La ingeniería social aplicada al delito informático. Una aproximación. (Presentación PowerPoint)

INGENIERÍA SOCIAL. UNA APROXIMACIÓN Introducción La mayoría de las personas no es consciente de que sus datos personales no se muestran en cualquier sitio o se revelan a cualquiera en la vida real, pero sí los va dejando por la red de redes con una facilidad pasmosa. Definición de IS: Según wikipedia: “la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos” 1

INGENIERÍA SOCIAL. UNA APROXIMACIÓN Conceptos de IS I La ingeniería social consiste en obtener información de terceros sin que éstos se den cuenta. No existe limitación en cuanto al tipo de información obtenida ni a la utilización posterior que se hace de ésta. Existe desde hace mucho tiempo y todos hemos sido víctimas de ella alguna vez en la vida. 2

INGENIERÍA SOCIAL. UNA APROXIMACIÓN Conceptos de IS II La ingeniería social aprovecha sentimientos tan variados como curiosidad, la avaricia, el sexo, la compasión o el miedo. Busca una acción por parte del usuario. 3

INGENIERÍA SOCIAL. UNA APROXIMACIÓN Conceptos de IS III Grupos que la usan: Los hackers. Los espías. Los ladrones o timadores. Los detectives privados. Los vendedores. 4

INGENIERÍA SOCIAL. UNA APROXIMACIÓN Conceptos de IS IV Cambio de paradigma en el objetivo de los ataques 5

INGENIERÍA SOCIAL. UNA APROXIMACIÓN Conceptos de IS V La ingeniería social acaba en el momento que se obtiene la información deseada, es decir, las acciones delictivas que esa información pueda facilitar o favorecer no se enmarcan bajo este término. 6

INGENIERÍA SOCIAL. UNA APROXIMACIÓN Conceptos de IS MORALEJA: “Aunque se dice que el único ordenador seguro es el que está desenchufado, los amantes de la ingeniería social gustan responder que siempre se puede convencer a alguien para que lo enchufe.” Congreso "Access All Areas“ 1997 7

INGENIERÍA SOCIAL. UNA APROXIMACIÓN Objetivos I Antiguos Conseguir beneficios económicos para los creadores de malware y estafadores debido al ínfimo costo de implementación y el alto beneficio obtenido. Realizar compras telefónicamente o por Internet con medios de terceros, conociendo bastante sobre ellos (datos personales, tarjeta de crédito, dirección, etc.). 8

INGENIERÍA SOCIAL. UNA APROXIMACIÓN Objetivos II Acceder gratuitamente a Internet si lo que se buscaba era nombre de usuario y contraseña de algún cliente que abone algún servicio de Banda Ancha. 9

INGENIERÍA SOCIAL. UNA APROXIMACIÓN Objetivos III En la actualidad. Obtener el control de una cuenta de correo para difamar, enviar spam, etc. Obtener el control de un perfil social para pedir a cambio favores sexuales, económicos o de otra índole. Conseguir el control total de un equipo para unirlo a una red zombi. 10

INGENIERÍA SOCIAL. UNA APROXIMACIÓN ¿Por qué funciona? I Fundamentos Hay que obtener información personal de la víctima primero. Todas las técnicas no sirven indefinidamente. Poseer cualidades, bien sea de forma innata o entrenándolas. “Existen ciertos procesos (sociales) que son automáticos tanto en el ser humano como en los animales en virtud de las relaciones con los demás” 11

INGENIERÍA SOCIAL. UNA APROXIMACIÓN ¿Por qué funciona? II Cualidades que se deben poseer: Reciprocidad. Compromiso. Consistencia. Pruebas sociales. Escasez. Gustarse y ser parecidos. 12

INGENIERÍA SOCIAL. UNA APROXIMACIÓN ¿Por qué funciona? III Los 4 principios de la IS según Kevin Mitnick: 13

INGENIERÍA SOCIAL. UNA APROXIMACIÓN ¿Por qué funciona? III Los 4 principios de la IS según Kevin Mitnick: Todos queremos ayudar. 14

INGENIERÍA SOCIAL. UNA APROXIMACIÓN ¿Por qué funciona? III Los 4 principios de la IS según Kevin Mitnick: Todos queremos ayudar. El primer movimiento es siempre de confianza hacia el otro. 15

INGENIERÍA SOCIAL. UNA APROXIMACIÓN ¿Por qué funciona? III Los 4 principios de la IS según Kevin Mitnick: Todos queremos ayudar. El primer movimiento es siempre de confianza hacia el otro. No nos gusta decir No. 16

INGENIERÍA SOCIAL. UNA APROXIMACIÓN ¿Por qué funciona? III Los 4 principios de la IS según Kevin Mitnick: Todos queremos ayudar. El primer movimiento es siempre de confianza hacia el otro. No nos gusta decir No. A todos nos gusta que nos alaben. 17

INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de ataque I Medios: teléfono fijo, móvil, ordenador de sobremesa o portátil con conexión a internet, correo postal. Todo el mundo tiene acceso a ellos!!!!!! 18

INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de ataque II ATAQUE TELEFÓNICO Requisitos: Teléfono fijo o móvil. Es un tipo de ataque muy eficiente debido a que no hay contacto visual entre víctima y atacante. No se pueden percibir expresiones del rostro ni de lenguaje corporal que diesen indicios de que el atacante nos está engañando. El atacante puede usar todo su potencial de persuasión. 19

INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de ataque III ATAQUE TELEFÓNICO Ejemplo. 20

INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de ataque IV ATAQUE WEB Requisitos: Ordenador con conexión a internet. Actualmente es el medio principal para llevar a cabo ataques de todo tipo contra los datos privados. La línea entre ataque de ingeniería social y el delito es muy delgada, sobre todo si se instala un programa keylogger (programa que captura las pulsaciones del teclado) o troyano que convierte al ordenador en un bot (ordenador secuestrado o zombi). 21

INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de ataque V ATAQUE WEB Ejemplo. 22

INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de ataque VI ATAQUE WEB Ejemplo. 23

INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de ataque VII ATAQUE POSTAL Requisitos: Un apartado de correos propio y un modelo de cupones descuento o suscripción a revista. En los datos se solicita una clave que le interese al atacante. Está comprobado que el usuario promedio utiliza la misma clave para múltiples usos. El atacante tiene la esperanza de que esa misma ya se haya usado en otros lugares más sensibles por parte de la víctima 24

INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de ataque VIII ATAQUE SMS Requisitos: se necesita un listado de teléfonos móviles y algún tipo de programa informático o empresa de mensajería móvil masiva. Se basa en la falsa creencia de que la telefonía móvil es un medio seguro y no se puede robar a través de él. En este tipo de ataques, lo más corriente es robar saldo más que algún tipo de datos. 25

INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de ataque IX ATAQUE SMS No es frecuente en España. Para engañar al usuario se usan diferentes excusas, como una felicitación por haber ganado mensajes de texto (sms) gratis o haber ganado algún premio en un sorteo o una persona caritativa y sin ánimo de lucro que te enseña cómo hacer para que tu línea tenga más crédito. Todo con sólo mandar un sms. 26

INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de ataque X ATAQUE SMS Al hacerlo, se está transfiriendo parte del saldo de tu línea a la persona que te envió el mensaje. Es un servicio que brindan las compañías de telefonía móvil a sus clientes para transferir crédito a otra persona. 27

INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de ataque XI ATAQUE SMS Ejemplo: 28

INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de ataque XII ATAQUE CARA A CARA REQUISITOS: Una puesta en escena bien cuidada y creíble, incluyendo vestuario, atrezo y todo lo que sea necesario. El propio atacante el que se persona ante la víctima para extraer la información. Son los más eficientes, puesto que el atacante se gana la confianza total de la víctima. Son los más difíciles de realizar. Si te pillan, te enchironan seguro. 29

INGENIERÍA SOCIAL. UNA APROXIMACIÓN Formas de ataque XIII ATAQUE CARA A CARA Ejemplo. 30

INGENIERÍA SOCIAL. UNA APROXIMACIÓN PARTE PRÁCTICA INGENIERÍA SOCIAL EN LA SOCIEDAD ACTUAL 31

INGENIERÍA SOCIAL. UNA APROXIMACIÓN La jungla de cristal 4.0 32

INGENIERÍA SOCIAL. UNA APROXIMACIÓN PHISHING BANCARIO I 33

INGENIERÍA SOCIAL. UNA APROXIMACIÓN PHISHING BANCARIO II El término phishing proviene de la palabra inglesa "fishing" (pesca), haciendo alusión al intento de hacer que los usuarios "piquen en el anzuelo". A quien lo practica se le llama phisher. También se dice que "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas), aunque probablemente es un acrónimo retroactivo”. Orígenes: Se empezó a usar en 1996 y estaba relacionada con la “pesca” de cuentas de AOL. 34

INGENIERÍA SOCIAL. UNA APROXIMACIÓN PHISHING BANCARIO III Aplicado al sector bancario, el objetivo es conseguir la clave de acceso y el usuario para luego proceder a retirar fondos. Obtener una lista de correos electrónicos. En el mercado negro. Hacerlo uno mismo. Realizar un envío masivo de un correo electrónico con las siguientes características: 35

INGENIERÍA SOCIAL. UNA APROXIMACIÓN PHISHING BANCARIO IV Debe ser un correo que aparente proceder de una entidad bancaria. Debe transmitir la idea de que el banco ha tenido problemas y necesita comprobar usuario y contraseña de la víctima. Debe ser lo más fiel posible a la entidad original. No importa si se envía un correo de una entidad de la que la víctima no es usuario. Debe poseer un enlace a una página falsificada en la que la víctima pueda introducir sus datos. Si no se hace lo que indica el correo, se amenaza con un posible cierre de la cuenta. 36

INGENIERÍA SOCIAL. UNA APROXIMACIÓN PHISHING BANCARIO V 37

INGENIERÍA SOCIAL. UNA APROXIMACIÓN PHISHING BANCARIO VI Una vez introducido los datos, el usuario, satisfecho por no haber perdido su cuenta se olvidará del correo. Muleros (las otras víctimas) Sacan el dinero de la cuenta de la víctima y traspasar el dinero a otra cuenta de Pay-Pal o Western Union, controlada por el atacante. Son los que se ensucian las manos y cometen un delito. Para captarlos se usa nuevamente la IS ofreciendo un empleo con altos beneficios, jornada reducida y muchas vacaciones. 38

INGENIERÍA SOCIAL. UNA APROXIMACIÓN PHISHING BANCARIO VII Correo buscando muleros. 39

ESTA PRESENTACIÓN CONTIENE MAS DIAPOSITIVAS DISPONIBLES EN LA VERSIÓN DE DESCARGA