La ingeniería social aplicada al delito informático. Una aproximación. (Presentación PowerPoint)
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Introducción La mayoría de las personas no es
consciente de que sus datos personales no se muestran en
cualquier sitio o se revelan a cualquiera en la vida real, pero
sí los va dejando por la red de redes con una facilidad
pasmosa. Definición de IS: Según wikipedia:
“la práctica de obtener información
confidencial a través de la manipulación de
usuarios legítimos” 1
INGENIERÍA SOCIAL. UNA APROXIMACIÓN Conceptos de IS
I La ingeniería social consiste en obtener
información de terceros sin que éstos se den
cuenta. No existe limitación en cuanto al tipo de
información obtenida ni a la utilización posterior
que se hace de ésta. Existe desde hace mucho tiempo y
todos hemos sido víctimas de ella alguna vez en la vida.
2
INGENIERÍA SOCIAL. UNA APROXIMACIÓN Conceptos de IS
II La ingeniería social aprovecha sentimientos tan
variados como curiosidad, la avaricia, el sexo, la
compasión o el miedo. Busca una acción por parte
del usuario. 3
INGENIERÍA SOCIAL. UNA APROXIMACIÓN Conceptos de IS
III Grupos que la usan: Los hackers. Los espías. Los
ladrones o timadores. Los detectives privados. Los vendedores.
4
INGENIERÍA SOCIAL. UNA APROXIMACIÓN Conceptos de IS
IV Cambio de paradigma en el objetivo de los ataques 5
INGENIERÍA SOCIAL. UNA APROXIMACIÓN Conceptos de IS
V La ingeniería social acaba en el momento que se obtiene
la información deseada, es decir, las acciones delictivas
que esa información pueda facilitar o favorecer no se
enmarcan bajo este término. 6
INGENIERÍA SOCIAL. UNA APROXIMACIÓN Conceptos de IS
MORALEJA: “Aunque se dice que el único ordenador
seguro es el que está desenchufado, los amantes de la
ingeniería social gustan responder que siempre se puede
convencer a alguien para que lo enchufe.” Congreso "Access
All Areas“ 1997 7
INGENIERÍA SOCIAL. UNA APROXIMACIÓN Objetivos I
Antiguos Conseguir beneficios económicos para los
creadores de malware y estafadores debido al ínfimo costo
de implementación y el alto beneficio obtenido. Realizar
compras telefónicamente o por Internet con medios de
terceros, conociendo bastante sobre ellos (datos personales,
tarjeta de crédito, dirección, etc.). 8
INGENIERÍA SOCIAL. UNA APROXIMACIÓN Objetivos II
Acceder gratuitamente a Internet si lo que se buscaba era nombre
de usuario y contraseña de algún cliente que abone
algún servicio de Banda Ancha. 9
INGENIERÍA SOCIAL. UNA APROXIMACIÓN Objetivos III
En la actualidad. Obtener el control de una cuenta de correo para
difamar, enviar spam, etc. Obtener el control de un perfil social
para pedir a cambio favores sexuales, económicos o de otra
índole. Conseguir el control total de un equipo para
unirlo a una red zombi. 10
INGENIERÍA SOCIAL. UNA APROXIMACIÓN ¿Por
qué funciona? I Fundamentos Hay que obtener
información personal de la víctima primero. Todas
las técnicas no sirven indefinidamente. Poseer cualidades,
bien sea de forma innata o entrenándolas. “Existen
ciertos procesos (sociales) que son automáticos tanto en
el ser humano como en los animales en virtud de las relaciones
con los demás” 11
INGENIERÍA SOCIAL. UNA APROXIMACIÓN ¿Por
qué funciona? II Cualidades que se deben poseer:
Reciprocidad. Compromiso. Consistencia. Pruebas sociales.
Escasez. Gustarse y ser parecidos. 12
INGENIERÍA SOCIAL. UNA APROXIMACIÓN ¿Por
qué funciona? III Los 4 principios de la IS según
Kevin Mitnick: 13
INGENIERÍA SOCIAL. UNA APROXIMACIÓN ¿Por
qué funciona? III Los 4 principios de la IS según
Kevin Mitnick: Todos queremos ayudar. 14
INGENIERÍA SOCIAL. UNA APROXIMACIÓN ¿Por
qué funciona? III Los 4 principios de la IS según
Kevin Mitnick: Todos queremos ayudar. El primer movimiento es
siempre de confianza hacia el otro. 15
INGENIERÍA SOCIAL. UNA APROXIMACIÓN ¿Por
qué funciona? III Los 4 principios de la IS según
Kevin Mitnick: Todos queremos ayudar. El primer movimiento es
siempre de confianza hacia el otro. No nos gusta decir No.
16
INGENIERÍA SOCIAL. UNA APROXIMACIÓN ¿Por
qué funciona? III Los 4 principios de la IS según
Kevin Mitnick: Todos queremos ayudar. El primer movimiento es
siempre de confianza hacia el otro. No nos gusta decir No. A
todos nos gusta que nos alaben. 17
INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de
ataque I Medios: teléfono fijo, móvil, ordenador de
sobremesa o portátil con conexión a internet,
correo postal. Todo el mundo tiene acceso a ellos!!!!!! 18
INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de
ataque II ATAQUE TELEFÓNICO Requisitos: Teléfono
fijo o móvil. Es un tipo de ataque muy eficiente debido a
que no hay contacto visual entre víctima y atacante. No se
pueden percibir expresiones del rostro ni de lenguaje corporal
que diesen indicios de que el atacante nos está
engañando. El atacante puede usar todo su potencial de
persuasión. 19
INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de
ataque III ATAQUE TELEFÓNICO Ejemplo. 20
INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de
ataque IV ATAQUE WEB Requisitos: Ordenador con conexión a
internet. Actualmente es el medio principal para llevar a cabo
ataques de todo tipo contra los datos privados. La línea
entre ataque de ingeniería social y el delito es muy
delgada, sobre todo si se instala un programa keylogger (programa
que captura las pulsaciones del teclado) o troyano que convierte
al ordenador en un bot (ordenador secuestrado o zombi). 21
INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de
ataque V ATAQUE WEB Ejemplo. 22
INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de
ataque VI ATAQUE WEB Ejemplo. 23
INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de
ataque VII ATAQUE POSTAL Requisitos: Un apartado de correos
propio y un modelo de cupones descuento o suscripción a
revista. En los datos se solicita una clave que le interese al
atacante. Está comprobado que el usuario promedio utiliza
la misma clave para múltiples usos. El atacante tiene la
esperanza de que esa misma ya se haya usado en otros lugares
más sensibles por parte de la víctima 24
INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de
ataque VIII ATAQUE SMS Requisitos: se necesita un listado de
teléfonos móviles y algún tipo de programa
informático o empresa de mensajería móvil
masiva. Se basa en la falsa creencia de que la telefonía
móvil es un medio seguro y no se puede robar a
través de él. En este tipo de ataques, lo
más corriente es robar saldo más que algún
tipo de datos. 25
INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de
ataque IX ATAQUE SMS No es frecuente en España. Para
engañar al usuario se usan diferentes excusas, como una
felicitación por haber ganado mensajes de texto (sms)
gratis o haber ganado algún premio en un sorteo o una
persona caritativa y sin ánimo de lucro que te
enseña cómo hacer para que tu línea tenga
más crédito. Todo con sólo mandar un sms.
26
INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de
ataque X ATAQUE SMS Al hacerlo, se está transfiriendo
parte del saldo de tu línea a la persona que te
envió el mensaje. Es un servicio que brindan las
compañías de telefonía móvil a sus
clientes para transferir crédito a otra persona. 27
INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de
ataque XI ATAQUE SMS Ejemplo: 28
INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de
ataque XII ATAQUE CARA A CARA REQUISITOS: Una puesta en escena
bien cuidada y creíble, incluyendo vestuario, atrezo y
todo lo que sea necesario. El propio atacante el que se persona
ante la víctima para extraer la información. Son
los más eficientes, puesto que el atacante se gana la
confianza total de la víctima. Son los más
difíciles de realizar. Si te pillan, te enchironan seguro.
29
INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de
ataque XIII ATAQUE CARA A CARA Ejemplo. 30
INGENIERÍA SOCIAL. UNA APROXIMACIÓN PARTE
PRÁCTICA INGENIERÍA SOCIAL EN LA SOCIEDAD ACTUAL
31
INGENIERÍA SOCIAL. UNA APROXIMACIÓN La jungla de
cristal 4.0 32
INGENIERÍA SOCIAL. UNA APROXIMACIÓN PHISHING
BANCARIO I 33
INGENIERÍA SOCIAL. UNA APROXIMACIÓN PHISHING
BANCARIO II El término phishing proviene de la palabra
inglesa "fishing" (pesca), haciendo alusión al intento de
hacer que los usuarios "piquen en el anzuelo". A quien lo
practica se le llama phisher. También se dice que
"phishing" es la contracción de "password harvesting
fishing" (cosecha y pesca de contraseñas), aunque
probablemente es un acrónimo retroactivo”.
Orígenes: Se empezó a usar en 1996 y estaba
relacionada con la “pesca” de cuentas de AOL.
34
INGENIERÍA SOCIAL. UNA APROXIMACIÓN PHISHING
BANCARIO III Aplicado al sector bancario, el objetivo es
conseguir la clave de acceso y el usuario para luego proceder a
retirar fondos. Obtener una lista de correos electrónicos.
En el mercado negro. Hacerlo uno mismo. Realizar un envío
masivo de un correo electrónico con las siguientes
características: 35
INGENIERÍA SOCIAL. UNA APROXIMACIÓN PHISHING
BANCARIO IV Debe ser un correo que aparente proceder de una
entidad bancaria. Debe transmitir la idea de que el banco ha
tenido problemas y necesita comprobar usuario y contraseña
de la víctima. Debe ser lo más fiel posible a la
entidad original. No importa si se envía un correo de una
entidad de la que la víctima no es usuario. Debe poseer un
enlace a una página falsificada en la que la
víctima pueda introducir sus datos. Si no se hace lo que
indica el correo, se amenaza con un posible cierre de la cuenta.
36
INGENIERÍA SOCIAL. UNA APROXIMACIÓN PHISHING
BANCARIO V 37
INGENIERÍA SOCIAL. UNA APROXIMACIÓN PHISHING
BANCARIO VI Una vez introducido los datos, el usuario, satisfecho
por no haber perdido su cuenta se olvidará del correo.
Muleros (las otras víctimas) Sacan el dinero de la cuenta
de la víctima y traspasar el dinero a otra cuenta de
Pay-Pal o Western Union, controlada por el atacante. Son los que
se ensucian las manos y cometen un delito. Para captarlos se usa
nuevamente la IS ofreciendo un empleo con altos beneficios,
jornada reducida y muchas vacaciones. 38
INGENIERÍA SOCIAL. UNA APROXIMACIÓN PHISHING
BANCARIO VII Correo buscando muleros. 39
ESTA PRESENTACIÓN CONTIENE MAS DIAPOSITIVAS DISPONIBLES EN
LA VERSIÓN DE DESCARGA