Inteligencia soial
-
Upload
daniel-cordova-suarez -
Category
Internet
-
view
10 -
download
0
Transcript of Inteligencia soial
COMERCIO ELECTRÓNICOInteligencia Social
Daniel Córdova
2
INGENIERÍA SOCIAL. UNA APROXIMACIÓN La ingeniería social consiste en obtener información de terceros sin que éstos se den
cuenta. No existe limitación en cuanto al tipo de información obtenida ni a la utilización
posterior que se hace de ésta. La ingeniería social aprovecha sentimientos tan variados como curiosidad, la
avaricia, el sexo, la compasión o el miedo. Busca una acción por parte del usuario.
3
INGENIERÍA SOCIAL. UNA APROXIMACIÓN Grupos que la usan:
1. Los hackers.2. Los espías.3. Los ladrones o timadores.4. Los detectives privados.5. Los vendedores.
4
FORMAS DE ATAQUE
Medios: • Teléfono fijo • Teléfono móvil • Computador de
sobremesa o • Laptop con
conexión a internet
5
ATAQUE TELEFÓNICO
Requisitos: Teléfono fijo o
móvil.
Es un tipo de ataque muy
eficiente debido a que no hay
contacto visual entre víctima y
atacante.
No se pueden percibir
expresiones del rostro ni de
lenguaje corporal que diesen
indicios de que el atacante nos está
engañando.
El atacante puede usar todo su potencial de
persuasión.
6
EJEMPLO. Llamada telefónica indicando que la persona se ha ganado un viaje o
sorteo y tiene que confirmar que acepta el premio transfiriendo o depositando una determinada cantidad a un numero de cuenta
7
ATAQUE WEB
Requisitos: Ordenador con conexión a
internet.
Actualmente es el medio principal para llevar a cabo ataques de todo tipo contra los
datos privados.
La línea entre ataque de ingeniería social y
el delito es muy delgada, sobre todo si se instala un programa keylogger (programa
que captura las pulsaciones del
teclado) o troyano que convierte al
computador en un bot (computador
secuestrado o zombi).
8
Ejemplos.
9
ATAQUE POSTALRequisitos: Un apartado de
correos propio y un modelo de
cupones descuento o suscripción a
revista.
En los datos se solicita una clave que le interese al atacante.
Está comprobado
que el usuario promedio utiliza la misma clave para múltiples
usos.
El atacante tiene la
esperanza de que esa misma
ya se haya usado en otros
lugares más sensibles por parte de la
víctima
10
PHISHING El término phishing
proviene de la palabra inglesa "fishing" (pesca),
haciendo alusión al intento de hacer que los usuarios "piquen en el
anzuelo".
También se dice que "phishing" es la
contracción de "password harvesting fishing"
(cosecha y pesca de contraseñas).
11
PHISHING BANCARIO
Aplicado al sector bancario, el objetivo es conseguir la clave de
acceso y el usuario para luego proceder a retirar
fondos.
Consiste en obtener una lista de correos electrónicos. • En el mercado negro.• Hacerlo uno mismo.
Realizar un envío masivo de un correo electrónico con las
siguientes características:
12
Debe ser un correo que aparente
proceder de una entidad bancaria.
Debe transmitir la idea de que el banco ha tenido
problemas y necesita
comprobar usuario y
contraseña de la víctima.
Debe ser lo más fiel posible a la entidad original.
No importa si se envía un correo de una entidad
de la que la víctima no es
usuario.
Debe poseer un enlace a una
página falsificada en la que la
víctima pueda introducir sus
datos.
Si no se hace lo que indica el
correo, se amenaza con un posible cierre de
la cuenta.
13
14
Una vez introducido los datos, el usuario,
satisfecho por no haber perdido su
cuenta se olvidará del correo.
Muleros (las otras víctimas)• Sacan el dinero de la
cuenta de la víctima y traspasar el dinero a otra cuenta de Pay-Pal o Western Union, controlada por el atacante.
• Son los que se ensucian las manos y cometen un delito.
• Para captarlos se usa nuevamente la IS ofreciendo un empleo con altos beneficios, jornada reducida y muchas vacaciones.
15
Correo buscando muleros.
16
17
SPAM O CORREO BASURA Ejemplo
18
OBJETIVO: que se produzca el mayor número de reenvío de correos posible y obtener una cosecha del tipo:
19
Finalmente, se venden las listas con direcciones de correo a los interesados.
¿Precio? 1 millón de envíos por 3 dólares. 800 dólares por el envío de un millón de correos basura aprox.
Envío de spam con ofertas de viagra, relojes, etc. Con que responda un 0,5% de los millones de correos enviados es rentable
20
REDES ZOMBIS ISe usa la IS para instalar malware
(malicious software) “término formado a partir de combinar las
palabras Software Malicioso.
Es un programa diseñado para hacer daño a un sistema. Puede presentarse en forma de
y se ejecuta automáticamente sin consentimiento ni conocimiento por parte de la víctima.” Se usa adjunto
a un .doc, .xls etc.
Puede venir en un link en el que se nos avisa que hemos sido los
ganadores de algo
• virus, • gusanos, • caballos de Troya, etc.,
21
Se toma el control del computador sin que el
usuario lo sepa.
Acciones que se hacen con el computador:• Enviar spam masivamente.• Atacar a terceros. Ataques de denegación de servicio.
• Diseminar virus informáticos.• Capturar datos (contraseñas y claves de acceso) mediante el phishing
• Fraudes: Se usa la red para generar dinero mediante la manipulación de negocios legítimos: pago por click o la manipulación de encuestas.
22
ALGUNAS CIFRAS• Entre el 40% y el 80% del spam se emite a través de computadores
infectados sin que el dueño lo sepa.• En 2004 había entre medio y 2 millones de computadores infectados.• España es el segundo país de Europa con más computadores infectados.• En 2010 la operación Mariposa detuvo a tres personas que controlaban una
red de 13 millones de computadores.
FORMAS DE DEFENSANunca revelar por
teléfono o e-mail datos confidenciales (como
claves de acceso, números de tarjetas de
crédito, cuentas bancarias, etc.).
Nunca hacer clic en un enlace a una página
web que le llegue a través de un e-mail en el que le piden datos
personales.
Desconfiar de cualquier mensaje de e-mail en el
que se le ofrece la posibilidad de ganar dinero con facilidad.
Si es usuario de banca electrónica o de
cualquier otro servicio que implique introducir en una web datos de acceso, asegúrese de que la dirección de la
web es correcta.
No confiar en las direcciones de
los remitentes de e-mail o en
los identificadores del número llamante en el
teléfono: pueden falsearse con suma
facilidad.
Instalar en su computador un
buen software de seguridad que incluya si es posible funcionalidad antivirus, antiphising,
antispyware y antimalware para
minimizar los riesgos.
Utilizar el sentido común y pregúntese
siempre que reciba un mensaje o llamada
sospechosa si alguien puede obtener algún
beneficio de forma ilícita con la información que le
solicitan.
26
“La verdad es que no hay tecnología en el mundo capaz de prevenir un ataque de Ingeniería Social”
Kevin Mitnick
Referencias BibliográficasESET-LA. (6 de Enero de 2016). We Live Security. Obtenido de Consultoria & Seguridad: http://www.welivesecurity.com/la-es/2016/01/06/5-cosas-sobre-ingenieria-social/Navarro, A. (31 de Enero de 2015). TICS Consulting. Obtenido de http://www.ticsconsulting.es/blog/generar-claves-seguras-3Servuccion Seguridad. (12 de Junio de 2014). Servuccion Seguridad. Obtenido de http://www.servuccion-seguridad.es/blog/seguridad-online/ingenieria-social/