Ingeniería Social en un Banco (parte 2)

Como usuario, uno siempre supone que este tipo de entidades son las que mas han trabajado en temas de seguridad en los últimos años.   Como consultor, estoy bastante seguro que así es, sin embargo nadie nos contrata para suponer, sino para demostrar la efectividad de los controles existentes.

Hace tiempo atrás, me toco trabajar en un proyecto muy interesante:

“Evaluar si las campañas de concienciación desarrolladas anteriormente habían sido efectivas o no dentro de un banco.”   

En las reuniones con los responsables de seguridad, me definieron qué personas no querían «tocar» en las muestras (básicamente ninguno de los directores, ni al jefe de mi interlocutor…).

Lo malo de esta definición, es que la muestra no termina siendo real aunque es comprensible que así se haga (nadie quiere quedarse sin trabajo por contratar un análisis de seguridad). En cambio lo bueno de estas definiciones tan abiertas, es que tengo una gran variedad de victimas para elegir.

Luego de estudiar la información de la campaña realizada y ver las estadísticas de RR.HH. que indicaban que el nivel de conciencia en los empleados respecto a la seguridad de la información, había «aumentado un 93%» (vaya uno a saber como midieron eso), decidí que era hora de plantear algunos escenarios:

1) Atacar a los usuarios claves (tesoreros, RR.HH., comercio exterior, etc.), con un golpe certero, logrando así obtener información concreta.

2) Atacar a los usuarios técnicos (admin, soporte, desarrollo, etc.), logrando así obtener información que me permita comprometer equipos, o servidores o aplicaciones.

3) Atacar a los usuarios mas descuidados por la entidad, logrando así menor cantidad de información pero pudiendo trabajar con mayor tranquilidad una vez comprometidas las victimas.

De los tres planteados, decidí quedarme con el ultimo debido a que consideré que seria el mas acorde para cubrir el objetivo inicial del proyecto (medir la efectividad de las campañas de concienciación). Ya seleccionado el escenario, plantee una de mis suposiciones mas comprobadas en mi experiencia personal:

– Las campañas de educación, concienciación y/o entrenamiento, normalmente son mas intensivas en las sedes centrales que en las sucursales del interior del país, sobre todo si ellas se encuentran en ciudades chicas, con pocos pobladores y por ende, pocos empleados…

Lo primero que hice fue revisar el mapa de sucursales de la entidad en el interior para luego con la ayuda de internet (y confieso que de algunas enciclopedias en papel también), buscar los 6 pueblos que se adaptaban en primera instancia, tanto a mi escenario como a mi suposición.

Con las sucursales mas chicas identificadas, comencé a realizar unos llamados preliminares para conocer el perfil humano de las víctimas haciendo consultas referidas a créditos, prestamos, etc. etc…

Acompañando estos llamados, trabajamos en la etapa de Information Gathering averiguando nombres de las personas que trabajan en las sucursales, números de teléfono directos y sobre todo las cuentas de mails a las cuales les enviamos publicidades con paginas falsas controladas por nosotros solicitando credenciales y evidenciando que la campaña sobre el tema phishing no había sido taaannn efectiva…

Finalmente, la víctima de las pruebas on-site fue seleccionada, una sucursal al norte de la Argentina (bien al norte), en un pueblito con no mas de 3000 habitantes en la zona urbanizada (en ese momento) y 8 personas en la sucursal, realmente todas ellas muy amables.

Como parte de la etapa de planificación, envié a estampar 10 remeras blancas con el logo de la entidad en un solo color (no era necesario mas colores, y además no me aprobaron el presupuesto para mas de uno) tomé mi auto y junto a mi compañero de trabajo, nos dirigimos al pueblo luciendo nuestras remeras recién estampadas.

Viajamos durante casi un día entero, pero cuando llegamos estacionamos el auto en la puerta de la sucursal poco antes de las 8:30 de la mañana y para nuestra alegría, dos personas que trabajaban allí salieron a recibirnos alegremente. Este particular hecho, se debió a que minutos antes, otra persona de nuestro equipo llamó por teléfono a la sucursal y habló con el responsable de la misma, indicándole que un par de personas del departamento de sistemas de casa central estaban haciendo tareas de mantenimiento en la región y pasarían por el pueblo para dar una charla, trabajar con los equipos por requerimiento de auditoria interna, y además entregar unas cosas del área de marketing, a su vez hizo hincapié en lo importante que es para auditoria interna y la dirección que todos participen de la charla.

Una vez dentro de la sucursal, tomamos un café y circularon algunos mates mientras preparábamos la sala de reunión para el curso. Y antes que en la sede central se pongan a trabajar (a las 9 hs), ya había logrado reunir a todo el personal de la sucursal en el aula, por lo que hice lo que debía hacer: comencé a dictar una charla de concienciación en seguridad de la información con videos divertidos y juegos entretenidos.

Para aprovechar el tiempo de nuestra corta visita, mi compañero directamente comenzó a trabajar con cada computadora de la sucursal mientras sus dueños seguían atentos mi charla.

Claro esta que mi compañero cada tanto interrumpía mi planificado y armonioso curso para hacer consultas a determinados usuarios, del tipo:

– Sabes que estamos cambiando algunos de los servidores, pero para terminar de configurar necesito ingresar con tu cuenta SAP, me pasas la clave así no te interrumpo el curso??

u otras del tipo:

– se me bloquea tu pc cada 10 minutos, porque no me anotas tu clave de red para no tener que venir a buscarte a cada momento.

La maquina elegida para comenzar (y a la que mas tiempo le dedicamos a la captura de evidencias) fue la del responsable de la sucursal, por lo cual obtuvimos algunos archivos interesantes, instalamos un troyano, revisamos autorizaciones en el sistema de gestión, accedimos al CV del personal, accedimos a su correo, estuvimos en condiciones de dar autorizaciones en el sistema, etc. etc. que no creo sea necesario seguir especificando.

El tiempo que tuvimos no fue demasiado, fue solo casi 1 hora 30 minutos lo que duro ya que a las 10 comenzaba la atención al publico y debían abrir las puertas de la sucursal,

Como teníamos el control absoluto de la sucursal en el rango horario de las 8:30 a las 10:00, mi compañero se encargo de tomar el control de la central telefónica de una marca conocida que empieza con Pana, por lo cual cualquiera que llamara a cualquiera de las líneas del banco, se encontraría con el tono de “línea ocupada”. Los celulares pudieron haber sido un mal para nosotros…pero el inhibidor de celulares que usábamos para otras tareas, nos fue de mucha utilidad dentro de la sala, ya que tan solo necesitaba cubrir un par de metros cuadrados y sobre todo no era visible, aunque si era considerable el peso en mi bolso…por suerte nadie me pidió revisarlo.

Creo que el punto quedo claro, una vez mas: Game Over.

Concientizar, no es solo dar una charla, ni poner un cartel en la cartelera o la intranet. Es transmitir un mensaje y que el mismo sea internalizado por el remitente de manera que sus acciones preventivas se conviertan en un habito.

Conclusión principal: en los proyectos de concienciación, es sumamente importante involucrar a “todo” el personal de la empresa, no solo a los que están en las ciudades principales, ni solo a los que manejan información sensible.

Conclusión secundaria: lo bueno de hacer estas pruebas fuera de las grandes ciudades, es que la atención es realmente muy buena y hacen nuestro trabajo de consultoría mucho mas satisfactorio (se que parte del personal de la sucursal lee el blog, así que les mando un gran abrazo y sepan que los troyanos instalados fueron desinstalados remotamente al segundo día de la prueba 🙂 )

Espero les haya gustado esta nueva anécdota, y sobre todo que hayan entendido el mensaje