Social media abre puertas a la ingeniería social

Los días de ataques de ingeniería social reservados a gobiernos y organizaciones con enemigos han acabado.
La ingeniería social es un tipo de ataque astuto y manipulador que necesita algo más que habilidad técnica. Hay un aspecto psicológico y a menudo emocional que lo acompaña. Un hacker que compromete una organización a través de la ingeniería social ha dominado el arte de manipular a la gente para realizar acciones o divulgar información confidencial a través de diversos medios. Así que por lo general, la víctima no sabe que se la están jugando. Los hackers utilizan técnicas de ingeniería social en combinación con otras formas de ataque para abrir una brecha en empresas y recopilar datos.
Las empresas no suelen pensar en la ingeniería social al proteger los datos de la compañía, ya que no es un ataque común como DDoS o intrusiones en aplicaciones web de firewall, pero la ingeniería social puede ser brutal y convierte en cómplices sin saberlo a empleados inocentes. Con más de 500 millones de personas participando en algún tipo de redes sociales, la ingeniería social es mucho más fácil de lograr. Añadir la ingeniería social a la lista de ataques a empresas debe mantenerte prevenido.

Tus empleados están en Facebook, LinkedIn, Twitter y Quora y  están añadiendo información personal a la Web todos los días. La mayoría de las personas no se da cuenta de la cantidad de información personal que hay disponible online. Huelga decir que nos hemos convertido en cómodos compartiendo cositas personales que solían estar reservadas para uso privado, conversaciones cara a cara. Este es el tipo de carnaza en la que los ingenieros sociales se basan para lanzar un ataque. Una simple búsqueda en spokeo.com o cualquier otro de una serie de sitios basta para engañar a alguien rápidamente.

 Si yo fuera un hacker y quisiera hacer algo reconocido en una empresa, no necesito mirar más allá de los sitios sociales de sus empleados. Puedo usar esa información para lanzar un ataque de ingeniería social en su empresa. Así es como podría desarrollarse un escenario común:

Supongamos que soy una persona con malas intenciones y quiero obtener todos los datos de la cuenta de usuario y registros de una organización en particular. Su seguridad física es relativamente buena, y he fracasado en los intentos de alto nivel para obtener cualquier tipo de información de los empleados. No tengo nada. Está bien. Vamos a pasarnos por LinkedIn y hacer una búsqueda de empresas de esta organización. Es muy fácil – Ahora tengo una lista de posibles objetivos, sus títulos laborales, historial laboral, historial de educación, organizaciones afiliadas, contactos de negocios y en algunos casos sus fotos. ¿Y a mi qué? Dirás. Este tipo de información es inestimable cuando haces un perfil de tus objetivos. Con la información aquí, puedo reducirlo a unos pocos objetivos basándome en lo que estoy tratando de encontrar, me acerco a información más íntima relacionada con su familia, amigos y aficiones en Facebook y tengo un perfil muy específico sobre los posibles objetivos. Armado con esta información, sería fácil falsificar un mensaje de texto de un contacto de negocios o de su cónyuge para pedirles que visiten un sitio web que contenga malware y exploits. Podría usar su información sobre aficiones para tentarles a hacer clic en un enlace o abrir un archivo adjunto de un correo electrónico cuidadosamente diseñado que me permita planificar un virus. En un nivel más avanzado y a un nivel mucho más nefasto, podría construir un perfil de geolocalización de la información de localización contenida en los mensajes y fotos. Todo lo que tendría que hacer es esperar a alguien que trabaje en una cafetería y se aleje de su maletín un momento para deslizarle una unidad USB cargada con binarios auto ejecutables que le acaben conectando a un ordenador. Todo esto suena muy a “Misión Imposible”, pero te aseguro, es más que posible, y sucede lo suficiente como para prestarle atención.

Las posibilidades de la ingeniería social son numerosas, y los empleados tienden a dejar sus propias migas de pan. Situaciones similares ya han pasado. El pasado mes de octubre robaron 150.000 dólares de un negocio de EE.UU. a través de un ataque de ingeniería social. Según una alerta del FBI, “El malware fue incluido en un correo electrónico de respuesta a una oferta de trabajo dirigida a la empresa colocada en un sitio web de empleos y permitía al atacante obtener las claves de banca online de la persona que estaba autorizada a llevar a cabo transacciones financieras en la empresa”. “El actor malicioso cambió la configuración de la cuenta para permitir el envío de transferencias bancarias, una a Ucrania y dos a cuentas nacionales. El malware ha sido identificado como una variante de Bredolab, svrwsc.exe. Este malware se conectó con el troyano Zeus / Zbot, que es comúnmente utilizado por los ciberdelincuentes para estafar a empresas de EE.UU. “.

Y en agosto, en la conferencia Defcon 2011 en Las Vegas, un concurso de hackers reveló las vulnerabilidades de ingeniería social, cuando los participantes del concurso fueron capaces de acceder a datos de Oracle, Apple y AT & T a través de los empleado incultos e ingenuos.

¿Qué se puede hacer para prevenir la ingeniería social?
La clave para prevenir un ataque de ingeniería social consiste en la formación y la confianza de tus empleados. La seguridad ya no es sólo un problema a resolver para el departamento de TI – es para toda la empresa y cada uno tiene que hacer su parte.

• Poner en práctica algún tipo de formación frecuente de concienciación de seguridad para toda tu empresa, que incluya información sobre la ingeniería social. “Frecuente” es la palabra clave – no permitas que los empleados se duerman en los laureles.
• Crear, aplicar y hacer cumplir una política de social media para tu organización. Educar a los empleados en los riesgos potenciales asociados a compartir en los medios de comunicación social y su potencial para causar daños a la organización y la vida personal los empleados. Referencia a pleaserobme.com e incluye aspectos específicos sobre qué hacer y qué no hacer.
• Asegúrate de que utilizas un modelo de seguridad positivo lógico y administrar privilegios con una mentalidad de “el mínimo acceso necesario”. Menos gente con acceso a datos sensibles, desde un punto de vista de una red y un acceso lógico, reduce significativamente el riesgo de pérdida de datos en un ataque de ingeniería social.

Antes se creía que la ingeniería social estaba reservada a los gobiernos y las organizaciones con enemigos. Sin embargo, cada vez más es tan corriente como cualquier otro tipo de cibercrimen, y los social media hacen mucho más fácil organizar un ataque. La respuesta está en la educación de los trabajadores y, al igual que con cualquier otro tipo de medida de seguridad, la diligencia.

Fuente: SecurityWeek

No related posts.