Prevención de la delincuencia cibernética en el estado de puebla.
Ingenieria social
1. Índice:
Ingeniería Social:
1. Introducción a la Ingeniería Social
• Que es?
• Historia
➢ Virus I Love You
➢ La estafa Nigeriana
2. Metodología:
• Interacciónes, Actuación y características
• Information Gathering
• Vectores de Ataque
➢ + Teléfono
➢ + E-Mail
➢ + Facebook
➢ Android
➢ Hacking Físico
3. Conclusión:
• Conclusión
• Prevención
• Textos Recomendados
2. Introducción a la Ingeniería Social
•
Que es?
La ingeniería Social (I.S.) es un proceso de interacción humana planificado, que
consiste en atacar y explotar vulnerabilidades humanas para conseguir algun
tipo de beneficio.
Estas técnicas de acercamiento humano han sido utilizadas durante años, no
solamente por informáticos, sino de mucho antes por políticos, psicólogos,
profesionales de la seguridad, economistas, estafadores, policías, entre otros.
Este metodo basado en el engaño y la persuación no requiere necesariamente el
uso de teconología para obtener información efectiva, solo basta tener las
habilidades sociales suficientes para realizar un acertivo acercamiento con una
victima e inducirlo ya sea a entregar información valiosa o a ejecutar una acción.
3. •
Historia:
Los ataques de ingeniería social no son un hecho de la decada, escenas en las
que personas se acercan a otra en una actitud fraternal e inocente para
tenderles una trampa se han visto desde antes de cristo, un claro ejemplo es la
conocida sorpresa del caballo de troya.
•
Virus I love You:
Este conocido virus del que probablemente muchos de ustedes habrán
escuchado hablar marco un precedente en la historia no solo de los virus
informáticos sino que de la ingeniería social aplicada de lleno a la computación.
El viernes 4 de mayo del año 200 se liberael virus propagandose entre sistemas
Windows. Este se colgaba de una vulnerabilidad en estos sitemas que
permanecía activado el sistema de interpretación de scripts de microsoft, el cual
ejecutaba los scripts VBS. Hasta ahí nada que no se viera antes, pero este script
tenía un peculiar metodo de propagación, además de su persistencia en la
infección de archivos y el hecho de apoderarse del registro del sistema, este
virus continuaba propagandose a través del correo electrónico utilizando
microsoft outlook, pero ese no era su unico vector de ataque, también era capas
de propagarse por chat.
4. Para hacer efectiva su propagación, este virus apelaba a la ingeniería social para
hacer caer a sus victimas:
–
En primer lugar se colgaba de la falta de advertencias de seguridad al
abrir un link de un e-mail, y al ser esto una tarea rutinaria, es normal que el
usuario quiera saber de que se trata y abra el link.
–
El ícono que utilizaba (El de VBS) es bastante similar al de TXT, por lo
tanto para el usuario le parecía inofensivo. No por ejemplo el ícono de BAT que a
la vista parece comprometedor y asusta a cualquier usuario.
–
Las palabras escogidas: Al enviarse como una “carta de amor” millones
de curiosos e ilusionados don juanes en el mundo abrieron de inmediato el e-mail
esperando encontrarse con una declaración de amor. Claramente no fue así.
–
Procedencia: Al utilizar el chat o el e-mail utilizaba la identidad de otra
persona para propagarse, esto hacía creer a la nueva víctima que era un archivo
de confianza, porque su procedencia así lo era tambien.
–
Antecedente cultural: Este ataque iba enfocado principalmente a ciertos
grupos sociales: Al estar en inglés era mas probable que las víctimas fueran en
su mayoría de habla inglesa, aunque la mayoría de los afectados si lo era, un
caso disidente fue Argentina con 150.000 víctimas; Otro factor incidente era la
religión, la india no tuvo infectados dado que nadie se atrevía a abrir un correo
que contenía palabras prohibidas por su religión.
En conclusión entendemos que lo que hizo exitoso a este virus no fue tanto su
codigo ni la vulnerabilidad explotada, si no mas bien el ingenioso metodo de
propagación que utilizaba el factor mas vulnerable de todos. Al 6 de mayo, 2 días
después ya tenía la no despreciable suma de mas de 3 millones de ataques
contabilizados. Datos posteriores indican que esta cifra ascendió a los 50
millones, comprometiendo a privados y a empresas. Solo hubo una ventaja para
estos últimos y es que este virus fue lanzado un día viernes, por lo tanto no había
usuarios utilizando los computadores, y les dio el tiempo suficiente para advertir
del virus a los empleados.
5. •
La Estafa Nigeriana:
Probablemente hayan escuchado hablar de la “Estafa Nigeriana” o el “timo
419”, una conocida estafa procedente de Nigeria que consistía en enviar miles
de cartas a países del primer mundo pidiendo sumas de dinero a partir de una
historia ficticia. Este tipo de estafa, que ha ido evolucionando con el paso del
tiempo, se mantiene hasta nuestros días, es por eso que lo he incluído en esta
investigación.
Ahora, como se aplica esto al a informática?: Con la creciente expansión del
internet, organizaciones criminales del tercer mundo vieron una oportundiad de
expandir también sus ataques delictivos a través de este conocido metodo pero
ahora a través de la red.
6.
7. Metodología
•
La Actuación:
Para los que no nacieron con el don de la palabra, realizar un ataque de ingeniería
social es mucho mas que acercarse a la víctima y persuadirla de que nos entregue lo
que necesitamos. Este ataque requiere una previa investigación y planificación.
Ahora, dependiendo de nuestras intenciones y el grado al que llevemos la ingeniería
social, esta se divide en dos:
Interacción activa:
Esta interacción es en la que se lleva la ingeniería social a la realidad, con el objetivo
de causar daños u obtener ganancias. Este tipo de ataque malicioso se remonta a Kevin
Mitnick, quien durante 20 años se dedico a realizar diferentes delitos de falsificación y
robo de información confidencial utilizando sus habilidades sociales.
Segun Mitnick, un ataque de ingeniería social exitoso requiere un ciclo:
1. Investigación: Se investigan fuentes abiertas de información a fin de
obtener datos de la víctima.
2. Buena relación: Con la información obtenida nos acercamos a la víctima.
Este acercamiento puede ser o solicitando ayuda o imponiendo autoridad.
Todo a fin de crear confianza y credibilidad con la víctima
3. Explotación: Finalmente se explota esta confianza para solicitar o
preguntar por la información que deseamos.
4. Uso de la información: Damos uso a la información, y si es necesario
volvemos a iniciar el ciclo hasta conseguir el objetivo.
En este escenario encontramos también:
1. Atacante: Quien prepara y ejecuta el ataque.
2. Medio: Es la vía, puede ser personal, telefónico o virtual.
3. Víctima: La persona manipulada.
4. Pretexto: La historia que se crea para convencer a la víctima, y que nos
entrega la credibilidad. Aquí se incluye la información recopilada.
8. Interacción Pasvia:
Esta interacción se perpetra desde un segundo plano, estudiando la ingeniería
social pero sin contacto real. A diferencia de la interacción activa, esta se mantiene
en la legalidad y es vista mas como una ciencia de estudio.
Al ser la interacción pasiva un método mas científico orientado al estudio de la
ingeniería social, involucra en su conjunto areas de la psicología y la sociología para
hacer mas efectiva su investigación. En la interacción pasiva existen tesis bastante
elaboradas con respecto al actuar y la eficacia de los metodos utilizados. Al ser esto
tan extenso no me da tiempo de señalarlo, pero si recomendamos leer acerca de la
Ingeniería Social Automatizada, Dale Pearson y Marcus Nohlberg.
Características:
Normalidad del ataque:
La víctima debe apreciar el acercamiento como algo normal, rutinario, sin dudar ni
asustarse (a no ser que el proceso contemple esta acción). Esto sin importar que tan
sencillo o complejo sea el ataque. Se recomienda solicitar cosas sencillas para la
victima, porque cuando esta comprueba datos o solicita ayuda aumenta las
posibilidades de ser descubiertos.
Eficacia y peligrosidad:
En la mayoría de los casos los atauqes de I.S. Son exitosos, sin necesitad de poseer
grandes habilidades ni víctimas tontas para conseguirlo. Lo mas importante en el
ataque es tener un buen pretexto y realizar una buena investigación.
Innovación:
Si bien, este y otros estudios sobre la ingeniería social sirven como una sólida base
para conocer acera de los ataques, lo mas importante es innovar y buscar nuevos
vectores de ataques para anteponerse al delincuente.
9. El momento momento indicado:
Luego de efectuar los lazos de confianza lo mas importante es esperar el momento
adecuado para atacar, para que este ataque paresca algo natural y pueda tener un
100% de éxito. Un ejemplo de lo contrario es que el virus IloveYou haya sido lanzado
un día viernes.
Jamás quemar la fuente:
El herror de muchos novatos luego de realizar el ataque es burlarse de la víctima.
Esto destruye toda la confianza creada entre victima y atacante. Esto hará también
que la víctima no vuelva a caer en el futuro. Nunca sabemos cuando podemos
necesitar nuevamente repetir el procedimiento.
Information Gathering
Como ya señalé anteriormente, es de suma importancia realizar una buena
investigación para poder elaborar un buen pretexto. Es por eso que aquí señalaré
algunos de los métodos mas eficaces al momento de obtener información:
•
Datos Públicos:
Una buena fuente de información son los datos públicos que entrega la víctima.
Por ejemplo, si estamos buscando tilizar el computador de un trabajador
corriente sería poco efectivo acercarse como un desconocido a este y pedirselo,
pero podemos crear un aspecto de confianza si llegamos llamandolo por su
nombre, por ejemplo “Disculpe don Juan, mi nombre es Hector tengo un recado
del jefe, dice que necesita el informe de contabilidad del mes anterior de forma
urgente”. En el momento que abandona el lugar accedemos al pc.
Ahora, como sabemos que el es Juan de contabilidad? Una forma de averiguar
sobre los empleados es consultando por ejempl el sitio web de la organización,
muchas empresas publican el nombre de sus empleados, o tienen en su sitio
documentos donde podemos encontrar esa información si buscamos bien.
10. Si queremos por ejemplo revisar todos los archivos del sitio, existen
herramientas de auditoría web automatizadas que nos pueden señalar la url
como por ejemplo Uniscan, que además nos entrega un listado de E-Mails dentro
del sitio, entre otras vulnerabilidades.
Otra fuente también es aprovechar las vulnerabilidades a SQLi. Obteniendo una
base de datos fácilmente podemos obtener datos de usuarios (trabajadores).
Luego basta con googlear un poco, buscar en facebook, en el sitio del servel e
incluso para los mas osados hackear alguna de sus cuentas.
11. •
Metodos invasivos:
Al realizar tanto la investigación como el ataque podemos recurrir a metodos
invasivos que por cierto ahondan aun mas en la ilegalidad.
Lockpicking: El arte de abrir cerraduras sin llave y sin dañarlas. Si
tenemos acceso al recinto, probablemente un cajon bajo llave contenga la
información que buscamos. Abrir cerraduras no es un metodo de
hollywood, de hecho es mas real de lo que se piensa, y con un poco de
practica podemos abrir una cerradura en segundos. Solo basta con buscar
un poco en internet y hay cientos de manuales.
Shoulder Surfing: O mirar por sobre el hombro. Los que vieron la película
Hackers recordarán la escena donde uno de los personajes entra a la
empresa y pasa por las oficinas mirando en el momento preciso cuando la
persona teclea la contraseña. Este metodo depende proporcionalmente de
nuestra memoria, pero si esta nos favorece es bastante efectivo y nos
facilita muchos las cosas. Por ejemplo un caso personal: Trataba de
obtener la clave de administrador de Windows. No podía usar net users
porque la cambiaría, ni tenía alguna herramienta para descencriptar el
hash, y mucho menos Hirens Boot en un USB. Por suerte tenía mi celular
con dSploit así que causé una pequeña DoS y llamé al técnico para que
revisara el internet. El entró a la cuenta de administrador y por sobre el
hombro miré la clave. Claro, cada uno de ustedes puede hacerlo a su
manera y en un escenario distinto.
Dumpster Diving: El famoso método de buscar en la basura, bastante
comentado en comunidades de hackers y popularizado en el cine, pero...
Que buscamos exactamente? Lo que buscamos es información... Recopilar
la mayor cantidad de papeles y CD, esten estos dañados o no. Con un
poco de tiempo no es muy dificil armar un papel roto, generalmente las
gente los rompe y luego junta las piezas rotas y las bota, lo que no tiene
mucho sentido. Y los CD rayados... En una experiencia personal y en un
golpe de suerte encontre un cd con un TXT que tenía los usuarios y claves
de un usuario en su nuevo Blog, casualmente era la misma de su cuenta.
Con herramientas como Anyreader podemos extraer información de
discos dañados facilmente.
Llamadas y Correos: No necesariamente haciendo I.S. Solo para preguntar
datos concretos como los preguntaría cualquier cliente a fin de obtener
mas información.
Toda la información que logremos recopilar nos servirá tanto para identificar
a la posible víctima como para crear el pretexto que necesitamos,
principalmente si falsearemos una identidad. Yo no puedo decirles como
exactamente utilizar esta información, pues esto queda a la imaginación de
ustedes y cada metodo y pretexto será diferente dependiendo del contexto.
Lo mas importante es obtener la mayor información posible con todas las
formas que se nos ocurran, pues entre mas información recopilamos mas
claro se ve nuestor horizonte.
14. Ingeniería Social Vía E-Mail:
A través del e-mail se puede envíar un archivo troyanizado
Se puede suplantar la identidad de correo electrónico. En este caso utilizamos
una web existente, pero existen formas mas avanzadas y mas efectivas.
15. Ingeniería Social Vía FacebookI
Abrir el link de una imagen que nos envían por facebook es un acto rutinario para un
usuario común, pero puede ser utilizado para obtener nuestra dirección IP, Sistema
Operativo y datos del navegador.
16. Otra técnica muy utilizada hoy en día por lammers que han visto en Metasploit su
juguete de entretenimiento es consultar directamente información acerca del uso de
softwares vulnerables. Información que para el usuario promedio parece algo
normal, fuera de peligro, pero que puede ser utilizada por lammers y crackers para
acceder a tu información ejectuando código remoto.
En este caso preguntamos acerca de la versión de JAVA que utiliza nuestro amigo,
para nuestra suerte era la 7...
17. Ataques de I.S. A dispositivos Android
Con Social Engineering Toolkit (Disponible en Kali Y BT) y Metasploit se puede tener
acceso remoto a un dispositivo android. Las técnicas para “pescar” a la víctima
pueden ser utilizando un código QR creado con SET, o creando una aplicación
18. maliciosa con MSF y luego enviandola vía SMS, con el SMS Spoofer de SET.
Mas info acerca del exploit:
Como hackear un Android - Backtrack Academy
Hacking Físico (O que hacer cuando estamos frente al PC)
Con Social Engineer Toolkit, utilizando el módulo Infectious Media Generator
podemos crear un CD o un USB con un autorun.inf y un Payload de Metasploit.
También podemos crear manualmente un autoejecutable para sustraer información,
en este ejemplo un autoejecutable orientado a windows para sutraer información
almacenada en los navegadores.
19. También existen otros dispositivos que se pueden conseguir por internet como el
USB Rubber Ducky, que es básicamente como el USB creado con Infectious Media
Generator, pero ya listo para usar.
Además podemos encontrar el Teensy, que es un proyecto HID de hardware abierto,
que puede ser usado para almacenar un script, y este puede ser instalado al interior
de algun otro dispositivo USB para su camuflaje.
20.
21.
22. Trabajo de investigación realizado por 4C1D0B1N4R10::ACIDSecurity en base a toda
la información que logré recopilar de Internet y en base al conocimiento que la
experiencia me ha entregado. Los ejemplos exibidos en esta presentación
corresponden a pruebas de concepto dentro de los márgenes de la ley.
4C1D0B1N4R10::ACIDSecurity no se hacen responsables por el mal uso que se le
pueda dar a esta información. Esta información esta orientada a Hackers Éticos,
con fines educativos y a usuarios comunes para prevenir este tipo de ataques.
Esta presentación fue especialmente desarrollada para ser expuesta en la primera
Hackathon de Lulz Security Chile.
Acotaciones, felicitaciones, críticas, puteadas, dudas, o intentos de jakeao a:
4c1d0b1n4r10@riseup.net