ESPECIALIDAD: TÉCNICO EN SISTEMAS INSTITUCION

Comentarios

Transcripción

ESPECIALIDAD: TÉCNICO EN SISTEMAS INSTITUCION
ESPECIALIDAD:
TÉCNICO
EN
SISTEMAS
INSTITUCION EDUCATIVA JOSE MARIA ESPINOSA PRIETO
HERRAMIENTAS OFIMÁTICAS
DOCENTE: DAISY KATERINE RODRÍGUEZ DURÁN
Año:2012
Grado: 10
INGENIERIA SOCIAL
La ingeniería social consiste en la manipulación de las personas para que
voluntariamente realicen actos que normalmente no harían.
En el campo de la inseguridad informática, ingeniería social es la práctica de
obtener información confidencial a través de la manipulación de usuarios
legítimos. Es una técnica que pueden usar ciertas personas, tales como
investigadores privados, criminales, o delincuentes computacionales, para
obtener información, acceso o privilegios en sistemas de información que les
permitan realizar algún acto que perjudique o exponga la persona u organismo
comprometido a riesgo o abusos.
El principio que sustenta la ingeniería social es el que en cualquier sistema "los
usuarios son el eslabón débil". En la práctica, un ingeniero social usará
comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por
ejemplo, un empleado de algún banco o alguna otra empresa, un compañero
de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente,
el envío de solicitudes de renovación de permisos de acceso a páginas web o
memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando
así a revelar información sensible, o a violar las políticas de seguridad típicas. Con
este método, los ingenieros sociales aprovechan la tendencia natural de la
gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo
proporcionando detalles financieros a un aparente funcionario de un banco- en
lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.
Quizá el ataque más simple pero muy efectivo
sea engañar a un usuario llevándolo a pensar
que un administrador del sistema esta solicitando
una contraseña para varios propósitos legítimos.
Los
usuarios
de
sistemas
de
Internet
frecuentemente reciben mensajes que solicitan
contraseñas o información de tarjeta de crédito,
con el motivo de "crear una cuenta", "reactivar una configuración", u otra
operación benigna; a este tipo de ataques se los llama phishing (pesca). Los
usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente
para que no divulguen contraseñas u otra información sensible a personas que
dicen ser administradores. En realidad, los administradores de sistemas
informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios
para llevar a cabo sus tareas. Sin embargo, incluso este tipo de ataque podría
no ser necesario — en una encuesta realizada por la empresa Boixnet, el 90% de
los empleados de oficina de la estación Waterloo de Londres reveló sus
contraseñas a cambio de un bolígrafo barato.
Objetivos (¿Qúe Quieren Hacer?)
Los objetivos básicos de la Ingeniería Social son los mismos del “hacking” o
“cracking” dependiendo de quien lo haga) en general: ganar acceso no
autorizado a los sistemas, redes o a la información para:
>Cometer Fraude,
>Entrometerse en las Redes,
>Espionaje Industrial,
>Robo de Identidad (de moda),
>Irrumpir en los Sistemas o Redes.
(¿A Quien Van Dirigidos?)
• Las víctimas típicas incluyen:
> Empresas Telefónicas
> Servicios de Helpdesk y CRM
> Corporaciones Renombradas
> Agencias e Instituciones Gubernamentales y Militares
> Instituciones Financieras
> Hospitales.
El boom del internet tuvo su parte de culpa en la proliferación de ataques a
pequeños “start-up´s”, pero en general, los ataques se centran en grandes
compañias.
TÉCNICAS Y HERRAMIENTAS DE INGENIERÍA SOCIAL





Invasivas o Directas o Físicas:
El Teléfono
El Sitio de Trabajo
La Basura
La Internet-Intranet
 Fuera de la Oficina
1.






El Teléfono
• Personificación Falsa y Persuación
Tretas Engañosas: Amenazas, Confusiones Falsas.
Falsos Reportes de Problemas.
• Personificación Falsa en llamadas a HelpDesks y Sistemas CRM
Completación de Datos Personales
• Robo de Contraseñas o Claves de Acceso




Telefónico:
Consulta de buzones de voz.
Uso fraudulento de líneas telefónicas.
Uso de Sistemas Internacionales de Voz sobre IP.
2. La Basura
• “Dumpster Diving” o ¿Qué hay en nuestra basura?:
 Listados Telefónicos.
 Organigramas.
 Memorandos Internos.
 Manuales de Políticas de la Compañia.
 Agendas en Papel de Ejecutivos con Eventos y Vacaciones.
 Manuales de Sistemas.
 Impresiones de Datos Sensibles y Confidenciales.
 “Logins”, “Logons” y a veces... contraseñas.
 Listados de Programas (código fuente).
 Disquettes y Cintas.
 PapelMembretado y Formatos Varios.
 Hardware Obsoleto.
3.







La Internet-Intranet
Si en algo es consistente un usuario es en repetir passwords.
“Password Guessing”
Placa del carro.
Nombre de la HIJA + 2005.
Fecha de nacimiento.
Encuestas, Concursos, Falsas Actualizaciones de Datos.
Anexos con Troyanos, Exploits, Spyware, Software de Navegación remota y
Screen Rendering.
4. Fuera de la Oficina
 Almuerzos “De Negocios” de Viernes, que terminan en volada de oficina y
“Happy Hours”, con potenciales consecuencias desastrosas:
 Sesiones de confesión de contraseñas, extensiones, direcciones de correo
electrónico. Al otro dia, la víctima no se acuerda.
 Conexiones “de oficina a Oficina”:
 ¿Puedo leer mi e-mail desde aqui?
 Eso está en la Intranet de la Empresa, pero (en tono jactancioso) yo puedo
entrar desde aqui.
 Lo que no sabe la victima es de la existencia de “KeyGrabbers”
 Solución: One Time Passwords.
TÉCNICAS DE INGENIERÍA SOCIAL (Seductivas y/o Inadvertidas.)
 Autoridad: Pretender estar con la gente de TI o con un alto ejecutivo en la
Empresa o Institución.
 Puede usar un tono de voz: Intimidante, amenazante, urgente.
 Carisma: Se usan modales amistosos, agradables. • Se conversa sobre
intereses comunes. • Puede usar la adulación para ganar información del
contexto sobre una persona, grupo o producto.
 Reciprocidad: Se ofrece o promete ayuda, información u objetos que no
necesariamente han sido requeridos. • Esto construye confianza, dá la
sensación de autenticidad y confiabilidad.
 Consistencia: Se usa el contacto repetido durante un cierto período de
tiempo para establecer familiaridad con la “identidad” del atacante y
probar su confiabilidad.
 Validación Social: Acecha el comportamiento normal de tratar de
satisfacer un requerimiento.
 Se puede tomar ventaja de esta tendencia al actuar como un compañero
de trabajo necesitando información, contraseñas o documentos para su
trabajo. • La victima usualmente es una persona con cierto potencial de ser
segregada dentro de su grupo, o que necesita “ser tomada en cuenta”.
 Ingeniería Social Reversa: Ocurre cuando el Hacker crea una persona que
parece estar en una posición de autoridad de tal modo que le pedirán
información a él, en vez de que él la requiera.
 Las tres fases de los ataques de ISR: ** Sabotaje, **Promoción, **Asistencia.
¿Como opera?
El Hacker sabotea una red o sistema, ocasionando un problema. Este Hacker
entonces promueve que él es el contacto apropiado par solucionar el problema,
y entonces, cuando comienza a dar asistencia en el arreglo el problema,
requiere pedacitos de información de los empleados y de esa manera obtiene lo
que realmente quería cuando llegó. Los empleados nunca supieron que él era
un hacker, porque su problema se desvaneció, él lo arreglo y todo el mundo está
contento.
TIPS SIMPLES PARA DEFENDERSE
 Mantenga una actitud cautelosa y revise constantemente sus tendencias
de ayudar a personas que no conoce. Ojo: No tiene que volverse una
persona huraña y paranóica.
 Verifique con quien habla, especialmente si le estan preguntando por
contraseñas, datos de empleado u otra información sensitiva.
 Al teléfono, obtenga nombres e identidades (Nro. De Empleado, por
ejemplo). Corrobórelos y llámelos a su pretendida extensión.
 No se deje intimidar o adular para terminar ofreciendo información.
 No le permita a una persona desconocida “descrestarlo” con su aparente
conocimiento.
Ejemplo: Aquellos que conocen detalles técnicos o usan acrónimos o la jerga
propia de la empresa o industria.
 Muchos pueden sonar como parte de “la-cosa-real”, pero pueden ser
parte de la conspiración.
 Sea cauteloso (de nuevo, no paranóico) en las encuestas, concursos y
ofertas especiales via internet, teléfono y correo electrónico y
convencional.
 Estas son formas comunes de cosechar direcciones de correo electrónico,
contraseñas y otros datos personales.
 Y... ¡Por Favor...!!! ¡¡¡NO RESPONDA MENSAJES EN CADENA...!!!
LA SEGURIDAD INFORMÁTICA tiene por objetivo el asegurar que los datos que
almacenan nuestros ordenadores se mantengan libres de cualquier problema, y
que el servicio que nuestros sistemas prestan se realice con la mayor efectividad
y sin caídas. En este sentido, la seguridad informática abarca cosas tan dispares
como:
 Los aparatos de aire acondicionado que mantienen los sistemas en las
temperaturas adecuadas para trabajar sin caídas.
 La calificación del equipo de administradores que deberá conocer su
sistema lo suficiente como para mantenerlo funcionando correctamente.
 La definición de entornos en los que las copias de seguridad han de
guardarse para ser seguros y como hacer esas copias.
 El control del acceso físico a los sistemas.
 La elección de un hardware y de un software que no de problemas.
 La correcta formación de los usuarios del sistema.
 El desarrollo de planes de contingencia.
TALLER
1)
2)
3)
¿Por qué "el caballo de Troya" no es ingeniería social?
¿Qué tiene que ver la Ingeniería Social con la seguridad informática?
¿Cuántas veces ha recibido un correo que promete cierto dinero $ por
cada mensaje que reenvíe a sus amigos o a sus enemigos?
4) ¿Se ha planteado alguna vez cómo robar en Internet?
5) ¿Cuándo nace la ingeniería social?
6) ¿Cómo combatir la ingeniería social?
7) ¿Cuáles son los métodos agresivos de la ingeniería social?
8) ¿Cuáles son las técnicas presenciales no agresivas de la ingeniería social?
9) ¿Qué es el Spam?
10) ¿Qué son los Phishing?
11) ¿Qué son los HOAX?
12) ¿Cómo podemos contribuir a la educación a nuestros usuarios para que
no
sean
víctima
de
los
Ingenieros
Sociales?
solución
1- por que en el caballo de Troya obligaban a la gente hacer lo que los
gobernantes querían i por eso hubieron muchas batallas mientras que en
la ingeniería social manipulan pero no obligan a nadie hacer cosas
2-que la ingeniera social previene la manipulación de cuentas de las que
podrían
ser
robadas
de
sus
usuarios
legitimos
3-no
se
bien
pero
han
sido
muchos
4-Si
5-Nace como una respuesta natural a las necesidades de las empresas de
encontrar soluciones eficientes a problemas productivos que requieren la
integración de los conocimientos disponibles en las áreas de Capacitación,
Desarrollo, Comunicaciones Internas, Marketing, Publicidad y Control de
Gestión.
6-La ingeniería social juega con la inclinación natural de confiar en otros y
el deseo de ayudar. Los ciber-invasores tienen éxito si consiguen que las
personas caigan en sus, aparentemente inocentes, trucos. Sin embargo,
estas técnicas no pueden surtir efecto si los usuarios están preparados y
conscientes del eventual engaño. De igual forma, los métodos de la
ingeniería social, pueden tomar diferentes formas, todo con el propósito de
confundir
a
la
victima
7a.
b.
c.
d.
Suplantación
Chantaje
8- Se ofrece o
necesariamente
Métodos
de
o
agresivos
personalidad
extorsión
Despersonalización
psicológica
Presión
promete ayuda,
han
información
sido
u
objetos
que no
requeridos
- Se usan modales amistosos, agradables. • Se conversa sobre intereses
comunes.
9-Se llama spam, correo basura o mensaje basura a los mensajes no
solicitados, no deseados o de remitente no conocido (correo anónimo),
habitualmente de tipo publicitario, generalmente enviados en grandes
cantidades (incluso masivas) que perjudican de alguna o varias maneras al
receptor.
10Phishing es
un
término informático que
denomina
un
tipo
de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que
se comete mediante el uso de un tipo de ingeniería social caracterizado
por intentar adquirir información confidencial de forma fraudulenta
11- Son mensajes de correo que por lo general nos advierten de algún virus
que
no
existe
12-con programas de aprendizaje para los que no tienen mucho acceso a
los correo electrónicos y haciendo campañas
para evitar
robos
extorsiones etc

Documentos relacionados