| Date post: | 22-Jul-2015 |
| Category: |
Documents |
| Upload: | miguel-bofi |
| View: | 219 times |
| Download: | 3 times |
Índice:
Ingeniería Social:1. Introducción a la Ingeniería Social
• Que es?• Historia
➢ Virus I Love You➢ La estafa Nigeriana
2. Metodología:• Interacciónes, Actuación y características• Information Gathering• Vectores de Ataque
➢ + Teléfono➢ + E-Mail➢ + Facebook➢ Android➢ Hacking Físico
3. Conclusión:• Conclusión• Prevención• Textos Recomendados
Introducción a la Ingeniería Social
• Que es?
La ingeniería Social (I.S.) es un proceso de interacción humana planificado, que consiste en atacar y explotar vulnerabilidades humanas para conseguir algun tipo de beneficio. Estas técnicas de acercamiento humano han sido utilizadas durante años, no solamente por informáticos, sino de mucho antes por políticos, psicólogos, profesionales de la seguridad, economistas, estafadores, policías, entre otros. Este metodo basado en el engaño y la persuación no requiere necesariamente el uso de teconología para obtener información efectiva, solo basta tener las habilidades sociales suficientes para realizar un acertivo acercamiento con una victima e inducirlo ya sea a entregar información valiosa o a ejecutar una acción.
• Historia:
Los ataques de ingeniería social no son un hecho de la decada, escenas en las que personas se acercan a otra en una actitud fraternal e inocente para tenderles una trampa se han visto desde antes de cristo, un claro ejemplo es la conocida sorpresa del caballo de troya.
• Virus I love You: Este conocido virus del que probablemente muchos de ustedes habrán escuchado hablar marco un precedente en la historia no solo de los virus informáticos sino que de la ingeniería social aplicada de lleno a la computación. El viernes 4 de mayo del año 200 se liberael virus propagandose entre sistemas Windows. Este se colgaba de una vulnerabilidad en estos sitemas que permanecía activado el sistema de interpretación de scripts de microsoft, el cual ejecutaba los scripts VBS. Hasta ahí nada que no se viera antes, pero este script tenía un peculiar metodo de propagación, además de su persistencia en la infección de archivos y el hecho de apoderarse del registro del sistema, este virus continuaba propagandose a través del correo electrónico utilizando microsoft outlook, pero ese no era su unico vector de ataque, también era capas de propagarse por chat.
Para hacer efectiva su propagación, este virus apelaba a la ingeniería social para hacer caer a sus victimas:– En primer lugar se colgaba de la falta de advertencias de seguridad al abrir un link de un e-mail, y al ser esto una tarea rutinaria, es normal que el usuario quiera saber de que se trata y abra el link.– El ícono que utilizaba (El de VBS) es bastante similar al de TXT, por lo tanto para el usuario le parecía inofensivo. No por ejemplo el ícono de BAT que a la vista parece comprometedor y asusta a cualquier usuario.– Las palabras escogidas: Al enviarse como una “carta de amor” millones de curiosos e ilusionados don juanes en el mundo abrieron de inmediato el e-mail esperando encontrarse con una declaración de amor. Claramente no fue así.– Procedencia: Al utilizar el chat o el e-mail utilizaba la identidad de otra persona para propagarse, esto hacía creer a la nueva víctima que era un archivo de confianza, porque su procedencia así lo era tambien.– Antecedente cultural: Este ataque iba enfocado principalmente a ciertos grupos sociales: Al estar en inglés era mas probable que las víctimas fueran en su mayoría de habla inglesa, aunque la mayoría de los afectados si lo era, un caso disidente fue Argentina con 150.000 víctimas; Otro factor incidente era la religión, la india no tuvo infectados dado que nadie se atrevía a abrir un correo que contenía palabras prohibidas por su religión.
En conclusión entendemos que lo que hizo exitoso a este virus no fue tanto su codigo ni la vulnerabilidad explotada, si no mas bien el ingenioso metodo de propagación que utilizaba el factor mas vulnerable de todos. Al 6 de mayo, 2 días después ya tenía la no despreciable suma de mas de 3 millones de ataques contabilizados. Datos posteriores indican que esta cifra ascendió a los 50 millones, comprometiendo a privados y a empresas. Solo hubo una ventaja para estos últimos y es que este virus fue lanzado un día viernes, por lo tanto no había usuarios utilizando los computadores, y les dio el tiempo suficiente para advertir del virus a los empleados.
• La Estafa Nigeriana:
Probablemente hayan escuchado hablar de la “Estafa Nigeriana” o el “timo 419”, una conocida estafa procedente de Nigeria que consistía en enviar miles de cartas a países del primer mundo pidiendo sumas de dinero a partir de una historia ficticia. Este tipo de estafa, que ha ido evolucionando con el paso del tiempo, se mantiene hasta nuestros días, es por eso que lo he incluído en esta investigación. Ahora, como se aplica esto al a informática?: Con la creciente expansión del internet, organizaciones criminales del tercer mundo vieron una oportundiad de expandir también sus ataques delictivos a través de este conocido metodo pero ahora a través de la red.
Metodología
• La Actuación:
Para los que no nacieron con el don de la palabra, realizar un ataque de ingeniería social es mucho mas que acercarse a la víctima y persuadirla de que nos entregue lo que necesitamos. Este ataque requiere una previa investigación y planificación.
Ahora, dependiendo de nuestras intenciones y el grado al que llevemos la ingeniería social, esta se divide en dos:
Interacción activa: Esta interacción es en la que se lleva la ingeniería social a la realidad, con el objetivo de causar daños u obtener ganancias. Este tipo de ataque malicioso se remonta a Kevin Mitnick, quien durante 20 años se dedico a realizar diferentes delitos de falsificación y robo de información confidencial utilizando sus habilidades sociales. Segun Mitnick, un ataque de ingeniería social exitoso requiere un ciclo:
1. Investigación: Se investigan fuentes abiertas de información a fin de obtener datos de la víctima.
2. Buena relación: Con la información obtenida nos acercamos a la víctima. Este acercamiento puede ser o solicitando ayuda o imponiendo autoridad. Todo a fin de crear confianza y credibilidad con la víctima
3. Explotación: Finalmente se explota esta confianza para solicitar o preguntar por la información que deseamos.
4. Uso de la información: Damos uso a la información, y si es necesario volvemos a iniciar el ciclo hasta conseguir el objetivo.
En este escenario encontramos también:1. Atacante: Quien prepara y ejecuta el ataque.2. Medio: Es la vía, puede ser personal, telefónico o virtual.3. Víctima: La persona manipulada.4. Pretexto: La historia que se crea para convencer a la víctima, y que nos
entrega la credibilidad. Aquí se incluye la información recopilada.
Interacción Pasvia: Esta interacción se perpetra desde un segundo plano, estudiando la ingeniería social pero sin contacto real. A diferencia de la interacción activa, esta se mantiene en la legalidad y es vista mas como una ciencia de estudio.
Al ser la interacción pasiva un método mas científico orientado al estudio de la ingeniería social, involucra en su conjunto areas de la psicología y la sociología para hacer mas efectiva su investigación. En la interacción pasiva existen tesis bastante elaboradas con respecto al actuar y la eficacia de los metodos utilizados. Al ser esto tan extenso no me da tiempo de señalarlo, pero si recomendamos leer acerca de la Ingeniería Social Automatizada, Dale Pearson y Marcus Nohlberg.
Características:
Normalidad del ataque:La víctima debe apreciar el acercamiento como algo normal, rutinario, sin dudar ni asustarse (a no ser que el proceso contemple esta acción). Esto sin importar que tan sencillo o complejo sea el ataque. Se recomienda solicitar cosas sencillas para la victima, porque cuando esta comprueba datos o solicita ayuda aumenta las posibilidades de ser descubiertos.
Eficacia y peligrosidad: En la mayoría de los casos los atauqes de I.S. Son exitosos, sin necesitad de poseer grandes habilidades ni víctimas tontas para conseguirlo. Lo mas importante en el ataque es tener un buen pretexto y realizar una buena investigación.
Innovación: Si bien, este y otros estudios sobre la ingeniería social sirven como una sólida base para conocer acera de los ataques, lo mas importante es innovar y buscar nuevos vectores de ataques para anteponerse al delincuente.
El momento momento indicado: Luego de efectuar los lazos de confianza lo mas importante es esperar el momento adecuado para atacar, para que este ataque paresca algo natural y pueda tener un 100% de éxito. Un ejemplo de lo contrario es que el virus IloveYou haya sido lanzado un día viernes.
Jamás quemar la fuente: El herror de muchos novatos luego de realizar el ataque es burlarse de la víctima. Esto destruye toda la confianza creada entre victima y atacante. Esto hará también que la víctima no vuelva a caer en el futuro. Nunca sabemos cuando podemos necesitar nuevamente repetir el procedimiento.
Information Gathering
Como ya señalé anteriormente, es de suma importancia realizar una buena investigación para poder elaborar un buen pretexto. Es por eso que aquí señalaré algunos de los métodos mas eficaces al momento de obtener información:
• Datos Públicos:Una buena fuente de información son los datos públicos que entrega la víctima.
Por ejemplo, si estamos buscando tilizar el computador de un trabajador corriente sería poco efectivo acercarse como un desconocido a este y pedirselo, pero podemos crear un aspecto de confianza si llegamos llamandolo por su nombre, por ejemplo “Disculpe don Juan, mi nombre es Hector tengo un recado del jefe, dice que necesita el informe de contabilidad del mes anterior de forma urgente”. En el momento que abandona el lugar accedemos al pc. Ahora, como sabemos que el es Juan de contabilidad? Una forma de averiguar sobre los empleados es consultando por ejempl el sitio web de la organización, muchas empresas publican el nombre de sus empleados, o tienen en su sitio documentos donde podemos encontrar esa información si buscamos bien.
Si queremos por ejemplo revisar todos los archivos del sitio, existen herramientas de auditoría web automatizadas que nos pueden señalar la url como por ejemplo Uniscan, que además nos entrega un listado de E-Mails dentro del sitio, entre otras vulnerabilidades. Otra fuente también es aprovechar las vulnerabilidades a SQLi. Obteniendo una base de datos fácilmente podemos obtener datos de usuarios (trabajadores). Luego basta con googlear un poco, buscar en facebook, en el sitio del servel e incluso para los mas osados hackear alguna de sus cuentas.
• Metodos invasivos: Al realizar tanto la investigación como el ataque podemos recurrir a metodos invasivos que por cierto ahondan aun mas en la ilegalidad.
Lockpicking: El arte de abrir cerraduras sin llave y sin dañarlas. Si tenemos acceso al recinto, probablemente un cajon bajo llave contenga la información que buscamos. Abrir cerraduras no es un metodo de hollywood, de hecho es mas real de lo que se piensa, y con un poco de practica podemos abrir una cerradura en segundos. Solo basta con buscar un poco en internet y hay cientos de manuales.
Shoulder Surfing: O mirar por sobre el hombro. Los que vieron la película Hackers recordarán la escena donde uno de los personajes entra a la empresa y pasa por las oficinas mirando en el momento preciso cuando la persona teclea la contraseña. Este metodo depende proporcionalmente de nuestra memoria, pero si esta nos favorece es bastante efectivo y nos facilita muchos las cosas. Por ejemplo un caso personal: Trataba de obtener la clave de administrador de Windows. No podía usar net users porque la cambiaría, ni tenía alguna herramienta para descencriptar el hash, y mucho menos Hirens Boot en un USB. Por suerte tenía mi celular con dSploit así que causé una pequeña DoS y llamé al técnico para que revisara el internet. El entró a la cuenta de administrador y por sobre el hombro miré la clave. Claro, cada uno de ustedes puede hacerlo a su manera y en un escenario distinto.
Dumpster Diving: El famoso método de buscar en la basura, bastante comentado en comunidades de hackers y popularizado en el cine, pero... Que buscamos exactamente? Lo que buscamos es información... Recopilar la mayor cantidad de papeles y CD, esten estos dañados o no. Con un poco de tiempo no es muy dificil armar un papel roto, generalmente las gente los rompe y luego junta las piezas rotas y las bota, lo que no tiene mucho sentido. Y los CD rayados... En una experiencia personal y en un golpe de suerte encontre un cd con un TXT que tenía los usuarios y claves de un usuario en su nuevo Blog, casualmente era la misma de su cuenta. Con herramientas como Anyreader podemos extraer información de discos dañados facilmente.
Llamadas y Correos: No necesariamente haciendo I.S. Solo para preguntar datos concretos como los preguntaría cualquier cliente a fin de obtener mas información.
Toda la información que logremos recopilar nos servirá tanto para identificar a la posible víctima como para crear el pretexto que necesitamos, principalmente si falsearemos una identidad. Yo no puedo decirles como exactamente utilizar esta información, pues esto queda a la imaginación de ustedes y cada metodo y pretexto será diferente dependiendo del contexto.Lo mas importante es obtener la mayor información posible con todas las formas que se nos ocurran, pues entre mas información recopilamos mas claro se ve nuestor horizonte.
Ingenería Social: Vectores de Ataque
Ingeniería Social vía teléfono:
Ingeniería Social Vía E-Mail:
A través del e-mail se puede envíar un archivo troyanizado
Se puede suplantar la identidad de correo electrónico. En este caso utilizamos una web existente, pero existen formas mas avanzadas y mas efectivas.
Ingeniería Social Vía FacebookI
Abrir el link de una imagen que nos envían por facebook es un acto rutinario para un usuario común, pero puede ser utilizado para obtener nuestra dirección IP, Sistema
Operativo y datos del navegador.
Otra técnica muy utilizada hoy en día por lammers que han visto en Metasploit su juguete de entretenimiento es consultar directamente información acerca del uso de
softwares vulnerables. Información que para el usuario promedio parece algo normal, fuera de peligro, pero que puede ser utilizada por lammers y crackers para
acceder a tu información ejectuando código remoto. En este caso preguntamos acerca de la versión de JAVA que utiliza nuestro amigo,
para nuestra suerte era la 7...
Ataques de I.S. A dispositivos Android
Con Social Engineering Toolkit (Disponible en Kali Y BT) y Metasploit se puede tener acceso remoto a un dispositivo android. Las técnicas para “pescar” a la víctima pueden ser utilizando un código QR creado con SET, o creando una aplicación
maliciosa con MSF y luego enviandola vía SMS, con el SMS Spoofer de SET.Mas info acerca del exploit:
Como hackear un Android - Backtrack AcademyHacking Físico (O que hacer cuando estamos frente al PC)
Con Social Engineer Toolkit, utilizando el módulo Infectious Media Generator podemos crear un CD o un USB con un autorun.inf y un Payload de Metasploit.
También podemos crear manualmente un autoejecutable para sustraer información, en este ejemplo un autoejecutable orientado a windows para sutraer información
almacenada en los navegadores.
También existen otros dispositivos que se pueden conseguir por internet como el USB Rubber Ducky, que es básicamente como el USB creado con Infectious Media
Generator, pero ya listo para usar.Además podemos encontrar el Teensy, que es un proyecto HID de hardware abierto, que puede ser usado para almacenar un script, y este puede ser instalado al interior
de algun otro dispositivo USB para su camuflaje.
Trabajo de investigación realizado por 4C1D0B1N4R10::ACIDSecurity en base a toda la información que logré recopilar de Internet y en base al conocimiento que la experiencia me ha entregado. Los ejemplos exibidos en esta presentación corresponden a pruebas de concepto dentro de los márgenes de la ley.
4C1D0B1N4R10::ACIDSecurity no se hacen responsables por el mal uso que se le pueda dar a esta información. Esta información esta orientada a Hackers Éticos, con fines educativos y a usuarios comunes para prevenir este tipo de ataques.
Esta presentación fue especialmente desarrollada para ser expuesta en la primera Hackathon de Lulz Security Chile.
Acotaciones, felicitaciones, críticas, puteadas, dudas, o intentos de jakeao a:[email protected]
