Materia: Redes de cmputo Grupo: 1501 Nombre: Roberto Ramrez Novelo Tarea: 4 No.

De cuenta: 408062826

Hackeo por medio de tcnicas de Ingeniera social

En el campo de la seguridad informtica, ingeniera social es la prctica de obtener informacin confidencial a travs de la manipulacin de usuarios legtimos. Es una tcnica que pueden usar ciertas personas, tales como investigadores privados criminales, o delincuentes computacionales, para obtener informacin, acceso privilegios en sistemas de informacin que les permitan realizar algn acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos. El principio que sustenta la ingeniera social es el que en cualquier sistema "los usuarios son el eslabn dbil". En la prctica, un ingeniero social usar comnmente el telfono o Internet para engaar a la gente, fingiendo ser, por ejemplo, un empleado de algn banco o alguna otra empresa, un compaero de trabajo, un tcnico o un cliente. Va Internet o la web se usa, adicionalmente, el envo de solicitudes de renovacin de permisos de acceso a pginas web o memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando as a revelar informacin sensible, o a violar las polticas de seguridad tpicas. Con este mtodo, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones,por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informticos. Quiz el ataque ms simple pero muy efectivo sea engaar a un usuario llevndolo a pensar que un administrador del sistema esta solicitando una contrasea para varios propsitos legtimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseas o informacin de tarjeta de crdito, con el motivo de "crear una cuenta", "reactivar una configuracin", u otra operacin benigna; a este tipo de ataques se los llama phishing (pesca). Los usuarios de estos sistemas deberan ser advertidos temprana y frecuentemente para que no divulguen contraseas u otra informacin sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informticos raramente (o nunca) necesitan saber la contrasea de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podra no ser necesario en una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estacin Waterloo de Londres revel sus contraseas a cambio de un bolgrafo barato. Otro ejemplo contemporneo de un ataque de ingeniera social es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos "ntimas" de alguna persona famosa o algn programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan cdigo malicioso (por ejemplo, usar la mquina de la vctima para enviar cantidades masivas de spam). Ahora, despus de que los primeros e-mails maliciosos llevaran a los proveedores

de software a deshabilitar la ejecucin automtica de archivos adjuntos, los usuarios deben activar esos archivos de forma explcita para que ocurra una accin maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque. La ingeniera social tambin se aplica al acto de manipulacin cara a cara para obtener acceso a los sistemas computacionales. Otro ejemplo es el conocimiento sobre la vctima, a travs de la introduccin de contraseas habituales, lgicas tpicas o conociendo su pasado y presente; respondiendo a la pregunta: Qu contrasea introducira yo si fuese la vctima? La principal defensa contra la ingeniera social es educar y entrenar a los usuarios en el uso de polticas de seguridad y asegurarse de que estas sean seguidas. Uno de los ingenieros sociales ms famosos de los ltimos tiempos es Kevin Mitnick. Segn su opinin, la ingeniera social se basa en estos cuatro principios: 1. Todos queremos ayudar. 2. El primer movimiento es siempre de confianza hacia el otro. 3. No nos gusta decir No. 4. A todos nos gusta que nos alaben. No existe una limitacin en cuanto al tipo de informacin y tampoco en la utilizacin posterior de la informacin obtenida. Puede ser ingeniera social el obtener de un profesor las preguntas de un examen o la clave de acceso de la caja fuerte del Banco de Espaa. Sin embargo, el origen del trmino tiene que ver con las actividades de obtencin de informacin de tipo tcnico utilizadas por hackers. Un hecho importante es que el acto de ingeniera social acaba en el momento en que se ha conseguido la informacin buscada. Las acciones que esa informacin pueda facilitar o favorecer no se enmarcan bajo este trmino. En muchos casos los ingenieros sociales no tocan un ordenador ni acceden a sistemas, pero sin su colaboracin otros no tendran la posibilidad de hacerlo. Existe una tendencia que trata la ingeniera social como una forma de engao, equiparable al caballo de Troya o a cualquier forma de timo, como el de la estampita. Tendremos en cuenta 2 factores al respecto: en primer lugar, en el caso de la IS puede no haber engao de ningn tipo. Una persona le pide a otra su contrasea o cualquier otra informacin en un entorno de confianza y la otra se la da sin presin ni engao alguno. Luego el mito de que la IS se basa en un engao, no es correcto en todos los casos. Y segundo: suele existir un componente tcnico o tecnolgico. El timo de la estampita y la ingeniera social no tienen mucho que ver porque sta se basa en amplios conocimientos de psicologa aplicada y de las tecnologas sobre las que se quiere obtener informacin. Por ejemplo: en el mundo del underground, de los hackers, las relaciones se basan en el respeto. Son mundos bastante cerrados de gente que en algunos casos pueden

realizar actividades ilegales. Para poder acceder a l hay que tener tantos conocimientos como ellos y as ser considerado como un "igual". Adems debern aportarse conocimientos a compartir que de forma clara permitan ganarse el respeto de estos grupos. Slo de esta forma se tendr acceso a determinadas informaciones. Esto mismo ocurre en el mundo de las empresas de alta tecnologa en las que se desarrollan proyectos reservados, donde la calificacin tcnica necesaria para entender la informacin que se quiere obtener es muy alta. Las operaciones de ingeniera social de este nivel pueden llevar meses de cuidada planificacin y de evaluacin de muchos parmetros, van ms all de una actuacin puntual basada en una llamada con ms o menos gracia o picarda. Muchas veces, el Ingeniero Social simplemente observa el entorno y aprovecha datos que estn a la vista cuando el sentido comn indica que deberan guardarse en un lugar seguro. Por ejemplo queremos saber el password de un usuario de hotmail y su e-mail es: mailto:julio_acosta@hotmail.com julio_acosta@hotmail.com (el mismo mail que en telnet, no se porque, si existe este e-mail por favor disculpeme si lo ofendo no se me ocurrio otro). Bueno pues le enviamos un e-mail anonimo (ya sabes como hacerlo, sino vuelve a leer lo del telnet) con una direccion algo asi como mailto:admin@hotmail.com admin@hotmail.com o tambien mailto:root@passport.hotmail.com root@passport.hotmail.com o lo que se te ocurra y le dices por el e-mail: Estimado usuario de hotmail: Lamentamos informarle que haces dos das <--pones una fecha pa apantallar--> un hacker irrumpio en nuestro servidor y robo algunos passwords de nuestra base de datos, adems de que borro los password de nuestra base de datos, dejandonos slo con los nombres de usuario, y entre ellos estuvo usted. As que le pedimos que nos mande su contrasea con su nombre de usuario de inmediato para poder restaurar la base de datos y asi no quede borrado de la misma y no pueda acceder a su cuenta de hotmail. Le pedimos que envie la informacion a la siguiente direccion: mailto:recuperar_claves@hotmail.com recuperar_claves@hotmail.com < creamos esta cuenta en hotmail para hacerlo mas creible. O creas la que deses pero que se mire algo del tema. Hay una buena noticia, hemos capturado al hacker pero lamentablemente borro los ficheros y no recuperamos su password. Administrador de Hotmail Andres Solorzano Villegas

<--inventas un firmilla o algo--> -Si todo sale bien recibiras un e-mail en tu cuenta mailto:recuperar_claves@hotmail.com recuperar_claves@hotmail.com el nombre de usuario y clave de esta persona, si no quiere decir que no call. En estos tiempos es dificil que alguien caiga pero a veces si caen, tambien caen facilmente los neofitos totales. POr ej. un compaero de tu saln solamente se conecta a internet para chatear en el mIRC, y sabes que se conecta con prodigy, que haces le mandas un e-mail anonimo diciendo que eres el administrador de prodigy le dices algo parecido en el e-mail anterior, lo del hacker y eso y que te mande todos los datos, y ya. Es ms fcil que esos caigan. Seguridad de Empresas de Correo Quizs muchas veces te han dicho que hay Programas que permiten robar Contraseas de Correos Electrnicos con solo poner el e-mail de la vctima, pues esto es totalmente falso, ya que todos estos datos se guardan encriptados y luego no son posibles de desencriptar, o porque crees que cuando se te olvida tu contrasea nunca se te manda un mail dicindotela, sino que te dice que establezcas una nueva? Tampoco hay modo de entrar a Hotmail y robar todos los datos de las personas, o por lo menos hasta ahora nadie lo ha logrado, aunque en Gmail si descubrieron hace ya un tiempito un bug que permita entrar a cualquier cuenta de correo sin saber su contrasea, pero que ya fue corregido por Google. (Google es una de las herramientas mas utilizadas por los Hackers) Entonces entendamos que la nica forma de que nuestras contraseas sean robadas, es por medio de la Ingeniera Social. Xploits y Exploits Qu es un xploit? Un xploit es un mensaje que se enva a otra persona hacindose pasar por el personal del correo de esa persona con la finalidad de robar su contrasea. Esta es la respuesta a la pregunta que me han hecho muchas personas... Cmo puedo conseguir la contrasea del correo de alguien??? Otras veces la disimulan un poco ms...Me robaron mi cuenta de correo, me puedes decir como recuperarla??? La mayora de veces esta frase tiene como nico objetivo el que te digan como averiguar la contrasea del correo de alguien. Tenemos que dejar en claro algo... No es lo mismo xploit que exploit. Un exploit es un programa que aprovecha un bug (agujero) de otro programa para entrar a un ordenador y un xploit solo es un mensaje para robar la contrasea a otra persona. Hacer un exploit es mucho ms complicado que hacer un xploit, un xploit lo puede hacer cualquier persona un exploit no. En resumen...

Exploit: Mtodo concreto de usar un bug para entrar en un sistema. Xploit: Replica exacta de una pagina que simula ser otra, por ejemplo hacer una pgina como la de Hotmail para que la victima crea que esta en la original e introduzca sus datos. Un claro ejemplo de un xploit es el siguiente...

Como podemos observar en esta Imagen, esto es una replica excelente de la pagina de Microsoft Passport (www.passport.net) la cual nos pide nuestros datos de login, para poder supuestamente entrar a revisar nuestra cuenta de correo, pero vamos a ver un poco como darnos cuenta de que es un error. Observamos la Barra de Direccin y vemos que aparece una pgina: http:/ /taeboxtreme. com.ar/xploits/ver.php y pues esto no se parece en nada con la pagina de Passport? O si? Aunque su apariencia sea en un 90% igual a la Passport siempre habrn cosas que no concordarn. Algunas de las formas mas utilizadas para correr estas herramientas es mediante envio por mail de tarjetas de felicitacion (Gusanito.com), (Postalito.com), o de sitios como (hi.5) o (myspace)... Como robar una contrasea??? Hotmail tiene un bot que se encarga de repartir datos a todas las cuentas y otras cosas, en una de las tantas utilidades que tiene este bot esta devolver las

contraseas perdidas. Gracias a esto vamos a aprovechar para robar contraseas. Lo nico que debemos hacer es mandar un mail a la direccin de correo: botservices@ hotmail .com especificando las siguientes cosas: Asunto: correoahackear@ hotmail .com Mensaje: Lost_Password Rcpt_pwd:tucorreo@ hotmail. com:tucontrasea. Despus de haber hecho esto debes de enviar el mail a la direccin de arriba y mas o menos en 24 horas te estar llegando la contrasea que buscas. Como podemos darnos cuenta para poder robar la contrasea, tenemos que antes poner la nuestra. Lo que hicimos fue enviarle todos nuestros datos a alguna persona que se haya creado un email: botservices@ hotmail. com . Nada de eso funciona!!! Solo lo hacen para robar las contraseas a las personas que quieren robar contraseas (que irnico no?). Herramientas de hacker A quien en algn momento de la vida no le han dicho de que existen programas que con solo poner la cuenta de correo electrnico se sacan la contrasea? Pues les puedo decir que esto no es ms que una gran mentira, hasta el momento no se ha desarrollado que se aproveche de alguna vulnerabilidad para hacer tal cosa. Adems en caso de que se encuentre esto solo nos toparemos con unos datos encriptados. Hay miles de paginas como www.espiacorreos.com que dicen que tienen unos programas que usan una sper-tecnologa para robar este tipo de datos, pero como dije antes, nada de esto es real! Vamos a pasar a ver algunas herramientas que si podran robar nuestros datos, pero no como las que se acaban de mencionar, sino que son herramientas que se ejecutan localmente y graban los datos que teclea alguien (keylogger), o por medio de fuerza bruta (Hotmail Crook), etc. Keyloggers: Los keyloggers son unos programas que se ocultan muy bien y trabajan en background, por lo cual nadie se da cuenta de que se estn ejecutando. Lo que hacen es que van guardando todas las teclas que se presionan, por lo general en un archivo de texto, aunque hoy en da hay programas muy potentes (como por ejemplo el Perfect Keylogger) que dan un detallado Log de todo lo que se hizo en el PC infectado, como tomar fotos de lo que se hace en el PC, Grabar las conversaciones que se hacen por Clientes de correo, tales como MSN Messenger, GTalk, etc. MessenPass: Esta tcnica solo ser valida para las personas que tienen Activas las casillas de

Recordar mi cuenta y Recordar mi contrasea. Lo que hace este programa es que muestre todos los datos de los usuarios que han hecho con su respectiva contrasea. MSN Fake: Bueno, quizs esta tcnica si la conocen todos. Esta consiste en que los programas que usamos como clientes de correo electrnico, no son mas que una copia exacta del programa pero que en vez de conectarnos a nuestra cuenta de correo, almacena nuestros datos en un archivo de texto para luego ser vistos por el atacante. Referencias: NORMA ISO-690 http://www.wikilearning.com/tutorial/introduccion_al_hackingenieria_social/4431-9 http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_%28seguridad_inform %C3%A1tica%29 http://hackstory.net/index.php/Ingenier%C3%ADa_social_es http://www.ymipollo.com/~demon/128299.algunas-tecnicas-para-robarcontrasenas.html