CASOS DE INGENIERIA SOCIAL

http://www.youtube.com/watch?v=lejpxMDcBjI Este video nos muestra la facilidad con la que desde nuestra computadora se puede robar informacin de otros contactos por medio de msn, se comienza seleccionando a uno se nuestros contactos del MSN Zhule acaba de iniciar sesin Cecibel comodamente le va a realizar una pregunta que le resulte interesante a Shule Cecibel: Mira ya viste como ser Hotmail dentro de unas semanas? Zhule: no, como? Se consigue un fake que traen los pack de hackers y se copia la direccin Cecibel: solo tienes que entrar a esta direccin con tu correo normalmente sevices.webcidario.com/Hotmail./ Cecibel: si entras te van a dar un bono de no se cuantos puntos cuando se cree la nueva web. Porque a ellos tambin les ca bien que los visiten muchas personas, entra y te agrego como amigo ya en el nuevo Zhule: entro al apagina normal o desde el Hotmail Cecibel: si normal, entras y ella te redirige a la nueva web, ya solo eso y tienes ganados los puntos Zhula: a va ahorita entro entonces Cecibel entra y me avisas para agregarte a mis amigos, pero te apuras que ya me voy (ingeniera social se presiona sin caer mal) Se pone el correo en una pagina web donde se busca la contrasea y listo se robo la cuenta Hotmail

SEGUNDO CASO http://www.youtube.com/watch?v=wiRuBZxMLss&feature=related aqu tenemos el caso de un despistado marido que le hablan de X empresa solicitndole verificar sus datos de la empresa que por motivos de seguridad necesitan verificarlos. Este marido por hacerse el importante se hace pasar por el socio de su esposa, le pide nmero de cuenta, nombre de la empresa (desde aqu uno se debera dar cuenta que si se supone que es para verificar sus datos, por obvias razones las tienen en el sistema, adems que esos datos son confidenciales) y contrasea, la cual se la proporciona con dificualtad, hacindole una pregunta secreta, que no logra contestar. Solo es una parodia a lo que los verdaderos hacker hacen comnmente con la ignoracioa de las personas TERCER CASO Simulan ser el BBVA para robar nmeros de tarjetas, usando un viejo truco de ingeniera social

La semana pasada, un nmero indeterminado de personas reciba un correo electrnico no solicitado donde se les instaba a rellenar el formulario de una pgina web, para ser clientes del servicio BBVAnet. Datos personales, nmero de tarjeta de crdito, fecha de caducidad e incluso el PIN iban a parar a la base de datos de los atacantes, cuya identidad se desconoce. Es la primera vez que este truco de ingeniera social se utiliza contra una entidad bancaria espaola. El Banco Bilbao Vizcaya Argentaria actu con celeridad y, a las 24 horas, la web fraudulenta y el sitio donde se recogan los datos estaban fuera de lnea. La web mostraba el logo de BBVAnet y pareca oficial, aunque sorprenda la cantidad de datos que peda. El mensaje no solicitado tambin levantaba suspicacias: empezaba con un "estimado cliente del BBVA", aunque lo recibieron no clientes, y segua: "Le comunicamos que prximamente, usted no (sic) se podr subscribir en Banca Online". Una errata, a juzgar por el contenido, que instaba a suscribirse a BBVAnet, mediante un formulario en http://gruposbbva.nstemp.com.

La web estaba registrada en Estados Unidos, en la empresa Freeservers.com,

que rpidamente la cerr. Segn un experto consultado, "estaba todo hecho de forma profesional y con dedicacin, ya que el cdigo de la pgina que suplanta al BBVA est ofuscado. En vez de escribir el cdigo HTML directo, est cifrado va JavaScript y la construccin del formulario se hace en el navegador del usuario. As, pueden saltarse los sistemas de filtrado de contenido y hace que el rastreo sea relativamente complicado".

El origen del mensaje es igualmente oscuro: "Se ha enviado desde una conexin ADSL, pero viendo el nivel de complejidad de la pgina HTML, apostara que se ha secuestrado una mquina con poca seguridad, para lanzar los mensajes. Me costara mucho creer que se haya molestado tanto en ofuscar el cdigo HTML y despus utilizar para el envo una mquina fcilmente identificable y rastreable, que no dispona de ninguna medida de seguridad, ni las ms bsicas, permitiendo conexiones annimas y remotas va Internet a las unidades de disco compartidas", afirma el experto.

El banco desconoce cuntos datos se obtuvieron ni si se han realizado operaciones con ellos. Aunque esta tcnica de ingeniera social es conocida en los manuales, es la primera vez que se conoce su aplicacin masiva suplantando a una entidad financiera espaola. Algo parecido suceda a principios de mayo en Gran Bretaa, segn publicaba "eWeek": "Se estn enviando mensajes fraudulentos a los clientes de First Union, donde se les pide que visiten una web e introduzcan sus nombres de usuario y contraseas. Slo mirar la web ya trae problemas, porque instala automticamente un troyano en la mquina del visitante. No est claro cmo el atacante ha tenido acceso a las direcciones de correo de los clientes del banco".

La Ingeniera Social es el arte de hacer que otros hagan o digan lo que uno quiere, abusando de su confianza, inocencia o ganas de caer bien. El diccionario "Jargon File" habla de "tcnicas que se aprovechan de las debilidades de las personas, con el objetivo de conseguir sus contraseas u otra informacin. Un truco clsico es telefonear a la vctima diciendo que eres un tcnico con un problema urgente". La Ingeniera Social usa desde hace tiempo las herramientas de la red, igual que el telfono o el contacto directo.

Uno de los trucos ms comunes en el chat ha sido engaar a alguien para obtener

sus datos de acceso a Internet y usarlos gratuitamente. La misma intencin tienen el mensaje o la llamada de un presunto tcnico del proveedor, que pide los datos de conexin para una comprobacin rutinaria o porque se han perdido. "El mtodo ms fcil para conocer la contrasea de alguien es preguntndoselo", dicen los expertos. Recientemente, se haca la prueba, patrocinada por InfoSecurity Europe 2003, en una estacin central de Londres: nueve de cada diez oficinistas aceptaron revelar sus contraseas a cambio de un bolgrafo. En su "Curso de Ingeniera Social", LeStEr ThE TeAcHeR explica cmo recopilar datos financieros: "Un caso que requiere una especial atencin es la simulacin de mails que provienen de servicios de banca por Internet. Como todo, son sencillamente suplantables. Basta con crear un mail en HTML utilizando las imgenes y los formatos de alguna de estas entidades, pero envindolo desde cualquier otra cuenta. Conozco casos en los que un usuario recibe un mail que parece provenir de un banco conocido y que luego lo redirige a un formulario falso, en el que se le hace escribir su contrasea de acceso y sta es guardada en una tabla, o enviada por mail a una direccin donde luego se utiliza de forma fraudulenta. A continuacin, dicho usuario es enviado a la pgina real del banco, tras haber recibido una pantalla de error".

Kevin Mitnick da cuenta tambin de este tipo de engao en su libro "The art of deception", con un ejemplo real y muy parecido al fraude del BBVA: "Un da del verano de 2001, Edgar recibi un mensaje de PayPal, una compaa que permite hacer pagos rpidos por Internet y que Edgar usaba para hacer compras en eBay: "Apreciado cliente; Paypal quiere darle 5 dlares de crdito. Slo tiene que ir a la pgina http://www.paypal-secure.com/cgi-bin y actualizar su informacin". Pero ste no fue el primer engao bajo el nombre de PayPal. En enero del 2000, la compaa publicaba un aviso despus que un correo masivo invitase a sus clientes a conectarse a www.paypai.com y dejar sus datos: "Hay muchos artistas del fraude que os enviarn correo pretendiendo ser vendedores o sitios con los que habis tenido negocios en el pasado. No slo Pay Pal, tambin EBay, AOL y otras compaas. Usualmente os darn una direccin web duplicada, con la direccin ligeramente diferente de la autntica, y os pedirn que revelis los datos de vuestras tarjetas de crdito, nombres de usuario o contraseas".

En marzo del 2002, le tocaba el turno a Visa, con un mensaje que cruz el mundo: "Alerta de fraude. Visa USA Fraud Control ha sabido de la existencia de un engao para obtener datos personales de nuestros clientes. Lamentamos comunicarle que hemos cancelado su tarjeta de crdito, de acuerdo con el artculo 205 del captulo 210 del departamento de fraude internacional. Sospechamos que su tarjeta est implicada en actividades criminales. En los prximos dos das uno de nuestros investigadores contactar con usted por telfono para verificar sus datos".

http://www.vsantivirus.com/mm-bbva-scam.html Conclusin Este ejemplo es uno de los mas antiguos de la historia, se deposita cierta confianza al a ese banco del que nosotros somos clientes, donde se supone hay seguridad y confidencialidad, pero cualquier persona puede llamarte o pedirte en un correo electrnico que reveles datos que solo sern entre t y ese famoso banco, donde una persona por inocencia revela sus datos, pensando que es solo es para verificarlos y si no podras perder dinero, pues el arte de manipular con este tipo de estrategias llegan por medio de ignorancia, miedo, oportunidades que no se deben dejar pasar, ayuda econmica, mejoras en un sistema, etc.

NOTICIA Ingeniera social: Tres ejemplos de hacking humano

[14/02/2011] A Chris Hadnagy se le paga por engaar a la gente, y lo ha hecho muy bien a lo largo de los aos. Co-fundador de social-engineering.org y autor de la Ingeniera Social: El arte del hacking humano, Hadnagy ha estado usando tcticas de manipulacin durante ms de una dcada para mostrar a sus clientes cmo los criminales obtienen informacin privilegiada. Hadnagy describe tres historias memorables de los ensayos de ingeniera social que ha incluido en su nuevo libro (tambin se puede leer un breve fragmento), y seala lo que las organizaciones pueden aprender de estos resultados. El CIO demasiado confiado En un estudio de caso, Hadnagy describe cmo fue contratado como auditor para

acceder a los servidores de una compaa de impresin que tena algunos procesos propios y vendedores sobre los que la competencia estaba detrs. En una reunin telefnica con el socio de negocios de Hadnagy, el director general le inform de que "hackearlo le sera casi imposible" porque "cuidaba sus secretos con su vida". "Era el tipo que nunca iba a caer en esto", seala Hadnagy. "Pensaba que alguien probablemente lo iba a llamar a preguntarle por su contrasea y estaba listo para una tctica enfoque de ese tipo". Despus de cierta recopilacin de informacin, Hadnagy encontr la localizacin de los servidores, direcciones IP, direcciones de correo electrnico, nmeros de telfono, direcciones fsicas, servidores de correo, nombres de los empleados, cargos, y mucho ms. Pero el premio mayor se produjo cuando Hadnagy descubri que el CEO tena un miembro de su familia que haba luchado contra el cncer, y estaba vivo. Como resultado, l estaba interesado e involucrado en la recaudacin de fondos e investigacin del cncer. A travs de Facebook, tambin fue capaz de obtener otros detalles personales sobre el presidente, como su restaurante favorito y equipo deportivo. Armado con la informacin, estaba listo para atacar. Llam al director general y se hizo pasar por un recaudador de fondos de una organizacin de caridad del cncer con la que el CEO haba tratado en el pasado. l le inform que estaban ofreciendo un sorteo de premios a cambio de donaciones -y los premios incluan entradas para un partido jugado por su equipo favorito, as como certificados de regalo de varios restaurantes, incluyendo su lugar favorito. El CEO mordi el anzuelo, y accedi a que Hadnagy le enviara un PDF con ms informacin sobre la campaa para recaudar fondos. Incluso logr que el director general le diga cual era la versin del lector de Adobe que usaba porque, segn le dijo al director general "Quiero asegurarme de que estoy enviando un archivo PDF que pueda leer". Poco despus de enviar el archivo PDF, el CEO lo abri, instalando un programa malicioso que permiti que Hadnagy accediera a su mquina Cuando Hadnagy y su compaero le informaron a la compaa sobre el xito de la violacin a la computadora del CEO, el director general estaba comprensiblemente enojado, aade Hadnagy. "Senta que era injusto que utilizramos algo as, pero as es como funciona el mundo", indica Hadnagy. "Un hacker malicioso no pensara dos veces acerca de cmo utilizar esa informacin en su contra".

Deduccin 1: No hay informacin, independientemente de su carcter personal o emocional, que est fuera de los lmites de un ingeniero social que busca hacer dao Deduccin 2: Con frecuencia la persona que piensa que est ms segura es la que posee la mayor vulnerabilidad. Un consultor de seguridad dijo recientemente a CSO que los ejecutivos son los blancos ms fciles de ingeniera social. El escndalo del parque temtico El objetivo del siguiente caso fue un cliente de un parque temtico que estaba preocupado por el potencial compromiso de su sistema de venta de entradas. Los equipos utilizaban patrones de ingreso que tambin contenan enlaces a sus servidores, informacin de los clientes y registros financieros. El cliente estaba preocupado de que si una computadora de ingreso estaba comprometida, podra ocurrir una seria violacin de datos. Hadnagy comenz su prueba llamando al parque, hacindose pasar por un vendedor de software. Ofreca un nuevo tipo de software de lectura de PDF, cuya versin de prueba quera que sea utilizado por el parque. Pregunt cul es la versin que se utilizaba actualmente, obtuvo la informacin fcilmente, y estaba listo para el segundo paso. La siguiente fase requiri de ingeniera social en el lugar, y Hadnagy utiliz a su familia con el fin de asegurar el xito. Subiendo a una de las taquillas con su esposa e hijo a cuestas, le pregunt a una de las empleadas si podra utilizar su computadora para abrir un archivo desde su correo electrnico. El correo electrnico contena un archivo adjunto en PDF para un cupn que les dara la admisin de descuento. "Todo esto podra haber salido mal, si ella hubiera dicho No, lo siento, no puedo hacer eso'", explica Hadnagy. "Pero vindome como un padre, con un nio ansioso por entrar en el parque, tire las cuerdas de su corazn". La empleada accedi, y el sistema del parque se vio afectado rpidamente por malas noticias de Hadnagy. En cuestin de minutos, el socio de Hadnagy le envi mensajes de texto para hacerle saber que estaba 'en' y 'recopilando informacin para su informe".

Hadnagy tambin seala que mientras las polticas de los empleados del parque decan que no deban abrir archivos adjuntos de fuentes desconocidas (incluso un cliente que necesitan ayuda), no haba reglas para hacerlas respetar. "La gente est dispuesta a pasar un gran esfuerzo para ayudar a los dems", seala Hadnagy. Conclusin 3: La poltica de seguridad es solo tan buena como lo es su aplicacin Conclusin 4: Los delincuentes suelen jugar con la naturaleza buena de un empleado y el deseo de ser til. El hacker es hackeado Hadnagy da un tercer ejemplo que muestra cmo la ingeniera social se utiliza con fines defensivos. Trabaj con "John," un evaluador de penetracin contratado para conducir una prueba estndar de penetracin de red para un cliente. Ejecut un escaneo utilizando Metasploit, lo que puso de manifiesto un servidor VNC (virtual network computing) abierto, un servidor que permite el control de otras mquinas en la red. Document el hallazgo con la sesin VNC abierta cuando, de repente, en el fondo, un ratn empez a moverse por la pantalla. John saba que esa era una bandera roja porque la hora en la que estaban sucediendo los acontecimientos, ningn usuario se conecta a la red por una razn legtima. Sospech que era un intruso en la red. Teniendo la oportunidad, John abri el Bloc de notas y comenz a charlar con el intruso, hacindose pasar por un hacker 'n00b', alguien que es nuevo y no calificado. "El pens 'Cmo puedo obtener ms informacin de este tipo y ser ms valioso para mi cliente?'", seala Hadnagy. "John jug con el ego del hombre al tratar de fingir que era un novato que quera aprender ms de un hacker maestro". John le hizo varias preguntas, fingiendo ser una persona ms joven que quera aprender algunos trucos del comercio de la piratera y que quera mantenerse en contacto con otro hacker. Cuando la charla termin, tena el e-mail del intruso, informacin de contacto -e incluso una foto de l. Report la informacin a su cliente, y el problema de fcil acceso al sistema fue corregido.

Hadnagy tambin seala que John aprendi, a travs de su conversacin con el pirata, que el hacker no tena como objetivo la compaa que haba hackeado, que haba estado buscando algo fcil de comprometer y encontr ese sistema abierto con bastante facilidad. Deduccin 5: La ingeniera social puede ser parte de la estrategia de defensa de una organizacin Deduccin 6: Los delincuentes suelen ir a la fruta madura. Cualquiera puede ser un objetivo si la seguridad es baja http://cioperu.pe/articulo/6405/ingenieria-social-tres-ejemplos-de-hacking-humano/

ANALISIS
Este artculo nos muestra 3 diferentes maneras de conseguir informacin directa a travs de un usuario. La primera se titula el Cio demasiado confiado, nos cuenta de un empresario que consideraba estar listo por si algn da algn hackeador le llamaba a su telfono pidindole verificar sus datos, pues cuidaba mas sus secretos que su propia vida. Hadnagy nos cuenta el mtodo que utilizo par manipular de una manera indirecta a este magnate de negocios, comenz a recopilar informacin que por muy simple o tonta que parezca, ayudara a conseguir mejor su objetivo. Comenz por robarle direcciones electrnicas, direcciones IP, nmeros de telfono, servidores etc, con el fin de encontrar los pundos dbiles de este seor, para as idear un plan que le permitiera instalar en su computadora el hacker. Su punto dbil eran las asociaciones paa recaurdar fondos, algo con lo que no todos dudaramos, se le presento una propuesta para apoyar al a beneficiencia pero requerira mas informacin que se la enviara en un pdf, solo que la pregunta clave a quie fue cual era la versin PDF que dispona?, porque queira asegurarse de que pudiera leer el PDF. Esto nos puede parecer muy tonto visto desde afuera, quien no va a a saber que adobe lee todos los archivos mientras que sean PDF y no se necesita una versin en especifico, pero todo esto es parte de una tctica de manipulacin y lavado de cerebro para que todo parezca normal o comn, Quin sospechara de una beneficencia, un banco, una iglesia, la televisin o de grandes empresas que

cuentan con prestigio?, todas son tcticas que se nos presentan muy bajita la mano para acceder a instala programas que puedan robar nuestra informacin Tenernos el segundo caso Aqu Hadnay se hizo pasar por un vendedor de software para un parque tematico, que estaba preocupado de poder incurrir en la violacin de datos. El vendedor le ofrecia un software de lectura PDF, solicitando primera la versin del software utilizado, luego, con ayuda de sus familiares, le pidi a su esposa que fuera con una de las empleadas a pedirle de favor que si dejaba abrir su correo electrnico pues all tenia un cupon de descuento, algo un poco raro pero como dudar de una madre de familia con su pequeo hijo ansiando entrar al parque. La empleada accedi y el sistema del parque se vio afectado, se comenz a recopilar informacin vital del parque. Como conclusin aveces nos dejams guiar por las apariencias, y la buena fe de las personas, como algo tan sencillo pudo traer tantas consecuencias, y de quien es la culpa, de la empleada por permitirlo, los viros, troyanos, gusanos etc, solo entran a nuestro sistema si nosotros lo permitimos.

CONCLUCIONES
hoy en da la tecnologa a llegado a lugares insospechados, convirtindose en una poderosa herramienta que nos brinda de elementos tecnolgicos beneficiosos como muy perjudiciales, dejando una ventana abierta a el dominio publico de nuestra informacin, pues nuestros datos estn literalmente suspendidos en la red, esperando la habilidad del ms vivo para poder conseguirlos. Esto no solo se trata de el arte de manipular, se debe de conocer a fondo los elementos que estn cada da inventado los hackers para conseguir informacin secreta de nuestras vidas o cuentas privadas, as como la informacin vital de empresas enteras. A medida de que la tecnologa avanza, tambin se generan actividades contraproducentes para la vida de nuestra computadora y hasta para nuestra vida personal, convirtindonos en un blanco fcil para los delincuentes quien

aprovechndose de la ignorancia muchas veces, logran conseguir datos vitales en nuestra vida que no pueden trae consecuencias fatales, que van desde el robo de nuestra identidad, tarjetas de crdito, perdida de cuentas, informacin hasta pueden ocacionar secuestros, asaltos y otro tipo de acciones fatales. Es importante siempre estar al margen de toda la informacin que no llega de internet y de las personas con las que compartimos informacin o amigos a los que tenemos confianza, por ningn motivo se debern revelar datos muy personales, aceptar descargar programas ajenos a nuestro uso o de los que no estamos seguro s de que se trata, no aceptar amigos desconocidos, entrar a paginas sospechosas, pues generalmente no traen las www al inicio, y sobretodo no confiar consejos de publicidad o de personas desconocidas para optimizar nuestra computadora u obtener beneficios de dicha cuenta, debemos ser concientes que en manos malas, nuestra integridad, informacin y hasta nuestra vida corre peligro