Post on 06-Jul-2015
description
transcript
10 maneras de ser estafado
Santiago Cavana – Javier Antunez ISSA Argentina – www.issaarba.org
La seguridad puede enseñarse!
http://creativecommons.org/licenses/by-nc-sa/2.5/ar/
Ud. puede:
Copiar, distribuir, exhibir, y ejecutar la obra
Hacer obras derivadas
Bajo las siguientes condiciones:
Atribución. Debe atribuir la obra en la forma especificada por el autor
No Comercial. No puede usar esta obra con fines comerciales.
Compartir Obras Derivadas Igual. Si altera, transforma, o crea sobre esta obra, sólo podrá distribuir la obra derivada resultante bajo una licencia idéntica a ésta.
Licencia de uso: Creative Commons 2.5 Argentina
1– Introducción
2– Victimas potenciales de fraude
3- Patrones tipicos de fraudes
4- Expectativas de seguridad
5- Conclusiones
Temario
Aclaraciones previas y licencias profesionales
Introducción
Enseñar a pescar
Pensamiento critico
Rápida obsolescencia de técnicas de fraude
Los ejemplos son solo eso, ejemplos.
Patrones inmutables.
Lo que no cambia, a pesar del cambio.
Accionar sobre la estructura (débil), no sobre un tipo de fraude
Seguridad por diseño,
La parte real del mundo virtual.
Introducción
¿Usted es una victima potencial de fraude?
SI-NO ¿Por qué?
En principio SI (los virus no discriminan sexo)
Tiene algo para ser quitado.
Es usuario de tecnologías
Internet también los iguala a ellos…
Victimas potenciales de fraude
El atacante tiene
Conocimientos
Tiempo
Recursos
Motivación
Ausencia de escrúpulos
Oportunidad
Ya no necesita contar con la “magia” del contador de cuentos…
Victimas potenciales de fraude
Patrones tipicos de fraude
Explotar la curiosidad y “estar a la moda”
Patrones tipicos de fraude
Explotar la codicia, la gula o el facilismo
Patrones tipicos de fraude
Explotar la ignorancia sobre las nuevas tecnologías, los preconceptos y el exceso de confianza
Patrones tipicos de fraude
Explotar confianza excesiva sobre las identidades virtuales
Patrones tipicos de fraude
Explotar ignorancia sobre las zonas de confort, el alcance de la tecnologías
Patrones tipicos de fraude
Explotar la confianza exagerada sobre marcas o lugares, explotar la el habito de transferir cualidades o valores.
Patrones tipicos de fraude
Explotar la confianza exagerada sobre marcas o lugares, explotar la el habito de transferir cualidades o valores.
Patrones tipicos de fraude
Explotar la confianza exagerada sobre “sabores” tecnológicos, explotar el facilismo
Patrones tipicos de fraude
Explotar la curiosidad, la avaricia, el consumismo.
Explotar “el que le roba a un ladron…”(mejicaneada)
Patrones tipicos de fraude
Explotar la curiosidad, la avaricia, el consumismo.
Explotar “el que le roba a un ladron…”(mejicaneada)
¿Que cosas vemos en común?
Se ataca la “zona de confort” de la victima
Comportamiento diferenciado según el entorno
Confianza exagerada en las identidades virtuales
Desconocimiento del alcance de la tecnología
Y falsos preceptos
Se explota la ingenuidad y curiosidad
Promesas de ganancia instantánea (codicia)
Confianza sobre la imagen o la marca de un tercero
Patrones tipicos de fraude
No se puede desconfiar de todo. Las personas naturalmente establecen expectativas de seguridad para cada entorno y para cada sistema.
Estas expectativas generan una imagen mental, que puede diferir demasiado de la realidad, dependiendo de los criterios utilizados.
Las imágenes crean el escenario donde el fraude funciona, aprovechando la divergencia entre la realidad y la imagen mental, así como aquellos debilidades humanas relacionadas con la necesidad, el deseo, la pertenencia, el temor, etc.
Expectativas de seguridad
Existen relaciones dinámicas entre las percepciones o concepciones de confianza y riesgo
Confianza sobre la “capacidad” y “honradez”
Juicios técnicos (personales y colectivos)
Juicios de valores (personales y colectivos)
La heurística de las decisiones y los juicios.
Expectativas de seguridad
Juicios heuristicos• Regla de los cinco puntos oscilantes.
– Emocional, basado en la experiencia personal, dependiente del humor o el cansancio.
– Estimaciones de probabilidad basadas en hechos ocurridos.
• Presume asociaciones posiblemente erróneas, por falta de información.
– Basado en estereotipos (por exceso o por defecto)• Insensible a las estadísticas.• Insensible a los ejemplos.
– Basados en puntos fijos, relativos a quien lo presenta, como lo presenta, la opinión personal sobre la persona, el caso u otros puntos arbitrarios sin fundamentos claros.
• Sobre estimación, exceso de confianza.• Falta de objetividad.
– Desvío de la confirmación (2-4-6)– Creencias irracionales persistentes. (religiosa, moral, social,
politica, etc)
Se puede informar sobre fraudes actuales, pero no es suficiente
Se puede informar sobre los patrones inmutables del fraude, pero no es suficiente
Se puede informar sobre el porque funcionan los fraudes, pero no es suficiente
Se puede sugerir ser paranoico, pero es poco practico (al menos para el común de la gente)
Conclusiones
Sugerimos que además de informar, hay que formar.
(sugerencia reveladora..)
El objetivo final, es provocar un cambio de actitud, una modificación de los criterios usados en la heurística del juicio “confianza-riesgo+(ganancia-costo)”, para que sean dinámicos (a la par de la tecnología), sin perder de vista la condición humana de vulnerabilidad.
Recordar…
“COCODRILO que se duerme… es cartera”
Conclusiones
La psicología de la seguridad
http://www.seguridaddigital.info/index.php?option=com_content&task=view&id=162&Itemid=26
Las 6 peores ideas sobre seguridad informática
http://www.laflecha.net/canales/seguridad/articulos/6ideas
CONFIDENCE GAMES AND SWINDLES
http://cityofirving.org/police/community-pages/crime-prevention/confidence-games-and-swindles.html
http://www.identidadrobada.com.ar/site/index.php?idSeccion=19&idNota=900
Psicología de una estafa
http://www.20minutos.es/noticia/258179/0/delincuentes/caza/red/
¡Ojo con los Psico-Hackers
http://pensarsentiryactuar.blogspot.com/2007/07/ojo-con-los-psico-hackers.html
Las Naranjas de Segu-info
www.segu-info.com.ar/cruzada
Seccion ingenieria social de Sans.org (reading room)
http://www.noticebored.com/html/freebies.html
Referencias:
¡Gracias por su atención!