OWAND11 Granada Ingeniera social

OWASP
Education Project

David Montero Abujas OWASP Andalucia Chapter Leader Grupo iSoluciones david.montero@owasp.org Twiitter:@raistlinthemage

Copyright 2007 The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.

The OWASP Foundation

http://www.owasp.org

Ingeniera social
Acerca ma
CISA, CISM, CRISC, ISMS Lead Auditor Socio fundador Grupo iSoluciones, Jerez de la Frontera (Cdiz) OWASP Andalucia Chapter Leader Security Researcher en Malware Intelligence BankingITSec, Hackin9, ENISE,

OWASP

Ingeniera social
Perfiles de usuario
Usuarios confiados Usuarios desconfiados que no razonan Usuarios desconfiados que razonan

OWASP

Ingeniera social
Perfiles de usuario
Aparece una ventana al navegar que dice:

Presione el botn Aceptar si quiere ver un mono de dos cabezas bebiendo una botella de Grog (Monkey Island).

Aceptar

OWASP

Ingeniera social
Perfiles de usuario
Presione el botn Aceptar si quiere ver un mono de dos cabezas bebiendo una botella de Grog (Monkey Island).

Aceptar

Usuarios confiados. !Flipa! Seguro que el mono es trending topic maana

OWASP

Ingeniera social
Perfiles de usuario
Presione el botn Aceptar si quiere ver un mono de dos cabezas bebiendo una botella de Grog (Monkey Island).

Aceptar

Usuarios desconfiados. Seguro que es un timo y me quieren vender un seguro

OWASP

Ingeniera social
Perfiles de usuario
Presione el botn Aceptar si quiere ver un mono de dos cabezas bebiendo una botella de Grog (Monkey Island).

Aceptar

Usuarios desconfiados que razonan. Las ventanas emergentes en Internet suelen ser publicitarias, es francamente improbable que exista un mono de dos cabezas, y menos bebiendo bebidas alcohlicas. Es publicidad, timo o malware, mejor no pulso Aceptar.
OWASP
7

Ingeniera social
Que s?
Aprovechar las habilidades sociales de los atacantes para obtener privilegios o informacin ante una persona u organizacin. El phishing es una forma de ingeniera social, engaar a los usuarios para acceder a una pgina de banca electrnica fraudulenta.

OWASP

Ingeniera social
Perfil ideal
Profesional de las tecnologas de la informacin con conocimientos y experiencia en gestin TI. Conocimientos y experiencia en gestin empresarial. Habilidades sociales (elocuencia, empata,) a un nivel alto. Experto en seguridad de la informacin. Imaginacin.
OWASP
9

Ingeniera social
Historia
La ingeniera social existe desde tiempo inmemoriales, pero a nivel TIC su mximo precursor fue Kevin Mitnick Condor. Mitnick afirmaba que la ingeniera social funcionaba por cuatro preceptos:
Todos queremos ayudar. El primer movimiento es siempre de confianza hacia el otro. No nos gusta decir No. A todos nos gusta que nos alaben.

OWASP

10

Ingeniera social
Por qu funciona?
Falta de concienciacin en seguridad por parte de los trabajadores de las empresas, a todos los niveles. La confianza mueve el mundo. Determinadas caractersticas y situaciones generan mayor confianza hacia la vctima (halagos, empata,) Deslocalizacin de ubicaciones facilita la creacin de falsos perfiles internos, no necesariamente tienen que ser grandes empresas.

OWASP

11

Ingeniera social
Medios
Fsico. Suplantacin de identidad, Electrnico. Phishing, e-mails falsos,

OWASP

12

Ingeniera social
Marco de proyectos

Objetivo

Anlisis

Generar vector

Ejecutar vector

OWASP

13

Ingeniera social
Marco de proyectos

Objetivo

Qu deseamos conseguir con el ataque?

OWASP
14

Ingeniera social
Marco de proyectos

Objetivo

Anlisis

Obtener datos corporativos pblicos (Google, DNS, visitas, colaboradores) Identificar potenciales usuarios o personas destinatarias del ataque
OWASP

15

Ingeniera social
Marco de proyectos

Objetivo

Anlisis

Generar vector

Usuario/s objetivo, recursos necesarios, medio fsico / electrnico Timing, contingencias

OWASP
16

Ingeniera social
Marco de proyectos

Objetivo

Anlisis

Generar vector

Ejecutar vector

Ejecucin del vector de ataque y comprobacin de resultados

OWASP
17

Ingeniera social
Caso 1 Asaltando un banco
Objetivo: Obtener informacin de infraestructura TIC privada en bsqueda de vulnerabilidades para explotar de forma externa

OWASP

18

Ingeniera social
Caso 1 Asaltando un banco
Objetivo: Obtener informacin de infraestructura TIC privada en bsqueda de vulnerabilidades para explotar de forma externa Anlisis
Deslocalizacin de oficinas -> Usuarios alejados geogrficamente no se suelen conocer. Confianza y amabilidad de los directores de oficina ante clientes potenciales. Usuarios de sistema de informacin de nivel bajo y poco concienciados en seguridad de la informacin. Problema idiomtico.

OWASP

19

Ingeniera social
Caso 1 Asaltando un banco
Vector de ataque.

Paso 1

Visita a una oficina del banco Convencer al director de la oficina de la potencialidad de una operacin financiera para generar confianza Envo de documentacin para la operacin financiera por medio electrnico Solicitud de acuse de recibo

Paso 2

Paso 3

Recopilar y contrastar informacin del acuse de recibo

OWASP

20

Ingeniera social
Caso 1 Asaltando un banco
Ejecucin del vector.
Obtuvimos nombre y versin exacta del gestor de correo electrnico. Obtuvimos datos de los enrutadores, DMZ y de la gestin del trfico de red. Se mont posteriormente un ataque exitoso contra el gestor de correo.

OWASP

21

Ingeniera social
Caso 2 Amigos de los animales
Objetivo: Suplantar la identidad de socios de un zoolgico y acceder a la intranet.

OWASP

22

Ingeniera social
Caso 2 Amigos de los animales
Objetivo: Suplantar la identidad de socios de un zoolgico y acceder a la intranet. Anlisis
Desconocimiento de los nombres de los socios. Socios tienen acceso a una Intranet corporativa. Oficina tcnica del Zoo centralizada. Confianza y amabilidad del personal del Call Center. Zoo promueve diversos eventos con gran inters y difusin. N.B.: generacin de confianza mediante halagos? Problema idiomtico -> ataque medio electrnico, no fsico. Grupos de Facebook de amigos del Zoo. Poltica de calidad del Zoo orientada hacia el servicio a los clientes y socios.
OWASP
23

Ingeniera social
Caso 2 Amigos de los animales
Vector de ataque.

Paso 1

Buscar en los grupos de Facebook de amigos del Zoo nombres de personas que geogrficamente se encuentren cerca de la localidad del zoo.

Paso 2

Seleccionar nombres de amigos de Facebook Crear direcciones de gmail con esos nombres

Paso 3

Mensaje por correo electrnico notificando el cambio de direcciones de correo de contacto y felicitando al zoo por el ltimo evento celebrado. Mensaje a los tres das solicitando cambio de contrasea del acceso del usuario a la intranet

OWASP

24

Ingeniera social
Caso 2 Amigos de los animales
Ejecucin del vector.
Seleccionamos dos mujeres casadas con hijos del grupo de Facebook que vivan cerca de las instalaciones del Zoo. Resultaron ser socias y desde el Contact Center nos cambiaron las cuentas de contacto mediante el envo de correos electrnicos desde dichas cuentas falsas. Se felicit tambin al Zoo por el paseo nocturno y los fuegos artificiales. A los das se envo un correo solicitando el cambio de contrasea para el acceso a la Intranet.

OWASP

25

Ingeniera social
Caso 3 Fans de los expertos en seguridad
Objetivo: Suplantar la identidad de expertos en seguridad informtica y directivos de grandes empresas.

OWASP

26

Ingeniera social
Caso 3 Fans de los expertos en seguridad
Objetivo: Suplantar la identidad de expertos en seguridad informtica y directivos de grandes empresas. Anlisis
Los expertos en seguridad informtica ligan bastante, eso de la seguridad engancha a las mujeres. Los expertos en seguridad y directivos suelen dar tarjetas de visita a los asistentes a congresos. Los jvenes universitarios que asisten a los congresos de seguridad, especialmente hombres, les gusta ligar, especialmente si son solteros. En Dinamarca y pases limtrofes, casi con toda probabilidad, no conozcan a los expertos y directivos de Espaa.

OWASP

27

Ingeniera social
Caso 3 Fans de los expertos en seguridad
Vector de ataque.

Paso 1

Buscar en un congreso directivos y expertos en seguridad que den tarjetas de visita.

Paso 2

Modificar las tarjetas de visita con Photoshop para cambiar los nombres de los titulares de las tarjetas. Viajar a Dinamarca en un Erasmus y ligar con dos modelos danesas dndole las tarjetas de visita como directivos de Google o Microsoft.

Paso 3

OWASP

28

Ingeniera social
Caso 3 Fans de los expertos en seguridad
Ejecucin del vector.
En la OWAND11 Granada un joven universitario pide una tarjeta de visita al ponente. El joven universitario cambia el nombre de la tarjeta de visita mediante escaneo y Photoshop, y aparece como Fulano Perez, CISA, CISM, CRISC, director gerente de un grupo de empresas especializado en seguridad. El joven universitario viaja a Dinamarca en Erasmus y en un bar conoce una modelo danesa rubia de 1,90m, y se arriesga con la estrategia. El joven universitario chapurrea en ingls un par de frases de seguridad informtica, le comenta que est de visita, y convence a la modelo para echar una noche de juerga. La modelo a la semana llama a la oficina de la empresa, mi mujer se entera que he ligado con una modelo danesa y me pega una ostia.
OWASP
29

Ingeniera social
Conclusiones
Es una herramienta muy efectiva que golpea la seguridad de las organizaciones por su eslabn ms dbil, las personas. La ingeniera social es un excelente complemento de los pentesting. La mejor frmula para minimizar los riesgos de ataques de ingeniera social son la elaboracin e implantacin de planes de concienciacin. Es necesario seguir un marco de trabajo para conseguir objetivos concretos y realistas.
OWASP
30

Ingeniera social

MUCHAS GRACIAS POR SU ATENCIN!!

OWASP

31