La ingeniería social describe la forma en que se manipula a las víctimas para que compartan información, descarguen malware y envíen dinero a los delincuentes. A diferencia de los paquetes de software malicioso, el cerebro humano no puede ser parcheado; en un nivel básico, todos son igualmente vulnerables a la ingeniería social. Y aunque la percepción pública de la ingeniería social no ha evolucionado mucho desde los días de la estafa del príncipe nigeriano, los atacantes han podido beneficiarse de niveles altísimos de violaciones de datos para probar algunas de las técnicas más nefastas y manipuladoras hasta el momento.
¿Cómo funciona la ingeniería social?
La ingeniería social puede adoptar distintas formas, según el enfoque de los atacantes. Para los ataques contra organizaciones, hacerse pasar por una marca o un socio de confianza es una de las formas más lucrativas. En 2019, los ciberdelincuentes confiscaron software basado en inteligencia artificial para hacerse pasar por la voz de un director ejecutivo.
El director general de una empresa energética con sede en el Reino Unido recibió una llamada telefónica de su jefe (o eso creía) pidiéndole que transfiriera urgentemente una suma de € 220,000 ($ 243,000) a un proveedor húngaro. Si bien esto representa un caso poco común de atacantes que aprovechan la IA, la mayoría de los ingenieros sociales todavía son conscientes del poder de hacerse pasar por una organización confiable. En la misma línea están los ataques que pretenden imitar a figuras gubernamentales y de autoridad. La confianza otorgada a las instituciones gubernamentales presenta una oportunidad fructífera para que los atacantes abusen: hacerse pasar por el IRS también puede dar a los ataques de ingeniería social una ventaja punitiva o de tiempo limitado, empujando a las víctimas a actuar sin la debida reflexión.
Los métodos de ingeniería social se aprovechan en gran medida de dos grupos de emociones. El primero implica miedo y urgencia. Décadas de evolución han visto a los ciberdelincuentes perfeccionar sus técnicas para inducir miedo. Un correo electrónico inesperado que indica que una transacción reciente con tarjeta de crédito no fue aprobada, por ejemplo, coloca al cerebro bajo mayor estrés ya que la víctima asume que su tarjeta fue utilizada de manera fraudulenta. Este pánico los ve hacer clic en el enlace asociado, ingresar sus credenciales en la convincente página de inicio de sesión del banco, solo para ser redirigidos a una página legítima. Sin saberlo, la víctima acaba de entregar sus credenciales bancarias a los estafadores. Si bien son rentables para los atacantes, las finanzas no son la única forma de inducir el pánico: los propietarios de pequeños sitios web y empresas pueden recibir un mensaje afirmando falsamente que una imagen en su sitio viola la ley de derechos de autor, lo que los obliga a entregar información personal, o incluso dinero en forma de de una multa. Algunos ataques basados en urgencia incluso utilizan la fachada de acuerdos por tiempo limitado, con el fin de presionar a las víctimas para que hagan clic lo antes posible.
La otra forma de ataque de ingeniería social apela a la codicia; El ataque del Príncipe de Nigeria es un ejemplo tradicional de esto. Aquí, la víctima recibe un correo electrónico de una persona que dice ser un miembro de una familia real nigeriana que huye. El remitente necesita la cuenta bancaria de alguien para enviar sus millones, pero primero requiere la información bancaria de su víctima. Se puede persuadir a la víctima, deseosa de aprovechar los millones que se depositarán, para que envíe un anticipo relativamente pequeño o sus datos. En la industria del cibercrimen, este ataque es antiguo, pero en 2018 todavía generaba cientos de miles de dólares.
Tipos de ataques de ingeniería social
La ingeniería social cubre una amplia gama de patrones de ataque, cada uno de los cuales adopta su propio enfoque para manipular a las víctimas.
Ataques de phishing
El phishing abarca uno de los tipos más notorios de ataques de ingeniería social. En estos ataques, la víctima recibe mensajes cuyo objetivo es manipularla para que comparta información confidencial o descargue archivos maliciosos. Los estafadores reconocen que la bandeja de entrada es el área más vulnerable de toda organización y los mensajes se elaboran con una legitimidad cada vez mayor, imitando a organizaciones conocidas, amigos del destinatario o clientes creíbles.
Existen cinco formas principales de ataque de phishing; la más peligrosa de las cuales es la técnica de phishing. Esta táctica se dirige a un individuo específico, generalmente uno al que se le otorga acceso privilegiado a información y redes confidenciales. El atacante llevará a cabo una larga investigación sobre el individuo objetivo, a menudo utilizando las redes sociales para rastrear sus comportamientos y movimientos. El objetivo es crear un mensaje que haya sido enviado de manera creíble por alguien que el objetivo conoce y en quien confía, o que haga referencia a situaciones con las que el objetivo está familiarizado. La caza de ballenas se refiere a que este proceso se aprovecha contra personas de alto perfil, como los directores ejecutivos. El Spear phishing se puede reforzar hasta casi la infalibilidad con Business Email Compromise (BEC), que permite enviar correos electrónicos maliciosos desde la cuenta de correo electrónico genuina de la figura de autoridad.
Los siguientes dos tipos de phishing se refieren al medio a través del cual se contactó a la víctima. Si bien el phishing generalmente recuerda a los correos electrónicos, los atacantes están más que dispuestos a utilizar cualquier forma de contacto potencial con las víctimas. Esto puede incluir vishing (como el engaño de voz del CEO antes mencionado) y la inclusión de una persona (aparente) al otro lado de la línea puede infundir aún más un sentido de urgencia en las víctimas.
IBM publicó datos que demostró que la inclusión de vishing en una campaña aumentaba sus posibilidades de éxito hasta en un 300%. En smishing, por otro lado, los atacantes utilizan mensajes de texto para lograr el mismo objetivo.. La forma en que estos diversos mensajes y correos electrónicos llegan a sus víctimas es tan multifacética como los propios atacantes: la forma más básica es el phishing masivo. Se envían correos electrónicos muy similares, generalmente basados en una plantilla, a millones de destinatarios a la vez. Los atacantes masivos saben que el phishing es simplemente un juego de números: envíalos a suficientes personas y eventualmente alguien será víctima. Estos correos electrónicos son lo más genéricos posible y parecen provenir de bancos globales y grandes empresas en línea. Los temas comunes son correos electrónicos falsos para restablecer contraseñas y solicitudes de actualizaciones de atención crediticia. El phishing en los motores de búsqueda, por otro lado, intenta generar víctimas "orgánicas"; Los atacantes crean sitios web maliciosos que luego ocupan un lugar suficientemente alto en los resultados de búsqueda de Google como para que las víctimas asuman que son legítimos. En las plataformas de redes sociales, los pescadores phishers atrapan a sus víctimas haciéndose pasar por cuentas oficiales de empresas de confianza. Cuando un cliente se comunica con ellos, estas cuentas falsas se aprovecharán de sus consultas e inquietudes para recopilar su información personal y los datos de su tarjeta de crédito.
Ataques de cebo
Mientras que el phishing a menudo se basa en tácticas de urgencia de alta presión, los ataques de cebo inducen a las víctimas a actuar en contra de sus mejores intereses. En 2020, el FBI emitió una advertencia a organizaciones con sede en Estados Unidos; Se descubrió que el notorio grupo de cibercrimen FIN7 había estado utilizando unidades USB maliciosas para entregar ransomware a múltiples organizaciones. Estos USB se enviaron como paquetes de avisos de seguridad pública y relaciones públicas; Se encontró que un paquete incautado imitaba al Departamento de Salud de EE. UU., haciendo referencia a las pautas de Covid-19, y otro intentaba imitar un paquete de regalo de Amazon, repleto de tarjetas de regalo falsas y el USB malicioso.
Ataques de seguimiento
El tailgating, o el llevar a cuestas, surge de ideas en torno a la seguridad del perímetro físico. En este caso, un atacante sigue de cerca a una persona legítima y autorizada hasta el área que contiene activos valiosos. El seguimiento digital es una de las formas más simples de ciberataque y depende en gran medida del descuido de los empleados. Esto puede parecer como si un empleado dejara su dispositivo desatendido mientras iba al baño en su biblioteca local; así es legítimamente como El FBI detuvo a Ross Ulbricht, propietario del sitio web de venta de drogas Silk Road, en 2013.
Ataques de pretexto
Los ataques de pretexto implican que el atacante cree una situación creíble pero falsa para la víctima. Una vez que han creído la mentira, las víctimas se vuelven mucho más manipulables. Por ejemplo, muchos ataques de pretexto se centran en que la víctima se ve afectada por una violación de seguridad y luego se ofrece a solucionar el problema, ya sea tomando el control remoto del dispositivo de la víctima por parte de su 'soporte de TI' o proporcionando información confidencial de la cuenta. Técnicamente, casi todos los intentos de ingeniería social implicarán cierto grado de pretexto, gracias a su capacidad para hacer que la víctima sea más maleable.
Ataques quid pro quo
Los ataques quid pro quo utilizan el método de cebo (colgar un bien o servicio deseable) frente a la cara de la víctima, pero sólo cuando la víctima da información personal a cambio. Ya sean ganancias falsas de concursos o un cuestionario sobre "¿qué princesa de Disney eres?", la información proporcionada por estos ataques puede contribuir a ataques más graves en el futuro.
Ataques de terror
Scareware describe cualquier forma de malware que tiene como objetivo asustar a sus víctimas para que compartan información o descarguen más malware. Si bien los mensajes falsos de soporte técnico son el ejemplo tradicional, los ataques más nuevos utilizan plenamente los sentimientos de miedo y vergüenza. Recientemente, se robaron direcciones de correo electrónico de un sitio web de contratación y se enviaron ofertas de trabajo falsas a cada uno de ellos; Al hacer clic en el documento adjunto se iniciará la descarga de un virus troyano. El ataque se dirigió específicamente a direcciones de correo electrónico corporativas, sabiendo que los empleados que fueran víctimas dudarían en decirles a sus empleadores que habían sido infectados mientras buscaban un empleo alternativo.
Ataques de abrevadero
Finalmente, los ataques de abrevadero hacen que los atacantes apunten a páginas web populares legítimas. Al inyectar código malicioso en sitios comúnmente frecuentados por los objetivos, los atacantes pueden atrapar indirectamente a las víctimas mediante descargas no autorizadas y robo de credenciales.
Cómo identificar ataques de ingeniería social
Los ataques de ingeniería social tienen tanto éxito gracias a su capacidad de pasar desapercibidos como tales. Por lo tanto, reconocer un ataque (preferiblemente antes de que te atrape) es una parte clave de la prevención de ataques. Aquí están los 6 identificadores principales de un intento de ataque de ingeniería social:
Remitente sospechoso
Una de las formas más sencillas de hacerse pasar por una empresa legítima es la suplantación de correo electrónico. En este caso, la dirección del atacante será casi idéntica a la de la organización genuina, pero no del todo. Algunos caracteres pueden cambiarse ligeramente o omitirse por completo; Esto puede resultar increíblemente engañoso, como cambiar una 'I' mayúscula por una 'l' minúscula.
Saludos y despedidas genéricas.
Los correos electrónicos masivos de phishing casi siempre utilizarán un saludo genérico como señor o señora. Sin embargo, el material de marketing genuino generalmente comienza con un nombre, ya que las organizaciones confiables normalmente utilizarán los datos de contacto incluidos en su base de datos. Esta forma de contacto de organizaciones confiables también se extenderá hasta el final del correo electrónico, ya que la firma del remitente a menudo incluirá información de contacto. La combinación de un saludo genérico y la falta de información de contacto es un fuerte indicador de phishing.
Hipervínculos y sitios web falsificados
Una de las formas más sencillas de comprometer un dispositivo es a través de un sitio web cargado con código malicioso. Gracias al formato de hipervínculos de los dispositivos modernos, cualquier texto puede vincularse a cualquier URL. Si bien es posible verificar esto en una PC al pasar el cursor sobre el enlace y evaluar su validez, los usuarios de dispositivos móviles y tabletas corren un mayor riesgo de hacer clic sin darse cuenta. Para empeorar la aparición de hipervínculos falsificados, los atacantes tienen la capacidad de imitar fielmente sitios web legítimos, añadiendo capas de credibilidad a un ataque. Una URL falsificada seguirá el mismo patrón que una dirección de correo electrónico falsificada: una variación en la ortografía o el dominio, como cambiar .gov a .net, son algunas de las técnicas más exitosas.
Destinos secundarios
Es muy común que el material de marketing y otros mensajes incluyan documentos adjuntos. Los atacantes hacen uso de esto dirigiendo a la víctima a un documento genuino (o sitio de alojamiento) que a su vez dirige a la víctima a una página maliciosa. Esta técnica se aplica comúnmente a equipos de empleados que cooperan regularmente en el trabajo. Si un documento legítimo incluye un enlace a un archivo malicioso, no sólo es más creíble para sus víctimas, sino que también evita los mecanismos de seguridad básicos de la bandeja de entrada.
Ortografía y diseño
El indicio más obvio de ataques de phishing: mala gramática y ortografía. Las organizaciones acreditadas casi siempre dedican tiempo a verificar y corregir la correspondencia de los clientes. Al mismo tiempo, la mala gramática asociada con el arte de la ingeniería social de los ataques de hackers humanos actúa como un mecanismo de filtrado inherente. Los atacantes no quieren perder el tiempo tratando con gente sospechosa: aquellos que caen en la mala gramática y ortografía son lo suficientemente vulnerables como para ser presa fácil.
Archivos adjuntos sospechosos
Los correos electrónicos no solicitados que solicitan al usuario que descargue y abra archivos adjuntos deberían hacer sonar las alarmas. Cuando se combina con un tono de urgencia, es importante redirigir este pánico a una sensación de precaución. En casos de vulneración del correo electrónico empresarial, es posible que incluso mensajes increíblemente cortos desaten un caos generalizado: recibir un correo electrónico de un alto ejecutivo que diga: "Necesito imprimir este documento, en mi escritorio en 10 minutos" podría engañar a un pasante y pasarlo por alto. error gramatical por miedo.
Cómo prevenir ataques de ingeniería social
Si bien es común ver los ataques de phishing como un problema puramente individual, existe una demanda creciente de ver la prevención de la ingeniería social como un esfuerzo colectivo. Después de todo, los atacantes simplemente están utilizando como arma las respuestas naturales de los usuarios al miedo y al pánico. La protección de una organización (y de sus usuarios) se reduce a tres áreas clave.
#1. Capacitación en concientización sobre seguridad
En primer lugar: dar a los empleados las herramientas para defenderse. La capacitación en concientización sobre seguridad debe ser relevante para sus usuarios, al tiempo que enfatiza algunas reglas unilaterales. Los empleados deben comprender que no deben hacer clic en enlaces en ningún correo electrónico o mensaje. En cambio, necesitan desarrollar el hábito de simplemente buscar una versión legítima. Las velocidades modernas de Internet hacen que esto sea una solución fácil.
La higiene de las contraseñas es, en este punto, un recordatorio que todo empleado ha escuchado mil veces. Dadas las docenas de cuentas en línea que cada persona tiene ahora, las contraseñas únicas y complejas sólo son realmente factibles mediante el uso de un administrador de contraseñas. Apoyar a los empleados de esta manera puede contribuir en gran medida a limitar el radio de explosión de los ataques exitosos.
Por último, los empleados deben comprender que todos somos vulnerables. La filtración de información personal a través de las redes sociales es lo que impulsa la exitosa industria del phishing de ballenas. Si bien es bueno tener en cuenta que las escuelas, las mascotas y los lugares de nacimiento deben mantenerse fuera del ojo público, a algunos empleados les puede resultar más fácil establecer preguntas de seguridad que sean memorables pero técnicamente falsas. Por ejemplo, establecer la pregunta de seguridad "¿A dónde fuiste a la escuela?" con 'Hogwarts' podría despistar por completo a cualquier atacante entrometido.
#2. Políticas de control de acceso
Controlar el acceso a cada punto final es una parte vital de la prevención de la ingeniería social. Desde el usuario hasta los procesos de autenticación, es necesario que haya un control estricto sobre quién accede a qué. Los usuarios finales necesitan bloquear las computadoras y los dispositivos cada vez que se alejan; esto debe reforzarse y automatizarse mediante breves temporizadores de apagado. Cuando los dispositivos se utilizan en espacios públicos, deben mantenerse en posesión de los empleados en todo momento. Toda autenticación debe reforzarse con MFA. Esto puede anular por completo la amenaza de BEC y el robo de credenciales de inicio de sesión.
En última instancia, simplemente verificar la identidad con una huella digital o con un teléfono puede marcar la diferencia entre un correo electrónico falsificado que se detecta y un ataque BEC que causa millones en daños.
#3. Tecnologías de seguridad
Los empleados deben recibir soporte completo con un conjunto completo de tecnologías de seguridad. Por ejemplo, si el filtrado de spam de un programa de correo electrónico todavía permite que lleguen correos electrónicos sospechosos a las bandejas de entrada, los filtros de terceros pueden ayudar a monitorear y prevenir ataques de ingeniería social con un enfoque de lista negra de URL. Si bien la prevención basada en la bandeja de entrada es importante, quizás lo sea más la implementación de seguridad del navegador de alta calidad. Idealmente, esto combatirá rootkits, troyanos y falsificaciones de robo de credenciales, ofreciendo una protección de alcance mucho más profundo que el reconocimiento parcial de URL.
La solución LayerX
La extensión de navegador de LayerX, orientada al usuario, ofrece un enfoque único e integral para combatir los ataques de ingeniería social. Las sesiones del navegador se monitorean en la capa de aplicación, lo que brinda visibilidad completa de todos los eventos de navegación. Cada página web puede ir un paso más allá del proceso de "bloquear o denegar", con un análisis en profundidad que permite la neutralización de amenazas en tiempo real. De esta manera, la aplicación granular puede evitar que incluso los ataques BEC más avanzados entreguen cargas útiles. En lugar de depender de un enfoque paso a paso a través de listas de bloqueo de DNS, el enfoque preparado para el futuro de LayerX combina inteligencia de amenazas de vanguardia con una aplicación profunda en cada punto final.