Se presentan los tipos de ingeniería social, y se hacen recomendaciones para desarrollar un plan de adiestramiento para empleados en el área de seguridad en informática.
4. Herramientas Discusión de
Introducción
disponibles casos
Desarrollando
Valor de la Metas de los
una CULTURA
información atacantes
de Seguridad
Tipos de Personal
Ingeniería Vulnerable a
Social ataques
8. Todas las organizaciones tienen una
vulnerabilidad en común: los humanos.
Los humanos. A pesar de que el
factor humano es el recurso más valioso
de una organización tristemente es la
cadena más vulnerable en la seguridad de
la información, en este curso estaremos
explotando esas debilidades.
Los participantes de este curso podrán
aprender las estrategias y técnicas
utilizadas en la Ingeniería Social (IS).
Asimismo se discutirán los aspectos éticos
de los ataques de ingeniería social, así
como el proceso de seleccionar las
potenciales víctimas de ataques,
estrategias de colectar información, crear
reportes y planificar el ataque.
http://www.asobancaria.com/portal/page/portal/Eventos/proximas_capacit
aciones/2011/proximas_capacitaciones_ingenieria_social
9.
10. Asobancaria es el gremio representativo del sector financiero colombiano.
Está integrada por los bancos comerciales nacionales y extranjeros, públicos y
privados, las más significativas corporaciones financieras e instituciones oficiales
especiales.
11. Busca generar
alineamientos de política
en ciberseguridad y
ciberdefensa orientados a
desarrollar una estrategia
nacional que contrarreste el
incremento de las
amenazas informáticas que
afectan significativamente a
Colombia.
Tambien, recoge los
antecedentes nacionales e
internacionales, así como
la normatividad del país en
torno al tema.
15. Al primer “Taller regional sobre seguridad y crimen cibernético”, que concluirá
el viernes en San José, asisten representantes de Colombia, Chile, Perú,
Panamá y Venezuela, República Dominicana, El Salvador, Guatemala, Haití,
Honduras, México y Nicaragua, según indicó hoy el ministerio de Ciencia y
Tecnología de Costa Rica (MICIT).
El taller, de acuerdo con las autoridades, “tiene como objetivo el reforzar
las políticas, estrategias, legislación, y otras medidas prácticas en materia
de delito cibernético y la seguridad cibernética”.
http://www.micit.go.cr/
http://elmundo.com.sv/latinoamerica-busca-fortalecer-seguridad-cibernetica
16.
17. "Si Anonymos decidiera
atacarnos, situación que
no veo ocurrir porque no
tiene razón para hacerlo,
seguramente estaríamos en
la misma posición (de
vulnerabilidad) que el
gobierno federal, ya que
nadie tiene cómo
defenderse ante estos
ataques", indicó Juan
Eugenio Rodríguez,
principal ejecutivo de
información (CIO) del
Gobierno de Puerto Rico.
http://www.elnuevodia.com/vulnerablelaislaanteunataquedeanonymous-1174300.html
19. Publicado en el Periódico La Estrella- 7-13 de Junio 2012-PORTADA
20. El Servicio de Extensión Agrícola (SEA)
de la Universidad de Puerto Rico instó a
la ciudadanía a estar alerta porque
existe una persona que se está
haciendo pasar por empleado de esa
dependencia universitaria para timar
a la gente.
el modus operandi de esta persona, que
viste “impecablemente de chaqueta”,
es ir directo a los negocios, lo que no
hace el personal de Extensión Agrícola,
y ofrecer la matrícula del curso de
Inocuidad de Alimentos que es requerido
por ley.
Una vez hace el ofrecimiento, el timador indica que debe cobrarlo. Dicha
persona utiliza una hoja de matrícula con el logo del SEA. Sin embargo, las
autoridades del Servicio de Extensión Agrícola afirmaron que “este no es el
protocolo establecido para estos fines y el personal del Servicio de Extensión
Agrícola no funge como recaudador”.
http://www.dialogodigital.com/index.php/Estafador-se-hace-pasar-por-empleado-de-Extension-Agricola.html
28. El 80% de los ataques informáticos se deben a
errores relacionados con el factor humano y no a
temas específicos de tecnología.
http://www.tecnoseguridad.net/el-80-de-los-ataques-informaticos-se-debe-a-errores-de-nosotros-
mismos/
29. ¿qué puedo hacer con
un poco de información?
Nombre, Apellido
Dirección
# Teléfono
Correo electrónico
Recibos de Luz/Agua
30. Crear una identidad falsa Tomar $$$ prestado
Hackear su correo Abusar del crédito
electrónico
Nombre, Correo
Dirección Electrónico Teléfono
Apellido
Crear un perfil falso en Exponerte a situaciones
Facebook embarazosas
31.
32.
33. McAfee estimated
that cybercrime
costs corporations
$1 trillion globally
each year.
http://news.cnet.com/8301-1009_3-10153858-83.html
34.
35. Compañías Hackeadas
•google.com.pr
•microsoft.com.pr
•hotmail.com.pr
•live.com.pr
•msn.pr
•yahoo.com.pr
•coca-cola.com.pr
•nike.com.pr
•hsbc.com.pr
•nokia.pr
Varias webs comprometidas por un ataque a NIC Puerto Rico
lunes 27 de abril de 2009
“Aprovechándose de una vulnerabilidad de inyeccion SQL (todavía presente) en
Nic.pr, unos atacantes lograron modificar los DNS de varios dominios pertenecientes
a reconocidas empresas.”
http://blog.segu-info.com.ar/2009/04/varias-webs-comprometidas-por-un-ataque.html
36.
37. “Desde el año 2007 el crimen de robo de
identidad en Puerto Rico se intensificó como parte
de una ola de escalamientos en escuelas públicas
en donde se hurtaron diferentes tipos de
documentación como certificados de nacimiento y
tarjetas de identificación en aproximadamente 50
escuelas públicas a través de todo Puerto Rico…
son miles las víctimas, entre 5,000 a 7,000”,
afirmó la jefa de la Fiscalía Federal en la Isla,
Rosa Emilia Rodríguez”
http://www.vocero.com/noticia-18103-
hasta_7000_las_vctimas_de_robo_de_identidad.html
38. “La fiscal Díaz Rex señaló a preguntas de la
prensa que el “set” de certificados de
nacimiento y de tarjetas de seguro social
tenían un costo de entre $150 a $250.”
http://www.vocero.com/noticia-18103-
hasta_7000_las_vctimas_de_robo_de_identidad.html
39. Las autoridades
estadounidenses
arrestaron el martes a
miembros una banda que
robó información personal
de 7,000 estudiantes de
escuelas públicas en
Puerto Rico y la vendió
en Estados Unidos.
..muchos de los estudiantes afectados "ahora mismo probablemente no
saben" que fueron víctimas de robo de identidad.
Mitchelson añadió que muchas de las víctimas no sentirán las
consecuencias del robo de su información hasta tiempo después. "Ellos
llegan a los 18, 20 años de edad, van comprar un carro y su crédito está dañado".
http://www.elexpresso.com/index.php?option=com_content&view=article&id=2286:arrestos-por-robo-de-
identidad-en-puerto-rico&catid=23:locales&Itemid=65
40. La gran cantidad de
certificados de nacimiento
que se solicitan y expiden
en Puerto Rico provocó
una “epidemia de robo de
identidad” aquí y en
Estados Unidos, denunció
hoy el director regional de
la Oficina de Pasaportes en
Miami, Ryan Dooley.
La Causa es…“la
facilidad con que
se hallan los
duplicados de los
certificados de
nacimiento de Puerto
Rico”.
…el valor en el mercado ilegal de un certificado de nacimiento de Puerto Rico es
de cerca de $5,000. Estimó, por otra parte, que cerca del 40 por ciento de
casos de robo de identidad en Estados Unidos es de documentos de Puerto Rico.
http://www.primerahora.com/diario/noticia/otras_panorama/noticias/exceso_de_certificados_facilita___robo_de_id
entidad/331994
41. Le costó US$46
billones en el
2002 a las
Es el crimen de instituciones
más rápido financieras en
crecimiento en EEUU
Estados Unidos
Más de 7
millones de
personas fueron http://www.hdmdesigns.com/erp/robo.htm
víctimas en E.U.
en el 2002
42. El tiempo promedio
antes de detectar robo
Sólo 1 de cada de identidad: un año
700 personas
cometiendo robo
de identidad son
atrapadas.
http://www.hdmdesigns.com/erp/robo.htm
48. ¿Cómo y donde puedo
encontrar esa información?
Nombre, Apellido
Dirección
# Teléfono
Correo electrónico
Recibos de Luz/Agua
49.
50. “La ingeniería social es la técnica más eficaz para hacerse
con secretos celosamente protegidos, ya que no requiere de
una sólida formación técnica, ni de grandes conocimientos
sobre protocolos y sistemas operativos", dice el informe de
ETEK.”
"Quienes practican la Ingeniería Social requieren
solamente de astucia, paciencia y una buena dosis de
sicología.”
http://www.channelplanet.com/index.php?idcategoria=10126
51. De acuerdo a Borghello (2009):
La Ingeniería Social puede definirse como una
acción o conducta social destinada a conseguir
información de las personas cercanas a un sistema.
Visentini (2006):
Es una disciplina que consiste básicamente en
sacarle datos a otra persona sin que esta se de
cuenta de que está revelando "información
sensible" y que normalmente no lo haría.
52. La Ingeniería Social, se centra en lograr
la confianza de las personas para luego
engañarlas y manipularlas para el
beneficio propio de quien la
implementa.
53. Ingeniería Social:
Son aquellas conductas y técnicas
utilizadas para conseguir información
de las personas.
54. “La gente por no querer quedar mal o crear
un escándalo, brinda a cualquiera que le
solicita, “información sensible”, y ahí es
donde juega un papel importante la
educación, el enseñarle a los empleados a
decir no”.
63. Kevin Mitnick, uno de los hackers
más famosos del mundo por delitos
utilizando la Ingeniería Social como
principal arma:
"usted puede tener la mejor tecnología, firewalls,
sistemas de detección de ataques, dispositivos
biométricos, etc. Lo único que se necesita es hacer una
llamada a un empleado desprevenido y podemos
obtener la información. Los empleados tienen toda la
información en sus manos".
65. Mitnick fundamenta las estrategias de
Ingeniería Social en los siguientes
postulados:
Todos los seres humanos quieren ayudar.
El primer movimiento es siempre de confianza
hacia el otro.
No nos gusta decir No.
A todos nos gusta que nos alaben.
66. Estos procesos son comúnmente utilizados en
campañas de mercadeo y negocios para
influenciar sobre la gente.
Reciprocidad – una persona hace un favor a otra,
entonces la otra tiene que devolverle el favor.
Compromiso y Consistencia – una persona dijo
que haría una acción y se ve obligada a hacerla, y
debe ser consistente con su forma general de
pensar.
67. Pruebas Sociales - es más cómodo hacer lo
mismo que hace la gente.
Autoridad – las personas reconocen ciertos
tipos de autoridad real o aparente, y los
respetan.
Escasez – las personas se sienten atraídas por
lo que es escaso.
68.
69. El usuario es tentado a realizar una acción
necesaria para vulnerar o dañar un sistema:
Esto ocurre cuando el usuario recibe un mensaje
que lo lleva a abrir un archivo adjunto, abrir la
página web recomendada o ver un supuesto
video.
70. Las personas son engañadas para que revelen
información confidencial tal como:
# de tarjetas de crédito
datos bancarios
contraseñas de correos, etc.
Esta información será usada por los delincuentes para
estafar, realizar compras a nombre de otro, enviar
spam, etc.
71. El usuario es llevado a confiar información
necesaria para que el atacante realice una acción
fraudulenta con los datos obtenidos.
En el caso del “Scam” y el “Phishing”, el usuario
entrega información al delincuente creyendo
que lo hace a una entidad de confianza o con un
pretexto de que obtendrá algo a cambio,
generalmente un “gran premio”.
74. Durante junio de este año se llevó a cabo una
auditoria en una empresa estadounidense que
se dedica a conceder créditos.
El objetivo principal de la auditoria fue el
mostrar la inseguridad de las memorias USB.
75. Estrategia:
La empresa tomó 20 memorias USB de muestra.
Colocaron archivos de varios tipos, incluyendo un
troyano que una vez ejecutado en cualquier
computadora comenzaría a enviar información a los
servidores de la empresa auditora.
Estos USB fueron dejados «olvidados» en el
estacionamiento, zonas de fumadores y otros sitios
de la empresa bajo auditoria.
76. De las veinte (20) memorias, quince (15)
fueron encontradas por empleados de la
empresa en cuestión.
Las quince terminaron por ser conectadas en
computadoras conectados a la red de la
compañía, que en seguida empezaron a
enviar datos a la empresa Auditora que les
permitieron entrar en sus sistemas sin ningún
problema.
77. Autorun USB---Mensaje: TU MAQUINA HA SIDO INFECTADA…CORRE..BUSCA
AYUDA…MENSAJE : 10, 9, 8….DRA. CURBELO
78.
79. Identificar a la
Victima
Salir
Reconocimiento
Obtener la Crear el escenario
información
Realizar el ataque
80.
81. Consiste en recolectar Se lleva acabo con la
información sensible
mediante la interacción entre ayuda de las
humanos. computadoras
83. Consiste en recolectar
información sensible
mediante la interacción entre 1. Imitando ser un usuario
humanos. legítimo.
2. Imitando ser una persona
importante (alto rango)
3. Imitando ser personal
técnico
4. Espiar por encima de su
hombro (Shoulder Surfing)
5. “Dumpster Diving”-
Buscando en los
zafacones
6. En persona
7. Organización Privada
84. Imitando ser un usuario legítimo.
Provee una identificación y solicita información
sensible.
85. “Hola Fulano, soy del
departamento X, y se me
olvidó mi password, me lo
puede indicar ó me lo puede
cambiar
86. Imitando ser una persona importante (alto
rango)
87. “Saludos le habla Juan (Gerencial de
Alto Rango) y el VP me solicitó un
informe sobre los años de servicio
del personal en la oficina de XYZ, y
es con urgencia, ya sabes como es
aquí de un día para otro, anyway por
favor enviame la información al
tecogidebobo@correo.com”
88.
89. Imitando ser personal técnico -Llama y se
hace pasar por técnico
90. Fulano te habla José de Centro
cómputos, anoche tuvimos una
caída en el sistema y estamos
verificando si hubo alguna perdida
de datos por lo que le solicito me
indique su nombre de usuario y su
contraseña.
91. Espiar por encima de su
hombro (Shoulder
Surfing)- consiste en
mirar por encima del
hombro para conseguir
los password.
97. Dumpster Diving- Buscando en los zafacones.
Recibos de facturas, luz, agua, teléfono, cable u
otros servicios.
Información financiera
Se busca “post it”
Números de teléfono
Matrículas
Otros
98. libretas telefónicas manuales de operación
memos de sistemas
organigramas reportes con
manuales de información
procedimientos cuentas de usuarios y
calendarios (de sus contraseñas
reuniones, eventos y formatos con
vacaciones) membretes
Papel timbrado
99. ¿Cuán común es la práctica de
revisión de desperdicios o
basura?
101. "In 1998, the Supreme Court ruled that
Americans do not have a right to privacy
regarding trash. The Economic Espionage Act
of 1996, which made it a federal offense to
steal trade information, doesn’t protect firms
that fail to take reasonable steps to protect
data." CIO Magazine, 2007
http://www.cio.com/article/28510/Best_Practices_for_Shredding_Corporate_Documents
102. Candado a los zafacones
Colocando portones
Colocando letreros de “No pase”
Luces
Utilizando Cámaras de seguridad
Vigilancia
Implementando una política de triturar
documentos
Utilizando trituradoras en la oficinas
Utilizando servicios de trituradoras
103. According to a recent study* conducted by
the Alliance for Secure Business Information
(ASBI):
80% of large organizations surveyed indicated
that they had experienced one or more data
breaches over the previous 12 months
49% of those breaches involved the loss or theft
of paper documents.
The average breach recovery cost $6.3 Million!
http://www.fellowes.com/asbi/
107. Estrategia utilizada por el atacante haciendo
uso de un cuestionario para recolectar
información personal tal como:
Tipo de equipo que utilizan (compras)
Información de Contacto
Horarios
Otros
108. Utilizan la estrategia de identificarse como el
empleado de una compañía de auditoría para
recoger datos.
Por ejemplo:
Saludos, soy Fulano de Tal, el jefe me envió para
que recogiera el informe de auditoría/ informe de
gastos de X,Y, Z. ¿Me lo podría entregar?
110. Una vez conocemos todo de la víctima, y
podemos predecir como actuará frente a
determinados estímulos.
Conocemos sus gustos sus deseos, y es fácil
llevarlo por una conversación telefónica a
donde queremos.
111. • ¿Hola, Juan del Pueblo?
• Le hablamos del servicio de marketing de CASA, estamos
ofreciendo una promoción especial a nuestros mejores
clientes. Consiste en que las llamadas a un número fijo
nacional de su elección, serán gratis durante un año sin
tener que pagar nada.
• Por favor, para poder hacer esto posible necesitamos que
nos confirme una serie de datos….
• - …….
113. Se lleva acabo con la
ayuda de las
1. Email con Malware computadoras
2. PopUp Windows
3. Spam (correo no
deseado)
4. Cadena de cartas
(Chain letters)
5. Emails de engaño
(Hoaxes)
6. “Phishing”
7. Instalando un
“Keylogger”
114.
115. La mejor manera de estar protegido es el
conocimiento
Educar a las personas, a todas las personas.
No informar telefónicamente de las características
técnicas de la red, ni nombre de personal a cargo, etc.
Control de acceso físico al sitio donde se encuentran
los documentos importantes de la compañía.
Políticas de seguridad.******
116. Conozca los procesos de ingeniería social, sus
principios, sus técnicas, la manipulación y la
explotación de los sentimientos y emociones
de las personas.
De esta forma podrá anticiparse a los riesgos
de los ataques.
117. Trabaje en crear la cultura de la cautela,
desconfianza y prudencia ante todas las
situaciones.
Los atacantes que usan la ingeniería social
prefieren cambiar de víctima cuando se
enfrentan a la resistencia educada.
118. Este bien alerta, hay personas que tienen un talento
increíble para “sacarle” información a otras
personas.
Cuando usted note que alguien intenta “sacarle”
información, confronte a esta persona y pregúntele
¿por que quiere saber esa información?
Así la persona sabrá que usted es una persona alerta
y cuidadosa y no volverá a intentar “sacarle”
información.