Los secretos del Baiting - Radiografía de la Conspiranoia

Noticias:

Facebook Follow

Radiografía de la Conspiranoia

dimecres, 27 d’abril del 2022

Los secretos del Baiting

Robert Mitnick


 

El Baiting es una técnica que utiliza un medio digital en soporte físico, en el que se insertan aplicaciones maliciosas. Se basa en ingeniería social, y se considera un ataque informático, por lo que constituye delito en la mayoría de países. Tiene una estrecha relación con el phishing.

Permite alcanzar a muchas personas en el mismo ataque, los recursos son muchos más caros y el riesgo al que se expone el delincuente es mayor.


Para hacer un ataque de este tipo, se estudian los hábitos de las víctimas potenciales y se adapta el formato a sus gustos. Por ejemplo si el objetivo son altos ejecutivos de una multinacional, espiar y analizar sus gustos puede concluir que les gustan los coches de alta gama y por tanto puede ser efectivo para el ataque usar este tema como cebo, usando un CD etiquetado con “Los mejores coches de alta gama del año”.


El atacante presenta una oportunidad tentadora: regalar un dispositivo electrónico (USB) con la excusa de promocionar una empresa. Dejando “abandonados” los dispositivos en sitios públicos, ya sea en aparcamientos, en la calle, o en lugares concurridos para intentar explotar la curiosidad de la gente. Depositándolos como regalos en la recepción de una empresa para que los empleados puedan recogerlos al finalizar el día de trabajo. Colocándolos estratégicamente en sitios concurridos de una empresa como baños, salas de de impresoras, lugares de recepción, salas de conferencias o ascensores. En bibliotecas públicas, universidades, etc.


En definitiva se trata de poner un cebo (bait), de ahí su nombre en inglés, para atrapar a la víctima en el engaño. El resultado será el de obtener datos personales con el posible fin de chantajear al objetivo, obtener datos bancarios para robar su dinero, o introducir un malware en una red corporativa con vistas a conseguir una puerta de acceso y realizar otro tipo de ataque.


El coste de estas prácticas es mayor que el de otras, ya que los formatos físicos (USB, CD, tarjetas SSD, etc.) resultan más caros que mandar un correo electrónico o realizar un ataque directamente con aplicaciones maliciosas. Aún así, suele ser una herramienta intermedia usada en ataques más sofisticados y complejos. Es decir, que se usa para tener acceso a redes de instituciones o públicas y perpetrar con el malware infiltrado otro tipo de ataques más complejos.


Este tipo ataque puede tener como objetivo una persona cualquiera, o estar centrado en cierto tipo de individuos, aunque debido a su coste y a la inversión de tiempo, y por supuesto al riesgo que se corre ya que deben dejarse los cebos de manera presencial, hace que se busquen objetivos que puedan reportar grandes beneficios.


La Ingeniería Social se basa en la idea de que el usuario es el elemento más vulnerable de todo el sistema. Teniendo en cuenta que no existe una sola infraestructura, al menos hasta la fecha, que no dependa, esté montada, y/o interactúe con un ser humano, la Ingeniería Social representa una debilidad mundial al margen de arquitecturas y sistemas operativos. Suele decirse en el ámbito de la ciberseguridad que la para mantener un servidor en un ámbito completamente seguro, lo mejor es que permanezca desconectado, refiriéndose con desconectado, a no estar conectado a una red local o a internet, concepto que es respondido por la Ingeniería Social con que inevitablemente habrá ocasión de seducir a alguien para que lo conecte.

 

https://commons.wikimedia.org/wiki/File:Microsoft_Bill_Gates_(2472910099).jpg


 

 

  • Estos son algunos consejos muy recomendables para personas no especializadas en áreas de seguridad o implementación de sistemas, y en definitiva para personas no especializadas ni familiarizadas en técnicas de Ingeniería Socia:
  • Evitar el SPAM ya que es el principal medio de distribución de cualquier mensaje engañoso.
  • Rechazar adjuntos cuando no se conoce su fuente o no pertenecen a correos deseados y en el caso de descargar adjuntos de fuentes confiables, analizarlos aun cuando se esté esperando recibirlos.
  • Nunca acceder a un enlace incluido en un mensaje de correo.
  • Entrar de forma manual los datos para ingresar a cualquier sitio web, es decir, no usar enlaces en un correo electrónico para acceder por ejemplo a una entidad bancaria. Insisto,esto se debe tener muy en cuenta cuando se trata de entidades financieras, o en cualquier sistema en el que se pida información sensible (usuario, contraseña, tarjeta de crédito, PIN, etc.).
  • Es muy importante tener presente que una entidad bancaria, empresa, organización, o estamento oficial, etc., nunca solicitará datos confidenciales por teléfono, fax, mail, ni a través de ningún otro medio existente. Es muy importante remarcar este punto y en caso de recibir un correo de este tipo, debe ignorarse y/o eliminarse.
  • Otra forma de aumentar un poco la seguridad, es comprobar que la URL de la página empiece con “https” y no con “http”. El HTTPS es el HyperText Transfer Protocol Secure, o Protocolo de transferencia de hipertexto, y protege la integridad y la confidencialidad de los datos de los usuarios entre sus ordenadores y el sitio web.
  • Es importante comprobar el certificado digital al que se accede haciendo doble clic sobre el pequeño candado de la barra de estado situado en el vértice inferior izquierdo del explorador aunque hoy en día muchos exploradores pueden mostrarlo en la barra de navegación superior, en lado izquierdo de la URL.
  • No responder a solicitudes de información que lleguen por correo electrónico. Cuando las empresas reales necesitan contactarnos tienen otras formas de hacerlo, y en todo caso, de ser así, es decir de contactar con nosotros a través del correo electrónico, no nos pedirán datos sensibles. Una vez más, ante la duda debemos ponernos en contacto con la empresa, entidad bancaria, institución pública etc. y comprobar la veracidad del comunicado para salir de dudas.

 

 

https://commons.wikimedia.org/wiki/File:Adrian_Lamo,_Fall_%2704.jpg


 

 


  • Este punto está relacionado con el anterior, pero es importante insistir en que si se tienen dudas sobre la legitimidad de un correo, es mejor llamar por teléfono a la compañía, a un número que se conozca de antemano, como el que aparezca en una factura o recibo, o en la página web confiable (no la que aparece en el mail sospechoso) o en folletos y/o publicaciones confiables.
  • En resumen, nunca se debe llamar a los números que vienen en los mensajes recibidos.
  • Por lo mismo que he estado comentando hasta ahora, el mail es un medio relativamente fácil de interceptar y es posible que caiga en malas manos, por lo que jamás se deben enviar contraseñas, números de tarjetas de crédito u otro tipo de información sensible a través de este sistema.
  • Es recomendable tener por costumbre examinar los extractos bancarios de cuentas y tarjetas para tener controlada cualquier actividad que pueda resultar sospechosa y ponerse en contacto con la entidad bancaria tan pronto como esta se detecte o se sospeche. Siempre es mejor prevenir que curar.
  • Es importante implementar un antivirus, antimalware, anti spyware (que pueden o no ser la misma aplicación) así como un firewall, y esto es válido tanto para una empresa (donde sería de obligado cumplimiento) como para un usuario particular, que incluso dispone de aplicaciones gratuitas para tales efectos. Estas aplicaciones no se hacen cargo directamente del problema, pero pueden detectar correos con troyanos o conexiones entrantes/salientes no autorizadas o sospechosas.
  • Todo lo expuesto es especialmente importante en las redes sociales, y cuando digo redes sociales, esto incluye a las de cualquier tipo y muy especialmente a WatsApp, Telegram etc., en las que bajo ninguna circunstancia se debe compartir información sensible. En este sentido, es importante no agregar a desconocidos o en caso de hacerlo verificar la configuración de seguridad para determinar que tipo de información es visible para cierto usuario, es decir, las redes sociales no son ningún juego, y hay que tomarse un tiempo para tener bien configurada la seguridad, y los datos que se muestran.
  • Lo más importante... Nunca se sabe quien está del otro lado ...

 

 

  1. NO accedas a sitios donde te pidan información personal.
  2. NO descargues archivos donde soliciten consultar tu estado bancario.
  3. NO descargues archivos enviados por correo, solicitando el pago de multas, intereses, créditos bancarios, etc.
  4. NO facilites información personal (contraseñas, número de tarjetas de crédito, etc.) cuando te llamen o te escriban en nombre de entidades bancarias y/o gubernamentales.
  5. SIEMPRE cuando tengas alguna duda, sospecha, desconfianza, o suposición sobre algún correo, página web, llamada, mensaje de texto (SMS), archivos, pagos electrónicos o cuentas bancarias, comunícate con la entidad bancaria y/o gubernamental o persónate a ser posible, en sus oficinas.

 

 Según Javier perea, director regional de Intel Security España:

Las amenazas de ingeniería social son peores que el malware más intrusivo, ya que es más difícil protegerse frente a ellas. Especialmente porque el objetivo son las personas, no solo el sistema. En este sentido, la forma más eficaz de protegerse frente a estas amenazas es estar informado, y las empresas deben impulsar la educación en materia de seguridad, con el fin de mitigar los riesgos.




Escucha el podcast Radiografia de la conspiranoia. Temporada 1, capítulo 7.  Los laboratorios de análisis Kaspersky y The Equation Group:



 

Este es un podcast de Cesc Fortuny i Fabré, de divulgación académica y científica sobre las teorías de la conspiración, así como sectas, estafas y pseudociencias. También brinda información sobre ingeniería social, y como protegerse de ella.

Este capítulo trata sobre la información conseguida por los laboratorios Kaspersky sobre el grupo de hacking The Equation Group. Pertenece a la serie dedicada a las Ingeniería Social.

http://radiografiadelaconspiranoia.blogspot.com
https://www.facebook.com/R.Conspiranoia

RSS: https://www.ivoox.com/radiografia-conspiranoia_fg_f11186055_filtro_1.xml
Spotify: https://open.spotify.com/show/5XDO8JgZpfUmuU5KoqWAZP




 


 

 

 

 

Links del podcast:

 


Leer más

Subscribe via email

Author Image

About Radiografía de la Conspiranoia
Todo sobre manipulación y creencias peligrosas.

por Price:
Product Tags:

Cap comentari:

Publica un comentari a l'entrada

Escribe con una correcta ortografía, gramática/sintaxis, y puntuación. Si quieres difundir tus creencias, tienes otros espacios para hacerlo. Los insultos y las descalificaciones no se publicarán. Será bienvenido cualquier comentario que sin ser offtopic, sea respetuoso y aporte algo positivo, o corrija algún error que pueda haber cometido, pero siempre dando referencias a revistas especializadas. Para más información visita la sección AVISO! Del menú principal.

Subscriure's a: Comentaris del missatge (Atom)