Given To Fly

Según la Wikipedia: En el campo de la seguridad, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es decir, que si nuestro ordenador está apagado, o lo tenemos bien protegido, o nuestro atacante no quiere comerse mucho el tarro para hackear nuestro sistema, entonces nosotros, como personas, como usuarios, podemos ser el blanco perfecto.

No voy a escribir un artículo/tesis super técnico como si controlase del tema; todo lo contrario, mi intención es únicamente desde este pequeño rincón de la red, intentar explicar y concienciar a los usuarios más inexpertos (y no tan inexpertos) de prevenir estos ataques.

Empezando por el principio de los tiempos, no se puede saber a ciencia cierta cuando comenzaron los primeros ataques basados en ingeniería social. Esto es algo que existe desde que existe la tecnología, y es que, estos ataques no necesitan que exista un ordenador de por medio, basta con tener un cajero automático, o incluso una caja fuerte; cualquier tipo de información confidencial (claves, passwords, nombres de usuario, números de cuenta..) que le sea sonsacada al usuario de forma maliciosa es considerada una forma de ingeniería social.

Y como no hace falta ser un lumbreras, ni tener pasta para realizar este tipo de ataques, aquí van una serie de ejemplos txorras dónde los haya:

1) ATAQUE PERSONAL

Acabas de conocer a una persona que se proclama a los 4 vientos como alguien que odia los ordenadores, internet y todo eso que tenga que ver con tecnología. "Yo como mucho entro a hotmail a leer mi correo, ah y al messenger claro, para hablar con mis coleguitas". Entonces, una semana más tarde te pica la curiosidad por hackear su sistema (no digo que esto sea lo más normal del mundo, pero el cyberterrorismo es algo que existe). Estas podrían ser unas formas de Ing Social...

Ejemplo 1:

Atacante: Hombre, (Póngase aquí el nombre de la víctima) !!! Oye, FELICIDADES, eh?
Víctima: Pero que dices tío, si hoy no es mi cumpleaños!
A: Ah, no?
V: Que va! Mi cumple es el XX de XX
A: Ah, perdona tío, me habré informado mal...

El atacante se va pensando. "De puta madre, ya tengo el 50% de posibilidades de saber tu contraseña".

Ejemplo 2:

Simulas que necesitas que este usuario te meta su contraseña, y cuando lo hace, le dices:

Atacante: "Oye, que largo es tu cumpleaños" (por ejemplo)
Víctima: "Claro, como que no es mi cumpleaños, es mi DNI"

Zas! Otro que ha caído! Vía libre...

En ambos ataques, la víctima te esta diciendo indirectamente su contraseña, pero él no lo sabe. Sin embargo, existen usuarios, que te la dicen sin la más mínima contemplación, tan sólo hay que saber manipularlos debidamente. Veamos alguno ejemplo de estos casos:

Ejemplo 3:

Vuelves a simular que necesitas la password de la víctima y esperas al momento en que esté lo más ocupado posible y muy lejos de tí. Ese puede ser el mejor momento para atacar. Si pides a alguien que inserte su password en el momento que más le joda, es MUY probable que tu ataque funcione:

Atacante: Oye tío, mete aquí tu contraseña para acceder a ... (lo que sea) ??
Víctima: Joder, ahora??? Pff no puedo, métela tú: mi password es *********.

Te has lucido, majo...

2) ATAQUE POR VÍA TELEFÓNICA

Este tipo de ataque se puede realizar tanto a usuarios del sistema como a un administrador. Pongamos el caso de un administrador del sistema para que suene un poco más jugoso...

Administrador: Buenos dias, aquí área de sistemas, en qué podemos ayudarle?
Atacante: Hola, soy José Luis Pérez, llamaba porque no consigo recordar mi password en la máquina sistema.upv.es.
Administrador: Un momento, me puede decir su nombre de usuario?
Atacante: Sí, claro, es jlperez.
Administrador: Muy bien, la nueva contraseña que acabo de asignarle es abejaruco. Por favor, nada más conectar, no olvide cambiarla.
Atacante Por supuesto. Muchas gracias, ha sido muy amable.
Administrador De nada, un saludo.

Y ya está hecho. Al mismo caso se le podría dar la vuelta llamando a un usuario haciendose pasar por el administradord del sistema y pidiéndole la password,,,

3) ATAQUE VÍA CORREO ELECTRÓNICO O PHISING

Según Wikipedia (otra vez) Phising se define como es un término utilizado en informática con el cual se denomina el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta, como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria. El estafador, mejor conocido como phisher se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico Pongamos ahora algunos ejemplos sobre Phising.

Ejemplo 1:

Seguro que tod*s habeis recibido alguna vez un e-mail de alguien que parece ser el administrador de vuestro banco informandoos de que se está construyendo una nueva BD, o se está haciendo una migración de datos, o han perdido vuestros datos. Entonces, te pasan el link a un formulario que parece ser de la web de tu banco, pidiendo que los confirmes. Aquí pongo unos enlaces a ejemplos de páginas falsas. En el momento que introduces tus datos y pulsas "Aceptar", ya te han "pescao".

- Phising a Caja Madrid: http://196.217.33.149/oi.cajamadrid.es/CajaMadrid/oi/pt_oi/Login/login.html
- Phising al Grupo Santander http://196.217.33.149/gruposantander.es/particulares/entrar.php

(Por poner algunos ejemplos porque han sido muchísimas más las entidades bancarias que han sufrido este tipo de ataques...)

Ejemplo 2: Nuevos Scam, ofertas de trabajo falsas.

Ofrecemos trabajo bien pagado.

Nuestra compañia se llama Magnat Trading Group.

Nuestra especializacion es ayudar a empresarios a vender o comprar el articulo en la subasta mundial Ebay. Como un resultado del trabajo intenso la compania en 4 años pudo lograr el nivel mundial y segun los expertos ser una de las 20 mas influyentes companias, que proponen los servicios de comercio.

En España empezamos a trabajar recientemente y en relacion con eso tenemos una vacancia de manager financiero supernumerariom, quien va a ser representante de nuestra compania en Espana.

Los requerimientos basicos son los siguientes:
- conocimiento de los sistemas electronicos de pago (por ejemplo - Western Union) - computador, internet, e-mail, telefono
- la cuenta bancaria en Espana

Por buen cumplimiento del deber prometemos alto nivel de beneficio, tiempo de
trabajo flexible.

El pago se comete sin retraso.
Le pagamos a Usted 150-500 euro por cada operacion .

Si esta Usted interesado en nuestra proposicion, puede recibir mas detalles por e-mail:

magnat_group@km.ru

Introduciendo tus datos bancarios en lo que parece una oferta de empleo verdadera, vuelves a liarla.

Ejemplo 3:

Me he tomado la libertad de coger un testimonio que comentaba DayDream hace un tiempo en Barrapunto...

«Hace unos días recibí un mensaje en el que me comentaban que si quería podía tener la posibilidad de obtener cualquier contraseña de Hotmail o Yahoo previo pago de 15 dólares americanos. Esta cantidad sólo se abonaba si se obtenía la contraseña solicitada. Como tenía curiosidad por saber cómo lo hacían, decidí investigar por mi cuenta.

Decidí abrir una cuenta en Yahoo! y seguidamente escribí al individuo un mensaje en el que le pedía por favor que me proporcionara la contraseña de la cuenta de mi novia , es decir la contraseña de la cuenta que yo acababa de abrir. Para evitar ataques sencillos puse a esa cuenta una contraseña difícil de averiguar. Después de hacer un seguimiento de la mencionada cuenta recibo un email en ella en que se me dice que me han enviado una postal electrónica y que debo pulsar en un enlace para ver el contenido de la misma. Concretamente lo que recibí fue esto:
Date: 4 Apr 2005 01:57:23 -0000
To: xxxxxxxx@yahoo.es
Subject: ¡Has recibido una tarjeta en Gusanito.com!
From: "Gusanito.com"

¡Hola! Hay una tarjeta disponible en Gusanito.com de parte de Gusanito.com. Para verla, hacer click en el siguiente enlace:

http://gusanito.com/g/gusanito/retrieveCard.jsp?sCardCode=3AWEF458S45S1F4A8S46D5

Te recordamos que si eres Gusuario Premium tu tarjeta estará disponible en todo momento durante la vigencia de tu membresía; si no lo eres, estará disponible dos semanas a partir de la fecha en que la envíes.

Pero la sorpresa viene al hacer click en el enlace para recoger la tarjeta. Obviamente no apunta a www.gusanito.com sino a la página:

http://xecsx.com/004d5e345634400d234/0212456gsder6 2sd2.php?212SSa11q2212sasa34Hgfgg=ewed55645ff45343 1223d33&a3dwe43ws099120=xxxxxxxx@yahoo.es&ws120a30 99dwe43=xxxxxxxx

(nótese que la URL está modificada pues he omitido la identificación de la cuenta que usé para desenmascarar el ataque)

y que curiosamente es una copia casi perfecta de la página de Yahoo en la que te dicen eso de:

¿Por qué me piden mi contraseña?
Para proteger la seguridad de tu cuenta, de vez en cuando pediremos que escribas tu contraseña. [...] Únicamente puedes entrar en una cuenta por sesión. Si no eres "xxxxxxxx", ingresa con tu propia ID. [...]

Es de notar que estos tipos de ataques decentemente elaborados, tienen una fiabilidad del 90%. En mi opinión, la tendrían del 100% si no fuera por ciertos detalles que pasan desaparecidos para todos los usurios.

Para la gente que sepa del tema, estos son casos muy simples pero a la vez muy típicos de la ingeniería social. Es por eso que me ha parecido buena idea recogerlos todos, ya que aunque al leerlos suenen a txorrada, en el momento puede que la inercia nos juegue una mala pasada. Sin embargo, hay otros casos que no son tan fáciles de reconocer. La ingeniería social va avanzando día a día con técnicas nuevas, tretas y artimañas cada vez más difíciles de detectar. Estos ataquen tienen sólo como límite la imaginación de cada uno, por lo que contra ella, no existen ningún tipo de protección. Como barrera a la ingeniería social únicamente se puede poner la EDUCACIÓN para que todos nos concienciemos de que la protección de nuestros datos, nuestros bienes, es nuestra obligación.

Fuentes de la noticia:

Barrapunto -> www.barrapunto.com
Wikipedia -> es.wikipedia.org
Asociación de Internautas -> www.internautas.org

_______________________________________________________________________________