Ingeniería Social: Conceptos generales. Fases de un ataque de ingeniería social. Tipos de ataques y contramedidas

En inglés: THE ART OF DECEPTION
En español : E L ART E D E
LA INTRUSIÓN

No se cual sea el correcto, así que posteo los 2.

Si alguien desea leer mas acerca de este tema, les recomiendo el libro de Kevin D Mitnick llamado “The Art Of Deception”. En este libro nos explica como el y mas personas tuvieron acceso a compañías importantes en los Estados Unidos, las técnicas que el uso y lo mas importante como defenderse de esas técnicas.

les recomiendo una serie que se llama mr robot… es muy buena y va con este tipo de practicas

Doble Factor con
1-Lo que tengo (Credenciales )
2-Lo que se ( claves usuario)
3- Lo que soy ( Biometricos)

Excelente

Buen día,
Frente al tema en mención, considero que lo más importante y sobre todo donde las compañías deben centrar sus esfuerzos es en educar a sus empleados en buenas practicas de seguridad de la información; por su parte, impartir charlas de como decir “NO”, bien lo dice el instructor; no debería ser viable introducir dispositivos USB de terceros a nuestros equipos de computo.

La seguridad de la empresa es tan fuerte como el eslabón más débil.

Una herramienta muy útil para el phishing es setoolkit que viene ya instalado en kali linux.

hay que destacar que esta modalidad en la actualidad es una de las que hace más ataques a civiles con el fin de robar cuentas bancarias

Cambiar claves con cierta perioricidad no incrementa la seguridad del sistema y puede ser de hecho contraproducente. El estandar NIST de contraseñas del año 2019 indica que el usuario no debe ser forzado a cambiar la contraseña con cierta perioricidad, pero incentiva el uso de autenticación de dos o multiples factores.

https://securityboulevard.com/2019/03/nist-800-63-password-guidelines/

Que buena clase 😃

Destaco mucho la labor del profesor de hacer un resumen con los más importante de cada video, es una síntesis perfecta…

En el 2005 tuve la oportunidad de conocer en persona a Kevin Mitnick cuando visito Argentina.
Participe de una charla técnica que me abrió el cerebro.
Si bien es una persona muy criticada por su pasado delictivo, pero vale la pena leerlo o escucharlo.

esteganografia,me gustaria ver un ejemplo para entenderlo mejor!

“Lo que tengo, lo que se y lo que soy” 😃

Ingeniería Social: Conceptos generales. Fases de un ataque de ingeniería social. Tipos de ataques
.
Ingeniería Social: es el arte de convencer a las personas de revelar información confidencial.
.
Fases de un ataque
• Obtener toda la información posible.
• Seleccionar la victima.
• Desarrollar la relación.
• Explotar la relación.
Tipos de Ataques
• Humanos: suplantación de identidades.
• Sistemas: archivos adjuntos.

Doble factor de autenticación: lo que tengo, lo que sé y lo que soy

no estoy muy de acuerdo en lo del cambio periodico de contraseñas , es mejor decirle al usuario que aplique una tecnica de memotecnia solida , asi se evita que el usuario tenga papelitos por todo lado con su contraseña del mes anotada, o q escriba cosas como el nombredemiperro123*

Tipos de Ataques

Basada en seres humanos y relaciones interpersonales: Suplantación, disfraz o en persona.
Basadas en sistemas: Ventanas pop-ups, archivos adjuntos, phishing

el usuario es el eslabón más débil

El tema de ingeniería social es muy común, por ejemplo a muchas personas les ha pasado que los llaman diciendo que son de una empresa tal pidiendo información y resulta que era suplantación.

O también mandando emails simulando que hubo un problema en alguna plataforma, clonan la plataforma y al ingresar la información es enviada al atacante. Anexo este video de Chema alonso haciendo un ejemplo:

https://www.youtube.com/watch?v=Ce8Jcrb7yOo

1. muy interesante esta clase y la explicación de la ingeniería social y como podemos defendernos de personas que intenten sacarnos información personal o de la compañía en la que trabajamos

• muy importante realizar el curso de ingeniería social donde se nos explica mas a fondo las diferentes maneras en las que podemos realizar ingeniería social y como podemos defendernos de ello

Para fortalecer , Cinco consejos para protegerse de la ingeniería social:

Agregue a favoritos los sitios web de confianza: es recomendable tratar las páginas web nuevas igual que a las personas que se acaban de conocer. Del mismo modo que no confía en todas las personas que conoce en cuanto las ve, no se fíe inmediatamente de los sitios que sólo ha visitado una vez.
Sospechas fundadas: nunca haga clic en enlaces sospechosos, independientemente de lo prometedores que parezcan los mensajes que los acompañan. Las promesas demasiado buenas para ser verdad son sólo eso.
El miedo no es una opción: no se deje intimidar por las amenazas. Muchos delincuentes utilizan el elemento sorpresa para asustarle y llevarle a  hacer algo que, en otras circunstancias, no haría. Siempre es mejor ignorar con rotundidad las tácticas que pretenden atemorizar.
Compartir conocimientos: comparta toda la información disponible con las personas de su entorno para que estén más protegidas. No permita que también caigan en las trampas de la ciberdelincuencia.
Prevenir es mejor que curar: invierta en una solución de seguridad eficaz que proteja su sistema y sus datos de todo tipo de amenazas. Explore y utilice las funciones de seguridad incorporadas de los sitios y páginas web que visite con frecuencia. Algunos sitios como Facebook incluso proporcionan información sobre las amenazas más recientes y consejos que le permitirán navegar de forma segura por sus páginas.

Para evitar que los usuarios guarden sus contraseñas en lugares poco seguros, hay que entrenarlos a que usen software gestores de contraseñas.
Uno que uso hace mas de 10 años es el KeePass

buen vídeo

Ataques basados en seres humanos

Tipos de ataques

Excelente. Seguimos avanzando.

exelente!

muy buena clase

Excelente clase profesor.

Execelente clase.

Muy buena e informativa clase. Hay que emplear más las buenas prácticas 😃

Muy buen aporte

Esta es una de las mas usadas en el ambito gubernamentel aqui en Mexico

muy interesante, gracias

Lineamiento operacional = Procedimientos de seguridad de la información

ahora quedo al 100% entendido el alcance de la ingenieria social.

Valiosa información …

“La ingeniería Social es el arte de convencer a las personas para que revelen información confidencial.”

Muy buen video!

Muy interesante esto de la ingenieria social, hay que estar preparados para todo, Gracias

Buen video

Muy buenas prácticas.

Ahora entiendo porque en el trabajo de seguridad, te dicen que no puedes entablar una relación amistosa con nadie, estas poniendo en riesgo tu seguridad tanto personal como empresarial.

¿Entonces no me gané un iphone? 😦

Claves principales para la autenticación: 1. Lo que tengo, 2. Lo que sé y 3. Lo que soy.

.

Muy buena información. Corrijo el atentado a las torres gemelas fue el 01 de Septiembre de 2001.

Importante tener en cuenta estos factores de riesgos ya que es muy comun observarlo en el entorno laboral.

Y yo que pensaba que era un paranoico por destruir mis papeles antes de tirarlo a la basura.

El periodo de cambio de contraseñas tan corto de 30 días, ocasiona a mi parecer más problema de seguridad, ya que al usuario se le olvida y lo único que van a hacer es incrementar un consecutivo, lo más recomendable que sea una contraseña larga con una frase que solo el usuario conozca y un doble factor de autentificación

La politica de password nombrada en el video tiene una posible vulnerabilidad, y es que muchas veces el cambio seguido de passwords hace que las personas no tengan de donde sacar nuevos passwords, por lo que usan una palabra y 123, despues 456 y así, numeros consecutivos que siguen un patron que puede llegar a ser descubierto

Un atacante es capaz de todo 🐀

El eslabón más débil en un sistema es el usuario sin preparación.

Algunos amigos me han comentado que buscan literalmente en la basura, buscando post-its, tickets… cualquier hoja donde este escrita información.

Ingenieria social… atacando al eslabon mas debil.

El factor humano es el eslabón más débil en la cadena de seguridad informática.
Y no sólo hablo de labor de ingeniería social, sino de : passwords en hojas post-it en las estaciones de trabajo, ausencia de protocolos para la destrucción de documentos(muchos pueden encontrar “tesoros” en la basura), instalación de módems en equipos de oficina para evadir firewall empresarial.etc.

el libro negro de los hacker, usalo con sentido de informarte

Si quieren profundizar en ingeniería social hay un libro excelente. “Social Engineering the science of human hacking” de Chris Hadnagy

Contramedidas para la ingeniería social

Ataques basados en sistemas

Dumpster Diving

Shoulder Surfing

Ataques en personas

Fases de un ataque

Definición de ingeniería social