Security Training IngenierĂa Social
Qué es la Ingeniería Social ?
Método para obtener acceso o inyección de información y recursos
Se basa en el factor humano, a través de engaños, influencia y persuación
Existen métodos técnicos y no técnicos, pero la raíz de todos es la misma (el usuario)
Pueden realizarse al inicio o durante un ataque
Security Training – Ingeniería Social Copyright © Mkit Argentina – www.mkit.com.ar
02
Factores humanos de explotación Codicia: Apelar al lado codicioso humana, prometiendo recompensas por sus actos
Miedo: Amenazas falsas si no se cumple con los pedidos
Ignorancia: Pocos conocen la ingeniería social, sus métodos, alcances y posibilidades
Confianza: Generar una falsa sensación de confianza hacia el atacante
Deseo de ayudar: El ser humano desea ayudar al prójimo por naturaleza Security Training – Ingeniería Social Copyright © Mkit Argentina – www.mkit.com.ar
03
Fases de un ataque de Ingeniería Social Identificación de una víctima, a través de: Information Gathering Dumpster Diving Vigilancias personales Visitas a las facilidades Selección de una víctima. Pueden ser: Empleados Disconformes Empleados Ingenuos Clientes Proveedores Agentes externos con acceso a recursos
Jessica & Rebbeca
Establecer una relación personal con la víctima Aplicar técnicas de persuación según el perfil de la víctima Security Training – Ingeniería Social Copyright © Mkit Argentina – www.mkit.com.ar
04
Tipos de Ataques Human Based: Métodos no técnicos, de naturaleza humana, para realizar el ataque Impersonalización Empleado Importante Tercero de confianza Soporte técnico Shoulder Surfing y Eavesdropping Dumpster Diving Tailgating y Piggybacking Computer Based: Métodos técnicos a través de herramientas informáticas Sitios web falsos Ventanas Pop Up Emails con contenido falso o archivos adjuntos Clientes de mensajería instantánea Redes Sociales Security Training – Ingeniería Social Copyright © Mkit Argentina – www.mkit.com.ar
05
Phishing Falsificación de una identidad mediante métodos informáticos, con contenido falso La ilusión engaña a la víctima. A partir de esto se pueden lograr diferentes ataques: Pedido de envío de información privada de la víctima Pedido de descarga y ejecución de software Ejemplo Ofuscación de URL: www.mibanc0.com http://www.mibanco.dominiox.com http://200.30.40.50/www.mibanco.com Ejemplo Email: Hotmail se cierra Príncipe Nigeriano Remitentes falsificados (bill@microsoft.com) Security Training – Ingeniería Social Copyright © Mkit Argentina – www.mkit.com.ar
06
Contramedidas Mínimos privilegios Rotación de tareas Controles de acceso fuertes Concientización y Capacitación
Security Training – Ingeniería Social Copyright © Mkit Argentina – www.mkit.com.ar
07
Herramientas Servidor Web y SMTP
Conocimientos de HTML
Security Training – Ingeniería Social Copyright © Mkit Argentina – www.mkit.com.ar
08
Herramientas (Cont.) Social Engineering Toolkit
Metasploit Framework
Security Training – Ingeniería Social Copyright © Mkit Argentina – www.mkit.com.ar
09
Referencias
http://www.eccouncil.org http://www.cccure.org http://www.wikipedia.org http://www.amazon.com http://www.mkit.com.ar http://www.matiaskatz.com Mails al profe