Algunas formas en que un ciberdelincuente usa la Ingeniería Social

 

La Ingeniería Social nos puede afectar a todos, pero su uso por parte de ciberdelincuentes para atacar grandes corporaciones y pequeñas o medianas empresas va en aumento. Por otro lado, existen entornos psicológicos y sociales que pueden influir en que un ataque de ingeniería social sea exitoso.

Richard De Vere, consultor de Ingeniería Social y pentester en The AntiSocial Engineer Limited, presentó un informe en 2015 en que afirmaba que los altos ejecutivos y los cargos intermedios son los más vulnerables. La razón es porque tienen acceso a información sensible de la empresa, y por tanto su ataque proporciona mejores y más rápidos resultados.

LinkedIn es una mina de oro de la que se pueden sacar datos jugosos de cargos intermedios y altos ejecutivos. Con herramientas automatizadas se pueden hacer listas de cientos de direcciones de email, con datos de usuarios y sus logins y passwords de VPN, OWA, Active Directory, etc...

En muchas ocasiones los ataques usan métodos muy clasicos, técnicas anteriores a la web y a internet, como realizar una llamada telefónica a la víctima suplantando la identidad de un técnico de soporte o un empleado de la misma organización. También se usa el envío de correo postal falso a la víctima, tomando como patrón alguna suscripción de una revista, cupones de descuento, etc. Una vez diseñada la propuesta para hacerla atractiva, se envía a la víctima, quien si todo sale bien, responderá al apartado postal del atacante con todos sus datos.

 

A pesar de esto, los ataques más comunes son vía correo electrónico (obteniendo información a través de un phishing o infectando el equipo de la víctima con malware), web (haciendo llenar a la persona objetivo un formulario falso) o conversando con personas específicas en salas de chat, servicios de mensajería o foros.

El Dumpster Diving o Trashing (zambullida en la basura). Consiste en buscar información relevante en la basura, agendas telefónicas, organigramas, agendas de trabajo,  unidades de almacenamiento (CD’s, USB’s, etc.) etc...

El intruso puede enviar un mensaje SMS a la víctima haciéndole creer que el mensaje es parte de una promoción o un servicio, si la persona lo responde, puede revelar información personal, ser víctima de robo o dar pié a una estafa más elaborada. En un ataque cara a cara el ciberdelincuente requiere tener una gran habilidad social y extensos conocimientos para poder manejar adecuadamente cualquier situación. En estos casos, las personas más susceptibles suelen ser las más inocentes.

https://creativecommons.org/share-your-work/licensing-considerations/compatible-licenses

El atacante puede también aprovechar la confianza que las personas tienen en sus amigos y familiares, haciéndose pasar por cualquiera de ellos. Un ejemplo claro de esto ocurre cuando un conocido llega a una fiesta con un amigo al que no hemos visto nunca. A pesar de que es una situación completamente normal, debe valorarse si es de fiar alguien a quien jamás se ha tratado, obviamente en el caso de las personas que manejan información sensible.

 

por Cesc Fortuny i Fabré.