L'Enginyeria Social es basa en la manipulació psicològica
La
percepció de seguretat és relativa, el problema és que la majoria de nosaltres
no veiem els problemes potencials perquè estem encegats per la nostra pròpia
confiança o per les nostres creences que un forrellat, una porta grossa, o un
sofisticat sistema de seguretat i un gos guardià són suficients per mantenir a
la majoria de gent a ratlla.
En
l'àmbit digital aquesta percepció és encara pitjor, el ciberdelinqüent no és
com la majoria de la gent i utilitzarà una metodologia sistemàtica més o menys
sofisticada mitjançant l'engany i la persuasió, per obtenir el que desitja, que
no és altra cosa que les teves dades i en última instància els teus diners.
És probable que no te n'adonis de l'atac
De la mateixa manera que un mag fixa la mirada en tu,
gesticula i articula les paraules necessàries per distreure't i perpetrar el
seu truc davant els teus nassos, el ciberdelinqüent actua d'una manera similar
mitjançant l'art de l'engany, la persuasió i la distracció.
El ciberdelinqüent o enginyer social s'enfoca principalment en les empreses que és on hi ha les dades i els diners, però usant a les persones per accedir a tot això.
Hi ha diferents tècniques més o menys complexes, algunes
són òbvies altres són més elaborades, però això dependrà de la motivació de
l'atacant i de la poca atenció de la víctima.
Tècniques d'enginyeria social
Pretexting
Consisteix a
elaborar un escenari fictici, construir una història o un relat on l'atacant
intentarà que la víctima comparteixi informació que, en circumstàncies normals,
no revelaria. Pot apel·lar a l'honestedat, innocència o ignorància per
aconseguir el seu objectiu.
Sextorsió
És el xantatge nu i cru de tota la vida on amenacen la víctima amb distribuir suposadament
contingut compromès d'ell o ella als seus contactes (encara que no hi hagi dit
contingut), si no accedeix a les peticions del ciberdelinqüent, que generalment
sol ser efectuar un pagament.
Phising
L'atac clàssic
emprant correus electrònics és el més estès i explotat en l'actualitat, encara
amb mesures de seguretat actives com Tallafocs o antivirus.
Generalment
s'empren correus electrònics amb arxius adjunts infectats o enllaços a pàgines
fraudulentes amb l'objectiu de prendre el control dels equips i robar
informació confidencial.
Smishing
Es tracta d'una variant del "phishing" però que es difon a través d'SMS. Es demana a l'usuari que truqui a un número de tarifació especial o que accedeixi a un enllaç d'una web falsa, probablement amb malware que pugui infectar les nostres màquines.
Baiting
L'atacant empra un esquer o oportunitat temptadora per a la víctima apel·lant a la curiositat o interès per tal de captar la seva atenció i que caigui en un parany, per exemple, deixar un pendrive USB en llocs concorreguts infectat amb malware, el primer humà que el reculli no podrà resistir la curiositat de punxar i veure que conté. La variant més emprada és el famós clic bait que no és altra que incitar-nos a fer clic a enllaços amb un missatge del nostre interès, però que no té res a veure.
Vishing
Consisteix en trucades telefòniques fraudulentes on l'atacant es fa passar per una organització o persona de confiança perquè la víctima reveli informació privada, se sol actuar sota la premissa d'enquestes o confirmar dades que l'atacant té prèviament de manera que la víctima no sospiti i així revelar més informació.
Shoulder Surfing
Encara que sembli
simple, ho és. Consisteix a "mirar per sobre de l'espatlla".
L'atacant en té
prou amb observar el que escriu o té en pantalla un altre usuari per obtenir
informació molt útil que utilitzarà a posteriori, tant si es tracta de
contrasenyes o altra informació.
Quid pro quo
Significa
"alguna cosa per alguna cosa". Sota la premissa de cridar en nom del
suport tècnic d'una gran companyia, l'atacant ha d'informar la víctima d'un
problema de seguretat amb els seus sistemes i s'oferirà a ajudar-lo, durant el
procés aconseguirà accés i distribuirà el malware per perpetrar l'atac.
És habitual també
prometre un benefici a canvi d'informació personal i solen ser compensacions en
forma de regal (marxandatge, diners o accés gratuït a programes de pagament)
Per on començar?
Un dels millors llibres per al qual li interessi endinsar-se en aquest món és "enginyeria Social l'art del hacking personal" de Christopher Hadnagy.
Hadnagy és el desenvolupador principal de www.social-enginneer.org , el primer marc teòric d'enginyeria social del món.
Ingeniería Social El arte del Hackin Personal
- https://www.osi.es/es/campanas/ingenieria-social/tecnicas-ingenieria-social
- https://www.sans.org/reading-room/whitepapers/engineering/social-engineering-1365
- https://www.social-engineer.org/framework/general-discussion/
- https://www.avast.com/es-es/c-social-engineering
- https://latam.kaspersky.com/resource-center/definitions/what-is-social-engineering
- https://www.incibe.es/aprendeciberseguridad/ingenieria-social
Publica un comentari a l'entrada