Ingeniería Social en el evento 8.8 2013

Este fin de semana encontré colgado en la web, la conferencia de nuestro amigo Claudio Caracciolo ( @holesec ) en el evento chileno de Seguridad Informática 8.8 Computer Security Conference 2013.

Why our brain is so delicious? Es el nombre de su conferencia, que desde ya, les pido a todos que no se la pierdan.


8.8 2013 - Why our brain is so delicious? from 8dot8 on Vimeo.

Existen hoy muchas charlas sobre Ingeniería Social, sobre herramientas, sobre técnicas...y de hecho quienes trabajamos en seguridad solemos pensar que ya sabemos todo al respecto.

Pero qué hace que esto sea posible realmente? Controlar la mente, las emociones y manipular a la víctima es fácil cuando la víctima esta distraída o no entiende de que hablamos... qué pasaría si nuestra víctima es una persona preparada? qué pasa si alguien quiere hacernos un ataque a nosotros? Lo lograría? En esta presentación veremos que sí, que todos somos potenciales víctimas y el éxito de nuestro atacante solo depende de su habilidad para saber que punto de nuestro cerebro tocar, que parte de la memoria emotiva llamar o bien, determinar que tema no conocemos para afectarnos directamente y controlarnos.

La magia, la psicología, la neurociencia... todo tiene que ver con un ingeniero social, pero lo más interesante es que probablemente nunca estudió nada al respecto. Cuánto conocemos realmente de esto? Cuánto podemos entender para considerar que la ingeniería social es una técnica de hacking y no una simple estafa?

Mi ponencia trata de tocar la ingeniería social desde una óptica distinta, para que los que trabajamos en seguridad de la información repensemos en los consejos que damos a nuestros clientes y/o usuarios en las campañas de concienciación.

No hablare de Phishing ni de los 4 conceptos de Kevin Mitnick, no iré a lo obvio, sino a lo profundo de nuestra mente.

Saludos!

Fuga de Información

Hoy nuevamente quería comentarles un poco sobre uno de los problemas que como Administradores de Redes nos preocupa y mucho, la Fuga de Información.

Es imposible hablar sobre la fuga de información o la filtración de documentos confidenciales y no recordar lo pasado con Wikiliks en Noviembre del 2010, uno de los hechos históricos más populares de los últimos tiempos donde se infiltraron más de 250.000 archivos del Departamento de Estados unidos y sus embajadas.

En este tema hay una realidad, y es la dificultar técnica para administrar y gestionar toda la información que se procesa en una empresa u organismo, la gran mayoría catalogada como crítica o confidencial y que bajo ningún aspecto debería estar en manos de usuarios no autorizados.

Por otro lado si nos enfocamos al aspecto humano existe la posibilidad que los empleados disconformes con su trabajo sean quienes roben la información y la utilicen con fines de extorsión o comercialización de intereses externos, etc.

La fuga de información también puede estar dada por un ataque dirigido de Ingeniería Social hacia empleados para obtener información de cualquier índole o simplemente por no llevar una política adecuada de eliminación de esa información, robos de equipos como PC, Laptop, smartphone, etc.

Resumen de lo que fue el evento Mkit Ángeles y Demonios

El pasado 12 del 12 del 12 la empresa Mkit cerró el año con un evento llamado Ángeles y Demonios dando participación a un listado de profesionales de la seguridad informática.

En lo personal, he tenido que seguirlo por Streaming a todo el evento y realmente estuvo fantástico, anoche, Matias Katz fundador de Mkit y organizador del evento, dio a conocer que ya se encontraba disponibles todos los videos de la jornada y me pareció el momento apropiado para también compartirlo con ustedes.

Por otro lado, entre los conferencistas encontramos a Gustavo Presman, Claudio Caracciolo, Pedro Janices, Miguel Sumer Elias, Cristian Amicelli y Gustavo Ogawa.

En términos generales, un fantástico evento con más de 200 asistentes presenciales y 700 en el streaming, que promete en este 2013 repetirse y organizar nuevos en diferentes lugares.

Saludos!

Enlace | Mkit Angeles y Demonios

Engaños por email

Que bueno que este tipo de email por lo menos lo analizó outlook.com y lo almacenó en correo no deseado, pero pese a eso no es suficiente para detener y combatir este tipo de engaño tan frecuentes en los correos electrónicos.

Por otro lado es oportuno aclarar que esto no tiene nada que ver con los hackers ni con el espíritu y la ética hacker, este email que les voy a transcribir corresponde a verdaderos delincuentes que intentan sacar partido haciendo uso de engaños e ilusión a las personas.

CLASSIFIED INFORMATION‏

Hello,

I am Mr. Richard L. Duncan the Assistant General Manager for Public Safety and Security at City of Atlanta, Hartsfield-Jackson Atlanta Intl Airport Georgia USA. During my recent withheld package routine check at the Airport Storage Vault, I discovered an abandoned shipment from a Diplomat from London and when scanned it revealed an undisclosed sum of money in a metal trunk box. The consignment was abandoned because the Contents of the consignment was not properly declared by the consignee as “MONEY” rather it was declared as personal effect to avoid interrogation and also the inability of the diplomat to pay for the United States Non Inspection Charges which is $3,700USD. On my assumption, the box will contain about $2.5 Million to $3 Million and the consignment is still left in our Storage House here at the Hartsfield Atlanta International Airport Georgia till date. The details of the consignment including your name, your email address and the official document from the United Nations office in Geneva are t

2 charlas TEDx que seguro te van a gustar

La primera charla fue en el TEDxUTN por Claudio Caracciolo @holesec llamada "De las emociones a las experiencias" donde de forma muy simple nos comenta cuestiones de la Ingeniería Social.

Lotería de Microsoft

Hace mucho que no recibía un #SPAM tan elocuente como éste. Resulta que ahora gracias a Microsoft según este correo, soy el ganador de una incalculable suma de dinero! Totalmente falso.

Un correo que comúnmente se suelen enviar a las personas con un par de archivos adjunto de dudoso contenido y la solicitud de envío de información personal para la acreditación o depósito del premio.

El correo tiene características de #SPAM con el objetivo del engaño a las personas que lo reciban, su remitente es extremadamente falso de dominio Fondation1@t-online.de, por otro lado la redacción es espantosa, mezclando algunos idiomas, dejan correos y apellidos totalmente falsos con el simple objetivo de engañar a quién se encuentra con este correo.

De más está decir que ésto es un total Fraude y afortunadamente haciendo uso de nuestro sentido común podemos evitar estas estafas, falsificación de identidad y robo de información.

Les dejo un par de parámetros por los cuáles NUNCA pude haber ganado.

Nuestra información en la red

No voy a realizar ningún comentario respecto a este video, simplemente invitar a que lo vean.

Saludos!

De las emociones a las experiencias

TEDxUTN contó con la participación de Claudio Caracciolo en una charla donde nos explica que es la Ingeniería Social en menos de 20 minutos.

Cuidado! Ingeniería Social en email

Este es un tipo de engaño muy conocido que tiene como finalidad obtener información y acceso a las cuentas de correo de los usuarios. Para qué utilizar fuerza bruta para obtener las claves o contraseñas cuando el mismo usuarios podría llegar a darte esa información.