Explorando la ingeniería social: analizando el eslabón más débil. Tercer Capítulo

Tercer Capítulo - Formas de Ataque



Una vez explorado el concepto general de la ingeniería social y los factores humanos que pueden ser explotados, analizaremos como las versiones humanas de las vulnerabilidades de software son las emociones, ya que cuando las personas enfrentan situaciones aterradoras la primera reacción es actuar y luego; pensar. Este es el pilar de la ingeniería social, explotando esta “vulnerabilidad” presente en todos nosotros.


Carnada

La curiosidad mató al gato. Los humanos somos curiosos por naturaleza, así que no resulta sorprendente que si encuentro en el estacionamiento o cafetería del trabajo una memoria USB con la leyenda “Presupuesto para aumento salarial 2020” probablemente lo conecte a mi equipo y termine instalando software malicioso. Esta es una técnica común utilizada por cibercriminales y por sencilla que parezca tiene bastante éxito por su apelación a la curiosidad humana.


Phishing

Phishing es la practica criminal de engañar a las personas para revelar información sensible como contraseñas o números de tarjeta de crédito mediante el uso de correos electrónicos maliciosos, generalmente haciéndose pasar por instituciones que la victima reconoce y confía.

Existe muchísima información referente a este tema ya que es de los trucos mas antiguos y de los más exitosos y, por si fuera poco, este tipo de ataques han aumentado en los últimos años. Por otro lado, han ido evolucionando, adaptándose a nuevas tecnologías. Veamos ligeramente algunas estadísticas tan solo para el último trimestre del 2018.


-83% de los profesionales de la seguridad experimentaron ataques de phishing en 2018, esto se traduce en un incremento de 76% con respecto a 2017.

-En 2018 los reportes de credenciales comprometidas aumentaron 70% con respecto a 2017 y 280% desde 2016.

-50% de los sitios de phishing ahora utiliza HTTPS.

-Una alarmante estadística relacionada con el Troyano Emotet nos arroja que mensajes de correo que contienen este malware son enviados en cantidades exorbitantes, llegando hasta un millón enviados tan solo en un día.


Ahora bien, existen diferentes variantes de phishing.



Spear Phishing.

Este se centra en un grupo de personas especifico, por ejemplo, pueden ser los empleados de una organización, alumnos de una universidad o trabajadores de una entidad gubernamental. Este tipo de phishing es mas elaborado y requiere mas tiempo para llevarlo a cabo ya que el mensaje debe ser atractivo para las víctimas, para ello se recopila toda la información disponible mediante buscar en redes sociales, paginas corporativas o llevando acabo ataques de vishing y farming.


Whale Phishing

Este termino se utiliza para describir los ataques de phishing planeado y dirigido específicamente a individuos en puestos prominentes, con gran poder o riqueza. Dado que el individuo puede considerársele un “pez gordo”, “pez grande” o alternativamente una “ballena” (whale) el termino se acuñó con dichas palabras del idioma inglés. Las técnicas y métodos utilizados son las mismas que en el spear phishing.


Pretexto

Un pretexto es una historia elaborada, planeada con anticipación, perfectamente creada para que la victima sea entrampada. Esta técnica puede utilizarse para obtener acceso a lugares restringidos, o bien para obtener información sensible. Este tipo de situaciones apelan a la naturaleza humana de ayudar a los demás. El pretexto se suele utilizar en combinación con otros métodos debido a que las situaciones requieren solidez en la historia para que la atención de la victima sea enganchada.


Vishing

El vishing es uno de los métodos que involucra mayor interacción humana, por ende, un atacante experimentado puede llegar a obtener información valiosa o sensible. La técnica consiste en realizar llamadas a la persona objetivo, generalmente haciéndose pasar por una persona de confianza o representante de una compañía que brinda servicios a la empresa, ya sea un técnico de la compañía de internet, o personal del área de Soporte.

La ingeniería social puede realizarse de múltiples formas: con un solo ataque, como un correo electrónico de phishing; o de forma más compleja utilizando todos los recursos disponibles normalmente dirigida a instituciones.


Farming

Es una estafa de larga duración, en la cual los cibercriminales buscan establecer una relación con el objetivo. Normalmente, observan los perfiles de redes sociales del objetivo e intentan construir una relación con él basada en la información que recopilan durante la investigación. Este tipo de ataque también depende del pretexto, ya que el atacante intenta engañar a la víctima por tanto tiempo como puede para obtener todos los datos que sean posibles.


Hemos analizado brevemente solo algunos de los ataques mas comunes de la ingeniería social, ahora bien, como podemos defendernos de estos ataques y “parchar las vulnerabilidades” explotables mediante la IS.


Autor: Luis Lázaro- Analista de Seguridad

10 views0 comments