miércoles, 13 de abril de 2016

Ingeniería Social (I) - Presentación



Ingeniería Social, es un conjunto de entradas que se irán desarrollando orientado a concienciar a las personas de lo peligroso que es el uso de estas técnicas tanto individualmente a una persona en su vida privada como colectivamente en una organización o infraestructura. Las entradas se irán desarrollando por las fases que desempeñan los expertos en la ingeniería social orientado siempre al hacking, ya que existen otras variantes como las ciencias políticas. Las entradas se publicarán en el blog Fwhibbit.

A lo largo de las entradas se vera el ciclo usado por cualquier ingeniero social para conseguir su objetivo. En la fase psicológica se explicará los métodos más comunes como pueden ser la manipulación, la elicitación, persuasión, "pretexting", impersonation, programación neurolinguística, influencia, lenguaje corporal, "emotional hijacking" etc..
En la fase de anonimato, se detallará las pautas usadas en cuanto a privacidad, anonimato y el uso de Tor (The Onion Router).
En la fase de inteligencia, el ingeniero social necesita recolectar toda la información posible acerca del objetivo por métodos pasivos como el OSINT ¿Qué fuentes son las más factibles? ¿Como organizar dicha información? ¿Qué técnicas psicológicas usar para la recolección? ¿Qué información es útil y cual no?
Otras técnicas que requieren más exposición física o lógica tales como dumpster diving, office snooping, baiting, bribing, shoulder surfing, tailgating etc... Quizás también realizar ataques relacionados con Hacking Web, puede ofrecernos información de una manera más activa y lógica, tales como SQLi y XSS.
En la fase de explotación orientada a la ingeniería social, se explicará las herramientas más usadas en el hacking y la metodología de ataque en un entorno remoto y local, tal como Social engineering Toolkit, Metasploit, Hacking WiFi, MITM attacks, NetHunter, Raspberry Pi, Rubber Ducky etc...


En muchas ocasiones es más sencillo, hackear o explotar vulnerabilidades en la persona que el acceso lógico en servidores o sistemas. Las personas en general por el exceso de confianza que tiene por naturaleza hacia los demás, es factible, y siempre con las habilidades sociales necesarias crear pánico, influencia, manipulación y con creatividad el atacante puede obtener la información del objetivo y conseguir el acceso remoto o físico a la infraestructura u organización empresarial. Un referente clásico es Kevin Mitnick.
El elemento humano es vulnerable y es necesario conocer estas habilidades para concienciarnos en el agujero de seguridad que ello supone y defendernos ante posibles ataques que genera nuestro entorno social.
Hay que aceptar que el elemento humano es vulnerable y existen muchas variables psicológicas y complejidades, que un sistema informático pueda presentar. Es decir, un sistema informático puede ser vulnerable pero actualmente gracias a los expertos en seguridad informática se corrigen esas vulnerabilidades, mientras que el elemento humano con las vulnerabilidades existentes, es complicado de corregirse dependiendo del nivel de concienciación de la sociedad o del personal de una organización.

Muchos ingenieros sociales, usan sus habilidades para obtener un beneficio económico o material. Todo el mundo usa la ingeniería social de un modo u otro, desde un niño a un ejecutivo para ganarse su ascenso. Gobiernos, multinacionales, pequeñas y medianas empresas todo en su conjunto esta implicado en la ingeniería social, es una ciencia. Los ciberdelincuentes también están incluidos en este conjunto.
Por ello una organización empresarial, ¿piensa realmente si es completamente segura ante este tipo de ataques? Mi respuesta es no. Existen muchas variables que son vulnerables tanto en los sistemas e infraestructura de red como en los empleados, y lo lamentable en estos casos es que no hay remedio hasta que sucede un acto malicioso por un "insider" sobornado, manipulado, elicitado por un experto ingeniero social. Los empleados, en definitiva el elemento humano, es el eslabón más débil en la organización.
Un atacante, valora que metodología de ataque es el más eficaz para un objetivo, quizás sea más fácil colocar una Raspberry Pi penetrando físicamente mediante "physical impersonation" en un par de horas, que dedicando 200 horas en desarrollar un exploit o malware en concreto para penetrar en los servidores de la empresa. Quizás como sale en la serie de Mr.Robot es más sencillo usar el exploit perfecto, la vulnerabilidad en el elemento humano.



La pregunta que os puede surgir es, si no existe ningún sistema o metodología de seguridad 100% seguro, entonces ¿Cabe la posibilidad de geolocalizar nuestra organización en algún lugar desconocido sin infraestructura de red, y con personal de seguridad altamente cualificada? No es útil, y menos se puede llevar a cabo. Según las iniciativas empresariales e ideas de negocio, uno de los pilares básicos es geolocalizar nuestra empresa en un entorno altamente urbanizado como la capital de un país con gran demanda y alto índice de consumismo. Una solución factible es la educación de la sociedad en materia de seguridad, en el uso controlado de las redes sociales, cursos ofertados de concienciación para empleados de empresas u organizaciones gubernamentales etc..

Un ejemplo de ataque de ingeniería social podría ser el siguiente:
14.00 P.M, Barcelona.
Juan se encuentra con María en un restaurante de La Rambla. Las apariencias que debe llevar Juan, siempre se considera importante dependiendo del objetivo a perseguir y el nivel adquisitivo, por tanto existen demasiadas variables que dependiendo de la víctima se necesite de una vestimenta u otra.
Ambos se encuentran en una romántica velada a la espera del objetivo marcado. Según la recolección de información, se espera una mujer a las 14.30 P.M, empleada en un banco muy popular.

Es muy típico el robo de bolsos en una mujer y requiere de habilidades sociales y disuasión para poder hacerse con el bolso. Si Juan y María, le dicen a la empleada del banco que le hagan una foto, una tercera persona del equipo (Raúl) podría en ese instante de tiempo en el cual la víctima manipula su smartphone “distraída” robar el bolso con ciertas habilidades y siempre controlando los sentimientos y la adrenalina que ello supone para ser lo más discreto posible.

Una vez alcanzado el objetivo, Juan y María se marchan a dar una vuelta por las calles de Barcelona, pero escuchan voces de histeria. María va hacía la víctima y le pregunta que le sucede. Le explica que le robaron el bolso y tenía todo, la tarjeta de crédito, dinero en efectivo, el DNI, una tarjeta NFC de control de acceso a su trabajo. Mientras María la consuela, le dice que debe llamar al banco para anular la tarjeta pero ese no era el objetivo principal.
Mediante ingeniería social consiguieron una tarjeta NFC muy fácil de clonar para conseguir el "physical impersonation" en las oficinas del banco.
Juan y Raúl en el mismo día consiguieron acceso físico en las oficinas del banco y usar Rubber Ducky
Como podéis imaginar, consiguieron el objetivo señalado, información confidencial e infectar los sistemas informáticos del banco.

Un saludo, Naivenom

No hay comentarios:

Publicar un comentario

Google Analytics