Vous êtes sur la page 1sur 17

08-04-2016

OWASP LatamTour
Rep.Dominicana 2016

INGENIERA SOCIAL:
HACKING PSICOLGICO

Temario

Temario

Introduccin
Qu es la Ingeniera Social?
Factores Claves
Qu es lo que busca el hacker?
Veamos un ejemplo
Conozcamos al maestro
Categora de Ataques
Medidas de Mitigacin
Conclusiones

08-04-2016

Introduccin

Cul es el activo ms importante para


la organizacin?

A: Informacin

B: Instalaciones

C: Procesos

D: Hardware

Introduccin
Los riesgos presentes en nuestro ecosistema

08-04-2016

Introduccin

Somos humanos, somos falibles y se nota !

Cul es el eslabn ms dbil cuando


hablamos de Seguridad de la Informacin?

A: Software

B: Internet

C: Usuario

D: Hardware

08-04-2016

Qu es la Ingeniera Social?

Conjunto de tcnicas psicolgicas y habilidades sociales (tales como: la


influencia, la persuasin y la sugestin)
Busca directa o indirectamente que un usuario revele informacin
sensible. Sin estar conscientes de los riesgos que esto implica.

* Basada en Computadoras
- Phishing
* Basada en Contacto Humano
- Presencial
- Telefnico
- Etc

Qu es la Ingeniera Social?

Es bastante similar al hacking normal, con la nica diferencia que no se


interacta con una mquina, sino con una persona.
HACKER

USUARIO

INFORMACIN

FIREWALL

INTERNET

08-04-2016

Por qu Ingeniera Social?

Es Mas fcil que tratar de hackear un sistema con cdigos y algoritmos

No es necesario violar o burlar sistemas de deteccin de intrusos o firewalls

Las herramientas para utilizar son gratis o de muy bajo costo

Sin registro y con 100 % de efectividad aprox.

Porque las personas son la vulnerabilidad mas grande en cualquier Empresa

Factores Claves

En Ingeniera Social existen 2 puntos claves.

PSICOLOGA

INTERACCIN
SOCIAL

08-04-2016

Que es lo que busca el hacker?

Cual es el botn que persigue el hacker.

Informacin
Confidencial
Y cul es el impacto?
*
*
*
*

Personal
Financiero
Imagen
Legal

Veamos un ejemplo

Usuario: Hola?
Atacante: Si, buenos das, habla Pedro de ac de Sistemas.
Usuario: Pedro?...de Sistemas?
Atacante: Si! (con voz segura) tienes algn problema con tu
usuario de red?. Ac en la pantalla me figuras con error.
Usuario: Que yo sepa no
Atacante: Quizs sea un error nuestro, a ver, dgame su nombre
de usuario.
Usuario: Siehhhh...es msilva.
Atacante: Ummmsegura?...djame buscarlo en el listado de
usuariosOk, ac est. ahora deme su actual
contrasea para cambiarla por una nueva?.
Usuario: Si es marcela80.
Atacante: Ok, muchas gracias. Hasta luego.

08-04-2016

Conozcamos al maestro

Kevin Mitnick (El Cndor) es uno de los hackers ms famosos del mundo.
Su primera incursin en el hacking lo tiene a los 16 aos cuando penetra
el sistema administrativo de su colegio.
En 1981 accede al Sistema COSMOS (Computer
System for Mainframe Operation)
En 1994 accede al computador personal de Tsutomu
Shimomura (Netcom On-Line Communications)
En 1995 el FBI lo apresa y condenado a 5 aos de
crcel.
Hoy es un millonario charlista internacional y bestseller.

Conozcamos al maestro

Segn Mitnick, existen cuatro conceptos bsicos:


* Todos queremos ayudar.
* El primer movimiento es siempre de confianza haca el otro.
* No nos gusta decir NO.
* A todos nos gustan que nos alaben.

08-04-2016

Categora de Ataques

4 categoras de ataques por Ingeniera Social:


+ Ataques Tcnicos
+ Ataques al Ego
+ Ataques de Simpata
+ Ataques de Intimidacin

Categora de Ataques

ATAQUES TCNICOS
- No existe contacto directo con las vctimas.
- El atacante utiliza emails, pginas web, boletines.
- El atacante simula ser una entidad reconocida y de confianza.
- Orientado a obtener informacin sensible de los usuarios.
- Altamente exitoso.

08-04-2016

Ejemplo de Phishing

Prueba de Concepto.
Demo prctica

Categora de Ataques

ATAQUES AL EGO
- El atacante apela a la vanidad y ego de la vctima.
- La vctima trata de probar su inteligencia y eficacia.
- Se busca que la vctima sienta que esta ayudando en un tema relevante
(y que posiblemente recibir reconocimiento).
- Usualmente la vctima nunca se da cuenta del ataque.

08-04-2016

Dumpster Driving (Contenedor de Basura)

Shoulder Surfing (Espiar por


encima del Hombro)

10

08-04-2016

Categora de Ataques

ATAQUES DE SIMPATA
- Se simula un escenario donde es urgente completar una tarea o
actividad.
- Se apela a la empata de la vctima.
- El atacante pide ayuda hasta que encuentra alguien que le pueda
proporcionar lo que necesita.
- El atacante se muestra bastante desesperado,
indicando que su trabajo est en juego si no
completa su tarea.

Curiosidad (Hardware)

11

08-04-2016

Suplantacin de ID

Office Snooping (Espionaje en


la Oficina)

12

08-04-2016

Categora de Ataques

ATAQUES DE INTIMIDACIN
- El atacante simula ser alguien importante en la organizacin.
- Trata de utilizar su autoridad para forzar a la vctima a cooperar.
- Si existe resistencia utiliza la intimidacin y amenazas (prdida de

empleo, multas, cargos legales, etc.).

Telefnico

13

08-04-2016

Ingeniera Social Inversa

Medidas de Mitigacin

Cul de las siguientes acciones NO es


una medida de mitigacin a la Ingeniera
Social?

A: Capacitar

B: Documentar

C: Monitorear

D: Concientizar

14

08-04-2016

Medidas de Mitigacin

Simples mtodos para evitar un ataque:

Medidas de Mitigacin

CAPACITAR

CONCIENTIZAR

REFORZAR

MONITOREAR

15

08-04-2016

Cundo estamos en presencia de este


tipo de ataques:
de quien es la responsabilidad?

A: Gerencia

B: RRHH

C: Usuario

D: Quin sabe?

Conclusiones

- La Ingeniera Social es un tema al que todava no se le da tanta


importancia en el interior de las organizaciones.
- Las consecuencias de ser vctima de este tipo de ataques pueden ser
muy grandes.
- El atacante o hacker puede utilizar diferentes mecanismos de
persuasin.
- Resulta importante definir una poltica de capacitacin a los usuarios,
con el fin de mitigar posibles ataques.
- DE QUIEN ES LA RESPONSABILIDAD?

16

08-04-2016

Conclusiones

"Aunque, el nico computador seguro es el que


est desenchufado
Con ingeniera social, siempre se puede
convencer a alguien para que lo enchufe.

Preguntas

17