Ingeniera Social - PowerPoint PPT Presentation

1 / 27
About This Presentation
Title:

Ingeniera Social

Description:

Detectives privados. El factor humano ... El esp a y el detective es su trabajo. El gobierno por la seguridad de la naci n. ... – PowerPoint PPT presentation

Number of Views:68
Avg rating:3.0/5.0
Slides: 28
Provided by: hackandal
Category:

less

Transcript and Presenter's Notes

Title: Ingeniera Social


1
Ingeniería Social
  • Adrián Ramírez
  • adrian_at_dolbuck.com

2
Lecturas recomendadas
El gran juego-Carlos Martín Pérez The art of
deception -Kevin Mitnick Stealing the
Network How to Own the Box Películas 9
REINAS (Director Bielinsky ) Zona de descarga de
la charla y algunos libros en pdf http//www.dolb
uck.com
3
Introducción "Usted puede tener la mejor
tecnología, firewalls, sistemas de detección de
ataques, dispositivos biométricos, etc. Lo único
que se necesita es un llamado a un empleado
desprevenido e ingresan sin más. Tienen todo en
sus manos." Kevin Mitnick.
4
Qué es la ingeniería social?Bajo el nombre de
Ingeniería Social (literalmente traducido del
inglés Social Engineering) ACCIONES O CONDUCTAS
útiles para conseguir información de las personas
cercanas a un sistema.
Es una disciplina que consiste, ni más ni menos
en sacar información a otra persona sin que esta
sé de cuenta de que te esta revelando
"información sensible". Con este curioso término
se engloba una serie de tretas, artimañas y
engaños elaborados cuyo fin es confundir al
usuario o, peor todavía, lograr que comprometa
seriamente la seguridad de sus sistemas.
Aprovecha sentimientos tan variados como
curiosidad, la avaricia, el sexo, la compasión o
el miedo, de esta forma se consigue el objetivo,
una acción por parte del usuario.
5
Quiénes la usan?
  • Hackers
  • Espías
  • Ladrones o timadores
  • Detectives privados

6
El factor humano
  • En el congreso "Access All Areas" de 1997, un
    conferenciante aseguraba
  • "Aunque se dice que el único ordenador seguro es
    el que está desenchufado,

los amantes de la ingeniería social gustan
responder que siempre se puede convencer a
alguien para que lo enchufe.
El factor humano es el eslabón más débil de la
seguridad informática. Y no hay un sólo ordenador
en el mundo que no dependa de un ser humano, es
una vulnerabilidad universal e independiente de
la plataforma tecnológica".
7
Ingeniería social en los 80
  • La gente era más inocente
  • Las contraseñas más débiles
  • Los sistemas más vulnerables
  • Las leyes menos rigurosas

8
Ingeniería social en nuestros tiempos
  • CASO 1 Practicando en casa

CHAT? IRC?CANAL?LESBIANAS?
Objetivo?conseguir videoconferencia con una
lesbiana
Materiales Capturadora de video, Ingeniería
social, webcam
9
  • Caso 2 Seguir jugando

Nos damos de alta una cuenta en hotmail, con
nombre de chica Creamos un perfil
curioso Entramos a los chats y damos nuestro
mail Somos la típica niña que recién se compró el
ordenador y necesita Ayuda (damos confianza, y
aumentamos el ego de la victima al ponerlo en el
papel de nustro salvador, si le añadimos dulces
piropos y besos virtuales, en cuestión de
tendremos lo que buscamos, o estaremos en
condiciones de enviarle un troyano que nos abra
de par en par su ordenador, una vez conocido su
sistema.
10
  • Caso 3 Nos ponemos serios

Cuando se llega a los 30, ya no estamos para
chatear o dedicarnos A robar fotos guarrillas de
usuarios de Internet que se hacen a ellos mismos
o a sus parejas.
NO TODO ES SEXO EN LA VIDA
Fijamos un objetivo
Primer etapa INFORMACIÓN
11
  • Ética ??

Recomendado leer El gran Juego
Justificaciones El espía y el detectivegtgtgt es su
trabajo. El gobierno gtgtgtgt por la seguridad de la
nación. El timador gtgtgtgt su medio de vida (la
pasta) El hacker gtgtgtgt curiosidad?!!!
12
  • Ordenando la información
  • Al igual que al preparar un ataque a un sistema
    informático.
  • Versión, bug, etc.
  • Vamos elaborando una lista, sobre nuestro
    objetivo.
  • Gustos, vicios, marca de cigarrillos, matrícula
    del coche, modelo, móvil, DNI, nombre de los
    hijos, de la mujer, de la novia, figuras
    principales de en su vida, se elabora un perfil
    psicológico de la persona.
  • Fuente Internet, basura, amigos, familiares,
    buscar siempre las personas mayores, abuelas, o
    niños, hijos, hermanos, etc.

13
Preparando la estrategia
  • Todo objetivo se vale de una estrategia para
    lograrlo. Ese es el fin mismo de la estrategia.
  • Antes debemos
  • SABER, QUERER Y PODER hacerlo.

14
La ingeniería social por excelencia
  • Ahora estamos preparados para poner la trampa.
    Conocemos todo de nuestra víctima, y podemos
    predecir como actuará frente a determinados
    estímulos.
  • Conocemos sus gustos sus deseos, y es fácil
    llevarlo por una conversación telefónica a donde
    queremos.

15
  • Hola, Raúl Pérez Padilla?
  • Le hablamos del servicio de marketing de
    TUFONICA, estamos ofreciendo una promoción
    especial a nuestros mejores clientes. Consiste en
    que las llamadas a un número fijo nacional de su
    elección, serán gratis durante un año sin tener
    que pagar nada.
  • Por favor, para poder hacer esto posible
    necesitamos que nos confirme una serie de datos.
  • - .

16
  • Mi experiencia como comercial de
  • AUNA CABLE o INSTALADOR ADSL
  • Que logramos con esto?

Entrar a una casa, nuestra víctima quizás
EJEMPLO Llamada a nuestro móvil, nuestro jefe,
necesitamos enviar un dato urgente, no nos
dejaría el ordenador para enviarlo?
17
  • Un ejemplo extraído de una pagina cita
    textualmente conocido el ataque que sufrió la
    Web de la Guardia Civil 1999
  • (http//www.guardiacivil.org/) dirigiéndola hacia
    un site gay. Como ha comentado la benemérita en
    varias ocasiones, no se debió a ningún fallo de
    su sistema, sino a que el atacante, envió un
    correo como si se tratara del administrador del
    dominio guardiacivil.org a Network Solutions y
    estos cambiaron los DNS del registro del dominio
    por los que quiso el atacante, redirigiendo así
    la Web de la Guardia Civil a la Web gay.

18
  • IS COMO PIEZA DE UN PUZZLE MORTAL

Mezclar la IS con la tecnología hace que el
conjunto en sí, sea un arma mortal, crear un
keylog, o un troyano en VB, o C, No requiere un
gran esfuerzo, incluso el control total de Pelé,
tardó tiempo en ser reconocido por los
principales antivirus. CD de regalos, archivos
adjuntos, echar imaginación. Quién no compraría
el último Cd de nuestro cantante favorito Por 1
a un tio que monto una manta en la puerta de
nuestra casa, como caído del cielo. ???
19
  • Pistas
  • Si nos hacemos pasar por técnicos, hablar en
    lenguaje técnico, la gente suele no entender nada
    y decirnos siempre que si.
  • Encuestas inocentes a los familiares de las
    victimas, edades, nombres, etc. (Hacer unas
    cuantas para tener soltura).
  • Oferta increíble enviaremos la ampliación por
    mail (ahí introducimos el troyano). Es un mail
    esperado, lo abrirá seguro.

20
HOTMAIL HACKEABLE?
  • Tecnológicamente es difícil tenemos que hackear
    los servidores de Micorsoft, para obtener qué,
    una cuenta?. Es caro, lleva tiempo, y en mi caso
    es imposible. Soy realista

21
  • Si analizamos el problema, vemos que lo que
    queremos es una cuenta en concreto.
  • Si es de nuestra novia/o (esta tirado), un
    compañero o amigo, virtual o no (tirado también),
    de una persona por encargo.(Requiere un proceso
    fino de ingeniera social, objetivo, un keylog, y
    acceder 2 veces al ordenador) por ejemplo.

ÉTICA? gtgtVIOLACIÓN DE LA PRIVACIDAD?gtgtgt ????
22
  • Links de formas de hackear hotmail.
  • http//usuarios.lycos.es/unsafebytes/hackearhotmai
    l.htm
  • http//www.comunidadcmx.com/index.php

23
(No Transcript)
24
Conclusiones La ingeniería social NUNCA PASARÁ
DE MODA. Es un arte, el arte que deja la ética
de lado El ingrediente necesario detrás de todo
gran ataque. Tu red tiene firewall?. . Tiene
antivirus??? Tus administradores estan
entrenados para hablar con hackers y detectar
sus intentos de ingeniería social?
25
Y María la de la limpieza?
  • Ella también está preparada...?

26
Contramedidas
  • La mejor manera de esta protegido pasa por el
    conocimiento.
  • Educar a las personas, en concreto a las personas
    que trabajan cerca de las terminales, desde los
    operarios, hasta personal de limpieza.
  • Analizar con antivirus todo los correos que
    reciban
  • No informar telefónicamente de las
    características técnicas de la red, ni nombre de
    personal a cargo, etc.
  • Control de acceso físico al sitio donde se
    encuentra los ordenadores.
  • Políticas de seguridad a nivel de Sistema
    Operativo.

27
Lecturas recomendadas
El gran juego-Carlos Martín Pérez The art of
deception -Kevin Mitnick Stealing the
Network How to Own the Box Películas 9
REINAS (Director Bielinsky ) Zona de descarga de
la charla y algunos libros en pdf http//www.dolb
uck.com
Write a Comment
User Comments (0)
About PowerShow.com