Ciberseguridad

7/05/2018

Ciberseguridad

Como indica MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) , que es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, la ingeniería social es el abuso de la buena fe de las personas para que realicen actividades que interesan a un tercero, en este casi, un atacante.

Cada ataque de Ingeniería Social es único, pero con un poco de comprensión de las situaciones encontradas, podemos indicar un ciclo de vida de la amenaza aproximado de todas las actividades a las que afecta un proyecto de Ingeniería Social, estudiado a través de varios resultados exitosos. La representación general del ciclo de vida de ingeniería social en cuatro principales etapas sería:

Footprinting -> Relación de confianza -> Manipulación psicológica -> Salida.

Footprinting : Es la técnica de acumular información sobre el (los) objetivo (s) y el entorno ambiente. El Footprinting puede revelar a las personas relacionadas con el objetivo con quien el atacante tiene que establecer una relación, a fin de mejorar las posibilidades de un ataque exitoso.

La recopilación de información durante la fase de Footprinting incluye, pero no está limitada a:

  • Lista de nombres de empleados y números de teléfono
  • Organigrama
  • Información del departamento
  • Información sobre la ubicación

El Footprinting generalmente se refiere a una de las fases de preataque; tareas realizadas antes de hacer el ataque real de Ingeniería Social.

Algunas de las herramientas utilizadas por los atacantes e esta fase, serian: creepy, SET y Maltego, haciendo de la obtención de datos de compromiso de Ingeniería Social más fácil.

Relación de confianza: Una vez que se han enumerado los posibles objetivos, el atacante pasa a desarrollar una relación con el objetivo que generalmente es un empleado o alguien que trabaja en el negocio para desarrollar una buena relación con ellos. La confianza que está ganando el ingeniero social se usará luego para revelar piezas confidenciales de información que podría causar daños graves al negocio

Manipulación psicológica: En este paso, el ingeniero social manipula la confianza que ha ganado en la anterior fase para extraer tanta información confidencial u obtener operaciones confidenciales relacionadas al sistema de destino realizado por el propio empleado para penetrar en el sistema con mucha facilidad.
Una vez que se ha recopilado toda la información confidencial requerida, el ingeniero social puede pasar al siguiente objetivo o avanzar hacia la explotación del sistema actual bajo consideración.

Salida: Ahora, después de que se haya extraído toda la información real, el ingeniero social tiene que hacer una salida clara de manera pueda desviar cualquier tipo de sospecha innecesaria sobre sí mismo. Él se asegurará de no dejar ningún tipo de prueba de su visita que pueda llevar un rastro de su identidad real ni de que lo vincule a la entrada no autorizada en el sistema objetivo en el futuro.

Tipología de ataques de Ingeniería Social

Estos tipos de ataques pueden ayudar al atacante a obtener acceso a cualquier sistema independientemente de la plataforma, software o hardware involucrado. Mostraremos a continuación algunas de las técnicas más populares utilizadas para realizar un ataque de Ingeniería Socia:

Shoulder Surfing : Es un ataque de seguridad donde, el atacante usa técnicas de observación, como mirar por encima del hombro de alguien, para obtener información mientras se desempeñan alguna acción que implica el uso explícito de información sensible y visible. Esto puede ser realizado a corta distancia, así como a un largo alcance utilizando binoculares u otra visión mejorada de dispositivos.

Dumpster Diving: Muchas veces, grandes organizaciones descargan elementos como guías telefónicas de la compañía, manuales del sistema, organigramas, manuales de políticas de la compañía, calendarios de reuniones, eventos y vacaciones, impresiones de datos confidenciales o nombres de usuario y contraseñas, impresiones de la fuente código, discos y cintas, membretes de la compañía y formularios de notas, y hardware desactualizado descuidadamente en los contenedores de la compañía. Un atacante puede usar estos elementos para obtener una gran cantidad de información sobre la organización de la empresa y la estructura orgánica de la misma. Este método de búsqueda a través del contenedor de basura, en busca de información potencialmente útil , suele estar “no identificado” por los empleados de una empresa y es conocido como Dumpster Diving

Juego de roles: Es una de las armas clave para un ingeniero social. Implica persuadir o reunir información mediante el uso de una sesión de chat en línea, correos electrónicos, teléfono o cualquier otro método que nuestra empresa utilice para interactuar en línea con el público, pretendiendo ser un servicio de ayuda, empleado, técnico, indefenso o un usuario importante para divulgar información confidencial.

Caballo de Troya: Es uno de los métodos más predominantes actualmente utilizados por los piratas informáticos que implican engaños las víctimas para descargar un archivo malicioso al sistema, que en la ejecución crea una puerta trasera en la máquina que puede ser utilizada por el atacante en cualquier momento en un futuro y por lo tanto tener acceso completo a la máquina de la víctima.

Phising: Es el acto de crear y usar sitios web y correos electrónicos diseñados para parecerse a los de conocidos negocios legítimos, instituciones financieras y agencias gubernamentales para engañar a los usuarios de Internet para que revelen su información personal y afirmando falsamente ser una empresa legítima establecida en un intento de estafar al usuario en la entrega privada información que será utilizada para el robo de identidad.

Crawling Sitios web de organizaciones y foros online: Gran cantidad de información con respecto a la estructura de la organización, correos electrónicos, números de teléfono están disponibles abiertamente en el sitio web de la compañía y otros foros online. Esta información puede ser utilizada por el atacante para refinar su enfoque y crear un plan sobre a quién dirigirse y el método a ser utilizado

Ingeniería Social Inversa: Un ataque de ingeniería social inverso es un ataque en el que un atacante convence al objetivo que tiene un problema o puede tener un cierto problema en el futuro y que el atacante, está listo para ayudar a resolver el problema. La ingeniería social inversa implica tres partes:

Sabotaje: Después de que el atacante obtiene un acceso simple al sistema, corrompe el sistema o le da la apariencia de estar corrupto. Cuando el usuario ve el sistema en el estado corrupto, comienza a buscar ayuda para resolver el problema.

Marketing: Para asegurarse de que el usuario se acerca al atacante con el problema, el atacante se anuncia a sí mismo como la única persona que puede resolver el problema.

Soporte: En este paso, gana la confianza del objetivo y obtiene acceso a la información confidencial solicitada.

https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.Ws1LNpNubOR

Sharing is caring!

NOTICIAS RELACIONADAS

NOTICIAS RELACIONADAS
26/02/2021

App para dispositivos Android expone a millones de usuarios a fallas de seguridad.

La app para dispositivos Android SHAREit, desarrollada por Softonic para compartir archivos [leer más]

11/01/2021

Descubren y neutralizan extensiones maliciosas en Google Chrome.

Recientemente, la compañía de seguridad informática Awake Security descubrió una vulnerabilidad en [leer más]

31/08/2020

“Cablegate”

Aparecieron en línea más de 250.000 documentos del Departamento de Estado de [leer más]

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Todos los Derechos Reservados Siayec 2020 | Web by Dao Comunicación