• Blogs
  • Ruben
  • Anatomía del ataque de ingeniería social y cómo prevenirlo

Anatomía del ataque de ingeniería social y cómo prevenirlo

Anatomía del ataque de ingeniería social y cómo prevenirlo

Como indica MAGERIT , que es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, la ingeniería social es el abuso de la buena fe de las personas para que realicen actividades que interesan a un tercero, en este casi, un atacante.

Cada ataque de Ingeniería Social es único, pero con un poco de comprensión de las situaciones encontradas, podemos indicar un ciclo de vida de la amenaza aproximado de todas las actividades a las que afecta un proyecto de Ingeniería Social, estudiado a través de varios resultados exitosos. La representación general del ciclo de vida de ingeniería social en cuatro principales etapas sería:

Footprinting -> Relación de confianza -> Manipulación psicológica -> Salida.

Footprinting : Es la técnica de acumular información sobre el (los) objetivo (s) y el entorno ambiente. El Footprinting puede revelar a las personas relacionadas con el objetivo con quien el atacante tiene que establecer una relación, a fin de mejorar las posibilidades de un ataque exitoso.

La recopilación de información durante la fase de Footprinting incluye, pero no está limitada a:

  • Lista de nombres de empleados y números de teléfono
  • Organigrama
  • Información del departamento
  • Información sobre la ubicación

El Footprinting generalmente se refiere a una de las fases de preataque; tareas realizadas antes de hacer el ataque real de Ingeniería Social.

Algunas de las herramientas utilizadas por los atacantes e esta fase, serian : creepy ,SET y Maltego , haciendo de la obtención de datos de compromiso de Ingeniería Social más fácil.

Relación de confianza: Una vez que se han enumerado los posibles objetivos, el atacante pasa a desarrollar una relación con el objetivo que generalmente es un empleado o alguien que trabaja en el negocio para desarrollar una buena relación con ellos. La confianza que está ganando el ingeniero social se usará luego para revelar piezas confidenciales de información que podría causar daños graves al negocio

Manipulación psicológica : En este paso, el ingeniero social manipula la confianza que ha ganado en la anterior fase para extraer tanta información confidencial u obtener operaciones confidenciales relacionadas al sistema de destino realizado por el propio empleado para penetrar en el sistema con mucha facilidad.
Una vez que se ha recopilado toda la información confidencial requerida, el ingeniero social puede pasar al siguiente objetivo o avanzar hacia la explotación del sistema actual bajo consideración.

Salida : Ahora, después de que se haya extraído toda la información real, el ingeniero social tiene que hacer una salida clara de manera pueda desviar cualquier tipo de sospecha innecesaria sobre sí mismo. Él se asegurará de no dejar ningún tipo de prueba de su visita que pueda llevar un rastro de su identidad real ni de que lo vincule a la entrada no autorizada en el sistema objetivo en el futuro.

Tipología de ataques de Ingeniería Social

Estos tipos de ataques pueden ayudar al atacante a obtener acceso a cualquier sistema independientemente de la plataforma, software o hardware involucrado. Mostraremos a continuación algunas de las técnicas más populares utilizadas para realizar un ataque de Ingeniería Socia:

Shoulder Surfing : Es un ataque de seguridad donde, el atacante usa técnicas de observación, como mirar por encima del hombro de alguien, para obtener información mientras se desempeñan alguna acción que implica el uso explícito de información sensible y visible. Esto puede ser realizado a corta distancia, así como a un largo alcance utilizando binoculares u otra visión mejorada de dispositivos.

Dumpster Diving : Muchas veces, grandes organizaciones descargan elementos como guías telefónicas de la compañía, manuales del sistema, organigramas, manuales de políticas de la compañía, calendarios de reuniones, eventos y vacaciones, impresiones de datos confidenciales o nombres de usuario y contraseñas, impresiones de la fuente código, discos y cintas, membretes de la compañía y formularios de notas, y hardware desactualizado descuidadamente en los contenedores de la compañía. Un atacante puede usar estos elementos para obtener una gran cantidad de información sobre la organización de la empresa y la estructura orgánica de la misma. Este método de búsqueda a través del contenedor de basura, en busca de información potencialmente útil , suele estar “no identificado” por los empleados de una empresa y es conocido como Dumpster Diving

Juego de roles : Es una de las armas clave para un ingeniero social. Implica persuadir o reunir información mediante el uso de una sesión de chat en línea, correos electrónicos, teléfono o cualquier otro método que nuestra empresa utilice para interactuar en línea con el público, pretendiendo ser un servicio de ayuda, empleado, técnico, indefenso o un usuario importante para divulgar información confidencial.

Caballo de Troya : Es uno de los métodos más predominantes actualmente utilizados por los piratas informáticos que implican engaños las víctimas para descargar un archivo malicioso al sistema, que en la ejecución crea una puerta trasera en la máquina que puede ser utilizada por el atacante en cualquier momento en un futuro y por lo tanto tener acceso completo a la máquina de la víctima.

Phising : Es el acto de crear y usar sitios web y correos electrónicos diseñados para parecerse a los de conocidos negocios legítimos, instituciones financieras y agencias gubernamentales para engañar a los usuarios de Internet para que revelen su información personal y afirmando falsamente ser una empresa legítima establecida en un intento de estafar al usuario en la entrega privada información que será utilizada para el robo de identidad.

Crawling Sitios web de organizaciones y foros online: Gran cantidad de información con respecto a la estructura de la organización, correos electrónicos, números de teléfono están disponibles abiertamente en el sitio web de la compañía y otros foros online. Esta información puede ser utilizado por el atacante para refinar su enfoque y crear un plan sobre a quién dirigirse y el método a ser utilizado

Ingeniería Social Inversa: Un ataque de ingeniería social inverso es un ataque en el que un atacante convence al objetivo que tiene un problema o puede tener un cierto problema en el futuro y que el atacante, está listo para ayudar a resolver el problema. La ingeniería social inversa implica tres partes:
Sabotaje : Después de que el atacante obtiene un acceso simple al sistema, corrompe el sistema o le da la apariencia de estar corrupto. Cuando el usuario ve el sistema en el estado corrupto, comienza a buscar ayuda para resolver el problema.
Marketing : Para asegurarse de que el usuario se acerca al atacante con el problema, el atacante se anuncia a sí mismo como la única persona que puede resolver el problema.
Soporte : En este paso, gana la confianza del objetivo y obtiene acceso a la información confidencial solicitada.

Método de protección de alto nivel

No hay una forma efectiva de protegerse contra un ataque de Ingeniería Social porque no importa qué se implementan controles, siempre existe ese "factor humano" que influye en el comportamiento de un individual. Pero, hay ciertas formas de reducir la probabilidad de éxito del ataque. También es importante para organizaciones para establecer una política de seguridad clara y sólida y procesos para reducir la amenaza de Ingeniería social. Los siguientes son algunos de los pasos para garantizar la protección contra el ataque de Ingeniería Social:

Entrenamientos de Concienciación de Seguridad: La concienciación de seguridad es la solución más simple para prevenir ataques de ingeniería social. Cada persona en la organización debe recibir capacitación básica sobre seguridad de manera oportuna para que él/ella nunca dé ninguna información sin la autorización apropiada y para que se conozca que se debe informar de cualquier comportamiento sospechoso.

Verificación de fondo: Hay muchas posibilidades de que un atacante se una a la empresa como empleado para reunir información privilegiada sobre la compañía. Esto hace que la detección de antecedentes sea realmente importante parte de las políticas de la empresa para contrarrestar el ataque de ingeniería social. No solo debe ser limitado a los empleados internos, pero también debe extenderse también a los proveedores y otros trabajadores contratados antes de que se conviertan en parte de la organización o se le dé acceso a la organización red.

Seguridad física: Debe haber un mecanismo de control de acceso adecuado para asegurarse que solo a las personas autorizadas se les permite el acceso a secciones restringidas de la organización.

Fuga de datos: Debe haber una monitorización constante de toda la información sobre la organización colgada en Internet. Cualquier tipo de irregularidad debe ser inmediatamente tratada. Esto dificultará la recolección pasiva de información del atacante mediante varias herramientas, como podría ser spiderfoot .

Simulacros de ingeniería social: Se deben realizar actividades especiales de Ingeniería Social con los empleados internos de la organización, ya sea por el equipo de seguridad o por el proveedor, a fin de realizar un seguimiento del nivel de la seguridad sobre la conciencia en la organización.

Política de clasificación de datos: Debe haber una clasificación adecuada de los datos en función de sus niveles de criticidad y el personal de acceso. La clasificación de datos asigna un nivel de sensibilidad a la información de la empresa.
Cada nivel de clasificación de datos incluye diferentes reglas para ver, editar y compartir los datos. Esto ayuda a detener a la ingeniería social al proporcionar a los empleados un mecanismo para entender, qué información se puede divulgar y qué no se puede compartir sin la debida autorización.

Algunos controles adicionales que deberíamos tenerse en cuenta para reducir el éxito de un ataque de Ingeniería Social a alto nivel, podríamos enumerarlos a continuación:

  • Instalar y mantener los firewalls, antivirus, software antispyware y filtros de correo electrónico.
  • No permitir que las personas se pongan detrás al escribir información confidencial.
  • Tener una estrategia adecuada de respuesta a incidentes en la organización.
  • El uso de identificaciones corporativas en dominio público, blogs, foros de discusión, etc. debe estar prohibido.
  • Se debe prestar atención a la URL de un sitio web. Aunque los sitios web maliciosos generalmente se ven idénticos a un sitio legítimo, pero la URL puede usar una variación en la ortografía o un dominio diferente.
  • No se debe acceder a los detalles confidenciales y críticos en línea como el buzón de correo corporativo en lugares públicos, cafés y hoteles, etc. donde no se puede confiar en la seguridad del punto de Acceso a Internet.
  • No enviar información sensible a través de Internet antes de verificar la seguridad de los sitios web.
  • No revelar información personal o financiera por correo electrónico, al igual que no responder al correo electrónico sobre solicitudes de información similar.
  • Verificar que todos los puntos físicos de entrada y salida estén asegurados en todo momento.
  • No proporcionar información personal o información sobre su organización a nadie a menos que estar seguro de la autoridad de la persona para tener esa información.
  • Usar el teclado virtual cuando corresponda.
  • Tener mucho cuidado con lo que se proporciona/indica en el sitio web de su empresa. Evitar publicar gráficos organizacionales o listas de personas clave siempre que sea posible.
  • Asegurarse de destruir cualquier documento descartado que pueda contener datos confidenciales.
  • Implementar un buen filtro de SPAM que detecte virus, remitentes en blanco, etc.
  • Desarrollar una política de seguridad que incluya, pero no se limite a, la caducidad de la contraseña y la complejidad.
  • Implementar un filtro web para bloquear sitios web maliciosos.
  • Cifrar toda la información sensible de la compañía.
  • Convertir el correo electrónico HTML en mensajes de texto o deshabilitar los mensajes de correo electrónico HTML.

Conclusión

Con la excepción de los riesgos planteados por el phishing, la amenaza de la ingeniería social como una forma de acceder a los sistemas corporativos de TI parece a menudo pasarse por alto a favor de asegurar esos sistemas contra los ataques informáticos. Esperamos que con este post, se haya demostrado que la clave para asegurar los sistemas de TI de nuestra organización radica en la preparación de todas las vías de ataque; cerrar las puertas delantera y trasera y todas las ventanas no es una buena idea si hay un agujero en el techo, después de todo.

Las personas son un componente vital y a menudo, pasado por alto en los sistemas de seguridad como parte de la superficie de ataque disponible para un atacante, y sin el conocimiento y la capacitación adecuados puede ser el eslabón débil que expone sus datos al mundo.





Original: https://ciberseguridad.blog/anatomia-del-ataque-de-ingenieria-social-y-como-prevenirlo/
Por: Ruben.Ramiro
Publicado: 9.4.2018 @ 20:45