jueves, 28 de febrero de 2013

Ingeniería Social

Voy a ser lo más compacto, preciso y completo posible al explicar la Ingeniería Social…. comenzamos con el concepto

¿Qué es la Ingeniería Social?
Es el arte de convencer a la gente de revelar información confidencial.

Comportamientos vulnerables a los ataques
Naturaleza humada a la confianza.
Ignorancia sobre la ingeniería social.
Obligación moral.
Etc.

Factores que hacen a las compañías vulnerables
Entrenamiento sobre seguridad insuficiente.
Fugas de políticas de seguridad.
Fácil acceso a la información.
Muchas Unidades organizativas

La Ingeniería social es efectiva porque los errores humanos son más susceptibles.
  • Es difícil detectar intentos de ingeniería social.
  • No hay métodos para asegurarse completamente contra ataques de ingeniería social.
  • No hay ningún software o hardware que defienda contra la ingeniería social.

Típicas señales de Ingeniería social
  • Mostrar rápida a inadvertidamente el nombre.
  • Utilizan elogios.
  • Muestra disconformidad cuando es cuestionado.
  • Pretende, reclama autoridad si la información no es provista.
  • Hacen solicitudes informales.
  • Etc.

Fases de un ataque de ingeniería social
  • Research: Dumpster diving (buceo de basurero), sitios web, empleados, etc. Crean relaciones con empleados selectos.
  • Develop: Eligen al empleado víctima.
  • Exploit: Seleccionan a la víctima, identifican empleados frustrados, etc. Explotan la relación, recolectan información sensible, información financiera, tecnologías que utilizan en su compañía, etc.

Impactos en la organización
  • Pierde privacidad.
  • Peligros de terrorismo.
  • Pérdidas económicas.
  • Daño, etc.

Ataques de inyección de comandos
  • Online: Internet, acercarse a los empleados, persuadir.
  • Teléfono: Imitación de un usuario legítimo.
  • Acercamiento personal. Obtener información preguntando directamente.

Blancos comunes de Ingeniería Social
  • Relaciones y Help Desk.
  • Usuarios y clientes.
  • Vendedores de la organización.
  • Administradores de sistemas.
  • Soporte técnico.
  • Hacerse pasar por trabajadores de la organización.


Tipos de Ingeniería Social
Human-based. Obtienen información sensible por interacción, miedo, confianza y la naturaleza humana de ayudar.
Fingiendo ser un usuario legítimo, dar la identidad y preguntar por información sensible. “Hola soy Juan de departamento de Ventas….”
Fingiendo ser un usuario importante, haciéndose pasar por ejemplo con un cliente importante.
Fingiendo ser de soporte técnico. “Don Juan, aquí habla xx de soporte, ayer tuvimos un problema con el sistema, y estamos revisando si está todo OK, me puede dar su nombre de usuario?”

Eavesdropping: Escucha de conversaciones no autorizada, o lectura de mensajes, intercepción de audio, video, etc.

Shoulder Surfing: Procedimiento de robar passwords, identificación personal, números de cuentas, etc. Viendo sobre su hombro (shoulder) a la distancia tratando de obtener dicha información.

Dumpster Diving: Buscar un “tesoro” en la basura de alguien. Información de contacto, pagos de teléfono, información de operaciones, información financiera, etc.

Tailgating: Una persona no autorizada con una maleta entra a un área segura siguiendo a una persona autorizada cerca de una puerta con acceso con llaves o sensores, etc.

In person: Recolectar información sobre tecnologías que utilizan, información de contactos, etc.

Third-Party Autorization: Referirse a una persona importante de la organización y tratar de recolectar datos. “Don Pepe, nuestro jefe administrativo me pidió que lleve los reportes de auditoría”

Computer-based. Utilizando la ayuda de computadoras.

Pop-ups preguntando por información personal, GANASTE 1 millón de dólares.
Mails o cartas engañosas (Hoax) indicando que están infectado con virus, troyanos, worms, etc.
Cadenas de correos ofreciendo regalos gratis, etc.

Por mensajería obteniendo información personal.

Correo spam irrelevante, no deseado, no solicitado para recolectar información financiera, números de identificación, información de la red, etc.
Phishing páginas web falsas, bancos, ebay, etc.
Utilizando SMS, pidiendo tarjetas de crédito, información sensible.

Insider attack
Espiando: Especialmente los competidores.
Venganza: Personas enojadas, empleados enojados o frustrados.
60% de los ataques ocurren detrás del firewall. Un ataque interno es fácil de realizar. La prevención es difícil.

Prevención de amenazas internas
  1. No existe una prevención fácil para las amenazas internas.
  2. Políticas legales.
  3. Auditorías y logging.
  4. Acceso controlado.
  5. Privilegios mínimos.
  6. Reparación y rotación de deberes.
  7. Archivar datos críticos.

Ingeniería Social en las redes sociales para obtener información personal y/o sensible de los usuarios.

Robo de datos, riesgo de explotación de información.
Fuga involuntaria de información, sin saberlo muestra, postea o publica información sensible de la organización.
Ataques dirigidos, reconocimiento preliminar.
Vulnerabilidad de la red, fallas o bugs en la red.
Riesgos de la ingeniería social en la red de las organizaciones

Robo de identidad
Robo de información personal, ocurre cuando una persona roba su nombre y/u otra información personal para propósitos fraudulentos.
Pérdida de números de seguridad social, el impostor obtiene información personal, como números de licencias, de identificación, etc.

Como contramedidas, se sugiere:
  • Desconfiar de las llamadas telefónicas, preguntas, correos, etc. preguntando información sobre la empresa.
  • Verificar la identidad del o los solicitantes
  • Ser cauteloso al proporcionar información confidencial… estar seguros!!
  • Minimizar el uso de correo para proporcionar información financiera ni personal, especialmente porque es propenso a la suplantación de identidad.
Publicado por en
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)