ndice:

Ingeniera Social:1. Introduccin a la Ingeniera Social

Que es? Historia

Virus I Love You La estafa Nigeriana

2. Metodologa: Interaccines, Actuacin y caractersticas Information Gathering Vectores de Ataque

+ Telfono + E-Mail + Facebook Android Hacking Fsico

3. Conclusin: Conclusin Prevencin Textos Recomendados

Introduccin a la Ingeniera Social

Que es?

La ingeniera Social (I.S.) es un proceso de interaccin humana planificado, que consiste en atacar y explotar vulnerabilidades humanas para conseguir algun tipo de beneficio. Estas tcnicas de acercamiento humano han sido utilizadas durante aos, no solamente por informticos, sino de mucho antes por polticos, psiclogos, profesionales de la seguridad, economistas, estafadores, policas, entre otros. Este metodo basado en el engao y la persuacin no requiere necesariamente el uso de teconologa para obtener informacin efectiva, solo basta tener las habilidades sociales suficientes para realizar un acertivo acercamiento con una victima e inducirlo ya sea a entregar informacin valiosa o a ejecutar una accin.

Historia:

Los ataques de ingeniera social no son un hecho de la decada, escenas en las que personas se acercan a otra en una actitud fraternal e inocente para tenderles una trampa se han visto desde antes de cristo, un claro ejemplo es la conocida sorpresa del caballo de troya.

Virus I love You: Este conocido virus del que probablemente muchos de ustedes habrn escuchado hablar marco un precedente en la historia no solo de los virus informticos sino que de la ingeniera social aplicada de lleno a la computacin. El viernes 4 de mayo del ao 200 se liberael virus propagandose entre sistemas Windows. Este se colgaba de una vulnerabilidad en estos sitemas que permaneca activado el sistema de interpretacin de scripts de microsoft, el cual ejecutaba los scripts VBS. Hasta ah nada que no se viera antes, pero este script tena un peculiar metodo de propagacin, adems de su persistencia en la infeccin de archivos y el hecho de apoderarse del registro del sistema, este virus continuaba propagandose a travs del correo electrnico utilizando microsoft outlook, pero ese no era su unico vector de ataque, tambin era capas de propagarse por chat.

Para hacer efectiva su propagacin, este virus apelaba a la ingeniera social para hacer caer a sus victimas: En primer lugar se colgaba de la falta de advertencias de seguridad al abrir un link de un e-mail, y al ser esto una tarea rutinaria, es normal que el usuario quiera saber de que se trata y abra el link. El cono que utilizaba (El de VBS) es bastante similar al de TXT, por lo tanto para el usuario le pareca inofensivo. No por ejemplo el cono de BAT que a la vista parece comprometedor y asusta a cualquier usuario. Las palabras escogidas: Al enviarse como una carta de amor millones de curiosos e ilusionados don juanes en el mundo abrieron de inmediato el e-mail esperando encontrarse con una declaracin de amor. Claramente no fue as. Procedencia: Al utilizar el chat o el e-mail utilizaba la identidad de otra persona para propagarse, esto haca creer a la nueva vctima que era un archivo de confianza, porque su procedencia as lo era tambien. Antecedente cultural: Este ataque iba enfocado principalmente a ciertos grupos sociales: Al estar en ingls era mas probable que las vctimas fueran en su mayora de habla inglesa, aunque la mayora de los afectados si lo era, un caso disidente fue Argentina con 150.000 vctimas; Otro factor incidente era la religin, la india no tuvo infectados dado que nadie se atreva a abrir un correo que contena palabras prohibidas por su religin.

En conclusin entendemos que lo que hizo exitoso a este virus no fue tanto su codigo ni la vulnerabilidad explotada, si no mas bien el ingenioso metodo de propagacin que utilizaba el factor mas vulnerable de todos. Al 6 de mayo, 2 das despus ya tena la no despreciable suma de mas de 3 millones de ataques contabilizados. Datos posteriores indican que esta cifra ascendi a los 50 millones, comprometiendo a privados y a empresas. Solo hubo una ventaja para estos ltimos y es que este virus fue lanzado un da viernes, por lo tanto no haba usuarios utilizando los computadores, y les dio el tiempo suficiente para advertir del virus a los empleados.

La Estafa Nigeriana:

Probablemente hayan escuchado hablar de la Estafa Nigeriana o el timo 419, una conocida estafa procedente de Nigeria que consista en enviar miles de cartas a pases del primer mundo pidiendo sumas de dinero a partir de una historia ficticia. Este tipo de estafa, que ha ido evolucionando con el paso del tiempo, se mantiene hasta nuestros das, es por eso que lo he includo en esta investigacin. Ahora, como se aplica esto al a informtica?: Con la creciente expansin del internet, organizaciones criminales del tercer mundo vieron una oportundiad de expandir tambin sus ataques delictivos a travs de este conocido metodo pero ahora a travs de la red.

Metodologa

La Actuacin:

Para los que no nacieron con el don de la palabra, realizar un ataque de ingeniera social es mucho mas que acercarse a la vctima y persuadirla de que nos entregue lo que necesitamos. Este ataque requiere una previa investigacin y planificacin.

Ahora, dependiendo de nuestras intenciones y el grado al que llevemos la ingeniera social, esta se divide en dos:

Interaccin activa: Esta interaccin es en la que se lleva la ingeniera social a la realidad, con el objetivo de causar daos u obtener ganancias. Este tipo de ataque malicioso se remonta a Kevin Mitnick, quien durante 20 aos se dedico a realizar diferentes delitos de falsificacin y robo de informacin confidencial utilizando sus habilidades sociales. Segun Mitnick, un ataque de ingeniera social exitoso requiere un ciclo:

1. Investigacin: Se investigan fuentes abiertas de informacin a fin de obtener datos de la vctima.

2. Buena relacin: Con la informacin obtenida nos acercamos a la vctima. Este acercamiento puede ser o solicitando ayuda o imponiendo autoridad. Todo a fin de crear confianza y credibilidad con la vctima

3. Explotacin: Finalmente se explota esta confianza para solicitar o preguntar por la informacin que deseamos.

4. Uso de la informacin: Damos uso a la informacin, y si es necesario volvemos a iniciar el ciclo hasta conseguir el objetivo.

En este escenario encontramos tambin:1. Atacante: Quien prepara y ejecuta el ataque.2. Medio: Es la va, puede ser personal, telefnico o virtual.3. Vctima: La persona manipulada.4. Pretexto: La historia que se crea para convencer a la vctima, y que nos

entrega la credibilidad. Aqu se incluye la informacin recopilada.

Interaccin Pasvia: Esta interaccin se perpetra desde un segundo plano, estudiando la ingeniera social pero sin contacto real. A diferencia de la interaccin activa, esta se mantiene en la legalidad y es vista mas como una ciencia de estudio.

Al ser la interaccin pasiva un mtodo mas cientfico orientado al estudio de la ingeniera social, involucra en su conjunto areas de la psicologa y la sociologa para hacer mas efectiva su investigacin. En la interaccin pasiva existen tesis bastante elaboradas con respecto al actuar y la eficacia de los metodos utilizados. Al ser esto tan extenso no me da tiempo de sealarlo, pero si recomendamos leer acerca de la Ingeniera Social Automatizada, Dale Pearson y Marcus Nohlberg.

Caractersticas:

Normalidad del ataque:La vctima debe apreciar el acercamiento como algo normal, rutinario, sin dudar ni asustarse (a no ser que el proceso contemple esta accin). Esto sin importar que tan sencillo o complejo sea el ataque. Se recomienda solicitar cosas sencillas para la victima, porque cuando esta comprueba datos o solicita ayuda aumenta las posibilidades de ser descubiertos.

Eficacia y peligrosidad: En la mayora de los casos los atauqes de I.S. Son exitosos, sin necesitad de poseer grandes habilidades ni vctimas tontas para conseguirlo. Lo mas importante en el ataque es tener un buen pretexto y realizar una buena investigacin.

Innovacin: Si bien, este y otros estudios sobre la ingeniera social sirven como una slida base para conocer acera de los ataques, lo mas importante es innovar y buscar nuevos vectores de ataques para anteponerse al delincuente.

El momento momento indicado: Luego de efectuar los lazos de confianza lo mas importante es esperar el momento adecuado para atacar, para que este ataque paresca algo natural y pueda tener un 100% de xito. Un ejemplo de lo contrario es que el virus IloveYou haya sido lanzado un da viernes.

Jams quemar la fuente: El herror de muchos novatos luego de realizar el ataque es burlarse de la vctima. Esto destruye toda la confianza creada entre victima y atacante. Esto har tambin que la vctima no vuelva a caer en el futuro. Nunca sabemos cuando podemos necesitar nuevamente repetir el procedimiento.

Information Gathering

Como ya seal anteriormente, es de suma importancia realizar una buena investigacin para poder elaborar un buen pretexto. Es por eso que aqu sealar algunos de los mtodos mas eficaces al momento de obtener informacin:

Datos Pblicos:Una buena fuente de informacin son los datos pblicos que entrega la vctima.

Por ejemplo, si estamos buscando tilizar el computador de un trabajador corriente sera poco efectivo acercarse como un desconocido a este y pedirselo, pero podemos crear un aspecto de confianza si llegamos llamandolo por su nombre, por ejemplo Disculpe don Juan, mi nombre es Hector tengo un recado del jefe, dice que necesita el informe de contabilidad del mes anterior de forma urgente. En el momento que abandona el lugar accedemos al pc. Ahora, como sabemos que el es Juan de contabilidad? Una forma de averiguar sobre los empleados es consultando por ejempl el sitio web de la organizacin, muchas empresas publican el nombre de sus empleados, o tienen en su sitio documentos donde podemos encontrar esa informacin si buscamos bien.

Si queremos por ejemplo revisar todos los archivos del sitio, existen herramientas de auditora web automatizadas que nos pueden sealar la url como por ejemplo Uniscan, que adems nos entrega un listado de E-Mails dentro del sitio, entre otras vulnerabilidades. Otra fuente tambin es aprovechar las vulnerabilidades a SQLi. Obteniendo una base de datos fcilmente podemos obtener datos de usuarios (trabajadores). Luego basta con googlear un poco, buscar en facebook, en el sitio del servel e incluso para los mas osados hackear alguna de sus cuentas.

Metodos invasivos: Al realizar tanto la investigacin como el ataque podemos recurrir a metodos invasivos que por cierto ahondan aun mas en la ilegalidad.

Lockpicking: El arte de abrir cerraduras sin llave y sin daarlas. Si tenemos acceso al recinto, probablemente un cajon bajo llave contenga la informacin que buscamos. Abrir cerraduras no es un metodo de hollywood, de hecho es mas real de lo que se piensa, y con un poco de practica podemos abrir una cerradura en segundos. Solo basta con buscar un poco en internet y hay cientos de manuales.

Shoulder Surfing: O mirar por sobre el hombro. Los que vieron la pelcula Hackers recordarn la escena donde uno de los personajes entra a la empresa y pasa por las oficinas mirando en el momento preciso cuando la persona teclea la contrasea. Este metodo depende proporcionalmente de nuestra memoria, pero si esta nos favorece es bastante efectivo y nos facilita muchos las cosas. Por ejemplo un caso personal: Trataba de obtener la clave de administrador de Windows. No poda usar net users porque la cambiara, ni tena alguna herramienta para descencriptar el hash, y mucho menos Hirens Boot en un USB. Por suerte tena mi celular con dSploit as que caus una pequea DoS y llam al tcnico para que revisara el internet. El entr a la cuenta de administrador y por sobre el hombro mir la clave. Claro, cada uno de ustedes puede hacerlo a su manera y en un escenario distinto.

Dumpster Diving: El famoso mtodo de buscar en la basura, bastante comentado en comunidades de hackers y popularizado en el cine, pero... Que buscamos exactamente? Lo que buscamos es informacin... Recopilar la mayor cantidad de papeles y CD, esten estos daados o no. Con un poco de tiempo no es muy dificil armar un papel roto, generalmente las gente los rompe y luego junta las piezas rotas y las bota, lo que no tiene mucho sentido. Y los CD rayados... En una experiencia personal y en un golpe de suerte encontre un cd con un TXT que tena los usuarios y claves de un usuario en su nuevo Blog, casualmente era la misma de su cuenta. Con herramientas como Anyreader podemos extraer informacin de discos daados facilmente.

Llamadas y Correos: No necesariamente haciendo I.S. Solo para preguntar datos concretos como los preguntara cualquier cliente a fin de obtener mas informacin.

Toda la informacin que logremos recopilar nos servir tanto para identificar a la posible vctima como para crear el pretexto que necesitamos, principalmente si falsearemos una identidad. Yo no puedo decirles como exactamente utilizar esta informacin, pues esto queda a la imaginacin de ustedes y cada metodo y pretexto ser diferente dependiendo del contexto.Lo mas importante es obtener la mayor informacin posible con todas las formas que se nos ocurran, pues entre mas informacin recopilamos mas claro se ve nuestor horizonte.

Ingenera Social: Vectores de Ataque

Ingeniera Social va telfono:

Ingeniera Social Va E-Mail:

A travs del e-mail se puede envar un archivo troyanizado

Se puede suplantar la identidad de correo electrnico. En este caso utilizamos una web existente, pero existen formas mas avanzadas y mas efectivas.

Ingeniera Social Va FacebookI

Abrir el link de una imagen que nos envan por facebook es un acto rutinario para un usuario comn, pero puede ser utilizado para obtener nuestra direccin IP, Sistema

Operativo y datos del navegador.

Otra tcnica muy utilizada hoy en da por lammers que han visto en Metasploit su juguete de entretenimiento es consultar directamente informacin acerca del uso de

softwares vulnerables. Informacin que para el usuario promedio parece algo normal, fuera de peligro, pero que puede ser utilizada por lammers y crackers para

acceder a tu informacin ejectuando cdigo remoto. En este caso preguntamos acerca de la versin de JAVA que utiliza nuestro amigo,

para nuestra suerte era la 7...

Ataques de I.S. A dispositivos Android

Con Social Engineering Toolkit (Disponible en Kali Y BT) y Metasploit se puede tener acceso remoto a un dispositivo android. Las tcnicas para pescar a la vctima pueden ser utilizando un cdigo QR creado con SET, o creando una aplicacin

maliciosa con MSF y luego enviandola va SMS, con el SMS Spoofer de SET.Mas info acerca del exploit:

Como hackear un Android - Backtrack AcademyHacking Fsico (O que hacer cuando estamos frente al PC)

Con Social Engineer Toolkit, utilizando el mdulo Infectious Media Generator podemos crear un CD o un USB con un autorun.inf y un Payload de Metasploit.

Tambin podemos crear manualmente un autoejecutable para sustraer informacin, en este ejemplo un autoejecutable orientado a windows para sutraer informacin

almacenada en los navegadores.

Tambin existen otros dispositivos que se pueden conseguir por internet como el USB Rubber Ducky, que es bsicamente como el USB creado con Infectious Media

Generator, pero ya listo para usar.Adems podemos encontrar el Teensy, que es un proyecto HID de hardware abierto, que puede ser usado para almacenar un script, y este puede ser instalado al interior

de algun otro dispositivo USB para su camuflaje.

Trabajo de investigacin realizado por 4C1D0B1N4R10::ACIDSecurity en base a toda la informacin que logr recopilar de Internet y en base al conocimiento que la experiencia me ha entregado. Los ejemplos exibidos en esta presentacin corresponden a pruebas de concepto dentro de los mrgenes de la ley.

4C1D0B1N4R10::ACIDSecurity no se hacen responsables por el mal uso que se le pueda dar a esta informacin. Esta informacin esta orientada a Hackers ticos, con fines educativos y a usuarios comunes para prevenir este tipo de ataques.

Esta presentacin fue especialmente desarrollada para ser expuesta en la primera Hackathon de Lulz Security Chile.

Acotaciones, felicitaciones, crticas, puteadas, dudas, o intentos de jakeao a:4c1d0b1n4r10@riseup.net