Disponible el Reporte del CTF de Ingeniería Social de DefCon24

Por séptimo año consecutivo, la iniciativa Social-Engineer.org, organizó el Capture The Flag (CTF) de Ingeniería Social en el Social Engineer Village del DefCon 24 último (SECTF). Éste año, se realizó una selecta eliminatoria entre 150 participantes con múltiples tipos de background, siendo únicamente 14 de éstos los participantes para el CTF Final. El objetivo: obtener información sensible de empresas de Seguridad Informática.

Inicialmente, SECTF realiza llamados para solicitar empresas voluntarias para ser el objetivo de los participantes. No se obtuvo ningún voluntario, de tal forma que un jurado especializado realizó la selección de éstas empresas. Bajo estrictas medidas de no divulgación de información sensible, y apegándose a las leyes del estado de Nevada, cada participante se integró a esta actividad. Ningún dato sensible fue almacenado para evitar fuga de información.

Cada participante tuvo 3 semanas para recolectar la mayor cantidad de información posible de su objetivo (el cuál fue asignado de manera aleatoria, y asegurándose que cada participante no tuviese ninguna relación previa con su objetivo), para poder, posteriormente generar un reporte. Se permitió el uso de la metodología OSINT (Open Source Intelligence), mediante la cual se utilizan herramientas como Google, FOCA, Maltego, Facebook, LinkedIn, theHarvester, etcétera. Posteriormente, durante el SECTF, cada participante necesitaba realizar llamadas telefónicas con el objetivo de obtener información sensible, previamente seleccionada por el jurado calificador; mientras más sensible fuese dicha información, mayor puntaje obtendrían.

Los resultados obtenidos, de la actividad OSINT son por demás interesantes:

  • Información de empleados: se logró identificar información personal de empleados de alto rango a través de redes sociales, como actividades, intereses, hábitos de compra, dirección física, estado civil e información de familiares. Muchas de éstas personas postean fotografías de sus escritorios de trabajo en redes sociales, en donde se pudo observar tipos de computadoras utilizadas y en algunos casos información sensible en las pantallas de éstas. Asimismo, éstos colaboradores incluían información detallada sobre su experiencia e histórico laboral en redes sociales. Toda una mina de oro para explotar.
  • Tecnologías: durante la fase de OSINT se logró identificar basta información sobre sistemas operativos y hardware utilizado. Mucha de ésta información fue obtenida en los perfiles de redes sociales de las víctimas. También, en muchos casos se logró obtener diagramas de red, conexiones VPN y conexiones Wifi de las víctimas en su organización.
  • Planta física: se identificó múltiples organizaciones con cafetería abierta al público, dejando vulnerables tanto las oficinas como a los colaboradores mismos; también se logró obtener detalles acerca de la ubicación física de las organizaciones, utilizando Google Maps (ubicación de cajeros, departamentos de seguridad, etc).

Una vez obtenida la mayor cantidad de información preliminar posible, los participantes debían proceder a realizar llamadas telefónicas con el objetivo de extraer la mayor cantidad de información sensible (vishing), y así lograr obtener la mayor puntuación posible.

1

Preguntas base para Vishing

Dentro de las principales conclusiones, cabe resaltar:

  • La Ingeniería Social continúa siendo un riesgo latente en temas de seguridad para las organizaciones.
  • A pesar de que las organizaciones continúan invirtiendo en educación y concientización para sus colaboradores, y para el desarrollo de políticas, los resultados demuestran que la mayoría de organizaciones no está haciendo la tarea adecuadamente. No todos los participantes eran profesionales de Seguridad de la Información experimentados, pero todos fueron posibles de obtener puntajes por sus hallazgos. Pareciera que los colaboradores no están siendo educados para comprender el valor de la información que poseen, o cómo protegerla.
  • Si la tarea d educación es una actividad de mediano o largo plazo, los colaboradores necesitan, como mínimo, tener protocolos que les permitan conocer la manera adecuada de responder llamadas, y de ésta forma evitar ser víctimas de fraude telefónico.
  • Las organizaciones continúan teniendo información sensible publicada en internet.
  • Otro reto que tienen las organizaciones, es la capacidad de tener control total de sus redes sociales e información publicada por sus actuales y anteriores colaboradores. Los participantes encontraron información valiosa a través de éstos recursos públicamente disponibles.

Puedes descargar ya el Social Engineer Capture The Flag DefCon24 Report, para conocer todos los detalles.

Desde Devel Security by Deloitte, ofrecemos una línea de servicios orientados a testear y mitigar ataques de Ingeniería Social, proveyendo pruebas de intrusión físicas, pruebas de phishing, así como actividades de concientización a los colaboradores de las empresas. Si estás interesado en éste tipo de servicios, no dudes en contactarnos.