fbpx
Top

Ataques de Ingeniería social: 5 formas y defensas 

Spear phishing

Ataques de Ingeniería social: 5 formas y defensas 

Como refería ESET en un informe reciente, los ataques de ingeniería social evolucionan a nuevas formas como los SIM Swapping.

Por: Josh Fruhlinger | Original de IDGN

 

Sí, la ciberpandemia ha demostrado que puede desplegar tantas variaciones y mutaciones como las del SAR-CoV2. O peor. 

Después de todo, al utilizar la psicología humana para obtener los accesos a nuestras cuentas y bienes, los ataques de ingeniería social se convierten en terrorismo. Así, además de depredar los bienes de personas, naciones y empresas, amenazan la tranquilidad y confianza en los entornos en los que tienen que operar. 

Y, aunque puedas creer todo esto es un movimiento reciente, lo cierto es que ya conoces varios tipos de ataques. No deberían tomarte por sorpresa. 

Recordemos entonces los cinco tipos más frecuentes de ataques de ingeniería social:

1. Phishing

Todos conocemos de que se trata la simulación de una identidad para defraudar. 

Allí, también, se incluye sus distintas versiones  llamadas: 

  • Smishing basado en texto 
  • Y Vishing, la forma mad nueva que utiliza suplantación basadas en voz

Estos ataques suelen ser de bajo esfuerzo pero ampliamente difundidos.  

Por ejemplo, un phisher puede enviar miles de correos electrónicos idénticos con la esperanza de que alguien sea lo suficientemente crédulo para hacer clic en el archivo adjunto.

2. Spear phishing o Whaling

En esta variación de phishing la principal distinción es que la misma es de “alto contacto”, para objetivos de alto valor.  

Los atacantes dedican tiempo a investigar a su víctima, la cual suele ser una persona con un estatus alto de mucho dinero. 

Este trabajo apunta a separarlos de fuertes cantidades. El tiempo invertido procura crear comunicaciones de estafa únicas y personalizadas.

3. Hostigamiento 

Es una parte clave de todas las formas de phishing y otras estafas: siempre hay algo para tentar a la víctima, ya sea un mensaje de texto con la promesa de una tarjeta de regalo gratis o algo mucho más lucrativo o lascivo.

4. Pretextar o Embaucar

Esto implica crear una historia o un pretexto para convencer a alguien de que entregue información valiosa o acceso a algún sistema o cuenta.  

Un embaucador, cuentero o pretextador podría encontrar parte de sus datos de identificación personal y usarla para engañarlo.

Por ejemplo, si sabe qué banco usa, podría llamarlo y decir que es un representante de servicio al cliente que necesita saber su número de cuenta  para ayudar con un pago atrasado. 

O podrían usar la información para imitarlo: esta fue la técnica utilizada por los IP de HP y que ha sido documentada. 

5. Emails promocionales 

Los fraudes por correo electrónico comercial combinan varias de todas las técnicas antes mencionadas. 

Un atacante obtiene el control de la dirección de correo electrónico de una víctima o logra enviar correos electrónicos que parecen provenir de esa dirección. Luego comienza a enviar emails a los subordinados en el trabajo, solicitando la transferencia de fondos a las cuentas que controlan.

Ataques de Ingeniería social

Defensas contra ataques de ingeniería social

Afortunadamente, como la mayoría de estas prácticas no son nuevas, hay probadas defensas para evitar ser víctimas de cualquier de ellas.

El CSO, Dan Lohrmann, ofrece los siguientes cinco consejos:

1. Entrenar y volver a entrenar cuando se trata de conciencia de seguridad

Asegúrese de contar con un programa integral de capacitación en concientización sobre seguridad, que se actualice regularmente para abordar tanto las amenazas generales de phishing como las nuevas ciberamenazas específicas. 

Recuerde, no se trata solo de hacer o no clic en los enlaces.

 2. Proporcione un “espectáculo itinerante” informativo detallado sobre las últimas técnicas de fraude en línea para el personal clave

Sí, incluya a los altos ejecutivos. Pero no olvide a nadie que tenga autoridad para realizar transferencias electrónicas u otras transacciones financieras.

Recuerde que muchas de las historias reales que involucran fraude ocurren con personal de nivel inferior que h sid engañado, haciéndoles creer que un ejecutivo les está pidiendo que realicen una acción urgente, por lo general, sin pasar por los procedimientos y/o controles normales.

3. Revisar los procesos, procedimientos y separación de funciones existentes para las transferencias financieras y otras transacciones importantes

Agregue controles adicionales, si es necesario. Recuerde que la separación de funciones y otras protecciones pueden verse comprometidas en algún momento por amenazas internas,.

Debido a que ello, es posible que sea necesario re-analizar las revisiones de riesgos a causa del aumento de las amenazas.

4. Considerar nuevas políticas relacionadas con transacciones “fuera de banda” o solicitudes ejecutivas urgentes

Un correo electrónico de la cuenta de Gmail del director ejecutivo debería alertar automáticamente al personal, pero es necesario que comprendan las últimas técnicas implementadas por el lado oscuro. 

Necesita procedimientos de emergencia autorizados, que todos entiendan bien.

5. Revise, perfeccione y pruebe sus sistemas de informes de phishing y gestión de incidentes

Ejecute un ejercicio de simulación tanto con la gerencia como con el personal clave de manera regular. 

Revise en ellos los controles de prueba y las áreas potenciales de vulnerabilidad mediante ingeniería inversa.

Periodista apasionada por la innovación, la tecnología y la creatividad. Editora de The Standard CIO y Factory Pyme para The HAP GROUP