Llegamos a ustedes gracias a:



Reportajes y análisis

Cuatro de las estafas de ingeniería social más nuevas

Los matones de la ingeniería social han alcanzado nuevos niveles, dado que las pandillas ahora juegan con el miedo de la perdida de la privacidad, robo e incluso muerte de los usuarios.

[19/05/2014] Los archivos de su computadora está siendo robados y detenidos a cambio de un rescate. Pague o piérdalos. Su cuenta bancaria está siendo vaciada, así que haga clic aquí para detenerlo. Su amigo ha muerto, haga clic en la página principal de este sitio web para por más información sobre su funeral. Los matones de la ingeniería social han alcanzado, definitivamente, nuevos niveles.

Los ingenieros sociales, esos criminales que se aprovechan del comportamiento humano para obtener acceso a datos o infiltrarse en los negocios, fueron quienes alguna vez engañaban a la gente con ofertas gratuitas o videos graciosos antes de estafarlos. Hoy en día, las pandillas de ingeniería social se han inclinado hacia tácticas y técnicas de mano dura, amenazas, crueldad emocional y horribles ultimátums.

Aunque el número de correos electrónicos usados por campañas de spear-phishing haya disminuido, y el número de aquellos elegidos como objetivo haya disminuido también, el número de campañas de spear-phishing en sí mismas creció en un 91% en el 2013, según el Internet Security Threat Report de Symantec Corp., lanzado a mediados de abril del 2014.

Las campañas fueron unas tres veces más largas que aquellas realizadas en el 2012, e indican que las tecnologías de protección y alerta han llevado a los spear phishers a ajustar y modificar su objetivo, y aguzar o perfeccionar su ingeniería social. Symantec también reportó que los ingenieros sociales del mundo real estaban combinando ataques del mundo real y virtual para aumentar las posibilidades de éxito.

Chris Hadnagy, jefe hacker en Social-Engineer.org, ve un aumento en el uso de esta táctica en los empleados de las empresas. Los grupos y pandillas están mandando correos electrónicos con archivos adjuntos maliciosos, los cuales un empleado cauto normalmente ignora.

Pero luego, siguen este acto con una llamada diciendo, Hola, habla Bob. Le acabo de mandar un mail con una hoja de cálculo. Solo necesito que los abra rápidamente y lo revise. Todos esos factores juntos hacen que confíe en ellos y actúe. Tácticas de ingeniería social como éstas sirven de entrada a las últimas estafas hechas por Internet.

1. Phishing con nuevas variedades letales de ransomware (captura de información)
El ransomware atrajo la atención de los negocios en el 2013 con Cryptolocker, el cual infectaba las computadoras operadas con Microsoft Windows para encriptar todos los archivos que una máquina contenía, así como los archivos de los servidores compartidos. Los extorsionadores solicitaban luego un pago de rescate para entregar la clave que permite desencriptar el disco. Este pago era de alrededor de unos 200 dólares en bitcoins, modeda virtual que no puede ser rastreada. Mientras más se demoraba la víctima en pagar, el rescate aumentaba y se corría el riesgo de que la información fuera borrada.

Este año, CryptoDefense ha sido mejorado y elige como blanco a textos, imágenes, videos, PDF y archivos Office MS; los encripta con una poderosa clave RSA-2048, la cual es difícil de descifrar. También limpia todas las Shadow Copies, las cuales son usadas por muchos programas de backup.

En Febrero, una firma de abogados en Charlotte le hiso un seguimiento y describió cómo todo su servidor fue afectado por Cryptolocker y perdieron todos sus archivos. El equipo de TI trató de desinfectar la computadora, pero el plan falló y no permitió la desencriptación. También trataron de pagar el rescate, pero fue demasiado tarde, ya que habían manipulado el malware. El ataque de ingeniería social usó un correo electrónico de AT&T con un archivo adjunto malicioso que fue confundido con un mensaje de voz de su servicio de contestador telefónico.

Las compañías que hacen un backup de los archivos una vez a la semana son agarrados desprevenidos por la estafa y siempre están dispuestos a pagar rescate.

Es la elección entre pagar 500 dólares o perder una semana de trabajo que valió la pena - para, quizás, más de una persona, señala Stu Sjouwerman, cofundador de la empresa de formación de seguridad KnowBe4 LLC.

Aunque los estafadores usaron un número de teléfono de AT&T en el caso de la firma de abogador, otras empresas de telecomunicaciones también han presenciado variantes de la estafa, añade Sjouwerman. Symantec estima que los ransomware cono Cyberlocker hizo que los criminales ganaran más de 34 mil dólares en un mes a finales del 2013.

Pequeñas y medianas empresas con menos de 500 empleados fueron víctimas del 41% de todos los ataques spear-phishing, comparado con el 36% en el 2012, según Symantec. Las grandes empresas con más de 2.500 empleados fueron víctimas del 39% de todos los ataques, comparado con el 50% en el 2012 y 2011.

Las pequeñas y medianas empresas se toparon con dos desafíos o retos, señala Scott Greaux, vicepresidente de PhishMe.com.

Uno es la percepción de no tener nada que la gente quiere. Segundo, podrían tener las herramientas de seguridad tradicionales en orden y en su lugar, pero puede que éstas sean muy antiguas y desactualizadas, incluso si están usando el filtrado web.

Antes de que esto le pase, asegúrese de tener todos los backups y pruebe varias veces la función de restaurar, agrega Sjouwerman. También, invierta en concientizar a sus empleados sobre la seguridad.

2. IVR y llamadas de robots para información de la tarjeta de crédito
Sistemas de respuestas de voz interactivos y robocalls o llamadas de robots, juegan un papel muy importante en las nuevas estafas de ingeniería social a la hora de buscar información sobre la tarjeta de crédito o contraseñas. Las pandillas se roban miles de números telefónicos y usan las llamadas de robots para llamar a los empleados desprevenidos. Son completamente automatizadas, señala Sjouwerman.

El mensaje es algo como: Esta es su compañía de tarjetas de crédito. Estamos averiguando sobre un cargo fraudulento a su tarjeta. ¿Usted compró una televisión de pantalla plana a 3.295 dólares? Presione 1 si sí lo hizo y presione 2 si no. Si la persona responde que no, se le pide que ingrese su número de tarjeta de crédito, fecha de expiración y código de seguridad.

En algunos casos, los empleados se preocupan de que la compañía de la tarjeta de crédito haya sido comprometida y que por ende, ellos se metan en algún problema, así que le siguen la corriente.

Solo para hacerlo más malo, le dicen a la víctima que ponga su número de celular para que un representante pueda llamarlo y revertir el cargo, agrega.

Aunque la estafa parece dirigida únicamente hacia clientes individuales, el concepto de combinar robocalls e IVR tiene también implicancias para los negocios, señala Chris Silvers, dueño y consultor principal de información sobre seguridad en CG Silvers Consulting. La situación o el escenario más obvio sería parodiar una llamada interna de una sistema de correo de voz, diciéndole a los empleados que confirmen la contraseña de su correo de voz, y quizás incitando a que pongan un número de teléfono en caso de emergencia o algo por el estilo.

Prevención: Nunca actúe cuando reciba robocalls, señalan los expertos, y no confíe en el número que aparece en el identificador de llamadas. Una señal indicadora de una estafa robocall es que cuando recibe la llamada le dicen: su compañía de tarjetas de crédito, pero nunca dicen el nombre.

3. Registros de salud por los ataques spear-phishing
Por violaciones de datos masivas en el 2013, el elemento criminal ha llegado a un punto en el que pueden tomar información de identificación personal y comenzar a fusionar o unir registros, incluyendo los de salud.

Por ejemplo, un correo electrónico falso al parecer ha sido enviado por su empleador y su proveedor de atención médica o servicio de salud, anunciando que han hecho algunos cambios a su programa de salud. Están ofreciendo tasas de seguro preferenciales para los clientes que tienen el número de hijos que usted tiene. Luego, invitan al que está leyendo el correo electrónico a echarle un vistazo a un link que, al parecer, lo va a dirigir hacia la página web del proveedor de los servicios de salud.

Por el hecho de que el correo electrónico está cargado de toda la información personal del lector, hay grandes posibilidades de que un clic sea suficiente -y que eso sea lo que se necesite para infiltrarse en los sistemas de las compañías, anota Sjouwerman.

4. Phishing con los funerales
Quizás, el más nuevo. Se ha detectado que algunas pandillas de ingeniería social envían correos electrónicos del tipo phishing a la gente, haciéndose pasar como una casa funeraria y diciéndole al remitente del correo que uno de sus amigos cercanos falleció y que la ceremonia de entierro va a ser en tal fecha. Para hacer esto, ya penetraron y comprometieron previamente la página web de la casa funeraria, así que justo en el momento en el cual el amigo confundido hace clic en la página web comprometida, se le re direcciona al servidor de la pandilla.

Hadnagy confirma que esta estafa de ingeniería social es penosa pero verdadera. Hay unas cuantas historias de que este tipo de estafa está siendo usada con éxito. La gente que da clic es cargada con los credenciales cosechados por el estafador.

En el sitio web falso, la pandilla suelta rápidamente una pieza de malware que con el tiempo destruye mucha información. También suelta un troyano, y hace que la computadora se convierta en un zombie capaz de ser partícipe de actos nefastos, como atacar otras computadoras y mandar spam.

A tener en cuenta: piense antes de actuar por la emoción, anota Greaux

Normalmente la motivación de los estafadores es el miedo, la curiosidad o la codicia. Si manda diez correos electrónicos o llamadas, tiene una de diez oportunidades de que los que hayan recibido el correo estén motivados por la emoción que están tratando de usar.
Stacy Collett, CSO (EE.UU.)