Los siete pecados capitales de la ingeniería social
Puede ser que uno no esté consciente que hay una escala de siete pecados capitales está relacionados con la ingeniería social. Los ataques de ingeniería social más mortíferos son los que tienen las tasas de éxito más grandes, a menudo aproximándose al 100%. ¿Cuál es el secreto de esos ataques?, ¿cómo llegan a hacerlo tan bien?
Sus propias observaciones le muestran que las personas son muy diferentes. Algunas siempre son entusiastas y deseosas de aprende algo nuevo. Otras son más conservadoras pero corteses con sus compañero de trabajo. Un poquito más abajo de esta escala están las personas que parecen siempre estar aburridas con sus vidas y entonces al final son aquellos quienes justamente no se preocupan y están básicamente apáticos con todo.
Los ingenieros sociales exitosos determinan primero en que parte de la escala se ubican sus blancos, y luego seleccionan un ataque que pueda tener el más alto grado de éxito con aquella persona, intentando asemejar la mirada sobre la vida de su víctima.
Esta escala de vicios puede ser encarada tanto por el lado positivo como por el negativo. Uno puede llamarle tanto credulidad o puede llamarle confianza, avaricia o interés propio, pero como aquí hablamos de pecados, no atendremos a las etiquetas negativas.
Aqui hay siete ataques de ingeniería social que espero sean un buen ejemplo de cada uno de los pecados capitales, noten sin embargo que hay solapamientos y que las cosas no siempre son un caso claro. Al fin y al cabo ¡estamos tratando con seres humanos!
Curiosidad:
El atacante deja olvidado una memoria USB junto al lavatorio en el restaurant del piso donde están las oficinas ejecutivas y sus asistentes administrativos. Está claramente marcado "Actualización de Salarios 1er Trimestre". La memoria USB tiene un malware modificado que se autoinstala y llama a casa desde cualquier PC en donde sea conectado. Este ataque fue 90% efectivo.
Cortesía:
El atacante se enfoca en el CEO de la compañía a la que tiene como objetivo. Hace su investigación, encuentra que el CEO tiene un familiar batallando con el cáncer y que participa activamente en una organización benéfica de lucha contra el cáncer. El atacante se hace pasar por alguien de esa organización, le pide al CEO su respuesta sobre una campaña de recaudación de fondos y adjunta un PDF infectado. Misión cumplida, la PC del CEO es capturada y pronto también caerá la red. Y por supuesto mantener la puerta abierta para un extraño con sus manos ocupadas llenas de cajas es un ejemplo clásico que todos conocemos de como montarse a cuestas de otro.
Credulidad
Los atacantes identifican a los gerentes adecuados de dos sucursales distintas de su banco objetivo. Compran un dominio que se parece mucho al del banco. Falsifican los correos de los ejecutivos del banco y envían correos falsos al gerente autorizando una transacción. Entraron con un cheque falsificado y una identificación falsificada, y salieron caminando con 25.000 en efectivo ... varias veces!
Codicia
¿Sabe que las estafas Nigerianas 419 actuales usan la palabra 'Nigeria' a propósito para calificar a los objetivos con que se enfrentan? Ahora es utilizada como un filtro para eliminar gente y agarrar a los incultos que son suficientemente codiciosos como para arriesgarse a responder por la jovencita huérfana de 26 años que tiene $12.500.000 en el banco, y que necesita alguien que la cuide y la ayude a transferir esos fondos.
Inconsciencia
La inteligencia de los ejércitos americanos e israelíes crearon el malware Stuxnet que saboteó la centrífugas iraníes de enriquecimiento de uranio en Natanz. Fue llevado a cabo mediante un sencillo ataque USB a uno de sus científicos. El Mossad deslizó una memoria USB al científico que luego la enchufó en el laptop en su casa, fue a trabajar y allí conectó el laptop en la red interna de Natanz. La ingeniería social salteó ese barrera gracias a un científico que debería haber sabido más.
Timidez
Alguien parecido a Brad Pitt se acerca a la recepción interna del departamento de recursos humanos de una multinacional francesa con oficinas en Boston. Se disculpa efusivamente de haber llegado unos minutos tarde y muestra un papel con manchas de café. Explica que volcó café en su curriculum y si la recepcionista "por favor con azúcar" puede imprimirle una copia nueva para su entrevista? Le entrega una memoria USB, la tímida recepcionista no lo confronta por las políticas de la compañía de no permitir dispositivos extraños en la red, rápidamente le imprime una nueva copia y le devuelve el USB. El joven desaparece hacia el baño y la red de esta manera fue tomada.
Apatía
P: ¿Que es lo más útil para la ingeniería social, la ignorancia o la apatía?
R: No lo sé y no me importa.
Los tres empleados de un departamento de despachos reciben todos el mismo correo de phishing genérico de UPS que les aparece en sus bandejas de entrada más o menos al mismo tiempo. Ninguno de ellos se toma el tiempo de pasar el cursor sobre el enlace y ver que en realidad lleva a un sitio de Eslovaquia con '.cz' al final. Más aún, ninguno de ellos asoma de su cubículo para advertirle a los demás. Dos de ellos hacen clic en el enlace e infectan su PC con un apestoso malware que requiere que se reinstale por completo sus equipos.
Como pueden ver el genio está fuera de la lámpara. El cibercrimen ha incorporado el concepto de ingeniería social y están usándolo. Así que, ¿que hacer?
Publicar y distribuir una política de seguridad integral.
Comprender que la política es el inicio para enfrentarse con el problema.
Reconocer que no hay implementación efectiva de una política que no incluya algún grado de capacitación.
Ser realista. La capacitación no significa hacer de los usuarios unos expertos en seguridad. Significa enseñarles todo lo que necesitan saber para usar de forma segura las computadoras.
Reconocimiento a David Harley, Kevin Mitnick, Chris Hadnagy, SANS, y muchos otros. Para mayor información y enlaces útiles sobre Ingeniería Social vea la página de Wikipedia y un gran artículo de David Harley en el sitio de cluestick.
Traducción: Raúl Batista - Segu-Info
Autor: Stu Sjouwerman
Fuente: Blog KnowBe4
Sus propias observaciones le muestran que las personas son muy diferentes. Algunas siempre son entusiastas y deseosas de aprende algo nuevo. Otras son más conservadoras pero corteses con sus compañero de trabajo. Un poquito más abajo de esta escala están las personas que parecen siempre estar aburridas con sus vidas y entonces al final son aquellos quienes justamente no se preocupan y están básicamente apáticos con todo.
Los ingenieros sociales exitosos determinan primero en que parte de la escala se ubican sus blancos, y luego seleccionan un ataque que pueda tener el más alto grado de éxito con aquella persona, intentando asemejar la mirada sobre la vida de su víctima.
Esta escala de vicios puede ser encarada tanto por el lado positivo como por el negativo. Uno puede llamarle tanto credulidad o puede llamarle confianza, avaricia o interés propio, pero como aquí hablamos de pecados, no atendremos a las etiquetas negativas.
Aqui hay siete ataques de ingeniería social que espero sean un buen ejemplo de cada uno de los pecados capitales, noten sin embargo que hay solapamientos y que las cosas no siempre son un caso claro. Al fin y al cabo ¡estamos tratando con seres humanos!
Curiosidad:
El atacante deja olvidado una memoria USB junto al lavatorio en el restaurant del piso donde están las oficinas ejecutivas y sus asistentes administrativos. Está claramente marcado "Actualización de Salarios 1er Trimestre". La memoria USB tiene un malware modificado que se autoinstala y llama a casa desde cualquier PC en donde sea conectado. Este ataque fue 90% efectivo.
Cortesía:
El atacante se enfoca en el CEO de la compañía a la que tiene como objetivo. Hace su investigación, encuentra que el CEO tiene un familiar batallando con el cáncer y que participa activamente en una organización benéfica de lucha contra el cáncer. El atacante se hace pasar por alguien de esa organización, le pide al CEO su respuesta sobre una campaña de recaudación de fondos y adjunta un PDF infectado. Misión cumplida, la PC del CEO es capturada y pronto también caerá la red. Y por supuesto mantener la puerta abierta para un extraño con sus manos ocupadas llenas de cajas es un ejemplo clásico que todos conocemos de como montarse a cuestas de otro.
Credulidad
Los atacantes identifican a los gerentes adecuados de dos sucursales distintas de su banco objetivo. Compran un dominio que se parece mucho al del banco. Falsifican los correos de los ejecutivos del banco y envían correos falsos al gerente autorizando una transacción. Entraron con un cheque falsificado y una identificación falsificada, y salieron caminando con 25.000 en efectivo ... varias veces!
Codicia
¿Sabe que las estafas Nigerianas 419 actuales usan la palabra 'Nigeria' a propósito para calificar a los objetivos con que se enfrentan? Ahora es utilizada como un filtro para eliminar gente y agarrar a los incultos que son suficientemente codiciosos como para arriesgarse a responder por la jovencita huérfana de 26 años que tiene $12.500.000 en el banco, y que necesita alguien que la cuide y la ayude a transferir esos fondos.
Inconsciencia
La inteligencia de los ejércitos americanos e israelíes crearon el malware Stuxnet que saboteó la centrífugas iraníes de enriquecimiento de uranio en Natanz. Fue llevado a cabo mediante un sencillo ataque USB a uno de sus científicos. El Mossad deslizó una memoria USB al científico que luego la enchufó en el laptop en su casa, fue a trabajar y allí conectó el laptop en la red interna de Natanz. La ingeniería social salteó ese barrera gracias a un científico que debería haber sabido más.
Timidez
Alguien parecido a Brad Pitt se acerca a la recepción interna del departamento de recursos humanos de una multinacional francesa con oficinas en Boston. Se disculpa efusivamente de haber llegado unos minutos tarde y muestra un papel con manchas de café. Explica que volcó café en su curriculum y si la recepcionista "por favor con azúcar" puede imprimirle una copia nueva para su entrevista? Le entrega una memoria USB, la tímida recepcionista no lo confronta por las políticas de la compañía de no permitir dispositivos extraños en la red, rápidamente le imprime una nueva copia y le devuelve el USB. El joven desaparece hacia el baño y la red de esta manera fue tomada.
Apatía
P: ¿Que es lo más útil para la ingeniería social, la ignorancia o la apatía?
R: No lo sé y no me importa.
Los tres empleados de un departamento de despachos reciben todos el mismo correo de phishing genérico de UPS que les aparece en sus bandejas de entrada más o menos al mismo tiempo. Ninguno de ellos se toma el tiempo de pasar el cursor sobre el enlace y ver que en realidad lleva a un sitio de Eslovaquia con '.cz' al final. Más aún, ninguno de ellos asoma de su cubículo para advertirle a los demás. Dos de ellos hacen clic en el enlace e infectan su PC con un apestoso malware que requiere que se reinstale por completo sus equipos.
Como pueden ver el genio está fuera de la lámpara. El cibercrimen ha incorporado el concepto de ingeniería social y están usándolo. Así que, ¿que hacer?
Publicar y distribuir una política de seguridad integral.
Comprender que la política es el inicio para enfrentarse con el problema.
Reconocer que no hay implementación efectiva de una política que no incluya algún grado de capacitación.
Ser realista. La capacitación no significa hacer de los usuarios unos expertos en seguridad. Significa enseñarles todo lo que necesitan saber para usar de forma segura las computadoras.
Reconocimiento a David Harley, Kevin Mitnick, Chris Hadnagy, SANS, y muchos otros. Para mayor información y enlaces útiles sobre Ingeniería Social vea la página de Wikipedia y un gran artículo de David Harley en el sitio de cluestick.
Traducción: Raúl Batista - Segu-Info
Autor: Stu Sjouwerman
Fuente: Blog KnowBe4
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!