Enginyeria social

 L'Enginyeria Social es basa en la manipulació psicològica

 

La percepció de seguretat és relativa, el problema és que la majoria de nosaltres no veiem els problemes potencials perquè estem encegats per la nostra pròpia confiança o per les nostres creences que un forrellat, una porta grossa, o un sofisticat sistema de seguretat i un gos guardià són suficients per mantenir a la majoria de gent a ratlla.

En l'àmbit digital aquesta percepció és encara pitjor, el ciberdelinqüent no és com la majoria de la gent i utilitzarà una metodologia sistemàtica més o menys sofisticada mitjançant l'engany i la persuasió, per obtenir el que desitja, que no és altra cosa que les teves dades i en última instància els teus diners.

 

És probable que no te n'adonis de l'atac

 

De la mateixa manera que un mag fixa la mirada en tu, gesticula i articula les paraules necessàries per distreure't i perpetrar el seu truc davant els teus nassos, el ciberdelinqüent actua d'una manera similar mitjançant l'art de l'engany, la persuasió i la distracció.

El ciberdelinqüent o enginyer social s'enfoca principalment en les empreses que és on hi ha les dades i els diners, però usant a les persones per accedir a tot això.

Hi ha diferents tècniques més o menys complexes, algunes són òbvies altres són més elaborades, però això dependrà de la motivació de l'atacant i de la poca atenció de la víctima.

Tècniques d'enginyeria social

Pretexting

Consisteix a elaborar un escenari fictici, construir una història o un relat on l'atacant intentarà que la víctima comparteixi informació que, en circumstàncies normals, no revelaria. Pot apel·lar a l'honestedat, innocència o ignorància per aconseguir el seu objectiu.

Sextorsió

És el xantatge nu i cru de tota la vida on amenacen la víctima amb distribuir suposadament contingut compromès d'ell o ella als seus contactes (encara que no hi hagi dit contingut), si no accedeix a les peticions del ciberdelinqüent, que generalment sol ser efectuar un pagament.

Phising

L'atac clàssic emprant correus electrònics és el més estès i explotat en l'actualitat, encara amb mesures de seguretat actives com Tallafocs o antivirus.

Generalment s'empren correus electrònics amb arxius adjunts infectats o enllaços a pàgines fraudulentes amb l'objectiu de prendre el control dels equips i robar informació confidencial.

Smishing

Es tracta d'una variant del "phishing" però que es difon a través d'SMS. Es demana a l'usuari que truqui a un número de tarifació especial o que accedeixi a un enllaç d'una web falsa, probablement amb malware que pugui infectar les nostres màquines.

Baiting

L'atacant empra un esquer o oportunitat temptadora per a la víctima apel·lant a la curiositat o interès per tal de captar la seva atenció i que caigui en un parany, per exemple, deixar un pendrive USB en llocs concorreguts infectat amb malware, el primer humà que el reculli no podrà resistir la curiositat de punxar i veure que conté. La variant més emprada és el famós clic bait que no és altra que incitar-nos a fer clic a enllaços amb un missatge del nostre interès, però que no té res a veure.

Vishing

Consisteix en trucades telefòniques fraudulentes on l'atacant es fa passar per una organització o persona de confiança perquè la víctima reveli informació privada, se sol actuar sota la premissa d'enquestes o confirmar dades que l'atacant té prèviament de manera que la víctima no sospiti i així revelar més informació.

 

Shoulder Surfing

Encara que sembli simple, ho és. Consisteix a "mirar per sobre de l'espatlla".

L'atacant en té prou amb observar el que escriu o té en pantalla un altre usuari per obtenir informació molt útil que utilitzarà a posteriori, tant si es tracta de contrasenyes o altra informació.

Quid pro quo

Significa "alguna cosa per alguna cosa". Sota la premissa de cridar en nom del suport tècnic d'una gran companyia, l'atacant ha d'informar la víctima d'un problema de seguretat amb els seus sistemes i s'oferirà a ajudar-lo, durant el procés aconseguirà accés i distribuirà el malware per perpetrar l'atac.

És habitual també prometre un benefici a canvi d'informació personal i solen ser compensacions en forma de regal (marxandatge, diners o accés gratuït a programes de pagament)

 

 

Per on començar?

 Un dels millors llibres per al qual li interessi endinsar-se en aquest món és "enginyeria Social l'art del hacking personal" de Christopher Hadnagy.

Hadnagy és el desenvolupador principal de www.social-enginneer.org , el primer marc teòric d'enginyeria social del món.

Ingeniería Social El arte del Hackin Personal

Aquest llibre està a la venda en diferents formats i idiomes a Amazon. Inclou un codi d'afiliat que ens cedeix un petit percentatge de les vendes. No ens farem pas rics, però cada cèim anirà destinat a la fundació Pascual Maragall per la investigació de l'Alzheimer.

Referències:

• https://www.osi.es/es/campanas/ingenieria-social/tecnicas-ingenieria-social
• https://www.sans.org/reading-room/whitepapers/engineering/social-engineering-1365
• https://www.social-engineer.org/framework/general-discussion/
• https://www.avast.com/es-es/c-social-engineering
• https://latam.kaspersky.com/resource-center/definitions/what-is-social-engineering
• https://www.incibe.es/aprendeciberseguridad/ingenieria-social