Introducción
En su libro, «El arte del engaño», el popular hacker Kevin Mitnick explicó el poder de las técnicas de ingeniería social . Hoy en día, somos conscientes de que la ingeniería social se puede combinar con la piratería para impulsar ataques insidiosos.
Consideremos, por ejemplo, las redes sociales y las plataformas móviles; son vectores de ataque poderosos para varias categorías de actores de amenazas porque permiten llegar a grandes audiencias instantáneamente.
La mayoría de los ataques que explotan ambos paradigmas son efectivos porque aprovechan el concepto de «confianza» sobre el que se construyen las redes sociales.
Echemos un vistazo de cerca a los ataques de ingeniería social más comunes que se usan para atacar a los usuarios.
Phishing
Los ataques de phishing son el tipo más común de ataques que aprovechan las técnicas de ingeniería social. Los atacantes utilizan correos electrónicos, redes sociales, mensajería instantánea y SMS para engañar a las víctimas para que proporcionen información confidencial o visiten URL maliciosas en un intento de comprometer sus sistemas.
Los ataques de phishing presentan las siguientes características comunes:
- Los mensajes se redactan para atraer la atención del usuario, en muchos casos para estimular su curiosidad, proporcionando algunos datos sobre un tema específico y sugiriendo que las víctimas visiten un sitio web específico. para obtener más información.
- Los mensajes de phishing destinados a recopilar información del usuario transmiten una sensación de urgencia. Se trata de un intento de engañar a la víctima para que revele datos confidenciales a fin de resolver una situación que podría empeorar sin la interacción de la víctima.
- Los atacantes aprovechan la URL acortada o los enlaces incrustados para redirigir a las víctimas a un dominio malicioso que podría albergar códigos de explotación o que podría ser un clon de sitios web legítimos con URL que parecen legítimas. En muchos casos, el enlace real y el enlace visual en el correo electrónico son diferentes; por ejemplo, el hipervínculo en el correo electrónico no apunta a la misma ubicación que el hipervínculo aparente que se muestra a los usuarios.
- Los mensajes de correo electrónico de phishing tienen una línea de asunto engañosa para atraer que el destinatario crea que el correo electrónico proviene de una fuente confiable. Los atacantes utilizan la dirección de un remitente falsificada o la identidad falsificada de la organización. Por lo general, copian contenidos como textos, logotipos, imágenes y estilos utilizados en el sitio web legítimo para que parezca genuino.
Watering hole
Un ataque de watering hole consiste en inyectar código malicioso en las páginas web públicas de un sitio que los objetivos solían visitar. El método de inyección no es nuevo y es comúnmente utilizado por ciberdelincuentes y piratas informáticos. Los atacantes comprometen sitios web dentro de un sector específico que son visitados habitualmente por personas específicas de interés para los ataques.
Una vez que una víctima visita la página del sitio web comprometido, se instala un troyano de puerta trasera en su computadora. Un método de ataque de abrevadero es muy común para una operación de ciberespionaje o ataques patrocinados por el estado.
Es una convicción común que este tipo de ataque está relacionado con ofensivas patrocinadas por el estado. La elección del sitio web a comprometer, el estudio de los hábitos de la víctima y la adopción de un código de explotación eficiente son pasos que requieren un esfuerzo importante en la fase de preparación del ataque.
La eficiencia de los ataques de abrevadero aumenta. con el uso de exploits de día cero que afectan el software de la víctima. En este caso, las víctimas no tienen forma de proteger sus sistemas de la difusión del malware.
Ataque de caza de ballenas
La caza de ballenas es otra evolución de los ataques de phishing que utiliza técnicas sofisticadas de ingeniería social para robar información confidencial. , datos personales, credenciales de acceso a servicios / recursos restringidos y, específicamente, información con valor relevante desde una perspectiva económica y comercial.
Lo que distingue a esta categoría de phishing de otras es la elección de objetivos: ejecutivos relevantes de empresas privadas y agencias gubernamentales. Se utiliza la palabra caza de ballenas, lo que indica que el objetivo es un gran objetivo para capturar.
La caza de ballenas adopta los mismos métodos de los ataques de spearphishing. El correo electrónico fraudulento está diseñado para hacerse pasar por un correo electrónico comercial crítico enviado por una autoridad legítima, generalmente de ejecutivos relevantes de organizaciones importantes. Por lo general, el contenido del mensaje enviado está diseñado para la alta dirección y reporta algún tipo de preocupación falsa en toda la empresa o información altamente confidencial.
Pretextos
El término pretextos indica la práctica de presentarse como otra persona para obtener información privada. Por lo general, los atacantes crean una identidad falsa y la utilizan para manipular la recepción de información.
Los atacantes que aprovechan esta técnica de ingeniería social específica adoptan varias identidades que han creado.Este mal hábito podría exponer sus operaciones a las investigaciones realizadas por expertos en seguridad y las fuerzas del orden.
El éxito del ataque de pretexto se basa en gran medida en que el atacante tiene la capacidad de generar confianza.
Más avanzado formas de ataques pretextos intentan manipular a las víctimas para que realicen una acción que permita a un atacante descubrir y explotar un punto de falla dentro de una organización.
Un atacante puede hacerse pasar por un operador de servicios de TI externo para solicitar al personal interno información que podría permitir el acceso a sistemas dentro de la organización.
Ataques de cebo y quid pro quo
Otra técnica de ingeniería social es el cebo que explota la curiosidad del ser humano. El cebo a veces se confunde con otros ataques de ingeniería social. Su característica principal es la promesa de bienes que los piratas informáticos utilizan para engañar a las víctimas.
Un ejemplo clásico es un escenario de ataque en el que los atacantes utilizan un archivo malicioso disfrazado de actualización de software o de software genérico. Un atacante también puede impulsar un ataque de cebo en el mundo físico, por ejemplo, diseminar tokens USB infectados en el estacionamiento de una organización objetivo y esperar a que el personal interno los inserte en las PC corporativas.
El malware instalado en los tokens USB comprometerán a los PC, obteniendo el control total necesario para los ataques.
Un ataque quid pro quo (también conocido como ataque «algo por algo») es una variante de cebo. En lugar de cebar a un objetivo con la promesa de un buen ataque quid pro quo promete un servicio o un beneficio basado en la ejecución de una acción específica.
En un escenario de ataque quid pro quo, el hacker ofrece un servicio o beneficio a cambio para obtener información o acceso.
El ataque quid pro quo más común ocurre cuando un pirata informático se hace pasar por un miembro del personal de TI de una organización grande. Ese pirata informático intenta contactar por teléfono a los empleados de la organización objetivo y luego les ofrece algún tipo de actualización o instalación de software.
Es posible que requieran st víctimas para facilitar la operación desactivando el software antivirus temporalmente para instalar la aplicación maliciosa.
Tailgating
El ataque tailgating, también conocido como «piggybacking», involucra a un atacante que busca ingresar a un área restringida que carece de la autenticación adecuada.
El atacante puede simplemente caminar detrás de una persona autorizada para acceder al área. En un escenario de ataque típico, una persona se hace pasar por un conductor de reparto cargado de paquetes y espera hasta que un empleado abre la puerta. El atacante le pide al empleado que sujete la puerta, evitando las medidas de seguridad establecidas (por ejemplo, control de acceso electrónico).
Lea más sobre los ataques de ingeniería social
Los 10 ataques de phishing más comunes
5 amenazas de ingeniería social a la privacidad de los empleados
Spear-Phishing y caza de ballenas
Fuentes
5 Ingeniería social Ataques a tener en cuenta, el estado de la seguridad
Qingxiong Ma, «El proceso y las características de los ataques de phishing: un estudio de caso de una pequeña empresa de comercio internacional», Journal of Technology Research
The Marco de ingeniería social, seguridad a través de la educación
Ingeniería social: ataques Quid Pro Quo, LinkedIn
Ingeniería social: ¿Qué es Tailgating ?, Mailfence