Information Security by me…
"Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas." A.Einstein

Ingeniería Social en un Banco (parte 1)

A pedido de mi ahijado, continuo con otra anecdota de Ingeniería Social pero esta vez en un banco.

Durante un test de intrusion a un cliente, en particular un Banco, se nos solicito realizar diferentes pruebas de Ingeniería Social. Una de ellas, consistia en ingresar fisicamente al edificio central y tratar de llegar hasta las oficinas del Gerente.

Antes de diseñar el ataque, decidi verificar como eran los controles del lugar visitando al Jefe de Seguridad de la Información, con la excusa de mostrarle el avance del test de intrusion externo e interno que estábamos llevando a cabo. Podia haber elegido al Jefe de Tecnologia para mostrarle algún nuevo producto, al de RRHH para mostrarle un plan de capacitación para el personal…cualquier excusa y cualquier contacto dentro del edificio hubiera servido.

Al llegar al edificio, a las 8 am en punto, me encuentro con personal de seguridad fuertemente armado en la puerta que me detiene, y me redirige al edificio vecino en busca de una acreditación. Al ir al edificio vecino, me encuentro con que la entrada no era muy diferente al anterior, dos hombres armados me abren una puerta de vidrio, detrás de la cual había un pequeño mostrador con un señor registrando a los visitantes. Muy amablemente, le comente a este ultimo que venia a visitar al Jefe de Seguridad de la Informacion, y que tenia una reunion con el.   

El señor, me pidio mi identificacion y me dio una tarjeta de acceso.   Mientras estaba esperando, observe un detalle no menor, el hombre aun tenia puesto el abrigo, es decir que acaba de ingresar a su puesto de trabajo.

Con mi tarjeta en la mano, me dirigi al edificio original, al que debía ir, y al tratar de entrar, la misma persona de seguridad que al principio no me dejo entrar, me volvió a frenar, tomo mi tarjeta, abrió la puerta con ella y llamo a otra persona de seguridad que me acompaño en el ascensor hasta las oficinas.   

No puedo obviar contarles que al salir del ascensor no había ninguna oficina abierta, todas estaban cerradas con puertas y controles de acceso biometricos. En el pasillo solo podían verse algunas plantas y algunas impresoras de red, esas multifunción grandotas. Otro detalle importante, es que apenas se sale del ascensor, hay un cartel indicando que oficinas se encuentran en el piso, cuales a la derecha y cuales a la izquierda. A su vez, también observe las puertas de las salidas de emergencia, vecinas al ascensor, estaban abiertas (quizás porque muchos las usan para ir a fumar en esos lugares).

Finalmente, ingrese a la oficina del Jefe de Seguridad y me reuni con el. Mientras conversaba, note sobre su escritorio que tenia regalos de un proveedor, por lo que al salir investigue que relación tenia el Banco con esta empresa de servicios, y descubrí algo maravilloso: La empresa de servicios brinda outsourcing de Seguridad desde hace casi 4 años con el Banco.

Entonces, ahora si. A planificar el ataque.

Primero seleccionar quien seria el Ingeniero Social, para este caso donde son tantos guardias armados, la mejor opción fue elegir a una mujer… Converse con una de mis consultoras y la asesore sobre cada uno de los controles y como evadirlos:

Primero y principal, el personal de seguridad del edificio 2, entra a trabajar a las 8 am. . Pero que sucede si tenemos que entrar antes de ese horario?  Así que le pedi que se presente antes del horario, a las 7:30 am.   

Nuestra consultora se acerco y le indico a las personas armadas que debía ver al Jefe de Seguridad. El guardia pregunto de donde venia, para lo cual, la consultora de mi equipo saco una tarjeta impresa por nosotros el dia anterior, donde se podia leer su nombre y supuesto cargo, junto a los logos del proveedor que habíamos detectado…

Como el guardia de seguridad vio el logo conocido, le dijo:

“Mire, no la podemos registrar porque aun no llega mi compañero, pero igualmente pase por aquí…”

y abriendo la puerta la dejo entrar en el ascensor, donde el otro guardia esperaba. Este ultimo, la llevo hasta el piso del Jefe de Seguridad, y cuando estaba por bajar, nuestra consultora le dijo:

“…no se preocupe buen hombre, conozco el camino, vengo seguido…yo les golpeo la puerta.”

a lo que el guardia respondió sonriendo y permitiendole bajar del ascensor (definitivamente, fue una buena idea elegir una mujer para esta tarea).

Nuestra consultora primero recorrió el piso observando que había en cada impresora de red como le había indicado, y con su teléfono celular (una blackberry, tomo fotos de algunos documentos y otros los guardo en su cartera), obviamente se encontró con algunos documentos “poco importantes” : el mapa de red, el estándar de seguridad de los servidores Unix, etc etc…

Luego utilizo las puertas de las salidas de emergencia para moverse entre pisos, ya que como era de esperar, estaban abiertas…y así llego al piso indicado por un cartel como: “Oficinas del Directorio”, como creyó que era un buen lugar para quedarse, se quedo.

Su rol ahora, debía cambiar, por lo cual le indique que cuando hable con la secretaria del Gerente, se presente como personal de soporte del proveedor de servicios y que debíamos revisar su estación de trabajo (para ello presento otra tarjeta impresa por su nombre donde solo cambiaba el puesto en relación a la anterior). Nuestra consultora siguió al pie de la letra las indicaciones y la respuesta de la secretaria fue encantadora, le dejo su PC para que tome los datos necesarios, le permitió colocar un pendrive e instalar un programita “para hacer mas rápida la maquina” y finalmente, le ofreció abrirle la puerta de la oficina del Gerente y acceder a la PC con la clave del director que ella misma conocía, para solucionarle los problemas al jefe…

Podemos decir en este preciso punto: GameOver

Lo curioso de este caso, es que los controles era fuertes, pero se debilitaron ante una supuesta reunion fuera de horario, una tarjeta de presentación falsa (bueno, dos) y la amabilidad del Ingeniero Social. Tanto las armas de fuego, como las personas de seguridad, o hasta el mismo control biometrico dejaron de ser efectivos debido a la falta de concientización del personal.

Anuncios

15 comentarios to “Ingeniería Social en un Banco (parte 1)”

  1. Que buen post, estare esperando las otras partes.

  2. exclente anecdota, me parecio un muy buen trabajo, si tenes mas anecdotas similares me encantaria leerlas, estuvo genial!
    saludos

  3. Me encantan tus posts, espero que sigas con ellos por mucho tiempo 🙂

    Un saludo

  4. Y ¿no hay riesgo que alguien use esta información para acceder ahora al banco? 😉

  5. yo soy un convencido que las mujeres son mas peligroso que un mono con navaja jajajaja

  6. interesante relato, m recuerda al dicho “una cadena es tan fuerte como su eslabon mas debil” y la verdad q no hace falta saber mucho d informatica como para sacar informacion de algunas empresas http://evidenciasecurity.blogspot.com/2010/11/mi-amigo-el-hacker-sin-computadora.html

    Saludos! 🙂

  7. Me parece que no porque si bien el explica un procedimiento no creo que sea al pie de la letra.
    No creas que falsificar documentación es muí fácil como lo dice en la nota. 😉

  8. Me gusto mucho el post, al paso que leia me imagine tremenda pelicula jeje. Gracias

  9. Sin duda, Hollywood es una fuente de capacitación para el delito, sin competencia.
    Si es real, falta citar el país del banco de LATAM que ha sido objeto de esta ingeniería.

    • Hola Lincoln, el caso es enteramente real, no soy escritor, soy consultor 🙂
      Por las características descriptas, no menciono el pais porque seria evidente cual es la entidad para que aquellos que han realizado trabajos en ella (es demasiado obvio ya que no todas tienen las construcciones edilicias y medidas de seguridad descriptas), y violaría el NDA firmado, seguramente lo entenderás…

  10. No entiendo como a la gente le puede “gustar” este post. A mi me parece espantoso. ¿Se imaginan que pasaría si ustedes tienen sus ahorros en este banco? Para mi ha sido un balde de agua fria. ¿Qué pasó con la empresa de “seguridad”? Imagino que han despedido a todos!! Si esto pasa en un banco, pasa en TODOS!! La info que se roban no es la de banco, es de los CLIENTES!
    Si bien la nota está escrita de forma de anécdota, muy bien escrita por cierto y hasta divertida, lo que revela es sumamente grave. No se puede confiar ni en las empresas de seguridad, que fallan ante una sonrisita y una falda. Disculpenme todos, pero he quedado en shock =S

  11. Bueno algunos puntos…

    El post solo me indica que el pseudo-banco no sigue ninguna norma de seguridad internacional, de hecho aun con todos esos controles me parece mas que un banco las oficinas corporativas de alguna empresa (no de un banco), así que no debe contener mucha información confidencial fuera de como dicen en el post informacion de la estructura del corporativo que da hincapié a otro ataque de ing. social a mayor escala….

    Y que claro contrataron a un pseudo-consultor o consultor aficionado (no-profesional), ya que esta ventilando anecdotas en-linea de sea cual sea el banco, corporación o inclusive micro-empresa.
    En pocas palabras una verdadera empresa te hubiera hecho firmar un NDA y estar ahorita en estos momentos interponiendote una demanda por romper el contrato de confidencialidad e inclusive ponerte otra por difamación.

    Y si peor aun tienen a alguien con 2 dedos de frente de conocimiento de seguridad te estaran tambien exigiendo los numeros de certificados para pedir revocacion de los mismos por falta de profesionalismo (normalmente es el caso para los CISSP’s).

    Asi que le deseo suerte a tu compañia chavalo por que gracias a empresitas como la tuya los demas tenemos trabajo…

    Saludos

    • pseudo-banco…como prefieras.
      Respecto al cumplimiento de las normas por parte del banco, es una apreciación tuya que no comparto, solo se encontraron falencias en el proceso pero en comparación con otros bancos de la región, tiene procesos muy claros.
      Respecto al NDA, puedes leer nuevamente el post y veras que nunca lo he quebrantado. De hecho, ellos leen el post pero tu no tienes ni idea de quienes son…
      Por otro lado, me alegro que puedas tener mucho trabajo. y por cierto, no soy CISSP pero todos mis certificados fueron entregados en la propuesta de servicio al cliente. XD saludos.

  12. Muy buen post y buen ejemplo,se destaca la manera y los metodos , no la entidad, porque te aseguro que tanto en empresas chicas como en corporaciones,la gente sigue siendo gente y eso es lo que explota la I.S

    un abrazo.


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: