Como indica MAGERIT , que es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, la ingeniería social es el abuso de la buena fe de las personas para que realicen actividades que interesan a un tercero, en este casi, un atacante.

Cada ataque de Ingeniería Social es único, pero con un poco de comprensión de las situaciones encontradas, podemos indicar un ciclo de vida de la amenaza aproximado de todas las actividades a las que afecta un proyecto de Ingeniería Social, estudiado a través de varios resultados exitosos. La representación general del ciclo de vida de ingeniería social en cuatro principales etapas sería:

Footprinting -> Relación de confianza -> Manipulación psicológica -> Salida.

Footprinting : Es la técnica de acumular información sobre el (los) objetivo (s) y el entorno ambiente. El Footprinting puede revelar a las personas relacionadas con el objetivo con quien el atacante tiene que establecer una relación, a fin de mejorar las posibilidades de un ataque exitoso.

La recopilación de información durante la fase de Footprinting incluye, pero no está limitada a:

  • Lista de nombres de empleados y números de teléfono
  • Organigrama
  • Información del departamento
  • Información sobre la ubicación

El Footprinting generalmente se refiere a una de las fases de preataque; tareas realizadas antes de hacer el ataque real de Ingeniería Social.

Algunas de las herramientas utilizadas por los atacantes e esta fase, serian : creepy ,SET y Maltego , haciendo de la obtención de datos de compromiso de Ingeniería Social más fácil.

Relación de confianza: Una vez que se han enumerado los posibles objetivos, el atacante pasa a desarrollar una relación con el objetivo que generalmente es un empleado o alguien que trabaja en el negocio para desarrollar una buena relación con ellos. La confianza que está ganando el ingeniero social se usará luego para revelar piezas confidenciales de información que podría causar daños graves al negocio

Manipulación psicológica : En este paso, el ingeniero social manipula la confianza que ha ganado en la anterior fase para extraer tanta información confidencial u obtener operaciones confidenciales relacionadas al sistema de destino realizado por el propio empleado para penetrar en el sistema con mucha facilidad.
Una vez que se ha recopilado toda la información confidencial requerida, el ingeniero social puede pasar al siguiente objetivo o avanzar hacia la explotación del sistema actual bajo consideración.

Salida : Ahora, después de que se haya extraído toda la información real, el ingeniero social tiene que hacer una salida clara de manera pueda desviar cualquier tipo de sospecha innecesaria sobre sí mismo. Él se asegurará de no dejar ningún tipo de prueba de su visita que pueda llevar un rastro de su identidad real ni de que lo vincule a la entrada no autorizada en el sistema objetivo en el futuro.

Tipología de ataques de Ingeniería Social

Estos tipos de ataques pueden ayudar al atacante a obtener acceso a cualquier sistema independientemente de la plataforma, software o hardware involucrado. Mostraremos a continuación algunas de las técnicas más populares utilizadas para realizar un ataque de Ingeniería Socia:

Shoulder Surfing : Es un ataque de seguridad donde, el atacante usa técnicas de observación, como mirar por encima del hombro de alguien, para obtener información mientras se desempeñan alguna acción que implica el uso explícito de información sensible y visible. Esto puede ser realizado a corta distancia, así como a un largo alcance utilizando binoculares u otra visión mejorada de dispositivos.

Dumpster Diving : Muchas veces, grandes organizaciones descargan elementos como guías telefónicas de la compañía, manuales del sistema, organigramas, manuales de políticas de la compañía, calendarios de reuniones, eventos y vacaciones, impresiones de datos confidenciales o nombres de usuario y contraseñas, impresiones de la fuente código, discos y cintas, membretes de la compañía y formularios de notas, y hardware desactualizado descuidadamente en los contenedores de la compañía. Un atacante puede usar estos elementos para obtener una gran cantidad de información sobre la organización de la empresa y la estructura orgánica de la misma. Este método de búsqueda a través del contenedor de basura, en busca de información potencialmente útil , suele estar “no identificado” por los empleados de una empresa y es conocido como Dumpster Diving

Juego de roles : Es una de las armas clave para un ingeniero social. Implica persuadir o reunir información mediante el uso de una sesión de chat en línea, correos electrónicos, teléfono o cualquier otro método que nuestra empresa utilice para interactuar en línea con el público, pretendiendo ser un servicio de ayuda, empleado, técnico, indefenso o un usuario importante para divulgar información confidencial.

Caballo de Troya : Es uno de los métodos más predominantes actualmente utilizados por los piratas informáticos que implican engaños las víctimas para descargar un archivo malicioso al sistema, que en la ejecución crea una puerta trasera en la máquina que puede ser utilizada por el atacante en cualquier momento en un futuro y por lo tanto tener acceso completo a la máquina de la víctima.

Phising : Es el acto de crear y usar sitios web y correos electrónicos diseñados para parecerse a los de conocidos negocios legítimos, instituciones financieras y agencias gubernamentales para engañar a los usuarios de Internet para que revelen su información personal y afirmando falsamente ser una empresa legítima establecida en un intento de estafar al usuario en la entrega privada información que será utilizada para el robo de identidad.

Crawling Sitios web de organizaciones y foros online: Gran cantidad de información con respecto a la estructura de la organización, correos electrónicos, números de teléfono están disponibles abiertamente en el sitio web de la compañía y otros foros online. Esta información puede ser utilizado por el atacante para refinar su enfoque y crear un plan sobre a quién dirigirse y el método a ser utilizado

Ingeniería Social Inversa: Un ataque de ingeniería social inverso es un ataque en el que un atacante convence al objetivo que tiene un problema o puede tener un cierto problema en el futuro y que el atacante, está listo para ayudar a resolver el problema. La ingeniería social inversa implica tres partes:
Sabotaje : Después de que el atacante obtiene un acceso simple al sistema, corrompe el sistema o le da la apariencia de estar corrupto. Cuando el usuario ve el sistema en el estado corrupto, comienza a buscar ayuda para resolver el problema.
Marketing : Para asegurarse de que el usuario se acerca al atacante con el problema, el atacante se anuncia a sí mismo como la única persona que puede resolver el problema.
Soporte : En este paso, gana la confianza del objetivo y obtiene acceso a la información confidencial solicitada.

¿Qué es phishing?

La forma más común de phishing es el tipo general, enviar correos masivos, donde alguien envía un correo electrónico pretendiendo ser otra persona e intenta engañar al destinatario para que haga algo, usualmente iniciando sesión en un sitio web o descargando malware. Los ataques a menudo se basan en la suplantación de correo electrónico, donde el encabezado del correo electrónico o el campo de origen, se falsifica para hacer que el mensaje aparezca como si hubiera sido enviado por un remitente de confianza.
Algunos ataques están diseñados específicamente para organizaciones e individuos, y otros se basan en métodos distintos al correo electrónico.

¿Qué es spear phishing?

Los ataques de phishing toman su nombre de la idea de que los estafadores están pescando víctimas al azar mediante el uso de correos electrónicos falsos o fraudulentos como cebo. Los ataques de Spear phishing extienden la analogía de dicha pesca ya que los atacantes están dirigidos específicamente a las víctimas y organizaciones de alto valor.

Los ataques de Spear phishing son extremadamente exitosos porque los atacantes pasan mucho tiempo elaborando información específica para el destinatario, como, hacer referencia a una conferencia a la que el destinatario acaba de asistir o enviar un archivo adjunto malicioso donde el nombre del archivo hace referencia a un tema que le interesa al destinatario.

Como ejemplo: Group 74 (también conocido como Sofact, APT28, Fancy Bear) apuntó a profesionales de ciberseguridad con un correo electrónico que pretendía estar relacionado con la conferencia Cyber Conflict US, un evento organizado por el Army Cyber Institute de la Academia Militar de los Estados Unidos. CyCon es una conferencia real, pero el archivo adjunto era en realidad un documento que contenía una macro maliciosa de Visual Basic para Aplicaciones (VBA) que descargaría y ejecutaría un malware de reconocimiento llamado Seduploader.

¿Qué es el Whalling?

“La caza de ballenas” , un ataque de phishing específicamente dirigido a los altos ejecutivos de la empresa,llamado así ya que se considera que la víctima es de alto valor, y la información robada será más valiosa de lo que un empleado regular puede ofrecer. Las credenciales de la cuenta que pertenecen a un CEO abrirán más puertas que un empleado de bajo nivel.

El Whalling requiere investigación adicional porque el atacante necesita saber con quién se comunica la víctima prevista y el tipo de discusiones que tienen. Los ejemplos incluyen referencias a quejas de clientes, citaciones legales o incluso un problema en la suite ejecutiva. Los atacantes generalmente comienzan con ingeniería social para reunir información sobre la víctima y la compañía antes de elaborar el mensaje de phishing que se usará en el ataque.

¿Qué es el Bussiness email compromise (BEC)?

Además de las campañas generales de phishing distribuidas en masa, los delincuentes se dirigen a personas clave en los departamentos de finanzas y contabilidad a través de estafas de compromiso de correo electrónico comercial (BEC) y fraude de correo electrónico de CEO. Al hacerse pasar por funcionarios financieros y directores ejecutivos, estos delincuentes intentan engañar a las víctimas para que inicien las transferencias de dinero en cuentas no autorizadas.

Por lo general, los atacantes ponen en peligro la cuenta de correo electrónico de un alto ejecutivo o funcionario financiero explotando una infección existente o mediante un ataque de spear phishing. El atacante acecha y supervisa la actividad de correo electrónico del ejecutivo durante un período de tiempo para conocer los procesos y procedimientos dentro de la empresa. El ataque real toma la forma de un correo electrónico falso que parece que proviene de la cuenta del ejecutivo comprometido que se envía a alguien que es un destinatario habitual. El correo electrónico parece ser importante y urgente, y solicita que el destinatario envíe una transferencia bancaria a una cuenta bancaria externa o desconocida. El dinero finalmente aterriza en la cuenta bancaria del atacante.

¿Qué es clone phishing?

Clonar el phishing requiere que el atacante cree una réplica casi idéntica de un mensaje legítimo para engañar a la víctima haciéndole creer que es real. El correo electrónico se envía desde una dirección similar al remitente legítimo, y el cuerpo del mensaje tiene el mismo aspecto que un mensaje anterior. La única diferencia es que el archivo adjunto o el enlace en el mensaje se ha intercambiado con uno malicioso. El atacante puede decir algo similar a tener que volver a enviar el original, o una versión actualizada, para explicar por qué la víctima estaba recibiendo el "mismo" mensaje de nuevo.Este ataque se basa en un mensaje legítimo visto anteriormente, lo que hace que sea más probable que los usuarios caigan en el ataque.

¿Qué es vishing?

Vishing significa "phishing de voz" y conlleva el uso del teléfono. Por lo general, la víctima recibe una llamada con un mensaje de voz disfrazado como una comunicación de una institución financiera. Por ejemplo, el mensaje puede solicitarle al destinatario que llame a un número e ingrese la información de su cuenta o PIN por razones de seguridad u otros fines oficiales. Sin embargo, el número de teléfono suena directamente al atacante a través de un servicio de voz sobre IP.

¿Qué es snowshoeing?

El rastreo de raquetas de nieve o spam “hit-and-run” , requiere que los atacantes envíen mensajes a través de múltiples dominios y direcciones IP. Cada dirección IP envía un volumen bajo de mensajes, por lo que las tecnologías de filtrado de spam basado en la reputación o el volumen no pueden reconocer y bloquear mensajes maliciosos de inmediato. Algunos de los mensajes llegan a las bandejas de entrada de correo electrónico antes de que los filtros aprendan a bloquearlos.

Las campañas Hailstorm “granizadas”, funcionan igual que las snowshoeing, excepto que los mensajes se envían en un lapso de tiempo extremadamente corto. Algunos de estos ataques terminan justo cuando las herramientas antispam detectan y actualizan los filtros para bloquear futuros mensajes, pero los atacantes ya han pasado a la siguiente campaña.

Método de protección de alto nivel

No hay una forma efectiva de protegerse contra un ataque de Ingeniería Social porque no importa qué se implementan controles, siempre existe ese "factor humano" que influye en el comportamiento de un individual. Pero, hay ciertas formas de reducir la probabilidad de éxito del ataque. También es importante para organizaciones para establecer una política de seguridad clara y sólida y procesos para reducir la amenaza de Ingeniería social. Los siguientes son algunos de los pasos para garantizar la protección contra el ataque de Ingeniería Social:

Entrenamientos de Concienciación de Seguridad: La concienciación de seguridad es la solución más simple para prevenir ataques de ingeniería social. Cada persona en la organización debe recibir capacitación básica sobre seguridad de manera oportuna para que él/ella nunca dé ninguna información sin la autorización apropiada y para que se conozca que se debe informar de cualquier comportamiento sospechoso.

Verificación de fondo: Hay muchas posibilidades de que un atacante se una a la empresa como empleado para reunir información privilegiada sobre la compañía. Esto hace que la detección de antecedentes sea realmente importante parte de las políticas de la empresa para contrarrestar el ataque de ingeniería social. No solo debe ser limitado a los empleados internos, pero también debe extenderse también a los proveedores y otros trabajadores contratados antes de que se conviertan en parte de la organización o se le dé acceso a la organización red.

Seguridad física: Debe haber un mecanismo de control de acceso adecuado para asegurarse que solo a las personas autorizadas se les permite el acceso a secciones restringidas de la organización.

Fuga de datos: Debe haber una monitorización constante de toda la información sobre la organización colgada en Internet. Cualquier tipo de irregularidad debe ser inmediatamente tratada. Esto dificultará la recolección pasiva de información del atacante mediante varias herramientas, como podría ser spiderfoot .

Simulacros de ingeniería social: Se deben realizar actividades especiales de Ingeniería Social con los empleados internos de la organización, ya sea por el equipo de seguridad o por el proveedor, a fin de realizar un seguimiento del nivel de la seguridad sobre la conciencia en la organización.

Política de clasificación de datos: Debe haber una clasificación adecuada de los datos en función de sus niveles de criticidad y el personal de acceso. La clasificación de datos asigna un nivel de sensibilidad a la información de la empresa.
Cada nivel de clasificación de datos incluye diferentes reglas para ver, editar y compartir los datos. Esto ayuda a detener a la ingeniería social al proporcionar a los empleados un mecanismo para entender, qué información se puede divulgar y qué no se puede compartir sin la debida autorización.

Algunos controles adicionales que deberíamos tenerse en cuenta para reducir el éxito de un ataque de Ingeniería Social a alto nivel, podríamos enumerarlos a continuación:

  • Instalar y mantener los firewalls, antivirus, software antispyware y filtros de correo electrónico.
  • No permitir que las personas se pongan detrás al escribir información confidencial.
  • Tener una estrategia adecuada de respuesta a incidentes en la organización.
  • El uso de identificaciones corporativas en dominio público, blogs, foros de discusión, etc. debe estar prohibido.
  • Se debe prestar atención a la URL de un sitio web. Aunque los sitios web maliciosos generalmente se ven idénticos a un sitio legítimo, pero la URL puede usar una variación en la ortografía o un dominio diferente.
  • No se debe acceder a los detalles confidenciales y críticos en línea como el buzón de correo corporativo en lugares públicos, cafés y hoteles, etc. donde no se puede confiar en la seguridad del punto de Acceso a Internet.
  • No enviar información sensible a través de Internet antes de verificar la seguridad de los sitios web.
  • No revelar información personal o financiera por correo electrónico, al igual que no responder al correo electrónico sobre solicitudes de información similar.
  • Verificar que todos los puntos físicos de entrada y salida estén asegurados en todo momento.
  • No proporcionar información personal o información sobre su organización a nadie a menos que estar seguro de la autoridad de la persona para tener esa información.
  • Usar el teclado virtual cuando corresponda.
  • Tener mucho cuidado con lo que se proporciona/indica en el sitio web de su empresa. Evitar publicar gráficos organizacionales o listas de personas clave siempre que sea posible.
  • Asegurarse de destruir cualquier documento descartado que pueda contener datos confidenciales.
  • Implementar un buen filtro de SPAM que detecte virus, remitentes en blanco, etc.
  • Desarrollar una política de seguridad que incluya, pero no se limite a, la caducidad de la contraseña y la complejidad.
  • Implementar un filtro web para bloquear sitios web maliciosos.
  • Cifrar toda la información sensible de la compañía.
  • Convertir el correo electrónico HTML en mensajes de texto o deshabilitar los mensajes de correo electrónico HTML.

Conclusión

Con la excepción de los riesgos planteados por el phishing, la amenaza de la ingeniería social como una forma de acceder a los sistemas corporativos de TI parece a menudo pasarse por alto a favor de asegurar esos sistemas contra los ataques informáticos. Esperamos que con este post, se haya demostrado que la clave para asegurar los sistemas de TI de nuestra organización radica en la preparación de todas las vías de ataque; cerrar las puertas delantera y trasera y todas las ventanas no es una buena idea si hay un agujero en el techo, después de todo.

Las personas son un componente vital y a menudo, pasado por alto en los sistemas de seguridad como parte de la superficie de ataque disponible para un atacante, y sin el conocimiento y la capacitación adecuados puede ser el eslabón débil que expone sus datos al mundo.