Ingeniería social, el arte del engaño

El concepto ingeniería social se refiere a una serie de técnicas que se utiliza en Seguridad informática , bien sea por profesionales del sector o bien sea por ciberdelincuentes, con la finalidad de obtener, a través del engaño a usuarios legítimos, información privada sobre su entorno, y así poder realizar ataques más sofisticados sobre el mismo, como acceso a los sistemas, fraude o robo de información entre otros.

Desde CSIRT-cv hemos querido explicar de manera más detallada en qué consisten algunas de las técnicas de ingeniería social que más se utilizan por los ciberdelincuentes para que el ciudadano sepa identificar este tipo de engaño y no caiga en la trampa. Para ello hemos desarrollado durante las últimas semanas una campaña de concienciación que, como las anteriores, se ha llevado a cabo en las redes sociales en las que CSIRT-cv está presente, Facebook (https://www.facebook.com/csirtcv) y Twitter (@csirtcv) a través de consejos diarios.

Esta campaña la hemos titulado "Ingeniería Social, el arte del engaño" y a continuación os dejamos un resumen de la misma:

Una de las técnicas de ingeniería social que mas se usa es la de un supuesto empleado de un banco que bien sea telefónicamenteo a través de un correo fraudulento, os pide datos sobre vuestra cuenta bancaria (sobre tarjetas de crédito, contraseñas,etc).

Phishing

A través del correo electrónico o redes sociales también nos suelen llegar muchos ataques de ingeniería social, por ejemplo aquellos mensajes que nos llegan en los que suele haber un fichero adjunto o te indican que pinches en un enlace para"ver unas fotos íntimas de algún famoso", o "fotos supuestamente tuyas". Lo que pretenden es que te infectes con algún tipo de malware para robarte información. Hay que tener mucho cuidado sobre donde se pincha y que adjuntos abrir, sobre todo si no sabemos la procedencia del correo. tc),os pide que rellenéis un formulario, contestéis al correo u os redirige a una página idéntica a la del banco, pero falsa para que metáis vuestros datos. Hay que recordar que el banco nunca se pondrá en contacto contigo para pedirte este tipo de datos vía correo o teléfono. Ante la duda no deis ningún dato nunca, y preguntad en el banco.

Al hilo del consejo anterior y con el objetivo de realizar una navegación por internet lomás segura posible, en esta sección denuestro portal se muestran una serie deherramientas que ayudan a proteger yavisar al usuario ante posibles riesgos.

A través de la simple "observación" muchos estafadores pueden están recopilando información sobre nosotros (nombre,número DNI,domicilio...) que luego pueden intentar utilizarla para engañarnos. Cuando alguien intente a través de cualquier medio obtener información sensible vuestra (número de tarjeta de crédito, pin, contraseñas...etc) desconfiad aunque parezca que os conoce! Aquí os dejamos una interesante lectura sobre ingeniería social y lo fácil que puede ser conseguir datos.

basureo

Otra técnica de ingeniería social que utilizan mucho los estafadores que tienen acceso físico a nuestro entorno es el 'basureo', es decir, rebuscar entre nuestra papelera cualquier tipo de documento que pueda incluir datos privados nuestros que luego puedan utilizar en nuestra contra. Debemos custodiar de manera adecuada cualquier documento que incluya información sensible nuestra y destruirlo antes de tirarlo a la papelera para que nadie pueda obtener nuestros datos (recibos del banco, nóminas, facturas, etc)

Es muy importante en el trabajo tener una política de escritorios limpia y no dejar "a la vista" ningún documento que incluya información sensible que pueda ser utilizada en nuestra contra así como no olvidar nunca recoger de la impresora documentos que hayamos impreso y contengan información confidencial. Una persona malintencionada podría robarnos esa información y usarla para fines maliciosos.

Hoy en día sin darnos cuenta hacemos pública demasiada información nuestra sobre todo en redes sociales cuando activamos la geolocalización por ejemplo, en nuestros comentarios o nuestras fotos, si no tenemos bien configurada la cuenta cualquiera (no solo tus amigos) vería en cada momento donde nos encontramos y podrían estar espiando nuestros movimientos.

Al hilo del mensaje anterior aquí una interesante lectura sobre el peligro que supone compartir sin pensar demasiado fotos en las redes sociales y también os dejamos nuestra campaña de concienciación sobre la importancia de los metadatos.

Otra técnica de ingeniería social que es muy utilizada en los correos fraudulentos es presionarnos"metiéndonos mucha prisa" acerca de facilitar una información por ejemplo o cambiar una contraseña, normalmente alguien que se hace pasar por un administrador de sistemas de algún proveedor de correo. Correos del tipo "tienes que cambiar ya tu contraseña (pinchando en un enlace que nos lleva a un sitio falso) sino perderás tu cuenta de correo", o "el banco solicita que des tu número de tarjeta y pin sino será cancelada hoy mismo tu cuenta" hacen que nos pongamos nerviosos y reaccionemos sin pensar. Aquí os dejamos un artículo con algunas de las técnicas de ingeniería social más usadas.

FacebookTimos muy utilizados dentro de la ingeniería social son los del tipo "Adivina quién me ha quitado del MSN?", o "Adivina quién ha visitado tu perfil en Facebook". Pensemos con la cabeza fría y démonos cuenta de que ya de entrada esto suena cuando menos extraño...Este tipo de timos suelen llevarnos a algún enlace malicioso que nos suele robar las credenciales o infectarnos el equipo.

Haz un uso adecuado de los datos que proporcionas en Internet: fotos que subes, tratamiento de los metadatos de los archivos/fotos que intercambias, datos financieros, direcciones, etc. Cualquiera podría estar espiándonos y usar toda esa información para estafarnos o atentar contra nuestra intimidad. Recordemos nuestra campaña de concienciación sobre un uso seguro de los datos en la red.

Otro tipo de técnica de ingeniería social muy utilizada a través del correo electrónico consiste en el envío de correos que te ofrecen trabajo en el que obtendrás muchos beneficios, desde casa y trabajando solo unas horas!!, llamativo ¿no? normalmente detrás de eso suele haber una mafia de ciberdelincuentes que bien nos estafan o bien nos incitan a cometer un delito normalmente de blanqueo de dinero. Aquí os dejamos una nota de como detectar correos maliciosos.

¿Sabéis lo que es el Shoulder Surfing? Pues nada mas ni menos que una técnica de ingeniería social que consiste en mirar por encima del hombre para verte el pin en un cajero o pagando en un comercio, o mientras escribes contraseñas en tu móvil o teclado. Así que, tened cuidado de no tener a desconocidos husmeando a vuestro alrededor cuando utilicéis contraseñas y al teclear el pin en el cajero del banco tapad lo que podáis con la otra mano para evitar que os lo vean y luego os la roben.

Si no quieres que tu identidad sea suplantada o que alguien pueda tener acceso sitios a los que has accedido desde un ordenadorCorreo que no sea el tuyo, es muy importante que cuando acabes salgas de la aplicación cerrándola correctamente, y que te asegures de que no has aceptado que el navegador guarde tus contraseñas.

A través de algunas de las ya comentadas técnicas de ingeniería social es posible que averigüen nuestra fecha de cumpleaños, nombre de nuestra mascota, ciudad donde nacimos o nuestro equipo deportivo favorito así que por favor! no uséis estos datos como contraseñas!!! se recomienda utilizar contraseñas robustas compuestas por caracteres alfanuméricos y símbolos de puntuación, que sea larga y no contenta palabras que puedan encontrarse en un diccionario. Y por supuesto, cambiarla de vez en cuando y nada de dejarla apuntada en un sitio donde os la puedan ver. Cuidado también con la "pregunta secreta" si la usamos para recuperar nuestra contraseña. Elegid una pregunta cuya respuesta sólo SOLO sepáis vosotros y nadie pueda averiguarla.

Tags: facebook