Las instituciones financieras tienen la responsabilidad de educar activamente a sus clientes sobre seguridad informática. La ingeniería social es efectiva porque se enfoca en la interacción persona-máquina, que es el eslabón más débil. La educación, adiestramientos y campañas de promoción son clave para prevenir ataques de ingeniería social mediante el fomento de una cultura de seguridad.
¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?
1. ¿Por qué los clientes entregan información
confidencial, caen en engaños o en acciones de
ingeniería social?
Universidad de Puerto Rico-Mayaguez
Aury M. Curbelo-Ruiz, Ph.D, CCFI, CNDP, CMSP, Security +
3. Definir que es
ingeniería social
Explicar cómo Defensas contra
opera el ciclo de la ingeniería
ingeniería social social
Principios de ¿Por qué caen
ingeniería social los clientes?
4. Pregunta: ¿Por qué los clientes
entregan información confidencial,
caen en engaños o en acciones de
ingeniería social?
5.
6. Walmat en Ohio-USA
• 2010—Pasos para el “scam”
– Un hombre llamó a la tienda
ubicada en el estado de Ohio-USA.
– Se hace pasar por empleado del
servicio de TI.
– Le indica al asociado de Walmart
que NECESITA activa varias tarjetas
de regalo “gift cards”.
Tambien le indica al asociado que le lea las tarjetas y los códigos de activación de
cada una de ellas.
El asociado lo hace y se roban $11,000.00 en tarjetas de regalo.
8. In a recent visit with the
CEO of a security IT
auditor in the banking and
financial services industry, I
asked what the hot audit
services were that banks
were requesting.
Predictably, he said full-
scale IT audits and
internal/external
penetration testing -- but
he also mentioned a third
highly requested audit
service that he said would
not have made the list
several years ago: social
engineering.
http://www.enterpriseefficiency.com/author.asp?section_id=1093&doc_id=
231597
9.
10. ¿DONDE…?
• ¿Donde se llevó a cabo a un operativo de Seguridad
que costó entre seis y ocho millones de euros?
– incluía veinte mil agentes, doscientos francotiradores,
sellado de alcantarillas, corte de todo el centro de la
ciudad durante dos días (calles, metro, autobuses),
– vigilancia casa-por-casa de todo el recorrido durante
meses, cierre del espacio aéreo, dos aviones cazas F-18
volando durante el evento y otros dos aviones AWACS
prestados por la OTAN….
¿DONDE…?
11. Coronel Martínez Inglés y la
Boda Real
Según confirmó el militar al diario 'El País',
logró acceder al templo, vestido con el
uniforme de gala de coronel del Ejército
de Tierra, sin invitación que mostrar y con
un revólver bajo la guerrera. No tuvo que
pasar ningún arco de seguridad.
logró despistar todos los controles de seguridad..
12. “La ingeniería social es la técnica más eficaz para hacerse
con secretos celosamente protegidos, ya que no requiere de
una sólida formación técnica, ni de grandes conocimientos
sobre protocolos y sistemas operativos", dice el informe de
ETEK.”
"Quienes practican la Ingeniería Social requieren
solamente de astucia, paciencia y una buena dosis de
sicología.”
http://www.channelplanet.com/index.php?idcategoria=10126
14. ¿Cómo me
¿Qué es la Ingeniería ¿Cómo saber si soy
afecta?—al no ¿Cómo puedo
social?—una disciplina victima de ataque
validar las evitar la IS? –
que consiste básicamente de IS?- cuando
en sacarle datos a otra referencias ni validando las
alguien nos pide
persona sin que esta se seguir un protocolo identidades de
de cuenta de que está que divulguemos
de seguridad quienes solicitan
revelando "información información
sensible" y que podríamos ser información
privilegiada o
normalmente no lo haría cómplices de un confidencial.
confidencial.
crímen
15. Importancia…
• “La gente por no querer quedar mal o crear un
escándalo, brinda a cualquiera que le solicita,
“información sensible”, y ahí es donde juega
un papel importante la educación, el
enseñarle a los empleados a decir no”.
16. ¿Por qué la Ingeniería Social es tan
efectiva?
• El campo de la Seguridad de la Información está
enfocado principalmente en seguridad técnica.
• Casi no se presta atención a la interacción máquina-
persona.
• Las personas son el eslabón más débil.
17. ¿Por qué la Ingeniería Social es tan
efectiva? (cont.)
• ¿Por qué gastar tanto tiempo atacando la
tecnología si una persona te puede dar
acceso?
• Extremadamente difícil de detectar.
– No existe IDS para “falta de sentido común” ó
ignorancia.
18.
19. McAfee estimated
that cybercrime
costs corporations
$1 trillion globally
each year.
http://news.cnet.com/8301-1009_3-10153858-83.html
21. Características de un ingeniero(a) social
• Capacidad de socializar con facilidad.
• Habilidad en el hablar.
• Habilidad en el arte de persuación.
• Sonar convincente.
• Aparentar ser inofensivo.
• Mantener un perfil bajo.
• Sonreir siempre.
• Tono de voz cómodo.
http://www.social-engineer.org/how-tos/characteristics-of-an-effective-and-successful-social-engineer/
22.
23. El Ataque
• Basado en rutas periféricas de persuasión:
– Autoridad
– Similitud
– Reciprocidad
– Compromiso y consistencia
• Usa la emoción como una
forma de distracción.
24. Principios de Mitnick
• Mitnick fundamenta las estrategias de
Ingeniería Social en los siguientes postulados:
– Todos los seres humanos quieren ayudar.
– El primer movimiento es siempre de confianza
hacia el otro.
– No nos gusta decir No.
– A todos nos gusta que nos alaben.
25.
26. Pasos para llevar a cabo el
ataque
Identificar a la
Victima
Salir
Reconocimiento
Obtener la Crear el escenario
información
Realizar el ataque
28. ¿por qué caen los clientes?
Total desconocimiento
Falta de información
accesible
Falta de adiestramientos
Pensamos que todo el
mundo es bueno
Actitud: a mi no me
va a pasar
30. ¿Cómo se llevó a cabo el ataque a RSA?
• Se envió un email a directivos de la empresa- con
subject “2011 Recruitment Plan.”
• El email contenía un fichero Excel (“2011
Recruitment Plan.xls”) que contenía un exploit 0-day
(desconocido hasta el momento) que utiliza una
vulnerabilidad de Adobe Flash (CVE-2011-0609)
para instalar una puerta trasera en los equipos de
los “incautos” que lo han abierto.
Los atacantes, a través de la puerta trasera, instalan una herramienta de control
remoto (una variante de Poison Ivy).
Durante un largo periodo de tiempo, los atacantes van accediendo a servidores
de la empresa y van robando datos de interés.
Finalmente dan con las “joyas de la corona” de RSA, los ficheros “semilla” para
los tokens de One-Time Password que RSA comercializa.
http://blog.segu-info.com.ar/2011/06/sobre-el-ataque-rsa-y-lockheed-martin.html#axzz1aPfYDa33
31. ¿Qué debemos aprender del
ataque a Lockheed Martin?
“No importa cómo de avanzado sea un sistema defensivo, todo lo que
necesita el ciberdelincuente es un mecanismo perfeccionado de ingeniería
social y algunos usuarios crédulos. Esto basta para eludir los filtros de spam o
eludir una suite de seguridad, y poner de rodillas a toda una organización.”
http://www.malwarecity.es/blog/qu-debemos-aprender-del-ataque-a-lockheed-martin-99.html
33. El sentido común no es nada
común.
Voltaire (1694-1778) Filósofo y
escritor francés
34. Medidas de prevención y
protección
• Aceptar:
– que la facilidad de un ataque es alta.
– que controles…
• Solamente técnicos
• Controles administrativos/operacionales
• Controles de medio ambiente tampoco
servirán.
35. Medidas de prevención y
protección
• Aceptar que se necesita una combinación de Principios
Operacionales/Administrativos, Técnicos (lógicos) y de Medio
Ambiente (físicos).
• Se recomienda lo siguiente:
– Tecnología
– Políticas
– Educación
– Divulgación
– Entrenamiento
36. Creando una cultura de
seguridad
• No se debe ignorar la interacción persona-maquina
• Necesitan reconocer los “trucos”
• La seguridad de la información es un problema de
hardware, software, firmware y peopleware
• La mejor defensa: Educación combinada con
tecnología.
37. Creando una cultura de
seguridad
• Todos los clientes/empleados
deben tener una actitud hacia la
seguridad y cuestionar las
cosas.
• Se deben tener procedimientos
de respuesta a incidentes y
equipos que mitiguen el daño si
ocurre un ataque.
• Se debe notificar a los
involucrados.
38. Bancos que han integrado temas
de Ingeniería social en sus portales
45. Resumen
• Las Instituciones financieras tienen la responsabilidad
corporativa de participar activamente en la educación
de sus clientes en áreas relacionadas a la seguridad en
informática.
• La educación, adiestramientos, talleres y campañas de
promoción son la clave para prevenir ataques de IS.
• Promover una cultura de seguridad en informática
debe ser una prioridad financiera.
El famoso coronel ya retirado Amadeo Martínez Inglés logro infiltrarse en la Catedral en plena Boda con un arma en la cintura y su traje de militar burlando seis controles de seguridad con sólo saludar amablemente a los oficiales y sin poseer ninguna credencial o invitación para ello. Esto fue una excelente demostración de un grave fallo de los servicios de Seguridad de la Casa Real, teniendo en cuenta que sólo le tomo ocho minutos atravesar seis controles de seguridad a lo largo del recorrido.