Hacker

Lautaro Villarreal Culic'

Hacker ético y Desarrollador de Software

El ABC de la ingeniería social V2

La ingeniería social se ha empleado desde que el humano mintió por primera vez. Por lo que esta fue evolucionando hasta el día de hoy, convirtiéndose la peor vulnerabilidad de cualquier sistema: El error humano.

Phishing

Aprovecharse de la persona ingenua para extraer información, es por lo general unos de los primeros pasos que utilizan los cibercriminales y pentesters de empresas a día de hoy.

La ingeniería social tiene muchas ramas, y se puede implementar de muchas maneras creativas.

Si hago un llamado de teléfono a una persona haciéndome pasar por un operario de banco, y le pido su número de tarjeta, lo más probable es que esta persona no me crea y me haga una denuncia. Pero hay formas de extraer otros datos no tan sensibles a través de un número telefónico. Como por ejemplo el número de cliente en una empresa de internet.

Se puede combinar con otra técnica conocida como phishing, en la que esta abunda en correos de spam, anuncios llamativos que al hacer ‘clic’ te descarga algún tipo de malware, instala alguna extensión para el navegador maliciosa, o puede robarte datos de sesion.

Todo tiene en común, el error humano. El cuál, tiene una mitigación simple, pero una implementación complicada. Ya que entra en juego la responsabilidad no sólo del operador a atacar, sino de su empresa, su familia, etc.

El cibercriminal o el pentester, por lo general, antes de atacar a una persona, averigua acerca de sus gustos, preferencias, lugar de trabajo, puesto, número telefónico, etc. La gran mayoría de vulnerabilidades que salen a la luz tienen su parche, a mayor tiempo que este tenga en el mercado, más probabilidades hay de que haya sido parcheado en los sistemas más actualizados. Pero hay una vulnerabilidad que es prácticamente imposible de parchear, siendo esta la más antigua:

EL FACTOR HUMANO

Contando con el mejor sistema de seguridad (Firewall, IDS, IPS, Honeypot) el factor humano es clave y por lo general, muy vulnerable para entrar al sistema. Además teniendo en cuenta que son personas las que están detrás de las configuraciones de estas medidas de seguridad. Un operario, es capaz de brindar todo tipo de información de la empresa sin precaución, esa información que tanto intenta mantener confidencial el jefe de seguridad de la empresa, que también es una persona.

Con la ingeniería social también se puede llevar a cabo la recolección de información (information gathering) en el que este es sí o sí el primer paso al hacer un pentest o ataque malintencionado hacia una empresa, organización o persona particular.

Este ataque puede ser dirigido como no dirigido. Es decir, puede ser dirigido al empleado de la empresa, o si no logramos recolectar demasiada información en internet de este empleado; Podemos hacerle el ataque dirigido a su cónyugue para averiguar su número telefónico, o puesto de trabajo. Por ejemplo, a través de una encuesta de un servicio que ellos utilizan. Ya que, el empleado puede ser que esté informado y capacitado, pero rara vez este empleado “capacita” a sus cercanos acerca del peligro. Por lo que hay muchas variantes de cómo hacer este tipo de ataque. Es cuestión de creatividad.

El Phishing

Esta pequeña técnica, es de las más utilizadas al día de hoy. Engañar para robar dinero y obtener datos no es fácil, pero con el phishing, aprovechándose de la ignorancia de muchas personas puede ser una gran ventaja para el cibercriminal. Anteriormente se utilizaba por lo general para robar credenciales del Homebanking, al día de hoy es altamente peligroso, ya que mediante esta técnica; hoy muy sofisticadas, se puede meter virus.

El phishing hace uso de la ingeniería social, sea para hacer spam como en el caso de clonar una página web y enviársela a la víctima para que acceda creyendo que es la original, por lo que una vez que entre a la página web falsa y coloque sus datos, estos son enviados al atacante.

Esta técnica es fácil de implementar, pero no garantiza el 100% que pueda funcionar. Ya que la persona puede estar capacitada, no recibir el e-mail por algún motivo, o simplemente no le llamó la atención que debió generar en la víctima para que caiga en la trampa.

Importancia

Tener un fallo de seguridad en el sistema es grave, por lo que la importancia está en todos lados a nivel de seguridad. Pero ser vulnerable a la ingeniería social (incluyendo al phishing, pharming, entre otras) es ALTAMENTE CRÍTICO.

¿Por qué? Porque no existe IDS, IPS, firewall, honeypot, antivirus, parche, o cualquier método de seguridad aplicada en servidores, hosts, o red que sea capaz de mitigar la estupidez humana. Un gran fallo del factor humano es la seguridad de las credenciales de sus cuentas, sean redes sociales, bancarias, etc. El top de las contraseñas más usadas cada año son prácticamente las mismas, y estas se pueden encontrar en cualquier tipo de diccionario para hacer un ataque de diccionario o fuerza bruta.

EL USUARIO ES EL ESLABÓN MÁS DÉBIL

¿Quiénes aplican esta técnica?

  • Hackers/Pentesters
  • Criminales/Cibercriminales
  • Terroristas
  • Empleados enojados
  • Ladrones de identidad
  • Gobiernos extranjeros/Agentes del gobierno extranjero
  • Espías industriales/Agentes de espionaje industrial
  • Recolectores de inteligencia empresarial
  • Agentes de información/Investigadores privados

Como vemos son muchos los campos en los que se emplea la ingeniería social.

Pasos (básicos) para llevar a cabo la ingeniería social

1- Reconocimiento

Virtual: Este tipo de reconocimiento está relacionado a infectar ordenadores con spyware o código malicioso. A través de un e-mail por lo general.

Físico: El atacante hace presencia con la víctima para analizarla. Pocas veces interactúan la primera vez.

2- Recolección de información

Una vez que la etapa de reconocimiento finalizó, se debe transmitir toda la información disponible a través de los medios mencionados.

3- Relación de información

Durante un período de tiempo, la información se relacionará y establecerán los canales de comunicación estableciendo las conexiones.

4- Usar la información

Llegó el momento de realizar el ataque y este puede ocurrir de diferentes maneras. Como, por ejemplo, hacer un robo de identidad para intentar ganar la información de una organización a través de esa ID que nos proporcionó la víctima anteriormente.

Ataques de ingeniería social

  • Teléfono:
  • Un atacante llama por teléfono y trata de intimidar a alguien en la posición de autoridad o relevancia, de esta forma obtiene información. Por lo general, los centros de ayuda son vulnerables a este tipo de ataque.

  • Dumpster Diving (trashing):
  • Es otro método de ingeniería social. Mucha información puede ser encontrada en la basura.

  • Drive-by infection:
  • Cuando uno descarga “soluciones de seguridad” desde sitios web, es posible infectarse con diferentes variedades de malware o troyanos.

  • Correo electrónico:
  • Los emails enviados pueden contener información interesante para los usuarios y ser bastante llamativos. Como la “imaginación” del atacante lo permita.

  • Curiosidad:
  • El atacante deja un dispositivo de almacenamiento como pendrive, CD, memoria flash en un lugar donde pueda ser encontrado, mientras espera a que la víctima introduzca el dispositivo para infectarse con el código malicioso.

  • Suplantación ID:
  • Consiste en caracterizar a una persona, un rol. Generalmente los roles más empleados son soporte técnico y gerente. En las empresas muy grande, es difícil conocer a todos los empleados y falsificar las ID resulta muy simple.

  • Shoulder Surfing:
  • Consiste en entablar una conversación y realizar notas mentales sobre las teclas que presiona el usuario al momento de ingresar datos de acceso a un sistema.

  • Office Snooping:
  • Muchos usuarios no dejan bloqueadas sus computadoras cuando se levantan de sus escritorios, o aún peor, cuando se retiran del trabajo. Por lo que se puede acceder sin autentificarse.

  • Ingeniería social inversa:
  • Es el modo avanzado de la ingeniería social, el atacante trata de parecer alguien de autoridad, para que le pregunten a él y así obtener información. Requiere mucha preparación, investigación y saber relacionarse con las personas.

Phishing meme

Mitigación del ataque

• La mejor manera de aumentar nuestras defensas, es disminuir la posibilidad de evadirlas. Utilizar seguridad física, biometría y restringir el acceso físico.

• Utilizar contraseñas seguras, evitando fechas de nacimiento, nombres propios, nombres de los hijos(as), de las mascotas o cónyuges.

• Evitar en lo posible el uso de redes peer-to-peer o P2P (redes para compartir archivos) como eMule, Kazaa, Limewire, Ares, Imesh o Gnutella porque generalmente están desprotegidos de troyanos y virus en general. Estos se expanden utilizándolas para alcanzar a nuevos usuarios a los que quiere infectar de forma especialmente sencilla.

• Establecer políticas de seguridad a nivel de Sistema Operativo.

• Los usuarios no necesitan tener acceso a todo tipo de archivos o ficheros ya que no todos son necesarios para su trabajo habitual, por ello puede ser conveniente por parte del administrador bloquear la entrada de archivos o ficheros con extensiones “.exe”, “.vbs”, etc.

• Nunca tirar documentación técnica ni sensible a la basura, sino destruirla.

• No revelar información personal por correo electrónico ni en línea a menos que sepa por qué motivo debe hacerlo y conozca a su interlocutor. Asegúrese además de que se encuentra en un entorno seguro: Es esencial para ayudarle a evitar cualquier tipo de ataque.

• Dar charla a todos los empleados de la compañía, donde el “speaker” sea alguien con conocimientos en el área de seguridad informática y le muestre pequeñas demostraciones de lo que puede llegar a ocasionar un despiste por parte de ellos. Concientizar a las personas que operan dentro de la empresa es fundamental, hacerle saber la responsabilidad que llevan a cabo en su labor día tras día, ya que nunca se sabe cuando puede ser víctima de un ataque como este. Por lo tanto, la empresa u organización deberá invertir en formaciones de capacitación; manteniendo informado al operario del peligro que puede estar generando para la empresa.

• Sospechar de los mensajes inesperados que dicen ser urgentes y confidenciales. Además de que llama aún más la atención en estos casos.

• Fijarse en la redacción de los mensajes sospechosos recibidos. Suelen estar mal escritos o con faltas ortográficas. Sobre todo, cuando un ruso usa el traductor de Google para hacer un phishing a un latinoamericano. Nos encontramos con incoherencias.

• Tener precaución al seguir enlaces en correos electrónicos, aunque sean de contactos conocidos.

• Tener precaución al descargar ficheros adjuntos de correos, aunque sean de contactos conocidos. Digo de contactos conocidos, porque no olvidemos que muchos cibercriminales se nos acercan (o se le acerca a la víctima) de forma presencial, o en redes sociales para conocerlas y así quitarle la suficiente información.

• Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus comprobar si está activo. Soy partidario de la frase “el mejor antivirus es la precaución”. Me refiero a que hay que ser precavido cuando se hace uso de internet. Sobre todo, si trabajamos para una empresa/organización.

Conclusiones

La ingeniería social no puede ser eliminada completamente, es un serio problema y es uno de los más grandes en las organizaciones.

Es un tema conocido en el ámbito de la seguridad, pero que poco se habla en las organizaciones sobre su prevención.

La educación y capacitación, continua y dinámica, es el método más eficiente para prevenir los ataques de IS (ingeniería social).

Las organizaciones deben establer una clara y fuerte política, incluyendo estándares, procesos y procedimientos para ayudar a reducir la amenaza. La idea fundamental, es que los empleados sean capaces de identificar un ataque para que puedan minimizar los efectos o consecuencias del mismo.

Ingeniería Social. Serie: Mr. Robot

Hacker

Escrito por Lautaro Villarreal Culic'

Hacker ético, Desarrollador de Software, web y mobile. Pentester. Apasionado por la informática y tecnología en todos los campos.

Te puede interesar...

Discusión acerca del post

Suscribete al blog.

Leer...

Mi experiencia con el eJPT