| Asunto: | [swp] INGENIERÍA SOCIAL: MENTIRAS EN LA RED | | Fecha: | 4 de Octubre, 2002 17:33:48 (-0500) | | Autor: | sicario <sicario @........net>
|
18:57 30/04/02
INGENIERÍA SOCIAL: MENTIRAS EN LA RED
Mercè Molist
Otoño de 2001 en el proveedor America Online. Alguien llama al
servicio de ayuda y está una hora hablando con un operador.
Durante la conversación menciona, de paso, que quiere vender su
coche. El técnico se muestra interesado y el hacker le envía una
foto. Al abrirla, se ejecuta un programa que crea una conexión
pirata, traspasando el cortafuegos de la compañía. Así, el
intruso accede a la red interna y a las cuentas de 200 clientes.
La mentira ha adquirido nuevo nombre y dimensión en Internet,
donde el riesgo para quien engaña es menor que cara a cara. Las
estrategias se han complicado, "ingenierizado", en un terreno
fértil que iguala los datos al dinero como objeto de deseo.
Profesionales del tocomocho, espías industriales, 'crackers',
escritores de virus, bromistas y, en general, la estructura
abierta y confiada de la red han convertido a la Ingeniería
Social (IS) en el crimen más difícil de combatir.
Su uso para la introducción de "troyanos" (programas que simulan
ser otra cosa mientras a escondidas ejecutan las órdenes del
atacante) es la punta del iceberg. El caso masivo más conocido
fue el gusano "I Love You". Y cada semana aparecen nuevas ideas
que, como aquella, se aprovechan de la ignorancia, buena fe y
psicología de la gente para que ejecute algo que le llega en un
mensaje, creyendo que será una carta de amor o una imagen
divertida de "Operación Triunfo".
El Centro de Respuesta a Emergencias (CERT) norteamericano
difundía recientemente su enésima alerta contra los "troyanos"
que circulan por el chat, usando técnicas de IS: se ofrece a la
víctima un archivo. Ésta lo abre y, sin saberlo, envía sus datos
al atacante o le permite tomar control del ordenador. Según el
CERT, gozan de buena salud técnicas veteranas como mandar un
mensaje automático a toda la gente conectada a una red de chat:
"Está infectado con un virus, le sugiero que vaya a mivirus.es y
se instale el antivirus o le echaremos".
Una variante son los avisos de falsos virus por correo, llamados
"hoaxes", entre los que destacan los "virus manuales", al estilo
"sulfnbk.exe", que alerta contra un programa con este nombre,
que debe borrarse si se detecta en el ordenador. En realidad, es
un archivo legítimo del sistema Windows. Una versión socarrona
es el "virus gallego", con este mensaje: "Como los gallegos no
tenemos experiencia en programación, este virus trabaja basado
en un sistema de honor. Por favor: borre todos los archivos de
su disco duro manualmente y envíe este mensaje a todos los
miembros de su lista de correo".
Enredos bíblicos
Pero la IS va más allá y se hace arte en manos de algunos
hackers elegidos. En la Brenz's Social Engineering Page, se
remontan al Genésis: "Jacob quería una información de su padre,
sobre sus derechos de nacimiento. El padre quería darlos a su
hermano. Jacob simuló ser el hermano y confundió al padre,
consiguiendo los derechos". El menos bíblico Kevin Mitnick fue,
según Brenz, un gran hacker de la mentira: "Hacía la mayor parte
de su trabajo usando ingeniería social. Sólo el último 15% era
con ordenador. Engañar a secretarias, correo falso, saltar
muros... Todo era válido y funcionaba".
La IS se usa, básicamente, para conseguir acceso a sistemas. En
la época de las BBSs, para llamar sin pagar. Después, el chat
fue campo abonado para el robo de códigos de entrada a Internet.
No hay revista "underground" que no le haya dedicado algún
artículo. Como "Raregazz": "Hay varias formas de IS: conseguir
datos de alguien y llamar a su proveedor diciendo que has
perdido la contraseña, o llamar al usuario diciendo que eres el
proveedor. Un buen método es pedir la dirección a novatos y
enviarles un correo diciendo que eres el administrador y
necesitas sus datos".
El diccionario "Jargon File" define la IS como: "Término usado
entre "crackers" y "samurais" para las técnicas que se
aprovechan de las debilidades de las personas y no de los
programas, con el objetivo de conseguir sus contraseñas u otra
información que comprometa la seguridad del sistema. Un truco
clásico es telefonear a la víctima diciendo que eres un técnico
con un problema urgente". Al ser este mundo desconocido para la
mayoría, es fácil creer lo que diga un falso experto.
La definición del mexicano Martín Humberto Hoz es más precisa:
"Inducción a la comisión de actos que favorecen un ataque. Que
la víctima haga algo, diga algo o deje de hacer algo". Entre los
clásicos, el ejecutivo que ha perdido la contraseña y quiere
acceder urgentemente a su cuenta; llamar a una empresa,
haciéndose pasar por vendedor, para conocer datos sobre su red;
espiar por la espalda cuando alguien teclea; buscar información
desechada en la basura o conseguir trabajo en la empresa.
"Intenta ser una mujer"
Esta "ciencia de hacer que la gente cumpla tus deseos" está muy
bien considerada entre los "hackers" como método seguro y rápido
de obtener información. Conocimientos técnicos y psicológicos
son el principal requisito. Y, según los manuales: "Ser
profesional, conocer al enemigo, no meterse con gente más lista,
crear una ilusión en la víctima, ser amable, confidente,
persuasivo, hacerle creer que tiene el control de la situación,
mantener la calma, planear la escapada con antelación e intentar
ser una mujer".
El ataque puede consistir en una pregunta directa o crear una
situación para que la víctima relaje sus defensas y adopte la
actitud psicológica deseada, como querer quedar bien o cumplir
una obligación moral. El teléfono e Internet son los medios
mayoritarios. El de mayor riesgo, el mundo real, cuando la
persona se desplaza al sitio, disfrazada de técnico, empleado o
inocente paseante. Un ataque suele consistir en series
encadenadas de IS, que suman información a la obtenida con
programas de reconocimiento en Internet.
Como dice Lester, maestro de hackers, aún hay clases: "El timo
de la estampita y la ingeniería social no tienen mucho que ver
porque ésta se basa en amplios conocimientos de psicología
aplicada y de las tecnologías sobre las que se quiere obtener
información. En las empresas donde se desarrollan proyectos
reservados, la calificación técnica necesaria, para entender la
información que se quiere obtener y para ser considerado un
igual al que respetar, es muy alta. Las operaciones de este
nivel pueden llevar meses de cuidada planificación".
Altos vuelos
Entre los golpes maestros destaca la Ingeniería Social Inversa:
"Las tres partes del ataque son: sabotaje, anuncio y asistencia.
El hacker sabotea la red causando un problema. Después, anuncia
de alguna forma a la empresa que tiene la solución y, cuando le
llaman para que lo arregle, recolecta la información que busca
entre los empleados", explica un artículo de "SecurityFocus". El
tiempo de preparación de estos ataques es mucho mayor, pero
también su efectividad a la hora de conseguir información y no
dejar huellas.
Francisco Marco Fernández, director de la oficina en Barcelona
de la agencia de detectives Método 3, recuerda algunos casos:
"Uno de los primeros fraudes que investigó la Policía
Tecnológica fue de este tipo, acabó como un burdo chantaje de
500.000 pesetas para arreglar el problema. Las acusaciones a las
multinacionales de programas antivirus de crear virus para luego
paliarlos no deja de ser también la misma técnica".
En el CERT de la Universitat Politècnica de Catalunya (UPC)
conocen también la IS: "Es muy peligrosa si se tiene la
suficiente cara. Usualmente se practica a bajo nivel, es muy
popular como herramienta fácil para acceder a una máquina en
cuestión de minutos. En los ataques espectaculares, cuando no
sabes cómo lo han hecho, es que han usado ingeniería social".
Fernando Vega, director de consultoría de seguridad de SIA,
añade: "Es una herramienta fundamental en todo ataque bien
organizado, pero no la principal".
Según el director de Método 3, "el 80% de ataques tienen un alto
contenido de IS. El más frecuente, que hemos investigado, es la
entrada inconsentida en el ordenador de un alto directivo. Pocos
días antes su esposa había contestado una encuesta donde le
preguntaban los nombres y edades de los hijos. La contraseña era
la combinación de un nombre y la fecha de nacimiento del hijo
mayor. También es común hacerse pasar por el proveedor de
mantenimiento de una empresa, en un control rutinario remoto, y
pedir las contraseñas a las secretarias".
El factor humano
En el congreso "Access All Areas" de 1997, un conferenciante
aseguraba: "Aunque se dice que el único ordenador seguro es el
que está desenchufado, los amantes de la ingeniería social
gustan responder que siempre se puede convencer a alguien para
que lo enchufe. El factor humano es el eslabón más débil de la
seguridad informática. Y no hay un sólo ordenador en el mundo
que no dependa de un ser humano, es una vulnerabilidad universal
e independiente de la plataforma tecnológica".
Rick Nelson, en un estudio sobre el tema, añade: "Su uso es
común debido a que muchas veces funciona mejor y se invierte
menos tiempo que en un ataque por fuerza bruta. No importa lo
seguro que sea un sistema, el conocimiento extraído manipulando
a uno de sus usuarios puede hacerlo inoperable". Ira Winkler,
asesor del gobierno estadounidense en Infoguerra, lo confirma:
"La experiencia demuestra que más del 90% de los empleados
divulgarían información bajo un ataque".
A pesar de ello, la IS es desconocida para usuarios y empresas
que, según Marco, "no le dan la importancia que merecería. Se
centran en la protección tecnológica y se olvidan de las
personas". Coincide Óscar Conesa: "No se tiene en cuenta ni en
las auditorías ni en las políticas de seguridad. Como máximo, se
da un cursillo a la gente y se espera que no se dejen engañar.
La única solución es una mayor educación y no fiarse ni de los
de dentro". Discrepa Marco: "Cerrar las puertas es absurdo. Lo
mejor es crear un manual de actuación ante estas técnicas".
¿Cómo saber que te engañan?
El Computer Security Institute explica en su web cómo reconocer
un ataque de ingeniería social: "El interlocutor se niega a dar
datos de contacto, tartamudea, nos intimida, comete pequeños
errores o pide información prohibida". Alfons Cano, jefe de la
Unidad de Delitos en Tecnologías de la Información de los Mossos
d'Esquadra, añade un apéndice para niños: "Si alguien te pide
una foto o el teléfono de buenas a primeras, o muchos dados
personales, desconfía. Y no aceptes nada de quien no conoces".
Fernando Vega aporta su fórmula para empresas: "Ante ataques
técnicos, lo lógico es implantar controles técnicos y revisar
periódicamente que estén realizando su función. Con la
ingeniería social, una buena forma de comprobar si se están
realizando ataques sería recoger estadísticas de incumplimiento
de procedimientos, por ejemplo el número de personas que han
llamado a un "helpdesk" y a los que no se ha dado la información
porque no proporcionaban todos los datos de identificación. Y
concienciar a los empleados de que avisen de cualquier pregunta
o actitud sospechosa".
Kevin Mitnick explicó hace dos años, ante el Senado
Norteamericano, cómo violó sistemas de servicios financieros y
de la administración, simplemente "hackeando" a humanos: "Llamé
a empleados y utilicé ingeniería social para conocer su sistema
y los comandos de acceso a información protegida de un
contribuyente. Cuando me familiaricé, pude engañar a otros,
usando la información obtenida de los primeros para pretextar
ser un compañero de trabajo con problemas. Tuve tanto éxito que
pocas veces usé el ordenador".
Mitnick concluía: "Las empresas gastan millones de dólares en
cortafuegos, cifrado y mecanismos de seguridad, y es dinero
malgastado porque ninguna de estas medidas se dirige al eslabón
más débil: la gente que utiliza, administra y cuida los sistemas
donde está la información protegida".
Hoax Info
http://hoaxinfo.com
CERT: Social Engineering Atacks Via IRC
http://www.cert.org/incident_notes/IN-2002-03.html
Cómo conseguir una cuenta con ingeniería social
http://members.easyspace.com/hackuma/textos/glide.txt
Bernz's Social Engineering Page
http://packetstorm.decepticons.org/docs/social-engineering/socintro.html
Kevin Mitnick
http://www.kevinmitnick.com
esCERT
http://escert.upc.es
Método 3
http://www.metodo3.es
SIA
http://www.sia.es
SANS. Social Engineering. What is it?
http://rr.sans.org/social/social.php
Social Engineering Fundamentals
http://www.securityfocus.com/infocus/1527
Social Engineering
http://www.isr.umd.edu/gemstone/infosec/ver2/papers/socialeng.html
DMS - Social Engineering
http://hackpalace.com/hacking/social-engineering/psychology%20of%20social%20engineering.html
Social Engineering Tools
http://www4.ncsu.edu/~jkwilli2/main/soceng.html
"Underground"
http://www.underground-book.com
SET
http://www.set-ezine.net
Raregazz
http://raregazz.com.ar
VIERNES TARDE EN NUEVA YORK
Viernes. 16.20. Planta 32 de un edificio en Park Avenue. La empresa X
celebra el cumpleaños del jefe. Todo el mundo espera el fin de semana.
Se abre la puerta del ascensor y entra un técnico. Lleva tejanos, una
gorra de la compañía telefónica y un cinturón lleno de herramientas. En
sus manos, una extraña pieza electrónica. Le dice a la recepcionista:
"Vaya día...". Ella está más interesada en la fiesta: "Sí, gracias a
Dios es viernes".
-Odio estas emergencias de último minuto, estaba a punto de irme de fin
de semana..
-¿Qué pasa?
-Nada por lo que tenga que preocuparse -sonríe-. ¿Dónde está la
habitación de los teléfonos?
-Oh, sí, es aquella. Y, ¿puede hacerme un favor? -dice ella dándole las
llaves.
-Lo que sea.
-Si no estoy cuando haya acabado, ¿volverá a dejar las llaves en mi
cajón?
-No hay problema.
-Gracias -dice ella, con una gran sonrisa
El hombre entra en la habitación, donde están también los controles de
la red. "Pincha" algunos cables y lo empalma todo a una cajita, que
esconde. Abre la puerta, cierra las luces y devuelve las llaves a la
recepcionista.
-¿Ya está?
-Sí, he tenido suerte, sólo una conexión sucia. Buen fin de semana.
El falso técnico ha instalado un programa espía en la red corporativa,
con un radiotransmisor que envía todos los datos a un receptor remoto.
Fuente: Michael Noonan. Intel
MITNICK, EL RÁPIDO
Kevin trabajaba en una oficina de Denver administrando sistemas, pero
pasaba la mayor parte del tiempo llamando a empresas, para ponerse a
prueba. Una noche que nevaba, al salir del trabajo, paseando de camino a
su casa, llamó desde el teléfono móvil a un directorio de números 800 de
una gran compañía de celulares. Antes de haber cruzado la manzana ya
había conseguido un número interno del departamento de ingenieros. Llamó
y, al momento, estaba hablando con un técnico sobre el código fuente de
unos programas y dándole una dirección donde enviárselo. Cuando llegó a
casa, con el frío en los huesos, en su ordenador tenía el código
propietario completo del teléfono móvil de una de las mayores compañías
electrónicas del mundo. Cinco manzanas andando, un móvil y una
directorio de números 800, todo lo que necesitó.
Fuente: Brian Martin, en el juicio de Kevin Mitnick
TAMPOCO HOY FUNCIONA LA RED
-Buenas tardes, llamo de la red X. ¿Tuvo problemas con su cuenta
últimamente?
La respuesta era obvia, ya que la red nunca funcionaba bien.
-Sí, el otro día traté de acceder y me decía CLR NC y un número.
-¡Otro caso! Exactamente lo que suponíamos. El problema es que se
borraron algunas claves de nuestra máquina, por eso las estamos
ingresando a mano. ¿Puede darnos su contraseña?
-Sí, como no. N91...
El usuario confiaba en la voz del teléfono. Si hubiese leído el manual
que le entregaron con su cuenta, hubiera sabido que CLR NC significaba
que la red estaba congestionada.
Fuente: "Llaneros solitarios". Raquel Roberti
¿CUÁL ES SU CONTRASEÑA?
Mendax había encontrado en la red una lista parcial de usuarios del
sistema Minerva. Ya tenía dos años y era incompleta, pero había unas
treinta páginas de nombres de usuario, direcciones y teléfonos. Algunos
sería aún válidos.
Necesitaba sonido de fondo de oficina para ser creíble. Grabó una cinta
en su casa, con teléfonos, impresoras, teclados y voces del televisor, y
empezó con la lista hasta que encontró un número válido.
-Soy John Keller, operador de la red Minerva. Uno de nuestros DO90 se ha
estropeado. Hemos recuperado los datos y creemos que tenemos la
información correcta, aunque puede haberse corrompido. ¿Podríamos
comprobarla?
-Sí, por supuesto
Mendax leyó la información que tenía en su lista, pero dio, con
intención, un número de fax incorrecto. La víctima le avisó del error y
le dió el correcto. Había llegado el momento de la Gran Pregunta.
-Bien, tenemos su número de usuario pero no su contraseña. ¿Cuál es?
-Sí, es: L-U-R-C-H
Fuente: "Underground". Suelette Dreyfus y Julian Assange
MENTIRAS EN EL CHAT
Lugar: canal de chat
Hora: domingo por la tarde (hora ideal)
Sujeto: José Luis Vera, casado, cuarentaitantos
JLuis> Hola. ¿Alguien es de Alicante?
Maria> sí yo
JLuis> Encantado de conocerte ¿qué edad tienes?
Maria> cumplo 23 en julio
[siguen hablando y vuelven a quedar dos veces más]
Maria> El otro día me dijiste que había que poner la contraseña que te
da el proveedor en la casilla de abajo, pero salen asteriscos y no se ve
nada
JLuis> Sí, en el mío también salen. Mira, por ejemplo mi configuración
es: Usuario: JLuis@X, Clave... Bueno, eso no te lo digo.
[casi...]
Maria> Pues estoy usando la cuenta de mi hermano, pero se le acaba
dentro de un par de semanas y dice que no la va a renovar
JLuis> Es una pena
Maria> A lo mejor si me dejaras tu clave podríamos seguir hablando
JLuis> Es que no sé... me dijeron que no se la diese a nadie..
Maria> venga, si nadie se va a enterar..
JLuis> bueno, es XXXXX pero no se lo dejes a nadie
Fuente: eljaker. SET 4
CÓMO LO HACEN
*Por teléfono
"La ingeniería social no es un proceso sencillo y espontáneo, requiere
una gran cantidad de preparación. Por ejemplo, si quieres saber la
contraseña de alguien sólo basta con llamarle, pero tiene que parecer
que sabes de lo que hablas. Siempre hay que hacerle creer que tenemos
gran conocimiento y mantener una presencia dominante. Nunca hay que
ponerse nervioso y se debe pensar bien lo que se dirá y cómo. Planear un
guión y preguntas inesperadas. Lo más importante es mantener la calma y,
si algo va mal, colgar".
Fuente: Carlos Truco. Raregazz 6
*En el chat
"Aquí no te ven ni te oyen, puedes hacerte pasar por una persona
totalmente opuesta y soltar la mentira más gorda, ya que no perciben tu
reacción al mentir. Empieza por donde se reúna la gente que no controle
mucho. Ante una chica o novato, se debe mostrar seguridad, aparentando
un cargo importante. Al tratar con "chulillos", hay que cambiar de
estrategia, debe creer que no tienes ni idea. Así se hará el listo,
hasta que suelte algo importante. Ser convincente, no parecer dudoso,
hacerle hablar de lo que le guste, para que se confíe y, cuando esté
despistado, le sueltas la pregunta gorda. Promete cosas a cambio,
contraseñas, una cita, un fichero".
Fuente: eljaker. SET 1
*En vivo
"Ésta es la única ocasión en la cultura hacker donde el aspecto juega un
gran papel. Viste con dignidad. Ponte un traje. Sé educado. Si quieres
que parezca que trabajas en una oficina, debes actuar como ellos. Es
fácil construirse una tarjeta de identificación falsa con foto o un
pase de visitante plastificado. Haz como si supieras donde vas".
Fuente: "The Complete Social Engineering FAQ"
TÉCNICAMENTE, ESTAFA
Para Alfons Cano, jefe de la Unidad de Delitos en Tecnologías de la
Información de los Mossos d'Esquadra, la IS no es más que la estafa de
toda la vida: "Se usa especialmente para atentados contra la intimidad,
como conseguir contraseñas de gente o, en canales de adolescentes, el
adulto que pide el teléfono a una niña y la acosa. También hay estafas
lucrativas, de antes de Internet, como el que compra una radio y le
llega un ladrillo. El medio, por su opacidad y anonimato, es más
propicio. Alguien que hace transferencias fraudulentas no se atrevería a
hacer un atraco a mano armada".
Uno de los más viejos fraudes traspasados a Internet es el del gobierno
Nigeriano que necesita guardar dinero fuera del país y pregunta si puede
hacerlo en la cuenta de la víctima, a cambio de una comisión. Cuando
ésta envía sus datos, se la vacían. Más de 3.000 estadounidenses cayeron
en la trampa el pasado año, según el Internet Fraud Complaint Center.
Otro clásico son las webs pornográficas que ofrecen un programa para
acceder gratuitamente. En realidad, es un "troyano" que llama a un
número internacional o un 906. En las subastas online, los fraudes en
compras y con tarjetas de crédito son moneda corriente.
Algunos de estos engaños bailan en el filo de la ilegalidad, cuando lo
que se roba no es dinero sino datos, explica Noelia García, especialista
en Derecho Informático: "Generalmente, el gancho para la obtención de
datos es un regalo por cumplimentar un formulario y otras promociones.
Con estos datos se pueden hacer registros de usuarios y bases de datos
de gran valor para envío de publicidad, o venderlos a compañías de
márketing".
Fuente : Mercè Molist
--
sicario <sicario@...>
Security Wari Projects - http://www.swp-zone.org/
_______________________________________________________________________
Visita nuestro patrocinador:
~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~
¿TU VELOCIDAD DE CONEXION ES DEMASIADO LENTA?
¡Incrementa La Velocidad de Internet en un 75%!
¡Acelerador de alta velocidad para Internet GRATIS!
Haz clic aquí -> http://elistas.net/ml/88/
~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~
[Adjunto no mostrado: ignature.asc (application/pgp-signature)
]
|
INGENIERÍA SOCIAL:
Responder a este mensaje