La Ingenieria Social
Segun Wikinpedia es:
En el campo de la inseguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
La ingeniería social es un método no técnico para obtener información sobre un sistema, basado en el factor humano, que puede ser utilizada antes o durante un ataque.
Esto incluye el proceso de engañar a los usuarios, convenciéndolos de que den información que no deberían dar debido a su importancia o sensibilidad.
La ingeniería social supone el uso de la influencia y persuasión,ya sea personalmente o vía teléfono, e-mail, etc.
Los métodos tienden a explotar la tendencia natural de las personas a confiar y ayudar a otras personas.
El uso de estos métodos deja bien claro que el usuario es el eslabón mas débil de la cadena en la seguridad.
La ingeniería social supone el uso de la influencia y persuasión,ya sea personalmente o vía teléfono, e-mail, etc.
Los métodos tienden a explotar la tendencia natural de las personas a confiar y ayudar a otras personas.
El uso de estos métodos deja bien claro que el usuario es el eslabón mas débil de la cadena en la seguridad.
Comportamientos Vulnerables a Ataques
Confianza : La confianza propia de la naturaleza humana es la base de cualquier ataque de la ingeniería social.
Ignorancia: La ignorancia o subestimación sobre la ingeniería social y sus efectos hace de la organización un blanco fácil.
Miedo: Advertencias y amenazas de graves peligros en caso del incumplimiento de la solicitud.
Codicia:Promesas de algo por nada.
Deber moral: Cumplimiento de lo solicitado por un sentido de obligación moral.
Ignorancia: La ignorancia o subestimación sobre la ingeniería social y sus efectos hace de la organización un blanco fácil.
Miedo: Advertencias y amenazas de graves peligros en caso del incumplimiento de la solicitud.
Codicia:Promesas de algo por nada.
Deber moral: Cumplimiento de lo solicitado por un sentido de obligación moral.
Fases de la Ingeniería Social
Investigación sobre la empresa/persona objetivo:
Dumpster diving, sitios Web, empleados, visitas a la compañía y más.
Seleccionar una víctima: Identificar empleados frustrados, disconformes, incrédulos,principiantes, etc.
Desarrollar una relación: Desarrollo de una relación con determinados empleados.
Explotar las relaciones para alcanzar el objetivo: Obtener información sensitiva sobre una cuenta.
Computer-based: Referida al uso de software para interactuar con el usuario (ej: phishing). Una variante mas avanzada es la ingeniería social
inversa, que implica que el usuario contacte al atacante “sin que este lo solicite”.
Tipos de Ataques Comunes: Human Based
Impersonalización
Ganar acceso físico simulando ser un usuario válido.
El empleado importante
Simulación de ser un ejecutivo, gerente, director, etc. que necesita acción inmediata. Se usa la intimidación, ya que nadie cuestionaría a un superior en posición de autoridad.
La tercera parte de confianza
Suponer la autorización de una tercera persona válida para simular un permiso en realidad inexistente.
Tipos de Ataques Comunes: Human Based (Cont.)
El soporte técnico
Simulación de ser personal técnico para la obtención de información.
Shoulder surfing
Supone la obtención de contraseñas espiando lo que tipea un usuario al autenticarse.
Dumpster diving
Buscar información escrita o impresiones en la basura.
Tipos de Ataques Comunes: Computer Based
Archivos adjuntos en e-mails
Sitios web falsos
Ventanas emergentes (popups)
Tipos de Ataques Comunes: Objetivos Comunes
Recepcionistas y personal de mesa de ayuda
Ejecutivos de soporte técnico
Proveedores de la organización
Administradores de sistemas y usuarios
Comprendiendo los Ataques Internos
Si un hacker no puede averiguar nada sobre una organización, la alternativa será infiltrarse en la misma.
De esta manera, se podría incluir en una búsqueda laboral o
aprovechar algún empleado descontento que quiera colaborar.
También se puede simular ser un empleado de limpieza, entrega
de comida, guardia de seguridad, etc.
Internamente el acceso a la información es mas directo y libre.
Se estima que un 60% de los ataques ocurren desde adentro
Comprendiendo los Ataques Internos (Cont.)
Tailgating
Una persona no autorizada, con una credencial de identificación falsa, entra en una zona segura siguiendo de cerca a una persona autorizada que ingresa a través de una puerta que requiere clave de acceso.
La persona autorizada desconoce que proporciono a una persona no autorizada el acceso a una zona restringida.
Piggybacking
Una persona autorizada proporciona acceso a una persona no autorizada
Comprendiendo los Ataques Internos (Cont.)
Eavesdropping
Escucha de conversaciones o lectura de mensajes de forma no autorizada.
Cualquier forma de interceptación, como audio, vídeo o
por escrito.
Comprendiendo los Ataques Internos (Cont.)
Contramedidas para las amenazas internas
Separación de las tareas
Rotación de las tareas
Mínimos privilegios
Control de acceso
Auditorías y logs
Política legal
Dumpster diving, sitios Web, empleados, visitas a la compañía y más.
Seleccionar una víctima: Identificar empleados frustrados, disconformes, incrédulos,principiantes, etc.
Desarrollar una relación: Desarrollo de una relación con determinados empleados.
Explotar las relaciones para alcanzar el objetivo: Obtener información sensitiva sobre una cuenta.
Podemos dividir la ingeniería social en dos ramas:
Human-based: Referida a la interacción de persona a persona, directamente o de manera remota (ej:teléfono).
Human-based: Referida a la interacción de persona a persona, directamente o de manera remota (ej:teléfono).
Computer-based: Referida al uso de software para interactuar con el usuario (ej: phishing). Una variante mas avanzada es la ingeniería social
inversa, que implica que el usuario contacte al atacante “sin que este lo solicite”.
Tipos de Ataques Comunes: Human Based
Impersonalización
Ganar acceso físico simulando ser un usuario válido.
El empleado importante
Simulación de ser un ejecutivo, gerente, director, etc. que necesita acción inmediata. Se usa la intimidación, ya que nadie cuestionaría a un superior en posición de autoridad.
La tercera parte de confianza
Suponer la autorización de una tercera persona válida para simular un permiso en realidad inexistente.
Tipos de Ataques Comunes: Human Based (Cont.)
El soporte técnico
Simulación de ser personal técnico para la obtención de información.
Shoulder surfing
Supone la obtención de contraseñas espiando lo que tipea un usuario al autenticarse.
Dumpster diving
Buscar información escrita o impresiones en la basura.
Tipos de Ataques Comunes: Computer Based
Archivos adjuntos en e-mails
Sitios web falsos
Ventanas emergentes (popups)
Tipos de Ataques Comunes: Objetivos Comunes
Recepcionistas y personal de mesa de ayuda
Ejecutivos de soporte técnico
Proveedores de la organización
Administradores de sistemas y usuarios
Comprendiendo los Ataques Internos
Si un hacker no puede averiguar nada sobre una organización, la alternativa será infiltrarse en la misma.
De esta manera, se podría incluir en una búsqueda laboral o
aprovechar algún empleado descontento que quiera colaborar.
También se puede simular ser un empleado de limpieza, entrega
de comida, guardia de seguridad, etc.
Internamente el acceso a la información es mas directo y libre.
Se estima que un 60% de los ataques ocurren desde adentro
Comprendiendo los Ataques Internos (Cont.)
Tailgating
Una persona no autorizada, con una credencial de identificación falsa, entra en una zona segura siguiendo de cerca a una persona autorizada que ingresa a través de una puerta que requiere clave de acceso.
La persona autorizada desconoce que proporciono a una persona no autorizada el acceso a una zona restringida.
Piggybacking
Una persona autorizada proporciona acceso a una persona no autorizada
Comprendiendo los Ataques Internos (Cont.)
Eavesdropping
Escucha de conversaciones o lectura de mensajes de forma no autorizada.
Cualquier forma de interceptación, como audio, vídeo o
por escrito.
Comprendiendo los Ataques Internos (Cont.)
Contramedidas para las amenazas internas
Separación de las tareas
Rotación de las tareas
Mínimos privilegios
Control de acceso
Auditorías y logs
Política legal
Comprendiendo el Robo de Identida
Un hacker podría hacer uso del robo de identidad para perpetrar un ataque.
Las técnicas combinadas de recolección de información podrían permitir la creación de una identificación falsa.
En organizaciones numerosas habrá mayores controles pero también mayor cantidad de personas, lo cual evita el reconocimiento directo.
En organizaciones pequeñas, el reconocimiento personal es mas directo, por lo que se ejercen menos controles.
Ataques de PhishingLas técnicas combinadas de recolección de información podrían permitir la creación de una identificación falsa.
En organizaciones numerosas habrá mayores controles pero también mayor cantidad de personas, lo cual evita el reconocimiento directo.
En organizaciones pequeñas, el reconocimiento personal es mas directo, por lo que se ejercen menos controles.
El phishing supone el envío de e-mails, normalmente simulando ser un banco o entidad financiera, en los cuales se requiere confirmación de datos o cualquier razón para justificar el acceso a un sistema online.
Luego, es probable que la persona se dirija al sitio falso, normalmente mediante el click en un link adjunto.
Si la persona ingresa sus datos, los estará proporcionando a un entidad falsa creyendo que es real.
A continuación suele redireccionarse al usuario al sitio real para
no levantar sospecha.
Luego, es probable que la persona se dirija al sitio falso, normalmente mediante el click en un link adjunto.
Si la persona ingresa sus datos, los estará proporcionando a un entidad falsa creyendo que es real.
A continuación suele redireccionarse al usuario al sitio real para
no levantar sospecha.
Online Scam
Algunos sitios web requieren una registración al usuario, y la aprovecha para tomar sus datos de manera real, para luego utilizarlos en otros servicios, dada la alta probabilidad de que se repitan los datos de acceso (usuario y/o password) elegidos.
Los archivos adjuntos en e-mails pueden ser utilizados para enviar código malicioso de manera sencilla. Este es un tipo de ataque clásico y muy difundido.
Las ventanas emergentes también pueden utilizarse de manera similar para ofrecer beneficios inexistentes, o sugiriendo la instalación de software malicioso.
Las ventanas emergentes también pueden utilizarse de manera similar para ofrecer beneficios inexistentes, o sugiriendo la instalación de software malicioso.
Ofuscación de URLs
Las URL (Uniform Resource Locator) son utilizadas en la barra de direcciones del navegador para acceder a un sitio en particular.
La ofuscación de URL implica esconder o falsear la URL real y se utiliza mayormente en ataques de phishing.
Ejemplo:
http://200.42.111.56/bancoxxxx
http://secure.bancoxxxxx.dominiox.com
La técnica puede incluir el uso de logos reales, pero con hipervínculos
falsos, cuya dirección está ofuscada mediante distintas notaciones.
La ofuscación de URL implica esconder o falsear la URL real y se utiliza mayormente en ataques de phishing.
Ejemplo:
http://200.42.111.56/bancoxxxx
http://secure.bancoxxxxx.dominiox.com
La técnica puede incluir el uso de logos reales, pero con hipervínculos
falsos, cuya dirección está ofuscada mediante distintas notaciones.
Contramedidas
No existe firewall, ni IDS, ni antivirus que proteja contra la ingeniería social dado que no es un ataque técnico.
Las correctas políticas y procedimientos de seguridad pueden mitigar los ataques de ingeniería social.
Los programas de concientización (awareness) son sin duda la mejor herramienta para ayudar a evitar que los empleados sean víctimas de este tipo de ataques.
Fuente: estudio CEH IT CT
No hay comentarios:
Publicar un comentario