2. Término usado entre crackers y samurais para referirse a las técnicas de
violación que se sustentan en las debilidades de las personas mas que en el
software. El objetivo es engañar a la gente para que revele contraseñas u
otra información que comprometa la seguridad del sistema objetivo.
Definición
“la práctica de obtener información
confidencial a través de la manipulación de
usuarios legítimos”
3. Técnicas y Herramientas de Ingeniería Social
* Invasivas o Directas o Físicas.
* Seductivas y/o Inadvertidas.
4. Invasivas o Directas o Físicas
El Teléfono:
* Personificación Falsa y Persuación
Tretas Engañosas: Amenazas, Confusiones Falsas.
Falsos Reportes de Problemas.
* Personificación Falsa en llamadas a HelpDesks y Sistemas CRM
Completando los Datos Personales
* Robo de Contraseñas o Claves de Acceso Telefónico:
Consulta de buzones de voz.
Uso fraudulento de líneas telefónicas.
Uso de Sistemas Internacionales de Voz sobre IP
El Sitio de Trabajo
Entrada a los sitios de trabajo
Acceso Físico no Autorizado
Tailgating
Oficina
“Shoulder Surfing” (ver por encima del hombro), Leer al revés.
Robar, fotografiar o copiar documentos sensibles.
Pasearse por los pasillos buscando oficinas abiertas
Intentos de ganar acceso al cuarto de PBX y/o servidores para:
- Conseguir acceso a los sistemas,
- Instalar analizadores de protocolo escondidos, sniffers o,
- Remover o robar pequeños equipos con o sin datos.
La Basura
Dumpster Diving” o ¿Qué hay en nuestra basura?:
Listados Telefónicos.
Organigramas.
Memorandos Internos.
Manuales de Políticas de la Compañia.
Agendas en Papel de Ejecutivos con Eventos y Vacaciones.
Manuales de Sistemas.
Impresiones de Datos Sensibles y Confidenciales.
“Logins”, “Logons” y a veces... contraseñas.
Listados de Programas (código fuente).
Disquettes y Cintas.
Papel Membretado y Formatos Varios.
Hardware Obsoleto.
La Internet-Intranet
Si en algo es consistente un usuario es
en repetir passwords.
“Password Guessing”
Placa del Carro.
Nombre de la HIJA + 2005.
Fecha de nacimiento.
Encuestas, Concursos, Falsas
Actualizaciones de Datos (Phising).
Anexos con Troyanos, Exploits,
Spyware, Software de Navegación
remota y Screen Rendering.
5. Invasivas o Directas o Físicas
Phising
Engañar a un usuario llevándolo a pensar que uno es un
administrador del sistema y solicitando una contraseña para varios
propósitos.
"crear una cuenta",
"reactivar una configuración",
Actualización de datos;
Los usuarios de estos sistemas deberían ser advertidos temprana y
frecuentemente para que no divulguen contraseñas u otra
información sensible a personas que dicen ser administradores.
Los administradores de sistemas informáticos raramente (o nunca)
necesitan saber la contraseña de los usuarios.
En una encuesta realizada por la empresa InfoSecurity, el 90% de
los empleados de oficina de la estación Waterloo de Londres
reveló sus contraseñas a cambio de un bolígrafo barato.
Los “USB Memory Dongles”
Excelente para invadir o inyectar virus, keygrabbers, etc.
Excelente para robar información.
Fácil de introducir en entornos empresariales.
Fácil de sacar, casi indetectable.
El Acceso Wireless
Extensión de la Oficina (hasta 93 Metros alrededor).
War-Driving.
De nada sirve tener la red protegida si la gente no es consciente de la
privacidad de la clave.
Una red abierta es puerta a delitos informáticos.
El punto de partida a “hacking” tradicional.
6. Seductivas y/o Inadvertidas
Autoridad
Pretender estar con la gente de TI o con un alto
ejecutivo en la Empresa o Institución.
Puede usar un tono de voz:
Intimidante
Amenazante
Urgente
Carisma
Se usan modales amistosos, agradables.
Se conversa sobre intereses comunes.
Puede usar la adulación para ganar información del
contexto sbre una persona, grupo o producto.
Reciprocidad
Se ofrece o promete ayuda, información u
objetos que no necesariamente han sido
requeridos.
Esto construye confianza, dá la sensación de
autenticidad y confiabilidad.
Consistencia
Se usa el contacto repetido durante un cierto período de tiempo para
establecer familiaridad con la “identidad” del atacante y probar su
confiabilidad.
7. ¿QUÉ ES EL PERFILAMIENTO?
Se define ‘perfilamiento’ como «cualquier
forma de procesamiento automatizado de
datos personales que consiste en utilizar esos
datos para evaluar determinados aspectos
personales relacionados con una persona
física, en particular para analizar o predecir
aspectos relacionados con el desempeño de
esa persona física en trabajo, situación
económica, salud, preferencias personales,
intereses, fiabilidad, comportamiento,
ubicación o movimientos».
8. Tu huella digital
Todos los días, lo queramos o no, la mayoría
de nosotros contribuye a la elaboración de un
retrato de
lo que somos en línea; un retrato que es
probablemente más público de lo que
nosotros suponemos.
Por lo tanto, no importa lo que tú hagas en
línea, lo que importa es que sepas qué tipo de
huella estás
dejando, y cuáles pueden ser los posibles
efectos. Estos tutoriales te ayudarán a
aprender no sólo
acerca de tus huellas digitales, sino que
también te ayudan a tomar las decisiones
correctas para ti.
https://www.youtube.com/watch?time_continue=20&v=cpH-zSRV6Ug