El ABC de la ingeniería social + Demostración

Hola underc0ders, hoy veremos lo más sencillo y básico acerca de la ingeniería social.


----------------------------------------------------------------


LA INGENIERÍA SOCIAL

La ingeniería social se ha empleado desde que el humano mintió por primera vez. Por lo que esta fue evolucionando hasta el día de hoy, convirtiéndose la peor vulnerabilidad de cualquier sistema: El error humano.
Aprovecharse de la persona ingenua para extraer información, es por lo general unos de los primeros pasos que utilizan los cibercriminales y pentesters de empresas a día de hoy.
La ingeniería social tiene muchas ramas, y se puede implementar de muchas manerascreativas.
Si hago un llamado de teléfono a una persona haciéndome pasar por un operario de banco, y le pido su número de tarjeta, lo más probable es que esta persona no me crea y me haga una denuncia. Pero hay formas de extraer otros datos no tan sensibles a través de un número telefónico. Como por ejemplo el número de cliente en una empresa de internet.
Se puede combinar con otra técnica conocida como phishing, en la que esta abunda en correos de spam, anuncios llamativos que al hacer 'clic' te descarga un troyano, etcétera.
Todo tiene en común, el error humano. El cuál, tiene una mitigación simple, pero una implementación complicada. Ya que entra en juego la responsabilidad no sólo del operador a atacar, sino de su empresa, su familia, etc.
El cibercriminal o el pentester, por lo general, antes de atacar a una persona, averigua acerca
de sus gustos, preferencias, lugar de trabajo, puesto, número telefónico, etc.

La gran mayoría de vulnerabilidades que salen a la luz tienen su parche, a mayor tiempo que este tenga en el mercado, más probabilidades hay de que haya sido parcheado en los sistemas más actualizados.
Pero hay una vulnerabilidad que es prácticamente imposible de parchear, siendo esta la más
antigua: EL FACTOR HUMANO.
Contando con el mejor sistema de seguridad (firewall, IDS, IPS, Honeypot) el factor humano es clave y por lo general, muy vulnerable para entrar al sistema. Es capaz de brindar todo tipo de información de la empresa sin precaución, esa información que tanto intenta mantener confidencial el jefe de seguridad de la empresa.

Con la ingeniería social también se puede llevar a cabo la recolección de información (information gathering) en el que este es sí o sí el primer paso al hacer un pentest o ataque malintencionado hacia una empresa, organización o persona particular.



Este ataque puede ser dirigido como no dirigido. Es decir, puede ser dirigido al empleado de la empresa, o si no logramos recolectar demasiada información en internet de este empleado; Podemos hacerle el ataque dirigido a la mujer para averiguar su número telefónico, o puesto de trabajo. Por ejemplo, a través de una encuesta de un servicio que ellos utilizan. Ya que, el empleado puede ser que esté informado y capacitado, pero rara vez este empleado "capacita" a su mujer/marido o hijos acerca de su trabajo y que no deben decir nada. Por lo que hay muchas variantes de cómo hacer este ataque. Es cuestión de creatividad.

Es muy efectivo por las variantes que tiene el cibercriminal para hacerse pasar por: Conocido, amigo, inspector de seguridad, prestador de servicios, entre muchas cosas.

EL PHISHING

Esta pequeña técnica, es de las más utilizadas al día de hoy. Engañar para robar dinero y obtener datos no es fácil, pero con el phishing, aprovechándose de la ignorancia de muchas personas puede ser una gran ventaja para el cibercriminal.  Anteriormente se utilizaba por lo general para robar credenciales del Homebanking, al día de hoy es altamente peligroso, ya que mediante esta técnica se puede meter virus.

El Phishing hace uso de la ingeniería social, sea para hacer spam como en el caso de clonar una página web y enviársela a la víctima para que acceda creyendo que es la original, por lo que una vez que entre a la página web falsa y coloque sus datos, estos son redirigidos al
atacante.
Esta técnica es fácil de implementar, pero no garantiza el 100% que pueda funcionar. Ya que la persona puede estar capacitada, no recibir el e-mail por algún motivo, o simplemente no le llamó la atención que debió generar en la víctima para que caiga en la trampa.

IMPORTANCIA

Tener un fallo de seguridad en el sistema es grave, por lo que la importancia está en todos lados a nivel de seguridad. Pero ser vulnerable a la ingeniería social (incluyendo al  phishing, pharming, entre otras) es ALTAMENTE CRÍTICO.

¿Por qué? Porque no existe IDS, IPS, firewall, honeypot, antivirus, parche, o cualquier método de seguridad aplicada en servidores, hosts, o red que sea capaz de mitigar la estupidez humana.

Un gran fallo del factor humano es la seguridad de las credenciales de sus cuentas, sean redes sociales, bancarias, etc.
Los tops de contraseñas cada año son prácticamente las mismas, y estas se pueden encontrar en cualquier tipo de diccionario para hacer un ataque de diccionario o fuerza bruta.

EL USUARIO ES EL ESLABÓN MÁS DÉBIL




¿QUIÉNES APLICAN ESTA TÉCNICA?

• Hackers / Pentesters
• Terroristas
• Criminales / Cibercriminales
• Empleados enojados
• Ladrones de identidad
• Gobiernos extranjeros / Agentes del gobierno extranjero
• Espías industriales / Agentes de espionaje industrial
• Recolectores de inteligencia empresarial
• Agentes de información / Investigadores privados

Como vemos son muchos los campos en los que se emplea la ingeniería social.

PASOS PARA LLEVAR A CABO UNA TÉCNICA DE INGENIERÍA SOCIAL

1_ Reconocimiento

- Virtual: Este tipo de reconocimiento está relacionado a infectar ordenadores con spyware o código malicioso. A través de un e-mail por
lo general.

- Físico: Este tipo de reconocimiento está relacionado a recolectar información a través de medios electrónicos. Analizar blogs, listas de
correos, etc.

2_ Recolección de información

Una vez que la etapa de reconocimiento finalizó, se debe transmitir toda la información disponible a través de los medios mencionados.

3_ Relación de información

Durante un período de tiempo, la información se relacionará y establecerán los canales de comunicación estableciendo las conexiones.

4_ Usando la información

Llegó el momento de realizar el ataque y este puede ocurrir de diferentes maneras. Como, por ejemplo, hacer un robo de identidad para intentar
ganar la información de una organización a través de esa ID que nos proporcionó la víctima anteriormente.

ATAQUES DE INGENIERÍA SOCIAL

• Teléfono: Un atacante llama por teléfono y trata de intimidar a alguien en la posición de autoridad o relevancia, de esta forma obtiene información. Por lo general, los centros de ayuda son vulnerables a este tipo de ataque.

• Dumpster Diving (trashing): Es otro método de ingeniería social. Mucha información puede ser encontrada en la basura.

• Drive-by infection: Cuando uno descarga "soluciones de seguridad" desde sitios web, es posible infectarse con diferentes variedades de malware o troyanos.

• e-Mail: Los emails enviados pueden contener información interesante para los usuarios y ser bastante llamativos como la "imaginación" lo permita.

• Curiosidad: El atacante deja un dispositivo de almacenamiento como pendrive, CD, memoria flash en un lugar donde pueda ser encontrado, mientras espera a que la víctima introduzca el dispositivo para infectarse con el código malicioso.

• Suplantación ID: Consiste en caracterizar a una persona, un rol. Generalmente los roles más empleados son soporte técnico y gerente. En las empresas muy grande, es difícil conocer a todos los empleados y falsificar las ID resulta muy simple.

• Shoulder Surfing: Consiste en entablar una conversación y realizar notas mentales sobre las teclas que presiona el usuario al momento de ingresar datos de acceso a un sistema.

• Office Snooping: Muchos usuarios no dejan bloqueadas sus computadoras cuando se levantan de sus escritorios, o aún peor, cuando se retiran del trabajo. Por lo que se puede acceder sin autentificarse.

• Ingeniería social inversa: Es el modo avanzado de la ingeniería social, el atacante trata  de parecer alguien de autoridad, para que le pregunten a él y así obtener información. Requiere mucha preparación, investigación y saber relacionarse con las personas.

ALGUNAS PREGUNTAS INTERESANTES...



DEMOSTRACIÓN DE ATAQUE PHISHING
UTILIZANDO INGENIERÍA SOCIAL

SETOOLKIT

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Setoolkit es la herramienta de ingeniería social por excelencia dentro del pentesting, el hacking y el cibercrimen.
Ofrece una variedad de vectores de ataques que dejan al cibercriminal hacer un plan de robo con infinitas variedades y formas.
SET es multiplataforma y sólo necesitamos tener instalado el interprete de Python para ejecutarlo e iniciarlo.
SET viene instalado en muchas plataformas de seguridad informática, como Backtrack y Kali Linux.


Entramos a Setoolkit y vemos nuestra dirección IP privada (esta demostración la haré a nivel LAN)



--------


1) Social-Engineering Attacks Nos dará como resultado un segundo menú que a la línea del primero es bastante explícito a la par que conciso.



Colocamos la Opción 1 ya que haremos un ataque de ingeniería social.

1) Spear-Phishing Attack Vectors: Se utiliza para llevar a cabo ataques de correo electrónico dirigidos contra una víctima (por más que yo haga un ataque con
correo electrónico, utilizaré el punto 2 para clonar la página web).

2) Website Attack Vectors: Es una forma única de utilizar múltiples ataques basados en Web con el fin de comprometer a la posible
víctima.

3) Infectious Media Generator: Nos permite crear medios infectados por medio de los payload de metasploit que utilizan autorun.inf file.

4) Create a Payload and Listener: Simplifica enormemente la creación de ficheros .exe a partir de los payloads de Metasploit y sus clientes.

5) Mass Mailer Attack: Nos permitirá el ataque masivo mandando correos electrónicos a múltiples víctimas y personalizar los mensajes.




Utilizando la opción 2 (Website Attack Vectors) nos encontraremos con tres opciones que de por sí son fáciles de comprender qué hacen...

Marcamos la opción 3 Credential Harvester Attack Method porque queremos hacer un robo de credenciales a un login de Facebook. Subiendo un servidor en nuestra máquina, para engañar a algún incauto y conseguir su cuenta de correo y contraseña.




Acá nos encontramos con otras opciones muy intuitivas. Nosotros lo que queremos es clonar una página web, por lo que elegiremos la opción 2,
Site Cloner.




Pasamos a colocar nuestra IP privada, la cual sería la de nuestro host atacante.



Y luego, la página web que queremos que nuestra víctima entre, en este caso, el login de Facebook. NO la página principal, sino, el /login.php



Una vez que hemos hecho estos pasos, NO hay que cerrar la terminal que está ejecutando el programa, porque está en espera de que alguien caiga y así obtener
las credenciales.



Ahora viene la parte más importante, "difícil" y que debemos sacar toda nuestra creatividad (en el caso de ser un cibercriminal). Por lo que este proceso si se hace en serio puede durar desde minutos, hasta días. En mi caso, me llevó minutos. Ya que el atacante soy yo, y la víctima también soy yo. El atacante será mi cuenta de protonmail y la víctima mi cuenta de Gmail... veremos qué tan anti-phishing es Gmail según las noticias últimamente.


Obviamente quiero aclarar que, para ser más creíble, hay que crearse una cuenta de Gmail o un dominio propio (en el caso de tomarse muy en serio de robar datos). Por ejemplo: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta o No tienes permitido ver los links. Registrarse o Entrar a mi cuenta Como esto es una demostración intentaré ser lo más conciso y simple posible.

-------------EJEMPLO DE ATAQUE---------------

Entramos a la cuenta de correo electrónico atacante



Camuflamos la URL real en el texto para mostrar, para que la víctima al recibir el correo, no se percate de lo que realmente sea. Aunque, una vez que entre, ahí cabe la posibilidad de que se de cuenta que es una trampa. Pero, a día de hoy, hay gente poco capacitada al respecto y no logra darse cuenta...



Una parte fundamental del phishing a la hora de hacer un ataque de ingeniería social, es conocer mínimamente a la víctima. Es por eso (en este caso, yo ya me conozco jaja) que busqué en su perfil de Facebook su foto de perfil actual para que parezca "más creíble" (esto se puede hacer mejor, pero es una demostración y quiero que se entienda).



No está de más poner hora, ubicación con coordenadas y foto de Google maps, junto el sistema operativo y navegador que se haya intentado acceder...



Recordemos que la ingeniería social es más fácil de llevar a cabo si se es amable con la víctima.



En mi cuenta de Gmail recibí el correo electrónico tal y como yo lo diseñé. Por lo que Gmail no ofreció ningún sistema de Anti-Phishing que tanto mencionaron. Esto es lo que vería la víctima.



Como yo no he iniciado sesión, debo entrar para configurar la privacidad de mi cuenta, ¿verdad? Bueno, esto es lo que aparece cuando hacemos clic en el texto a mostrar que hemos puesto en protonmail.



No hace falta ser agente de la CIA para darse cuenta que no es el login real. Pero, como mencioné anteriormente, si la persona/victima no está capacitada, y tiene un conocimiento de informática limitado, es capaz de ni siquiera mirar la barra de navegación donde está la IP de mi host en este caso...



Colocamos nuestras credenciales en el caso de que no nos hayamos dado cuenta que estamos siendo víctima de un cibercriminal al momento de hacer clic en "iniciar sesión". Por lo que, a partir de ese clic, ya no hay marcha atrás y estaremos recibiendo las credenciales de la víctima.



Generalmente, acá las víctimas con conocimiento medio en informática se acaban de dar cuenta que se comió un phishing, o simplemente un "error" en el login de Facebook.



Mientras que el atacante, recibe esto en la terminal donde se está ejecutando setoolkit; Las credenciales.





Como nos hemos dado cuenta, la ingeniería social es una técnica no tan técnica. Donde la creatividad y en casos suerte nos dará la posibilidad de obtener lo que queremos.

MITIGACIÓN DEL ATAQUE

• La mejor manera de aumentar nuestras defensas, es disminuir la posibilidad de evadirlas. Utilizar seguridad física, biometría y restringir el acceso físico.

• Utilizar contraseñas seguras, evitando fechas de nacimiento, nombres propios, nombres de los hijos(as), de las mascotas o cónyuges.

• Evitar en lo posible el uso de redes peer-to-peer o P2P (redes para compartir archivos) como eMule, Kazaa, Limewire, Ares, Imesh o Gnutella porque generalmente están desprotegidos de troyanos y virus en general. Estos se expanden utilizándolas para alcanzar a nuevos usuarios a los que quiere infectar de forma especialmente sencilla.

• Establecer políticas de seguridad a nivel de Sistema Operativo.

• Los usuarios no necesitan tener acceso a todo tipo de archivos o ficheros ya que no todos son necesarios para su trabajo habitual, por ello puede ser conveniente por parte del administrador bloquear la entrada de archivos o ficheros con extensiones ".exe", ".vbs", etc.

• Nunca tirar documentación técnica ni sensible a la basura, sino destruirla.

• No revelar información personal por correo electrónico ni en línea a menos que sepa por qué motivo debe hacerlo y conozca a su interlocutor. Asegúrese además de que se encuentra en un entorno seguro: Es esencial para ayudarle a evitar cualquier tipo de ataque.

• Dar charla a todos los empleados de la compañía, donde el "speaker" sea alguien con conocimientos en el área de seguridad informática y le muestre pequeñas demostraciones de lo que puede llegar a ocasionar un despiste por parte de ellos. Concientizar a las personas que operan dentro de la empresa es fundamental, hacerle saber la responsabilidad que llevan a cabo en su labor día tras día, ya que nunca se sabe cuando puede ser víctima de un ataque como este. Ya que, la empresa u organización deberá invertir en formaciones de capacitación; manteniendo informado al operario del peligro que puede estar generando para la empresa.

• Sospechar de los mensajes inesperados que dicen ser urgentes y confidenciales (no olvidemos que en mi ejemplo dejo la terminal en ejecución, por lo que el atacante quiere que caiga lo más pronto posible para no estar todo el día esperando). Además de que llama aún más la atención en estos casos.

• Fijarse en la redacción de los mensajes sospechosos recibidos. Suelen estar mal escritos o con faltas ortográficas. Sobre todo, cuando un ruso usa el traductor de Google para hacer un phishing a un latinoamericano. Nos encontramos con incoherencias.

• Tener precaución al seguir enlaces en correos electrónicos, aunque sean de contactos conocidos.

• Tener precaución al descargar ficheros adjuntos de correos, aunque sean de contactos conocidos. Digo de contactos conocidos, porque no olvidemos que muchos cibercriminales se nos acercan (o se le acerca a la víctima) de forma presencial, o en redes sociales para conocerlas y así quitarle la suficiente información.

• Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus comprobar si está activo. Soy partidario de la frase "el mejor antivirus es la precaución". Me refiero a que hay que ser precavido cuando se hace uso de internet. Sobre todo, si trabajamos para una empresa/organización.


CONCLUSIONES

La ingeniería social no puede ser eliminada completamente, es un serio problema y es uno de los más grandes en las organizaciones.
Es un tema conocido en el ámbito de la seguridad, pero que poco se habla en las organizaciones sobre su prevención.
La educación y capacitación, continua y dinámica, es el método más eficiente para prevenir los ataques de IS (Ingeniería Social). 
Las organizaciones deben establer una clara y fuerte política, incluyendo estándares, procesos y procedimientos para ayudar a reducir la amenaza. La idea fundamental, es que los empleados sean capaces de identificar un ataque para que puedan minimizar los efectos o consecuencias del mismo.


Muchas gracias por tomarse el tiempo de leer.

Muy buen post, es muy cierto que las personas con poco conocimiento o conocimientos nulos sobre el tema sospechen cuando la "mentira" es muy creíble.

Enviado desde mi XT1034 mediante Tapatalk