Ingeniería Social en un Banco

A pedido de mi ahijado, continuo con otra anecdota de Ingeniería Social pero esta vez en un banco.

Durante un test de intrusion a un cliente, en particular un Banco, se nos solicito realizar diferentes pruebas de Ingeniería Social. Una de ellas, consistia en ingresar fisicamente al edificio central y tratar de llegar hasta las oficinas del Gerente.

Antes de diseñar el ataque, decidi verificar como eran los controles del lugar visitando al Jefe de Seguridad de la Información, con la excusa de mostrarle el avance del test de intrusion externo e interno que estábamos llevando a cabo. Podia haber elegido al Jefe de Tecnologia para mostrarle algún nuevo producto, al de RRHH para mostrarle un plan de capacitación para el personal…cualquier excusa y cualquier contacto dentro del edificio hubiera servido.

Al llegar al edificio, a las 8 am en punto, me encuentro con personal de seguridad fuertemente armado en la puerta que me detiene, y me redirige al edificio vecino en busca de una acreditación. Al ir al edificio vecino, me encuentro con que la entrada no era muy diferente al anterior, dos hombres armados me abren una puerta de vidrio, detrás de la cual había un pequeño mostrador con un señor registrando a los visitantes. Muy amablemente, le comente a este ultimo que venia a visitar al Jefe de Seguridad de la Informacion, y que tenia una reunion con el.

El señor, me pidio mi identificacion y me dio una tarjeta de acceso. Mientras estaba esperando, observe un detalle no menor, el hombre aun tenia puesto el abrigo, es decir que acaba de ingresar a su puesto de trabajo.

Con mi tarjeta en la mano, me dirigi al edificio original, al que debía ir, y al tratar de entrar, la misma persona de seguridad que al principio no me dejo entrar, me volvió a frenar, tomo mi tarjeta, abrió la puerta con ella y llamo a otra persona de seguridad que me acompaño en el ascensor hasta las oficinas.

No puedo obviar contarles que al salir del ascensor no había ninguna oficina abierta, todas estaban cerradas con puertas y controles de acceso biometricos. En el pasillo solo podían verse algunas plantas y algunas impresoras de red, esas multifunción grandotas. Otro detalle importante, es que apenas se sale del ascensor, hay un cartel indicando que oficinas se encuentran en el piso, cuales a la derecha y cuales a la izquierda. A su vez, también observe las puertas de las salidas de emergencia, vecinas al ascensor, estaban abiertas (quizás porque muchos las usan para ir a fumar en esos lugares).

Finalmente, ingrese a la oficina del Jefe de Seguridad y me reuni con el. Mientras conversaba, note sobre su escritorio que tenia regalos de un proveedor, por lo que al salir investigue que relación tenia el Banco con esta empresa de servicios, y descubrí algo maravilloso: La empresa de servicios brinda outsourcing de Seguridad desde hace casi 4 años con el Banco.

Entonces, ahora si. A planificar el ataque.

Primero seleccionar quien seria el Ingeniero Social, para este caso donde son tantos guardias armados, la mejor opción fue elegir a una mujer… Converse con una de mis consultoras y la asesore sobre cada uno de los controles y como evadirlos:

Primero y principal, el personal de seguridad del edificio 2, entra a trabajar a las 8 am. . Pero que sucede si tenemos que entrar antes de ese horario? Así que le pedi que se presente antes del horario, a las 7:30 am.

Nuestra consultora se acerco y le indico a las personas armadas que debía ver al Jefe de Seguridad. El guardia pregunto de donde venia, para lo cual, la consultora de mi equipo saco una tarjeta impresa por nosotros el dia anterior, donde se podia leer su nombre y supuesto cargo, junto a los logos del proveedor que habíamos detectado…

Como el guardia de seguridad vio el logo conocido, le dijo:

“Mire, no la podemos registrar porque aun no llega mi compañero, pero igualmente pase por aquí…”

y abriendo la puerta la dejo entrar en el ascensor, donde el otro guardia esperaba. Este ultimo, la llevo hasta el piso del Jefe de Seguridad, y cuando estaba por bajar, nuestra consultora le dijo:

“…no se preocupe buen hombre, conozco el camino, vengo seguido…yo les golpeo la puerta.”

a lo que el guardia respondió sonriendo y permitiendole bajar del ascensor (definitivamente, fue una buena idea elegir una mujer para esta tarea).

Nuestra consultora primero recorrió el piso observando que había en cada impresora de red como le había indicado, y con su teléfono celular (una blackberry, tomo fotos de algunos documentos y otros los guardo en su cartera), obviamente se encontró con algunos documentos “poco importantes” : el mapa de red, el estándar de seguridad de los servidores Unix, etc etc…

Luego utilizo las puertas de las salidas de emergencia para moverse entre pisos, ya que como era de esperar, estaban abiertas…y así llego al piso indicado por un cartel como: “Oficinas del Directorio”, como creyó que era un buen lugar para quedarse, se quedo.

Su rol ahora, debía cambiar, por lo cual le indique que cuando hable con la secretaria del Gerente, se presente como personal de soporte del proveedor de servicios y que debíamos revisar su estación de trabajo (para ello presento otra tarjeta impresa por su nombre donde solo cambiaba el puesto en relación a la anterior). Nuestra consultora siguió al pie de la letra las indicaciones y la respuesta de la secretaria fue encantadora, le dejo su PC para que tome los datos necesarios, le permitió colocar un pendrive e instalar un programita “para hacer mas rápida la maquina” y finalmente, le ofreció abrirle la puerta de la oficina del Gerente y acceder a la PC con la clave del director que ella misma conocía, para solucionarle los problemas al jefe…

Podemos decir en este preciso punto: GameOver

Lo curioso de este caso, es que los controles era fuertes, pero se debilitaron ante una supuesta reunion fuera de horario, una tarjeta de presentación falsa (bueno, dos) y la amabilidad del Ingeniero Social. Tanto las armas de fuego, como las personas de seguridad, o hasta el mismo control biometrico dejaron de ser efectivos debido a la falta de concientización del personal.


Como usuario, uno siempre supone que este tipo de entidades son las que mas han trabajado en temas de seguridad en los últimos años. Como consultor, estoy bastante seguro que así es, sin embargo nadie nos contrata para suponer, sino para demostrar la efectividad de los controles existentes.

Hace tiempo atrás, me toco trabajar en un proyecto muy interesante:

“Evaluar si las campañas de concienciación desarrolladas anteriormente habían sido efectivas o no dentro de un banco.”

En las reuniones con los responsables de seguridad, me definieron qué personas no querían “tocar” en las muestras (básicamente ninguno de los directores, ni al jefe de mi interlocutor…).

Lo malo de esta definición, es que la muestra no termina siendo real aunque es comprensible que así se haga (nadie quiere quedarse sin trabajo por contratar un análisis de seguridad). En cambio lo bueno de estas definiciones tan abiertas, es que tengo una gran variedad de victimas para elegir.

Luego de estudiar la información de la campaña realizada y ver las estadísticas de RR.HH. que indicaban que el nivel de conciencia en los empleados respecto a la seguridad de la información, había “aumentado un 93%” (vaya uno a saber como midieron eso), decidí que era hora de plantear algunos escenarios:

1) Atacar a los usuarios claves (tesoreros, RR.HH., comercio exterior, etc.), con un golpe certero, logrando así obtener información concreta.

2) Atacar a los usuarios técnicos (admin, soporte, desarrollo, etc.), logrando así obtener información que me permita comprometer equipos, o servidores o aplicaciones.

3) Atacar a los usuarios mas descuidados por la entidad, logrando así menor cantidad de información pero pudiendo trabajar con mayor tranquilidad una vez comprometidas las victimas.

De los tres planteados, decidí quedarme con el ultimo debido a que consideré que seria el mas acorde para cubrir el objetivo inicial del proyecto (medir la efectividad de las campañas de concienciación). Ya seleccionado el escenario, plantee una de mis suposiciones mas comprobadas en mi experiencia personal:

- Las campañas de educación, concienciación y/o entrenamiento, normalmente son mas intensivas en las sedes centrales que en las sucursales del interior del país, sobre todo si ellas se encuentran en ciudades chicas, con pocos pobladores y por ende, pocos empleados…

Lo primero que hice fue revisar el mapa de sucursales de la entidad en el interior para luego con la ayuda de internet (y confieso que de algunas enciclopedias en papel también), buscar los 6 pueblos que se adaptaban en primera instancia, tanto a mi escenario como a mi suposición.

Con las sucursales mas chicas identificadas, comencé a realizar unos llamados preliminares para conocer el perfil humano de las víctimas haciendo consultas referidas a créditos, prestamos, etc. etc…

Acompañando estos llamados, trabajamos en la etapa de Information Gathering averiguando nombres de las personas que trabajan en las sucursales, números de teléfono directos y sobre todo las cuentas de mails a las cuales les enviamos publicidades con paginas falsas controladas por nosotros solicitando credenciales y evidenciando que la campaña sobre el tema phishing no había sido taaannn efectiva…

Finalmente, la víctima de las pruebas on-site fue seleccionada, una sucursal al norte de la Argentina (bien al norte), en un pueblito con no mas de 3000 habitantes en la zona urbanizada (en ese momento) y 8 personas en la sucursal, realmente todas ellas muy amables.

Como parte de la etapa de planificación, envié a estampar 10 remeras blancas con el logo de la entidad en un solo color (no era necesario mas colores, y además no me aprobaron el presupuesto para mas de uno) tomé mi auto y junto a mi compañero de trabajo, nos dirigimos al pueblo luciendo nuestras remeras recién estampadas.

Viajamos durante casi un día entero, pero cuando llegamos estacionamos el auto en la puerta de la sucursal poco antes de las 8:30 de la mañana y para nuestra alegría, dos personas que trabajaban allí salieron a recibirnos alegremente. Este particular hecho, se debió a que minutos antes, otra persona de nuestro equipo llamó por teléfono a la sucursal y habló con el responsable de la misma, indicándole que un par de personas del departamento de sistemas de casa central estaban haciendo tareas de mantenimiento en la región y pasarían por el pueblo para dar una charla, trabajar con los equipos por requerimiento de auditoria interna, y además entregar unas cosas del área de marketing, a su vez hizo hincapié en lo importante que es para auditoria interna y la dirección que todos participen de la charla.

Una vez dentro de la sucursal, tomamos un café y circularon algunos mates mientras preparábamos la sala de reunión para el curso. Y antes que en la sede central se pongan a trabajar (a las 9 hs), ya había logrado reunir a todo el personal de la sucursal en el aula, por lo que hice lo que debía hacer: comencé a dictar una charla de concienciación en seguridad de la información con videos divertidos y juegos entretenidos.

Para aprovechar el tiempo de nuestra corta visita, mi compañero directamente comenzó a trabajar con cada computadora de la sucursal mientras sus dueños seguían atentos mi charla.

Claro esta que mi compañero cada tanto interrumpía mi planificado y armonioso curso para hacer consultas a determinados usuarios, del tipo:

- Sabes que estamos cambiando algunos de los servidores, pero para terminar de configurar necesito ingresar con tu cuenta SAP, me pasas la clave así no te interrumpo el curso??

U otras del tipo:

- se me bloquea tu pc cada 10 minutos, porque no me anotas tu clave de red para no tener que venir a buscarte a cada momento.

La maquina elegida para comenzar (y a la que mas tiempo le dedicamos a la captura de evidencias) fue la del responsable de la sucursal, por lo cual obtuvimos algunos archivos interesantes, instalamos un troyano, revisamos autorizaciones en el sistema de gestión, accedimos al CV del personal, accedimos a su correo, estuvimos en condiciones de dar autorizaciones en el sistema, etc. etc. que no creo sea necesario seguir especificando.

El tiempo que tuvimos no fue demasiado, fue solo casi 1 hora 30 minutos lo que duro ya que a las 10 comenzaba la atención al publico y debían abrir las puertas de la sucursal,

Como teníamos el control absoluto de la sucursal en el rango horario de las 8:30 a las 10:00, mi compañero se encargo de tomar el control de la central telefónica de una marca conocida que empieza con Pana, por lo cual cualquiera que llamara a cualquiera de las líneas del banco, se encontraría con el tono de “línea ocupada”. Los celulares pudieron haber sido un mal para nosotros…pero el inhibidor de celulares que usábamos para otras tareas, nos fue de mucha utilidad dentro de la sala, ya que tan solo necesitaba cubrir un par de metros cuadrados y sobre todo no era visible, aunque si era considerable el peso en mi bolso…por suerte nadie me pidió revisarlo.

Creo que el punto quedo claro, una vez mas: Game Over.

Concientizar, no es solo dar una charla, ni poner un cartel en la cartelera o la intranet. Es transmitir un mensaje y que el mismo sea internalizado por el remitente de manera que sus acciones preventivas se conviertan en un habito.

Conclusión principal: en los proyectos de concienciación, es sumamente importante involucrar a “todo” el personal de la empresa, no solo a los que están en las ciudades principales, ni solo a los que manejan información sensible.

Conclusión secundaria: lo bueno de hacer estas pruebas fuera de las grandes ciudades, es que la atención es realmente muy buena y hacen nuestro trabajo de consultoría mucho mas satisfactorio (se que parte del personal de la sucursal lee el blog, así que les mando un gran abrazo y sepan que los troyanos instalados fueron desinstalados remotamente al segundo día de la prueba.

Fuente:http://blog.segu-info.com.ar/#axzz1G8n1IdYT

Comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Explotan el día cero de la VPN de Fortinet para robar credenciales

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS