7 nuevas tácticas de ingeniería social

Que los actores de amenazas están utilizando

0
48

Ha sido una época de auge para la ingeniería social. El pánico pandémico, la desesperación por el aumento de los ingresos y la preocupación por la salud y el bienestar han facilitado a los delincuentes el aprovechamiento del miedo.

La ingeniería social significa atacar al usuario más que al propio sistema informático, intentando extraer información o incitar a una acción que lleve a un compromiso. Es tan antigua como la mentira, con un nuevo nombre para la era de la informática -y eso es una metáfora perfecta de cómo evolucionan las tácticas de ingeniería social.

«Por lo general, se trata de los mismos trucos en una nueva envoltura y eso es exactamente lo que estamos viendo», afirma Perry Carpenter, director de evangelización y estrategia de KnowBe4, una empresa de formación en seguridad.

Como saben los profesionales de la seguridad, el envoltorio es importante, y un ataque conocido puede colarse en las defensas con una apariencia desconocida.

Aquí hay algunas tácticas que los expertos en ingeniería social dicen que están en aumento en 2021.

1- Códigos QR maliciosos
El fraude relacionado con los códigos QR ha aparecido en la pantalla del radar en el último año.

Los códigos QR -esos códigos matriciales en blanco y negro legibles por máquina y dispuestos en un cuadrado- se han convertido en una forma cada vez más popular para que las empresas se relacionen con los consumidores y presten servicios en medio de la COVID-19. Por ejemplo, muchos restaurantes han abandonado los menús en papel y, en su lugar, permiten a los clientes escanear un código QR con su smartphone. Del mismo modo, muchas Girl Scouts publicaron esta primavera códigos QR para pedir y entregar galletas sin contacto.

Pero muchos de los sitios web a los que los códigos QR envían a la gente son operados por terceros. Cuando se escanea, un código QR malicioso puede conectar los teléfonos a un destino malicioso, igual que si se hace clic en un enlace incorrecto. El mismo concepto, pero con una nueva envoltura.

«La gente puede condicionarse a asumir que el código y el sitio web son legítimos», anota Carpenter.

Los métodos de «entrega» de esta táctica de ingeniería social varían. Oz Alashe, CEO de la empresa de seguridad y análisis CybSafe, con sede en el Reino Unido, dijo que ha oído hablar de reparto de folletos en algunos barrios con códigos fraudulentos que prometen «Escanee este código QR para tener la oportunidad de ganar una Xbox».

«A menudo el código conduce a un sitio dudoso que descarga malware en su teléfono», señala Alashe.

2 – Secuestro de notificaciones del navegador
Los sitios web llevan varios años pidiendo a los visitantes que aprueben las «notificaciones» del sitio. Lo que antes era una forma útil de relacionarse con los lectores y mantenerlos al día, es ahora también una herramienta de ingeniería social.

«Se llaman notificaciones push y pueden ser un arma», sostiene Carpenter. «El problema es que muchos usuarios hacen clic a ciegas en ‘sí’ para permitir estas notificaciones”. Aunque muchos usuarios han aprendido a tener cierto nivel de precaución con los navegadores web, las notificaciones parecen más bien mensajes del sistema del propio dispositivo, en lugar del navegador.

Incluso para los usuarios que no dicen ciegamente que sí, los estafadores encuentran formas de instalar sus scripts de notificación. Las tácticas incluyen disfrazar el consentimiento de suscripción como otra acción, como un CAPTCHA, o cambiar los botones de «aceptar» y «rechazar» en las alertas de suscripción a mitad de la acción.

Una vez que el delincuente tiene el consentimiento (mal ganado) del usuario, comienzan a inundarlo con mensajes, que suelen ser esquemas de phishing o notificaciones de estafa que contienen malware.

3 – Estafas de colaboración
Con esta táctica de ingeniería social, los ciberdelincuentes se dirigen a los profesionales en campos de colaboración, señala Alashe, incluyendo diseñadores, desarrolladores e incluso investigadores de seguridad. El señuelo es una invitación que les pide que colaboren en el trabajo.

Los recientes cierres por pandemia y el aumento del trabajo remoto han hecho que la gente se sienta más cómoda con la colaboración a distancia, por lo que esta táctica se ajusta a los tiempos actuales.

«Los actores de la amenaza envían un proyecto de Visual Studio que contiene código malicioso. El usuario autoejecuta el programa y su dispositivo se infecta rápidamente. Este ataque explota esencialmente el deseo o la necesidad de asistir o ayudar a otros con proyectos de pasión», indica Alashe.

Tzury Bar Yochay, cofundador y CTO de la empresa de seguridad Reblaze, señala que los ejemplos de este ataque suelen estar bien elaborados y muestran una gran atención a los detalles.

«Los atacantes se hacen pasar por investigadores activos y construyen pruebas sociales” -con aparentes terceras partes que validan su investigación- «utilizando un blog que incluye artículos de fuentes de la industria como «posts invitados», cuentas de Twitter, videos de YouTube, LinkedIn, Discord y más», anota. Un objetivo sospechoso puede sentirse tranquilo por esta huella social aparentemente amplia.

4 – Suplantación de socios en la cadena de suministro
George Gerchow, CSO de Sumo Logic, comenta que los ataques que explotan partes de la cadena de suministro de una organización son ahora un gran problema.

«No es fácil defender lo que no puede ver y solo es tan fuerte como el eslabón más débil», anota Gerchow. «Por ejemplo, ha habido una plétora de correos electrónicos dirigidos que parecen provenir de sus socios de confianza, pero en realidad son malos actores que se hacen pasar por empleados que usted puede conocer dentro de su red».

Gerchow añade que primero observó ofertas de tarjetas de regalo fraudulentas presentadas a los empleados de Sumo Logic, enmascaradas como incentivos o agradecimientos de los verdaderos socios comerciales de la empresa.

Pero los ataques se han vuelto aún más detallados con el tiempo.

«Ahora vemos estos largos y sofisticados intentos de construir confianza o relaciones con algunos de nuestros equipos de salida cuyo trabajo es ayudar. Los malos actores incluso se han hecho pasar por proveedores que utilizan nuestro producto con cuentas gratuitas, y han pasado por casos de uso y escenarios para comprometer la experiencia dentro de nuestra empresa».

Al establecer estas relaciones de confianza, el objetivo final de los atacantes es hacer más efectivas las tácticas estándar de ingeniería social, obteniendo ayuda para eludir los controles de seguridad, o enviando malware que comprometa los sistemas de la empresa objetivo.

El ataque a SolarWinds es un ejemplo de ataque a la cadena de suministro -en este caso, una versión específica llamada ataque de compromiso del correo electrónico del proveedor (VEC). Como señalaron los responsables de SolarWinds, una «cuenta de correo electrónico fue comprometida y utilizada para acceder mediante programación a las cuentas del personal de SolarWinds en puestos comerciales y técnicos».

5- Grabaciones deepfake
Los ingenieros sociales están utilizando deepfakes -grabaciones asombrosamente realistas que utilizan la inteligencia artificial para simular la apariencia o la voz de una persona específica- para engañar a las víctimas y hacer que divulguen información o realicen una acción que beneficie al atacante.

Bar Yochay, de Reblaze, comenta que los ataques deepfake -en los que el atacante utiliza una voz «clonada» que es casi indistinguible de la de una persona real para crear una grabación de audio fraudulenta- son una preocupación creciente. Uno de los primeros ejemplos exitosos se produjo en el 2019, cuando se utilizó una grabación falsa de la voz de un CEO para ordenar a un empleado que transfiriera inmediatamente dinero a una cuenta internacional.

«La grabación se dejó como un mensaje de voz al subordinado, que obedeció las instrucciones fraudulentas y envió 243 mil dólares a los atacantes», anota Bar Yochay.

Gerchow también señala que ha visto a los delincuentes utilizar grabaciones deepfake para manipular al personal para que envíe dinero u ofrezca información privada -solo grabaciones de audio hasta ahora, pero Gerchow cree que las deepfakes de video son solo cuestión de tiempo.

«La formación, la concienciación, la autodenuncia y la transparencia serán la única manera de aumentar la seguridad en torno a estos ataques», señala Gerchow. «La seguridad tiene que ser accesible y, por supuesto, registrar todo».

6 – Fraude por mensajes de texto
Aunque el texto ha sido un conducto para las estafas de ingeniería social durante un tiempo, Rebecca Herold, experta en privacidad y seguridad del IEEE, dice que las tácticas de los mensajes de texto han aumentado su importancia.

«Nos estamos convirtiendo en una sociedad en la que una gran parte de la población prefiere comunicarse a través de mensajes de texto en lugar de por teléfono. La gente está ahora muy acostumbrada a comunicar información confidencial a través de mensajes de texto», indica Herold.

Como el reparto de comida y alimentos ha crecido en el último año, los mensajes de texto relacionados con el delivery han aumentado.  Otros señuelos comunes son los textos que prometen información sobre los cheques de estímulo COVID y que enlazan a las víctimas con un sitio web que parece el del Ministerio de Hacienda y en el que se pide información personal sensible, como la fecha de nacimiento y el número de la seguridad social.

Herold señala que también ha visto estafas de texto en las que los estafadores se hacen pasar por el Departamento de Salud y Servicios Humanos de EE.UU. y dicen a las víctimas que deben hacer una «prueba COVID obligatoria en línea» utilizando un enlace proporcionado.

«Luego, al igual que en otras estafas, se extrae su información personal y se carga malware en su dispositivo informático», afirma Herold.

Al igual que con los códigos QR, las víctimas simplemente no han desarrollado el nivel de conciencia y precaución necesario.

7 – yposquattingo dominios similares
Carpenter anota que el typosquatting -o los dominios similares- a menudo se presentan en un ataque de compromiso de correo electrónico comercial (BEC, por sus siglas en inglés). Los estafadores se hacen pasar por dominios legítimos para engañar a las víctimas y hacerles creer que están en un lugar seguro.

Lo hacen con muchos trucos, como escribir mal el dominio (piense en Gooogle en lugar de Google) o añadir un dominio de nivel superior diferente (.uk en lugar de .co.uk). A diferencia de las versiones descuidadas de antes, hoy en día estos sitios pueden presentar diseños y funcionalidad sofisticados, e imitaciones cuidadosamente detalladas de sitios legítimos.

«Las víctimas de la ingeniería social suelen ser engañadas para que sientan seguridad psicológica por su elección o para que busquen seguridad psicológica de una manera que juegue a favor del atacante», indica Carpenter.

Los delincuentes configuran estos sitios no solo para distribuir malware, sino también para capturar información de tarjetas de crédito u otros datos sensibles a través de campos de acceso o formularios falsos.

Derek Slater CSOonline.com

Artículo anteriorHPE lanza el almacenamiento definido por software como servicio
Artículo siguiente¿Qué es un análisis PEST? Preparando su empresa para los impactos externos