CERT-SG IRM-10: Social Engineering
CERT-SG IRM-10: Social Engineering
Playbook operativo de Incident Response del CERT Societe Generale. Importado desde el vault PAI Obsidian-Inbox para uso de Juniors.
Resumen original
PURPOSE: This Incident Response Methodology is a cheat sheet dedicated to handlers investigating on a precise security issue — specifically, how to handle a social engineering incident (phone or e-mail).
WHO SHOULD USE IRM SHEETS?
- Administrators
- Security Operation Center
- CISOs and deputies
- CERTs (Computer Emergency Response Team)
Metodos
Case study / cheat sheet basado en el framework NIST de 6 pasos, aplicado a incidentes de ingenieria social por telefono o email.
Hallazgos clave
- Preparacion: Concienciar a usuarios y politicas de seguridad; implementar sistema de "telefono rojo" etiquetado como "Social Engineering" en el directorio (grabado siempre, sin reverse lookup); NUNCA dar informacion personal o corporativa a persona no identificada; proceso para redirigir solicitudes extranhas al telefono rojo; preparar manejo de conversaciones con ingenieros sociales; verificar con departamento legal las acciones permitidas
- Identificacion - Telefono: Si el contacto es externo y pide informacion valiosa para competidores, denegar y escalar; si dice ser empleado pero el numero no es interno, ofrecer devolver la llamada al numero del directorio; tomar notas detalladas: nombre, informacion solicitada, acento, conocimiento organizacional, ruidos de fondo, hora y duracion
- Identificacion - Email: Si email externo pide informacion competitiva, escalar; si email interno pide informacion rara, solicitar explicaciones y copiar al manager; notificar a la alta direccion
- Contencion - Empleados: Usar numero de telefono rojo del CERT; dar el numero con nombre inventado; llamar inmediatamente al CERT; si el atacante quiere hablar con alguien, ponerlo en espera y transferir al CERT (nunca dar el numero directo)
- Contencion - CERT: Retomar conversacion con el atacante usando tecnicas: impersonar identidad buscada, ralentizar conversacion para provocar errores, advertir sobre consecuencias legales; si se uso el numero trampa, preparar para "quemarlo" y crear otro; para email: analizar headers, buscar direccion con herramientas de Internet, geolocalizar
- Agregacion: Agregar todos los ataques de ingenieria social para visualizar el esquema general
- Remediacion: Alertar fuerzas del orden, discutir en circulos de confianza, amenazar con acciones legales si el atacante es identificado, reportar direcciones de email al equipo de abuso del proveedor
Relevancia
Guia unica que aborda el factor humano como vector de ataque. El concepto del "telefono rojo" con nombre inventado como trampa para ingenieros sociales es una tactica operativa ingeniosa. La enfasis en agregar todos los ataques de ingenieria social para visualizar el esquema completo permite detectar campanas coordinadas que incidentes individuales no revelarian.
Citas clave
"Never give any personal or corporate information to an unidentified person. This could include user IDs, passwords, account information, name, e-mail address, phone (mobile or landline) numbers, address, social security number, job titles, information on clients, organization or IT systems." (p. 4)
"The attacker might use several techniques to entice his victim to speak (fear, curiosity, empathy ...). Do not disclose information in any case." (p. 5)
"Aggregate all social engineering attacks to visualize the scheme." (p. 7)
Conexiones
- certsg-irm-16-phishing — Phishing interno, forma especifica de ingenieria social por email
- certsg-irm-13-customer-phishing — Phishing a clientes, variante orientada al exterior
- certsg-irm-08-blackmail — Chantaje, puede involucrar tacticas de ingenieria social
- Tema principal: Themes/respuesta-incidentes-lifecycle