Upload
dragon-jar
View
217
Download
1
Embed Size (px)
DESCRIPTION
Tecnicas de Ingenieria Social
Citation preview
Qué es�la�Ingeniería�Social�?
02
Método�para�obtener�acceso�o�inyección�de�información�y�recursos
Se�basa�en�el�factor�humano,�a�través�de�engaños,�influencia�y�persuación
Existen�métodos�técnicos�y�noͲtécnicos,�pero�la�raíz�de�todos�es�la�misma�(el�usuario)
Pueden�realizarse�al�inicio�o�durante�un�ataque
Security�Training�– Ingeniería�Social�Copyright�©Mkit�Argentina�– www.mkit.com.ar
Factores�humanos�de�explotación
03
Codicia: Apelar�al�lado�codicioso�humana,�prometiendo�recompensas�por�sus�actos
Miedo: Amenazas�falsas�si�no�se�cumple�con�los�pedidos
Ignorancia: Pocos�conocen�la�ingeniería�social,�sus�métodos,�alcances�y�posibilidades
Confianza: Generar�una�falsa�sensación�de�confianza�hacia�el�atacante
Deseo�de�ayudar: El�ser�humano�desea�ayudar�al�prójimo�por�naturaleza
Security�Training�– Ingeniería�Social�Copyright�©Mkit�Argentina�– www.mkit.com.ar
Identificación�de�una�víctima,�a�través�de:
Information�GatheringDumpster�DivingVigilancias�personalesVisitas�a�las�facilidades
Selección�de�una�víctima.�Pueden�ser:
Empleados�DisconformesEmpleados�IngenuosClientesProveedoresAgentes�externos�con�acceso�a�recursos
Establecer�una�relación�personal�con�la�víctima
Aplicar�técnicas�de�persuación�según�el�perfil�de�la�víctima
Fases�de�un�ataque�de�Ingeniería�Social
04Security�Training�– Ingeniería�Social�Copyright�©Mkit�Argentina�– www.mkit.com.ar
Jessica�&�Rebbeca
Tipos�de�Ataques
05
HumanͲBased: Métodos�noͲtécnicos,�de�naturaleza�humana,�para�realizar�el�ataque
ImpersonalizaciónEmpleado�ImportanteTercero�de�confianzaSoporte�técnicoShoulder�Surfing�y�EavesdroppingDumpster�DivingTailgating�y�Piggybacking
ComputerͲBased: Métodos�técnicos�a�través�de�herramientas�informáticas
Sitios�web�falsosVentanas�PopͲUpEmails�con�contenido�falso�o�archivos�adjuntosClientes�de�mensajería�instantáneaRedes�Sociales
Security�Training�– Ingeniería�Social�Copyright�©Mkit�Argentina�– www.mkit.com.ar
Phishing
06
Falsificación�de�una�identidad�mediante�métodos�informáticos,�con�contenido�falso
La�ilusión�engaña�a�la�víctima.�A�partir�de�esto�se�pueden�lograr�diferentes�ataques:
Pedido�de�envío�de�información�privada�de�la�víctimaPedido�de�descarga�y�ejecución�de�software
Ejemplo�Ͳ Ofuscación�de�URL:
www.mibanc0.comhttp://www.mibanco.dominiox.comhttp://200.30.40.50/www.mibanco.com
Ejemplo�Ͳ Email:
Hotmail�se�cierraPríncipe�NigerianoRemitentes�falsificados�([email protected])
Security�Training�– Ingeniería�Social�Copyright�©Mkit�Argentina�– www.mkit.com.ar
Contramedidas
07
Mínimos�privilegios
Rotación�de�tareas
Controles�de�acceso�fuertes
Concientización�y�Capacitación
Security�Training�– Ingeniería�Social�Copyright�©Mkit�Argentina�– www.mkit.com.ar
Herramientas
08Security�Training�– Ingeniería�SocialCopyright�©Mkit�Argentina�– www.mkit.com.ar
Servidor�Web�y�SMTP
Conocimientos�de�HTML
Herramientas�(Cont.)
09Security�Training�– Ingeniería�SocialCopyright�©Mkit�Argentina�– www.mkit.com.ar
Social�Engineering�Toolkit
Metasploit�Framework