Todos conocemos el tipo de atacante que aprovecha su experiencia técnica para infiltrarse en sistemas informáticos protegidos y comprometer datos confidenciales. Esta raza de actores maliciosos es noticia todo el tiempo, lo que nos impulsa a contrarrestar sus exploits invirtiendo en nuevas tecnologías que reforzarán las defensas de nuestra red.
Sin embargo, hay otro tipo de atacante que usa diferentes tácticas para eludir nuestras herramientas y soluciones. Se les llama «ingenieros sociales» porque explotan la única debilidad que se encuentra en todas las organizaciones: la psicología humana. Mediante llamadas telefónicas y otros medios, estos atacantes engañan a las personas para que entreguen acceso a la información confidencial de la organización.
Ingeniería social es un término que abarca un amplio espectro de actividades maliciosas. Para los propósitos de este artículo, centrémonos en los cinco tipos de ataques más comunes que los ingenieros sociales usan para atacar a sus víctimas. Estos son phishing, pretextos, cebos, quid pro quo y tailgating.
Phishing
El phishing es el tipo más común de ataque de ingeniería social que ocurre en la actualidad. Pero, ¿qué es exactamente? En un nivel alto, la mayoría de las estafas de phishing intentan lograr tres cosas:
- Obtenga información personal como nombres, direcciones y números de seguro social.
- Utilice enlaces abreviados o engañosos que redirijan a los usuarios a sitios web sospechosos que alojan páginas de destino de phishing.
- Incorporar t amenazas, miedo y un sentido de urgencia en un intento de manipular al usuario para que responda rápidamente.
No hay dos correos electrónicos de phishing iguales. En realidad, existen al menos seis subcategorías diferentes de ataques de phishing. Además, todos sabemos que algunos están mal redactados hasta el punto de que sus mensajes adolecen de errores ortográficos y gramaticales. Aun así, estos correos electrónicos generalmente tienen el mismo objetivo de usar sitios web o formularios falsos para robar las credenciales de inicio de sesión del usuario y otros datos personales.
Una campaña de phishing reciente utilizó una cuenta de correo electrónico comprometida para enviar correos electrónicos de ataque. Estos mensajes pedían a los destinatarios que revisaran un documento propuesto haciendo clic en una URL incrustada. Envuelto con la protección de URL en tiempo de clic de Symantec, esta URL maliciosa redirigía a los destinatarios a una cuenta de SharePoint comprometida que entregaba una segunda URL maliciosa incrustada en un documento de OneNote. Esa URL, a su vez, redirigía a los usuarios a una página de phishing que se hacía pasar por un portal de inicio de sesión de Microsoft Office 365.
Pretextos
Pretextos es otra forma de ingeniería social en la que los atacantes se centran en crear un buen pretexto , o un escenario inventado, que utilizan para intentar robar la información personal de sus víctimas. En este tipo de ataques, el estafador generalmente dice que necesita ciertos bits de información de su objetivo para confirmar su identidad. En realidad, roban esos datos y los usan para cometer el robo de identidad o organizar ataques secundarios.
A veces, los ataques más avanzados intentan engañar a sus objetivos para que hagan algo que abusa de las debilidades físicas o digitales de una organización. Por ejemplo, un atacante podría hacerse pasar por un auditor de servicios de TI externo para poder convencer al equipo de seguridad física de una empresa de que le dejen entrar al edificio.
Mientras que los ataques de phishing utilizan principalmente el miedo y la urgencia en su beneficio, el pretexto Los ataques se basan en la construcción de un falso sentido de confianza con la víctima. Esto requiere que el atacante construya una historia creíble que deje poco espacio a la duda por parte de su objetivo.
Los pretextos pueden y toman varias formas. Aun así, muchos actores de amenazas que adoptan este tipo de ataque deciden hacerse pasar por personal o empleados de recursos humanos en el desarrollo financiero. Estos disfraces les permiten apuntar a ejecutivos de nivel C, como Verizon encontró en su Informe de Investigaciones de Violación de Datos (DBIR) de 2019.
Baiting
Baiting es en muchos aspectos similar a los ataques de phishing. Sin embargo, lo que los distingue de otros tipos de ingeniería social es la promesa de un elemento o bien que los actores malintencionados utilizan para atraer a las víctimas. Los cebos pueden aprovechar la oferta de descargas gratuitas de música o películas, por ejemplo, para engañar a los usuarios para que entreguen sus credenciales de inicio de sesión.
Los ataques de cebo tampoco se limitan a esquemas en línea. Los atacantes también pueden centrarse en explotar la curiosidad humana mediante el uso de medios físicos.
En julio de 2018, por ejemplo, KrebsOnSecurity informó sobre una campaña de ataque dirigida a agencias gubernamentales estatales y locales en los Estados Unidos. La operación envió sobres con matasellos chinos que incluían una carta confusa junto con un disco compacto (CD). El objetivo era despertar la curiosidad de los destinatarios para que cargaran el CD y, por lo tanto, infectarían inadvertidamente sus computadoras con malware.
Quid Pro Quo
Al igual que los cebos, los ataques quid pro quo prometen un beneficio a cambio de información. Este beneficio generalmente asume la forma de un servicio, mientras que el cebo generalmente toma la forma de un bien.
Uno de los tipos más comunes de ataques quid pro quo que ha surgido en los últimos años es cuando los estafadores se hacen pasar por la Administración del Seguro Social de los Estados Unidos (SSA). Este personal falso de la SSA se pone en contacto con personas al azar, les informa que ha habido un problema con la computadora y les pide que confirmen su número de seguro social, todo con el propósito de cometer un robo de identidad. En otros casos detectados por la Comisión Federal de Comercio (FTC), los actores malintencionados crearon sitios web falsos de la SSA que dicen que pueden ayudar a los usuarios a solicitar nuevas tarjetas del Seguro Social, pero en cambio simplemente roban su información personal.
Es importante tener en cuenta, sin embargo, que los atacantes pueden utilizar ofertas de contrapartida que son mucho menos sofisticadas que las artimañas con el tema de la SSA. Como han demostrado los ataques anteriores, los trabajadores de oficina están más que dispuestos a regalar sus contraseñas por un bolígrafo barato o incluso una barra de chocolate.
Tailgating
Nuestro tipo de ataque de ingeniería social final el día se conoce como chupar rueda o «llevar a cuestas». En este tipo de ataques, alguien sin la autenticación adecuada sigue a un empleado autenticado a un área restringida. El atacante puede hacerse pasar por un conductor de entrega y esperar fuera de un edificio para comenzar. Cuando un empleado obtiene la aprobación de seguridad y abre la puerta, el atacante pide al empleado que sujete la puerta para acceder al edificio.
Tailgating no funciona en todos los entornos corporativos, como las grandes empresas cuyas entradas requieren el uso de una tarjeta de acceso. Sin embargo, en las empresas medianas , los atacantes pueden entablar conversaciones con los empleados y utilizar esta muestra de familiaridad para pasar de la recepción.
De hecho, Colin Greenless, consultor de seguridad de Siemens Enterprise Communications, utilizó estas tácticas para obtener acceso a múltiples pisos y la sala de datos en una firma financiera que cotiza en la lista del FTSE. Incluso pudo instalar una tienda en una sala de reuniones del tercer piso y trabajar allí durante varios días.
Recomendaciones de ingeniería social
M Los actores aventureros que se involucran en ataques de ingeniería social se aprovechan de la psicología humana y la curiosidad para comprometer la información de sus objetivos. Con este enfoque centrado en el ser humano en mente, depende de las organizaciones ayudar a sus empleados a contrarrestar este tipo de ataques.
A continuación, se incluyen algunos consejos que las organizaciones pueden incorporar en sus programas de capacitación sobre conciencia de seguridad que ayudarán a los usuarios para evitar esquemas de ingeniería social:
- No abra ningún correo electrónico de fuentes no confiables. Comuníquese con un amigo o familiar en persona o por teléfono si recibe un mensaje de correo electrónico sospechoso de ellos.
- No le dé el beneficio de la duda a ofertas de extraños. Si parecen demasiado buenos para ser verdad, probablemente lo sean.
- Bloquee su computadora portátil siempre que esté lejos de su estación de trabajo.
- Compre un software antivirus. Ninguna solución antivirus puede defenderse de todas las amenazas que buscan poner en peligro la información de los usuarios, pero pueden ayudar a proteger contra algunas.
- Lea la política de privacidad de su empresa para comprender en qué circunstancias puede o debe permitir que un extraño ingrese al edificio.