Hola!! Como estan? espero ke re bien despues de haber celebrado como Dios manda este Bicentenario... Hace algun tiempo atras estaba posteando un topic de Ingenieria Social, bueno nunca lo termine por ke estaba en ingles y me da una lata horrible traducirlo (la del wn flojo XD). Bueno, ahora caxurenado por ahi encontre uno conciso y preciso de lo ke realmente es la I.S La Ingenieria Social Segun Wikinpedia es: En el campo de la inseguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos. La ingeniería social es un método no técnico para obtener información sobre un sistema, basado en el factor humano, que puede ser utilizada antes o durante un ataque. Esto incluye el proceso de engañar a los usuarios, convenciéndolos de que den información que no deberían dar debido a su importancia o sensibilidad. La ingeniería social supone el uso de la influencia y persuasión,ya sea personalmente o vía teléfono, e-mail, etc. Los métodos tienden a explotar la tendencia natural de las personas a confiar y ayudar a otras personas. El uso de estos métodos deja bien claro que el usuario es el eslabón mas débil de la cadena en la seguridad. Comportamientos Vulnerables a Ataques Confianza : La confianza propia de la naturaleza humana es la base de cualquier ataque de la ingeniería social. Ignorancia: La ignorancia o subestimación sobre la ingeniería social y sus efectos hace de la organización un blanco fácil. Miedo: Advertencias y amenazas de graves peligros en caso del incumplimiento de la solicitud. Codiciaromesas de algo por nada. Deber moral: Cumplimiento de lo solicitado por un sentido de obligación moral. Fases de la Ingeniería Social Investigación sobre la empresa/persona objetivo: Dumpster diving, sitios Web, empleados, visitas a la compañía y más. Seleccionar una víctima: Identificar empleados frustrados, disconformes, incrédulos,principiantes, etc. Desarrollar una relación: Desarrollo de una relación con determinados empleados. Explotar las relaciones para alcanzar el objetivo: Obtener información sensitiva sobre una cuenta. Podemos dividir la ingeniería social en dos ramas: Human-based: Referida a la interacción de persona a persona, directamente o de manera remota (ej:teléfono). Computer-based: Referida al uso de software para interactuar con el usuario (ej: phishing). Una variante mas avanzada es la ingeniería social inversa, que implica que el usuario contacte al atacante sin que este lo solicite. Tipos de Ataques Comunes: Human Based Impersonalización Ganar acceso físico simulando ser un usuario válido. El empleado importante Simulación de ser un ejecutivo, gerente, director, etc. que necesita acción inmediata. Se usa la intimidación, ya que nadie cuestionaría a un superior en posición de autoridad. La tercera parte de confianza Suponer la autorización de una tercera persona válida para simular un permiso en realidad inexistente. Tipos de Ataques Comunes: Human Based (Cont.) El soporte técnico Simulación de ser personal técnico para la obtención de información. Shoulder surfing Supone la obtención de contraseñas espiando lo que tipea un usuario al autenticarse. Dumpster diving Buscar información escrita o impresiones en la basura. Tipos de Ataques Comunes: Computer Based Archivos adjuntos en e-mails Sitios web falsos Ventanas emergentes (popups) Tipos de Ataques Comunes: Objetivos Comunes Recepcionistas y personal de mesa de ayuda Ejecutivos de soporte técnico Proveedores de la organización Administradores de sistemas y usuarios Comprendiendo los Ataques Internos Si un hacker no puede averiguar nada sobre una organización, la alternativa será infiltrarse en la misma. De esta manera, se podría incluir en una búsqueda laboral o aprovechar algún empleado descontento que quiera colaborar. También se puede simular ser un empleado de limpieza, entrega de comida, guardia de seguridad, etc. Internamente el acceso a la información es mas directo y libre. Se estima que un 60% de los ataques ocurren desde adentro Comprendiendo los Ataques Internos (Cont.) Tailgating Una persona no autorizada, con una credencial de identificación falsa, entra en una zona segura siguiendo de cerca a una persona autorizada que ingresa a través de una puerta que requiere clave de acceso. La persona autorizada desconoce que proporciono a una persona no autorizada el acceso a una zona restringida. Piggybacking Una persona autorizada proporciona acceso a una persona no autorizada Comprendiendo los Ataques Internos (Cont.) Eavesdropping Escucha de conversaciones o lectura de mensajes de forma no autorizada. Cualquier forma de interceptación, como audio, vídeo o por escrito. Comprendiendo los Ataques Internos (Cont.) Contramedidas para las amenazas internas Separación de las tareas Rotación de las tareas Mínimos privilegios Control de acceso Auditorías y logs Política legal Comprendiendo el Robo de Identida Un hacker podría hacer uso del robo de identidad para perpetrar un ataque. Las técnicas combinadas de recolección de información podrían permitir la creación de una identificación falsa. En organizaciones numerosas habrá mayores controles pero también mayor cantidad de personas, lo cual evita el reconocimiento directo. En organizaciones pequeñas, el reconocimiento personal es mas directo, por lo que se ejercen menos controles. Ataques de Phishing El phishing supone el envío de e-mails, normalmente simulando ser un banco o entidad financiera, en los cuales se requiere confirmación de datos o cualquier razón para justificar el acceso a un sistema online. Luego, es probable que la persona se dirija al sitio falso, normalmente mediante el click en un link adjunto. Si la persona ingresa sus datos, los estará proporcionando a un entidad falsa creyendo que es real. A continuación suele redireccionarse al usuario al sitio real para no levantar sospecha. Online Scam Algunos sitios web requieren una registración al usuario, y la aprovecha para tomar sus datos de manera real, para luego utilizarlos en otros servicios, dada la alta probabilidad de que se repitan los datos de acceso (usuario y/o password) elegidos. Los archivos adjuntos en e-mails pueden ser utilizados para enviar código malicioso de manera sencilla. Este es un tipo de ataque clásico y muy difundido. Las ventanas emergentes también pueden utilizarse de manera similar para ofrecer beneficios inexistentes, o sugiriendo la instalación de software malicioso. Ofuscación de URLs Las URL (Uniform Resource Locator) son utilizadas en la barra de direcciones del navegador para acceder a un sitio en particular. La ofuscación de URL implica esconder o falsear la URL real y se utiliza mayormente en ataques de phishing. Ejemplo: http://200.42.111.56/bancoxxxx http://secure.bancoxxxxx.dominiox.com La técnica puede incluir el uso de logos reales, pero con hipervínculos falsos, cuya dirección está ofuscada mediante distintas notaciones. Contramedidas No existe firewall, ni IDS, ni antivirus que proteja contra la ingeniería social dado que no es un ataque técnico. Las correctas políticas y procedimientos de seguridad pueden mitigar los ataques de ingeniería social. Los programas de concientización (awareness) son sin duda la mejor herramienta para ayudar a evitar que los empleados sean víctimas de este tipo de ataques. Fuente: estudio CEH IT CT
