Ingeniería social: el arte de piratear humanos

La ingeniería social es el acto de manipular a alguien para que divulgue información o haga algo que no suele ser lo mejor para ellos. En este artículo, veremos algunas formas comunes en que los ingenieros sociales intentan manipularte.

Descargo de responsabilidad: mis artículos son puramente educativos. Si los lee y daña a alguien, eso es cosa suya. No fomento ninguna actividad maliciosa o prácticas de sombrero negro. Lea el código de ética aquí.

Un tipo común de estafa es el prisionero español, que se remonta al siglo XVIII y tiene muchas encarnaciones modernas.

Por lo general, involucra a alguien que está en problemas y necesita su ayuda para acceder a su fortuna. Solo necesita transferir algunos miles de dólares, luego le devolverán el dinero diez veces. Pero puedes adivinar cómo termina eso.

Hay estafas similares que han circulado en Internet: la estafa del IRS, las estafas de lotería, etc. Estos se clasifican en términos generales como estafas de oferta anticipada. Tienes algo esperándote pero tienes que pagar un anticipo para recibirlo.

Para la persona promedio, estos le parecerán ataques de estafa mal ejecutados. Pero estas estafas han hecho que miles de personas pierdan el dinero que tanto les costó ganar. En algunos casos, los ahorros de toda su vida.

Todos estos son ejemplos de ingeniería social en acción.

La idea detrás de la ingeniería social es aprovechar las tendencias naturales y las reacciones emocionales de una víctima potencial. El miedo y la codicia son las emociones más vulnerables que suelen aprovechar los ingenieros sociales.

A continuación se muestra un gran ejemplo de un ataque de ingeniería social en el mundo real.

Tipos de ataques de ingeniería social

La ingeniería social se puede clasificar ampliamente en cinco tipos de ataques según el tipo de enfoque utilizado para manipular un objetivo. Repasemos cada uno de ellos.

Spamming (correo electrónico, texto, Whatsapp)

El spam implica enviar mensajes a grandes grupos de personas cuya información de contacto generalmente se obtiene a través de métodos nefastos. El spam es un término general utilizado para definir la difusión de mensajes maliciosos y no maliciosos.

El spam no malicioso es utilizado por los anunciantes que intentan promocionar sus productos a extraños al azar enviándoles correos electrónicos masivamente. Su motivo no es causar daño, sino intentar que la gente compre sus productos o promueva sus servicios.

El spam malicioso incluye mensajes que intentan atraer a los usuarios al sitio web del atacante para divulgar información personal. Luego, esta información se utiliza para crear ataques de phishing / vishing dirigidos a la víctima potencial.

Phishing (y Vishing)

Cuando el atacante utiliza mensajes de texto, correo electrónico o llamadas de voz (phishing de voz = vishing), se denomina phishing.

El phishing se utiliza para hacer creer al objetivo que está siendo llamado por una institución legítima o una entidad para extraer información valiosa del objetivo.

Si alguien llama a su empresa pretendiendo ser su proveedor de impresoras, es posible que pueda obtener información específica sobre la impresora: el modelo, la dirección IP (si está conectada a Internet), etc.

Y una vez que se proporciona esta información, la impresora podría ser atacada para obtener acceso a su red interna.

Los ataques de phishing basados ​​en correo electrónico también son comunes. Un atacante puede enviar un correo electrónico a alguien de su empresa haciéndose pasar por Facebook. Una vez que un miembro del equipo hace clic en un enlace, terminará en una página que se parece a Facebook y le pedirá su información de inicio de sesión. Esta información de inicio de sesión se enviará al servidor del atacante, después de lo cual tendrá acceso completo a la cuenta de Facebook de la víctima.

La principal diferencia entre phishing y scamming es que los ataques de phishing son muy específicos. El atacante sabe a quién quiere atacar y qué tipo de información está buscando.

Cebo

El cebo implica diseñar una trampa y esperar a que la víctima potencial entre en la trampa. Como ejemplo simple, si un atacante deja caer algunas unidades USB en el estacionamiento de su empresa, lo más probable es que uno de sus empleados intente conectarlas a su computadora para verificar el contenido de la unidad USB.

Esto puede parecer una tontería, pero ha habido numerosos casos en los que simples trucos de los ingenieros sociales han dado lugar a violaciones masivas de datos corporativos. Por lo general, es fácil engañar a las personas con estafas como las estafas de oferta Advance que aún circulan por Internet y se alimentan de personas crédulos.

Otro tipo común de cebo se encuentra en software pirateado. El atacante insertará software malicioso en un sistema operativo popular o una película para que la víctima lo descargue. Una vez que la víctima descarga y ejecuta el software, el código malicioso se ejecuta en el sistema de la víctima y el atacante obtiene acceso completo a la máquina de la víctima.

PiggyBacking

PiggyBacking significa usar a otra persona para atacar a una víctima potencial. El atacante utilizará un tercero (normalmente inocente) que tenga acceso a la víctima para llevar a cabo un ataque a cuestas.

Hay muchas variaciones de Piggybacking. Si un atacante sigue a su empleado a su oficina utilizando su tarjeta de acceso, esta es una forma de transporte a cuestas llamado tailgating.

Ha habido muchos casos de ataques a cuestas, especialmente para información clasificada. Las empresas proveedoras que suministran hardware / software a organizaciones gubernamentales suelen ser el objetivo de ataques superpuestos.

Una vez que estos proveedores se ven comprometidos, es fácil atacar la institución objetivo, ya que el proveedor ya tiene un nivel de acceso al objetivo.

El piggybacking también se asocia con algunas formas de escuchas telefónicas activas. El atacante utilizará una conexión legítima de la víctima para espiar la red.

Recientemente escribí un artículo sobre Wireshark que puede resultarle interesante.

Agujeros de agua

Water Holing tiene en cuenta las acciones de rutina del objetivo y el uso de una de esas acciones para obtener acceso no autorizado. Por ejemplo, un atacante encontrará los sitios web que el objetivo utiliza a diario e intentará instalar malware en uno de esos sitios web.

El nombre "Agujeros de agua" se deriva del hecho de que los depredadores en la naturaleza a menudo esperan a sus presas cerca de sus abrevaderos comunes.

Un ejemplo es la Campaña de Agua Bendita de 2019, que se dirigió a grupos religiosos y de caridad asiáticos. El sitio web se vio comprometido, después de lo cual se pidió a los visitantes que instalaran Adobe Flash en sus navegadores.

Dado que Adobe Flash tiene una serie de vulnerabilidades, fue fácil para los atacantes ejecutar código malicioso en las máquinas de la víctima. Los ataques de abrevaderos son poco comunes, pero representan una amenaza considerable ya que son muy difíciles de detectar.

Protéjase de la ingeniería social

Ahora que hemos visto los diferentes tipos de enfoques utilizados por los ingenieros sociales, veamos cómo podemos protegernos a nosotros mismos y a nuestra organización de los ataques de ingeniería social.

Instalar filtros de correo electrónico y spam

Aunque los filtros de spam no pueden detectar ataques altamente dirigidos, evitarán que la mayoría de los correos electrónicos no deseados y maliciosos lleguen a su cuenta.

Mantenga actualizado el antivirus y el firewall

Al igual que los filtros de spam, un software antivirus actualizado protegerá contra la mayoría de los virus, troyanos y malware comunes.

Solicitar verificación

Siempre pida verificación cuando alguien lo llame diciendo que representa a una organización, por ejemplo, su banco. Nunca comparta detalles confidenciales como números de tarjetas de crédito o contraseñas por teléfono o correo electrónico.

Crear conciencia

La mejor manera de evitar que su organización sea explotada es crear programas de concienciación sobre seguridad. Educar a sus empleados es una gran inversión a largo plazo para mantener segura su empresa.

Si parece demasiado bueno para ser verdad, es

Finalmente, si algo suena demasiado bueno para ser verdad, generalmente lo es. Nunca confíes en extraños que prometen hacerte rico rápidamente. Como alguien dijo una vez, "tratar de hacerse rico rápidamente es la forma más rápida de perder todo su dinero".

Conclusión

Los ingenieros sociales son maestros de la manipulación. A menos que los empleados de una empresa estén capacitados en el conocimiento de la ingeniería social, es muy difícil para ellos evitar caer en la trampa de un ingeniero social.

Los ingenieros sociales trabajan con las emociones de las personas, generalmente el miedo y la codicia. Entonces, siempre que esté realizando una acción basada en estas dos emociones, es posible que desee dar un paso atrás y ver si está siendo manipulado.

Hay una famosa charla TED en la que alguien inició una conversación con un spammer. Mira el video completo aquí.

Puede recibir un resumen de mis artículos y videos enviados a su correo electrónico todos los lunes por la mañana. También puedes aprender más sobre mí aquí.