Llegamos a ustedes gracias a:



Reportajes y análisis

Técnicas de ingeniería social: Cuatro formas en que los criminales logran entrar

[21/06/2010] No importa cuántos cerrojos ponga en la puerta de su sistema de seguridad, porque los criminales que usan técnicas de ingeniería social, aún navegarán directamente hacia adentro. ¿Por qué molestarse en destruir la puerta, si simplemente puede pedirle a quien está adentro que le permita entrar? Esa es la pregunta que plantea Lenny Zeltser, jefe del equipo consultor de seguridad en Savvis y miembro de la facultad del Instituto SANS.

"Generalmente hay un debate sobre qué es lo más predominante y más peligroso: ¿La amenaza externa o la amenaza interna?", señala Zeltser. "Una vez que acepta el éxito de la ingeniería social, reconocerá que ya no hay distinción. Si tiene un intruso externo, y utiliza una técnica de ingeniería social, se vuelve un intruso de interno o insider".
Zeltser, quien frecuentemente se presenta en conferencias de seguridad a lo largo del país, explica las cuatro formas en que los ingenieros sociales comprometen las defensas de seguridad de una persona y ganan fácil acceso a información sensible de las empresas.
1. Canales alternativos de comunicación
Los artistas de la estafa utilizan canales alternativos de comunicación, porque es ahí donde toman a la gente con la guardia baja, señala Zeltser.
"Los atacantes encuentran que sus víctimas son más susceptibles de ser influenciadas, cuando el atacante los involucra utilizando un medio distinto al que la víctima está acostumbrada", indica.
Él señaló, por ejemplo, la estafa que utilizaba volantes en los parabrisas. Los volantes alertaban a los conductores de que sus autos estaban "violando las regulaciones estándares del estacionamiento", y les pedía que ingresaran en un sitio donde podían obtener más información.
"Si este mensaje le hubiera llegado por correo, probablemente no le hubiera hecho caso", notó Zeltser. "Pero cuando la gente recibió esta notificación en el mundo físico, fuera del canal normal por el que están acostumbrados a estar en guardia, fueron a horribleparking.com y vieron algunas fotos de autos estacionados de manera inapropiada en su propia ciudad. Por supuesto, si ellos querían ver su propio vehículo estacionado de manera inapropiada, tenían que descargar un reproductor de medios. Si lo descargaban, se infectaban con una falsa herramienta antivirus".
Zeltser también apuntó a las estafas de vishing, en las cuales las víctimas reciben correos de voz pidiéndoles contactar a su banco sobre actividades fraudulentas en su cuenta, como otra variación de este tipo de ataque. La gente llama al número y es apremiada por una serie de comandos de voz a que ingrese información sensible, o es conectada con alguien que asegura ser un representante del banco.
"La gente tiende a confiar más en la comunicación telefónica de lo que confía en las comunicaciones por correo electrónico", indica Zeltser.
Y las memorias USB son otro ejemplo de la explotación de un canal alternativo. Zeltser se refirió a un ejemplo reciente de un ataque usando memorias USB que extendió el gusano Conficker, y anotó que las víctimas generalmente no sospechan de las memorias USB y las meten en las máquinas sin pensarlo dos veces. Si bien solía ser un estándar para los usuarios de computadora escanear los discos floppy por si tenían problemas, no existe el mismo protocolo para las memorias USB.
"Se fueron los floppys, y se nos olvidó la seguridad", añade.
2. Mensajería relevante de manera personal
La gente no quiere solo recibir correos electrónicos, quiere sus correos electrónicos, de acuerdo con Zeltser. Un mensaje que es personalmente más interesante va a obtener más atención, y los criminales saben eso.
Él se refirió a la variante de un gusano que se extendió enviando spam a las víctimas con mensajes que aseguraban contener noticias de última hora que acaban de ocurrir en su ciudad natal.
"Ellos capturaban la atención de la víctima", señala Zeltser. "¿Cómo? Debido a que utilizaban la base de datos de geo-ubicación para determinar de dónde vienen las víctimas y luego personalizaban este enlace".
Por supuesto, si el recipiente del mensaje falso quería "leer más" sobre la noticia local, tenían que descargar un reproductor de video, y en lugar de eso terminaban con malware.
Otra variación en esta clase de estafa involucra mensajes de spoofing (suplantación de identidad) para lucir como que vienen de una fuente confiable. Un ataque común- que se ha llevado a cabo últimamente- utiliza a la compañía de entregas UPS como chivo expiatorio. El mensaje de "UPS" asegura que ha habido un intento fallido de entregar un paquete, y le pide a la víctima imprimir una factura que debe llevar al centro de UPS para recogerlo.
"Si lo imprime, probablemente será un ejecutable malicioso o un archivo PDF malicioso, y así es como ya lo tienen", indica Zeltser. "¿Cómo le decimos a nuestros usuarios que no abran adjuntos de gente que no conocen? Ya no es un consejo muy útil, debido a que los mensajes que llegan hasta ellos son de personas que se supone que conocen. Así que no es práctico. Necesitamos inventar algo más para decirle a nuestros usuarios".
3. Conformidad social
Es parte de la naturaleza humana querer hacer lo que los otros están haciendo, anotó Zeltser. Y nuestra tendencia a seguir a la multitud también puede hacernos víctimas de la ingeniería social. Los criminales saben que las personas estarán más inclinadas a confiar en algo que es popular, o recomendado por fuentes confiables.
Es esta clase de psicología la que lleva al éxito de los recientes ataques 'likejacking' en Facebook a principios de este mes. Los usuarios de Facebook fueron engañados haciendo que éstos indicaran que les "gustaban" sitios web que aseguraban tener información sobre secretos o fotos de celebridades. En lugar de eso, las víctimas se encontraron dándole clic a un sitio web creado maliciosamente y producido por hackers que habían escondido un botón invisible bajo el mouse. Dar clic en el sitio web raptaba el clic del mouse y causaba secretamente que a los usuarios "les gustara" la página web. Esta actividad se publicaba luego en la página de Facebook de la víctima, y le daba legitimidad a la página maliciosa, causando que a otros también "les gustara".
Los criminales también han explotado la conformidad social subiendo software malicioso a un sitio para compartir archivos, donde los adictos al software encuentran los últimos y mejores productos, señala Zeltser.
"Entonces el gusano seguía impactando las descargas para inflar artificialmente el contador de modo que el archivo flotara hasta la cima y apareciera como la descarga más popular", explica. "Si a otras personas les gustó y lo descargaron, quiero ver lo que otros descargaron y, es así como entonces lo descarga".
4. Dependencia en mecanismos de seguridad
Debido a que estamos tan acostumbrados a ciertos mecanismos de seguridad, y generalmente los tomamos por sentado, ya no nos están protegiendo, de acuerdo con Zeltser.
Zeltser volvió a contar la historia de una estafa que incluía un ingeniero social que llegaba a una tienda vestido como oficial de policía. Él le dice al encargado que han detectado billetes falsificados circulando por el área, y le da al encargado un lapicero especial, el cual le dice que puede ser utilizado para verificar dinero real o falso, y que pintará de rojo los billetes que no son legítimos.
Más tarde, alguien más llega y pasa un billete falso. El encargado marca el billete como posiblemente falso y utiliza el lapicero. Pero la tinta se vuelve verde, lo cual indica que está bien. Pero en realidad el lapicero en sí también es falso, y nunca hubiera descubierto un billete falso en primer lugar. Pero el encargado que cree en el policía, piensa que es así.
Lo mismo resulta cierto para las muchas actualizaciones de seguridad que los usuarios de computadora se han acostumbrado a obtener. Las actualizaciones de Flash, por ejemplo, se han utilizado en este tipo de explotación.
"Va a un sitio, obtiene un mensaje de error que dice que necesita descargar la última versión de Flash", señala Zeltser. "La víctima no tiene forma de saber si están descargando una herramienta legítima, y en muchos casos no lo son. Pero nuestras víctimas han estado sujetas a estos mensajes una y otra vez, y están tan acostumbradas a los mecanismos de seudoseguridad de la actualización de Flash, que en este punto un atacante puede utilizarla contra ellos".
¿Así que cómo mantenemos a los intrusos fuera?
¿Qué significan estas cuatro estrategias para la seguridad? Que el intruso externo puede volverse muy fácilmente uno interno, señala Zeltser. Y hasta ahora, entrenar a los empleados para ser conscientes de la ingeniería social ha fracasado.
"Cuando observamos nuestra arquitectura de seguridad, necesitamos empezar a pensar menos y a enfocarnos menos en las barreras externas", señala. "Enfóquese más en lo que sucede dentro de la organización. Necesitamos poner más enfoque en la segmentación interna de recursos y en el monitoreo interno del tráfico que va hacia dentro y hacia afuera de su ambiente. Y dele a sus usuarios los mínimos privilegios que necesitan. No porque no confíe en ellos, sino porque sabe que pueden ser fácilmente estafados y está tratando de protegerlos".
Joan Goodchild, CSO (US)