Video: Técnicas utilizadas por los ciberdelincuentes y cómo protegerse (Noviembre 2024)
La ingeniería social es lo que impulsa los correos electrónicos de phishing y los sitios web maliciosos que están vestidos para parecer sitios web seguros y populares. Durante una discusión con Chris Hadnagy, Jefe de Hackers Humanos en Social-Engineer Inc., le pregunté cómo detectar estas estafas. Su consejo se hace eco de lo que a menudo le hemos dicho a los lectores: siempre sospeche.
Más que una estafa
De mi discusión con Hadnagy, está claro que algunos de lo que llamamos ingeniería social son los mismos trucos que las personas han usado decisiones de influencia durante años. La industria de la comida rápida, por ejemplo, exploró los colores que alentarían a las personas a comer más rápido. Los espiritistas falsos del siglo XIX (que incluye a miembros de mi familia) y hoy usan una táctica llamada "lectura en frío" para engañar a las víctimas para que revelen información sobre sí mismas.
Pero hay más en la ingeniería social que trucos baratos, como lo demostró la competencia de captura de la bandera de ingeniería social celebrada en Def Con. Aquí, los concursantes ganan puntos por la información que obtienen de las compañías de investigación y de contactar a esas compañías directamente. Hadnagy dijo que los concursantes con mejor puntaje también investigaron más, lo que demuestra cuán útil es conocer sus objetivos.
Desafortunadamente, ahora es un buen momento para ser un ingeniero social que realiza investigaciones o recopila información de código abierto. Hadnagy explicó que las empresas y los individuos publican mucha información en las redes sociales, gran parte de la cual puede usarse en ataques de ingeniería social. Anteriormente, vimos cómo los estafadores intentaron usar la información obtenida de Facebook para hacer que sus estafas parecieran más atractivas, a veces con resultados divertidos.
Emoción dirigida
Una de las mejores tácticas de ingeniería social es evitar que pienses críticamente, generalmente apuntando a la emoción. Hadnagy dijo que un ataque que casi lo engañó afirmó ser un correo electrónico de envío de Amazon. "Fue algo personal, algo que afectó mi vida y algo que fue importante para mí", dijo.
En este ataque en particular, Hadnagy recibió un correo electrónico diciendo que uno de sus pedidos importantes de Amazon se retrasó debido a un número de tarjeta de crédito rechazado. En los días previos a una conferencia importante, Hadnagy dijo que estaba sobrecargado de trabajo y hizo clic en el enlace del correo electrónico, en lugar de visitar Amazon directamente. La página a la que fue llevado estaba bien diseñada, pero afortunadamente notó el dominio ".ru" antes de ingresar cualquier información personal.
Si bien fue simple, esta táctica fue muy efectiva. "Soy el tipo que, por lo que hago, ha estafado a más de 190, 000 personas en los últimos meses", dijo Hadnagy, refiriéndose a su trabajo de consultoría. "Casi me enamoro de este ataque".
Otra ventaja de apelar a la emoción es que no requiere el tipo de investigación que emplean los mejores ingenieros sociales. "Lo que veremos es que elegimos cosas que son importantes para las masas". Hadnagy explicó que esto incluye el envío de UPS, los pedidos de Amazon y las transferencias de PayPal.
El atractivo masivo también funciona bien para transmitir en masa, otra táctica frecuente. "Se los envían a millones de personas a la vez, por lo que no les importa si obtienen el 100 por ciento", dijo Hadnagy. "El 10 por ciento sigue siendo miles de cuentas comprometidas".
Mantenerse seguro
Muchas de las tácticas utilizadas para detectar correos electrónicos de phishing también son ciertas para la ingeniería social. Cualquier cosa que parezca demasiado buena para ser verdad, o demasiado mala para ser verdad, probablemente no sea verdad. Las tácticas como pasar el mouse sobre los enlaces para ver la URL completa, ingresar manualmente direcciones web y evitar enlaces que llegan de la nada son tácticas sensatas.
Pero la parte de llamadas en vivo de la competencia Capture the Flag destaca otra faceta de la ingeniería social: la confianza institucional. Este año, muchos de los concursantes se hicieron pasar por compañeros de trabajo o vendedores, lo que les dio a los empleados de las compañías objetivo una razón inmediata para confiar en ellos. A veces, vale la pena hacer preguntas cuando alguien que dice ser el CEO de su empresa lo llama personalmente.
Hadnagy ha hecho una carrera explicando la ingeniería social, pero no le preocupa si los atacantes están aprendiendo sus trucos. "Los malos no están buscando los datos sobre cómo hacer esto", dijo a SecurityWatch. "Ya saben cómo. El problema es que los buenos no". A través de su trabajo, Hadnagy cree que puede enseñar a las empresas estadounidenses y a la gente común cómo pensar críticamente sobre sus interacciones diarias y cómo responder en el peor de los casos. Hadnagy lo explicó de esta manera: "En lugar de armar a los malos, arma a los buenos".
Imagen a través del usuario de Flickr Travis V.
