Querido diario de ingeniería social 9 de marzo de 2016

Querido diario de ingeniería social,

Una persona o un grupo de personas centradas en un ataque de ingeniería social en general tiene la ventaja de la experiencia y de ser muy consciente del carácter humano.

Los ataques de ingeniería social utilizan muchas herramientas para engañar al objetivo y hacerle creer su guión. Lo que tienen en común los ataques es el factor humano. Como miembro de la humanidad, un atributo común que la mayoría de la población interioriza es el de ser útil o prestar ayuda cuando se le pide. Tendemos a ser criaturas sociales y si uno de los grupos necesita ayuda, uno de los grupos se ofrecerá a ayudar.

Recientemente esto se ha aplicado a servicios de bastante alto perfil. La cuenta de PayPal de un autor/blogger de infoseguridad muy respetado también fue comprometida. El ingeniero social utilizó la metodología de ataque general. Como el objetivo era conocido, el atacante pudo buscar en los medios generales y sociales sus datos de fondo. Con esto en la mano, el atacante pudo llamar al servicio, y asumir su identidad. Esto claramente no es óptimo.

La ingeniería social consiste en dirigirse a alguien a nivel humano
La ingeniería social consiste en dirigirse a alguien a nivel humano

En otro ejemplo muy publicitado, un cliente de Amazon también fue víctima. En este caso, el usuario tenía una cuenta en Amazon, como tantos otros. Sin embargo, en este caso el atacante dependía de la buena disposición del representante del servicio de atención al cliente y de su voluntad de ayudar al "cliente" que aparentemente lo necesitaba. En este caso, el "cliente" no tenía el producto que había comprado, no tenía los últimos cuatro dígitos del número de la tarjeta de crédito (ya que era su tarjeta de crédito del trabajo), realmente necesitaba devolver el informe a su gerente, no tenía acceso a la cuenta, no sabía la fecha de caducidad de la tarjeta, etc. Lo único que sabía la persona era que la tarjeta era una VISA. Utilizando las estadísticas, había como mínimo un 33% de posibilidades de elegir correctamente. Dada la conversación previa,
el representante del servicio de atención al cliente probablemente habría dejado que el "cliente" adivinara hasta acertar.

Lecciones para aplicar

Este contacto es un ejemplo más de por qué hay que mejorar los programas de formación. Estos deben consistir no sólo en la habitual presentación sobre los aspectos negativos de cuando la ingeniería social es un éxito. Es necesario que la gente no tenga miedo de hacer preguntas simples y directas. Si se presentan respuestas erróneas o poco concluyentes, la conversación no debe ir más allá.

Banderas rojas

Había varias banderas de lectura con su ejercicio de gimnasia mental. En primer lugar, cronológicamente, el "cliente" quería un reembolso incluso antes de que llegara el producto. A primera vista, esto es excepcionalmente extraño. Como regla general y en la industria, la persona pide el producto, lo recibe, decide que no va a funcionar y pide devolverlo. Esto debería haber sido una bandera roja.

En cuanto a la tarjeta de crédito, el "cliente" no la tenía, no tenía los cuatro últimos números de la tarjeta, ni siquiera podía dar los dos últimos dígitos de la tarjeta, y pidió la fecha de caducidad de la tarjeta. Si el "cliente" no tenía la tarjeta para verificar los últimos cuatro o dos dígitos, ¿cómo podría el "cliente" verificar la tarjeta a partir de la fecha de caducidad? El "cliente" no lo haría, ya que se trataba de una farsa.

El "cliente" dijo en un momento dado que el cliente no tenía el acceso a la cuenta. Sólo hacen falta dos datos para hacer esto con un ordenador. Está claro que el "cliente" debería haber conocido el nombre de usuario y la contraseña.

El mejor curso

Hay un curso de acción claramente diferente que debería haberse seguido. Al seguir esto, el representante de atención al cliente debería haber utilizado un poco de sentido común en comparación con agacharse para dar al "cliente" todas las oportunidades de cometer un fraude y luego ayudar al "cliente" a iniciar la sesión. Cuando algo empieza a oler, como lo que ocurrió aquí, el representante debería empezar a revisar la situación y hacer preguntas.

Lecciones

Administradores de sistemas, por favor, proporcionen la formación que el personal necesita. A veces la gente puede quedar demasiado atrapada en su trabajo y olvidar que también son responsables de la seguridad de la información y de mantener los datos de los demás a salvo. Si no es así, su organización puede ser violada y recibir una llamada de las agencias gubernamentales.

Obtenga más información sobre la ingeniería social y cómo protegerse a sí mismo y a su empresa en el capítulo 7 del libro del NCI Protegiendo nuestro futuro: La ciberseguridad en nuestra vida digital

Charles Parker, II, lleva codificando desde mediados de los años 80, y lleva más de 17 años trabajando en los sectores de las finanzas, los fabricantes de automóviles y la sanidad buscando soluciones seguras para los problemas. Charles tiene un MBA, un MSA, un JD, un LLM, y es candidato a un doctorado en Garantía y Seguridad de la Información.