Tag Archive: Ingeniería Social


650_1200

Un misterio está recorriendo la red y poniendo en alerta a algunos de los mayores expertos en seguridad online del mundo. Nadie sabe quién es, de dónde viene ni cuales son sus intenciones, de hecho ni siquiera se sabe si es real, pero todos nos recomiendan extremar las precauciones si entre nuestros contactos de LinkedIn se encuentra Jennifer White.

La voz de alarma la han dado en el blog de la empresa de seguridad F-Secure, en el que advierten de la existencia de varios perfiles pertenecientes a los trabajadores de una supuesta empresa de reclutamiento de talentos en LinkedIn, y quienes parecen estar dedicándose a mapear las actividades y los contactos de expertos en ciberseguridad de todo el mundo.

> El misterio de Jennifer White

La investigación por parte de F-Secure empezó cuando uno de esos perfiles, el de Jennifer White, intentó añadir a uno de sus investigadores. Investigando las fotografías no pudieron dar con un supuesto original de Jennifer que avisase de que es un perfil falso o que estuviese en otras redes sociales, pero sí descubrieron que el logo de su supuesta empresa se lo habían copiado a otra. Para más inri, el supuesto Twitter oficial de esa empresa no tiene ni imagen de perfil.

Talent Src 04

Aún no se sabe qué es lo que pretende este grupo de perfiles intentando hacerse amigos de grandes expertos en seguridad online, pero el haber encontrado varias cuentas con un mismo modus operandi ha puesto en alerta a algunos que han empezado a dar la voz de alarma en las redes sociales para que sus colegas extremen las precauciones.

Lo más desconcertante de todo es que después de conseguir establecer contacto con algunos de estos expertos y de que por inercia alguno de ellos verificase varios de sus supuestos talentos, todas estas cuentas desaparecieron de un día para otro dejándose por el camino muchas preguntas sin responder. Incluyendo la de si han conseguido lo que fuera que quisieran.

> ¿Alguien se acuerda de Robin Sage?

52848446robin Sage

Leyendo este misterioso caso es inevitable que echemos la vista cinco años atrás y nos acordemos del experimento Robin Sage, mediante el que el especialista en seguridad Thomas Ryan consiguió que los empleados de compañías y empresas del sector militar de Estados Unidos le facilitaran numerosos documentos e información confidencial.

Lo único que tuvo que hacer para conseguirlo fue crearse el perfil de una mujer atractiva y que supuestamente trabajaba en el departamento de seguridad militar de EE.UU. Consiguió contactar con numerosas empresas salvo la CIA y el FBI y conseguir información confidencial gracias a la inocencia de sus empleados y a que sospechaban no se molestaron en dar la voz de alarma.

Todavía es pronto para saber si esta tal Jennifer White y sus colegas estaban intentando realizar o no algún experimento similar, pero nos mantendremos atentos por si en algún momento sale nueva información relacionada a este caso y si se descubre qué era lo que se buscaba con estos perfiles.

Fuente | F-Secure

Intel-hacking-the-human-OS

El cibercrimen está en pleno auge. Un informe elaborado por Intel Security revela que las técnicas de los cibercriminales han evolucionado hasta el punto de que en la actualidad utilizan las mismas técnicas de venta que usan las empresas para extraer datos valiosos de clientes y empleados.

Según el informe, dos de cada tres correos que se envían en el mundo son «spam» y su único propósito es extorsionar a los receptrores para obtener dinero e información. Según la empresa McAfee Labs, se han detectado más de 30 millones de URLs sospechosas de enviar correos fraudulentos.

Las técnicas de los cibercriminales se han perfeccionado tanto en los últimos años que se estima que el 80% de los trabajadores no son capaces de detectar siquiera los timos de «phishing» más comunes y frecuentes. El Ministro de Asuntos Exteriores, José Manuel García Margallo, citaba un estudio el que se recoge que España es el tercer país con más ataques cibernéticos del mundo, tras Estados Unidos y Reino Unido. El número de ciberdelincuentes en 2014 superó los 70.000, lo que tiene una repercusión en las empresas españolas que pierden, cada año, más de 14.000 millones de euros a causa de los ciberataques. Todo ello implica que la ciberdelincuencia mueva más dinero que incluso el narcotráfico.

> Técnicas más sofisticadas

El informe de Intel Security, respaldado por el Centro Europeo del Cibercrimen de la Europol, revela además que las últimas técnicas de ingeniería social puestas en marcha por los cibercriminales son cada vez más sofisticadas y más difíciles de detectar. A través de estos métodos, los cibercriminales son capaces de conseguir que sus víctimas hagan cosas que normalmente no harían, actos que se suelen traducir en la pérdida de datos e información valiosa. Y también en cuantiosas pérdidas económicas y de reputación.

En el informe, denominado «Hacking the Human OS» y que llega apenas unos días después de que 100 bancos de todo el mundo hayan confirmado que han sufrido ataques de malware que les causó daños estimados en 1.000 millones de dólares, se recogen casos de ciberataques sofisticados. Las redes y ordenadores de los bancos sufrieron ataques de «phishing» demostrando la debilidad inherente en el «firewall humano» y la necesidad de educar a los empleados sobre las principales técnicas de persuasión en el mundo digital.

Los expertos en seguridad informática destacan un notable aumento en la sofisticación de las técnicas de ingeniería social. «Lo más común que nosotros vemos cuando investigamos brechas de datos es el uso de ingeniería social para obligar al usuario a hacer algo que facilite la infección de malware sin que sea consciente de ello», afirma Raj Samani, portavoz de Intel Security Europa, asesor el Centro Europeo del Cibercrimen de la Europol y uno de los autores del informe.

Paul Gillen, Director de Operaciones del Centro Europeo del Cibercrimen de la Europol, también comenta que los cibercriminales no necesitan necesariamente un gran conocimiento técnico para conseguir sus objetivos. «Confían en la manipulación psicológica para infectar los ordenadores de las víctimas a través de phishing, por ejemplo. Dichas víctimas son persuadidas para que abran adjuntos aparentemente legítimos o pulsen en un enlace en el cuerpo del correo electrónico que parece proceder de fuentes conocidas», señala.

El equipo de 500 investigadores de los laboratorios de McAfee Labs de Intel Security destaca el hecho de que dos tercios de los emails de todo el mundo son ahora «spam» destinado a la extorsión para obtener dinero e información confidencial del receptor. Esto supone que los consumidores y empleados deben estar alerta contra el «phishing».

«Las amenazas de ingeniería social son peores que el malware más intrusivo, ya que es más difícil protegerse frente a ellas. Especialmente porque el objetivo son las personas, no solo el sistema. En este sentido, la forma más eficaz de protegerse frente a estas amenazas es estar informado, y las empresas deben impulsar la educación en materia de seguridad, con el fin de mitigar los riesgos», comenta Javier Perea, director de Intel Security España.

La importancia de la seguridad y la gestión de políticas nunca han sido más evidentes. Sin embargo, otro reciente estudio de Enterprise Management Associates, destaca que solo el 56% de los empleados ha recibido algún tipo de formación en seguridad, protocolos o políticas.

> ¿Qué es la ingeniería social?

social_engineering_tutorial_thumbnail_by_shadowzknowledge-d66ihbj

La ‘ingeniería social’ es el arte de engañar a otros para conseguir algo, que puede ser desde que nos creamos el timo de la lotería hasta que dejemos que un virus se cuele en el ordenador. Los hackers saben mucho de ingeniería social, pues el ser humano que está ante el ordenador es siempre el eslabón más débil de la seguridad informática. Si nos cuentan una mentira bien aderezada, no dudaremos en pinchar un enlace malicioso, dar nuestra contraseña e incluso el número de tarjeta de crédito a quien nos la pide.

Hace unos años, una empresa realizó una curiosa encuesta a la salida del metro: preguntaba a los viajeros cuál era la contraseña de su correo electrónico, a cambio de un bolígrafo. La mayoría accedió al trato. Una de aquellas personas podría haber sido el secretario del presidente de una gran empresa y los encuestadores, agentes de la competencia que sabían que el secretario salía cada día a la misma hora de aquella estación, abriéndose así una importante brecha de seguridad en la compañía.

Grandes hackers de ayer y de hoy han usado la ingeniería social en sus ataques y algunos han llegado a ser auténticos maestros del engaño, como el hacker más famoso del mundo, el norteamericano Kevin Mitnick, quien ha escrito diversos libros sobre la materia. Según Mitnick, la ingeniería social se basa en cuatro principios básicos de pura psicología: todos queremos ayudar, siempre tendemos a confiar de entrada en el otro, no nos gusta decir que no y sí nos gusta que nos alaben.

Efectivamente, el arte de la ingeniería social precisa de buena psicología, así como de documentarse a fondo sobre a quién se va a engañar, especialmente cuando la víctima es un experto, supuestamente inteligente, de una compañía de telecomunicaciones o un agente de seguridad. La mayoría de estos engaños se llevan a cabo por teléfono, que permite tergiversar la voz y juega con la ventaja de no dejarse ver. Pero los hay también que se realizan en mundo físico, lo que añadirá un plus de peligrosidad y obligará al atacante a disfrazarse y hacer teatro, con gran sangre fría.

Los hackers de los años 80 y 90 fueron los primeros en usar la ingeniería social para conseguir llamadas gratuitas o poderse conectar a redes y sistemas informáticos prohibidos para ellos. Así como todo grupo que se preciase debía tener un buen ‘phreaker’ en sus filas, era también importante tener a un ingeniero social. Destacaba en este menester la gente que se movía alrededor de laBBS God’s House (La Casa de Dios), cuyo propietario, Agnus Young, era un experto en el tema.

El gallego Lester The Teacher, asiduo a God’s House y autor de un interesante Curso de Ingeniería Social, que se publicó por entregas en el foro’Hacking’, explica que Agnus tenía 14 años cuando montó la BBS. Era una de las personas que más sabían de “phreaking” en España a principios de los 90 y, según The Teacher, “escribía documentos que los demás hackers utilizaban para poder llamar gratis a cualquier lugar”.

Pero para escribir estos textos necesitaba documentación, manuales que eran propiedad privada de las compañías telefónicas y que conseguía con ingeniería social. Lester “The Teacher” lo explica: “Utilizando la terminología de algunos libros sobre el tema, llamó a una de las centrales catalanas en las que había una línea internacional importante y se hizo amigo de uno de los técnicos de noche. Se hizo pasar por un compañero nuevo de la casa y así consiguió que aquel técnico “mucho mas experimentado” le contara un montón de cosas que luego él utilizaba para sus pruebas. Pero no sólo consiguió información, su amigo técnico le dejaba una conexión abierta al exterior por la que luego Agnus llenaba el disco duro de una de las BBS del underground informático más importantes de la época “Gods House”. Había conseguido aquella conexión tras convencer a su “compañero de trabajo” que su familia residía fuera de España y así sus llamadas le salían mas baratas.”

Lo más curioso del caso, explica Lester, es que Agnus tenía la voz de un niño de 14 años y sin embargo pudo mantener conversaciones de alto nivel técnico sin que su “compañero” se percatase. Agnus era, según el gallego, un personaje altamente asocial pero a quien le encantaba regalar llamadas de cabinas a las ancianas. Otros asiduos a su BBS eran Omega, D-Orb, El Quijote o The Saint.

> Exceso de confianza

No pasaban de los 20 años y algunos protagonizaron arriesgadas operaciones de ingeniería social que les llevaron a introducirse físicamente en importantes empresas para conseguir información o acceso gratuito a las redes. Fue el caso de Omega, que relata The Teacher: “Caminaba despacio con aquella caja de herramientas metálica de color azul óxido en la mano y una bufanda al cuello que le protegía el rostro. Tenía 17 años aunque aparentaba más”.

Y sigue: “Llegó a la puerta de aquel edificio gris, más allá de la medianoche. No llevaba encima documentación alguna. Llamó al timbre y le habló la voz del vigilante:

-¿Quién es?

– Alberto de Sintel, al parecer alguien de tercer canal se ha quejado por una caída en las líneas de no sé qué hotel y me han sacado de la cama para que venga a mirarlo.

– Pasa, te abro que estás empapado.

El vigilante no le pidió ni un dato, ninguna identificación, ningún parte de avería. La cara de mala leche, las ropas de Omega y su conocimiento de los departamentos de Telefónica fueron suficientes.

Había más gente en las salas de monitorización del edifició aunque jugaban a las cartas y nadie le preguntó nada mientras subía a la sala donde estaba la centralita. Una “Pentaconta”. Había conseguido los manuales de aquellas salas llenas de cables y relés en una librería alemana de Madrid donde se especializaban en información sobre sistemas eléctricos y electrónicos de la industria. Si no lo tenían lo traían de donde fuera. Sólo le bastó una llamada a la librería comentando que preparaba oposiciones para Telefónica para que se lo enviaran sin problemas.

Sabía que el número que le interesaba pertenecía a la central en la que se encontraba. A través de una charla “casual” con un técnico de telefónica que fue a su casa a reparar su línea de teléfono supo cómo se organizaban las numeraciones en aquellos armarios de la central.

Tardó menos de 15 minutos en encontrar lo que buscaba y otros 5 en instalar el “Diverter” (para desviar llamadas). En total no estuvo más allá de 20 minutos en la central. Una vez ganada la confianza del vigilante, nadie le preguntó absolutamente nada. Utilizando aquel Diverter se realizaron llamadas durante un año entero por diversos hackers”.

Fuente | El Mundo

A %d blogueros les gusta esto: