10 maneras de ser estafado Santiago Cavana – Javier Antunez ISSA Argentina – www.issaarba.org La seguridad puede ense ñarse!

http ://creativecommons.org/licenses/by-nc-sa/2.5/ar/ Ud. puede: Copiar, distribuir, exhibir, y ejecutar la obra Hacer obras derivadas Bajo las siguientes condiciones: Atribución. Debe atribuir la obra en la forma especificada por el autor No Comercial. No puede usar esta obra con fines comerciales. Compartir Obras Derivadas Igual. Si altera, transforma, o crea sobre esta obra, sólo podrá distribuir la obra derivada resultante bajo una licencia idéntica a ésta. Licencia de uso: Creative Commons 2.5 Argentina

http ://creativecommons.org/licenses/by-nc-sa/2.5/ar/

Ud. puede:

Copiar, distribuir, exhibir, y ejecutar la obra

Hacer obras derivadas

Bajo las siguientes condiciones:

Atribución. Debe atribuir la obra en la forma especificada por el autor

No Comercial. No puede usar esta obra con fines comerciales.

Compartir Obras Derivadas Igual. Si altera, transforma, o crea sobre esta obra, sólo podrá distribuir la obra derivada resultante bajo una licencia idéntica a ésta.

1 – Introducci ón 2 – Victimas potenciales de fraude 3- Patrones tipicos de fraudes 4- Expectativas de seguridad 5- Conclusiones Temario

1 – Introducci ón

2 – Victimas potenciales de fraude

3- Patrones tipicos de fraudes

4- Expectativas de seguridad

5- Conclusiones

Aclaraciones previas y licencias profesionales Introducci ón

Aclaraciones previas y licencias profesionales

Enseñar a pescar Pensamiento critico Rápida obsolescencia de técnicas de fraude Los ejemplos son solo eso, ejemplos. Patrones inmutables. Lo que no cambia, a pesar del cambio. Accionar sobre la estructura (débil), no sobre un tipo de fraude Seguridad por diseño, La parte real del mundo virtual. Introducci ón

Enseñar a pescar

Pensamiento critico

Rápida obsolescencia de técnicas de fraude

Los ejemplos son solo eso, ejemplos.

Patrones inmutables.

Lo que no cambia, a pesar del cambio.

Accionar sobre la estructura (débil), no sobre un tipo de fraude

Seguridad por diseño,

La parte real del mundo virtual.

¿ Usted es una victima potencial de fraude? SI-NO ¿Por qué? En principio SI (los virus no discriminan sexo) Tiene algo para ser quitado. Es usuario de tecnologías Internet también los iguala a ellos… Victimas potenciales de fraude

¿ Usted es una victima potencial de fraude?

SI-NO ¿Por qué?

En principio SI (los virus no discriminan sexo)

Tiene algo para ser quitado.

Es usuario de tecnologías

Internet también los iguala a ellos…

El atacante tiene Conocimientos Tiempo Recursos Motivación Ausencia de escrúpulos Oportunidad Ya no necesita contar con la “magia” del contador de cuentos… Victimas potenciales de fraude

El atacante tiene

Conocimientos

Tiempo

Recursos

Motivación

Ausencia de escrúpulos

Oportunidad

Ya no necesita contar con la “magia” del contador de cuentos…

Patrones tipicos de fraude Explotar la curiosidad y “estar a la moda”

Patrones tipicos de fraude Explotar la codicia, la gula o el facilismo

Patrones tipicos de fraude Explotar la ignorancia sobre las nuevas tecnologías, los preconceptos y el exceso de confianza

Patrones tipicos de fraude Explotar confianza excesiva sobre las identidades virtuales

Patrones tipicos de fraude Explotar ignorancia sobre las zonas de confort, el alcance de la tecnologías

Patrones tipicos de fraude Explotar la confianza exagerada sobre marcas o lugares, explotar la el habito de transferir cualidades o valores.

Patrones tipicos de fraude Explotar la confianza exagerada sobre marcas o lugares, explotar la el habito de transferir cualidades o valores.

Patrones tipicos de fraude Explotar la confianza exagerada sobre “sabores” tecnológicos, explotar el facilismo

Patrones tipicos de fraude Explotar la curiosidad, la avaricia, el consumismo. Explotar “el que le roba a un ladron…”(mejicaneada)

Patrones tipicos de fraude Explotar la curiosidad, la avaricia, el consumismo. Explotar “el que le roba a un ladron…”(mejicaneada)

¿Que cosas vemos en común? Se ataca la “zona de confort” de la victima Comportamiento diferenciado según el entorno Confianza exagerada en las identidades virtuales Desconocimiento del alcance de la tecnología Y falsos preceptos Se explota la ingenuidad y curiosidad Promesas de ganancia instantánea (codicia) Confianza sobre la imagen o la marca de un tercero Patrones tipicos de fraude

¿Que cosas vemos en común?

Se ataca la “zona de confort” de la victima

Comportamiento diferenciado según el entorno

Confianza exagerada en las identidades virtuales

Desconocimiento del alcance de la tecnología

Y falsos preceptos

Se explota la ingenuidad y curiosidad

Promesas de ganancia instantánea (codicia)

Confianza sobre la imagen o la marca de un tercero

No se puede desconfiar de todo. Las personas naturalmente establecen expectativas de seguridad para cada entorno y para cada sistema. Estas expectativas generan una imagen mental, que puede diferir demasiado de la realidad, dependiendo de los criterios utilizados. Las imágenes crean el escenario donde el fraude funciona, aprovechando la divergencia entre la realidad y la imagen mental, así como aquellos debilidades humanas relacionadas con la necesidad, el deseo, la pertenencia, el temor, etc. Expectativas de seguridad

No se puede desconfiar de todo. Las personas naturalmente establecen expectativas de seguridad para cada entorno y para cada sistema.

Estas expectativas generan una imagen mental, que puede diferir demasiado de la realidad, dependiendo de los criterios utilizados.

Las imágenes crean el escenario donde el fraude funciona, aprovechando la divergencia entre la realidad y la imagen mental, así como aquellos debilidades humanas relacionadas con la necesidad, el deseo, la pertenencia, el temor, etc.

Existen relaciones dinámicas entre las percepciones o concepciones de confianza y riesgo Confianza sobre la “capacidad” y “honradez” Juicios técnicos (personales y colectivos) Juicios de valores (personales y colectivos) La heurística de las decisiones y los juicios. Expectativas de seguridad

Existen relaciones dinámicas entre las percepciones o concepciones de confianza y riesgo

Confianza sobre la “capacidad” y “honradez”

Juicios técnicos (personales y colectivos)

Juicios de valores (personales y colectivos)

La heurística de las decisiones y los juicios.

Juicios heuristicos Regla de los cinco puntos oscilantes. Emocional , basado en la experiencia personal, dependiente del humor o el cansancio. Estimaciones de probabilidad basadas en hechos ocurridos . Presume asociaciones posiblemente erróneas, por falta de información. Basado en estereotipos (por exceso o por defecto) Insensible a las estadísticas. Insensible a los ejemplos. Basados en puntos fijos , relativos a quien lo presenta, como lo presenta, la opinión personal sobre la persona, el caso u otros puntos arbitrarios sin fundamentos claros. Sobre estimación, exceso de confianza. Falta de objetividad. Desvío de la confirmación (2-4-6) Creencias irracionales persistentes . (religiosa, moral, social, politica, etc)

Regla de los cinco puntos oscilantes.

Emocional , basado en la experiencia personal, dependiente del humor o el cansancio.

Estimaciones de probabilidad basadas en hechos ocurridos .

Presume asociaciones posiblemente erróneas, por falta de información.

Basado en estereotipos (por exceso o por defecto)

Insensible a las estadísticas.

Insensible a los ejemplos.

Basados en puntos fijos , relativos a quien lo presenta, como lo presenta, la opinión personal sobre la persona, el caso u otros puntos arbitrarios sin fundamentos claros.

Sobre estimación, exceso de confianza.

Falta de objetividad.

Desvío de la confirmación (2-4-6)

Creencias irracionales persistentes . (religiosa, moral, social, politica, etc)

Se puede informar sobre fraudes actuales, pero no es suficiente Se puede informar sobre los patrones inmutables del fraude, pero no es suficiente Se puede informar sobre el porque funcionan los fraudes, pero no es suficiente Se puede sugerir ser paranoico, pero es poco practico (al menos para el común de la gente) Conclusiones

Se puede informar sobre fraudes actuales, pero no es suficiente

Se puede informar sobre los patrones inmutables del fraude, pero no es suficiente

Se puede informar sobre el porque funcionan los fraudes, pero no es suficiente

Se puede sugerir ser paranoico, pero es poco practico (al menos para el común de la gente)

Sugerimos que además de informar, hay que formar. (sugerencia reveladora..) El objetivo final, es provocar un cambio de actitud, una modificación de los criterios usados en la heurística del juicio “confianza-riesgo+(ganancia-costo)”, para que sean dinámicos (a la par de la tecnología), sin perder de vista la condición humana de vulnerabilidad. Recordar… “ COCODRILO que se duerme… es cartera” Conclusiones

Sugerimos que además de informar, hay que formar.

(sugerencia reveladora..)

El objetivo final, es provocar un cambio de actitud, una modificación de los criterios usados en la heurística del juicio “confianza-riesgo+(ganancia-costo)”, para que sean dinámicos (a la par de la tecnología), sin perder de vista la condición humana de vulnerabilidad.

Recordar…

“ COCODRILO que se duerme… es cartera”

La psicología de la seguridad http://www.seguridaddigital.info/index.php?option=com_content&task=view&id=162&Itemid=26 Las 6 peores ideas sobre seguridad informática http :// www.laflecha.net /canales/seguridad/ articulos /6ideas CONFIDENCE GAMES AND SWINDLES http :// cityofirving.org / police / community - pages / crime -prevention/ confidence - games - and - swindles.html http:// www.identidadrobada.com.ar/site/index.php?idSeccion =19&idNota=900 Psicología de una estafa http://www.20minutos.es/noticia/258179/0/delincuentes/caza/red/ ¡Ojo con los Psico-Hackers http://pensarsentiryactuar.blogspot.com/2007/07/ojo-con-los-psico-hackers.html Las Naranjas de Segu-info www.segu - info.com.ar /cruzada Seccion ingenieria social de Sans.org (reading room) http://www.noticebored.com/html/freebies.html Referencias:

La psicología de la seguridad

http://www.seguridaddigital.info/index.php?option=com_content&task=view&id=162&Itemid=26

Las 6 peores ideas sobre seguridad informática

http :// www.laflecha.net /canales/seguridad/ articulos /6ideas

CONFIDENCE GAMES AND SWINDLES

http :// cityofirving.org / police / community - pages / crime -prevention/ confidence - games - and - swindles.html

http:// www.identidadrobada.com.ar/site/index.php?idSeccion =19&idNota=900

Psicología de una estafa

http://www.20minutos.es/noticia/258179/0/delincuentes/caza/red/

¡Ojo con los Psico-Hackers

http://pensarsentiryactuar.blogspot.com/2007/07/ojo-con-los-psico-hackers.html

Las Naranjas de Segu-info

www.segu - info.com.ar /cruzada

Seccion ingenieria social de Sans.org (reading room)

http://www.noticebored.com/html/freebies.html

¡Gracias por su atención!