La ingeniería social consiste en manipular a una persona para que esta realice aquello que el ingeniero social le propone. En un artículo anterior de este blog, veíamos a detalle que era la Ingeniería Social y como protegernos. En citado artículo también se hablaba de los principios en los que se fundamenta la ingeniería social para hackear la mente. También, pero de una forma más breve se mencionaban las técnicas que, basándose en dichos principios, se utilizan para acometer los ataques. En este presente artículo, profundizaremos más a fondo en estás técnicas. Aunque la seguridad 100% nunca está garantizada, tener conocimiento de estás técnicas siempre nos permitirá detectar antes cualquier evento sospechoso.
Para enumerarlas se toma como referencia las técnicas que aparecen en el temario de la certificación Comptia Security + (Tema 1.1) Posteriormente se intenta dar una descripción “no técnica” de la técnica (valga la paradójica redundancia) para que el mensaje pueda llegar a un público que no necesariamente sepa de ciberseguridad, pero que es importante que entienda los riesgos de estos ataques. Vamos al lío!
PHISHING
Técnica de ciberdelincuencia que utiliza el engaño y el fraude para obtener información de una víctima. El ciberdelincuente utiliza un cebo fraudulento y espera a que algún usuario caiga en la trampa, para de esta manera poder obtener credenciales u otro tipo de información sensible. Se podría decir que el cibercriminal tira el cebo y espera a “pescar” (fishing en inglés) víctimas. (de ahí su nombre)
• Smishing: (SMS+ Phishing) Ataque de Phishing realizado a través de un SMS. Por lo general, el contenido del mensaje invita a pulsar en un link que lleva a una web maliciosa, en el que intentarán engañar con que la víctima introduzca información sensible o de que descargue una aplicación que en realidad es un malware.Estos SMS generalmente se hacen pasar por servicios habitualmente usados en la población, comúnmente bancos o servicios de reparto. Los usuarios ya tienen cierto nivel de concienciación con las estafas a través de email, pero no tanto con los SMS, es por eso que hay una falsa percepción de seguridad con la mensajería móvil y nos lleva a que este ataque sea más efectivo.
• Vishing: Ataque de Phishing realizado por teléfono o a través de un sitema de comunicación por voz. El cibercriminal se pone en contacto con la víctima a través de una llamada, y por ejemplo, haciéndose pasar por un servicio técnico, le pide a la víctima determinados requisitos para resolver la incidencia. Así pues, dependiendo de la estafa, intentará que la víctima revele información sensible, se instale alguna aplicación maliciosa, realice un pago, etc
• Spear phishing: Ataque de Phishing concretamente dirigido a una víctima o conjunto de víctimas. El ataque busca los mismos propósitos que los casos citados previamente, con la variante de que están personalizados, lo cual los hace más complicados de detectar. El atacante emplea técnicas de OSINT para obtener toda la información disponible sobre la víctima, y de esta forma modelar y dirigir el ataque hacia esta. Es por ello que es de vital importancia ser consciente de que información publicamos en internet sobre nosotros mismos!
• Whaling: Se trata de un ataque de Spear Phishing, donde cuyo objetivo es un “peso pesado” de la organización. Los ciberatacantes consideran a los ejecutivos “High level” como “whales” de ahí el nombre del ataque.
Esta charla de Josep Albors en Cybercamp 2019 es muy interesante para poder profundizar en la materia del Phishing:
SPAM
Cualquier Email o mensaje recibido que no es deseado y/o solicitado. Su envío se produce de forma masiva a un gran número de direcciones. No siempre es malicioso, aunque constituye una perdida de tiempo y un gasto de recursos innecesario. Muchas veces puede tener enlaces maliciosos o difundir información que no es verdad.
• SPIM(Spam over Internet messaging): Spam realizado sobre mensajería instantánea, es decir, mensajes de Spam que se reciben por Whatsapp, Telegram, DM de Facebook, etc… Suele ser más complicado de detectar que el spam “tradicional”
En este mismo blog se puede leer un artículo sobre la historia del spam
Dumpster Diving
Acción de “bucear” en la basura de una organización para obtener información de documentos que iban a ser reciclados. Una buena práctica es destruirlos para evitar que el reciclaje de estos documentos sea con un uso indeseado. Hay un dicho popular que define bien esta técnica: “La basura de una persona es el tesoro de otra”
Shoulder surfing
Acción de mirar los datos que un usuario introduce por teclado y muestra en pantalla. De una manera aparentemente “casual”, el atacante puede obtener información sensible. Su nombre es muy descriptivo, ya que hace referencia a mirar por encima del hombro (para conseguir información). Para evitar esto existen pantallas que se oscurecen o reflejan dependiendo del ángulo de visión, permitiendo que solo se vea correctamente desde el punto de vista del usuario del sistema. Además es una buena práctica cerciorarnos de que no hay nadie alrededor cuando trabajamos con información confidencial.
Este vídeo de Professor Messer permitirá comprender con más detalle el Shoulder surfing:
Pharming
Redirección maliciosa hacia una web falsa que simula ser igual a la legítima, y así, de esta manera robar datos a las víctimas. Su nombre viene de la mezcla de Phishing y Farming. Este ataque suele venir prevenido de otros ataques sobre DNS, de manera que cuando se busca por el nombre de dominio, DNS traduce este nombre de dominio a una IP maliciosa de la que el atacante es dueño.
En Surática, página fuente de la siguiente infografía, hay un post muy interesante para profundizar sobre el Pharming (link)
Para comprender como funciona DNS, se puede consultar este artículo publicado en Cloudflare
Tailgating
Consiste en seguir a una persona, para acceder con ella a una zona de acceso restringido. Esta técnica se basa en la generosidad de las personas, ya que por cortesía se suele aguantar de la puerta a quien viene detrás. En alguna situación, el atacante puede buscar complicidad con su objetivo ofreciéndole fuego en una zona de fumadores, después por reciprocidad el objetivo le aguantará la puerta al atacante y pasarán juntos. Para evitar estos accesos indeseados es interesante un sistema de tornos (como los que se emplean en gimnasios, estaciones de tren, de metro, etc.)
Eliciting information
La elicitación sirve para obtener información de una víctima sin preguntarle directamente. Para conseguir esto, se basa en los principios de la ingeniería social, y en diferentes técnicas de comunicación. Algunas de estas técnicas de comunicación son: escucha activa, Preguntas reflexivas o utilizar afirmaciones falsas (Para que el objetivo corrija con la info que interesa). De esta forma, en una conversación aparentemente casual, el atacante irá “tirando de la lengua” al objetivo y conseguirá información que le puede ayudar para futuros ataques.
Prepending
Técnica que consiste en añadir el nombre de la víctima al principio con el fin de generar mayor “rapport” con esta. Entendemos, por rapport, el fenómeno psicológico con el que 2 personas se sienten en sintonía. Ejemplos de prepending serían esos correos que en la primera línea mencionan el nombre de la víctima, o post de redes sociales en los que aparece el nickname de la víctima al principio de todo. De esta manera el atacante gana una sensación de cercanía con la víctima, al dirigir el mensaje hacia esta.
Identity Fraud
Una usurpación de identidad es apropiarse de la identidad de otra persona generalmente con la intención de poder acceder a recursos y tener beneficios en nombre de la otra persona. Otra intención maliciosa es la de robar la identidad de otra persona para realizar malas acciones y de esta forma manchar su reputación.
Invoice Scams
La estafa de las facturas falsas se produce cuando el atacante envía una factura fraudulenta a su objetivo, de manera que este, sino la revisa atentamente puede llegar a pagar la cantidad que se pide en la factura. En muchas ocasiones, el mensaje con el que llega la factura, avisa de las consecuencias(cortes de servicio,etc) que podría tener no pagar de inmediato la cantidad pedida. Los atacantes emplean a su favor el miedo y el principio de la urgencia.
Credential Harvesting
Consiste en el uso de diferentes técnicas para recopilar contraseñas y posteriormente darles un uso. Una vez que los atacantes tienen contraseñas, tendrán los mismos privilegios en los sistemas de las víctimas que estas mismas, lo que puede llevar a incrementar el impacto del ataque. Estar concienciado contra el phishing y la verificación en 2 pasos (2FA) reducirá las posibilidades de que un ataque de credential harvesting se realice con éxito.
En este artículo publicado en Xataka se explica que es el 2FA. Por el nombre parece algo muy complejo, pero en realidad no es complicado para el usuario, y es de vital importancia!
Reconnaissance
Obtener información sobre un objetivo, para posteriormente realizarle algún ataque. Los cibercriminales recopilarán toda la información disponible sobre el objetivo, para de este modo poder personalizar y dirigir el ataque. Esta técnica se puede emplear como antesala de muchas de las otras técnicas que estamos tratando en este presente artículo. Una vez más, es muy importante ser consciente de que información propia estamos haciendo pública en la red!
Hoax
Son engaños,bulos. Son peligrosos porque intentan manipular a la victima para que haga alguna acción en su equipo que lo deje desprotegido o incluso inservible. Estos ataques se basan una vez más en el miedo. Por ejemplo, el atacante buscará atemorizar a la víctima diciéndole que tiene un virus que le dejará inservible el equipo y que la solución pasa por hacer cambios en la configuración o borrar determinados archivos.
Suelen estar constituidos por 3 partes reconocibles:
- Gancho: Sirve para captar la atención de la víctima y que lea el mensaje.
- Advertencia: Enumera los peligros que hay si la víctima no reacciona o hace algo de inmediato. Juega con el miedo
- Petición: Pide una acción para resolver el problema, y a mayores darle difusión al mensaje (Así el bulo sigue circulando)
Impersonation
Hacerse pasar por alguien o decir tener un oficio que no es verdad para obtener sus ventajas. Un ejemplo podría ser la de la llamada en donde el atacante asegura formar parte de un servicio técnico, e incita a realizar acciones que aparentemente pretenden facilitar la vida a la víctima, cuando la realidad es justamente lo opuesto.
Watering hole attack
Realizar un ataque infectando un tercero que habitualmente es utilizado por el objetivo. Después de recopilar información el atacante sabe que los empleados de la organización objetivo suelen visitar un sitio web (de un tercero). Posteriormente el atacante infectará la página de ese tercero en cuestión, de manera que cuando las víctimas accedan a esta queden infectadas. Su nombre viene por una técnica con la que muchos depredadores del mundo animal se hacen con sus presas. Esta técnica consiste en que el depredador espera próximo al abrevadero (water hole) para lanzarse sobre la víctima cuando esta acuda a beber.
En este artículo de Keepnet Labs, podremos profundizar sobre este tipo de ataque.
Typo Squatting
También conocida como URL hijacking. Técnica que consiste en utilizar un nombre de dominio muy similar al del dominio legítimo, con el fin de poder suplantarlo. Estas sutiles variaciones suelen coincidir con errores tipográficos de los usuarios. Por ejemplo en vez de ser derechodelared(.)com el dominio con typo squatting podría ser derechodeelared(.)com . Se ve?De este modo, e imitando la apariencia del sitio, un usuario podría pensar que está en el sitio legítimo y compartir información sensible en caso de que hubiera algún formulario que así lo requiriera. En este mismo blog podemos encontrar un interesante artículo para profundizar en el Typo Squatting (link)
Conclusiones
Estas son algunas de las técnicas más empleadas para realizar ataques de ingeniería social, pero sería un error pensar que los atacantes solo utilizarán estas. Se suele decir que el mal nunca descansa y eso es completamente cierto, porque de la combinación de las técnicas vistas nacen nuevas técnicas. Además, hay que tener en cuenta que cada vez aparecen nuevas tecnologías, y por supuesto la imaginación de los cibercriminales desarrolla nuevas estafas para adaptarlas a los nuevos tiempos. Así es, cada vez surgen más engaños relacionados a las tendencias más recientes de las redes sociales, ingeniería social con criptomonedas y ya se empieza a hablar de la ingeniería social en el metaverso.
Como siempre repetimos, la seguridad 100% no está garantizada, pero con concienciación y formación se puede luchar por un mundo más ciberseguro.
Bonus
Como siempre, me gusta dejar el enlace a recursos que me sirvieron de inspiración y que sirven para profundizar en el contenido de este artículo.
Curso gratuito de Porfessor Messer sobre Comptia Security +(En inglés), en la sección 1 trata las técnicas de Ingeniería Social (Link aquí)
Libro Comptia Security + Get Certified Get Ahead – Darril Gibson (Link Amazon)
Técnicas de ingeniería social: ¿Cómo consiguen engañarnos? (Infografía OSI) (Link)
Cómo denunciar las estafas cibernéticas (Link)
Reporta tu incidente INCIBE (Aquí)
Avisos de seguridad OSI (Aquí)
Apasionado de la ciberseguridad en continuo aprendizaje
[…] se acerca el fin de semana queremos compartir con vosotros una serie de documentales sobre ciberseguridad y hacking que han sido recopilados por el usuario Het Mehta, que ha realizado un hilo de Twitter con […]
[…] Técnicas de ingeniería social: así atacan al eslabón más débil de la ciberseguridad […]
[…] compartir con vosotros una serie de documentales sobre ciberseguridad y hacking que han sido recopilados por el usuario Het Mehta, que ha realizado un hilo de Twitter […]