Capacitación en ingeniería social

2

Scam de ingeniería social: Su contraseña no tiene ningún valor

CBS | Jue, 27 dic 2012 07:39:30 -0400

Delincuentes avezados pueden lograr acceso a su cuenta convenciendo con su labia a representantes de servicio al cliente que valoran más el servicio al cliente que la

seguridad.

Scam de ingeniería social engaña

a representantes de servicio News Now : 17 de enero de 2013 : CU/System

Ejecutivo de Notre Dame: Jugador atrapado en el scam

'Bagre' La relación de Manti Te’o con una joven -–

reveló ser parte de un engaño.

Tarjeta de regalo falsa de Target por

$1,000 es el scam del año por Matt Brownell

5:01PM 1/18/2013

Un concurso falso por una tarjeta de regalo de Target con valor

de $1,000 fue declarada el "Scam del año" del 2012 por

Scambook, la plataforma de resolución de quejas en línea. La

mayoría de las víctimas de este timo "smishing" no ha perdido

dinero todavía. Pero la mala noticia para los que se tragaron el

cuento es que el problema apenas ha comenzado.

¿Ha visto titulares como estos?

Esta capacitación está diseñada para aumentar su conocimiento de ingeniería social para protegerlo a usted y a Perrigo.

Timadores piratean las computadoras de las víctimas llamando por teléfono

Por ABC News Publicado 1:00PM 02/05/13

¿Qué es ingeniería social?

Ingeniería social es cuando una persona malinten-cionada...

3

usa información disponible públicamente u obtenida ilegalmente (por ejemplo, tarjetas de crédito robadas, basura, etc.)

para ganarse su confianza y

establecer un relación creíble...

para obtener información confiden-cial y valiosa de usted para perjudicarlo a usted o su compañía – por lo general económicamente.

Mujer de Vineland pierde $2,500 en scam de suplantación

de imagen de una empresa. TheDailyJournal.com

1 2

3 4

¿Por qué es esto importante para usted?

4

•Es imposible conocer a cada empleado que le llama

o envía mensajes por correo electrónico

•Los ingenieros sociales aprovechan la confianza de

una persona para obtener información y a menudo

comienzan con una solicitud que parece inocente (p. e., habla Jane en la Planta 7, ¿podría comunicarme con el

gerente de nóminas? Tengo una pregunta acerca de mi cheque.)

•Perrigo guarda información personal confidencial

acerca de los empleados, dar accidentalmente esa

información puede conducir a robo de identidad

•Los derechos de propiedad intelectual y procesos

comerciales de Perrigo están en riesgo cuando se

permite inadvertidamente que extraños obtengan

indebido acceso físico o a información

¿Cómo lo hacen?

Correo de voz y correo electrónico

Un mensaje de voz que contiene detalles acerca de un empleado da a un ingeniero

social información valiosa

Una respuesta indicando que está fuera de la oficina propicia la oportunidad para actuar

maliciosamente

Los medios sociales

Los portales web en los que proporciona detalles personales o profesionales dan

información útil a un ingeniero social

Dar información acerca de usted puede dar respuestas a preguntas diseñadas a

proteger contraseñas (por ejemplo, su ciudad natal, nombre de colegios, familia o

nombre de mascotas)

5

¿Cómo lo hacen? Suplantación de la imagen de una empresa

Pueden crear una situación fraudulenta para engañar a una persona con el fin de

que les permita acceso o les dé información

Pueden hacerse pasar por una persona que tiene acceso a información confidencial

o un visitante legítimo (un cliente, representante de ventas, técnico de servicio, etc.)

para obtener acceso a datos o acceso físico a edificios

Actuar con confianza y amablemente ayuda al ingeniero social a obtener acceso en tanto que

minimiza el escepticismo de los que les rodean

6

¿Cuál es la apariencia de la ingeniería social?

7

Advertencias que parecen venir de una fuente seria, como Microsoft, que contienen advertencias fuertes y recomendaciones para tomar medidas. Esto instala frecuentemente malware que capta información en su computadora.

* Fuente: Guía para fraudes en línea, Microsoft

¿Cuál es la apariencia de la ingeniería social?

8

¿Cómo puede reconocerla?

9

Presentación no profesional Mal inglés

Mal inglés

Pedido extraño

Enlace engañoso al

portal web del scam

Palabra mal

escrita o no

existente

Dirección de correo-e

que no es del

remitente indicado

¿Cómo puede reconocerla?

* Fuente: Guía para fraudes en línea, Microsoft

10

-Una dirección de correo-e sospechosa. (Observe que aunque dice que es del equipo Outlook (la dirección del correo-e no es una dirección de Outlook).

-Fórmula de saludo genérica en lugar de usar un nombre. -Mensajes alarmistas o pedidos urgentes para descargar o instalar algo. El timador está tratando de crear un sentido de urgencia para que usted responda sin pensar. -Errores gramaticales y ortográficos, los cuales se usan para romper los filtros anti-phishing. -Solicitudes para verificar o actualizar su cuenta, dar orden de no pagar un cargo y otras similares.

¿Cómo puede usted prevenir la ingeniería social?

Sea cauteloso cuando reciba mensajes sospechosos

Piense antes de abrir enlaces en mensajes electrónicos de remitentes

desconocidos, especialmente si parecen sospechosos

Revise cuidadosamente la dirección de correo-e del remitente y si la dirección completa no es

visible, sostenga el cursor arriba para verla

Ejemplo: CarneyMark@grace.ocn.ne.jp

(Observe .jp, indica Japón. ¿Por qué el remitente usa una dirección de correo en Japón?)

11

Guarde la información confidencial acerca de usted

y Perrigo

Busque direcciones de portales web que

comienzan con https (“s” significa seguro) y el ícono de

un candado (indica un portal web seguro)

¿Cómo puede usted prevenir la ingeniería social?

12

Nunca desactive el cortafuegos de su computadora

Sea cauteloso cuando reciba llamadas telefónicas /

mensajes de correo-e no solicitados y no dé el control de su computadora a ninguna persona a la

que usted no haya solicitado asistencia

no dé la información de contacto de Perrigo (por ejemplo,

¿quién dirige vuestras adquisiciones?)

A las preguntas de desafío o seguridad considere dar

respuestas incongruentes

Ejemplos:

Nombre de soltera de la madre – Ene12345

Su fecha de nacimiento – AnaMaría

Su color favorito - FordMustang

* Fuente: Guía para fraudes en línea, Microsoft

Cree contraseñas complejas

mezcle letras mayúsculas y minúsculas, números y símbolos, si es posible

no use la misma contraseña para el inicio de sesiones (red, hotmail, ebay, LinkedIn, Facebook, etc.)

Su responsabilidad Cumpla con la Política de seguridad e información corporativa de Perrigo

y use las computadoras adecuadamente:

Todas las solicitudes o servicios relacionados con IT se deben hacer a través

de Technology Assistance Gateway; no se puede hacer compromiso fuera de

IT&S para probar, usar, comprar software

No guarde información confidencial de Perrigo en dispositivos no

proporcionados por Perrigo (unidad flash USB, otras PC, teléfonos celulares)

No permita que nadie (ni siquiera un empleado de Perrigo que usted

conoce) entre en una instalación de Perrigo si no puede escanear su

credencial de identificación. Si ha perdido su placa de identificación,

repórtelo de inmediato

13

Su responsabilidad (continuación)

No revele su contraseña del sistema a nadie (ni siquiera a su gerente)

Limite los detalles disponibles a la vista del público en la internet acerca

de usted y su relación con la compañía

Esté consciente de revisar documentos confidenciales en lugares públicos

y considere el uso de una pantalla de seguridad

Mantenga su atención en la seguridad y en el entorno que lo rodea,

conversaciones e interacciones en el trabajo; asuma la seguridad en su

departamento

Si no está seguro de una situación, pregunte a:

su gerente IT&S a través de TAG

14

Ejemplos de trabajo de ingeniería exitosa (lectura opcional)

15

16

Ejemplos de ingeniería social exitosa: El Dr. X y la Dra. Y

El Dr. X y la Dra. Y se conocen en una conferencia médica, donde la Dra. Y compartió su nombre de usuario en un folleto para un portal de red social creada para la comunidad médica.

Al poco tiempo después, el Dr. X envió un mensaje a la Dra. Y a través del portal preguntándole qué software usaba para gestionar los archivos de sus pacientes. Estaba pensando actualizar su software y sabía que ella manejaba un consultorio eficiente.

Debido a que ambos formaban parte de un red de médicos, la Dra. Y le dijo que usaba Patient Relation 10.0 y estaba muy contenta con el software.

Un par de días después, el Dr. X llamó a la Dra. Y y le preguntó el nombre de su técnico de software para hacerle algunas preguntas técnicas relacionadas con el software. Ella gustosamente le dijo que su contacto en Patient Relation era Kenneth.

17

Al día siguiente temprano, el cómplice del Dr. X llamó a la recepcionista, Priscilla. Le dijo que su nombre era Terry y que trabajaba con el software Patient Relation. Alegó que estaba reemplazando a Kenneth, quien tenía el día libre por enfermedad.

Después de halagar a Priscilla, Terry le dijo que necesitaba hacer una

actualización crítica de seguridad (versión 10.1) al sistema de software de la Dra. Y. Añadió, además, que si no se hacía de inmediato, el sistema quedaría vulnerable a los piratas informáticos.

Como Kenneth estaba enfermo, Terry le dijo a Priscilla que no tenía ni su nombre de usuario ni su contraseña para hacer los cambios. Terry también le ofreció a Priscilla enviarle un mensaje a través del portal de la red social cuando concluyera la actualización para que ella cambiara su contraseña de inmediato pidiéndole para ello su nombre de usuario.

Sabiendo Priscilla que Patient Relation era el paquete de software que usaba su oficina para llevar el control de los expedientes de los pacientes, que usaban actualmente la versión 10.0, que Kenneth era el nombre de su técnico regular, y no queriendo ser responsable de una infiltración en los datos, Priscilla proporcionó a Terry la información que le facilitó tener acceso total a miles de expedientes de los pacientes.

Errores cometidos: La Dra. Y permitió que el Dr. X conociera detalles acerca de su consultorio que le permitieron crear una persona que parecía ser creíble La persona que llamó creó un falso sentido de urgencia. Las actualizaciones de software deben programarse con anticipación y ser iniciadas por el cliente, no por la compañía de software Priscilla dio al ingeniero social el nombre de usuario y contraseña

Ejemplos de ingeniería social exitosa: El Dr. X y la Dra. Y

18

Ejemplos de ingeniería social exitosa: Robos en casilleros de gimnasios

Hay robos frecuentes de los casilleros de los gimnasios. Cuando una persona va al área de gimnasia, pone su teléfono celular y su cartera en un casillero usando un candado con combinación. Alguien que se para detrás lo graba con una minicámara. Tan pronto la persona se va, el ladrón abre el casillero, abre el teléfono celular, hace clic en unas cuantos teclas, lo cierra y pone el teléfono celular de nuevo en el casillero. Agarra la cartera o billetera, cierra el casillero, lo asegura y se va.

Cuando la persona se va del gimnasio, se da cuenta que le falta su cartera o billetera y comienza la ansiedad. Mientras busca apresuradamente su billetera en el carro u otro lugar recibe una llamada: “Este es el Banco SuConfianza. Nos parece que alguien está tratando de sacar dinero de su cuenta. ¿Le han robado su billetera recientemente?” El terror se apodera de la persona inmediatamente y está dispuesta a hacer lo que sea para protegerse. La persona que llama del banco, que no es realmente del banco, dice, “Bueno, estamos aquí para protegerlo. Eso es lo que hacemos. Para cancelar el acceso a la cuenta, necesito verificar el número de su Seguro Social. También podemos cancelar la tarjeta. ¿Cuál es su PIN?” En vista de que la persona está apresurada y nerviosa, no lo piensa dos veces.

Errores cometidos: Dejar artículos confidenciales e importantes en un casillero del vestidor puede resultar riesgoso, especialmente si hay otras personas cerca

En caso de que pierda su cartera, asegúrese de llamar a su banco para tomar medidas de seguridad; no dé datos personales a un representante que se comunica con usted

19

Un CEO le dijo una vez a un ingeniero social con experiencia que la piratería informática sería prácticamente imposible en su caso porque él “protegía sus secretos con su vida”.

En lugar de preguntar al CEO nada más por su contraseña, él recopiló información sobre la ubicación de los servidores, direcciones de IP, direcciones de correo-e, teléfonos, direcciones físicas, servidores de correo, nombres y cargos de los empleados y mucho más.

Además mediante Facebook pudo conocer detalles acerca del restaurante y el equipo deportivo favoritos del CEO. Pero su búsqueda rindió verdaderos frutos cuando supo que el CEO participaba en la recaudación de fondos para el cáncer debido a una exitosa batalla contra el cáncer de un miembro de su familia. Llamó al CEO y se presentó como un recaudador de

fondos de una entidad benéfica para el cáncer con la que el CEO había tenido relación en el pasado.

Le informó que a cambio de donaciones ofrecían un sorteo —y los premios incluían entradas a un partido de su equipo favorito, así como certificados de regalo para varios restaurantes, incluyendo su lugar preferido. El CEO se interesó y aceptó que le enviaran un PDF con mayor información sobre la campaña de recaudación de fondos.

A poco de enviar el PDF, el CEO lo abrió, instalando un shell que permitió al ingeniero social tener acceso a su máquina. Cuando informó a la compañía sobre su exitosa "incursión" en la computadora del CEO, el CEO estaba disgustado, lo cual es comprensible, y le pareció que no era justo que esta información fuese usada en su contra. Los ingenieros sociales no vacilan en utilizar cualquier información en su contra.

Errores cometidos:

El CEO no verificó la identidad de la persona que llamó para asegurarse de que era representante de una organización benéfica

Si el CEO quería participar en el evento, debería haber visitado por su cuenta el portal web de la entidad benéfica y no a través del enlace que le fue enviado

Ejemplos de ingeniería social exitosa: Las obras de beneficencia y el CEO