En esta cuarta entrega de la serie «EL ARTE DE ENGAÑAR AL USUARIO» analizaremos los tipos de ataques utilizados por los ingenieros sociales de manera remota, diferenciándolos así de los ataques realizados de manera local, ya vistos en la parte 3.
Cuándo se utilizan
Tanto durante la fase de “Desarrollo de la relación” como así también la de “Explotación de la relación” el Ingeniero Social puede utilizar diferentes tipos de técnicas y ataques.
Una forma de clasificar los ataques es dividiendo los mismos entre aquellos que se realizan en forma remota, a través de internet, teléfono, u otro medio a distancia, y aquellos que se realizan en forma local.
En este post nos enfocaremos en los ataques realizados por el Ingeniero Social en forma remota.
Phishing
Tal como su nombre lo indica esta técnica busca “pescar” víctimas. Generalmente se utiliza para ello el envío de correos electrónicos conteniendo adjuntos con malware, links a páginas falsas, o simples solicitudes de información, con el objetivo de tomar control del equipo de la víctima o buscando establecer una relación con la mismas (jugando con sus sentimientos).
Un ejemplo muy usado es cuando el atacante se presenta como una anciana que posee una enfermedad mortal y la misma tiene dinero (generalmente son sumas millonarias) que quiere donar para beneficencia. Al estar sola y no tener familiares, eligió a la víctima por su “buen perfil” en Internet, proponiéndole transferir el dinero a su cuenta dejándole un porcentaje siempre y cuando se cumpla la condición de que el resto del dinero sea donado con fines solidarios.
El objetivo final de este tipo de Phishing generalmente es hacerse de documentos o pasaportes válidos para seguir cometiendo fraudes con los mismos (piden a la víctima que le envíe distintos datos personales como así también fotocopia de documento para “verificar” su identidad) y además una suma pequeña de dinero (para no levantar sospechas) que la víctima tendrá que transferir al atacante en concepto de gastos de escribano, sellados, etc.
Esta técnica se vuelve aún más peligrosa y efectiva cuando es apuntada a un objetivo específico como por ejemplo un empleado que tiene acceso a diferentes sistemas dentro de su empresa. En este caso se la conoce como Spear Phishing ya que más que pescar sería cazar con un arpón.
Redes Sociales
Esta técnica tiene dos grandes objetivos, obtener información de la víctima por un lado y generar una relación con la misma por otro.
Existen muchas personas “fanáticas” de las redes sociales, las cuales dan a conocer su vida minuto a minuto, en este caso este tipo de persona es “Oro en Polvo” para los atacantes ya que si la misma es el objetivo se podrá obtener muchísima información que será de gran utilidad.
Muchas veces se piensa que esto es solo a nivel personal y no está relacionado con el trabajo pero muy lejos de la realidad está ese pensamiento ya que quizás esta misma persona (víctima) cumple al pie de la letra las políticas de seguridad de su empresa, pero a nivel personal usa las redes sociales sin concientizarse de la brecha de seguridad que está generando si un atacante lo elige como objetivo.
Telefónicos
Kevin Mitnick fue un famoso Phreaker (Hacker Telefónico), que con el sólo uso de un teléfono logró hacer cosas increíbles.
Este tipo de ataque es muy efectivo y utilizado en conjunto con las técnicas de “Pretexting” e “Impersonate” vistas en el post anterior, siendo mucho más cómodo y seguro para el Ingeniero Social usar un teléfono a contraparte de estar en forma presencial delante de su víctima.
Sobre esta serie
Este es el cuarto de una serie de posts sobre la Ingeniería Social. En las próximas publicaciones conoceremos las medidas de protección que las organizaciones deben tener en cuenta para proteger a su personal de esta gran amenaza y algunos datos curiosos sobre reconocidos Ingenieros Sociales.
Deja una respuesta