Atacando un Banco con Ing. Social

Durante un test de intrusion a un cliente, en particular un Banco, se nos solicito realizar diferentes pruebas de Ingeniería Social. Una de ellas, consistia en ingresar fisicamente al edificio central y tratar de llegar hasta las oficinas del Gerente.

Antes de diseñar el ataque, decidi verificar como eran los controles del lugar visitando al Jefe de Seguridad de la Información, con la excusa de mostrarle el avance del test de intrusion externo e interno que estábamos llevando a cabo. Podia haber elegido al Jefe de Tecnologia para mostrarle algún nuevo producto, al de RRHH para mostrarle un plan de capacitación para el personal…cualquier excusa y cualquier contacto dentro del edificio hubiera servido.

Al llegar al edificio, a las 8 am en punto, me encuentro con personal de seguridad fuertemente armado en la puerta que me detiene, y me redirige al edificio vecino en busca de una acreditación. Al ir al edificio vecino, me encuentro con que la entrada no era muy diferente al anterior, dos hombres armados me abren una puerta de vidrio, detrás de la cual había un pequeño mostrador con un señor registrando a los visitantes. Muy amablemente, le comente a este ultimo que venia a visitar al Jefe de Seguridad de la Informacion, y que tenia una reunion con el.

El señor, me pidio mi identificacion y me dio una tarjeta de acceso. Mientras estaba esperando, observe un detalle no menor, el hombre aun tenia puesto el abrigo, es decir que acaba de ingresar a su puesto de trabajo.

Con mi tarjeta en la mano, me dirigi al edificio original, al que debía ir, y al tratar de entrar, la misma persona de seguridad que al principio no me dejo entrar, me volvió a frenar, tomo mi tarjeta, abrió la puerta con ella y llamo a otra persona de seguridad que me acompaño en el ascensor hasta las oficinas.

No puedo obviar contarles que al salir del ascensor no había ninguna oficina abierta, todas estaban cerradas con puertas y controles de acceso biometricos. En el pasillo solo podían verse algunas plantas y algunas impresoras de red, esas multifunción grandotas. Otro detalle importante, es que apenas se sale del ascensor, hay un cartel indicando que oficinas se encuentran en el piso, cuales a la derecha y cuales a la izquierda. A su vez, también observe las puertas de las salidas de emergencia, vecinas al ascensor, estaban abiertas (quizás porque muchos las usan para ir a fumar en esos lugares).

Finalmente, ingrese a la oficina del Jefe de Seguridad y me reuni con el. Mientras conversaba, note sobre su escritorio que tenia regalos de un proveedor, por lo que al salir investigue que relación tenia el Banco con esta empresa de servicios, y descubrí algo maravilloso: La empresa de servicios brinda outsourcing de Seguridad desde hace casi 4 años con el Banco.

Entonces, ahora si. A planificar el ataque.

Primero seleccionar quien seria el Ingeniero Social, para este caso donde son tantos guardias armados, la mejor opción fue elegir a una mujer… Converse con una de mis consultoras y la asesore sobre cada uno de los controles y como evadirlos:

Primero y principal, el personal de seguridad del edificio 2, entra a trabajar a las 8 am. . Pero que sucede si tenemos que entrar antes de ese horario? Así que le pedi que se presente antes del horario, a las 7:30 am.

Nuestra consultora se acerco y le indico a las personas armadas que debía ver al Jefe de Seguridad. El guardia pregunto de donde venia, para lo cual, la consultora de mi equipo saco una tarjeta impresa por nosotros el dia anterior, donde se podia leer su nombre y supuesto cargo, junto a los logos del proveedor que habíamos detectado…

Como el guardia de seguridad vio el logo conocido, le dijo:

“Mire, no la podemos registrar porque aun no llega mi compañero, pero igualmente pase por aquí…”

y abriendo la puerta la dejo entrar en el ascensor, donde el otro guardia esperaba. Este ultimo, la llevo hasta el piso del Jefe de Seguridad, y cuando estaba por bajar, nuestra consultora le dijo:

“…no se preocupe buen hombre, conozco el camino, vengo seguido…yo les golpeo la puerta.”

a lo que el guardia respondió sonriendo y permitiendole bajar del ascensor (definitivamente, fue una buena idea elegir una mujer para esta tarea).

Nuestra consultora primero recorrió el piso observando que había en cada impresora de red como le había indicado, y con su teléfono celular (una blackberry, tomo fotos de algunos documentos y otros los guardo en su cartera), obviamente se encontró con algunos documentos “poco importantes” : el mapa de red, el estándar de seguridad de los servidores Unix, etc etc…

Luego utilizo las puertas de las salidas de emergencia para moverse entre pisos, ya que como era de esperar, estaban abiertas…y así llego al piso indicado por un cartel como: “Oficinas del Directorio”, como creyó que era un buen lugar para quedarse, se quedo.

Su rol ahora, debía cambiar, por lo cual le indique que cuando hable con la secretaria del Gerente, se presente como personal de soporte del proveedor de servicios y que debíamos revisar su estación de trabajo (para ello presento otra tarjeta impresa por su nombre donde solo cambiaba el puesto en relación a la anterior). Nuestra consultora siguió al pie de la letra las indicaciones y la respuesta de la secretaria fue encantadora, le dejo su PC para que tome los datos necesarios, le permitió colocar un pendrive e instalar un programita “psssara hacer mas rápida la maquina” y finalmente, le ofreció abrirle la puerta de la oficina del Gerente y acceder a la PC con la clave del director que ella misma conocía, para solucionarle los problemas al jefe…

Podemos decir en este preciso punto: GameOver

Lo curioso de este caso, es que los controles era fuertes, pero se debilitaron ante una supuesta reunion fuera de horario, una tarjeta de presentación falsa (bueno, dos) y la amabilidad del Ingeniero Social. Tanto las armas de fuego, como las personas de seguridad, o hasta el mismo control biometrico dejaron de ser efectivos debido a la falta de concientización del personal.
Bueno gente, este es un ejemplo bien claro de un ataque exitoso utilizando Ingeniería Social. Y volvemos siempre al lema No Hay Sistema 100% Seguro, y el que lo niega, les esta mintiendo.

Fuente: http://estudiosantos.blogspot.com/

Comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Explotan el día cero de la VPN de Fortinet para robar credenciales

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS