Ataques de Ingeniería Social

  • 653 views
Uploaded on

Información sobre qué son los ataques de ingeniería social, las clasificaciones, ejemplos y medidas preventivas.

Información sobre qué son los ataques de ingeniería social, las clasificaciones, ejemplos y medidas preventivas.

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
653
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
31
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Ataques de Ingeniería Social Ing. Karina Astudillo B. Gerente de IT 1
  • 2. Agenda   Entorno de seguridad informática actual Ataques de Ingeniería Social      Ataques directos o telefónicos Tailgating y Dumpster Diving Ataques haciendo uso de computadoras: mail scams y phishing, virus, gusanos y troyanos Mecanismos de defensa Demo  Ataque de Phishing con SET y Metasploit 2
  • 3. Entorno de seguridad informática actual Casos en Ecuador:         Ataques a websites del gobierno (defacements) Laptop Raúl Reyes Pornografía en Internet Revisión de Microfilm del Banco Central Caso Peñaranda (Discos Duros) Estafas / Suplantación de identidad Infracciones de Propiedad Intelectual Clonación de Tarjetas ¡1300 denuncias de phishing en 1er trimestre del 2011! 3
  • 4. ¿Qué es la ingeniería social?  Es la manipulación de personas mediante engaños para obtener información confidencial sobre un objetivo o víctima. 4
  • 5. Debilidad humana    Las personas son el eslabón más débil de la cadena de seguridad. Una defensa exitosa depende en tener buenas políticas implementadas y educar a los empleados para que cumplan con las políticas. La ingeniería social es la forma de ataque más difícil de combatir porque no puede defenderse con hardware o software solamente.
  • 6. Tipos comunes de ingeniería social  La ingeniería social puede dividirse en dos tipos: basada en humanos y basada en computadores 1. La Ingeniería Social Basada en Humanos se refiere a la interacción persona-a-persona para recuperar la información deseada. 2. La Ingeniería Social Basada en Computadoras s refiere al uso de software/hardware para recuperar la información deseada. 6
  • 7. Basada en Humanos Categorías:    Personificación Suplantar una persona importante Acercamiento de tercera persona  Soporte técnico  Búsqueda en la basura  “Surfing” de hombros 7
  • 8. Llamada al soporte técnico Un hombre llama al soporte técnico y dice que ha olvidado su clave. En pánico agrega que si no entrega un documento a tiempo su jefe podría despedirlo. La persona de soporte siente pena por él y resetea la clave, dándole acceso a la red corporativa. 8
  • 9. Dumpster diving Un ejecutivo bota papeles corporativos a la papelera. El personal de limpieza toma la basura y la coloca en los tanques provistos para que los recoja el barrendero. Espías maliciosos se apropian de los papeles desde la basura antes de que se los lleve el camión. Los papeles contienen información de nombres, cargos y extensiones de ejecutivos de la empresa y balances financieros. Esta información es suficiente para lanzar un ataque exitoso de ingeniería social. 9
  • 10. Tailgating o Piggybacking   Se refiere al acto de ingresar a un área restringida siguiendo a otra persona que sí está autorizada. Métodos:    Haciendo de “escolta” Pretendiendo ser parte del grupo Fingiendo haber perdido la credencial o tener las manos ocupadas 10
  • 11. Dejando una “carnada”   En este método se incita la curiosidad de las personas dejando un “objeto valioso” en un sitio de fácil acceso en la empresa víctima. Ejemplos:  Pendrive o CD con malware “olvidados” en el baño 11
  • 12. Basada en computadoras  Categorías       Adjuntos de correo electrónico Ventanas emergentes Sitios webs falsos o maliciosos Correo basura (spam) Mails falsos Software “gratis” o pirata 12
  • 13. Virus, Gusanos y Troyanos    Un virus es un aplicativo malicioso que se adjunta a otro programa para efectuar una acción no deseada. El gusano a diferencia del virus puede replicarse a sí mismo de forma automática. El troyano es sólo diferente en que la aplicación completa ha sido escrita para lucir como algo diferente, cuando en efecto es una herramienta de ataque. 13
  • 14. Phishing  Uso de sitios “réplica” de páginas webs legítimas, para capturar las credenciales de usuarios ingenuos, con el objetivo de perpetrar estafas electrónicas. 14
  • 15. Mails falsos   El correo puede ser falsificado fácilmente. Las personas tienden a confiar mucho en lo que una persona conocida y con autoridad les solicita vía mail. 15
  • 16. Mecanismos de defensa    Definición de una Política de Seguridad Corporativa. Implantación de un Sistema de Gestión de Seguridad de Información (SGSI). Capacitación de todo el personal sobre fraudes electrónicos y medidas preventivas.     Capacitación del personal de sistemas en seguridad informática. Rediseño de la red para incorporar dispositivos y protocolos de seguridad. Uso de tecnologías Anti-X. Ejecución de auditorías de seguridad informática anuales. 16
  • 17. Sistemas de protección Herramientas Comerciales  Antivirus / Antispam          Cisco ASA, Cisco Security Agent Juniper Fortinet Checkpoint Sistemas de Correlación   Cisco MARS Checkpoint Smart Event Antivirus / Antispam       ClamAV Firewalls e IPS’s  Firewalls e IPS’s   Kaspersky Eset McAffee Norton Herramientas Open Source Linux IPTables Solaris IPFilter FWBuilder Snort Sistemas de Correlación    AlienVault Open Source SIEM (OSSIM) Hyperic Nagios 17
  • 18. Hacking Ético Tipos de Hacking Ético     Externo Interno Computador Robado Ingeniería Social Modalidades    Black Box Gray Box White Box 18
  • 19. Ataque de Phishing con SET y Metasploit 19
  • 20. ¿Preguntas?
  • 21. Mayor información      Website: http://www.elixircorp.biz Blog: http://www.SeguridadInformaticaFacil.co m Facebook: www.facebook.com/elixircorp Twitter: www.twitter.com/elixircorp Google+: http://google.com/+SeguridadInformatica Facil
  • 22. ¡Gracias por su tiempo! Karina.Astudillo@elixircorp.biz Twitter: KAstudilloB Facebook: Kastudi