viernes, 19 de agosto de 2011

Ingeniería Social


La ingeniería social consiste en sacar provecho de la información que la gente puede revelarnos acerca de algo. Dice Wikipedia que es “la practica deobtener información confidencial acerca de la manipulación deusuarios legítimos”.
Algunos ejemplos de ingeniera social:
Grupo de soporte a personal falso
Vendedores falsos
Contenidos de sitios web falsos
Empleados falsos
La ingeniería social es uno de los métodos para realizar ataques con la mayor cantidad de información posible (ya que la he averiguado poco a poco), los Latinoamericanos y en especial los Venezolanos sufrimos del mal o del bien de hablar mas de lo que se debe, a veces con un conocido, pero a veces con un extraño. Día a día en la calle en muchos sectores veo a estos ingenieros haciendo su tarea, en muchos casos sin mala intención, como también los veo haciendo lo propio en redes sociales como Internet, un ejemplo sencillo, no les ha pasado que cada vez que entran a Facebook identifican que su perfil ha sido por la misma persona, día tras día?.
La ingeniería social no tiene un método particular para ser efectuado. Puede ser perpetrado por muchos caminos: la fila (cola) en el banco, la fila (cola) para comprar un café o el ticket de cine, vía telefónica, en el tranvia, metro, subway, autobus o cualquier medio de transporte masivo.
Un ejemplo clásico (tomado de vida real)
El señor A recibe una llamada telefónica, de la empresa ACME, que el año pasado vendió unos descuentos para servicios odontologicos:
B: Buen día señor A, llamamos de ACME, para informarle que esta suscrito este año también con nosotros para los descuentos odontologicos, el importe fue de 3000 (aquí colocale la moneda de tu país o dolares).
A: Como?, no es posible, el año pasado, costaba 1000?, ademas yo no autorice nada.
B: Bueno Señor A, déjeme ayudarlo, vamos a reversar el monto, deme el numero de tarjeta y el código en la parte de seguridad de la tarjeta.
Aquí se puede descubrir fácilmente el montaje por "pedir código de seguridad en la tarjeta".
El señor A no cayo ante el ataque, pero recibió de nuevo otra llamada y en este caso fue una llamada de un funcionario de la supuesta comisión de banca, para mas o menos pedirle la misma información. El señor A si es una persona entrenada, si es una persona con malicia, si es una persona desconfiada, difícilmente caerá.

Estos mismos ataques, pueden llevarse a cabo de forma muy disimulada en un restaurante, cuando al momento de pagar, ud da su tarjeta de crédito y su identificación. 
Estos ataques de ingeniería social no son solo para robarle el numero de su tarjeta de crédito, con frecuencia son para robarle a usted, secuestrarle o robar los datos de la compañía donde usted labora. 
Hace poco se llevo a cabo la conferencia "DefCon", en un fin de semana, con hackers prominentes en USA y del mundo, donde se hablan de distintos ataques, en esta conferencia los grandes afectados fueron las grandes compañías, quienes compartieron sus datos de forma mas fácil, lescomparto el articulo. En los países Hispanos de todo el continente, el asunto no es de las grandes compañías, el problema radica en nosotros y la cantidad de información que compartimos a diario con extraños como bien mencionaba antes o en la 2.0, facebook, twitter, etc. 
Bruce Schneier dice: "La seguridad no es un producto, es un proceso"
La inocencia humana y el facebook
Primero les dejo un video que muestra cuanto tiempo demora en crearse una pagina FAKE de Facebook (Facebook por poner un ejemplo), esta pagina puede estar en tu misma Intranet, puede ser en red publica y llegarte por un mail o desde una pagina referenciarte a ella, esto mismo se puede hacer con una pagina de banco, de compras por Internet, etc.




Por ultimo hago algunas recomendaciones no muy difíciles de aplicar para su seguridad, de igual manera si quiere algo mas detallado, CACAO Servicos Tecnologicos, esta organizando talleres de seguridad, pueden contactarnos por contacto@cacaoenbytes.com
La recomendación general es ser desconfiado, siempre estar vigilante
1.- Si por su oficina pasa mucha gente y usted hace muchas reuniones, trate de tener la menor cantidad de información personal y de la compañía acá, su oficina no es Facebook, los directorios telefónicos deberían estar en una gaveta o en Internet.
2.- Cuando sale de su oficina a tomarse un café, o va a sus casa, no deje a la vista de todos la identificación de la compañía, guárdela, difícilmente se va a ser famoso por mostrarla o va a encontrar a su próximo jefe en el transporte publico.
3.- Cuando va a lanzar algo a la papelera de su casa u oficina, rompalo en la mayor cantidad de pedazos que pueda hacerlo.
4.- Preste mucha atención a las llamadas telefónicas que recibe.
5.- Si en una llamada telefónica usted siente algo sospechoso no responda las preguntas y reporte esa llamada al departamento de seguridad.
6.- No comparta todos sus pasos en Internet (piense por un momento, para que necesito decirle a todos que voy para tal lado?, para que necesito decirle a todos mi numero de teléfono?, etc).
7.- Nunca revele su password.
8.- No haga click en mails de dudosa procedencia.
Hay muchos otros tips, sugerencias que compartimos en nuestros talleres, recuerde un usuario con conocimiento es un usuario poco vulnerable, comparte esto con tus jefes, con tus amigos, con tu familia, espero sea útil.
Enjoy!!.

1 comentario: