domingo, abril 07, 2019

Social Engineering Capture The Flag (SECTF) by @EuskalHack

Desde EuskalHack llevamos ya varios meses trabajando en la organización de la IV Edición de EuskalHack Security Congress en el que colabora desde hace años 0xWord, y al igual que en ediciones anteriores, nuestro principal objetivo sigue siendo ofreceros un congreso basado en la excelencia técnica, y en la cercanía entre ponentes, asistentes y miembros de la organización. Si alguno de vosotros está interesado en participar como ponente, aún estáis a tiempo, el proceso de Call For Papers permanecerá abierto hasta el día 14 de abril.

Figura 1: Social Engineering Capture The Flag (SECTF) by @EuskalHack

Como una de las principales novedades de esta edición, hemos desarrollado un CTF de Ingeniería Social, pero antes de entrar en detalle, me gustaría explicar el contexto que nos ha llevado a incluir esta iniciativa en el congreso de este año.

Ingeniería Social en el mundo del Cibercrimen

A nadie se le escapa el aumento que se está produciendo en el uso de las técnicas de ingeniería social, como parte fundamental de muchos de los ataques que más impacto están teniendo en los últimos años. Probablemente, lo primero que se nos venga a la cabeza sean los ataques de phishing, en cualquiera de sus variantes, con el business e-mail compromise como un claro ejemplo de las consecuencias que pueden tener este tipo de ataques para las empresas.

Y aunque con un componente mucho más técnico, no podemos olvidar el factor psicológico que lleva asociado un ataque de falso ransomware, falso antivirus, falsas infecciones o de falso Contact Center, tanto durante el proceso mediante el cual se pretende influenciar al objetivo para conseguir infectar su equipo, como a la hora de presionarlo para que acabe realizando el pago incluso sin haber sido infectado o sin tener ningún fallo.

Figura 2: Una falsa infección simulada para engañar a las víctimas

En los últimos tiempos hemos visto también como se ha venido utilizando información obtenida en los leaks de credenciales, para dotar de mayor credibilidad a los pretextos utilizados durante algunas campañas de extorsión. Me imagino que muchos de vosotros habréis recibido un correo donde os advierten que habéis sido grabados visitando páginas pornográficas y que, si no realizáis un pago, enviarán el video a todos vuestros conocidos, siendo una Fake sextorsión.

Cada vez más frecuente, pero tal vez menos conocido, tenemos lo que en términos de ingeniería social se conoce como “vishing", que no deja de ser una forma de influenciar a otras personas, en este caso utilizando llamadas telefónicas.

Figura 3: Webs creadas en la web de falsos soportes técnicos de Microsoft

Recientemente ha vuelto a saltar a la actualidad un buen ejemplo de esta práctica, conocido como la estafa del Falso soporte técnico de Microsoft, y que entra dentro de la categoría de estafas de soporte técnico y de la que la propia Microsoft ha tenido que dar aviso a los usuarios.

Si bien, este fraude esta dirigido a personas, principalmente, con un bajo nivel de concienciación en materia de seguridad, este tipo de ataques no son siempre tan evidentes y en muchas ocasiones buscan conseguir información aparentemente irrelevante (no existe la información irrelevante), para realizar lo que podríamos llamar una escalada de confianza.

Ataques de Ingeniería Social Avanzada: Fake News & AI

Este tipo de ataques, son en la mayoría de los casos indetectables, para un objetivo que no ha recibido formación específica, ya que cuando son realizados por un profesional con experiencia, se podría decir que son indistinguibles de la realidad.

En este sentido, me gustaría mencionar las Fake News, que tanto están dando que hablar en los últimos años, y que podrían estar consiguiendo manipular la opinión pública a nivel global. Estas, aunque a una escala mucho mayor, utilizan los mismos principios de ingeniería social que el resto de ataques que he mencionado anteriormente.

En cuanto al futuro, no parece que se vaya a revertir la tendencia. Los algoritmos de Deep learning, por ejemplo, están empezando a generar videos y audios falsos tan realistas, que van a permitir realizar ataques de ingeniería social impensables hace apenas unos años.

Aunque las técnicas de ingeniería social llevan entre nosotros bastantes años, y no se pronostica que vaya a haber un descenso en su incidencia, siguen sin establecerse por parte de muchas empresas e instituciones medidas adecuadas para la mitigación de las mismas. En mi opinión, esto se debe, en gran medida, al desconocimiento que existe sobre muchas de estas técnicas, siendo una de las facetas de los profesionales de la seguridad informática y el Ethical Hacking, que más posibilidades de desarrollo ofrece hoy en día.

Social Engineering Capture The Flag

La mejora de esta situación pasa, como en cualquier otro ámbito, por la concienciación de los usuarios, y el desarrollo de las habilidades de los profesionales. Por este motivo, con la intención de aportar nuestro granito de arena, hemos decidido organizar un CTF de ingeniería social, al estilo del SECTF que se viene celebrado en DefCON durante los últimos 10 años.

Aprovecho la ocasión para agradecer a Chris Hadnagy (@HumanHacker), organizador de ese evento que colaboró también en la creación de BackTrack (ahora el popular Kali Linux que usan todos los pentesters por todo el mundo), por todo el apoyo que me ha ofrecido durante el diseño de nuestro SECTF. La competición constará de dos fases.

La primera con una duración de tres semanas, transcurrirá online y se celebrará de forma previa al congreso. Todo proyecto de ingeniería social debe comenzar por un minucioso proceso de búsqueda y análisis de información, por este motivo durante la primera fase los participantes deberán recopilar toda la información que les sea posible, sobre el objetivo que les haya sido asignado, utilizando exclusivamente fuentes de información púbica u OSINT, y localizar el mayor número de piezas de información no sensible (flags) de la lista que les será proporcionada por la organización.

Esta es una fase de Inteligencia, y sé que Chema Alonso me va a matar si no cito aquí que Martina Matarí de Telefónica y sus compañeros del grupo "Las Matildes", ganaron el "Intel CTF de la DefCON 26", así que a ver si se animan y cuentan más de su experiencia para explicar qué tipo de actividades se hacen en este tipo de iCTFs y en qué se diferencia el uso de OSINT en un CTF clásico, en un SECTF y en un iCTF para que todo el mundo tenga claros los matices.

Figura 4: Equipo de "Las Matildes" ganadores del iCTF de la DefCON 26

Con toda la información recabada durante esta primera fase, los participantes deberán realizar un informe de calidad profesional, donde además deberán aparecer debidamente justificadas todas las flags conseguidas, y que les servirá como base para crear una estrategia que deberán poner en práctica durante la segunda fase.

En esta segunda fase, que se celebrará en directo durante el congreso en una sala acondicionada a tal efecto, los participantes dispondrán de 20 minutos para realizar llamadas telefónicas al objetivo, con la intención de volver a obtener todas las flag proporcionadas inicialmente, pero esta vez puntuarán el doble.

La información obtenida durante la fase OSINT, será de vital importancia para poder realizar las llamadas utilizando unos pretextos suficientemente trabajados, que permitan conseguir las flag de forma limpia, y siendo totalmente respetuosos con los objetivos.

Este es un factor que consideramos de vital importancia, y por eso hemos estado trabajando con diversos actores y profesionales, con el fin de ceñirnos al marco legal. Para ello, hemos desarrollado una normativa que deberán seguir todos los participantes, donde prima el máximo respeto hacia todas las partes implicadas.

Después del congreso, analizaremos toda la información obtenida por los participantes durante ambas fases, y redactaremos un informe detallado de las técnicas y herramientas utilizadas, así como recomendaciones para la mitigación de los ataques detectados. Nuestra intención es publicar este informe para que pueda ser consultado por cualquier persona, profesional o entidad interesada.

Call for Participantes

Así que, si te gustan los retos, y tienes ganas de aprender y compartir el conocimiento, no importa si eres un profesional de la ingeniería social, un pentester que busca mejorar sus habilidades, o este es tu primer contacto con la ingeniería social, apúntate al SECTF de la EuskalHack y ven a disfrutar de un evento hecho para todos los apasionados por la ingeniería social.

Figura 5: Fechas de Interés para el SECTF de la EuskalHack

Procuraremos publicar en Twitter consejos y ejemplos que ayuden a los participantes a orientar mejor sus estrategias, sobre todo de cara a la fase de llamadas, que es en la que es probable tengan menos experiencia.

De momento, como referente en el mundo de la ingeniería social, os recomendaría que visitaseis, si no lo habéis hecho ya, la página https://www.social-engineer.org. En esta web podréis encontrar, entre otras cosas, un framework con toda la información necesaria para iniciarse, y progresar en el mundo de la ingeniería social.

Figura 6: Recursos en Social Engineering ORG

Pero esta no es la única novedad que os traemos este año. En la misma línea de aprender, compartir y pasar un buen rato en compañía de otras personas apasionadas por el hacking, hemos preparado “Gau-Hack”. Se trata de un hackaton que se desarrollará en un espacio desenfadado, pensado para compartir experiencias y conocimientos, donde se trabajará por grupos en una serie de proyectos relacionados con el hacking.

Toda esta información y mucha más la podéis encontrar en http://securitycongress.euskalhack.org. Y si quieres mantenerte al día de todas las novedades puedes seguirnos en nuestra cuenta de Twitter @euskalhack

Autor: Angel Alonso (@1k0ru)

No hay comentarios:

Entrada destacada

Mi nueva vida como CDCO (Chief Digital Consumer Officer)

Hace tres años y medio, cuando me convirtieron en CDO de Telefónica , se montó un lío en los medios que me pilló totalmente por sorpresa....

Entradas populares