Ingeniería social (seguridad informática)
fuente: Wikipedia
En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.
Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema esta solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama phishing (se pronuncia igual que "fishing", pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario — en una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato.
Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa o algún programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, después de que los primeros e-mails maliciosos llevaran a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque.
La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas informáticos. Otro ejemplo es el conocimiento sobre la víctima, a través de la introducción de contraseñas habituales, lógicas típicas o conociendo su pasado y presente; respondiendo a la pregunta: ¿Qué contraseña introduciría yo si fuese la víctima?
La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas.
Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios:
- Todos queremos ayudar.
- El primer movimiento es siempre de confianza hacia el otro.
- No nos gusta decir No.
- A todos nos gusta que nos alaben.
Entrevista a Kevin mitnick
Tema de estudio.
La ingeniería social se ha convertido en uno de los métodos de ataque más frecuentes en nuestros días, provocando graves fallos de seguridad.
Además las empresas deben conocer las amenazas reales a las que se enfrentan, por lo que realizar pruebas frente a ataques de ingeniería social debe ser algo obligado para todas las compañías. Los atacantes en pruebas deben poder acceder rápidamente a datos sensibles, o poder instalar un dispositivo en poco tiempo para probar su éxito ya que la ventana de la que disponen es muy breve.
La ingeniería social se basa en la psicología. Existen diferentes incentivos y motivadores en las personas que permiten a los ingenieros sociales llevar a su víctima a actuar. Por ejemplo el Dr. Robert Cialdini define en su libro Influence: The Psychology of Persuasion (lanzado en 1984), estos seis motivadores claves:
Reciprocidad: sentir que le debemos un favor a quien hace algo por nosotros. Orientación social: buscamos a una persona que nos diga que tenemos que hacer. Consistencia/ compromiso: desarrollamos patrones de conducta que se convierten en hábitos.
Aceptación: queremos “encajar” y nos persuaden más fácilmente aquellas personas que nos gustan.
Autoridad: somos receptivos a las órdenes y peticiones de las figuras de autoridad. Tentación: tenemos más motivación para perseguir lo exclusivo o limitado.
Los atacantes usan estos motivadores para realizar sus ataques de ingeniería social. Existen cuatro técnicas de ingeniería social que los atacantes pueden usar para probar la seguridad de la organización: phishing, pretexting, media dropping y tailgating.
Pruebas de seguridad de penetración mediante ingeniería social:
Phishing
El phishing implica el envió de un correo a un usuario donde se le convence para que haga algo. El objetivo de este ataque de prueba debería ser que el usuario haga click en algo y después registrar esa actividad, o incluso instalar un programa como parte de un programa de pruebas mucho más extenso.
En última instancia pueden instalar exploit adaptados al software del cliente para verificar problemas con los navegadores, contenido dinámico, plugins o software instalado Mejorando la calidad de las pruebas internas La clave del éxito de este sistema es la personalización. Personalizar el correo dirigido al usuario objetivo, con técnicas como el envió a través de una fuente de confianza (o que perciba como tal) incrementa la disponibilidad del usuario a leer y seguir las instrucciones del correo. Un buen atacante en pruebas no debe olvidar la ortografía ni la gramática.
Un correo bien escrito, aunque sea breve, es mucho más creíble. Seguramente la mejor solución para crear ataques phishing sea el Social Engineering Toolkit (SET) de código abierto. Su menú para crear ataques a través de email es una de las herramientas más sencillas de crear ataques mediante phishing. Otras herramientas comerciales como PhishMe de PhishMe Inc. y PhishGuru de Wombat Security también son interesantes. Pruebas de seguridad de penetración mediante ingeniería social: Pretexting El pretexting (pretextos) implica llamar por teléfono al usuario y pedirle cierta información, generalmente simulando ser alguien que precisa su ayuda. Esta técnica puede funcionar bien si se usa mediante aquellos usuarios de bajo nivel técnico y que tengan acceso a información sensible. La mejor estrategia para empezar es empezar con nombres reales y pequeñas peticiones al personal de la organización que esté esperando algo.
En la conversación el atacante simula necesitar ayuda de la victima (Mucha gente está dispuesta a hacer pequeñas tareas que no sean percibidas como algo sospechoso). Una vez establecido el contacto el atacante puede pedir algo más sustancial. La búsqueda de información de interés, usando Google y herramientas como Maltego de Paterva puede impedir el éxito de este tipo de ataque. El uso de herramientas de mascaras telefónicas y proxy como SpoofCard (filial de TelTech Systems) y Spoof App de SpoofApp.com LLC, así como los addons de Asterisk PBX de Digium Inc., pueden llegar a mostrar el número de teléfono del atacante, aun cuando trate de hacerse pasar por un numero interno de la empresa. Pruebas de seguridad de penetración mediante ingeniería social: Media dropping La descarga en medios suele implicar la presencia de un disco USB en un lugar razonable, como un aparcamiento o la entrada al edificio. El ingeniero social busca el interés de la persona que, al utilizar esta unidad flash, lanza un ataque contra el equipo donde se conecta. Dispositivos Drop box para pruebas de ataques Los atacantes en pruebas pueden instalar un pequeño programa, sin riesgo, dentro de la red del cliente y después ejecutarlo de forma remota.
Existen productos comerciales como Pwnie Express’ PwnPlug, o bien los programas y dispositivos que los atacantes puedan crear con herramientas de sniffing y spoofing. Una herramienta gratuita para crear estos archivos es Metasploit, que genera automáticamente cargas maliciosas. El SET “Generador de Medios infecciosos” también utiliza Metasploit porque ayuda a automatizar el proceso. Mediante SET creamos un ejecutable que automáticamente se activa en el PC objetivo. Mediante técnicas de ejecución automática y ejecución conjunta de archivos podemos mejorar las posibilidades de éxito del ataque. Una solución más sofisticada para este tipo de ataques es el desarrollo de ataques personalizados que se incluyan en un disco USB, o la compra directa de unidades USB creadas para tal fin.
Para incrementar las posibilidades de éxito se recomienda incluir archivos conocidos como parte de esos exploits autorizados (los formatos PDF, Word y Excel son los mejores). Etiquetar el dispositivo de forma “apetitosa”, como “Datos de RRHH” o “Laboral” también puede ayudar.
Pruebas de seguridad de penetración mediante ingeniería social:
Tailgating
El tailgating supone lograr acceso a una instalación física mediante engaño a su personal, o simplemente colándose dentro. El objetivo de este test es demostrar que el atacante puede superar a la seguridad física. Los atacantes deberían ser capaces de obtener información sensible o poder instalar un dispositivo rápidamente para mostrar su éxito, ya que tienen poco tiempo para hacerlo antes de salir de la instalación. Si el atacante puede tomar fotos de los documentos presentes en impresoras o escritorios, o instalar un sistema de pruebas dropo box con acceso a la red Wifi o 3G podrá acceder posteriormente a los datos sensibles de la empresa. Mediante el uso de estas cuatro técnicas de ingeniería social, el personal de pruebas puede determinar las vulnerabilidades de la organización y recomendar las medidas correctoras y formativas que reduzcan el riesgo de sufrir ataques maliciosos basados en ingeniería social.
Además las empresas deben conocer las amenazas reales a las que se enfrentan, por lo que realizar pruebas frente a ataques de ingeniería social debe ser algo obligado para todas las compañías. Los atacantes en pruebas deben poder acceder rápidamente a datos sensibles, o poder instalar un dispositivo en poco tiempo para probar su éxito ya que la ventana de la que disponen es muy breve.
La ingeniería social se basa en la psicología. Existen diferentes incentivos y motivadores en las personas que permiten a los ingenieros sociales llevar a su víctima a actuar. Por ejemplo el Dr. Robert Cialdini define en su libro Influence: The Psychology of Persuasion (lanzado en 1984), estos seis motivadores claves:
Reciprocidad: sentir que le debemos un favor a quien hace algo por nosotros. Orientación social: buscamos a una persona que nos diga que tenemos que hacer. Consistencia/ compromiso: desarrollamos patrones de conducta que se convierten en hábitos.
Aceptación: queremos “encajar” y nos persuaden más fácilmente aquellas personas que nos gustan.
Autoridad: somos receptivos a las órdenes y peticiones de las figuras de autoridad. Tentación: tenemos más motivación para perseguir lo exclusivo o limitado.
Los atacantes usan estos motivadores para realizar sus ataques de ingeniería social. Existen cuatro técnicas de ingeniería social que los atacantes pueden usar para probar la seguridad de la organización: phishing, pretexting, media dropping y tailgating.
Pruebas de seguridad de penetración mediante ingeniería social:
Phishing
El phishing implica el envió de un correo a un usuario donde se le convence para que haga algo. El objetivo de este ataque de prueba debería ser que el usuario haga click en algo y después registrar esa actividad, o incluso instalar un programa como parte de un programa de pruebas mucho más extenso.
En última instancia pueden instalar exploit adaptados al software del cliente para verificar problemas con los navegadores, contenido dinámico, plugins o software instalado Mejorando la calidad de las pruebas internas La clave del éxito de este sistema es la personalización. Personalizar el correo dirigido al usuario objetivo, con técnicas como el envió a través de una fuente de confianza (o que perciba como tal) incrementa la disponibilidad del usuario a leer y seguir las instrucciones del correo. Un buen atacante en pruebas no debe olvidar la ortografía ni la gramática.
Un correo bien escrito, aunque sea breve, es mucho más creíble. Seguramente la mejor solución para crear ataques phishing sea el Social Engineering Toolkit (SET) de código abierto. Su menú para crear ataques a través de email es una de las herramientas más sencillas de crear ataques mediante phishing. Otras herramientas comerciales como PhishMe de PhishMe Inc. y PhishGuru de Wombat Security también son interesantes. Pruebas de seguridad de penetración mediante ingeniería social: Pretexting El pretexting (pretextos) implica llamar por teléfono al usuario y pedirle cierta información, generalmente simulando ser alguien que precisa su ayuda. Esta técnica puede funcionar bien si se usa mediante aquellos usuarios de bajo nivel técnico y que tengan acceso a información sensible. La mejor estrategia para empezar es empezar con nombres reales y pequeñas peticiones al personal de la organización que esté esperando algo.
En la conversación el atacante simula necesitar ayuda de la victima (Mucha gente está dispuesta a hacer pequeñas tareas que no sean percibidas como algo sospechoso). Una vez establecido el contacto el atacante puede pedir algo más sustancial. La búsqueda de información de interés, usando Google y herramientas como Maltego de Paterva puede impedir el éxito de este tipo de ataque. El uso de herramientas de mascaras telefónicas y proxy como SpoofCard (filial de TelTech Systems) y Spoof App de SpoofApp.com LLC, así como los addons de Asterisk PBX de Digium Inc., pueden llegar a mostrar el número de teléfono del atacante, aun cuando trate de hacerse pasar por un numero interno de la empresa. Pruebas de seguridad de penetración mediante ingeniería social: Media dropping La descarga en medios suele implicar la presencia de un disco USB en un lugar razonable, como un aparcamiento o la entrada al edificio. El ingeniero social busca el interés de la persona que, al utilizar esta unidad flash, lanza un ataque contra el equipo donde se conecta. Dispositivos Drop box para pruebas de ataques Los atacantes en pruebas pueden instalar un pequeño programa, sin riesgo, dentro de la red del cliente y después ejecutarlo de forma remota.
Existen productos comerciales como Pwnie Express’ PwnPlug, o bien los programas y dispositivos que los atacantes puedan crear con herramientas de sniffing y spoofing. Una herramienta gratuita para crear estos archivos es Metasploit, que genera automáticamente cargas maliciosas. El SET “Generador de Medios infecciosos” también utiliza Metasploit porque ayuda a automatizar el proceso. Mediante SET creamos un ejecutable que automáticamente se activa en el PC objetivo. Mediante técnicas de ejecución automática y ejecución conjunta de archivos podemos mejorar las posibilidades de éxito del ataque. Una solución más sofisticada para este tipo de ataques es el desarrollo de ataques personalizados que se incluyan en un disco USB, o la compra directa de unidades USB creadas para tal fin.
Para incrementar las posibilidades de éxito se recomienda incluir archivos conocidos como parte de esos exploits autorizados (los formatos PDF, Word y Excel son los mejores). Etiquetar el dispositivo de forma “apetitosa”, como “Datos de RRHH” o “Laboral” también puede ayudar.
Pruebas de seguridad de penetración mediante ingeniería social:
Tailgating
El tailgating supone lograr acceso a una instalación física mediante engaño a su personal, o simplemente colándose dentro. El objetivo de este test es demostrar que el atacante puede superar a la seguridad física. Los atacantes deberían ser capaces de obtener información sensible o poder instalar un dispositivo rápidamente para mostrar su éxito, ya que tienen poco tiempo para hacerlo antes de salir de la instalación. Si el atacante puede tomar fotos de los documentos presentes en impresoras o escritorios, o instalar un sistema de pruebas dropo box con acceso a la red Wifi o 3G podrá acceder posteriormente a los datos sensibles de la empresa. Mediante el uso de estas cuatro técnicas de ingeniería social, el personal de pruebas puede determinar las vulnerabilidades de la organización y recomendar las medidas correctoras y formativas que reduzcan el riesgo de sufrir ataques maliciosos basados en ingeniería social.
