Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Ingeniería social Índice 3 3 4 8 10 1 | Concepto 1.1 | Introducción 1.2 | Fases de la ingeniería social 2 | Phishing 3 | Pruebas Ingeniería social | TELEFÓNICA // 3 Es el conjunto de métodos y técnicas que se pueden aplicar a un ser humano para obtener información que permitan a uno o varios atacantes obtener acceso a la totalidad o parte de la información necesaria para vulnerar sistemas informáticos o físicos de acceso. La ingeniería social1 en muchos casos es utilizada para obtener de manera directa el acceso a cuentas clave de sistemas de información, comunicación o cuentas de redes sociales que permitan acceder a otra información más pertinente. Esta hace uso de elementos psicológicos y emocionales de los individuos para sacar provecho de las situaciones personales, haciendo de cada ataque en sí mismo una operación personalizada y especializada. Requiere esfuerzos adicionales y habilidades de interacción social lo suficientemente buenas para conseguir la confianza de la víctima. No es necesario carecer de conocimientos técnicos en informática o seguridad para poder ser víctima de ataques de ingeniería social, lo único que se necesita es el momento adecuado y la información correcta para romper nuestras defensas y caer en las garras de un habilidoso maestro del engaño. La ingeniería social echa mano de las destrezas para crear confianza, de información relevante que se conozca de la persona para este cometido o de situaciones difíciles que esté pasando en ese momento para encontrar una ventana para ejecutar un ataque asertivo. Kevin Mitnick es uno de los Hackers más conocidos del mundo y un habilidoso ingeniero social que ha escrito varios libros acerca del tema, convirtiéndose en una figura de relevancia en el mundo de la ciberseguridad. Para Mitnick la ingeniería social se basa en cuatro principios de la naturaleza humana: 1. A nadie le gusta decir que no. 2. A la mayoría de las personas les gusta ayudar. 3. A las personas les gusta que les alaben. 4. Crear confianza es el primer paso. Para seguir estos cuatro principios es necesario haber realizado un reconocimiento de la víctima, haber determinado datos personales y puntuales para poder abordarle. No es posible acceder a la confianza sin haber desarrollado un sentimiento de empatía primero, y no es posible acceder a esa necesidad de decir si y ayudar cuando no se tiene confianza y no se ha establecido una conexión previa. Cuando las personas en redes sociales hablan más de lo que deben acerca de sus vidas privadas o laborales ponen en riesgo sus actividades, a sus seres amados y a ellos mismos ya que debe asumirse que cualquier atacante puede estar escuchando en las sombras y esperando el momento adecuado para saltar como una araña hacia su presa. 1. Concepto 1.1 | Introducción 1 http://www.social-engineer.org/framework/information-gathering/ http://www.social-engineer.org/framework/information-gathering/ Ingeniería social | TELEFÓNICA // 4 Los ataques de ingeniería social o de capa 8 (según el modelo OSI) tienen una serie de etapas que deben recorrerse de manera efectiva para alcanzar un resultado exitoso. Existen como en todos los campos del conocimiento humano personas que tienen una capacidad innata para desarrollar actividades sin una estructura lógica u obviando pasos, lo que en muchas áreas del conocimiento se conoce como un natural, una persona que tiene facilidad. Pero para aquellos mortales que no tienen la capacidad de engañar de forma natural a otro ser humano o que la tienen, pero aún no la descubren, existen fases bien definidas para aprender a realizar ataques de ingeniería social. Se dice que el mayor de todos los talentos es el talento del esfuerzo y la dedicación, ya que sin importar cuanto talento se tenga si no existe disciplina y práctica al final la persona talentosa termina siendo superada por la persona dedicada. Es por esta razón que existe el estudio de las técnicas y métodos de las intrusiones informáticas como la ingeniería social. Es importante conocer cómo se desarrolla etapa por etapa un ataque de esta clase para poder entenderlos a profundidad y reforzar nuestras defensas de la manera más oportuna. Si partimos del principio de que nunca se obtiene fortaleza si nunca se es atacado y que aquellos que sobreviven a ambientes enteramente hostiles son los más aptos para la supervivencia deberemos entonces inferir que para prevenir ataques de este o cualquier otro tipo debemos primero pasar una fase de atacarnos a nosotros mismos para comprender nuestras propias vulnerabilidades. ”Si conoces a los demás y te conoces a ti mismo, ni en cien batallas correrás peligro; si no conoces a los demás, pero te conoces a ti mismo, perderás una batalla y ganarás otra; si no conoces a los demás ni te conoces a ti mismo, correrás peligro en cada batalla” Capítulo 3: El arte de la guerra Sun Tzu. Ya que está claro porque es importante conocer las distintas etapas de un ataque de ingeniería social vamos sin más rodeos a analizarlas: 1. Reconocimiento 2. Contacto 3. Explotación 4. Intrusión Estas fases pueden variar agregando pasos intermedios, pero no variar su secuencia de orden lógico. 1.2 | Fases de la ingeniería social Ingeniería social | TELEFÓNICA // 5 La etapa de reconocimiento es una recolección de información acerca del objetivo. Esta es una etapa que puede replicarse hasta en operaciones de seguridad nacional y militares. Es importante conocer al objetivo para realizar de forma correcta un ataque lo suficientemente personalizado para saber con exactitud donde golpear. Los ataques de ingeniería social son quirúrgicos y especializados. Las personas revelan gigabytes de información personal, laboral y rutinaria por propia voluntad en redes sociales y la mayoría ni siquiera se preocupa por establecer las mínimas políticas de seguridad en las mismas para evitar ser vulnerados. Toda esta información permite a un eventual atacante satisfacer a cabalidad esta primera etapa del ataque. El contacto con el objetivo se puede realizar mediante cualquier medio de comunicación, desde teléfono hasta correo electrónico, aunque también se han dado casos en los que se realiza un contacto en persona para establecer un grado superior de confianza con el objetivo; sin embargo, en la mayoría de los casos este es el escenario más raro ya que los usuarios tienen la tendencia de reaccionar adecuadamente a los ataques impersonales. Desde correos electrónicos de cadena hasta llamadas telefónicas inesperadas para acceder a nuestra información privada, nombres de usuario y contraseñas. Todos estos son posibles factores de riesgo que existen y están latentes para hacernos vulnerables a un ataque de ingeniería social. La explotación es cuando entran en juego elementos psicológicos, físicos y del entorno. Es cuando el atacante hace gala de sus mejores capacidades en el arte del engaño para echar mano de toda esa información que ha recopilado en la primera fase. Crear la confianza con el objetivo es primordial, así como lograr derrotar las defensas que pueda tener para manipular su comportamiento y hacer que quiera hasta una recompensa por vulnerar información sensible. La intrusión se da una vez que el atacante obtiene datos de acceso provistos por el usuario que ha sido vulnerado. Es importante recordar que a partir de este punto se pueden dar una serie de caminos distintos que nos lleven hacia otros ataques informáticos distintos y sus correspondientes fases. Una vez que el atacante tiene acceso a los sistemas privados del objetivo puede hacer con estos lo que tenga en gusto, pero el peor de los escenarios es cuando está ahí y ahí se queda sin ser percibido, como una sombra, como una pequeña anomalía casi imperceptible solo… esperando. Ingeniería social | TELEFÓNICA // 6 Ataques mixtos El mundo cambia, las tecnologías cambian, los usuarios cambian. Es un ambiente de cambio constante y esto hace quelos atacantes constantemente vayan desarrollando métodos más complejos, elaborados y precisos para vulnerar los sistemas de seguridad de las empresas y las personas. Así como los mercados y los atacantes evolucionan lo hacen también los usuarios que de una u otra manera se vuelven más maliciosos cada día, haciéndose victimas más difíciles para los típicos ataques de antaño. Sin embargo, esto no hace que sea imposible ser vulnerado, todo lo contrario. Hace que sea aún más peligroso ese mundo difuso que es el internet. Cada vez se realizan más transacciones en línea y se expone más información personal a la red, lo que hace cada vez más difícil tener en consideración todas las estrategias que hay que tener para llevar a cabo una protección efectiva contra las amenazas virtuales que se van desarrollando conforme pasa el tiempo. Los correos de “phishing” ya no son raros y mal traducidos, ahora usan mascaras para que la dirección de correo electrónico se visualice como una conocida o de confianza, los sitios maliciosos utilizan protocolos de seguridad como “https” y hasta se clonen sitios de confianza con diferencias mínimas en sus direcciones “URL” para hacerse transparentes a la buena fe del usuario. Hoy en día los atacantes utilizan estrategias mixtas usando ingeniería social de la mano de otras técnicas de intrusión como el “phishing“ o el “spear phishing“ donde se usa información confidencial parcial del usuario para ganarse su confianza. Esto hace que la combinación de estrategias de vulneración haga de la vida de los usuarios una pesadilla virtual y de los desarrolladores de software un infierno abstracto donde se debe balancear la seguridad con la usabilidad. Es necesario cambiar, volverse más estrictos, más informados y por sobre todo más interesados e involucrados en temas de ciberseguridad para sobrevivir a este entorno hostil que empeora según evoluciona la tecnología. Tanto como usuarios como aquellos que desarrollamos tecnologías de la información para hacer más intuitivo y seguro el manejo para los usuarios finales. Ingeniería social | TELEFÓNICA // 7 Defensa contra las artes oscuras Debemos saber qué hacer para defendernos aun cuando los desarrolladores no alcancen a evolucionar las aplicaciones o servicios web a la velocidad que todos quisiéramos. Es por un lado necesario conocer cómo podemos ser atacados y cómo piensan los enemigos y por otro lado saber que debemos hacer. Lo primero que debemos hacer es establecer políticas de seguridad para la vida digital y física: 1. Controlar las políticas de privacidad de las cuentas de correo electrónico. Entender estas políticas y aplicarlas a cabalidad. 2. Entender conscientemente cómo funcionan las redes sociales y cuáles son sus políticas de privacidad y aplicarlas a cabalidad. 3. Desarrollar políticas de seguridad propias como, por ejemplo: jamás se dan contraseñas por teléfono, correo electrónico ni personal. Simplemente no se dan. Las contraseñas son como la ropa interior sencillamente no se prestan, a nadie, nunca, bajo ninguna circunstancia. Lo mismo para el pin de la cuenta bancaría. 4. Preguntar el nombre del funcionario que llama para pedir datos, sea del servicio que sea, solicitar que se le vuelva a llamar luego de verificar la autenticidad del mismo, antes de brindar cualquier dato personal. 5. Utilizar un antivirus y escanear el equipo diariamente. 6. Actualizar el sistema operativo de nuestros dispositivos móviles o físicos cada vez que sea oportuno o posible. 7. Actualizar todo nuestro software cada vez que se libere una actualización, tanto de dispositivos móviles como de escritorio. 8. Instalar software solamente de fuentes de confianza, verificar estas fuentes antes de considerarla de confianza. 9. No usar piratería, si no le gusta pagar por Windows aprenda a usar Linux o adquiera un equipo que incluya una licencia OEM de Microsoft Windows. Pero jamás acceda a usar piratería. 10. Use su sentido común siempre, si le parece raro lo más probable es que sea raro hágale caso a su séptimo sentido. 11. Cambie sus contraseñas cada tanto y use contraseñas seguras, letras mayúsculas, minúsculas, caracteres especiales y números. 12. Use contraseñas diferentes para cada cuenta de correo o red social que tenga 13. Use software de protección anti robos en sus dispositivos móviles. 14. Acepte que usted es un blanco más, aprenda e ilústrese en el tema, es una necesidad inevitable, así como usar cerradura para su automóvil y casa. 15. Cree sus propias políticas de seguridad constantemente y analice los riesgos que puede correr, haga aportes y participe en foros de seguridad informática. De esta manera aprenderá y enseñará a otros sobre sus experiencias personales. Es importante aprender cómo defendernos ante las amenazas que existen. No se trata de dejar de usar la tecnología porque sea compleja o peligroso su uso por las amenazas que existan allá afuera. Se trata de volverse un blanco difícil, de dar la pelea. Ingeniería social | TELEFÓNICA // 8 El phishing principalmente lo que permite es robar la identidad y datos personales como el nombre de usuario, claves, número de tarjetas, contraseñas, … Phishing procede de la palabra inglesa pescar, por lo que el ciberdelincuente intentará que el usuario pique y “pescar” todos los datos posibles. Imagen 119 Phishing - Fuente:Wikipedia La forma de actuar de los ciberdelincuentes es hacerse pasar por un banco legítimo, por un servicio de correo válido, … y para ello utilizarán todo lo necesario para hacerlo más creíble. Pedirán al usuario una serie de datos para poder robarlos, normalmente datos sensibles. Ejemplos son el envío de SMS falsificados con enlaces acortados que nos redirigen a web con petición de datos, correos electrónicos supuestamente verdaderos de bancos, empresas de servicios, … o simplemente a través de una llamada telefónica. Además, otra forma es la clonación de webs auténticas por unas webs exactas que la original pero que capturan la información y redirigen a la web auténtica. A esto último se le llama pharming. 2. Phishing Ingeniería social | TELEFÓNICA // 9 También existen las típicas cartas nigerianas, pero que han evolucionado al mundo cibernético a través de correos electrónicos. Los ciberdelincuentes se aprovechan a través de extorsiones, timos de caridad, estafas emocionales y ofertas de trabajo falsas. Hay que estar muy atentos ya que evolucionan rápidamente las distintas formas de phishing. Los 4 métodos principales de phishing que existen son: • Mensaje SMS: Se envía un SMS solicitando confirmar datos como datos bancarios, tarjeta de crédito, correo electrónico, cuenta de PayPal, usuario/contraseña, … • Llamada telefónica: Realizan una llamada telefónica haciéndose pasar por un operado de una entidad auténtica, para confirmar datos y asó poder obtenerlos rápidamente. • Correo electrónico: Se envía un mail, muy bien construido (logos, colores, tipografía, …), supuestamente de una entidad auténtica. En ella suelen solicitar datos o acceder a url que nos redirigen a web clones falsificadas donde introducir dichos datos. • Cartas nigerianas: Se informan de premios, herencias, … que nunca llegan a recibir los usuarios. Imagen 120 Phishing - Esquema básico SERVIDOR DELINCUENTE VÍCTIMA (TÚ) WWW.TU_BANCO.COM WWW.TUBANCO.COM Página web falsificada Página web verdadera 3 2 4 5 1 http://www.tubanco.com/ Ingeniería social | TELEFÓNICA // 10 Crearemos un ejemplo básico de phishing en el que se procederá a clonar un sitio web, idéntico al original, en el que el usuario introducirá sus credenciales y se obtendrán estas credenciales. Para que el usuario introduzca las credenciales se deberá hacer llegar de alguna manera el link de la web clonada a través de algún método de ingeniería social. Para ello utilizaremos SET (Social-Engineering Toolkit) que es una suite dedicada a la ingeniería social que nos permite automatizar diversastareas como el envío de SMS falsos, en el que se puede suplantar el número de teléfono que envía el mensaje, a realizar el clonado de cualquier sitio web y poner en marcha un servidor donde obtener las peticiones del phishing en cuestión de segundos. El kit de herramientas que componen SET está diseñado para realizar ataques avanzados contra el elemento más débil del escalón de seguridad que es el humano. SET fue escrito por David Kennedy contando con la colaboración de la comunidad con la que se incorporaron tipos de ataques nunca antes contemplados en un conjunto de este tipo de herramientas de explotación. Imagen 121 SET - The Social Engineer Toolkit 3. Pruebas Ingeniería social | TELEFÓNICA // 11 Primeramente, vamos a clonar el sitio web para ello ejecutaremos SET con el comando setoolkit. Una vez ejecutado observamos en el menú las diferentes opciones, entre las que seleccionaremos la opción Social-Engineering Attacks, para empezar el diseño del ataque de ingeniería social. Como hemos comentado, vamos a utilizar un vector de ataque mediante la clonación de un sitio web existente, para nuestro ejemplo utilizaremos el de una red famosa. Seleccionamos la opción Website Attack Vector. Imagen 122 SET - Vector de ataque Puede comprobarse que hay otros tipos de vectores de ataques como Wireless, Powershell, QR, Payloads, … Utilizamos el método Credential Harvester Attack Method que utiliza la clonación web de un sitio web que tiene un campo de nombre de usuario y contraseña y recolecta toda la información publicada en ese sitio web clonado. Imagen 123 SET - Método de ataque Ingeniería social | TELEFÓNICA // 12 Este no es el único tipo de ataque que podemos utilizar, ya que podemos utilizar applets de Java, utilizar los exploits de navegador de Metasploit, esperar a que el usuario acceda a otra pestaña, tab, para poder realizar las acciones correspondientes, … SET nos permite seleccionar entre plantillas de sitios web predefinidas, importar o clonar un sitio web. Esta última opción es mucho más interesante, ya que las plantillas que dispone pueden no estar actualizadas, por lo que si se le envía al usuario una versión antigua de un sitio web puede que no llegue a interactuar con ella por sospechas. Imagen 124 SET - Clonación Web Nos pedirá información como la IP de la máquina que recibirá los datos introducidos por el usuario, la dirección url de la web a clonar, así como nos permitirá activar el servidor web con la web clonada y dejar el sistema a la escucha. Imagen 125 SET - Datos clonación Imagen 126 SET - Archivos creados Ingeniería social | TELEFÓNICA // 13 Finalizamos la ejecución de SET y salimos de la aplicación. Una vez ya tenemos el sitio web clonado con el sistema a la escucha, a través de la ingeniería social se ha de hacer llegar el enlace a la víctima para que introduzca sus datos y así recolectarlos. Imagen 127 SET -Web clonada Al acceder al enlace observamos el clon de Facebook, igual que la original. Si se introducen credenciales nos recargará el sitio web original como si nos hubiéramos equivocado a la hora de introducir algún dato. Imagen 128 Web Original Ingeniería social | TELEFÓNICA // 14 En la máquina atacante, en /var/www/ html se observa el contenido del archivo llamado harvester_xxxxx.txt, que contiene las credenciales introducidas por la víctima. Para hacerlo más creíble se podría realizar un FakeDNS y realizar un ataque mucho más real que en el ejemplo básico anterior. Para ello podríamos utilizar algún módulo de Metasploit como auxiliary/server/ fakedns. Pero se observa que con un buen estudio del usuario y de un plan de ataque se pueden conseguir mucha información comprometida. Imagen 129 SET - Credenciales capturadas
Compartir