Definición de ingeniería social
La ingeniería social es el arte de explotar la psicología humana, en lugar de las técnicas de piratería técnica, para obtener acceso a los edificios , sistemas o datos.
Por ejemplo, en lugar de intentar encontrar una vulnerabilidad de software, un ingeniero social podría llamar a un empleado y hacerse pasar por una persona de soporte de TI, tratando de engañar al empleado para que divulgue su contraseña.
El famoso pirata informático Kevin Mitnick ayudó a popularizar el término «ingeniería social» en los años 90, aunque la idea y muchas de las técnicas han existido desde que hubo estafadores.
Incluso si tiene todos los detalles cuando se trata de proteger su centro de datos, sus implementaciones en la nube, la seguridad física de su edificio y si ha invertido en tecnologías defensivas, tiene el derecho políticas y procesos de seguridad establecidos y medir su efectividad y mejorar continuamente e, aún un ingeniero social astuto puede abrirse camino a través (o alrededor).
Técnicas de ingeniería social
La ingeniería social ha demostrado ser una forma muy exitosa para que un delincuente «ingrese» a su organización. Una vez que un ingeniero social tiene la contraseña de un empleado de confianza, puede simplemente iniciar sesión y buscar datos confidenciales. Con una tarjeta de acceso o un código para ingresar físicamente a una instalación, el delincuente puede acceder a datos, robar activos o incluso dañar personas.
En el artículo Anatomy of a Hack, un probador de penetración explica cómo usó los eventos actuales, la información pública disponible en los sitios de redes sociales y una camiseta de Cisco de $ 4 que compró en una tienda de segunda mano para prepararse para su entrada ilegal. La camiseta lo ayudó a convencer a la recepción del edificio y a otros empleados de que era un empleado de Cisco en una visita de soporte técnico. Una vez dentro, también pudo permitir la entrada ilegal de sus otros miembros del equipo. También logró colocar varios USB cargados de malware y piratear la red de la empresa, todo ello a la vista de otros empleados.
Sin embargo, no es necesario ir de compras a una tienda de segunda mano para realizar un ataque de ingeniería social. Funcionan igual de bien por correo electrónico, teléfono o redes sociales. Lo que tienen todos los ataques en común es que utilizan la naturaleza humana para su beneficio, aprovechando nuestra codicia, miedo, curiosidad e incluso nuestro deseo de ayudar a los demás.
Ejemplos de ingeniería social
Los delincuentes suelen tomar semanas y meses conociendo un lugar antes incluso de entrar por la puerta o hacer una llamada telefónica. Su preparación podría incluir encontrar una lista de teléfonos de la empresa o un organigrama e investigar a los empleados en sitios de redes sociales como LinkedIn o Facebook.
1. Por teléfono
Un ingeniero social puede llamar y hacerse pasar por un compañero de trabajo o una autoridad externa de confianza (como una policía o un auditor).
2. En la oficina
«¿Puedes sostenerme la puerta? «No tengo mi llave / tarjeta de acceso». ¿Con qué frecuencia ha escuchado eso en su edificio? Si bien la persona que pregunta puede no parecer sospechosa, esta es una táctica muy común utilizada por los ingenieros sociales.
3. Online
Los sitios de redes sociales han facilitado la realización de ataques de ingeniería social. Los atacantes de hoy pueden ir a sitios como LinkedIn y encontrar a todos los usuarios que trabajan en una empresa y recopilar mucha información detallada que se puede utilizar para promover un ataque.
Los ingenieros sociales también aprovechan la ruptura noticias, eventos, días festivos, cultura pop y otros dispositivos para atraer a las víctimas. En Woman pierde $ 1,825 por una estafa de compras misteriosas haciéndose pasar por BestMark, Inc., verá cómo los delincuentes aprovecharon el nombre de una conocida empresa de compras misteriosas para realizar su estafa. Los estafadores a menudo usan organizaciones benéficas falsas para promover sus objetivos delictivos durante las vacaciones.
Los atacantes también personalizarán los ataques de phishing para apuntar a intereses conocidos (por ejemplo, artistas favoritos, actores, música, política, organizaciones filantrópicas) que se pueden aprovechar para atraer a los usuarios a haga clic en los archivos adjuntos con malware.
Famosos ataques de ingeniería social
Una buena manera de tener una idea de las tácticas de ingeniería social que debe buscar es para saber qué se ha utilizado en el pasado. Tenemos todos los detalles en un extenso artículo sobre el tema, pero por el momento centrémonos en tres técnicas de ingeniería social, independientes de las plataformas tecnológicas, que han tenido un gran éxito para los estafadores.
Ofrezca algo dulce. Como cualquier estafador le dirá, la forma más fácil de estafar a una marca es explotar su propia codicia. Esta es la base de la clásica estafa nigeriana 419, en la que el estafador intenta convencer a la víctima para que le ayude a sacar dinero presuntamente mal habido de su propio país a un banco seguro, ofreciendo a cambio una parte de los fondos.Estos correos electrónicos del «príncipe nigeriano» han sido una broma corriente durante décadas, pero «siguen siendo una técnica de ingeniería social eficaz de la que la gente se enamora: en 2007, el tesorero de un condado escasamente poblado de Michigan dio $ 1.2 millones en fondos públicos a un estafador en esperanzas de sacar provecho personalmente. Otro atractivo común es la perspectiva de un nuevo y mejor trabajo, que aparentemente es algo que muchos de nosotros queremos: en una infracción enormemente vergonzosa de 2011, la empresa de seguridad RSA se vio comprometida cuando al menos dos bajas Los empleados de nivel abrieron un archivo de malware adjunto a un correo electrónico de suplantación de identidad con el nombre de archivo «plan de reclutamiento 2011.xls».
Fíngelo hasta que lo consigas. Una de las técnicas de ingeniería social más simples y sorprendentemente más exitosas es simplemente fingir ser su víctima. En una de las primeras estafas legendarias de Kevin Mitnick, obtuvo acceso a los servidores de desarrollo de SO de Digital Equipment Corporation simplemente llamando a la empresa, afirmando ser uno de sus desarrolladores principales y diciendo estaba teniendo problemas para iniciar sesión; Inmediatamente fue recompensado con un nuevo nombre de usuario y contraseña. Todo esto sucedió en 1979, y pensarías que las cosas habrían mejorado desde entonces, pero estarías equivocado: en 2016, un hacker tomó el control de una dirección de correo electrónico del Departamento de Justicia de EE. UU. Y la usó para hacerse pasar por un empleado, persuadiendo una mesa de ayuda para entregar un token de acceso a la intranet del Departamento de Justicia diciendo que era su primera semana en el trabajo y que no sabía cómo funcionaba nada.
Muchas organizaciones tienen barreras destinadas a prevenir este tipo de de imitaciones descaradas, pero a menudo pueden eludirse con bastante facilidad. Cuando Hewlett-Packard contrató a investigadores privados para averiguar qué miembros de la junta de HP estaban filtrando información a la prensa en 2005, pudieron proporcionar a los IP los últimos cuatro dígitos del número de seguro social de sus objetivos, que AT & T como prueba de identificación antes de entregar registros de llamadas detallados.
Actúe como si estuviera a cargo. La mayoría de nosotros están preparados para respetar la autoridad, o, como resulta, para respetar a las personas que actúan como si tuvieran la autoridad para hacer lo que están haciendo. Puede explotar diversos grados de conocimiento de los procesos internos de una empresa para convencer a la gente de que tiene derecho a estar en lugares o ver cosas que no debería, o que una comunicación que proviene de usted realmente proviene de alguien a quien respetan. Por ejemplo, en 2015, los empleados de finanzas de Ubiquiti Networks transfirieron millones de dólares en dinero de la empresa a estafadores que se hacían pasar por ejecutivos de la empresa, probablemente usando una URL similar en su dirección de correo electrónico. En el lado de la tecnología más baja, los investigadores que trabajaban para la prensa sensacionalista británica a finales de los 2000 y principios de los 10 a menudo encontraron formas de acceder a las cuentas de correo de voz de las víctimas pretendiendo ser otros empleados de la compañía telefónica a través de un puro engaño; por ejemplo, un IP convenció a Vodafone de restablecer el PIN del correo de voz de la actriz Sienna Miller llamando y afirmando ser «John del control de crédito».
A veces son las autoridades externas cuyas demandas cumplimos sin pensarlo mucho. Hillary Clinton En 2016, espías rusos piratearon su correo electrónico al jefe de la campaña, John Podesta, cuando le enviaron un correo electrónico de phishing disfrazado de una nota de Google pidiéndole que restableciera su contraseña. Al tomar medidas que pensó que protegerían su cuenta, en realidad dio sus credenciales de inicio de sesión.
Prevención de ingeniería social
La capacitación en concientización sobre seguridad es la forma número uno de prevenir la ingeniería social. Los empleados deben ser conscientes de que la ingeniería social existe y estar familiarizados con la mayoría de tácticas de uso común.
Afortunadamente, la conciencia de la ingeniería social se presta a la narración. Y las historias son mucho más fáciles de entender y mucho más interesantes que las explicaciones de fallas técnicas. Los cuestionarios y los carteles divertidos o que llaman la atención también son recordatorios efectivos para no asumir que todos son quienes dicen ser.
Pero no es solo el empleado promedio el que debe ser consciente de la ingeniería social. El liderazgo senior y los ejecutivos son los principales objetivos de la empresa.
5 consejos para defenderse de la ingeniería social
Dan Lohrmann, colaborador de CSO, ofrece los siguientes consejos:
1. Entrene y vuelva a capacitarse en lo que respecta a la concienciación sobre la seguridad.
Asegúrese de contar con un programa integral de capacitación sobre concienciación sobre la seguridad que se actualice periódicamente para abordar tanto las amenazas generales de phishing como las nuevas ciberamenazas dirigidas. Recuerde, esto es no se trata solo de hacer clic en los enlaces.
2. Proporcionar un «roadhow» informativo detallado sobre las últimas técnicas de fraude en línea al personal clave.
Sí, incluya a los altos ejecutivos, pero no olvide a nadie que tenga autoridad para realizar transferencias bancarias u otras transacciones financieras.Recuerde que muchas de las historias reales que involucran fraude ocurren con personal de nivel inferior que se engaña haciéndole creer que un ejecutivo les está pidiendo que realicen una acción urgente, por lo general sin pasar por los procedimientos y / o controles normales.
3. Revise los procesos, procedimientos y separación de funciones existentes para transferencias financieras y otras transacciones importantes.
Agregue controles adicionales, si es necesario. Recuerde que la separación de funciones y otras protecciones pueden verse comprometidas en algún momento por amenazas internas, por lo que es posible que sea necesario volver a analizar las revisiones de riesgos debido al aumento de las amenazas.
4. Considere nuevas políticas relacionadas con transacciones «fuera de banda» o solicitudes ejecutivas urgentes.
Un correo electrónico de la cuenta de Gmail del director ejecutivo debería generar automáticamente una señal de alerta para el personal, pero deben comprender las últimas técnicas implementadas por el lado oscuro. Necesita procedimientos de emergencia autorizados que todos comprendan bien.
5. Revise, perfeccione y pruebe sus sistemas de notificación de suplantación de identidad y gestión de incidentes.
Realice un ejercicio de mesa con la administración y el personal clave en un Probar controles y realizar ingeniería inversa en áreas potenciales de vulnerabilidad.
Kit de herramientas de ingeniería social
Varios proveedores ofrecen herramientas o servicios para ayudar a realizar ejercicios de ingeniería social y / o crear conciencia entre los empleados a través de medios como carteles y boletines.
También vale la pena echarle un vistazo al kit de herramientas de ingeniería social de social-engineer.org, que se puede descargar gratis. El kit de herramientas ayuda a automatizar las pruebas de penetración a través de la ingeniería social, incluidos los ataques de spear phishing, la creación de sitios web de apariencia legítima, los ataques basados en unidades USB y más.
Otro buen recurso es el marco de ingeniería social.