Ataques, técnicas y prevención Rberny 2021
Primera Parte
En la mayoría de los ciber ataques dirigidos se ha detectado que el uso de ingeniería social es una de las técnicas que mejores resultados les ha proporcionado a los ciber atacantes, considero que es una técnica que se puede utilizar en muchos ámbitos para obtener información.
Iniciaré por describir la ingeniería social como el arte de manipular a los usuarios de un sistema informático para que revelen información confidencial que se puede utilizar para obtener acceso no autorizado a un sistema informático, así de sencillo, es real y muchos de nosotros alguna vez nos han explorado y no nos dimos cuenta.
Estoy seguro de que muchos dirán, ¡A mí nunca me ha pasado! Y pude que en efecto sea así, les comento que esta técnica también puede incluir actividades como explotar la bondad humana, la codicia y la curiosidad para obtener acceso a edificios de acceso restringido o hacer que los usuarios instalen software de puerta trasera.
En muchos lugares las personas están cada vez más con la inquietud de conocer un poco de los trucos utilizados por los piratas informáticos para engañar a los usuarios y que liberen información vital como puede ser el inicio de sesión, entre muchos otros, por ello considero que es fundamental proteger los sistemas informáticos y proporcionar información de valor.
Esta técnica de manipulación aprovecha el error humano para obtener información privada, accesos u objetos de valor, ¿Cómo se presenta? Mayormente tienden a atraer a los usuarios desprevenidos para que expongan datos, propaguen infecciones de malware o den acceso a sistemas restringidos, de igual manera los ataques pueden ocurrir en línea, en persona o a través de otras interacciones.
Esto es como seguir a una persona por entre las calles de la ciudad, ver que come, como viste, con quien habla, pues bien, las estafas basadas en la ingeniería social se basan en cómo las personas piensan y actúan, en efecto y como tal son los ataques de ingeniería social, he visto que son especialmente útiles para manipular el comportamiento de un usuario y una vez que un atacante comprende lo que motiva las acciones de un usuario, puede engañar y manipular al usuario de manera efectiva.
¿Qué es lo primero que intentan detectar?
Los piratas informáticos intentan explotar la falta de conocimiento de un usuario, por esta razón muchas personas se interesan cada vez más en obtener conocimientos y gracias a la velocidad de la tecnología logran detectar cuando están siendo explorados, no obstante, existen muchos consumidores y empleados que no son conscientes de ciertas amenazas, como las descargas no autorizadas, aun cuando estoy seguro puedes controlarlas por supuesto en tu ambiente de red.
“Es posible que los usuarios tampoco se den cuenta del valor total de los datos personales, como su número de teléfono y desafortunadamente, como resultado, muchos usuarios no están seguros de cómo protegerse mejor a sí mismos y a su información”
Generalmente, los atacantes de ingeniería social tienen uno de dos objetivos:
Sabotaje: Alterar o corromper los datos para causar daños o molestias.
Robo: Obtención de objetos de valor como información, acceso o dinero.
- Para los expertos, sé que esta definición de ingeniería social se puede ampliar aún más si se sabe exactamente cómo funciona.
¿Cómo funciona la ingeniería social?
La mayoría de los ataques de ingeniería social se basan en la comunicación real entre atacantes y víctimas, ¡Qué! ¡Cómo!, justamente entran en contacto directo, el atacante tiende a motivar al usuario a comprometerse a sí mismo, en lugar de utilizar métodos de fuerza bruta para violar sus datos.
El ciclo de ataque les da a estos criminales un proceso confiable para engañarlo, te mencionaré los pasos generales del ciclo de ataque de ingeniería social que suelen ser los siguientes:
- Se preparan reuniendo información de antecedentes sobre usted o un grupo más grande del que forma parte.
- Infiltrarse estableciendo una relación o iniciando una interacción, comenzando por generar confianza.
- Explota a la víctima una vez que se establezca la confianza y una debilidad para avanzar en el ataque.
- Se desaparece una vez que el usuario haya realizado la acción deseada.
Este proceso puede tener lugar en un solo correo electrónico o durante meses en una serie de chats de redes sociales, incluso como les mencione, podría ser una interacción cara a cara, sin embargo, finalmente concluye con una acción que realiza, como compartir su información o exponerse a malware.
“Es importante tener cuidado con la ingeniería social como medio de confusión, muchos empleados y consumidores no se dan cuenta de que solo unos pocos datos pueden dar a los piratas informáticos acceso a múltiples redes y cuentas”
Por ejemplo, al hacerse pasar por usuarios legítimos del personal de soporte de cable o de Internet, obtienen sus datos privados, como el nombre, la fecha de nacimiento o la dirección, a partir de ahí, es muy sencillo restablecer las contraseñas y obtener acceso casi ilimitado, pueden robar dinero, dispersar malware de ingeniería social y más.
Rasgos de los ataques de ingeniería social
Los ataques de ingeniería social se centran en el uso de la persuasión y la confianza por parte del atacante, cuando se expone a estas tácticas, es más probable que realice acciones que de otro modo no haría.
Entre la mayoría de los ataques, se verá engañado con los siguientes comportamientos:
Emociones intensificadas
La manipulación emocional les da a los atacantes la ventaja en cualquier interacción, es mucho más probable que realice acciones irracionales o arriesgadas cuando se encuentra en un estado emocional mejorado, las siguientes emociones se utilizan todas en igual medida para convencerlo.
- Miedo
- Emoción
- Curiosidad
- Enojo
- Culpa
- Tristeza
Urgencia
Las oportunidades o solicitudes urgentes son otra herramienta confiable en el arsenal de un atacante, es posible que se sienta motivado a comprometerse bajo el disfraz de un problema grave que necesita atención inmediata, alternativamente, puede estar expuesto a un premio o recompensa que puede desaparecer si no actúa rápidamente, cualquiera de los dos enfoques anula su capacidad de pensamiento crítico.
Confianza
La credibilidad es invaluable y esencial para un ataque de ingeniería social, dado que el atacante te está mintiendo, la confianza juega un papel importante aquí, han investigado lo suficiente sobre ti como para crear una narrativa que sea fácil de creer y que no despierte sospechas.
Captura de Tráfico en lugares públicos
En algunos casos, los atacantes utilizan métodos más simplistas de ingeniería social para obtener acceso a la red o la computadora, por ejemplo, un pirata informático podría frecuentar el patio de comidas público de un gran edificio de oficinas y observar a los usuarios que trabajan en sus tabletas o computadoras portátiles, hacerlo puede resultar en una gran cantidad de contraseñas y nombres de usuario, todo sin enviar un correo electrónico o escribir una línea de código de virus.
Ahora que ya comprendemos el concepto subyacente, probablemente nos seguimos preguntando:
¿Cómo se presentan?
Está comprobado que casi todos los tipos de ataques de ciberseguridad contienen algún tipo de ingeniería social, como les había comentado, por ejemplo, tenemos las estafas clásicas de correo electrónico y virus que están cargadas de connotaciones sociales.
De esta manera, la ingeniería social puede impactarlo digitalmente o enfrentarse fácilmente a una amenaza en persona, la escalada en la complejidad de los ataques, es que pueden superponerse entre sí para crear una estafa, estos son algunos métodos comunes utilizados por los atacantes de ingeniería social:
Ataques de phishing
En los atacantes de phishing se hacen pasar por una institución o un individuo de confianza en un intento de persuadirlo de que exponga datos personales y otros objetos de valor, para ello utilizan:
- El spam de phishing, o phishing masivo, es un ataque generalizado dirigido a muchos usuarios, estos ataques no son personalizados e intentan atrapar a cualquier persona desprevenida.
- El spear phishing y por extensión lo que se denomina la caza de ballenas, utilizan información personalizada para dirigirse a usuarios particulares, apuntan específicamente a objetivos de alto valor como celebridades, altos directivos y altos funcionarios gubernamentales.
- Utilizan en contexto una comunicación directa o mediante un formulario de sitio web falso, cualquier cosa que comparta va directamente al bolsillo del estafador, incluso podemos ser engañados por una descarga de malware que contiene la siguiente etapa del ataque de phishing.
Cada uno de los métodos utilizados en el phishing tiene modos de entrega únicos, que incluyen, entre otros:
- Las llamadas telefónicas de phishing (vishing) de voz pueden ser sistemas de mensajes automatizados que registran todas sus entradas y muchas veces, una persona real puede hablar contigo para aumentar la confianza y la urgencia.
- Los mensajes de texto de phishing (smishing) SMS o los mensajes de aplicaciones móviles pueden incluir un enlace web o un mensaje de seguimiento a través de un correo electrónico o un número de teléfono fraudulentos.
- El phishing por correo electrónico es el medio más tradicional de phishing, que utiliza un correo electrónico que le insta a responder o hacer un seguimiento por otros medios, se pueden utilizar enlaces web, números de teléfono o archivos adjuntos de malware.
- Angler phishing, este tiene lugar en las redes sociales, donde un atacante imita al equipo de servicio al cliente de una empresa de confianza, interceptan sus comunicaciones con una marca para secuestrar y desviar su conversación a mensajes privados, donde luego avanzan el ataque.
- El phishing en los motores de búsqueda intenta colocar enlaces a sitios web falsos en la parte superior de los resultados de búsqueda, estos pueden ser anuncios pagados o utilizar métodos de optimización legítimos para manipular los rankings de búsqueda.
- Los enlaces URL de phishing te tientan a viajar a sitios web de phishing, estos enlaces se entregan comúnmente en correos electrónicos, mensajes de texto, mensajes de redes sociales y anuncios en línea, los ataques ocultan enlaces en texto o botones con hipervínculos, utilizando herramientas de acortamiento de enlaces o URL deletreadas engañosamente.
- El phishing en sesión aparece como una interrupción de su navegación web normal. Por ejemplo, es posible que vea ventanas emergentes de inicio de sesión falsas para las páginas que está visitando actualmente.
Ataques de cebo
El cebo abusa de tu curiosidad natural para persuadirte de que te expongas a un atacante, por lo general, el potencial de algo gratuito o exclusivo es la manipulación que se usa para explotarlo, el ataque generalmente implica infectarlo a usted con malware.
Los métodos populares de cebo pueden incluir:
- Unidades USB dejadas en espacios públicos, como bibliotecas y estacionamientos.
- Archivos adjuntos de correo electrónico que incluyen detalles sobre una oferta gratuita o software gratuito fraudulento.
Ataques de violación física
Las infracciones físicas involucran a los atacantes que se presentan en persona, haciéndose pasar por alguien legítimo para obtener acceso a áreas o información que de otro modo no estarían autorizadas.
Los ataques de esta naturaleza son más comunes en entornos empresariales, como gobiernos, empresas u otras organizaciones, los atacantes pueden hacerse pasar por un representante de un proveedor conocido y confiable de la empresa, algunos atacantes pueden incluso ser empleados recientemente despedidos con una venganza contra su antiguo empleador.
Hacen que su identidad sea lo suficientemente creíble como para evitar preguntas, esto requiere un poco de investigación por parte del atacante e implica un alto riesgo, por lo tanto, si alguien está intentando este método, ha identificado un claro potencial de una recompensa muy valiosa si tiene éxito.
Pretextos en ataques
Los pretextos utilizan una identidad engañosa como “pretexto” para establecer la confianza, como hacerse pasar directamente por un proveedor o un empleado de la instalación, este enfoque requiere que el atacante interactúe con usted de manera más proactiva, el exploit sigue una vez que te han convencido de que son legítimos.
Acceder a ataques de Tailgating
Tailgating o a cuestas, es el acto de llevar a un miembro del personal autorizado a un área de acceso restringido, los atacantes pueden jugar con la cortesía social para que usted les abra la puerta o lo convenza de que también están autorizados a estar en el área, sin duda, los pretextos también pueden jugar un papel aquí.
Ataques Quid Pro Quo
Quid pro quo es un término que significa aproximadamente “un favor por un favor”, que en el contexto del phishing significa un intercambio de su información personal por alguna recompensa u otra compensación, los obsequios u ofertas para participar en estudios de investigación pueden exponerlo a este tipo de ataque.
El exploit proviene de entusiasmarlo por algo valioso que viene con una baja inversión de su parte, sin embargo, el atacante simplemente toma sus datos sin recompensa para usted.
Ataques de suplantación de DNS y de envenenamiento de caché
La suplantación de DNS manipula su navegador y servidores web para viajar a sitios web maliciosos cuando ingresa una URL legítima, una vez infectado con este exploit, el redireccionamiento continuará a menos que los datos de enrutamiento inexactos se eliminen de los sistemas involucrados.
Los ataques de envenenamiento de la caché de DNS infectan específicamente su dispositivo con instrucciones de enrutamiento para la URL legítima o varias URL para conectarse a sitios web fraudulentos.
Ataques de Scareware
Scareware es una forma de malware que se utiliza para asustarlo y hacer que tome una acción, este malware engañoso utiliza advertencias alarmantes que informan sobre infecciones de malware falsas o afirman que una de sus cuentas se ha visto comprometida, como resultado, el scareware lo empuja a comprar software de ciberseguridad fraudulento o divulgar detalles privados como las credenciales de su cuenta.
Ataques de abrevadero
Los ataques de abrevadero infectan páginas web populares con malware para afectar a muchos usuarios a la vez, requiere una planificación cuidadosa por parte del atacante para encontrar debilidades en sitios específicos, buscan vulnerabilidades existentes que no son conocidas y parcheadas; tales debilidades se consideran exploits de día cero.
Otras veces, pueden encontrar que un sitio no ha actualizado su infraestructura para solucionar problemas conocidos, los propietarios de sitios web pueden optar por retrasar las actualizaciones de software para mantener estables las versiones de software que están conscientes que cambiarán una vez que la versión más nueva tenga un historial probado de estabilidad del sistema, los piratas informáticos abusan de este comportamiento para atacar vulnerabilidades recientemente parcheadas.
Métodos inusuales de ingeniería social
En algunos casos, los ciberdelincuentes han utilizado métodos complejos para completar sus ciberataques, que incluyen:
Phishing basado en fax: cuando los clientes de un banco recibieron un correo electrónico falso que decía ser del banco, solicitando al cliente que confirmara sus códigos de acceso, el método de confirmación no fue a través de las rutas habituales de correo electrónico o Internet, en cambio, se le pidió al cliente que imprima el formulario en el correo electrónico, luego complete sus datos y envíe el formulario por fax al número de teléfono del ciberdelincuente.
Por ejemplo:
La distribución tradicional de malware por correo en Japón, se identificó cuando los ciberdelincuentes utilizaron un servicio de entrega a domicilio para distribuir CD infectados con software espía troyano, los discos se entregaron a los clientes de un banco japonés y las direcciones de los clientes habían sido previamente robadas de la base de datos del banco.
Malware
Los ataques de malware merecen un enfoque especial, ya que son comunes y tienen efectos prolongados.
Cuando los creadores de malware utilizan técnicas de ingeniería social, pueden atraer a un usuario desprevenido para que inicie un archivo infectado o abra un enlace a un sitio web infectado, muchos gusanos de correo electrónico y otros tipos de malware utilizan estos métodos, recordemos que sin un paquete de software de seguridad completo para nuestros dispositivos móviles y de escritorio, es probable que se exponga a una infección.
Ataques de gusanos
El ciberdelincuente intentará atraer la atención del usuario hacia el enlace o archivo infectado, y luego conseguir que el usuario haga clic en él.
Ejemplos de este tipo de ataque incluyen:
El gusano LoveLetter que sobrecargó los servidores de correo electrónico de muchas empresas en 2000, las víctimas recibieron un correo electrónico que las invitaba a abrir la carta de amor adjunta, cuando abrieron el archivo adjunto, el gusano se copió a sí mismo en todos los contactos de la libreta de direcciones de la víctima, en la actualidad este gusano todavía se considera uno de los más devastadores, en términos del daño financiero que infligió.
El gusano de correo electrónico Mydoom, que apareció en Internet en enero de 2004, utilizaba textos que imitaban mensajes técnicos emitidos por el servidor de correo electrónico.
El gusano Swen se hizo pasar por un mensaje enviado desde Microsoft, este afirmaba que el archivo adjunto era un parche que eliminaría las vulnerabilidades de Windows, por lo que no es de extrañar que muchas personas se tomaran el reclamo en serio e intentaran instalar el parche de seguridad falso, aunque en realidad era un gusano.
Canales de entrega de enlaces de malware
Los enlaces a sitios infectados se pueden enviar por correo electrónico, sistemas de mensajería instantánea, o incluso a través de salas de chat de Internet IRC, los virus móviles a menudo se envían mediante mensajes SMS, cualquiera que sea el método de envío que se utilice, el mensaje normalmente contendrá palabras llamativas o intrigantes que animen al usuario desprevenido a hacer clic en el enlace, este método de penetrar en un sistema puede permitir que el malware eluda los filtros antivirus del servidor de correo.
Ataques de red de igual a igual (P2P)
Las redes P2P también se utilizan para distribuir malware, aparece un gusano o un virus troyano en la red P2P, pero se le dará un nombre que probablemente llame la atención y haga que los usuarios descarguen e inicien el archivo. Por ejemplo:
- AIM y AOL Password Hacker.exe
- Microsoft CD Key Generator.exe
- PornStar3D.exe
- Emulador de Play Station crack.exe
“Avergonzar a los usuarios infectados para que no denuncien un ataque, en algunos casos, los creadores y distribuidores de malware toman medidas que reducen la probabilidad de que las víctimas denuncien una infección”
Las víctimas pueden responder a una oferta falsa de una utilidad gratuita o una guía que promete beneficios ilegales como:
- Acceso gratuito a Internet o comunicaciones móviles.
- La posibilidad de descargar un generador de números de tarjetas de crédito.
- Un método para aumentar el saldo de la cuenta en línea de la víctima.
En estos casos, cuando la descarga resulta ser un virus troyano, la víctima estará dispuesta a evitar revelar sus propias intenciones ilegales, por lo tanto, la víctima probablemente no reportará la infección a ninguna agencia de aplicación de la ley.
Como ejemplo de esta técnica, una vez se envió un virus troyano a direcciones de correo electrónico que se tomaron de un sitio web de contratación, las personas que se habían registrado en el sitio recibieron ofertas de trabajo falsas, pero las ofertas incluían un virus troyano, en este caso, el ataque se centró principalmente en direcciones de correo electrónico corporativas, los ciberdelincuentes sabían que el personal que recibió el troyano no querría decirles a sus empleadores que habían sido infectados mientras buscaban un empleo alternativo.
Como hemos visto, ya existe una gran variedad de formas en la ingeniería social se presenta y como puede obtener información de nosotros, siempre hay una contramedida para muchas de las cosas que pasa en nuestros sistemas informáticos, sin embargo, para el criterio del ser humano no hay otra cosa que la concientización de que estas cosas ocurren, sin llegar a los extremos, les recomiendo cuidarse y estar atento, por lo que en este artículo de dos partes veremos ¿qué es?, y ¿cómo nos podemos proteger?, de alguna forma estar en posibilidades de detectarlos en su proceso malicioso.
No te pierdas la segunda parte:
¿Cómo detectar ataques de ingeniería social?
Saludos,
Views: 75