SlideShare una empresa de Scribd logo

Ingenieria social

Miguel Bofi
Miguel Bofi
1 de 22
Descargar para leer sin conexión
Índice: Ingeniería Social: 1. Introducción a la Ingeniería Social • Que es? • Historia ➢ Virus I Love You ➢ La estafa Nigeriana 2. Metodología: • Interacciónes, Actuación y características • Information Gathering • Vectores de Ataque ➢ + Teléfono ➢ + E-Mail ➢ + Facebook ➢ Android ➢ Hacking Físico 3. Conclusión: • Conclusión • Prevención • Textos Recomendados
Introducción a la Ingeniería Social • Que es? La ingeniería Social (I.S.) es un proceso de interacción humana planificado, que consiste en atacar y explotar vulnerabilidades humanas para conseguir algun tipo de beneficio. Estas técnicas de acercamiento humano han sido utilizadas durante años, no solamente por informáticos, sino de mucho antes por políticos, psicólogos, profesionales de la seguridad, economistas, estafadores, policías, entre otros. Este metodo basado en el engaño y la persuación no requiere necesariamente el uso de teconología para obtener información efectiva, solo basta tener las habilidades sociales suficientes para realizar un acertivo acercamiento con una victima e inducirlo ya sea a entregar información valiosa o a ejecutar una acción.
• Historia: Los ataques de ingeniería social no son un hecho de la decada, escenas en las que personas se acercan a otra en una actitud fraternal e inocente para tenderles una trampa se han visto desde antes de cristo, un claro ejemplo es la conocida sorpresa del caballo de troya. • Virus I love You: Este conocido virus del que probablemente muchos de ustedes habrán escuchado hablar marco un precedente en la historia no solo de los virus informáticos sino que de la ingeniería social aplicada de lleno a la computación. El viernes 4 de mayo del año 200 se liberael virus propagandose entre sistemas Windows. Este se colgaba de una vulnerabilidad en estos sitemas que permanecía activado el sistema de interpretación de scripts de microsoft, el cual ejecutaba los scripts VBS. Hasta ahí nada que no se viera antes, pero este script tenía un peculiar metodo de propagación, además de su persistencia en la infección de archivos y el hecho de apoderarse del registro del sistema, este virus continuaba propagandose a través del correo electrónico utilizando microsoft outlook, pero ese no era su unico vector de ataque, también era capas de propagarse por chat.
Para hacer efectiva su propagación, este virus apelaba a la ingeniería social para hacer caer a sus victimas: – En primer lugar se colgaba de la falta de advertencias de seguridad al abrir un link de un e-mail, y al ser esto una tarea rutinaria, es normal que el usuario quiera saber de que se trata y abra el link. – El ícono que utilizaba (El de VBS) es bastante similar al de TXT, por lo tanto para el usuario le parecía inofensivo. No por ejemplo el ícono de BAT que a la vista parece comprometedor y asusta a cualquier usuario. – Las palabras escogidas: Al enviarse como una “carta de amor” millones de curiosos e ilusionados don juanes en el mundo abrieron de inmediato el e-mail esperando encontrarse con una declaración de amor. Claramente no fue así. – Procedencia: Al utilizar el chat o el e-mail utilizaba la identidad de otra persona para propagarse, esto hacía creer a la nueva víctima que era un archivo de confianza, porque su procedencia así lo era tambien. – Antecedente cultural: Este ataque iba enfocado principalmente a ciertos grupos sociales: Al estar en inglés era mas probable que las víctimas fueran en su mayoría de habla inglesa, aunque la mayoría de los afectados si lo era, un caso disidente fue Argentina con 150.000 víctimas; Otro factor incidente era la religión, la india no tuvo infectados dado que nadie se atrevía a abrir un correo que contenía palabras prohibidas por su religión. En conclusión entendemos que lo que hizo exitoso a este virus no fue tanto su codigo ni la vulnerabilidad explotada, si no mas bien el ingenioso metodo de propagación que utilizaba el factor mas vulnerable de todos. Al 6 de mayo, 2 días después ya tenía la no despreciable suma de mas de 3 millones de ataques contabilizados. Datos posteriores indican que esta cifra ascendió a los 50 millones, comprometiendo a privados y a empresas. Solo hubo una ventaja para estos últimos y es que este virus fue lanzado un día viernes, por lo tanto no había usuarios utilizando los computadores, y les dio el tiempo suficiente para advertir del virus a los empleados.
• La Estafa Nigeriana: Probablemente hayan escuchado hablar de la “Estafa Nigeriana” o el “timo 419”, una conocida estafa procedente de Nigeria que consistía en enviar miles de cartas a países del primer mundo pidiendo sumas de dinero a partir de una historia ficticia. Este tipo de estafa, que ha ido evolucionando con el paso del tiempo, se mantiene hasta nuestros días, es por eso que lo he incluído en esta investigación. Ahora, como se aplica esto al a informática?: Con la creciente expansión del internet, organizaciones criminales del tercer mundo vieron una oportundiad de expandir también sus ataques delictivos a través de este conocido metodo pero ahora a través de la red.
Metodología • La Actuación: Para los que no nacieron con el don de la palabra, realizar un ataque de ingeniería social es mucho mas que acercarse a la víctima y persuadirla de que nos entregue lo que necesitamos. Este ataque requiere una previa investigación y planificación. Ahora, dependiendo de nuestras intenciones y el grado al que llevemos la ingeniería social, esta se divide en dos: Interacción activa: Esta interacción es en la que se lleva la ingeniería social a la realidad, con el objetivo de causar daños u obtener ganancias. Este tipo de ataque malicioso se remonta a Kevin Mitnick, quien durante 20 años se dedico a realizar diferentes delitos de falsificación y robo de información confidencial utilizando sus habilidades sociales. Segun Mitnick, un ataque de ingeniería social exitoso requiere un ciclo: 1. Investigación: Se investigan fuentes abiertas de información a fin de obtener datos de la víctima. 2. Buena relación: Con la información obtenida nos acercamos a la víctima. Este acercamiento puede ser o solicitando ayuda o imponiendo autoridad. Todo a fin de crear confianza y credibilidad con la víctima 3. Explotación: Finalmente se explota esta confianza para solicitar o preguntar por la información que deseamos. 4. Uso de la información: Damos uso a la información, y si es necesario volvemos a iniciar el ciclo hasta conseguir el objetivo. En este escenario encontramos también: 1. Atacante: Quien prepara y ejecuta el ataque. 2. Medio: Es la vía, puede ser personal, telefónico o virtual. 3. Víctima: La persona manipulada. 4. Pretexto: La historia que se crea para convencer a la víctima, y que nos entrega la credibilidad. Aquí se incluye la información recopilada.
Interacción Pasvia: Esta interacción se perpetra desde un segundo plano, estudiando la ingeniería social pero sin contacto real. A diferencia de la interacción activa, esta se mantiene en la legalidad y es vista mas como una ciencia de estudio. Al ser la interacción pasiva un método mas científico orientado al estudio de la ingeniería social, involucra en su conjunto areas de la psicología y la sociología para hacer mas efectiva su investigación. En la interacción pasiva existen tesis bastante elaboradas con respecto al actuar y la eficacia de los metodos utilizados. Al ser esto tan extenso no me da tiempo de señalarlo, pero si recomendamos leer acerca de la Ingeniería Social Automatizada, Dale Pearson y Marcus Nohlberg. Características: Normalidad del ataque: La víctima debe apreciar el acercamiento como algo normal, rutinario, sin dudar ni asustarse (a no ser que el proceso contemple esta acción). Esto sin importar que tan sencillo o complejo sea el ataque. Se recomienda solicitar cosas sencillas para la victima, porque cuando esta comprueba datos o solicita ayuda aumenta las posibilidades de ser descubiertos. Eficacia y peligrosidad: En la mayoría de los casos los atauqes de I.S. Son exitosos, sin necesitad de poseer grandes habilidades ni víctimas tontas para conseguirlo. Lo mas importante en el ataque es tener un buen pretexto y realizar una buena investigación. Innovación: Si bien, este y otros estudios sobre la ingeniería social sirven como una sólida base para conocer acera de los ataques, lo mas importante es innovar y buscar nuevos vectores de ataques para anteponerse al delincuente.
El momento momento indicado: Luego de efectuar los lazos de confianza lo mas importante es esperar el momento adecuado para atacar, para que este ataque paresca algo natural y pueda tener un 100% de éxito. Un ejemplo de lo contrario es que el virus IloveYou haya sido lanzado un día viernes. Jamás quemar la fuente: El herror de muchos novatos luego de realizar el ataque es burlarse de la víctima. Esto destruye toda la confianza creada entre victima y atacante. Esto hará también que la víctima no vuelva a caer en el futuro. Nunca sabemos cuando podemos necesitar nuevamente repetir el procedimiento. Information Gathering Como ya señalé anteriormente, es de suma importancia realizar una buena investigación para poder elaborar un buen pretexto. Es por eso que aquí señalaré algunos de los métodos mas eficaces al momento de obtener información: • Datos Públicos: Una buena fuente de información son los datos públicos que entrega la víctima. Por ejemplo, si estamos buscando tilizar el computador de un trabajador corriente sería poco efectivo acercarse como un desconocido a este y pedirselo, pero podemos crear un aspecto de confianza si llegamos llamandolo por su nombre, por ejemplo “Disculpe don Juan, mi nombre es Hector tengo un recado del jefe, dice que necesita el informe de contabilidad del mes anterior de forma urgente”. En el momento que abandona el lugar accedemos al pc. Ahora, como sabemos que el es Juan de contabilidad? Una forma de averiguar sobre los empleados es consultando por ejempl el sitio web de la organización, muchas empresas publican el nombre de sus empleados, o tienen en su sitio documentos donde podemos encontrar esa información si buscamos bien.
Si queremos por ejemplo revisar todos los archivos del sitio, existen herramientas de auditoría web automatizadas que nos pueden señalar la url como por ejemplo Uniscan, que además nos entrega un listado de E-Mails dentro del sitio, entre otras vulnerabilidades. Otra fuente también es aprovechar las vulnerabilidades a SQLi. Obteniendo una base de datos fácilmente podemos obtener datos de usuarios (trabajadores). Luego basta con googlear un poco, buscar en facebook, en el sitio del servel e incluso para los mas osados hackear alguna de sus cuentas.
• Metodos invasivos: Al realizar tanto la investigación como el ataque podemos recurrir a metodos invasivos que por cierto ahondan aun mas en la ilegalidad. Lockpicking: El arte de abrir cerraduras sin llave y sin dañarlas. Si tenemos acceso al recinto, probablemente un cajon bajo llave contenga la información que buscamos. Abrir cerraduras no es un metodo de hollywood, de hecho es mas real de lo que se piensa, y con un poco de practica podemos abrir una cerradura en segundos. Solo basta con buscar un poco en internet y hay cientos de manuales. Shoulder Surfing: O mirar por sobre el hombro. Los que vieron la película Hackers recordarán la escena donde uno de los personajes entra a la empresa y pasa por las oficinas mirando en el momento preciso cuando la persona teclea la contraseña. Este metodo depende proporcionalmente de nuestra memoria, pero si esta nos favorece es bastante efectivo y nos facilita muchos las cosas. Por ejemplo un caso personal: Trataba de obtener la clave de administrador de Windows. No podía usar net users porque la cambiaría, ni tenía alguna herramienta para descencriptar el hash, y mucho menos Hirens Boot en un USB. Por suerte tenía mi celular con dSploit así que causé una pequeña DoS y llamé al técnico para que revisara el internet. El entró a la cuenta de administrador y por sobre el hombro miré la clave. Claro, cada uno de ustedes puede hacerlo a su manera y en un escenario distinto. Dumpster Diving: El famoso método de buscar en la basura, bastante comentado en comunidades de hackers y popularizado en el cine, pero... Que buscamos exactamente? Lo que buscamos es información... Recopilar la mayor cantidad de papeles y CD, esten estos dañados o no. Con un poco de tiempo no es muy dificil armar un papel roto, generalmente las gente los rompe y luego junta las piezas rotas y las bota, lo que no tiene mucho sentido. Y los CD rayados... En una experiencia personal y en un golpe de suerte encontre un cd con un TXT que tenía los usuarios y claves de un usuario en su nuevo Blog, casualmente era la misma de su cuenta. Con herramientas como Anyreader podemos extraer información de discos dañados facilmente. Llamadas y Correos: No necesariamente haciendo I.S. Solo para preguntar datos concretos como los preguntaría cualquier cliente a fin de obtener mas información. Toda la información que logremos recopilar nos servirá tanto para identificar a la posible víctima como para crear el pretexto que necesitamos, principalmente si falsearemos una identidad. Yo no puedo decirles como exactamente utilizar esta información, pues esto queda a la imaginación de ustedes y cada metodo y pretexto será diferente dependiendo del contexto. Lo mas importante es obtener la mayor información posible con todas las formas que se nos ocurran, pues entre mas información recopilamos mas claro se ve nuestor horizonte.
Ingenería Social: Vectores de Ataque Ingeniería Social vía teléfono:
Ingeniería Social Vía E-Mail: A través del e-mail se puede envíar un archivo troyanizado Se puede suplantar la identidad de correo electrónico. En este caso utilizamos una web existente, pero existen formas mas avanzadas y mas efectivas.
Ingeniería Social Vía FacebookI Abrir el link de una imagen que nos envían por facebook es un acto rutinario para un usuario común, pero puede ser utilizado para obtener nuestra dirección IP, Sistema Operativo y datos del navegador.
Otra técnica muy utilizada hoy en día por lammers que han visto en Metasploit su juguete de entretenimiento es consultar directamente información acerca del uso de softwares vulnerables. Información que para el usuario promedio parece algo normal, fuera de peligro, pero que puede ser utilizada por lammers y crackers para acceder a tu información ejectuando código remoto. En este caso preguntamos acerca de la versión de JAVA que utiliza nuestro amigo, para nuestra suerte era la 7...
Ataques de I.S. A dispositivos Android Con Social Engineering Toolkit (Disponible en Kali Y BT) y Metasploit se puede tener acceso remoto a un dispositivo android. Las técnicas para “pescar” a la víctima pueden ser utilizando un código QR creado con SET, o creando una aplicación
maliciosa con MSF y luego enviandola vía SMS, con el SMS Spoofer de SET. Mas info acerca del exploit: Como hackear un Android - Backtrack Academy Hacking Físico (O que hacer cuando estamos frente al PC) Con Social Engineer Toolkit, utilizando el módulo Infectious Media Generator podemos crear un CD o un USB con un autorun.inf y un Payload de Metasploit. También podemos crear manualmente un autoejecutable para sustraer información, en este ejemplo un autoejecutable orientado a windows para sutraer información almacenada en los navegadores.
También existen otros dispositivos que se pueden conseguir por internet como el USB Rubber Ducky, que es básicamente como el USB creado con Infectious Media Generator, pero ya listo para usar. Además podemos encontrar el Teensy, que es un proyecto HID de hardware abierto, que puede ser usado para almacenar un script, y este puede ser instalado al interior de algun otro dispositivo USB para su camuflaje.
Trabajo de investigación realizado por 4C1D0B1N4R10::ACIDSecurity en base a toda la información que logré recopilar de Internet y en base al conocimiento que la experiencia me ha entregado. Los ejemplos exibidos en esta presentación corresponden a pruebas de concepto dentro de los márgenes de la ley. 4C1D0B1N4R10::ACIDSecurity no se hacen responsables por el mal uso que se le pueda dar a esta información. Esta información esta orientada a Hackers Éticos, con fines educativos y a usuarios comunes para prevenir este tipo de ataques. Esta presentación fue especialmente desarrollada para ser expuesta en la primera Hackathon de Lulz Security Chile. Acotaciones, felicitaciones, críticas, puteadas, dudas, o intentos de jakeao a: 4c1d0b1n4r10@riseup.net

Recomendados

Ingenierìa social
Ingenierìa socialIngenierìa social
Ingenierìa socialinmacu_
 
Ac. 2
Ac. 2Ac. 2
Ac. 2KARENLIZETH25
 
Presentacion ingeniería social
Presentacion ingeniería socialPresentacion ingeniería social
Presentacion ingeniería socialLily Diéguez
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria socialDani Gomez Miramontes
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria socialAndreaJohana2
 
Ingenieria social.pptx
Ingenieria social.pptxIngenieria social.pptx
Ingenieria social.pptxLuis Flores
 
Ingenieria Social
Ingenieria SocialIngenieria Social
Ingenieria SocialLuis R Castellanos
 
La ingeniería social y la seguridad. powerpoint
La ingeniería social y la seguridad. powerpointLa ingeniería social y la seguridad. powerpoint
La ingeniería social y la seguridad. powerpointbachilleratob
 

Recomendados

Ingenierìa social
Ingenierìa socialIngenierìa social
Ingenierìa socialinmacu_
 
Ac. 2
Ac. 2Ac. 2
Ac. 2KARENLIZETH25
 
Presentacion ingeniería social
Presentacion ingeniería socialPresentacion ingeniería social
Presentacion ingeniería socialLily Diéguez
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria socialDani Gomez Miramontes
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria socialAndreaJohana2
 
Ingenieria social.pptx
Ingenieria social.pptxIngenieria social.pptx
Ingenieria social.pptxLuis Flores
 
Ingenieria Social
Ingenieria SocialIngenieria Social
Ingenieria SocialLuis R Castellanos
 
La ingeniería social y la seguridad. powerpoint
La ingeniería social y la seguridad. powerpointLa ingeniería social y la seguridad. powerpoint
La ingeniería social y la seguridad. powerpointbachilleratob
 
Como se evita la ingeniería social Luis Castellanos
Como se evita la ingeniería social Luis CastellanosComo se evita la ingeniería social Luis Castellanos
Como se evita la ingeniería social Luis CastellanosLuis R Castellanos
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria socialalbalucia1983
 
Delincuentes informaticos 1
Delincuentes informaticos 1Delincuentes informaticos 1
Delincuentes informaticos 1Laudy Rugeles
 
La ingenieria-social
La ingenieria-socialLa ingenieria-social
La ingenieria-socialMarcos Escorche
 
Ingenieria social conceptos
Ingenieria social conceptosIngenieria social conceptos
Ingenieria social conceptosIvan Gallardoo
 
Ingeniería social
Ingeniería socialIngeniería social
Ingeniería socialManuel Fdz
 
Ingeniería social
Ingeniería socialIngeniería social
Ingeniería socialCarlos Antonio Leal Saballos
 
Ingeniería Social 2014
Ingeniería Social 2014Ingeniería Social 2014
Ingeniería Social 2014Instituto Juan Bosco de Huánuco
 
Revista maria-herrera
Revista maria-herreraRevista maria-herrera
Revista maria-herreramariaisabelHERRERACO
 
Ingeniería Social
Ingeniería SocialIngeniería Social
Ingeniería SocialAlexander Velasque Rimac
 
Ingenieria social
Ingenieria social Ingenieria social
Ingenieria social seminarioinformatica2
 
Borrador final seg parcial
Borrador final seg parcialBorrador final seg parcial
Borrador final seg parcialNKRR
 
Revista maria.herrera
Revista maria.herreraRevista maria.herrera
Revista maria.herreramariaisabelHERRERACO
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática andreamaricruz
 
Ensayo unidad 1 sergio
Ensayo unidad 1 sergioEnsayo unidad 1 sergio
Ensayo unidad 1 sergioSergio Damian Perez Jimenez
 
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...Maximiliano Soler
 
Ingeniera social carlosbiscione
Ingeniera social carlosbiscioneIngeniera social carlosbiscione
Ingeniera social carlosbiscioneAlex Pin
 
Profesionalizacion y certificacion en ciberseguridad 2
Profesionalizacion y certificacion en ciberseguridad 2Profesionalizacion y certificacion en ciberseguridad 2
Profesionalizacion y certificacion en ciberseguridad 2jalecastro
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticassuserb44661
 
Diapositivas.ingenieria social
Diapositivas.ingenieria socialDiapositivas.ingenieria social
Diapositivas.ingenieria socialJorge Suarez Conde
 
La ingeniería social y la seguridad en it
La ingeniería social y la seguridad en itLa ingeniería social y la seguridad en it
La ingeniería social y la seguridad en itUniversidad Tecnológica de México - UNITEC
 
La Ingeniería Social
La Ingeniería SocialLa Ingeniería Social
La Ingeniería SocialCAS-CHILE
 

Más contenido relacionado

La actualidad más candente

Como se evita la ingeniería social Luis Castellanos
Como se evita la ingeniería social Luis CastellanosComo se evita la ingeniería social Luis Castellanos
Como se evita la ingeniería social Luis CastellanosLuis R Castellanos
 
Delincuentes informaticos 1
Delincuentes informaticos 1Delincuentes informaticos 1
Delincuentes informaticos 1Laudy Rugeles
 
Ingenieria social conceptos
Ingenieria social conceptosIngenieria social conceptos
Ingenieria social conceptosIvan Gallardoo
 
Ingeniería social
Ingeniería socialIngeniería social
Ingeniería socialManuel Fdz
 
Borrador final seg parcial
Borrador final seg parcialBorrador final seg parcial
Borrador final seg parcialNKRR
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática andreamaricruz
 
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...Maximiliano Soler
 
Ingeniera social carlosbiscione
Ingeniera social carlosbiscioneIngeniera social carlosbiscione
Ingeniera social carlosbiscioneAlex Pin
 
Profesionalizacion y certificacion en ciberseguridad 2
Profesionalizacion y certificacion en ciberseguridad 2Profesionalizacion y certificacion en ciberseguridad 2
Profesionalizacion y certificacion en ciberseguridad 2jalecastro
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticassuserb44661
 
Diapositivas.ingenieria social
Diapositivas.ingenieria socialDiapositivas.ingenieria social
Diapositivas.ingenieria socialJorge Suarez Conde
 

La actualidad más candente (20)

Como se evita la ingeniería social Luis Castellanos
Como se evita la ingeniería social Luis CastellanosComo se evita la ingeniería social Luis Castellanos
Como se evita la ingeniería social Luis Castellanos
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria social
 
Delincuentes informaticos 1
Delincuentes informaticos 1Delincuentes informaticos 1
Delincuentes informaticos 1
 
La ingenieria-social
La ingenieria-socialLa ingenieria-social
La ingenieria-social
 
Ingenieria social conceptos
Ingenieria social conceptosIngenieria social conceptos
Ingenieria social conceptos
 
Ingeniería social
Ingeniería socialIngeniería social
Ingeniería social
 
Ingeniería social
Ingeniería socialIngeniería social
Ingeniería social
 
Ingeniería Social 2014
Ingeniería Social 2014Ingeniería Social 2014
Ingeniería Social 2014
 
Revista maria-herrera
Revista maria-herreraRevista maria-herrera
Revista maria-herrera
 
Ingeniería Social
Ingeniería SocialIngeniería Social
Ingeniería Social
 
Ingenieria social
Ingenieria social Ingenieria social
Ingenieria social
 
Borrador final seg parcial
Borrador final seg parcialBorrador final seg parcial
Borrador final seg parcial
 
Revista maria.herrera
Revista maria.herreraRevista maria.herrera
Revista maria.herrera
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
 
Ensayo unidad 1 sergio
Ensayo unidad 1 sergioEnsayo unidad 1 sergio
Ensayo unidad 1 sergio
 
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
 
Ingeniera social carlosbiscione
Ingeniera social carlosbiscioneIngeniera social carlosbiscione
Ingeniera social carlosbiscione
 
Profesionalizacion y certificacion en ciberseguridad 2
Profesionalizacion y certificacion en ciberseguridad 2Profesionalizacion y certificacion en ciberseguridad 2
Profesionalizacion y certificacion en ciberseguridad 2
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Diapositivas.ingenieria social
Diapositivas.ingenieria socialDiapositivas.ingenieria social
Diapositivas.ingenieria social
 

Destacado

La Ingeniería Social
La Ingeniería SocialLa Ingeniería Social
La Ingeniería SocialCAS-CHILE
 
Tesis Ingenieria Social
Tesis Ingenieria SocialTesis Ingenieria Social
Tesis Ingenieria Socialevilbyteperu
 
Ingeniería social
Ingeniería socialIngeniería social
Ingeniería socialGeor_1710
 
Trabajo de ingenieria social
Trabajo de ingenieria socialTrabajo de ingenieria social
Trabajo de ingenieria socialCarlos Franco
 
Cómo escribir un artículo científico
Cómo escribir un artículo científicoCómo escribir un artículo científico
Cómo escribir un artículo científicoJosué Zapeta
 
Articulo cientifico
Articulo cientifico Articulo cientifico
Articulo cientifico angiejhk
 
Ciencia tecnolog e ingenieria revista de la educación superior
Ciencia tecnolog e ingenieria revista de la educación superiorCiencia tecnolog e ingenieria revista de la educación superior
Ciencia tecnolog e ingenieria revista de la educación superiorDavid Paredes
 
Como escribir un artículo científico
Como escribir un artículo científicoComo escribir un artículo científico
Como escribir un artículo científicoJoe Hermosilla
 
Ensayo ingenieria financiera 1 (1)
Ensayo ingenieria financiera 1 (1)Ensayo ingenieria financiera 1 (1)
Ensayo ingenieria financiera 1 (1)mariaalejandraosorio
 
¿Qué es la Ingeniería Social?
¿Qué es la Ingeniería Social?¿Qué es la Ingeniería Social?
¿Qué es la Ingeniería Social?Con Vos en la Web
 
Estructura del texto argumentativo flor
Estructura del texto argumentativo florEstructura del texto argumentativo flor
Estructura del texto argumentativo florflor243
 
Ensayo ingenieria
Ensayo ingenieriaEnsayo ingenieria
Ensayo ingenieriaSandraKB
 
Articulo cientifico
Articulo cientificoArticulo cientifico
Articulo cientificoutea
 
Robert Cialdini: The Science of Persuasion in Less Than 10 Slides
Robert Cialdini: The Science of Persuasion in Less Than 10 SlidesRobert Cialdini: The Science of Persuasion in Less Than 10 Slides
Robert Cialdini: The Science of Persuasion in Less Than 10 SlidesWilly Braun
 

Destacado (19)

La ingeniería social y la seguridad en it
La ingeniería social y la seguridad en itLa ingeniería social y la seguridad en it
La ingeniería social y la seguridad en it
 
La Ingeniería Social
La Ingeniería SocialLa Ingeniería Social
La Ingeniería Social
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria social
 
Tesis Ingenieria Social
Tesis Ingenieria SocialTesis Ingenieria Social
Tesis Ingenieria Social
 
Ingeniería social
Ingeniería socialIngeniería social
Ingeniería social
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria social
 
Trabajo de ingenieria social
Trabajo de ingenieria socialTrabajo de ingenieria social
Trabajo de ingenieria social
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria social
 
Cómo escribir un artículo científico
Cómo escribir un artículo científicoCómo escribir un artículo científico
Cómo escribir un artículo científico
 
Articulo cientifico
Articulo cientifico Articulo cientifico
Articulo cientifico
 
Ciencia tecnolog e ingenieria revista de la educación superior
Ciencia tecnolog e ingenieria revista de la educación superiorCiencia tecnolog e ingenieria revista de la educación superior
Ciencia tecnolog e ingenieria revista de la educación superior
 
Como escribir un artículo científico
Como escribir un artículo científicoComo escribir un artículo científico
Como escribir un artículo científico
 
Ensayo ingenieria financiera 1 (1)
Ensayo ingenieria financiera 1 (1)Ensayo ingenieria financiera 1 (1)
Ensayo ingenieria financiera 1 (1)
 
¿Qué es la Ingeniería Social?
¿Qué es la Ingeniería Social?¿Qué es la Ingeniería Social?
¿Qué es la Ingeniería Social?
 
Estructura del texto argumentativo flor
Estructura del texto argumentativo florEstructura del texto argumentativo flor
Estructura del texto argumentativo flor
 
Modelo de texto argumentativo
Modelo de texto argumentativoModelo de texto argumentativo
Modelo de texto argumentativo
 
Ensayo ingenieria
Ensayo ingenieriaEnsayo ingenieria
Ensayo ingenieria
 
Articulo cientifico
Articulo cientificoArticulo cientifico
Articulo cientifico
 
Robert Cialdini: The Science of Persuasion in Less Than 10 Slides
Robert Cialdini: The Science of Persuasion in Less Than 10 SlidesRobert Cialdini: The Science of Persuasion in Less Than 10 Slides
Robert Cialdini: The Science of Persuasion in Less Than 10 Slides
 

Similar a Ingenieria social

Hacker DAVID L SMITH - VIRUS MELISSA
Hacker DAVID L SMITH - VIRUS MELISSAHacker DAVID L SMITH - VIRUS MELISSA
Hacker DAVID L SMITH - VIRUS MELISSAAlexis Jara
 
Ingenieria social con uso de marcadores
Ingenieria social con uso de marcadoresIngenieria social con uso de marcadores
Ingenieria social con uso de marcadoresadriel02
 
Trabajo william galvan informatica
Trabajo william galvan informaticaTrabajo william galvan informatica
Trabajo william galvan informaticawilliam galvan
 
El acoso sexual en las redes sociales
El acoso sexual en las redes socialesEl acoso sexual en las redes sociales
El acoso sexual en las redes socialesXel Ari Hernàndez
 
Guía de Seguridad en Redes Sociales ESET
Guía de Seguridad en Redes Sociales ESETGuía de Seguridad en Redes Sociales ESET
Guía de Seguridad en Redes Sociales ESETESET Latinoamérica
 
Acoso en las redes sociales
Acoso en las redes socialesAcoso en las redes sociales
Acoso en las redes socialesRaul Gil
 
Guía de seguridad en redes sociales
Guía de seguridad en redes socialesGuía de seguridad en redes sociales
Guía de seguridad en redes socialesalejozurbaran
 
Guía de Seguridad en Redes Sociales (Argentina Cibersegura)
Guía de Seguridad en Redes Sociales (Argentina Cibersegura)Guía de Seguridad en Redes Sociales (Argentina Cibersegura)
Guía de Seguridad en Redes Sociales (Argentina Cibersegura)Gustavo Damián Cucuzza
 
Segundo trabajo de investigacion ciberseguridad
Segundo trabajo de investigacion ciberseguridadSegundo trabajo de investigacion ciberseguridad
Segundo trabajo de investigacion ciberseguridadgustavocun94
 
Delicuencia cibernetica ensayo
Delicuencia cibernetica ensayoDelicuencia cibernetica ensayo
Delicuencia cibernetica ensayoAlondra Sanchez
 
Prevención de la delincuencia cibernética en el estado de puebla.
Prevención de la delincuencia cibernética en el estado de puebla.Prevención de la delincuencia cibernética en el estado de puebla.
Prevención de la delincuencia cibernética en el estado de puebla.nelly Ruiz
 

Similar a Ingenieria social (20)

Hacker DAVID L SMITH - VIRUS MELISSA
Hacker DAVID L SMITH - VIRUS MELISSAHacker DAVID L SMITH - VIRUS MELISSA
Hacker DAVID L SMITH - VIRUS MELISSA
 
Ciberdelincuencia
CiberdelincuenciaCiberdelincuencia
Ciberdelincuencia
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
 
Proteccion en redes sociales
Proteccion en redes socialesProteccion en redes sociales
Proteccion en redes sociales
 
Ensayo Ciberataque
Ensayo CiberataqueEnsayo Ciberataque
Ensayo Ciberataque
 
Ingenieria social con uso de marcadores
Ingenieria social con uso de marcadoresIngenieria social con uso de marcadores
Ingenieria social con uso de marcadores
 
Prevención de Malware Investigación Documental
Prevención de Malware Investigación DocumentalPrevención de Malware Investigación Documental
Prevención de Malware Investigación Documental
 
Trabajo william galvan informatica
Trabajo william galvan informaticaTrabajo william galvan informatica
Trabajo william galvan informatica
 
Riesgos de internet
Riesgos de internetRiesgos de internet
Riesgos de internet
 
El acoso sexual en las redes sociales
El acoso sexual en las redes socialesEl acoso sexual en las redes sociales
El acoso sexual en las redes sociales
 
Luna hernandez olivia_mic3g15-193
Luna hernandez olivia_mic3g15-193Luna hernandez olivia_mic3g15-193
Luna hernandez olivia_mic3g15-193
 
Guía de Seguridad en Redes Sociales ESET
Guía de Seguridad en Redes Sociales ESETGuía de Seguridad en Redes Sociales ESET
Guía de Seguridad en Redes Sociales ESET
 
Acoso en las redes sociales
Acoso en las redes socialesAcoso en las redes sociales
Acoso en las redes sociales
 
INGENIERIA SOCIAL
INGENIERIA SOCIALINGENIERIA SOCIAL
INGENIERIA SOCIAL
 
Riesgos en la red
Riesgos en la redRiesgos en la red
Riesgos en la red
 
Guía de seguridad en redes sociales
Guía de seguridad en redes socialesGuía de seguridad en redes sociales
Guía de seguridad en redes sociales
 
Guía de Seguridad en Redes Sociales (Argentina Cibersegura)
Guía de Seguridad en Redes Sociales (Argentina Cibersegura)Guía de Seguridad en Redes Sociales (Argentina Cibersegura)
Guía de Seguridad en Redes Sociales (Argentina Cibersegura)
 
Segundo trabajo de investigacion ciberseguridad
Segundo trabajo de investigacion ciberseguridadSegundo trabajo de investigacion ciberseguridad
Segundo trabajo de investigacion ciberseguridad
 
Delicuencia cibernetica ensayo
Delicuencia cibernetica ensayoDelicuencia cibernetica ensayo
Delicuencia cibernetica ensayo
 
Prevención de la delincuencia cibernética en el estado de puebla.
Prevención de la delincuencia cibernética en el estado de puebla.Prevención de la delincuencia cibernética en el estado de puebla.
Prevención de la delincuencia cibernética en el estado de puebla.
 

Ingenieria social

  • 1. Índice: Ingeniería Social: 1. Introducción a la Ingeniería Social • Que es? • Historia ➢ Virus I Love You ➢ La estafa Nigeriana 2. Metodología: • Interacciónes, Actuación y características • Information Gathering • Vectores de Ataque ➢ + Teléfono ➢ + E-Mail ➢ + Facebook ➢ Android ➢ Hacking Físico 3. Conclusión: • Conclusión • Prevención • Textos Recomendados
  • 2. Introducción a la Ingeniería Social • Que es? La ingeniería Social (I.S.) es un proceso de interacción humana planificado, que consiste en atacar y explotar vulnerabilidades humanas para conseguir algun tipo de beneficio. Estas técnicas de acercamiento humano han sido utilizadas durante años, no solamente por informáticos, sino de mucho antes por políticos, psicólogos, profesionales de la seguridad, economistas, estafadores, policías, entre otros. Este metodo basado en el engaño y la persuación no requiere necesariamente el uso de teconología para obtener información efectiva, solo basta tener las habilidades sociales suficientes para realizar un acertivo acercamiento con una victima e inducirlo ya sea a entregar información valiosa o a ejecutar una acción.
  • 3. • Historia: Los ataques de ingeniería social no son un hecho de la decada, escenas en las que personas se acercan a otra en una actitud fraternal e inocente para tenderles una trampa se han visto desde antes de cristo, un claro ejemplo es la conocida sorpresa del caballo de troya. • Virus I love You: Este conocido virus del que probablemente muchos de ustedes habrán escuchado hablar marco un precedente en la historia no solo de los virus informáticos sino que de la ingeniería social aplicada de lleno a la computación. El viernes 4 de mayo del año 200 se liberael virus propagandose entre sistemas Windows. Este se colgaba de una vulnerabilidad en estos sitemas que permanecía activado el sistema de interpretación de scripts de microsoft, el cual ejecutaba los scripts VBS. Hasta ahí nada que no se viera antes, pero este script tenía un peculiar metodo de propagación, además de su persistencia en la infección de archivos y el hecho de apoderarse del registro del sistema, este virus continuaba propagandose a través del correo electrónico utilizando microsoft outlook, pero ese no era su unico vector de ataque, también era capas de propagarse por chat.
  • 4. Para hacer efectiva su propagación, este virus apelaba a la ingeniería social para hacer caer a sus victimas: – En primer lugar se colgaba de la falta de advertencias de seguridad al abrir un link de un e-mail, y al ser esto una tarea rutinaria, es normal que el usuario quiera saber de que se trata y abra el link. – El ícono que utilizaba (El de VBS) es bastante similar al de TXT, por lo tanto para el usuario le parecía inofensivo. No por ejemplo el ícono de BAT que a la vista parece comprometedor y asusta a cualquier usuario. – Las palabras escogidas: Al enviarse como una “carta de amor” millones de curiosos e ilusionados don juanes en el mundo abrieron de inmediato el e-mail esperando encontrarse con una declaración de amor. Claramente no fue así. – Procedencia: Al utilizar el chat o el e-mail utilizaba la identidad de otra persona para propagarse, esto hacía creer a la nueva víctima que era un archivo de confianza, porque su procedencia así lo era tambien. – Antecedente cultural: Este ataque iba enfocado principalmente a ciertos grupos sociales: Al estar en inglés era mas probable que las víctimas fueran en su mayoría de habla inglesa, aunque la mayoría de los afectados si lo era, un caso disidente fue Argentina con 150.000 víctimas; Otro factor incidente era la religión, la india no tuvo infectados dado que nadie se atrevía a abrir un correo que contenía palabras prohibidas por su religión. En conclusión entendemos que lo que hizo exitoso a este virus no fue tanto su codigo ni la vulnerabilidad explotada, si no mas bien el ingenioso metodo de propagación que utilizaba el factor mas vulnerable de todos. Al 6 de mayo, 2 días después ya tenía la no despreciable suma de mas de 3 millones de ataques contabilizados. Datos posteriores indican que esta cifra ascendió a los 50 millones, comprometiendo a privados y a empresas. Solo hubo una ventaja para estos últimos y es que este virus fue lanzado un día viernes, por lo tanto no había usuarios utilizando los computadores, y les dio el tiempo suficiente para advertir del virus a los empleados.
  • 5. • La Estafa Nigeriana: Probablemente hayan escuchado hablar de la “Estafa Nigeriana” o el “timo 419”, una conocida estafa procedente de Nigeria que consistía en enviar miles de cartas a países del primer mundo pidiendo sumas de dinero a partir de una historia ficticia. Este tipo de estafa, que ha ido evolucionando con el paso del tiempo, se mantiene hasta nuestros días, es por eso que lo he incluído en esta investigación. Ahora, como se aplica esto al a informática?: Con la creciente expansión del internet, organizaciones criminales del tercer mundo vieron una oportundiad de expandir también sus ataques delictivos a través de este conocido metodo pero ahora a través de la red.
  • 6.
  • 7. Metodología • La Actuación: Para los que no nacieron con el don de la palabra, realizar un ataque de ingeniería social es mucho mas que acercarse a la víctima y persuadirla de que nos entregue lo que necesitamos. Este ataque requiere una previa investigación y planificación. Ahora, dependiendo de nuestras intenciones y el grado al que llevemos la ingeniería social, esta se divide en dos: Interacción activa: Esta interacción es en la que se lleva la ingeniería social a la realidad, con el objetivo de causar daños u obtener ganancias. Este tipo de ataque malicioso se remonta a Kevin Mitnick, quien durante 20 años se dedico a realizar diferentes delitos de falsificación y robo de información confidencial utilizando sus habilidades sociales. Segun Mitnick, un ataque de ingeniería social exitoso requiere un ciclo: 1. Investigación: Se investigan fuentes abiertas de información a fin de obtener datos de la víctima. 2. Buena relación: Con la información obtenida nos acercamos a la víctima. Este acercamiento puede ser o solicitando ayuda o imponiendo autoridad. Todo a fin de crear confianza y credibilidad con la víctima 3. Explotación: Finalmente se explota esta confianza para solicitar o preguntar por la información que deseamos. 4. Uso de la información: Damos uso a la información, y si es necesario volvemos a iniciar el ciclo hasta conseguir el objetivo. En este escenario encontramos también: 1. Atacante: Quien prepara y ejecuta el ataque. 2. Medio: Es la vía, puede ser personal, telefónico o virtual. 3. Víctima: La persona manipulada. 4. Pretexto: La historia que se crea para convencer a la víctima, y que nos entrega la credibilidad. Aquí se incluye la información recopilada.
  • 8. Interacción Pasvia: Esta interacción se perpetra desde un segundo plano, estudiando la ingeniería social pero sin contacto real. A diferencia de la interacción activa, esta se mantiene en la legalidad y es vista mas como una ciencia de estudio. Al ser la interacción pasiva un método mas científico orientado al estudio de la ingeniería social, involucra en su conjunto areas de la psicología y la sociología para hacer mas efectiva su investigación. En la interacción pasiva existen tesis bastante elaboradas con respecto al actuar y la eficacia de los metodos utilizados. Al ser esto tan extenso no me da tiempo de señalarlo, pero si recomendamos leer acerca de la Ingeniería Social Automatizada, Dale Pearson y Marcus Nohlberg. Características: Normalidad del ataque: La víctima debe apreciar el acercamiento como algo normal, rutinario, sin dudar ni asustarse (a no ser que el proceso contemple esta acción). Esto sin importar que tan sencillo o complejo sea el ataque. Se recomienda solicitar cosas sencillas para la victima, porque cuando esta comprueba datos o solicita ayuda aumenta las posibilidades de ser descubiertos. Eficacia y peligrosidad: En la mayoría de los casos los atauqes de I.S. Son exitosos, sin necesitad de poseer grandes habilidades ni víctimas tontas para conseguirlo. Lo mas importante en el ataque es tener un buen pretexto y realizar una buena investigación. Innovación: Si bien, este y otros estudios sobre la ingeniería social sirven como una sólida base para conocer acera de los ataques, lo mas importante es innovar y buscar nuevos vectores de ataques para anteponerse al delincuente.
  • 9. El momento momento indicado: Luego de efectuar los lazos de confianza lo mas importante es esperar el momento adecuado para atacar, para que este ataque paresca algo natural y pueda tener un 100% de éxito. Un ejemplo de lo contrario es que el virus IloveYou haya sido lanzado un día viernes. Jamás quemar la fuente: El herror de muchos novatos luego de realizar el ataque es burlarse de la víctima. Esto destruye toda la confianza creada entre victima y atacante. Esto hará también que la víctima no vuelva a caer en el futuro. Nunca sabemos cuando podemos necesitar nuevamente repetir el procedimiento. Information Gathering Como ya señalé anteriormente, es de suma importancia realizar una buena investigación para poder elaborar un buen pretexto. Es por eso que aquí señalaré algunos de los métodos mas eficaces al momento de obtener información: • Datos Públicos: Una buena fuente de información son los datos públicos que entrega la víctima. Por ejemplo, si estamos buscando tilizar el computador de un trabajador corriente sería poco efectivo acercarse como un desconocido a este y pedirselo, pero podemos crear un aspecto de confianza si llegamos llamandolo por su nombre, por ejemplo “Disculpe don Juan, mi nombre es Hector tengo un recado del jefe, dice que necesita el informe de contabilidad del mes anterior de forma urgente”. En el momento que abandona el lugar accedemos al pc. Ahora, como sabemos que el es Juan de contabilidad? Una forma de averiguar sobre los empleados es consultando por ejempl el sitio web de la organización, muchas empresas publican el nombre de sus empleados, o tienen en su sitio documentos donde podemos encontrar esa información si buscamos bien.
  • 10. Si queremos por ejemplo revisar todos los archivos del sitio, existen herramientas de auditoría web automatizadas que nos pueden señalar la url como por ejemplo Uniscan, que además nos entrega un listado de E-Mails dentro del sitio, entre otras vulnerabilidades. Otra fuente también es aprovechar las vulnerabilidades a SQLi. Obteniendo una base de datos fácilmente podemos obtener datos de usuarios (trabajadores). Luego basta con googlear un poco, buscar en facebook, en el sitio del servel e incluso para los mas osados hackear alguna de sus cuentas.
  • 11. • Metodos invasivos: Al realizar tanto la investigación como el ataque podemos recurrir a metodos invasivos que por cierto ahondan aun mas en la ilegalidad. Lockpicking: El arte de abrir cerraduras sin llave y sin dañarlas. Si tenemos acceso al recinto, probablemente un cajon bajo llave contenga la información que buscamos. Abrir cerraduras no es un metodo de hollywood, de hecho es mas real de lo que se piensa, y con un poco de practica podemos abrir una cerradura en segundos. Solo basta con buscar un poco en internet y hay cientos de manuales. Shoulder Surfing: O mirar por sobre el hombro. Los que vieron la película Hackers recordarán la escena donde uno de los personajes entra a la empresa y pasa por las oficinas mirando en el momento preciso cuando la persona teclea la contraseña. Este metodo depende proporcionalmente de nuestra memoria, pero si esta nos favorece es bastante efectivo y nos facilita muchos las cosas. Por ejemplo un caso personal: Trataba de obtener la clave de administrador de Windows. No podía usar net users porque la cambiaría, ni tenía alguna herramienta para descencriptar el hash, y mucho menos Hirens Boot en un USB. Por suerte tenía mi celular con dSploit así que causé una pequeña DoS y llamé al técnico para que revisara el internet. El entró a la cuenta de administrador y por sobre el hombro miré la clave. Claro, cada uno de ustedes puede hacerlo a su manera y en un escenario distinto. Dumpster Diving: El famoso método de buscar en la basura, bastante comentado en comunidades de hackers y popularizado en el cine, pero... Que buscamos exactamente? Lo que buscamos es información... Recopilar la mayor cantidad de papeles y CD, esten estos dañados o no. Con un poco de tiempo no es muy dificil armar un papel roto, generalmente las gente los rompe y luego junta las piezas rotas y las bota, lo que no tiene mucho sentido. Y los CD rayados... En una experiencia personal y en un golpe de suerte encontre un cd con un TXT que tenía los usuarios y claves de un usuario en su nuevo Blog, casualmente era la misma de su cuenta. Con herramientas como Anyreader podemos extraer información de discos dañados facilmente. Llamadas y Correos: No necesariamente haciendo I.S. Solo para preguntar datos concretos como los preguntaría cualquier cliente a fin de obtener mas información. Toda la información que logremos recopilar nos servirá tanto para identificar a la posible víctima como para crear el pretexto que necesitamos, principalmente si falsearemos una identidad. Yo no puedo decirles como exactamente utilizar esta información, pues esto queda a la imaginación de ustedes y cada metodo y pretexto será diferente dependiendo del contexto. Lo mas importante es obtener la mayor información posible con todas las formas que se nos ocurran, pues entre mas información recopilamos mas claro se ve nuestor horizonte.
  • 12. Ingenería Social: Vectores de Ataque Ingeniería Social vía teléfono:
  • 13.
  • 14. Ingeniería Social Vía E-Mail: A través del e-mail se puede envíar un archivo troyanizado Se puede suplantar la identidad de correo electrónico. En este caso utilizamos una web existente, pero existen formas mas avanzadas y mas efectivas.
  • 15. Ingeniería Social Vía FacebookI Abrir el link de una imagen que nos envían por facebook es un acto rutinario para un usuario común, pero puede ser utilizado para obtener nuestra dirección IP, Sistema Operativo y datos del navegador.
  • 16. Otra técnica muy utilizada hoy en día por lammers que han visto en Metasploit su juguete de entretenimiento es consultar directamente información acerca del uso de softwares vulnerables. Información que para el usuario promedio parece algo normal, fuera de peligro, pero que puede ser utilizada por lammers y crackers para acceder a tu información ejectuando código remoto. En este caso preguntamos acerca de la versión de JAVA que utiliza nuestro amigo, para nuestra suerte era la 7...
  • 17. Ataques de I.S. A dispositivos Android Con Social Engineering Toolkit (Disponible en Kali Y BT) y Metasploit se puede tener acceso remoto a un dispositivo android. Las técnicas para “pescar” a la víctima pueden ser utilizando un código QR creado con SET, o creando una aplicación
  • 18. maliciosa con MSF y luego enviandola vía SMS, con el SMS Spoofer de SET. Mas info acerca del exploit: Como hackear un Android - Backtrack Academy Hacking Físico (O que hacer cuando estamos frente al PC) Con Social Engineer Toolkit, utilizando el módulo Infectious Media Generator podemos crear un CD o un USB con un autorun.inf y un Payload de Metasploit. También podemos crear manualmente un autoejecutable para sustraer información, en este ejemplo un autoejecutable orientado a windows para sutraer información almacenada en los navegadores.
  • 19. También existen otros dispositivos que se pueden conseguir por internet como el USB Rubber Ducky, que es básicamente como el USB creado con Infectious Media Generator, pero ya listo para usar. Además podemos encontrar el Teensy, que es un proyecto HID de hardware abierto, que puede ser usado para almacenar un script, y este puede ser instalado al interior de algun otro dispositivo USB para su camuflaje.
  • 20.
  • 21.
  • 22. Trabajo de investigación realizado por 4C1D0B1N4R10::ACIDSecurity en base a toda la información que logré recopilar de Internet y en base al conocimiento que la experiencia me ha entregado. Los ejemplos exibidos en esta presentación corresponden a pruebas de concepto dentro de los márgenes de la ley. 4C1D0B1N4R10::ACIDSecurity no se hacen responsables por el mal uso que se le pueda dar a esta información. Esta información esta orientada a Hackers Éticos, con fines educativos y a usuarios comunes para prevenir este tipo de ataques. Esta presentación fue especialmente desarrollada para ser expuesta en la primera Hackathon de Lulz Security Chile. Acotaciones, felicitaciones, críticas, puteadas, dudas, o intentos de jakeao a: 4c1d0b1n4r10@riseup.net