fbpx
Top

Ingeniería Social, estas 5 creencias están equivocadas

Ingeniería Socia

Ingeniería Social, estas 5 creencias están equivocadas

Los ciberdelincuentes están lanzando ataques creativos para timar, mientras conceptos erróneos de ingeniería social  exacerban los riesgos.

Por Michael Hil | Original de IDGN

 

La ingeniería social está involucrada en la gran mayoría de los ataques cibernéticos. 

Pero un nuevo informe de Proofpoint ha revelado cinco supuestos o creencias comunes de ingeniería social que, no solo son incorrectos sino que son subvertidos repetidamente por los actores maliciosos en sus ataques.

Al comentar sobre los hallazgos del informe, Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas de Proofpoint, afirmó que el proveedor ha intentado desacreditar las suposiciones erróneas hechas por organizaciones y equipos de seguridad para que puedan proteger mejor a los empleados contra el ciberdelito.  

“A pesar de los mejores esfuerzos de los defensores, los ciberdelincuentes continúan defraudando y extorsionando a las empresas por miles de millones de dólares al año”. 

Por ello, destacó, los tomadores de decisiones centrados en la seguridad han priorizado reforzar las defensas en torno a la infraestructura física y basada en la nube, lo que ha llevado a que los seres humanos se conviertan en el punto de entrada más confiable para el compromiso.  

“Como resultado, se sigue desarrollando una amplia gama de contenidos y técnicas para explotar los comportamientos e intereses humanos”.

De hecho, los ciberdelincuentes llegarán a extremos creativos y ocasionalmente inusuales para llevar a cabo campañas de ingeniería social, lo que dificulta que los usuarios eviten ser víctimas de ellos.

Aquí hay cinco conceptos erróneos de ingeniería social que exacerban los ataques, según lo presentado por Proofpoint.

1.- Los actores de amenazas no tienen conversaciones con los objetivos

Según el informe, la noción de que los atacantes no invierten tiempo y esfuerzo en conversar con las víctimas para establecer una buena relación es errónea.  

Los investigadores de Proofpoint observaron que múltiples actores de amenazas enviaban correos electrónicos benignos para iniciar conversaciones el año pasado.  

“La ingeniería social efectiva se trata de generar sentimientos dentro de un usuario que lo impulsen mentalmente a interactuar con el contenido.  Al enviar correos electrónicos benignos con la intención de atraer al usuario a una falsa sensación de seguridad, los actores de amenazas sientan las bases para que una relación sea más fácilmente explotable”, se lee en el informe.

Proofpoint observó múltiples campañas de: 

  • Compromiso de correo electrónico comercial (BEC)
  • Distribución de malware 
  • Y amenazas persistentes avanzadas (APT)

Todas ellas alineadas con el estado de la nación que usaban conversaciones benignas para lanzar ataques. 

Este último incluida la actividad de los actores de amenazas TA453, TA406 y TA499.

2.- Los servicios legítimos están a salvo del abuso de la ingeniería social

Según Proofpoint, los usuarios pueden estar más inclinados a interactuar con el contenido si parece provenir de una fuente que reconocen y en la que confían. 

Es por ello que los actores de amenazas abusan regularmente de los servicios legítimos como los proveedores de almacenamiento en la nube y las redes de distribución de contenido para alojar y distribuir malware, así como los portales de recopilación de credenciales.  

El informe señala que los actores de amenazas pueden preferir distribuir malware a través de servicios legítimos debido a su probabilidad de eludir las protecciones de seguridad en el correo electrónico, en comparación con los documentos maliciosos.  

“Mitigar las amenazas alojadas en servicios legítimos sigue siendo un vector contra el que es difícil defenderse, ya que probablemente implique la implementación de una pila de detección robusta o el bloqueo de servicios basado en políticas que podrían ser relevantes para el negocio”, se lee.  

El análisis a nivel de campaña de Proofpoint identificó a OneDrive como el servicio abusado con mayor frecuencia por parte de los principales actores de delitos electrónicos, seguido de:

  • Google Drive
  • Dropbox
  • Discord
  • Firebase 
  • Y SendGrid

3.- Los atacantes solo usan computadoras, no teléfonos

Hay una tendencia a suponer que los ataques de ingeniería social se limitan al correo electrónico. 

Proofpoint detectó un aumento en los ataques perpetrados por actores de amenazas que aprovechan un ecosistema sólido de amenazas de correo electrónico basadas en centros de llamadas que involucran la interacción humana por teléfono.  

“Los correos electrónicos, en sí mismos, no contienen enlaces o archivos adjuntos maliciosos. Las personas deben llamar de manera proactiva a un número de servicio al cliente falso en el correo electrónico para interactuar con el actor de amenazas.  Proofpoint observa más de 250.000 de estos tipos de amenazas cada día”.

El informe identificó dos tipos de actividad de amenazas en los centros de llamadas

  • Uno que usa software de asistencia remota legítimo y gratuito para robar dinero
  • Y otro que usa malware disfrazado de documento para comprometer una computadora (frecuentemente asociado con el malware BazaLoader, a menudo denominado BazaCall).  

Ingeniería Socia

“Ambos tipos de ataques son lo que Proofpoint considera entrega de ataques orientados al teléfono (TOAD)”, agregó.  

Las víctimas pueden perder decenas de miles de dólares por este tipo de amenazas.

Proofpoint cita un ejemplo de una persona que perdió casi US$ 50.000 por un ataque de un actor de amenazas que pretendía ser un representante de Norton LifeLock.

4.- Responder a conversaciones de correo electrónico existentes es seguro

En lo que, probablemente, es la manera más artera e impensada de ataque, los estafadores explotan la sensación de confianza y seguridad que rodea las conversaciones de correo electrónico existentes a través del secuestro de hilos o conversaciones.  

“Un actor que usa este método se aprovecha de la confianza de la persona en la conversación de correo electrónico existente.  Por lo general, un destinatario espera una respuesta del remitente y, por lo tanto, está más inclinado a interactuar con el contenido inyectado”, escribió.

Para secuestrar con éxito una conversación existente, los actores de amenazas deben obtener acceso a las bandejas de entrada de los usuarios legítimos

Esto puede ocurrir de varias maneras incluidas: 

  • El phishing
  • Los ataques de malware
  • Las listas de credenciales disponibles en los foros de piratería 
  • O las técnicas de rociado de contraseñas

Los actores de amenazas también pueden secuestrar servidores de correo electrónico o buzones de correo completos y enviar, automáticamente, respuestas desde botnets controlados por ciberdelincuentes.  

“En 2021, Proofpoint observó más de 500 campañas que usaban secuestro de hilos, asociadas con 16 familias de malware diferentes. Los principales actores de amenazas, incluidos TA571, TA577, TA575 y TA542, utilizan, regularmente, el secuestro de hilos en las campañas”.

5.- Los estafadores solo usan contenido relacionado con el negocio como señuelo

Si bien los actores maliciosos a menudo se dirigen a los trabajadores de negocios, la suposición de que se basan en contenido relacionado con el misno como señuelo es incorrecta, dijo Proofpoint. 

De hecho, los actores de amenazas han estado aprovechando significativamente: 

  • Los eventos de actualidad
  • Las noticias 
  • Y la cultura popular… 

… para lograr que las personas interactúen con el contenido malicioso.  

El informe citó varias campañas del año pasado que adoptaron este enfoque, entre ellas:

  • Los ataques de BazaLoader aprovechan los temas del Día de San Valentín, como las flores y la lencería.
  • TA575 que distribuye el troyano bancario Dridex usando temas del programa de Netflix Squid Game dirigido a usuarios en los EE. UU.
  • Campañas temáticas del Servicio de Impuestos Internos (IRS) que aprovechan la idea de que a la víctima potencial se le debía un reembolso adicional para recolectar una variedad de información de identificación personal (PII)

Como consecuencia, hubo un promedio de más de seis millones de amenazas relacionadas con COVID-19 por día a lo largo de 2021

Las empresas deben capacitar a los empleados en tácticas de ingeniería social y desacreditar conceptos erróneos

Dada la creatividad de las tácticas de ingeniería social y los conceptos erróneos sobre los métodos que emplean los estafadores, las organizaciones deben comprometerse con su fuerza laboral para crear conciencia sobre las amenazas reales que plantea la ingeniería social y cambiar las creencias que pueden ser vulnerables a la explotación. 

“El curso de acción más impactante, para cualquier organización es cambiar la cultura hacia una postura en la que la identificación de las amenazas entrantes se entienda como relevante y necesaria. Esto significa alentar la familiarización con la amplia gama de amenazas de contenido que los actores pueden aprovechar e imponer pocos obstáculos para marcar más regularmente el contenido como potencialmente malicioso”, se lee en el informe de Proofpoint.

Para Raef Meeuwisse, consultor de ciberseguridad y autor de How to Hack a Human: Cybersecurity for the Mind, los empleados deben saber que las estafas de ingeniería social más convincentes a menudo parecen tan auténticas como muchas de las cosas con las que interactúan durante el día de trabajo de hoy. Potencialmente incluso más. 

“Lapsus$ fue tan lejos como para enviar solicitudes reales de autenticación multifactor móvil a través de la plataforma de seguridad real a empleados reales, y muchas de las solicitudes deshonestas fueron aprobadas por los destinatarios”, le refirió el experto a CSO.

Meeuwisse señala que la mejor manera de capacitar a los empleados para detectar la ingeniería social es alertarlos sobre cualquier situación que esté causando pánico repentino y urgencia para actuar sin demora agregando que, si los usuarios experimentan estos dos síntomas juntos, el 99,99% del tiempo están en el medio de ser estafado a través de la ingeniería social.  

“Y, por supuesto, los empleados deben estar capacitados para informar sobre posibles actividades de ingeniería social al grupo de respuesta a incidentes y, en caso de duda, solicitar su orientación”.

Sin embargo, sobre el tema de desacreditar los mitos de la ingeniería social, Meeuwisse también aconseja a las empresas que reconozcan que los riesgos no siempre provienen del exterior de una organización. 

“Lo que se olvida o se deja de lado por completo son los métodos para informar, verificar y monitorear a las personas que, intencionalmente, se han infiltrado en una posición para explotar una organización. Este es un problema mucho más grande de lo que muchas organizaciones piensan porque las infracciones sustanciales causadas por acciones internas deshonestas rara vez se revelan a los medios, sin embargo, las estadísticas señalan a los internos deshonestos como un gran problema”, dice.  

Señala que, si una organización hace pocas o ninguna verificación de antecedentes, no tiene un mecanismo para la denuncia anónima o (en dos casos que él ha visto) tiene un infiltrado deshonesto a cargo de investigar a otros infiltrados deshonestos,  entonces hay una gran brecha en sus redes sociales y otras  defensas de ingeniería social.

 

Periodista apasionada por la innovación, la tecnología y la creatividad. Editora de The Standard CIO y Factory Pyme para The HAP GROUP