?

    A: Gerencia

    B: RRHH

    C: Usuario

    D: Quin sabe?

    Conclusiones

    - La Ingeniera Social es un tema al que todava no se le da tanta


    importancia en el interior de las organizaciones.
    - Las consecuencias de ser vctima de este tipo de ataques pueden ser
    muy grandes.
    - El atacante o hacker puede utilizar diferentes mecanismos de
    persuasin.
    - Resulta importante definir una poltica de capacitacin a los usuarios,
    con el fin de mitigar posibles ataques.
    - DE QUIEN ES LA RESPONSABILIDAD?

    16

    08-04-2016

    Conclusiones

    "Aunque, el nico computador seguro es el que


    est desenchufado
    Con ingeniera social, siempre se puede
    convencer a alguien para que lo enchufe.

    Preguntas

    17

    You might also like