docESPECIALIDAD: TÉCNICO EN SISTEMAS INSTITUCION
download 
Demanda Transcripción
ESPECIALIDAD: TÉCNICO EN SISTEMAS INSTITUCION
ESPECIALIDAD: TÉCNICO EN SISTEMAS INSTITUCION EDUCATIVA JOSE MARIA ESPINOSA PRIETO HERRAMIENTAS OFIMÁTICAS DOCENTE: DAISY KATERINE RODRÍGUEZ DURÁN Año:2012 Grado: 10 INGENIERIA SOCIAL La ingeniería social consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían. En el campo de la inseguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos. El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos. Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema esta solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama phishing (pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo, incluso este tipo de ataque podría no ser necesario — en una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato. Objetivos (¿Qúe Quieren Hacer?) Los objetivos básicos de la Ingeniería Social son los mismos del “hacking” o “cracking” dependiendo de quien lo haga) en general: ganar acceso no autorizado a los sistemas, redes o a la información para: >Cometer Fraude, >Entrometerse en las Redes, >Espionaje Industrial, >Robo de Identidad (de moda), >Irrumpir en los Sistemas o Redes. (¿A Quien Van Dirigidos?) • Las víctimas típicas incluyen: > Empresas Telefónicas > Servicios de Helpdesk y CRM > Corporaciones Renombradas > Agencias e Instituciones Gubernamentales y Militares > Instituciones Financieras > Hospitales. El boom del internet tuvo su parte de culpa en la proliferación de ataques a pequeños “start-up´s”, pero en general, los ataques se centran en grandes compañias. TÉCNICAS Y HERRAMIENTAS DE INGENIERÍA SOCIAL Invasivas o Directas o Físicas: El Teléfono El Sitio de Trabajo La Basura La Internet-Intranet Fuera de la Oficina 1. El Teléfono • Personificación Falsa y Persuación Tretas Engañosas: Amenazas, Confusiones Falsas. Falsos Reportes de Problemas. • Personificación Falsa en llamadas a HelpDesks y Sistemas CRM Completación de Datos Personales • Robo de Contraseñas o Claves de Acceso Telefónico: Consulta de buzones de voz. Uso fraudulento de líneas telefónicas. Uso de Sistemas Internacionales de Voz sobre IP. 2. La Basura • “Dumpster Diving” o ¿Qué hay en nuestra basura?: Listados Telefónicos. Organigramas. Memorandos Internos. Manuales de Políticas de la Compañia. Agendas en Papel de Ejecutivos con Eventos y Vacaciones. Manuales de Sistemas. Impresiones de Datos Sensibles y Confidenciales. “Logins”, “Logons” y a veces... contraseñas. Listados de Programas (código fuente). Disquettes y Cintas. PapelMembretado y Formatos Varios. Hardware Obsoleto. 3. La Internet-Intranet Si en algo es consistente un usuario es en repetir passwords. “Password Guessing” Placa del carro. Nombre de la HIJA + 2005. Fecha de nacimiento. Encuestas, Concursos, Falsas Actualizaciones de Datos. Anexos con Troyanos, Exploits, Spyware, Software de Navegación remota y Screen Rendering. 4. Fuera de la Oficina Almuerzos “De Negocios” de Viernes, que terminan en volada de oficina y “Happy Hours”, con potenciales consecuencias desastrosas: Sesiones de confesión de contraseñas, extensiones, direcciones de correo electrónico. Al otro dia, la víctima no se acuerda. Conexiones “de oficina a Oficina”: ¿Puedo leer mi e-mail desde aqui? Eso está en la Intranet de la Empresa, pero (en tono jactancioso) yo puedo entrar desde aqui. Lo que no sabe la victima es de la existencia de “KeyGrabbers” Solución: One Time Passwords. TÉCNICAS DE INGENIERÍA SOCIAL (Seductivas y/o Inadvertidas.) Autoridad: Pretender estar con la gente de TI o con un alto ejecutivo en la Empresa o Institución. Puede usar un tono de voz: Intimidante, amenazante, urgente. Carisma: Se usan modales amistosos, agradables. • Se conversa sobre intereses comunes. • Puede usar la adulación para ganar información del contexto sobre una persona, grupo o producto. Reciprocidad: Se ofrece o promete ayuda, información u objetos que no necesariamente han sido requeridos. • Esto construye confianza, dá la sensación de autenticidad y confiabilidad. Consistencia: Se usa el contacto repetido durante un cierto período de tiempo para establecer familiaridad con la “identidad” del atacante y probar su confiabilidad. Validación Social: Acecha el comportamiento normal de tratar de satisfacer un requerimiento. Se puede tomar ventaja de esta tendencia al actuar como un compañero de trabajo necesitando información, contraseñas o documentos para su trabajo. • La victima usualmente es una persona con cierto potencial de ser segregada dentro de su grupo, o que necesita “ser tomada en cuenta”. Ingeniería Social Reversa: Ocurre cuando el Hacker crea una persona que parece estar en una posición de autoridad de tal modo que le pedirán información a él, en vez de que él la requiera. Las tres fases de los ataques de ISR: ** Sabotaje, **Promoción, **Asistencia. ¿Como opera? El Hacker sabotea una red o sistema, ocasionando un problema. Este Hacker entonces promueve que él es el contacto apropiado par solucionar el problema, y entonces, cuando comienza a dar asistencia en el arreglo el problema, requiere pedacitos de información de los empleados y de esa manera obtiene lo que realmente quería cuando llegó. Los empleados nunca supieron que él era un hacker, porque su problema se desvaneció, él lo arreglo y todo el mundo está contento. TIPS SIMPLES PARA DEFENDERSE Mantenga una actitud cautelosa y revise constantemente sus tendencias de ayudar a personas que no conoce. Ojo: No tiene que volverse una persona huraña y paranóica. Verifique con quien habla, especialmente si le estan preguntando por contraseñas, datos de empleado u otra información sensitiva. Al teléfono, obtenga nombres e identidades (Nro. De Empleado, por ejemplo). Corrobórelos y llámelos a su pretendida extensión. No se deje intimidar o adular para terminar ofreciendo información. No le permita a una persona desconocida “descrestarlo” con su aparente conocimiento. Ejemplo: Aquellos que conocen detalles técnicos o usan acrónimos o la jerga propia de la empresa o industria. Muchos pueden sonar como parte de “la-cosa-real”, pero pueden ser parte de la conspiración. Sea cauteloso (de nuevo, no paranóico) en las encuestas, concursos y ofertas especiales via internet, teléfono y correo electrónico y convencional. Estas son formas comunes de cosechar direcciones de correo electrónico, contraseñas y otros datos personales. Y... ¡Por Favor...!!! ¡¡¡NO RESPONDA MENSAJES EN CADENA...!!! LA SEGURIDAD INFORMÁTICA tiene por objetivo el asegurar que los datos que almacenan nuestros ordenadores se mantengan libres de cualquier problema, y que el servicio que nuestros sistemas prestan se realice con la mayor efectividad y sin caídas. En este sentido, la seguridad informática abarca cosas tan dispares como: Los aparatos de aire acondicionado que mantienen los sistemas en las temperaturas adecuadas para trabajar sin caídas. La calificación del equipo de administradores que deberá conocer su sistema lo suficiente como para mantenerlo funcionando correctamente. La definición de entornos en los que las copias de seguridad han de guardarse para ser seguros y como hacer esas copias. El control del acceso físico a los sistemas. La elección de un hardware y de un software que no de problemas. La correcta formación de los usuarios del sistema. El desarrollo de planes de contingencia. TALLER 1) 2) 3) ¿Por qué "el caballo de Troya" no es ingeniería social? ¿Qué tiene que ver la Ingeniería Social con la seguridad informática? ¿Cuántas veces ha recibido un correo que promete cierto dinero $ por cada mensaje que reenvíe a sus amigos o a sus enemigos? 4) ¿Se ha planteado alguna vez cómo robar en Internet? 5) ¿Cuándo nace la ingeniería social? 6) ¿Cómo combatir la ingeniería social? 7) ¿Cuáles son los métodos agresivos de la ingeniería social? 8) ¿Cuáles son las técnicas presenciales no agresivas de la ingeniería social? 9) ¿Qué es el Spam? 10) ¿Qué son los Phishing? 11) ¿Qué son los HOAX? 12) ¿Cómo podemos contribuir a la educación a nuestros usuarios para que no sean víctima de los Ingenieros Sociales? solución 1- por que en el caballo de Troya obligaban a la gente hacer lo que los gobernantes querían i por eso hubieron muchas batallas mientras que en la ingeniería social manipulan pero no obligan a nadie hacer cosas 2-que la ingeniera social previene la manipulación de cuentas de las que podrían ser robadas de sus usuarios legitimos 3-no se bien pero han sido muchos 4-Si 5-Nace como una respuesta natural a las necesidades de las empresas de encontrar soluciones eficientes a problemas productivos que requieren la integración de los conocimientos disponibles en las áreas de Capacitación, Desarrollo, Comunicaciones Internas, Marketing, Publicidad y Control de Gestión. 6-La ingeniería social juega con la inclinación natural de confiar en otros y el deseo de ayudar. Los ciber-invasores tienen éxito si consiguen que las personas caigan en sus, aparentemente inocentes, trucos. Sin embargo, estas técnicas no pueden surtir efecto si los usuarios están preparados y conscientes del eventual engaño. De igual forma, los métodos de la ingeniería social, pueden tomar diferentes formas, todo con el propósito de confundir a la victima 7a. b. c. d. Suplantación Chantaje 8- Se ofrece o necesariamente Métodos de o agresivos personalidad extorsión Despersonalización psicológica Presión promete ayuda, han información sido u objetos que no requeridos - Se usan modales amistosos, agradables. • Se conversa sobre intereses comunes. 9-Se llama spam, correo basura o mensaje basura a los mensajes no solicitados, no deseados o de remitente no conocido (correo anónimo), habitualmente de tipo publicitario, generalmente enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor. 10Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta 11- Son mensajes de correo que por lo general nos advierten de algún virus que no existe 12-con programas de aprendizaje para los que no tienen mucho acceso a los correo electrónicos y haciendo campañas para evitar robos extorsiones etc