No importa cuántas cerraduras ponga en la puerta de su sistema de seguridad, los criminales que usan técnicas de ingeniería social intentarán entrar. ¿Por qué destruir la puerta si puede pedirle a quien está adentro que le abra? Esa es la pregunta que plantea Lenny Zeltser, jefe del equipo consultor de seguridad en Savvis y miembro de la facultad del Instituto SANS.
“Generalmente hay un debate sobre qué es lo más peligroso: ¿la amenaza externa o la amenaza interna? Ya no hay distinción. Si tiene un intruso externo, y utiliza una ingeniería social, se vuelve un intruso interno, o un insider.”
Zeltser explica las cuatro formas en que los ingenieros sociales comprometen las defensas de seguridad de una persona y ganan fácil acceso a información sensible de las empresas.
1. Canales alternativos de comunicación
Los artistas de la estafa utilizan canales alternativos de comunicación, porque es ahí donde toman a la gente con la guardia baja, señala Zeltser.
“Los atacantes encuentran que sus víctimas son más susceptibles de ser influidas, cuando el atacante los involucra utilizando un medio distinto al que la víctima está acostumbrada”, indica.
Señaló, por ejemplo, la estafa que utilizaba volantes en los parabrisas. Los volantes alertaban a los conductores de que sus autos estaban “violando las regulaciones estándares del estacionamiento”, y les pedía que ingresaran en un sitio donde podían obtener más información.
“Si este mensaje le hubiera llegado por correo, probablemente no le hubiera hecho caso”, notó Zeltser. “Pero cuando la gente recibió esta notificación en el mundo físico, fuera del canal normal por el que están acostumbrados a estar en guardia, fueron a horribleparking.com y vieron algunas fotos de autos estacionados de manera inapropiada en su propia ciudad. Por supuesto, si ellos querían ver su propio vehículo estacionado de manera inapropiada, tenían que descargar un reproductor de medios. Si lo descargaban, se infectaban con una falsa herramienta antivirus”.
Zeltser también mencionó a las estafas de vishing, en las cuales las víctimas reciben correos de voz pidiéndoles contactar a su banco sobre actividades fraudulentas en su cuenta. La gente llama al número y mediante comandos de voz se les pide que ingresen información sensible, o es conectada con un falso representante del banco, “la gente confía más en la comunicación telefónica de lo que confía en las comunicaciones por correo electrónico”.
Las memorias USB son otro ejemplo de la explotación de un canal alternativo. Zeltser se refirió a un ejemplo reciente de un ataque usando memorias USB que extendió el gusano Conficker, y precisó que las víctimas generalmente no sospechan de las memorias USB y las meten en las máquinas sin pensarlo dos veces. Si bien solía ser un estándar para los usuarios de PCs escanear los discos flexibles, no existe el mismo protocolo para las memorias USB, “se fueron los floppys, y se nos olvidó la seguridad”, añade.
2. Mensajería relevante de manera personal
La gente no quiere sólo recibir correos electrónicos, quiere sus correos electrónicos, de acuerdo con Zeltser. Un mensaje que es personalmente más interesante va a obtener más atención, y los criminales saben eso.
Se refirió a la variante de un gusano que se extendió enviando spam a las víctimas con mensajes que aseguraban contener noticias de última hora que acaban de ocurrir en su ciudad natal. “Lograban la atención de la víctima debido a que utilizaban la base de datos de geo-ubicación para determinar de dónde vienen las víctimas y luego personalizaban este enlace”.
Por supuesto, si el receptor del mensaje falso quería leer más sobre la noticia local, tenían que descargar un video, y terminaban con malware.
Otra variación en esta clase de estafa involucra mensajes de spoofing (suplantación de identidad) para lucir como que vienen de una fuente confiable. Un ataque común- que se ha llevado a cabo últimamente- utiliza a la compañía de entregas UPS como “chivo expiatorio”. El mensaje de UPS asegura que ha habido un intento fallido de entregar un paquete, y le pide a la víctima imprimir una factura que debe llevar al centro de UPS para recogerlo.
Si lo imprime, probablemente será un ejecutable malicioso o un archivo PDF malicioso, y así es como ya lo tienen. “¿Cómo le decimos a nuestros usuarios que no abran adjuntos de gente que no conocen? Ya no es un consejo muy útil, debido a que los mensajes que llegan hasta ellos son de personas que se supone que conocen. Así que no es práctico”.
3. Conformidad social
Es parte de la naturaleza humana querer hacer lo que los otros están haciendo, anotó Zeltser. Y nuestra tendencia a seguir a la multitud nos hace víctimas de la ingeniería social. Los criminales saben que las personas estarán más inclinadas a confiar en algo que es popular, o recomendado por fuentes confiables.
Es esta clase de psicología la que lleva al éxito de los recientes ataques ‘likejacking’ en Facebook a principios de este mes. Los usuarios de Facebook fueron engañados haciendo que éstos indicaran que les “gustaban” sitios Web que aseguraban tener información sobre secretos o fotos de celebridades. En lugar de eso, las víctimas dieron clic a un sitio Web creado maliciosamente y producido por hackers que habían escondido un botón invisible bajo el mouse. Dar clic en el sitio Web raptaba el clic del mouse y causaba secretamente que a los usuarios “les gustara” la página Web. Esta actividad se publicaba luego en la página de Facebook de la víctima, y le daba legitimidad a la página maliciosa, causando que a otros también “les gustara”.
Los criminales también han explotado la conformidad social subiendo software malicioso a un sitio para compartir archivos, donde los adictos al software encuentran los últimos y mejores productos, señala Zeltser.
“Entonces el gusano seguía impactando las descargas para inflar artificialmente el contador de modo que el archivo flotara hasta la cima y apareciera como la descarga más popular”, explica. “Si a otras personas les gustó y lo descargaron, quiero ver lo que otros descargaron y, es así como entonces lo descarga”.
4. Dependencia en mecanismos de seguridad
Debido a que estamos tan acostumbrados a ciertos mecanismos de seguridad, y generalmente los tomamos por sentado, ya no nos están protegiendo, de acuerdo con Zeltser.
Zeltser volvió a contar la historia de una estafa que incluía un ingeniero social que llegaba a una tienda vestido como oficial de policía. Él le dice al encargado que han detectado billetes falsificados circulando por el área, y le da al encargado un lapicero especial, el cual le dice que puede ser utilizado para verificar dinero real o falso, y que pintará de rojo los billetes que no son legítimos.
Más tarde, alguien más llega y pasa un billete falso. El encargado marca el billete como posiblemente falso y utiliza el lapicero. Pero la tinta se vuelve verde, lo cual indica que está bien. Pero en realidad el lapicero en sí también es falso, y nunca hubiera descubierto un billete falso en primer lugar. Pero el encargado que cree en el policía, piensa que es así.
Lo mismo resulta cierto para las muchas actualizaciones de seguridad que los usuarios de computadora se han acostumbrado a obtener. Las actualizaciones de Flash, por ejemplo, se han utilizado en este tipo de explotación.
“Va a un sitio, obtiene un mensaje de error que dice que necesita descargar la última versión de Flash y la víctima no tiene forma de saber si están descargando una herramienta legítima. Pero nuestras víctimas han estado sujetas a estos mensajes una y otra vez, y están tan acostumbradas a los mecanismos de seudoseguridad de la actualización de Flash, que un atacante puede utilizarla contra ellos”.
¿Cómo mantenemos a los intrusos fuera? ¿Qué significan estas cuatro estrategias para la seguridad? Que el intruso externo puede volverse uno interno. Y hasta ahora, entrenar a los empleados para ser conscientes de la ingeniería social ha fracasado.
“Cuando observamos nuestra arquitectura de seguridad, necesitamos enfocarnos menos en las barreras externas”, señala. “Enfóquense más en lo que sucede dentro de la organización. Necesitamos poner más atención en la segmentación interna de recursos y en el monitoreo interno del tráfico que va hacia dentro y hacia afuera de su ambiente. Y dé a sus usuarios los mínimos privilegios que necesitan. No porque no confíe en ellos, sino porque sabe que pueden ser fácilmente estafados y está tratando de protegerlos”.
