Security�Training

Ingeniería�Social

Qué es�la�Ingeniería�Social�?

02

Método�para�obtener�acceso�o�inyección�de�información�y�recursos

Se�basa�en�el�factor�humano,�a�través�de�engaños,�influencia�y�persuación

Existen�métodos�técnicos�y�noͲtécnicos,�pero�la�raíz�de�todos�es�la�misma�(el�usuario)

Pueden�realizarse�al�inicio�o�durante�un�ataque

Security�Training�– Ingeniería�Social�Copyright�©Mkit�Argentina�– www.mkit.com.ar

Factores�humanos�de�explotación

03

Codicia: Apelar�al�lado�codicioso�humana,�prometiendo�recompensas�por�sus�actos

Miedo: Amenazas�falsas�si�no�se�cumple�con�los�pedidos

Ignorancia: Pocos�conocen�la�ingeniería�social,�sus�métodos,�alcances�y�posibilidades

Confianza: Generar�una�falsa�sensación�de�confianza�hacia�el�atacante

Deseo�de�ayudar: El�ser�humano�desea�ayudar�al�prójimo�por�naturaleza

Security�Training�– Ingeniería�Social�Copyright�©Mkit�Argentina�– www.mkit.com.ar

Identificación�de�una�víctima,�a�través�de:

Information�GatheringDumpster�DivingVigilancias�personalesVisitas�a�las�facilidades

Selección�de�una�víctima.�Pueden�ser:

Empleados�DisconformesEmpleados�IngenuosClientesProveedoresAgentes�externos�con�acceso�a�recursos

Establecer�una�relación�personal�con�la�víctima

Aplicar�técnicas�de�persuación�según�el�perfil�de�la�víctima

Fases�de�un�ataque�de�Ingeniería�Social

04Security�Training�– Ingeniería�Social�Copyright�©Mkit�Argentina�– www.mkit.com.ar

Jessica�&�Rebbeca

Tipos�de�Ataques

05

HumanͲBased: Métodos�noͲtécnicos,�de�naturaleza�humana,�para�realizar�el�ataque

ImpersonalizaciónEmpleado�ImportanteTercero�de�confianzaSoporte�técnicoShoulder�Surfing�y�EavesdroppingDumpster�DivingTailgating�y�Piggybacking

ComputerͲBased: Métodos�técnicos�a�través�de�herramientas�informáticas

Sitios�web�falsosVentanas�PopͲUpEmails�con�contenido�falso�o�archivos�adjuntosClientes�de�mensajería�instantáneaRedes�Sociales

Security�Training�– Ingeniería�Social�Copyright�©Mkit�Argentina�– www.mkit.com.ar

Phishing

06

Falsificación�de�una�identidad�mediante�métodos�informáticos,�con�contenido�falso

La�ilusión�engaña�a�la�víctima.�A�partir�de�esto�se�pueden�lograr�diferentes�ataques:

Pedido�de�envío�de�información�privada�de�la�víctimaPedido�de�descarga�y�ejecución�de�software

Ejemplo�Ͳ Ofuscación�de�URL:

www.mibanc0.comhttp://www.mibanco.dominiox.comhttp://200.30.40.50/www.mibanco.com

Ejemplo�Ͳ Email:

Hotmail�se�cierraPríncipe�NigerianoRemitentes�falsificados�(bill@microsoft.com)

Security�Training�– Ingeniería�Social�Copyright�©Mkit�Argentina�– www.mkit.com.ar

Contramedidas

07

Mínimos�privilegios

Rotación�de�tareas

Controles�de�acceso�fuertes

Concientización�y�Capacitación

Security�Training�– Ingeniería�Social�Copyright�©Mkit�Argentina�– www.mkit.com.ar

Herramientas

08Security�Training�– Ingeniería�SocialCopyright�©Mkit�Argentina�– www.mkit.com.ar

Servidor�Web�y�SMTP

Conocimientos�de�HTML

Herramientas�(Cont.)

09Security�Training�– Ingeniería�SocialCopyright�©Mkit�Argentina�– www.mkit.com.ar

Social�Engineering�Toolkit

Metasploit�Framework

http://www.eccouncil.org

http://www.cccure.org

http://www.wikipedia.org

http://www.amazon.com

http://www.mkit.com.ar

http://www.matiaskatz.com

Mails�al�profe�-

Referencias