EN ESTA TERCERA ENTREGA DE LA SERIE “ EL ARTE DE ENGAÑAR AL USUARIO” ANALIZAREMOS LOS TIPOS DE ATAQUES UTILIZADOS POR LOS INGENIEROS SOCIALES DE MANERA LOCAL, DIFERENCIÁNDOLOS ASÍ DE LOS ATAQUES REALIZADOS DE MANERA REMOTA, TEMA CORRESPONDIENTE A LA PARTE 4.
Cuándo se utilizan
Tanto durante la fase de “Desarrollo de la relación” como así también la de “Explotación de la relación” el Ingeniero Social puede utilizar diferentes tipos de técnicas y ataques.
Una forma de clasificar los ataques es dividiendo los mismos entre aquellos que se realizan en forma remota, a través de internet, teléfono, u otro medio a distancia, y aquellos que se realizan en forma local.
En este post nos enfocaremos en los ataques realizados por el Ingeniero Social en forma local, es decir, personalmente.
Pretexting / Impersonate
Estas técnicas van de la mano y pueden usarse tanto en los ataques locales como así también en los remotos.
Un claro ejemplo puede darse cuando el atacante se hace pasar por un empleado de soporte técnico de la empresa en la cual trabaja la víctima (impersonate), tratando de generar empatía para ganar credibilidad.
Acto seguido presenta algún tipo de excusa o pretexto (pretexting) como por ejemplo alertar a la víctima de un comportamiento inadecuado en su equipo, el cual requiere de su intervención, dando de esta manera instrucciones específicas que terminarán en la instalación de algún tipo de Malware, concretando así su objetivo (tomar el control del equipo, obtener datos sensibles, etc).
Tailgating
Este tipo de ataque se aprovecha de la solidaridad y la buena voluntad.
Generalmente suele ejecutarse cuando un empleado (la víctima) está ingresando a su empresa, la cual posee algún tipo de restricción en su acceso físico, como por ejemplo: tarjetas RFID, molinetes, etc.
El atacante irá corriendo con una gran “sonrisa” detrás de la víctima (justo antes de que esta termine de ingresar) haciendo un gesto de haber olvidado su tarjeta de acceso o en caso de existir un molinete, ingresará junto con la víctima disculpándose por su “torpeza”.
Baiting
El Baiting (señuelo) es una técnica muy efectiva. Generalmente se utilizan pendrives con software malicioso los cuales se dejan en el escritorio de la víctima o en el camino que la misma realice (por ejemplo en el estacionamiento, ascensor, etc).
Para asegurarse del éxito en la explotación se estudia a la víctima previamente detectando así la vulnerabilidad a ser explotada.
Falla en controles físicos de seguridad
Este es quizás unos de los más usados ya que existen muchas empresas con fallas en sus controles físicos.
Para graficarlo mejor supongamos que en la recepción se encuentra un guardia de seguridad o recepcionista, el/la cual solicita nombre, apellido, número de documento y el área a la cual se quiere dirigir “la visita”, pero este guardia o recepcionista no solicita el documento físico ni tampoco llama al empleado que está siendo “visitado”.
Este tipo de ataque es muy efectivo para realizar Baiting, ya que si el control falla desde el inicio es muy probable que se pueda llegar hasta las oficinas de interés para el atacante.
Dumpster Diving
Aunque no lo crean una de las técnicas muy utilizadas es revisar la basura, ya que muchas – pero muchas – veces se arrojan papeles con información sensible sin haberlos destruidos previamente (usuarios y contraseñas que fueron anotadas en algún Postit, números de cuentas, emails impresos, etc.)
También se suelen encontrar distintos medios de almacenamiento sin su debida destrucción como pueden ser: CDs, discos rígidos, etc.
Shoulder Surfing
Esta es una técnica muy utilizada por los Ingenieros Sociales (y los curiosos también 🙂 ). No es ni más ni menos que espiar por encima del hombro de las personas, en muchos casos para poder observar qué está tecleando la víctima y así poder dilucidar su password, PIN y patrones de desbloqueos en teléfonos, etc.
Distracción
Conocida también como Misdirection (desorientar) esta técnica es la piedra fundamental de la Magia y el Ilusionismo.
Es utilizada para llevar la atención de la víctima a algo irrelevante mientras el atacante puede obtener todo lo contrario (información valiosa), pudiendo por ejemplo: sacar una foto de la pantalla o papeles con datos importantes, robar un Token, Pendrive o algún dispositivo de almacenamiento, etc.
Sobre esta serie
Este es el tercero de una serie de posts sobre la Ingeniería Social. En las próximas publicaciones hablaremos acerca de los diferentes tipos de ataques que llevan a cabo los Ingenieros Sociales en forma remota. Además, conoceremos las medidas de protección que las organizaciones deben tener en cuenta para proteger a su personal de esta gran amenaza y algunos datos curiosos sobre reconocidos Ingenieros Sociales.
Deja un comentario