Ingeniería Social

Técnicas de ingeniería social

2022-08-08T18:30:11+02:00agosto 8, 2022|Seguridad|

Kevin Mitnick en su libro “The Art of Deception” dice que la Ingeniería Social “utiliza la influencia y la persuasión para engañar a las personas, convenciéndolas mediante la manipulación de que el atacante es alguien que no es. Como resultado, se obtiene información con o sin el uso de tecnología.”

Para llevar a cabo los ataques se utilizan diferentes técnicas, que pueden hacer a través de Internet, por teléfono, SMS, físicamente, etcétera.

Algunas técnicas de Ingeniería Social y sus variantes:

PHISHING

Técnica de ciberdelincuencia que utiliza el engaño y el fraude para obtener información de una víctima. El ciberdelincuente utiliza un cebo fraudulento y espera a que algún usuario caiga en la trampa, para de esta manera poder obtener credenciales u otro tipo de información sensible. Se podría decir que el cibercriminal tira el cebo y espera a “pescar” (fishing en inglés) víctimas. (de ahí su nombre)

Smishing: (SMS+ phishing) Ataque de phishing realizado a través de un SMS. Por lo general, el contenido del mensaje invita a pulsar en un enlace que lleva a una web falsa, intentarán que la víctima introduzca información sensible o que descargue una aplicación que en realidad es un malware. Generalmente, con estos SMS se hacen pasar por servicios usados en la población, como bancos o servicios de reparto. Los usuarios saben de las estafas a través de email, pero no tanto con los SMS, es por eso que hay una falsa percepción de seguridad con la mensajería móvil y nos lleva a que este ataque sea más efectivo.

Vishing: Ataque de phishing realizado por teléfono o a través de un sistema de comunicación por voz. El cibercriminal se pone en contacto con la víctima a través de una llamada, y por ejemplo, haciéndose pasar por un servicio técnico, le pide a la víctima determinados requisitos para resolver la incidencia. Así pues, dependiendo de la estafa, intentará que la víctima revele información sensible, se instale alguna aplicación maliciosa, realice un pago, etc.

Spear phishing: Ataque de phishing concretamente dirigido a una víctima o conjunto de víctimas. El ataque busca los mismos propósitos que los casos citados previamente, con la variante de que están personalizados, lo cual los hace más complicados de detectar. El atacante emplea técnicas de OSINT para obtener toda la información disponible sobre la víctima, y de esta forma modelar y dirigir el ataque. Es de vital importancia ser consciente de la información que publicamos en Internet sobre nosotros mismos.

Whaling: Se trata de un ataque de spear phishing cuyo objetivo es un directivo o personal con un alto puesto en la organización. Los ciberatacantes consideran a los ejecutivos “High level” como “whales” de ahí el nombre del ataque.

SPAM

Cualquier email o mensaje recibido no deseado. Su envío se produce de forma masiva a un gran número de direcciones. No siempre es malicioso, aunque constituye una perdida de tiempo y un gasto de recursos innecesario. Muchas veces puede tener enlaces maliciosos o difundir información que no es verdad.

SPIM (spam over Internet messaging): Spam realizado sobre mensajería instantánea, es decir, mensajes que se reciben por Whatsapp, Telegram, DM de Facebook, etc. Suele ser más complicado de detectar que el spam “tradicional”.

Dumpster diving

Acción de “bucear” en la basura de una organización para obtener información de documentos. Una buena práctica es destruirlos para evitar que el reciclaje de estos documentos sea con un uso indeseado. Hay un dicho popular que define bien esta técnica: “La basura de una persona es el tesoro de otra”.

Shoulder surfing

Acción de mirar los datos que un usuario introduce por teclado y muestra en pantalla. De una manera aparentemente “casual”, el atacante puede obtener información sensible. Su nombre es muy descriptivo, ya que hace referencia a mirar por encima del hombro. Para evitar esto existen pantallas que se oscurecen o reflejan dependiendo del ángulo de visión, permitiendo que solo se vea correctamente desde el punto de vista del usuario del sistema.

Pharming

Redirección maliciosa hacia una web falsa, y de esta manera robar datos a las víctimas. Su nombre viene de la mezcla de phishing y farming. Generalmente, este ataque viene después de otros ataques sobre DNS, de manera que cuando se busca por el nombre de dominio, DNS traduce este nombre de dominio a una IP maliciosa de la que el atacante es dueño.

Fuente https://derechodelared.com/tecnicas-de-ingenieria-social/#google_vignette

Ciberataque a Twitter con Ingeniería Social

2020-07-31T09:24:53+02:00julio 31, 2020|Internet, Seguridad|

El ciberataque a Twitter se llevó a cabo con uno de los métodos clásicos de estafa: a través de llamadas telefónicas. La acción, que terminó comprometiendo las cuentas de personalidades como Bill Gates o Elon Musk, se realizó por un grupo de delincuentes que engañaron a empleados de la red social para obtener sus credenciales de acceso a ciertas herramientas.

La propia plataforma informó lo siguiente:

«Los atacantes dirigieron su acción a ciertos empleados de Twitter mediante un plan de ingeniería social. Manipularon con éxito a un pequeño número de empleados y utilizaron sus credenciales para acceder a los sistemas internos de Twitter, incluso para superar nuestras protecciones de dos factores. Sabemos que accedieron a herramientas que solo están disponibles para nuestros equipos de soporte interno, y se sirvieron de ellas para atacar a 130 cuentas de Twitter. En 45 de esas cuentas, los atacantes pudieron iniciar un restablecimiento de contraseña, iniciar sesión en la cuenta y publicar Tweets. Estamos llevando a cabo una revisión pericial de todas las cuentas para confirmar todas las acciones que se hayan podido tomar. Además, creemos que pueden haber intentado vender algunos de los nombres de usuario.»

Desde Twitter señalan que, no todos los empleados que fueron contactados inicialmente por los atacantes tenían acceso a las herramientas de control necesarias en la plataforma, pero los atacantes aprovecharon sus datos igualmente con el fin de obtener más información sobre la operación de la red social. «Este conocimiento les permitió dirigirse a empleados adicionales que tenían acceso a nuestras herramientas de soporte de cuentas», explican.

La situación, que puso en jaque a la red social durante varias horas, llegando a desactivar parcialmente la opción para tuitear, ha hecho que la empresa se replantee sus procesos. Entre las acciones a tomar se encuentra la revisión del nivel de acceso que tienen los empleados a herramientas clave de la plataforma.

Es importante recordar que el eslabón más débil de cualquier cadena de seguridad es el usuario, y precisamente por esto, la ingeniería social busca explotar este punto débil, apelando a la vanidad, la avaricia, la curiosidad, el altruismo, el respeto o temor a la autoridad de las personas para conseguir que revele cierta información o que permita el acceso a un sistema informático. En este contexto, siempre será necesario informar a los usuarios para que tomen conciencia de los posibles problemas de seguridad en las empresas.

Fuente https://hipertextual.com/2020/07/hackeo-twitter-engano-telefonico

Ataques de Ingeniería Social

2019-12-11T17:53:40+01:00diciembre 11, 2019|Internet, Seguridad|

La Ingeniería Social es una técnica usada por los ciberdelincuentes que consiste en engañar o manipular a las personas para conseguir su información personal, como contraseñas y datos bancarios, o para obtener el acceso a sus equipos con el fin de instalar software malicioso (malware) de forma inadvertida.

Los ciberdelincuentes utilizan la Ingeniería Social porque es más fácil o “barato” dedicar recursos a engañar a alguien para que revele su contraseña de acceso a un servicio, que vulnerar complejos sistemas de seguridad. De manera sistemática, los ciberdelincuentes que emplean la Ingeniería Social tratarán de ofrecerte algo que capte tu interés sin que puedas sospechar que ellos están detrás.

Pueden incitarte a abrir ficheros adjuntos, se harán pasar por otras personas que resulten de confianza con el fin de obtener acceso a información privilegiada, o tratarán de hacerte creer que tu equipo está infectado con malware para ofrecer una solución que supuestamente lo desinfecte. Y es que los ataques de Ingeniería Social son cada vez más frecuentes y sofisticados, ya que no se trata solo de caer en una trampa, sino de la personalización que los ciberdelincuentes hacen de esta. Por poner un ejemplo, el 93% de las brechas de seguridad comienzan a partir de un correo electrónico.

Recuerda, el eslabón más débil de cualquier cadena de seguridad es el usuario, y precisamente por esto, la ingeniería social busca explotar este punto débil, apelando a la vanidad, la avaricia, la curiosidad, el altruismo, el respeto o temor a la autoridad de las personas para conseguir que revele cierta información o que permita el acceso a un sistema informático.

Reconocer la Ingeniería Social

Cualquier consejo o ayuda no solicitada debe tratarse con precaución, especialmente si consiste en hacer clic en un enlace o descargar algún programa bajo cualquier excusa, ya que probablemente te encuentres ante un intento de fraude por Ingeniería Social.

Del mismo modo, cualquier petición de tus contraseñas o información financiera es un truco, ya que las instituciones legítimas nunca te pedirían una contraseña a través de correo electrónico, mensajería instantánea, redes sociales, teléfono, etc.

Defensas, consideraciones y buenas prácticas

Entonces, ¿existen defensas efectivas en contra de la Ingeniería Social? La respuesta es totalmente afirmativa. Sin embargo, los mecanismos están enfocados a una cuestión de concienciación sobre aspectos de ciberseguridad y no tanto a una cuestión técnica.

Se debe entender que una parte muy importante de la seguridad recae en el propio usuario. Tanto en las comunicaciones electrónicas como en la vida real se debe tener presente que hay cosas de las que debemos desconfiar o tratar con especial precaución.

Las siguientes recomendaciones disminuirían de manera importante la posibilidad de ser víctima de la Ingeniería Social:

  • Si recibes algún mensaje de remitente desconocido, trátalo con especial cuidado, ya que no solamente puede ser un correo con información falsa, sino que puede contener archivos maliciosos adjuntos o enlaces que no son lo que parece ser. Revisa los enlaces a los que te envían sus anuncios antes de clicar sobre ellos.
  • Desconfía de los chantajes o extorsiones que puedes recibir telefónicamente o en tu correo. Normalmente buscan captar tu atención con mensajes alarmantes y piden un rescate sobre una supuesta información que realmente no tienen. Suelen venir de remitentes desconocidos.
  • También desconfía si a través de una llamada alguien dice ser el técnico/trabajador de un servicio y bajo cualquier excusa te pide que descargues una aplicación determinada, confirmes datos de tus tarjetas, realices algún pago, etc. No atiendas a sus peticiones y confirma con terceras fuentes de confianza que realmente es quien dice ser.
  • Como una medida de protección general, debes tener siempre presente que las entidades bancarias nunca solicitan información confidencial por correo electrónico, SMS o cualquier otro canal, por tanto, cuidado con los mensajes que parecen de tu banco, pero que realmente no lo son.
  • Al navegar por Internet y acceder a sitios web, verifica sus características, por ejemplo, asegúrate de que sea una página segura (que comience con https), así como que la dirección del portal pertenezca a la URL de la entidad. Por ejemplo, si el banco X ofrece servicios en línea, y con total seguridad sabes que su dirección web es “www.bancox.com”, no atiendas a peticiones que te redirijan a otras direcciones web que no sea esa. Una característica del phishing es que páginas auténticas pueden suplantarse con una simple similitud de las palabras (en el caso anterior, la página falsa podría ser www.banncox.com, se ha introducido una «n» adicional). El simple hecho de que se parezcan la URL falsa y la legítima provoca que muchos usuarios desprevenidos caigan en este tipo de engaños.
  • No compartas información de acceso personal por correo electrónico, redes sociales o servicios de mensajería instantánea. Si no aplicas este tipo de medidas, puede resultar que la Ingeniería Social represente un problema económico.

No es necesario que el usuario sea un experto en seguridad, pero más allá de las consideraciones básicas, se debe tener presente al menos cómo o en dónde están las amenazas, ya que muchas veces no serán virus, programas o equipos infectados, sino simplemente técnicas de engaño.

Cada vez es más complicado reconocer los ataques de Ingeniería Social, por ello el primer método de prevención es estar informado. Para ello, la OSI pone a tu disposición varios recursos con los que anticiparte a los ciberdelincuentes y mantenerte protegido de este tipo de ataques. Además, es importante que conozcas el valor que tienen tus datos en Internet y los riesgos a los que te expones si un desconocido accediera a ellos, esto te ayudará a ser más cauto y difícil de engañar.

Fuente https://www.osi.es/es/actualidad/blog/2019/12/04/sabias-que-los-ataques-de-ingenieria-social-suponen-el-93-de-las-brechas

Estafa a club de fútbol

2019-07-10T12:15:24+02:00julio 10, 2019|Internet, Seguridad|

En esta historia de estafa se involucra a un club francés de fútbol, uno argentino y uno ruso.

Todo empezó en enero cuando se dio la noticia de la transferencia de Leandro Paredes del Zenit ruso al Paris Saint Germain. El acuerdo ascendió a 40 millones de euros y, según las normas de la FIFA, al primer club de Paredes, el Boca Juniors, le pertenece un porcentaje (aproximadamente un 3.5%), en concreto, 1,299,377.48 euros por los llamados derechos de formación.

El Paris Saint Germain y el Boca Juniors acordaron aplazar el pago en tres cuotas. La primera, de 519,750.99 euros, prevista para el pasado 6 de marzo; la segunda, de 259,875.50 euros, para este agosto y la última, para agosto del 2020. Pero nada de esto sería noticia de no ser por un pequeño problema: el club argentino nunca recibió los casi 520 mil euros.

Las partes involucradas empezaron a formalizar los detalles de la primera transferencia inmediatamente después del acuerdo, el mismo mes de enero. Pero el 12 de marzo, 6 días después de la fecha prevista, el Boca Juniors seguía sin recibir su dinero.

El 18 de marzo, el club francés afirmó que el pago estaba en camino, el 22 enviaron vía correo electrónico un comprobante para confirmar la transferencia internacional. Según sus estimaciones, el club argentino recibiría el dinero en el plazo máximo de una semana.

Pero el tiempo el dinero nunca llegó. Los clubes siguieron intercambiando correos electrónicos de manera relajada, hasta que el club argentino amenazó con presentar una queja ante la FIFA. Los franceses insistieron con que el pago se había realizado según lo previsto y, aún más, les figuraba como acreditado.

Tras analizar los documentos que confirmaban la transferencia, el Boca Juniors descubrió que su dinero había pasado primero por una cuenta bancaria de Nueva York que pertenecía a una empresa mexicana llamada Vector Casa de Bolsa y que luego se envió a México, esta vez a una cuenta bancaria de la compañía OM IT Solutions S.A. de C.V. No hace falta decir que el club argentino nunca había escuchado hablar de estas dos empresas.

Resulta que parte de los correos, supuestamente provenientes  del personal del Boca Juniors, presentaban ligeras modificaciones imperceptibles a simple vista. Una sola letra diferenciaba la dirección de correo electrónico fraudulento del legítimo. Naturalmente, las instrucciones que llegaron desde estas direcciones contenían datos falsos, lo que dio lugar a la desaparición del medio millón de euros.

El Boca Juniors presentó una denuncia ante la Justicia argentina, la investigación continúa a ambos lados del Atlántico. Según una de las versiones, los estafadores podrían haber accedido a la cuenta de correo electrónico de algún empleado de los clubes y, de esta forma, habrían conseguido toda la información necesaria para utilizar con tanta eficacia los métodos de ingeniería social para realizar la estafa.

Este no es un caso de estafa común, ya que los ciberdelincuentes lo tenían muy bien preparado. Ante esto, Kaspersky aconseja la formación del personal para desde un inicio conozcan qué tipo de trucos pueden utilizar los ciberdelincuentes.

Fuente https://latam.kaspersky.com/blog/boca-juniors-case/14628/?

Ataques BEC

2019-05-10T10:11:24+02:00mayo 10, 2019|Internet, Seguridad|

Un ataque BEC (Business Email Compromise) tiene como objetivo secuestrar y controlar cuentas empresariales que los ciberdelincuentes pueden utilizar para interceptar o redireccionar las transacciones financieras.

A diferencia de los ataques de phishing tradicionales, los BEC son dirigidos, diseñados para cada víctima. La mayoría de las ocasiones los ciberdelincuentes estudian las últimas noticias de las empresas e investigan las redes sociales de los empleados para hacer que el ataque sea lo más convincente posible. Este nivel de personalización es lo que ayuda a que este tipo de estafas por correo electrónico superen los filtros de spam y otras protecciones.

Además de conseguir grandes sumas de dinero, muchos grupos de cibercriminales utilizan este método de ataque para obtener información confidencial de las empresas. Lo cual puede acarrear serios problemas a la organización, no solo económicos sino también de reputación.

“Son peligrosos porque utilizan ingeniería social para conseguir su propósito. Son dañinos porque el impacto no sólo es económico, sino que puede tener implicaciones en la situación laboral de los implicados y eso, sin duda, es terrible. Además, tienen un enfoque de poner en duda la capacidad corporativa de proteger la infraestructura propia, de enmascararse el ataque utilizando componentes de la entidad que, por supuesto, ponen en jaque la robustez y solidez de las estrategias de protección y defensa. La pérdida de reputación e imagen pública (no sólo externa sino interna) es notable, perdiendo la credibilidad en los sistemas corporativos”, asegura Ramsés Gallego, Strategist & Evangelist en la oficina del CTO en Symantec.

Para Eutimio Fernández, Director de ciberseguridad en Cisco España, a pesar de la mayor popularidad de los ataques de ransomware, “la amenaza BEC es actualmente el método más lucrativo y rentable para obtener mediante fraude grandes cantidades de dinero de los negocios”, y añade el directivo que se trata de un vector de ataque realmente sencillo que se basa en la ingeniería social para llevar a cabo el robo, que es otra de las razones por las que este tipo de ataques se han vuelto extremadamente peligrosos.

Esto es precisamente lo que destaca José Luis Laguna, Director Técnico Fortinet Iberia, al asegura que realizar estafas a través del correo electrónico corporativo “es bastante sencillo y económico para los atacantes”. Asegura el directivo que al ser un negocio tan rentable anima a todo tipo de ciberdelincuentes a continuar con su actividad maliciosa, y que en en la mayoría de los casos, “los ataques son tan sofisticados que el engaño se descubre cuando ya es demasiado tarde”. Organizaciones de cualquier tamaño son objetivo de un ataque BEC, dice también el CTO de Fortinet Iberia.

Alfonso Ramírez, director general de Kaspersky para España y Portugal, explica sobre los ataques BEC que comienzan con el envío de un correo electrónico de phishing, muy elaborado, que parece llegar del directivo de la empresa y en el que se solicita a un empleado realizar una transferencia o movimiento bancario a una cuenta controlada por los ciberdelincuentes. “Las víctimas también pueden ser empresas que creen recibir un correo electrónico de su cliente. De esta forma, tanto los empleados de la compañía en la que la identidad del CEO ha sido suplantada como la compañía cliente que realiza la transacción, son víctimas de este nuevo fraude”.

Normalmente, los ataques BEC “están relacionados con objetivos económicos (el caso más habitual es solicitar a alguien del departamento financiero una transferencia de dinero muy urgente) y su impacto es muy alto, pues puede suponer no sólo un coste económico alto para la compañía, sino que también afectar a su reputación”, añade José de la Cruz, director técnico de Trend Micro.

Siendo tan peligrosos, ¿por qué no reciben tanta atención como otros tipos de ataques? Para José de la Cruz, hay que destacar que suelen tratarse de ataques dirigidos; “esto supone que el número de ataques sea inferior a cualquier ataque masivo (como el ransomware). Asimismo, las empresas afectadas no suelen hacer público el ataque y sus detalles”.

Para poder llevar a cabo este tipo de ataques los ciberdelincuentes utilizan software malicioso para robar credenciales de correo electrónico, analizan el contenido de los correos electrónicos comprometidos y luego usan la información recopilada para, a través de técnicas de ingeniería social, sustraer el dinero de las víctimas.

Una vez que un ciberdelincuente ha accedido al correo electrónico de un ejecutivo, una estafa BEC usualmente toma una de las cinco formas básicas:

  1. Fraude del CEO. Los ciberdelincuentes envían un email que parece proceder del máximo responsable de la empresa a un empleado que tenga capacidad para realizar transferencias, dándole instrucciones para que envíe fondos a una cuenta que, evidentemente, está bajo el control de los ciberdelincuentes. Es habitual que este tipo de ataques incluyan una nota en la que se advierte que la transferencia es urgente, lo que evita que el empleado tenga tiempo de verificar la orden.
  2. Estafa de factura falsa. El ciberdelincuente bucea en la cuenta de correo de un ejecutivo hasta dar con una factura que venza pronto para después contactar con el departamento financiero y pedirles que cambien la cuenta de pago por una diferente.
  3. Suplantación del Abogado. El ciberdelincuente se hace pasar por el bufete de abogados de una empresa y solicita una transferencia de fondos para resolver un litigio o pagar una factura vencida. Es habitual que el cibercriminal utilice este tipo de ataque para convencer a los destinatarios de que la transferencia es confidencial y sensible al tiempo, por lo que es menos probable que el empleado intente confirmar que debe hacer el envío de dinero.
  4. Compromiso de cuenta. Similar a la estafa de la factura falsa, en este tipo de ataque el cibercriminal envía correos a los clientes en los que se les avisa de que hubo un problema con sus pagos y necesitan reenviarlos a una cuenta diferente. Este tipo de ataques son más habituales en empresas pequeñas.
  5. Robo de datos. La única versión de la estafa de BEC cuyo objetivo no es una transferencia de fondos directa, son los ataques que buscan el robo de datos mediante el compromiso de la cuenta de correo electrónico de un ejecutivo para solicitar que se le envíe información confidencial. A menudo estos ataques se utilizan como el punto de partida para un ciberataque más grande y dañino.

Cómo evitar ser víctima de un ataque BEC

Información y concientización son unos de los elementos clave para evitar un ataque BEC, algo que en realidad sirve para casi todas las ciberamenazas que llegan a través del correo electrónico.

El director técnico de Fortinet habla además de pasarelas de correo electrónico, sistemas de prevención de intrusiones y productos antivirus como elementos que ayudan a evitar que el malware comprometa nuestro correo electrónico, así como la implementación de sistemas de autenticación fuerte para el acceso al correo electrónico.

Precisamente por eso José de la Cruz establece el correo electrónico como el elemento “donde deberemos dedicar la mayoría de nuestros esfuerzos”. Entre las recomendaciones que propone el director técnico de Trend Micro destaca la implementación de mecanismos de verificación de identidad para el correo, así como se sistemas de ciberseguridad que protejan contra el spam o las vulnerabilidades, el refuerzo de las políticas de seguridad para las contraseñas y, porque “en cualquier ataque, hay que tener en cuenta el factor humano, es importante concienciar al usuario final sobre el peligro que supone este tipo de ataques”.

Desde Kaspersky Lab recomiendan implementar una serie de medidas de seguridad capaces de proteger contra ataques BEC, como es la formación de los empleados en materia de seguridad; evitar hacer clic en enlaces o abrir documentos que parezcan sospechosos y comprobar el origen de los correos electrónicos; cambiar las contraseñas de todas las cuentas utilizadas en caso de que el sistema haya sido afectado; revisar siempre las solicitudes para cambiar los detalles de la cuenta bancaria o los métodos de pago durante las transacciones; instalar una solución de seguridad en todas las estaciones de trabajo y servidores donde sea posible y siempre implementar todas las actualizaciones.

Eutimio Fernández dice que la lucha contra el fraude BEC generalmente requiere mejoras en los procesos de negocio y en la educación de los trabajadores, formando a los empleados para identificar solicitudes fuera de lo común, como una transferencia fuera del país en una empresa que opera a nivel nacional. Las organizaciones pueden también requerir que los empleados verifiquen las transferencias electrónicas con otros empleados -quizá por teléfono- para eludir un posible email falso.

Fuente https://www.itdigitalsecurity.es/reportajes/2018/03/ataques-bec-sabes-lo-que-son

Ingeniería social y el spear phishing

2019-03-12T09:33:36+01:00marzo 12, 2019|Internet, Seguridad|

La ingeniería social es una fusión de sociología y psicología; un conjunto de técnicas para producir un ambiente que genere un resultado predeterminado. Jugando con los miedos, emociones, sentimientos y reflejos de los usuarios, los cibercriminales pueden conseguir acceso a información muy útil. Y es en gran parte esta “ciencia” la que reside en el núcleo de la mayoría de los ataques dirigidos actuales.

Los principales sentimientos que suelen explotar los estafadores:

  • Curiosidad
  • Pena
  • Miedo
  • Avaricia

A estos sentimientos no los estamos considerando vulnerabilidades, simplemente son emociones humanas. Puede que una definición mucho más acertada fuera “canales de influencia”, a través de los cuales los manipuladores intentan influir a sus víctimas, de tal forma que el cerebro actúe de forma automática, sin el uso del pensamiento crítico. Para conseguirlo, los cibercriminales cuentan con un buen arsenal de trucos bajo la manga. Evidentemente, algunas estrategias funcionan mejor en unas personas que en otras.

A continuación, cómo se utilizan algunas de las estrategias más comunes:

Respeto a la autoridad

Los sesgos cognitivos son patrones sistemáticos de desviación de comportamiento, percepción y pensamiento. Este es uno de ellos y está fundamentado en la tendencia de obedecer sin cuestionar a aquellos que tenga cierto nivel de experiencia o poder, ignorando las opiniones propias sobre la propia conveniencia de dicha acción.

En la práctica, puede ser un correo electrónico phishing procedente de tu jefe, supuestamente. Evidentemente, si el mensaje te pide que te grabes bailando twerking y que envíes el vídeo a diez amigos, lo pensarás un par de veces. Pero, si tu supervisor te pide que leas la documentación de un nuevo proyecto, puede que estés dispuesto a hacer clic en el adjunto.

La presión del tiempo

Una de las técnicas de manipulación psicológicas más frecuente es generar una situación de urgencia. Cuando se toma una decisión racional e instruida, es una buena idea examinar detenidamente la información relevante. Esto lleva un tiempo y justo eso es lo que los estafadores intentan negar a sus víctimas.

Los estafadores despiertan el miedo en la víctima (“Alguien ha intentado acceder a tu cuenta. Si no has sido tú, haz clic en el enlace inmediatamente…”) o intentan conseguir dinero fácil (“Solo los 10 primeros se harán con el descuento, no te lo pierdas…”). El tiempo corre en tu contra y la probabilidad de sucumbir al instinto y tomar una decisión emocional e irracional aumenta.

Los mensajes que incluyen “urgente” e “importante” forman parte de esta categoría. Las palabras importantes suelen destacarse en rojo, el color del peligro, para intensificar el efecto.

Automatismos

En psicología, los automatismos son acciones que se toman sin la intervención directa de la conciencia. Los automatismos pueden ser primarios (innatos, no considerados) o secundarios (ya no se consideran, después de pasar por la conciencia). Además, los automatismos se clasifican como motor, habla o mental.

Los ciberdelincuentes intentan desencadenar automatismos cuando envían mensajes que en algunos receptores pueden producir una respuesta automática. Como, por ejemplo, los mensajes “No se ha podido entregar el correo electrónico, haga clic para reenviarlo”, las newsletter con un botón de “Cancelar suscripción” tentador y las notificaciones falsas sobre nuevos comentarios en redes sociales. En este caso, la reacción es el resultado del motor secundario y de los automatismos mentales.

Revelaciones inesperadas

Este es otro tipo muy común de manipulación. Explota el hecho de que la información clasificada como una admisión honesta se percibe menos crítica que si se hubiese descubierto de forma independiente.

En la práctica, podría ser algo como: “Lamentamos informarle que hemos sufrido una filtración de contraseñas. Compruebe si se encuentra en la lista de los afectados”.

Qué hacer

Las distorsiones de la percepción, que desafortunadamente juega a favor de los cibercriminales, son biológicas. Aparecen durante la evolución del cerebro para ayudarnos a adaptarnos al mundo y ahorrar tiempo y energía. En gran parte, las distorsiones surgen de la falta de habilidades de pensamiento crítico y muchas adaptaciones no son adecuadas para la realidad actual. Pero no temas, puedes evitar la manipulación conociendo la psique humana y siguiendo estos consejos:

  1. Prestar especial atención a los mensajes de los superiores. ¿Por qué quiere tu jefe que abras un archivo protegido con contraseña y que le envíes la clave en el mismo mensaje? ¿Por qué un director con acceso a la cuenta te pide que transfieras dinero a un nuevo socio? ¿Por qué iba alguien a asignarte una tarea nueva por correo electrónico, en vez de por teléfono, como de costumbre? Si algo huele mal, intenta aclararlo por un canal de comunicación diferente.
  2. No reaccionar inmediatamente a los mensajes que soliciten una reacción urgente. Mantén la calma, sea cual sea el contenido del mensaje. Asegúrate de comprobar el remitente, el dominio y el enlace antes de hacer clic. Si sigues teniendo dudas, ponte en contacto con el equipo informático.
  3. Si percibes que respondes automáticamente a ciertos tipos de mensajes, intenta controlar tu secuencia típica de acciones. Esto podría ayudarte a dejar de automatizar tu respuesta, la clave está en activar la conciencia en el momento correcto.
  4. Recuerda algunos consejos previos para evitar las consecuencias del phishing:

5. Utilizar soluciones de seguridad con tecnología antiphishing. La mayoría de los intentos de intrusión caerán en el primer obstáculo.

Le invitamos a ponerse en contacto con nosotros para proveerle más información  respecto al apoyo que Adaptix Networks puede brindar a su empresa en software de seguridad y las herramientas corporativas de Kaspersky Lab.

Fuente https://www.kaspersky.es/blog/phishing-psychology/17724/

Correo electrónico malicioso

2016-07-24T16:30:32+02:00julio 24, 2016|Internet, Seguridad|

El correo electrónico se mantiene como una de las herramientas más utilizadas en el entorno empresarial. A eso se debe que sea uno de los medios más explotados por los atacantes para tratar de infectar a los equipos.

Aunque el sector financiero es el principal atacado, todas las industrias se han visto afectadas. Incluso la Casa Blanca, el Pentágono o empresas tecnológicas de servicios y productos de seguridad han sido comprometidos por este medio.

Algunas de las técnicas y recursos más habituales de los atacantes en el envío de correo electrónico malicioso:

Ficheros con macros. Los atacantes logran ejecutar código malicioso en el equipo de las víctimas al incluir macros en un documento de Office. Esta técnica se utilizó para comprometer equipos de la red de distribución eléctrica en la zona oeste de Ucrania, a través de un documento en Excel remitido por mail a uno de los trabajadores de la compañía.

Aunque las versiones recientes de Office impiden por defecto la ejecución de macros, los atacantes mediante el uso de ingeniería social logran que los usuarios las habiliten e incluyen las instrucciones necesarias para ello.

Ficheros ejecutables con íconos. Para hacer creer al usuario que el fichero adjunto es legítimo, el atacante crea un archivo ejecutable pero le agrega un ícono de algún otro software de uso común, por ejemplo, Office o Adobe Acrobat. Si el usuario tiene activa la opción “Ocultar las extensiones de archivo para tipos de archivos conocidos” no verá la extensión .exe y pensará que se trata de un archivo PDF legítimo.

Este truco es utilizado en el envío de correo electrónico que informa la generación de una nueva factura con un fichero adjunto comprimido, cuyo contenido será un archivo ejecutable con el ícono de Adobe.

Durante 2015, empresas en Dinamarca relacionadas a la arquitectura fueron víctimas de emails que incluían una URL que apuntaba a un recurso en Dropbox. Cuando el usuario hacía clic en el enlace, descargaba un ejecutable con ícono de AutoCad. Al utilizar un servicio legítimo como Dropbox los atacantes logran evadir algunas soluciones de seguridad que validan las URL de los correos con ciertas listas de reputación.

Uso de RLO. Debido a que una de las recomendaciones de seguridad es observar la extensión de un archivo antes de abrir cualquier adjunto recibido por correo, los atacantes suelen hacer uso de la técnica “Right to Left Override”. Se llama así en referencia al carácter Unicode RLO, diseñado para soportar lenguajes escritos de derecha a izquierda como el árabe. Ahora es aprovechado para invertir el orden de visualización de los últimos caracteres en el nombre de un archivo adjunto con su extensión. Así por ejemplo el fichero con el nombre factura_pdf.exe se convertirá en factura_|exe.pdf

Un usuario puede creer que se trata de un archivo legítimo revisando únicamente la extensión .pdf. Pero además, si se asigna el ícono de Adobe Acrobat al ejecutable el engaño será aún más creíble.

Uso de espacios para ocultar la extensión. Al utilizar espacios en blanco justo antes de la verdadera extensión en el nombre de un archivo, es probable que el usuario no perciba los tres puntos que indican que la longitud del nombre de archivo es mayor a la que se visualiza en el explorador de archivos.

Usurpación del remitente. Los atacantes tratarán de obtener la mayor información posible acerca de sus víctimas, como la lista de contactos más habituales de un empleado o las alianzas que tiene la organización. En ocasiones parte de la información se encuentra accesible directamente desde el sitio web de la empresa, las redes sociales, foros, plataformas de colaboración, etc. Con ello, un atacante intentará usurpar la identidad de un contacto habitual, alguna empresa en colaboración o un proveedor, para enviar un archivo malicioso y conseguir el acceso a uno de los equipos.

Para usurpar la identidad del remitente pueden hacer uso de dominios muy similares al original. Por ejemplo, para facturacioncliente.com podrían intentar utilizar facturacionclientes.com o facturacion-cliente.com entre muchos otros. Incluso podrían simular el aspecto de una factura original para lograr hacer creer al receptor que se trata de un mensaje real.

En algunos casos, los atacantes lograrán suplantar la cuenta y dominio reales del remitente si éste carece de las medidas de seguridad pertinentes. Se puede considerar  este método como el más efectivo ya que incrementa las posibilidades de que la víctima abra un correo de alguien que conoce.

Enlaces maliciosos. Es una de las técnicas más utilizadas para conseguir la ejecución de código en un equipo o la obtención de información de la víctima.

Si el objetivo es obtener los datos bancarios de los usuarios, el correo electrónico utilizado intentará usurpar la identidad de determinado banco. El enlace que se incluya en el mensaje podría ser un enlace real del banco pero que en realidad, cuando el usuario haga clic en él será redirigido a una página maliciosa con aspecto similar o igual a la del banco en cuestión. La página solicitará las credenciales o datos de usuario bajo alguna justificación para enviarlos a los atacantes.

Cuando el objetivo es infectar el equipo del usuario, es común que se utilice un enlace que apunte a un fichero alojado en algún servidor y que al dar clic en el mismo, inicie su descarga. En algunos casos se hace uso de servicios legítimos como OneDrive o Dropbox para evadir las herramientas de seguridad que verifican los enlaces.

Una de las tecnologías más sofisticadas para infectar a un usuario, sin necesidad de descargar o ejecutar algo, son los Web Exploit Kit. Los cuales permiten identificar vulnerabilidades en el navegador o en sus plugins para ejecutar el código malicioso. Un usuario recibe un mail en el que mediante ingeniería social se le anima a dar clic en una URL, se le redirige a un servidor TDS (Traffic Direction System) para valorar si la víctima es de interés. Si es así, se le redirigirá a un Server Exploit Kit que analizará la versión del navegador y sus plugins. Si alguno de ellos es vulnerable, el Server lanzará el Exploit para ejecutar el código y descargar el malware. Cabe destacar que el proceso se realiza de forma transparente al usuario. Algunos Exploits Kits tienen la capacidad de ejecutar el código directamente en memoria sin tener que escribir directamente al disco. De esta manera evitan las herramientas de seguridad que solo intervienen cuando existe la escritura en disco.

Qué hacer al respecto

Después de analizar las técnicas más utilizadas por los atacantes, es necesario tener en cuenta las siguientes recomendaciones con la finalidad de evitar ser víctima de este tipo de ataques:

Los correos con un patrón fuera de lo común deben despertar la sospecha del usuario. Por ejemplo, al recibir un email de una compañía de confianza que realice una solicitud poco habitual y que adjunta algún archivo o enlace. Se recomienda que antes de abrir cualquier adjunto se contacte con el remitente mediante una vía alterna para corroborar si el mensaje recibido es legítimo.

Comprobación de los archivos, antes de abrir cualquier archivo desde el correo, verifique la extensión y el nombre completo del mismo. Recuerde que los atacantes incluyen íconos de las aplicaciones  más utilizadas y ocultan las verdaderas extensiones de los archivos. Los archivos ejecutables no solo tienen la extensión .exe, también pueden ser .com, .cmd, .cpl, .paf, .js, .jse, .msi, .msp, .mst, .vbe, .vbs, .pscl entre muchos otros.

El usuario no debe habilitar el uso de las macros, independientemente de lo que indique el documento recibido. En realidad es poco habitual su uso y en caso de ser legítimo el documento, el bloqueo de las mismas no debe imposibilitar ver el contenido.

No confíe únicamente en el nombre del remitente, se debe comprobar que el dominio del correo recibido es de confianza. Incluso, se pueden obtener los datos de creación y actualización del dominio mediante los servicios en línea como whois. También se puede utilizar www.virustotal.com para analizar las URL mediante ciertos servicios de seguridad. Otra alternativa es realizar una búsqueda del dominio en cuestión, acompañado por los términos phising o malware, con el objetivo de obtener referencias que puedan identificar el dominio como fraudulento.

Después de verificar el tipo de extensión de un archivo, los usuarios no deben ejecutarlo si ésta es extraña o desconocida. También se recomienda el uso de aplicaciones de lista blanca. El objetivo de estas listas es la protección contra programas maliciosos permitiendo únicamente la ejecución de los explícitamente autorizados.

Actualizar el sistema operativo y las aplicaciones, para reducir significativamente la exposición a ataques mediante los Web Exploit Kit, que tienen la capacidad de comprometer un equipo con solo visitar un enlace y sin necesidad de descargar o ejecutar un fichero, al aprovecharse de ciertas vulnerabilidades.

Seguridad de las comunicaciones vía email

El proceso de enviar un correo electrónico comprende numerosos pasos en los que se involucran diversas tecnologías y servicios. De manera general, se recomienda no utilizar SMTP sin ninguna extensión de seguridad, utilizar IMAP o POP sobre SSL/TLS para la descarga del correo y si el contenido es sensible se recomienda el cifrado de datos.

Además recuerde que:

  • Se deben utilizar contraseñas robustas para el acceso al correo electrónico, así como renovarlas periódicamente. Si es posible, utilice doble autenticación.
  • El usuario no debe dar clic en ningún enlace que solicite datos personales ni bancarios. Los bancos nunca solicitan credenciales o datos personales del cliente a través del correo electrónico.
  • Se debe evitar dar clic directamente en cualquier enlace desde el propio correo. Si el enlace es desconocido se recomienda buscar información en motores de búsqueda antes de acceder.
  • Cuando se accede al correo electrónico mediante la versión web, se recomienda no almacenar las credenciales en el navegador, ya que pueden ser recuperadas por ciertos tipos de malware. Antes de cerrar el navegador, asegúrese de cerrar la sesión de la cuenta de correo.
  • Si al enviar un mensaje a varias personas, no desea que los destinatarios puedan ver el resto de las direcciones, utilice la función con copia oculta (CCO).
  • En caso de recibir un correo sospechoso se debe informar inmediatamente al responsable de seguridad de la organización.

Ingeniería social y seguridad

2024-06-13T20:03:20+02:00junio 16, 2016|Internet, Seguridad|

Frank Abagnale, autor del libro “Atrápame si puedes” (cuya adaptación al cine fue realizada posteriormente por Steven Spielberg) ayudó al gobierno federal de Estados Unidos con investigaciones de fraude después de haber sido arrestado y encarcelado a los 21 años por la falsificar cheques por más de 2 millones de dólares. Abagnale ha trabajado más de 40 años con el FBI y  es considerado una de las principales autoridades en fraude, falsificación y autenticación segura.

En los últimos años ha estado involucrado con varias empresas de tecnología para la seguridad, entre ellas, Trusona, poniendo en marcha tecnología de autenticación para transacciones financieras. El TruToken de Trusona es un dispositivo que se conecta a los teléfonos inteligentes y puede proporcionar varias capas de autenticación para garantizar la identidad de la persona que efectúa la transacción.

En una entrevista para SearchCloudSecurity se le preguntó acerca de su participación en dicho proyecto, indicando que cuando se concluía cada etapa de desarrollo era el encargado de arruinarlo, por decirlo de alguna manera, haciendo que el equipo regresara para  encontrar la solución hasta llegar al punto en que fuera a prueba de tontos.

Sin embargo, Abagnale destaca que para cualquier proyecto de autenticación siempre habrá dos excepciones:

“Primera, no existe ninguna tecnología en el mundo, ni la habrá, que supere a la ingeniería social. Por ejemplo, si llamo y finjo que soy del Bank of America pidiéndole sus datos de acceso para  Trusona y usted los proporciona, entonces de nada servirá. Y la segunda, si tuviera una pistola apuntándole a la cabeza y le dijera hágalo, usted sólo va a hacerlo. Para este último caso, tenemos la manera para que usted pueda informar a Trusona al elegir una determinada tarjeta que está bajo coacción.”

– ¿Cómo se responde a un ataque de ingeniería social? ¿Debe la gente ser siempre escéptica?

No se trata de ser escéptico, solo ser lo suficientemente inteligente para reconocer las señales y hacer lo correcto. Hace un par de días leía un artículo acerca de un desafortunado caso en Australia, donde una mujer fue a nadar por la noche en una laguna que tenía señales que decían “no nadar, cocodrilos por todas partes”. Y un cocodrilo la atacó…

– ¿Cree que las técnicas de ingeniería social actualmente son más avanzadas que 30 o 40 años atrás?

Algunas personas solían decir que soy el padre de la ingeniería social porque cuando tenía 16 años, descubrí todo lo que necesitaba saber (a quién llamar y qué preguntar) y únicamente contaba con el uso del teléfono. Hoy la gente además del teléfono utiliza el sistema de correo, Internet, correo electrónico, la Nube, etc. Todas estas cosas, pero siguen haciendo ingeniería social, es la mayor amenaza y eso nunca va a desaparecer.

– ¿Por qué los servicios financieros no abordaron estas cuestiones antes de que se volvieran un problema como los ataques SWIFT?

He estado en el FBI durante 40 años, he trabajado con bancos de todo el mundo y principalmente trato los delitos contra el gobierno federal. Si nos fijamos en Medicare y Medicaid, el año pasado pagaron más de 100 mil millones de dólares en reclamaciones fraudulentas. El IRS pagó 5.6 miles de millones en créditos universitarios fraudulentos. El gobierno se ha convertido en un objetivo, ya que no tienen la tecnología de los bancos; tampoco tienen un consejo de administración, ni accionistas, y no están en el negocio de obtener un beneficio. Así que son un blanco fácil y con dinero. Por otro lado, los bancos intentan evitarlo pero parece que cada brecha que se produce es porque alguien en la compañía hizo algo que no debía hacer. Esas cosas no deben ocurrir, es un error humano y se ha vuelto el eslabón más débil.

Ransomware en Backblaze

2016-05-19T10:44:47+02:00mayo 19, 2016|Internet, Seguridad|

Hace unos días, la empresa norteamericana Backblaze publicó su reciente experiencia de ransomware. Anteriormente en el artículo ¿Qué es el ransomware? mencionamos que se trata de un mecanismo digital de extorsión, generalmente mediante el cifrado de la información.

En la publicación de Backblaze se detalla cómo una de sus empleadas del departamento de contabilidad al abrir un archivo adjunto en un correo electrónico (aparentemente del correo de voz), desencadenó una infección por ransomware en su sistema. Así, mientras “Elli” terminaba de empacar sus cosas para irse a casa, cada uno de los archivos en su PC fueron codificados. Un momento después, notó algo extraño, la imagen de fondo en el escritorio había desaparecido, sustituyéndola una imagen genérica de un campo de flores. Abrió una carpeta, lo que esperaba ver era lo siguiente:

caso-backblaze-1

Pero esto es lo que realmente vio:

Al no comprenderlo, “Elli” llamó al departamento de TI. Después de revisar el equipo, el encargado preguntó acerca de las acciones más recientes en el equipo, por lo que ella le indica el correo electrónico abierto en la esquina de la pantalla. El encargado preguntó acerca del archivo adjunto, cuando ella le confirma que lo abrió, le informa que el equipo ha sido atacado por un ransomware, así que lo desconecta de la red inalámbrica, desconecta el cable de red, apaga el equipo y desconecta el disco duro. Posteriormente la unidad infectada fue puesta en una sandbox como medida de seguridad para evitar que otros equipos en la red fueran infectados.

Cuando el ransomware procesa los archivos del equipo, incluye algunos archivos “de ayuda”. En los que se dan las indicaciones para que el usuario pueda recuperar sus archivos mediante el pago del rescate.

“Elli” no pagó el rescate, debido a que sus archivos se recuperaron de una copia de seguridad. Sin embargo, es importante mencionar que las diferentes versiones de ransomware pueden complicar el proceso de recuperación de datos. Algunos ataques retrasan su inicio, esperando un periodo de tiempo hasta una fecha específica antes de iniciar el proceso de cifrado. En ese caso, la copia de seguridad tendría que ser capaz de retroceder hasta una fecha previa a la infección para hacer la recuperación de archivos. Algunos ataques intentarán cifrar otras unidades a las que se tenga acceso, por ejemplo la unidad de copia de seguridad local. Por esta razón, es importante una copia de seguridad interna y una externa.

Ingeniería social

Usualmente los atacantes utilizan la ingeniería social para lograr sus objetivos. La ingeniería social se puede definir como la «manipulación psicológica para la realización de acciones o divulgación de información confidencial». En este caso hubo varios trucos:

  • El correo electrónico tenía en el destinatario el nombre completo de la empleada.
  • Era normal en su oficina recibir mensajes de correo electrónico con archivos adjuntos desde el sistema de correo de voz.
  • Era normal en su oficina recibir mensajes desde QuickBooks (software de contabilidad).

Es difícil saber si ella fue solo una de las millones de personas atacadas por ransomware o, como es más probable, “Elli” fue víctima de un ataque dirigido. Los ataques dirigidos, también conocidos como spear phishing, requieren que el atacante obtenga información detallada sobre el blanco para que el correo electrónico parezca lo más auténtico posible. Encontrar la información necesaria para crear un correo electrónico creíble es tan fácil como ingresar al sitio web de la empresa y hacer un poco de investigación en sitios sociales como Facebook, LinkedIn, Google +, entre otros.

Sería fácil culpar a “Elli” por permitir que el sistema se infectara, pero hubo varios errores. Ella estaba usando un navegador para acceder a su correo electrónico en la nube, pero el sistema de correo no bloqueó el mensaje que contenía el malware. Ni el navegador, ni el sistema de correo le advirtieron que el archivo ZIP adjunto contenía un archivo ejecutable. Por último, tampoco el antivirus no detectó nada al descargar y descomprimir el archivo de malware.

El número de ataques ransomware se incrementa de manera constante, también el uso de la ingeniería social por parte de los atacantes es cada vez más frecuente, con lo cual la posibilidad de convertirse en víctima de un ataque será mayor. Además de las medidas de seguridad preventivas, es necesario tomar acciones para identificar y responder cuanto antes a un ataque para evitar sus terribles consecuencias.

Ir a Arriba