Universidad Mariano Galvez. Ingenieria en Sistemas Plan Sabado. Curso Seguridad de Sistemas. Ing. David R. Gonzalez.
Introducción La ingeniería social es una práctica que es usada para explotar las debilidades de una cadena de seguridad, considerando el factor humano. La ingeniería social es una práctica que es usada para explotar las debilidades de una cadena de seguridad, considerando el factor humano. La ingeniería social es muy usada no sólo en el ámbito laboral, también se utiliza en el mover diario de la gente. Básicamente es una manera de obtener información deseada de manera sutil y segura. La ingeniería social es muy usada no sólo en el ámbito laboral, también se utiliza en el mover diario de la gente. Básicamente es una manera de obtener información deseada de manera sutil y segura. La presente es una recopilación de datos para explicar algunos de los casos más comunes de ingeniería social. La presente es una recopilación de datos para explicar algunos de los casos más comunes de ingeniería social.
Introducción Ingeniería Social es el uso de influencia y persuasión para hacer que las personas divulguen información útil. Cualquier persona con quien usted tenga interactividad o una conversación puede usar este método Ingeniería Social contra usted, ya sea un compañero de trabajo, amigo, vecino o familiar. Nosotros las personas somos el eslabón más débil en la cadena de la seguridad informática. Ingeniería Social es el uso de influencia y persuasión para hacer que las personas divulguen información útil. Cualquier persona con quien usted tenga interactividad o una conversación puede usar este método Ingeniería Social contra usted, ya sea un compañero de trabajo, amigo, vecino o familiar. Nosotros las personas somos el eslabón más débil en la cadena de la seguridad informática. La Ingeniería Social es uno de los ataques más difíciles de defender y detectar porque no hay software o hardware que lo pueda defender a usted de este tipo de ataque. Lo único que le pude salvar a usted es que este bien alerta. La Ingeniería Social es uno de los ataques más difíciles de defender y detectar porque no hay software o hardware que lo pueda defender a usted de este tipo de ataque. Lo único que le pude salvar a usted es que este bien alerta..
Introducción Basada en Humanos: Esta se basa en obtener información confidencial a través de la interacción con las personas, este ataque en esta categoría “explota” la confianza, el miedo y la naturaleza humana de querer ayudar a otros. Ejemplos; Basada en Humanos: Esta se basa en obtener información confidencial a través de la interacción con las personas, este ataque en esta categoría “explota” la confianza, el miedo y la naturaleza humana de querer ayudar a otros. Ejemplos; Escuchar conversaciones no autorizadas o leer mensajes, ej.: Los presentados o Metiches. Escuchar conversaciones no autorizadas o leer mensajes, ej.: Los presentados o Metiches. Intercepción de cualquier forma de comunicación como audio, video o escritura, ej. : grabar conversaciones de otras personas con una pequeña grabadora o con el teléfono móvil. Intercepción de cualquier forma de comunicación como audio, video o escritura, ej. : grabar conversaciones de otras personas con una pequeña grabadora o con el teléfono móvil..
Introducción Mirar por encima del hombro de las personas cuando estas entran un password, numero de ID o números de cuentas. Mirar por encima del hombro de las personas cuando estas entran un password, numero de ID o números de cuentas. Buscar en la basura (Dumpster Diving), de su casa o trabajo y en los papelitos que se pegan en el borde de los monitores por alguna información personal o confidencial de usted.. Buscar en la basura (Dumpster Diving), de su casa o trabajo y en los papelitos que se pegan en el borde de los monitores por alguna información personal o confidencial de usted..
Introducción Basada en Computadoras: Esta se basa en la ayuda de una computadora para hacer Ingeniería Social. Basada en Computadoras: Esta se basa en la ayuda de una computadora para hacer Ingeniería Social. s y archivos adjuntos a los s con virus, gusanos o spyware para monitorear los que usted hace en la computadora. s y archivos adjuntos a los s con virus, gusanos o spyware para monitorear los que usted hace en la computadora. PopUp Windows (ventanas que se abren espontáneamente) cuando usted navega por el internet preguntándole por información de conexión (login) o invitándolo a subscribirse a un website. PopUp Windows (ventanas que se abren espontáneamente) cuando usted navega por el internet preguntándole por información de conexión (login) o invitándolo a subscribirse a un website.
Introducción s de engaño (Hoaxes) advirtiéndole sobre un nuevo virus, gusano o Troyano que podría dañar su computadora. También el spam (correo no deseado) que le envían diciéndole que tienen una tarjeta de crédito pre-aprobada para usted por $5, No crea en nada de esto. s de engaño (Hoaxes) advirtiéndole sobre un nuevo virus, gusano o Troyano que podría dañar su computadora. También el spam (correo no deseado) que le envían diciéndole que tienen una tarjeta de crédito pre-aprobada para usted por $5, No crea en nada de esto. Cadena de cartas (Chain letters) son s que le envían a usted con la condición de que si usted re-envía el a otras personas recibirá regalos, dinero y programas (software) gratis. Cadena de cartas (Chain letters) son s que le envían a usted con la condición de que si usted re-envía el a otras personas recibirá regalos, dinero y programas (software) gratis.
Introducción Los Chats Messenger: nunca se sabe con quién uno habla en los chats, ya que alguien pudo haber tenido acceso a la cuenta de la persona que usted supone es la verdadera. Una solución a esto son los Video Chats. Los Chats Messenger: nunca se sabe con quién uno habla en los chats, ya que alguien pudo haber tenido acceso a la cuenta de la persona que usted supone es la verdadera. Una solución a esto son los Video Chats.
Técnicas comunes Aproximación directa: un agresor puede preguntar directamente al objetivo aprovechando que este se encuentre atareado. Aproximación directa: un agresor puede preguntar directamente al objetivo aprovechando que este se encuentre atareado. Buenos días Srta. Soy el nuevo arquitecto Rochefeller y necesito un código para ingresar al sistema… Mucho gusto Sr. Rockefeller el código de acceso es…
Técnicas comunes Usuario Importante: Pretender ser una persona importante de la organización, con una importante tarea. El atacante puede presionar al ayudante de escritorio para obtener la información. Usuario Importante: Pretender ser una persona importante de la organización, con una importante tarea. El atacante puede presionar al ayudante de escritorio para obtener la información. ¡Le digo que soy el Presidente de la corporación!… ¡Si Sr. tanto gusto, pase Ud. Por favor...
Técnicas comunes Usuario desvalido: Por ejemplo un atacante puede llamar a la secretaria de una organización pretendiendo ser un nuevo empleado y que tiene un gran problema para ingresar al sistema de la compañía. La secretaria para no ofender a la persona o hacerla parecer incompetente, se inclina a ayudarlo y le suple el nombre de usuario y la contraseña. Usuario desvalido: Por ejemplo un atacante puede llamar a la secretaria de una organización pretendiendo ser un nuevo empleado y que tiene un gran problema para ingresar al sistema de la compañía. La secretaria para no ofender a la persona o hacerla parecer incompetente, se inclina a ayudarlo y le suple el nombre de usuario y la contraseña.
Técnicas comunes ¡Que tonto, pobrecillo! Hola, disculpa es que soy nuevo y me olvide mi clave ¿me ayudas? Claro como no, te doy mi clave hasta que consigas la tuya…
Técnicas comunes En que lo puedo ayudar Sr. Srta. Como puede ver estoy en silla de ruedas, y en el edificio no hay rampa para incapacitados de modo que no puedo subir al área de programación, ¿podría usted facilitarme su terminal para hacer mi trabajo desde aquí?
Técnicas comunes Personal de soporte técnico: Es pretender pertenecer a un equipo de una organización de soporte técnico. El atacante puede extraer útil información de manera insospechada, Por ej.: el atacante puede pretender ser un administrador del sistema que trata de resolver un problema y requiere un nombre de usuario y una contraseña para resolver el problema. Personal de soporte técnico: Es pretender pertenecer a un equipo de una organización de soporte técnico. El atacante puede extraer útil información de manera insospechada, Por ej.: el atacante puede pretender ser un administrador del sistema que trata de resolver un problema y requiere un nombre de usuario y una contraseña para resolver el problema.
Técnicas comunes ¡Oiga quien es Ud. Y que esta haciendo! Ahora si me robo el disco duro ji, ji, ji … Soy el técnico Roboncio de la CIA. De serv. Técnicos “Trifi-trafa”… Ah, ya… siga no´mas…
Técnicas comunes Ingeniería Social Reversa (RSE): Un usuario legitimo es seducido con preguntas de un atacante para obtener información de sus respuestas. Con este acercamiento el atacante percibe si la persona es más, que un usuario legítimo, el cual pudiera ser un posible objetivo. Ingeniería Social Reversa (RSE): Un usuario legitimo es seducido con preguntas de un atacante para obtener información de sus respuestas. Con este acercamiento el atacante percibe si la persona es más, que un usuario legítimo, el cual pudiera ser un posible objetivo. I
Técnicas comunes Asi que Ud. Trabaja en la CIA. De enfrente, y que tal como les va… Bien Un amigo me contó que han cambiado su sistema ¿es verdad? Si, ahora usamos códigos de acceso todos los trabajadores
Ataques típicos de RSE Sabotaje: Después de haber obtenido un simple acceso, el atacante puede corromper todos los archivos de una estación de trabajo. Sabotaje: Después de haber obtenido un simple acceso, el atacante puede corromper todos los archivos de una estación de trabajo. I Me voy de ésta empresa ahora mismo. Ya van a saber con quién se metieron
Ataques típicos de RSE Marketing: De manera segura un usuario llama al atacante; el atacante esta advertido. El atacante puede hacer de este o estos un negocio y su objetivo son obtener los números y las claves de las tarjetas de crédito. Marketing: De manera segura un usuario llama al atacante; el atacante esta advertido. El atacante puede hacer de este o estos un negocio y su objetivo son obtener los números y las claves de las tarjetas de crédito. Si Sr. Para concederle una entrevista necesitamos algunas referencia bancarias, como números de sus cuentas… Buenas tardes,¿es la CIA. CHAMBIX que requiere socios capitalistas?
Ataques típicos Soporte: Finalmente el atacante puede asistir a alguien con un problema, obteniendo información mientras transcurre el tiempo de su ayuda. Soporte: Finalmente el atacante puede asistir a alguien con un problema, obteniendo información mientras transcurre el tiempo de su ayuda.
Un uso común de a taque es el de correo electrónico en el que se suele enviar mensajes a personas ofreciéndoles premios o fotos gratis de artistas de cine o cantantes; al acceder a estos mensajes se infiltraría un virus de manera muy sutil en sus sistemas. Un uso común de a taque es el de correo electrónico en el que se suele enviar mensajes a personas ofreciéndoles premios o fotos gratis de artistas de cine o cantantes; al acceder a estos mensajes se infiltraría un virus de manera muy sutil en sus sistemas.
Website Un uso muy común es el visitar un “website” que promueve un atractivo concurso. Para lo cual se requiere un nombre de usuario y un password, los cuales pueden ser iguales o muy parecidos a los que usted usa en su trabajo. Un uso muy común es el visitar un “website” que promueve un atractivo concurso. Para lo cual se requiere un nombre de usuario y un password, los cuales pueden ser iguales o muy parecidos a los que usted usa en su trabajo.
Website Ingeniería Social – Parte 1, JaCkSecurity.com