La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Ponentes: Vicente Carrillo Luque Fernando Sánchez Pastor Madrid, 9 de Febrero de 2011 1.

Publicada porMaría Rosario María Elena Castro Sánchez Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Ponentes: Vicente Carrillo Luque Fernando Sánchez Pastor Madrid, 9 de Febrero de 2011 1."— Transcripción de la presentación:

1 Ponentes: Vicente Carrillo Luque Fernando Sánchez Pastor Madrid, 9 de Febrero de 2011 1

2  Índice  Introducción  Conceptos de Ingeniería Social (IS)  Objetivos  ¿Por qué Funciona?  Formas de Ataque.  Casos prácticos. Phishing bancario y Spam  Redes zombis.  IS en redes sociales.  Conclusiones 2

3  Introducción  La mayoría de las personas no es consciente de que sus datos personales no se muestran en cualquier sitio o se revelan a cualquiera en la vida real, pero sí los va dejando por la red de redes con una facilidad pasmosa.  Definición de IS: Según wikipedia: “la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos” 3

4  Conceptos de IS I  La ingeniería social consiste en obtener información de terceros sin que éstos se den cuenta.  No existe limitación en cuanto al tipo de información obtenida ni a la utilización posterior que se hace de ésta.  Existe desde hace mucho tiempo y todos hemos sido víctimas de ella alguna vez en la vida. 4

5  Conceptos de IS II  La ingeniería social aprovecha sentimientos tan variados como curiosidad, la avaricia, el sexo, la compasión o el miedo.  Busca una acción por parte del usuario. 5

6  Conceptos de IS III  Grupos que la usan: 1. Los hackers. 2. Los espías. 3. Los ladrones o timadores. 4. Los detectives privados. 5. Los vendedores. 6

7  Conceptos de IS IV  Cambio de paradigma en el objetivo de los ataques 7

8  Conceptos de IS V  La ingeniería social acaba en el momento que se obtiene la información deseada, es decir, las acciones delictivas que esa información pueda facilitar o favorecer no se enmarcan bajo este término. 8

9  Conceptos de IS  MORALEJA: “Aunque se dice que el único ordenador seguro es el que está desenchufado, los amantes de la ingeniería social gustan responder que siempre se puede convencer a alguien para que lo enchufe.” Congreso "Access All Areas“ 1997 9

10  Objetivos I  Antiguos  Conseguir beneficios económicos para los creadores de malware y estafadores debido al ínfimo costo de implementación y el alto beneficio obtenido.  Realizar compras telefónicamente o por Internet con medios de terceros, conociendo bastante sobre ellos (datos personales, tarjeta de crédito, dirección, etc.). 10

11  Objetivos II  Acceder gratuitamente a Internet si lo que se buscaba era nombre de usuario y contraseña de algún cliente que abone algún servicio de Banda Ancha. 11

12  Objetivos III  En la actualidad.  Obtener el control de una cuenta de correo para difamar, enviar spam, etc.  Obtener el control de un perfil social para pedir a cambio favores sexuales, económicos o de otra índole.  Conseguir el control total de un equipo para unirlo a una red zombi. 12

13  ¿Por qué funciona? I  Fundamentos  Hay que obtener información personal de la víctima primero.  Todas las técnicas no sirven indefinidamente.  Poseer cualidades, bien sea de forma innata o entrenándolas. “Existen ciertos procesos (sociales) que son automáticos tanto en el ser humano como en los animales en virtud de las relaciones con los demás” 13

14  ¿Por qué funciona? II  Cualidades que se deben poseer:  Reciprocidad.  Compromiso.  Consistencia.  Pruebas sociales.  Escasez.  Gustarse y ser parecidos. 14

15  ¿Por qué funciona? III  Los 4 principios de la IS según Kevin Mitnick: 15

16  ¿Por qué funciona? III  Los 4 principios de la IS según Kevin Mitnick:  Todos queremos ayudar. 16

17  ¿Por qué funciona? III  Los 4 principios de la IS según Kevin Mitnick:  Todos queremos ayudar.  El primer movimiento es siempre de confianza hacia el otro. 17

18  ¿Por qué funciona? III  Los 4 principios de la IS según Kevin Mitnick:  Todos queremos ayudar.  El primer movimiento es siempre de confianza hacia el otro.  No nos gusta decir No. 18

19  ¿Por qué funciona? III  Los 4 principios de la IS según Kevin Mitnick:  Todos queremos ayudar.  El primer movimiento es siempre de confianza hacia el otro.  No nos gusta decir No.  A todos nos gusta que nos alaben. 19

20  Formas de ataque I  Medios: teléfono fijo, móvil, ordenador de sobremesa o portátil con conexión a internet, correo postal.  Todo el mundo tiene acceso a ellos!!!!!! 20

21  Formas de ataque II  ATAQUE TELEFÓNICO  Requisitos: Teléfono fijo o móvil.  Es un tipo de ataque muy eficiente debido a que no hay contacto visual entre víctima y atacante.  No se pueden percibir expresiones del rostro ni de lenguaje corporal que diesen indicios de que el atacante nos está engañando.  El atacante puede usar todo su potencial de persuasión. 21

22  Formas de ataque III  ATAQUE TELEFÓNICO  Ejemplo. 22

23  Formas de ataque IV  ATAQUE WEB  Requisitos: Ordenador con conexión a internet.  Actualmente es el medio principal para llevar a cabo ataques de todo tipo contra los datos privados.  La línea entre ataque de ingeniería social y el delito es muy delgada, sobre todo si se instala un programa keylogger (programa que captura las pulsaciones del teclado) o troyano que convierte al ordenador en un bot (ordenador secuestrado o zombi). 23

24  Formas de ataque V  ATAQUE WEB  Ejemplo. 24

25  Formas de ataque VI  ATAQUE WEB  Ejemplo. 25

26  Formas de ataque VII  ATAQUE POSTAL  Requisitos: Un apartado de correos propio y un modelo de cupones descuento o suscripción a revista.  En los datos se solicita una clave que le interese al atacante.  Está comprobado que el usuario promedio utiliza la misma clave para múltiples usos.  El atacante tiene la esperanza de que esa misma ya se haya usado en otros lugares más sensibles por parte de la víctima 26

27  Formas de ataque VIII  ATAQUE SMS  Requisitos: se necesita un listado de teléfonos móviles y algún tipo de programa informático o empresa de mensajería móvil masiva.  Se basa en la falsa creencia de que la telefonía móvil es un medio seguro y no se puede robar a través de él.  En este tipo de ataques, lo más corriente es robar saldo más que algún tipo de datos. 27

28  Formas de ataque IX  ATAQUE SMS  No es frecuente en España.  Para engañar al usuario se usan diferentes excusas, como una felicitación por haber ganado mensajes de texto (sms) gratis o haber ganado algún premio en un sorteo o una persona caritativa y sin ánimo de lucro que te enseña cómo hacer para que tu línea tenga más crédito. Todo con sólo mandar un sms. 28

29  Formas de ataque X  ATAQUE SMS  Al hacerlo, se está transfiriendo parte del saldo de tu línea a la persona que te envió el mensaje.  Es un servicio que brindan las compañías de telefonía móvil a sus clientes para transferir crédito a otra persona. 29

30  Formas de ataque XI  ATAQUE SMS  Ejemplo: 30

31  Formas de ataque XII  ATAQUE CARA A CARA  REQUISITOS: Una puesta en escena bien cuidada y creíble, incluyendo vestuario, atrezo y todo lo que sea necesario.  El propio atacante el que se persona ante la víctima para extraer la información.  Son los más eficientes, puesto que el atacante se gana la confianza total de la víctima.  Son los más difíciles de realizar. Si te pillan, te enchironan seguro. 31

32  Formas de ataque XIII  ATAQUE CARA A CARA  Ejemplo. 32

33 PARTE PRÁCTICA INGENIERÍA SOCIAL EN LA SOCIEDAD ACTUAL 33

34  La jungla de cristal 4.0 34

35  PHISHING BANCARIO I 35

36  PHISHING BANCARIO II  El término phishing proviene de la palabra inglesa "fishing" (pesca), haciendo alusión al intento de hacer que los usuarios "piquen en el anzuelo". A quien lo practica se le llama phisher. También se dice que "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas), aunque probablemente es un acrónimo retroactivo”.  Orígenes: Se empezó a usar en 1996 y estaba relacionada con la “pesca” de cuentas de AOL. 36

37  PHISHING BANCARIO III  Aplicado al sector bancario, el objetivo es conseguir la clave de acceso y el usuario para luego proceder a retirar fondos.  Obtener una lista de correos electrónicos.  En el mercado negro.  Hacerlo uno mismo.  Realizar un envío masivo de un correo electrónico con las siguientes características: 37

38  PHISHING BANCARIO IV  Debe ser un correo que aparente proceder de una entidad bancaria.  Debe transmitir la idea de que el banco ha tenido problemas y necesita comprobar usuario y contraseña de la víctima.  Debe ser lo más fiel posible a la entidad original.  No importa si se envía un correo de una entidad de la que la víctima no es usuario.  Debe poseer un enlace a una página falsificada en la que la víctima pueda introducir sus datos.  Si no se hace lo que indica el correo, se amenaza con un posible cierre de la cuenta. 38

39  PHISHING BANCARIO V 39

40  PHISHING BANCARIO VI  Una vez introducido los datos, el usuario, satisfecho por no haber perdido su cuenta se olvidará del correo.  Muleros (las otras víctimas)  Sacan el dinero de la cuenta de la víctima y traspasar el dinero a otra cuenta de Pay-Pal o Western Union, controlada por el atacante.  Son los que se ensucian las manos y cometen un delito.  Para captarlos se usa nuevamente la IS ofreciendo un empleo con altos beneficios, jornada reducida y muchas vacaciones. 40

41  PHISHING BANCARIO VII  Correo buscando muleros. 41

42  PHISHING BANCARIO VIII  El sistema de phishing bancario deja dos víctimas detrás de sí y pingües beneficios para los atacantes con un riesgo mínimo.  El dinero se envía a un apartado de correos en el extranjero o a una cuenta falsa de pay-pal, Western Union u otra empresa de envío de dinero.  El mulero, aunque se haya quedado con un 10%- 20% de lo sustraído carga con el total. 42

43  PHISHING BANCARIO IX  Resumen 43

44  PHISHING BANCARIO X  Medidas que se están tomando:  Sociales  Legales  Técnicas 44

45  SPAM. CICLO COMPLETO I  ¿Cómo crear listas de correos para luego venderlas en el mercado negro?  Se aplica de nuevo la IS.  Aprovechar los sentimientos y emociones humanos.  Compasión  Curiosidad  Avaricia 45

46  SPAM. CICLO COMPLETO II  Ejemplo 46

47  SPAM. CICLO COMPLETO III  Otros ejemplos de excusa para que el usuario reenvíe:  un gran número de años de mala suerte si no se hace  la imposibilidad de encontrar el amor en la vida  no encontrar la felicidad  Otra variante: aquellos que nos amenazan con cerrarnos la cuenta del cliente de correo si no lo reenviamos a 18 personas 47

48  SPAM. CICLO COMPLETO IV  OBJETIVO: que se produzca el mayor número de reenvío de correos posible y obtener una cosecha del tipo: 48

49  SPAM. CICLO COMPLETO V  Finalmente, se venden las listas con direcciones de correo a los interesados.  ¿Precio?  1 millón de envíos por 3 euros.  800 euros por el envío de un millón de correos basura.  Envío de spam con ofertas de viagra, relojes, etc.  Con que responda un 0,5% de los millones de correos enviados es rentable 49

50  REDES ZOMBIS I  Se usa la IS para instalar malware (malicious software) “término formado a partir de combinar las palabras Software Malicioso. Es un programa diseñado para hacer daño a un sistema. Puede presentarse en forma de virus, gusanos, caballos de Troya, etc., y se ejecuta automáticamente sin consentimiento ni conocimiento por parte de la víctima.”  Se usa adjunto a un.doc,.xls etc.  Puede venir en una memoria USB que hemos encontrado abandonada.  En un link en el que se nos avisa que hemos sido los ganadores de algo 50

51  REDES ZOMBIS II  Se toma el control del ordenador sin que el usuario lo sepa.  Acciones que se hacen con el ordenador:  Enviar spam masivamente.  Atacar a terceros. Ataques de denegación de servicio.  Diseminar virus informáticos.  Capturar datos (contraseñas y claves de acceso) mediante el phishing  Fraudes: Se usa la red para generar dinero mediante la manipulación de negocios legítimos: pago por click o la manipulación de encuestas.  Computación distribuida: Este modelo se utiliza para proyectos con el consentimiento del usuario (SETI, Globus…), aquí se usa la potencia de miles de máquinas para procesos con una finalidad ilícita, como por ejemplo forzar contraseñas. 51

52  REDES ZOMBIS III 52

53  REDES ZOMBIS IV  ALGUNAS CIFRAS  Entre el 40% y el 80% del spam se emite a través de ordenadores infectados sin que el dueño lo sepa.  En 2004 había entre medio y 2 millones de ordenadores infectados.  España es el segundo país de Europa con más ordenadores infectados.  En 2010 la operación Mariposa detuvo a tres personas que controlaban una red de 13 millones de ordenadores. 53

54  REDES SOCIALES  Fenómeno muy reciente.  Problemas:  Obtención de datos privados que permitan la composición de correos electrónicos personalizados para la víctima.  Suplantar la identidad de Facebook de otra persona y hacerle peticiones de lo más diverso.  Ejemplo: 54

55  CONCLUSIONES  Ámbito muy dinámico.  Hay que educar, enseñar a los empleados / personas a decir no ante las peticiones de información sensible.  Hay que dar capacitación social que alerte a la persona cuando pueda ser blanco de un ataque de IS.  Las penas se están endureciendo. 55

56  CONCLUSIONES  Van calando los mensajes de “desconfiar” y “nadie da duros a cuatro pesetas” en la red.  Tener un equipo con antivirus y cortafuegos actualizados y estar siempre alerta a las noticias de este tipo que surjan en los medios de comunicación.  Dudar de aquellos mensajes recibidos por cualquier canal, sin que el usuario en ningún momento los haya solicitado, pidiendo pulsar enlace. 56

57  O no olviden: “La verdad es que no hay tecnología en el mundo capaz de prevenir un ataque de Ingeniería Social” Kevin Mitnick  Gracias! 57

Descargar ppt "Ponentes: Vicente Carrillo Luque Fernando Sánchez Pastor Madrid, 9 de Febrero de 2011 1."

Presentaciones similares

Prevención y control de peligros

Prevención y control de peligros
Peligros presentes en la Red.

Peligros presentes en la Red.
Delitos Informáticos.

Delitos Informáticos.
Andrés Gustavo Márquez Zuleta

Andrés Gustavo Márquez Zuleta
Plataforma Celular de Comunicación y Control

Plataforma Celular de Comunicación y Control
RED BOTNET.

RED BOTNET.
Daniel Julián Tébar y Javier Perea Martínez. Compra y venta de productos o de servicios a través de medios electrónicos, tales como Internet y otras redes.

Daniel Julián Tébar y Javier Perea Martínez. Compra y venta de productos o de servicios a través de medios electrónicos, tales como Internet y otras redes.
Sabes lo que es el PHISING? Son correos electrónicos de dudosa procedencia que pretenden pescar información confidencial (claves de acceso, números de.

Sabes lo que es el PHISING? Son correos electrónicos de dudosa procedencia que pretenden pescar información confidencial (claves de acceso, números de.
PREVENIR LOS “CIBER ATAQUES”

PREVENIR LOS “CIBER ATAQUES”
Vanguardia en Comunicación

Vanguardia en Comunicación
Un hacker es quien se filtra o irrumpe en el sistema de una computadora, ya sea rompiendo un código o encontrando una manera de evadirlo.

Un hacker es quien se filtra o irrumpe en el sistema de una computadora, ya sea rompiendo un código o encontrando una manera de evadirlo.
SEGURIDAD EN LA RED contraseña, No usaré 1234 como contraseña

SEGURIDAD EN LA RED contraseña, No usaré 1234 como contraseña
Robo de Identidad.

Robo de Identidad.
Phishing o estafas por Internet

Phishing o estafas por Internet
SEGURIDAD INFORMÁTICA

SEGURIDAD INFORMÁTICA
Auditoría de Sistemas y Software

Auditoría de Sistemas y Software
Inedim tema:virus de la computadora integrantes brayan cogollo andrea herrera angie villalba dayana argumedo edgar gordillo.

Inedim tema:virus de la computadora integrantes brayan cogollo andrea herrera angie villalba dayana argumedo edgar gordillo.
REDES DE BOTS BOTNETS REDES ZOMBI Eva Mª Ferrandis Peris.

REDES DE BOTS BOTNETS REDES ZOMBI Eva Mª Ferrandis Peris.
MALWARE Software malicioso Leticia-S_C. Indice Virus y malware Clasificación de malware o virus, gusanos, troyanos y backdoors o adware y Pop-ups o intrusos,

MALWARE Software malicioso Leticia-S_C. Indice Virus y malware Clasificación de malware o virus, gusanos, troyanos y backdoors o adware y Pop-ups o intrusos,
TEMA 2: SISTEMAS OPERATIVOS. ENTORNO MONOUSUARIO.

TEMA 2: SISTEMAS OPERATIVOS. ENTORNO MONOUSUARIO.

Presentaciones similares

Anuncios Google