Ingeniería social

From FdIwiki ELP
Jump to: navigation, search

Introducción

"Usted puede tener la mejor tecnología, firewalls, sistemas de detección de ataques, dispositivos biométricos. Lo único que se necesita es una llamada a un empleado desprevenido y acceden al sistema sin más tienen todo en sus manos". Kevin Mitnick.

¿Qué es?

La ingeniería social (Social Engineering) consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían. Podemos encontrarnos ante el método de ataque más sencillo, menos peligroso para el atacante y uno de los más efectivos. Dicho atacante puede aprovechar el desconocimiento de unas mínimas medidas de seguridad por parte de personas relacionadas de una u otra forma con el sistema para poder engañarlas en beneficio propio.

Si el atacante se hace pasar por un gerente o director enfadado que exige acceso a cierta información amenazando con oscuros castigos si no es obedecido o, por el contrario, finge ser un pobre y pusilánime compañero que ruega, por favor, cierta información porque si no la obtiene a tiempo será despedido, puede conseguir, ante usuarios no prevenidos ante estas técnicas, los datos buscados. Frente a cualquier duda en este sentido, nada mejor que comunicar el evento a nuestros responsables y, en general, mantener mucha cautela cuando oigamos tales peticiones o coacciones.

Con este curioso término se engloba una serie de tretas, artimañas y engaños elaborados cuyo fin es confundir al usuario o, peor todavía, lograr que comprometa seriamente la seguridad de sus sistemas.

Como combatirlo.

La mejor manera de estar protegido pasa por el conocimiento. Educar a las personas, en concreto a las personas que trabajan cerca de las terminales, desde los operarios, hasta personal de limpieza. Analizar con antivirus todos los correos que reciban. No informar telefónicamente de las características técnicas de la red, ni nombre de personal a cargo, etc. Control de acceso físico al sitio donde se encuentra los ordenadores. Políticas de seguridad a nivel de Sistema Operativo.

Técnicas

- Intrusos que se hacen pasar por empleados de otros departamentos de la empresa, por personal de un proveedor de servicios de informática, de un operador de telefonía o de acceso a Internet.

- Correos electrónicos que suplantan la identidad de otra persona u organización, o que incluyen textos o ficheros adjuntos a modo de reclamo.

- Usuarios que utilizan foros y chats en Internet para conseguir tener acceso a determinados archivos sensibles del sistema o a información referente a la configuración y medidas de protección de los equipos.

- "Shoulder surfing" espionaje de los usuarios para obtener su nombre de usuario y contraseña, mediante observación directa de lo que teclean en en la computadora.

- "Dumpster diving" (basurero) revisión de los papeles y documentos que se tiran a la basura y no son destruidos de forma segura.

- Puesta en marcha de websites maliciosos que tratan de engañar a sus usuarios. Ej. windowsupdate.microsft.com

- "Baiting", un atacante abandona de forma intencional un dispositivo o medio de almacenamiento extraíble, como por ejemplo, una memoria USB o un CD/DVD. Dicho dispositivo estará infectado con software malicioso, que podría ser instalado en el ordenador, incluso sin que nos demos cuenta.

- "Piggybacking" se refiere al acto de ingresar en una zona restringida siguiendo a otra persona que si está autorizada.

Ejemplos

1. ESTAFA NIGERIANA

Es el cuento del tío de la era de Internet. ¿Quién no soñó con recibir una inesperada herencia de un pariente lejano? Los scammers detrás de este tristemente célebre engaño fueron precursores de algo que no solo perduró, sino que se expandió a diversos países e idiomas. Recibió su nombre a raíz del número de artículo del código penal de Nigeria que viola, ya que buena parte de las estafas provienen de ese país y de otros pertenecientes a África. La estafa nigeriana promete a su víctima una gran fortuna, convenciéndola de que la suma le corresponde por una herencia, por ser ganador de un sorteo, por una generosa donación, porque las autoridades de un país lo necesitan o por otros diversos motivos. Como condición para acceder a ella, se exige el pago de un adelanto nada económico, pero bajo comparado con lo que supuestamente se va a ganar luego. Naturalmente, existen numerosas variantes de la estafa nigeriana.


2. SCAMS RELACIONADOS A MUERTES DE CELEBRIDADES

Los casos aquí abundan y no hacen más que demostrar cuánto les rinde a los cibercriminales aprovechar noticias de famosos fallecidos o incluso inventar que murieron, gracias a lo cual consiguen que cientos de usuarios curiosos hagan clic en enlaces engañosos. Por mencionar algunos ejemplos, tenemos la falsa muerte del cantante Ricardo Arjonaca y también la del automovilista Michael Schumacher o el rumor de que Michael Jackson estaba vivo.


3. FOTOS Y VÍDEOS DE FAMOSOS

Muchas fueron las celebridades víctimas de la filtración de fotos íntimas, entre ellas Jennifer Lawrence, Ariana Grande, Rihanna, Kate Upton y Kim Kardashian, en lo que se conoció como Celebgate el año pasado. Como consecuencia, no tardaron en aparecer amenazas disfrazadas de archivos y carpetas conteniendo el material robado. Nuestra región no fue la excepción: aquí, Shakira fue objeto de una campaña que propagaba en Facebook un falso vídeo íntimo, en el que la cantante supuestamente había cometido en público un acto poco digno. Al poco tiempo, apareció otro supuesto vídeo que aparentaba mostrar un romance oculto entre ella y el jugador de fútbol Alexis Sánchez.

Vídeo

- https://www.youtube.com/watch?v=xDdVnRHO3CE