¿Como robar un Banco?

¿Cómo robar un banco?: un tutorial de ingeniería social 

Si una compañía nos contrata para realizar un trabajo de ingeniería social, generalmente quieren que entremos y lleguemos a sus respaldos de información o a los datos que se encuentran en su sala de documentos.

Digamos que me hago pasar por un inspector de incendios. Lo primero que tendré además de mi insignia y uniforme es un walkie-talkie, como todos los bomberos. Afuera, tendremos a nuestro conductor esperándonos en el carro. Nuestro conductor está sentado en el carro, y básicamente su trabajo en un principio es enviar mensajes a través  de nuestro walkie-talkie. Tendremos una grabación con todos esos mensajes que escucharas en los walkie-talkies. El está sentado en el carro, los reproducirá y enviara a través de nuestros walkie-telkies.

Entramos a las instalaciones y aseguramos que todo los mensajes este llegando ruidosamente a los walkie-talkies tan pronto como entramos por la puerta para que inmediatamente seamos el centro de atención. Cuando entro, quiero que todos sepan que me refiero a negocios. Mi walkie-talkie es ruidoso y todos miran mientras me disculpo y rechazo la trasmisión.

Le muestro a la persona de recepción mi insignia. Ellos dirán: “¿Cómo te va?”, diré: “Bien, estoy aquí para hacer la inspección”, ellos dicen: “estupendo” y nos asignan a alguien. En general es alguien que es amable. Comenzaré a hablar con ellos, intentare agradarles o lo que sea necesario mientras comenzamos a caminar.

Mientras estoy hablando con la persona que nos asignaron, mi compañero sabe que su trabajo es alejarse inmediatamente de nosotros. Entonces, mi compañero se irá inmediatamente. En la mayoría de los casos nuestro acompañante dirá “¿Puede Volver aquí? Necesito que se mantengan juntos. Decimos “Claro, lo siento”. Pero realmente eso para nosotros no significa nada.  Todo lo que significa es que seguiremos haciéndolo hasta que él se rinda.

Mi compañero deambulara dos o tres veces más y será advertido hasta que finalmente se detenga y se dé por vencido. Nuestro acompañante solo piensa que él es un bombero y piensa: "Déjenlo hacer lo que necesita hacer".

En ese punto, el trabajo de mi compañero es comenzar a robar todo lo que pueda y comenzar a ponerlo en su bolsa. Y también tiene que ponerse debajo de los escritorios de cualquier empleado que pueda encontrar y comenzar a instalar estos pequeños keyboard loggers.  Me quedo con la persona que me está acompañando y todo mi trabajo ahora es mantenerlos entretenidos. Sigo caminando por las habitaciones y les doy consejos para  mantener la seguridad de sus instalaciones, aunque realmente no tengo ni idea de lo que estoy hablando. Invento las cosas que estoy diciendo y probablemente doy el peor consejo de todos. Sacaré las cuerdas y diré "Esto parece un poco peligroso". Yo estoy completamente improvisando.

Hace unos años, obtuve un dispositivo en Home Depot. Es como una cinta métrica, pero no una cinta de medir normal. Tiene un puntero láser y hace “clic”. Este dispositivo es como el Tricorder en Star Trek para mí. Puedo hacer algunas cosas mágicas con eso en lo que a mí concierne. Lo pondré en un enchufe y diré "Parece que tiene demasiada corriente". Y ellos simplemente lo creen. Son increíbles las cosas estúpidas que puedo hacer.

Mientras tanto, mi compañero va por los escritorios. Si los empleados están allí, él dirá "Oye, ¿te importa si me meto debajo de tu escritorio por un minuto? Solo estoy buscando cualquier tipo de peligro de incendio". Si el empleado pregunta "¿Qué tipo de peligro podría haber debajo de mi escritorio?" Él dirá "¿Conoces ese ventilador en la parte posterior de tu computadora? Si deja de girar podría ser un riesgo de incendio". Este tipo de explicación parece razonable.

Mi compañero se mete debajo de la computadora y en su mochila tiene un montón de dongles (dispositivos que permiten añadir características a las computadoras que no fueron construidas teniendo en cuenta dichos parámetros, por ejemplo un dongle usb WiFi o bluetooth). Instala fácilmente uno en la computadora del empleado y ahora todos los datos pasan por este dispositivo. Por supuesto, mientras mi compañero está debajo de la computadora, el empleado no puede ver lo que está haciendo ya que por lo general solo se van.

En ese punto generalmente nos volvemos a reunir y discutimos el uno con el otro en voz alta todos los lugares donde ya hemos estado. De esa manera, realmente tenemos una buena idea de lo que se ha logrado y él puede regresar a lugares donde yo era incapaz de robar algo debido a mi escolta. Él dirá "He tenido éxito con todos los escritorios". Diré: "¿Puede hacerme un favor y volver y revisar aquí otra vez?" y mencionar algún lugar donde pueda haber visto algo interesante y quiero que regrese y se ocupe de ello.

Al salir, no queremos que sepan que hemos terminado. Queremos poder volver en otro momento. Aquí es donde nuestro conductor en el automóvil hará una llamada falsa al walkie-talkie y nos dirá que necesitan que respondamos una llamada. Miro a mi acompañante y digo "Oye, lo siento, volveremos".

Señalamos que regresamos en los próximos días, hacemos una revisión rápida, volvemos y obtenemos los dongles que instalamos en las computadoras. Haremos otro recorrido rápido, afirmando que hemos perdido nuestro formulario de inspección original, ya que ya hemos tomado todo, la segunda visita es rápida. Los decimos que estamos listos y enviaremos un informe por correo.

Para cuando terminamos, hemos robado cosas y obtuvimos acceso a inicios de sesión y contraseñas porque hemos estado grabando esa información con los dispositivos de key loggin, ya sean sitios en línea o cuentas locales en su sistema. Hemos estado en su red inalámbrica y hemos sido capaces de hackearla también.

Cuando hayamos terminado todo lo que necesitábamos hacer, lo último que haremos será hurgar en la basura. Es miserable, pero es una locura lo lucrativo que es. Nos presentamos con guantes de goma y comenzamos a abrir bolsas. Es sorprendente la cantidad de información confidencial que termina en la basura.

Cuando nos presentamos después del compromiso para presentar lo que encontramos, hay a menudo una mirada total de sorpresa en las caras de los empleados. Pero es una experiencia de aprendizaje de la que esperamos que todos aprendan. Es algo que nunca pensaron que podría suceder. Si hablaste con ellos una semana antes, nunca pensaron que caerían en algo así por algunas de las cosas que sacamos. Pero ahora ellos ven que puede suceder, y les puede pasar a ellos.

-- como le dijo Jim Stickley de TraceSecurity a Joan Goodchild.

Fuentes:

Esta historia, "Cómo robar un banco: un tutorial de ingeniería social" fue publicada originalmente por CSO. 
NetworkWorld
Curso en linea en Cisco Networking Academy: Introduction to cybersecurity

Técnicas y algunas herramientas (Fingerprinting)

Como ya vimos anteriormente el Fingerprinting consiste en recolectar información directamente del sistema de un objetivo, para aprender mas sobre su configuración y comportamiento. Estas técnicas a continuación también se utilizan en fases de auditoria para detectar vulnerabilidades. Entre ellas encontramos la ingeniería social, el phishing, el sniffing y el scanning.

Ingeniería Social y Phishing

La ingeniera Social se trata de técnicas psicológicas que combinadas con ciertas habilidades sociales busca aprovecharse de la buena fe de las personas que laboran dentro de una organización, con el objetivo de que realicen alguna actividad necesaria para el atacante.

Según Kevin Mitnick (conocido como “el cóndor”), uno de los hackers más famosos, existen 4 principios básicos en la Ingeniería Social que son comunes a en gran parte de las personas :

• Todos queremos ayudar.
• El primer movimiento es siempre de confianza hacia el otro.
• No nos gusta decir No.
• A todos nos gusta que nos alaben.

Un factor importante de la seguridad a tomar en cuenta también es el usuario.

La ingeniería social puede llevarse a cabo mediante la computadora (phishing) o mediante contacto humano

Cuando se opta por contacto humano la manipulación, persuasión o sugestión pueden ser algunas de la opciones para convencer a una persona de que lleve a cabo acciones, facilite información confidencial, para obtener de ellas información necesaria u obtener acceso a zonas restringidas, normalmente en contra de su voluntad, y poder así llevar a cabo un ataque con éxito. También se conoce como “hackear a la persona” (human hacking).

Por mencionar algunos ataques hacia una persona podemos decir que se realizar:

• Un ataque al ego del usuario objetivo, dándole retos para que demuestre sus habilidades y destrezas o que sienta que esta ayudando en un tema de gran importancia.
• Un ataque de simpatía, asociando un estado de ánimo positivo a lo que se trata de conseguir convencer, también mostrando complicidad, que tenemos gustos en común o cuando alguien esta mostrando cierta desesperación por no poder hacer algo (algunas veces hay una persona que ayuda).
• Un ataque a la curiosidad, aquí se puede dejar una memoria SD, USB con algo llamativo o un Disco donde lo pueda ver el usuario objetivo para que al encontrarlo lo conecte o ingrese a la maquina objetivo y así poder realizar el ataque.
• Un ataque de suplantación de identidad, sobre todo en empresas grandes donde es complicado conocer a todos los empleados, aquí el atacante suele caracterizar a alguien de soporte técnico o algún gerente para obtener información debido a que habitualmente no pedimos a las personas que se identifiquen.
• Entre otras podemos mencionar Búsqueda en la basura (dumpster diving), seguimiento de personas y vehículos, vigilancia de salas y edificios, generación de situaciones de crisis, presión psicológica, soborno, chantaje o extorsión, etc.

El Phishing consiste en el envío masivo de comunicaciones (normalmente correos electrónicos) desde lo que parece un origen de confianza, con el que requiere al receptor que facilite determinada información, bien respondiendo al e-mail o bien conectándose a una página web que parece real donde introducirá sus datos. Aquí podemos mencionar otras versiones del phishing, esta son adaptadas a cada individuo gracias a un análisis previo de la información que pueda ser útil para el atacante y así poder hacer mas creíble la comunicación que se envía a la victima, estas otras versiones se conocen como Spear-phishing y Whaling.

Sniffing y Scanning

El sniffing es una técnica que consiste en “escuchar” o capturar toda la información que circula por una red, este ataque es uno de los principales que se realizan cuando se intenta robar información (aunque no es necesariamente una técnica maliciosa, se utiliza en muchos casos para administrar la red, mejorar su rendimiento, generar información de errores y con propósitos de monitorización y detección de intrusos). Esta información puede incluir datos de identificación de la víctima como  contraseñas, números de tarjetas de crédito, información personal, información bancaria, entre otros datos importantes. El sniffing  es una técnica que puede fácilmente causar problemas relacionados con la privacidad ya que captura cada paquete de información, lo codifica y luego da a su propietario la habilidad de ver su contenido.

Un sniffer puede ser instalado en cualquier ordenador por el administrador del sistema o cualquier usuario que tenga suficientes privilegios para instalar el programa, a menudo también por otros parásitos, como virus, troyanos, backdoors o gusanos. Puede también ser un dispositivo físico, normalmente un router con capacidad de sniffing. Trabaja de la misma manera que un sniffer típico, pero su detección puede ser incluso más complicada

Algunas herramientas para la ejecución de Sniffing:
Wireshark
Ethereal
Spynet

El scanning trata de analizar el estado de una determinada red y de los dispositivos ubicados en ella.

Podemos encontrar diferentes tipos de escáneres dependiendo del nivel de profundidad y del objetivo como puede ser el escanear puertos abiertos, conectar a los recursos compartidos disponibles en la máquina objetivo, otros para buscar posibles agujeros de seguridad mediante escaneo, buscando faltas de parches de seguridad, recursos compartidos abiertos, cuentas de usuarios, otros utilizados para escanear dispositivos de red, desde ordenadores hasta routers, pasando por puntos de acceso wifi e impresoras

Algunas herramientas para la ejecución de scanning:

Angry IP

LanSpy

AutoScan

NetCat

Fuentes de información:
Curso en linea de Ciberseguridad en Miriadax.
Laboratorios Hacking.
los virus.
OWASP

Importancia de la ciberseguridad

¿Por que es necesaria la ciberseguridad?

Como sabemos Internet nos ofrece un enorme potencial para facilitar el acceso a la información y a la comunicación, pero todo este potencial también genera un riesgo a nuestra información, ya que esta información puede escapar de nuestro control y podemos ser objetivos fáciles para los delincuentes informáticos.

Un ejemplo es cuando compartimos imágenes en nuestras redes sociales, tanto como amigos y desconocidos pueden tener copias de dichas imágenes descargadas en sus dispositivos. Personas desconocidas pueden obtenerlas si no tenemos configuradas correctamente nuestras redes sociales y tenemos nuestra información compartida públicamente. hay que recordar  que hoy en día las imágenes guardan información de nuestra ubicación, la cual con el simple echo de tener dichas imágenes también pueden saber donde tomamos las imágenes que estamos compartiendo.

Información que nos identifica en linea

Actualmente contamos con mucha información que nos identifica en línea, estos datos son:

• Historial Medico
• Historial Educativo
• Historial Financiero
• Historial de Empleo

  

Hay información de nuestro historial medico en la red, parte de este historial también lo tiene una aseguradora.
Podemos acceder a nuestra información de formación educativa mediante la pagina web de la escuela a la que estamos inscritos, también podemos realizar tramites a través de este medio.
Usamos el Internet para realizar muchas de nuestras actividades, utilizamos nuestros dispositivos informáticos para acceder a la página web o aplicación móvil de la tarjeta de crédito para realizar la consulta del estado en que se encuentra y realizar pagos en línea,  para acceder a la página web o aplicación móvil del banco para transferir fondos.
Las tarjetas que nos ofrecen las tiendas comerciales nos ayudan a ahorrar un poco en la compra de los productos que necesitamos. Sin embargo, las tiendas comerciales compilan un perfil de el comportamiento de las compras que realizamos y utiliza esa información para su propio uso.
¿Cuantos de nosotros no estamos registrados en paginas web en línea para encontrar un trabajo que vaya de acuerdo a lo que queremos? aquí podemos encontrar nuestra información laboral completa, ya que un currículum con mucha experiencia suele ser atractivo para las empresas. También se nos da la opción de subir nuestro currículum, en la cual, agregamos datos muy importantes que nos identifican, como son nuestro numero de seguro (NSS), RFC, CURP, etc.

Toda esta información de nuestros datos personales se han vuelto rentables para los delincuentes
informáticos.
Con toda esta información en linea los delincuentes informáticos puede robar nuestra identidad y sacar provecho de ella, si llegaran a robar nuestro seguro médico podrían usar nuestros beneficios de salud para ellos mismos, con nuestra identidad podrían generar una declaración de impuestos falsa y recolectar el reembolso, podrían abrir cuentas de tarjeta de crédito y acumularnos deudas sin que nos demos cuenta, hasta podrían obtener el acceso a datos corporativos y de gobierno.


En este punto podemos recordar aquellas películas de espías donde el espía tiene acceso a instalaciones y datos de su interés robando identidades.

Información de las Organizaciones

El resguardo de nuestra información también depende de las organizaciones a las que les facilitamos nuestra información.

Las organizaciones tienen información muy importante de nosotros, de clientes y de suma importancia para que  puedan sobrevivir en el mercado, esta información puede permitir a una empresa obtener una ventaja económica sobre sus competidores.
Para las empresas es vital  proteger la estrategia de producto con todos los medios tecnológicos para mantener a la compañía en lo más alto de su sector.

Entre toda esta información podemos mencionar que la empresas cuentan con:

• Información del personal: material de las postulaciones, nóminas, ofertas laborales, los acuerdos del empleado, y cualquier información utilizada para tomar decisiones de empleo.
• Propiedades intelectuales: patentes, marcas registradas y planes de nuevos productos. Esta propiedad intelectual se puede considerar un secreto comercial; perder esta información puede ser desastroso para el futuro de la empresa.
• Datos financieros: las declaraciones de ingresos, los balances y las declaraciones de flujo de caja de una empresa brindan información sobre el estado de la empresa

Cabe destacar que la empresa que sufre un ataque cibernetico también tiene consecuencias, ya que puede afectar en costos y posibles penalizaciones, problemas comerciales y de tiempo y pueden dañar la reputación de la oirganizacion.

Es importante... 

Gestionar los riesgos de seguridad en Internet,  el mundo depende cada vez más de la cibernética y las amenazas aumentan, por eso la importancia de concientizar y educar a la sociedad y a las instituciones en temas de ciberseguridad.

Debemos tener conciencia de que la seguridad de nuestra información no depende solamente de la tecnología, la seguridad de la información también depende de cada uno de nosotros teniendo especial cuidado de lo que compartimos en las redes sociales, de las aplicaciones que instalamos en nuestros dispositivos y de a quien le estamos facilitando nuestra información.

Fuentes:
Curso en linea en Cisco Networking Academy: Introduction to cybersecurity