El dinero siempre es el objetivo final

El dinero siempre es el objetivo final

En el pasado, una poderosa herramienta de ataque contra sistemas de empresas o usuarios finales era la llamada “Ingeniería Social”. Hoy lo sigue siendo, solo que esta modalidad se ha modernizado en cuanto a técnicas y metodologías empleadas.

Tiempo atrás y tal como se conocía, dicha práctica consistía en realizar un llamado telefónico a la víctima haciéndose pasar por un proveedor de servicios, ya sea un ISP, una empresa de hosting, de telefonía, etc. con el propósito de recabar información valiosa para un atacante, como ser contraseñas de acceso a internet (aún vía modem), claves de mails, etc. Solo bastaba con afirmar que había inconvenientes con la cuenta/conexión/etc de la víctima y persuadir a la misma para que voluntariamente provea credenciales de acceso, nros de tarjeta de crédito, etc al atacante.
Esta técnica dio algunos resultados por un tiempo, hasta que la explosión de internet llevó a tomar mas conciencia de todas las cuestiones inherentes a la seguridad y ya no ocurre frecuentemente (aunque podría seguir ocurriendo).

Hoy en día, la ingeniería social ha tomado otro rumbo y se ha adaptado mas a las costumbres actuales. Con la llegada de los “Home Bankings”, “Paypal” y sitios de subasta y compra/venta con tarjeta entre otros, representa algo mas que sacar una clave de acceso a internet, sino que hablamos de fraudes bancarios, robo de identidades, nros de pin, etc, todos con el mismo fin, obtener dinero de forma ilegal.

La técnica no ha cambiado mucho: se trata de engañar a la víctima para que ésta entregue voluntariamente la información sensible y necesaria para cometer la actividad fraudulenta en cuestión, solo que ya no es mediantes llamados telefónicos comunes sino que se emplean otros métodos.

A continuación, detallaremos algunos de ellos con sus correspondientes contramedidas:

PHISHING:
Sin dudas, el mas conocido de todos. Muchos escucharán que esta técnica es muy usada, pero pese a que se alerta sobre ella, el desconocimiento del usuario final hace que tenga un impacto muy grande y efectivo. El término Phishing hace alusión a la palabra en inglés Fishing (pesca), que es el acto que esta técnica pretende: “pescar” datos útiles de los usuarios mediante anzuelos o señuelos.
La técnica consiste una vez mas en engañar al usuario mediante e-mail, mensajería instantánea, SMS, etc. El medio mas usado es el e-mail, en el cual el atacante (el “phisher”) “disfraza” el correo haciéndole creer a la víctima que proviene, por ejemplo, del banco, indicando que hay problemas con la cuenta y que debe ingresar a la banca de internet “haciendo click aqui” o indicando una URL (a primera vista del banco) para restaurar la cuenta.
Lo que el usuario no sabe es que la palabra subrayada y de color azul “aquí” (o la URL) es un link a una página fraudulenta con exactamente la misma estética que la pagina del banco verdadero (logos, banners, colores, etc) donde hay un formulario de login (usuario y contraseña) en el “mejor” de los casos. Cuando la víctima carga los datos solicitados, los mismos son enviados al “phisher” al tiempo que al usuario le mostrará una pantalla de error, le pedirá que lo intente de nuevo pero es redirigido al sitio del banco real, de ese modo, en el segundo intento el usuario entrará sin problemas a su banca y no notará el error.
Hay muchas variantes de esta técnica, pero la descripta arriba es la mas empleada.

Ejemplo de un mail “phishing”:

Click para agrandar

Click para agrandar

Ejemplo de redirección:

Click para agrandar

Click para agrandar

Contramedidas:

  • Los bancos NUNCA y en ningún caso solicitan al usuario datos personales, codigos o nros de tarjetas. Por lo tanto si Ud. recibe un mail de estas características, simplemente ignórelo y elimínelo.
  • Cuando esté accediendo a su banca de internet real, antes de ingresar cualquier dato, asegúrese de lo siguiente:
    • Que en la URL la dirección comience con https:// y no con http://
    • Que la dirección sea la correcta y no una dudosa como por ejemplo: “http://homebankingmacro.noip.com”. Lo anterior al .com, .org, .net generalmente es el dominio real de donde se esta ingresando.
    • Chequee frecuentemente el certificado SSL del sitio, esto lo puede hacer clickeando en el candadito en la parte inferior del navegador web (a veces en la parte superior).
  • Evite acceder a sitios de Home Banking o hacer compras por internet en cybercafés o computadoras públicas.
  • Si tiene dudas al respecto, comuníquese con su banco a un nro que usted tenga con anterioridad.
  • Para más contramedidas ver está nota.

PHARMING:
El término proviene de la mezcla de la palabra farm (granja en inglés) y Phishing. La técnica es similar al PHISING, es decir, conducir a la víctima a sitios no seguros para que “entregue” los datos requeridos, pero ya no engañándolos con un e-mail sino que puede hacerse de dos formas:

  • El atacante deberá tener acceso al o los servidores DNS [1] de la organización (granja de servidores) y redireccionar determinadas URL a sitios falsos y fraudulentos. Por ejemplo, hacer que el dominio www.e-galicia.com lleve al usuario a otro sitio de igual apariencia pero con otros propósitos. Esta actividad se llama “DNS Poisoning” (envenenamiento de DNS) y es poco probable que suceda.
  • Atacar una maquina determinada, modificando el archivo “hosts” (en sistemas operativos MS Windows o basados en Unix) para lograr el mismo efecto, redireccionar a páginas ilegales.

Contramedidas:

  • A nivel empresarial, es recomendable que el equipo de IT mantenga actualizados y administrados los servidores DNS adecuadamente para evitar este tipo de ataques. También existen diferentes software específicos (Anti-Pharming) que pueden ser utilizados eventualmente y según la situación.
  • A nivel usuario final, como decíamos arriba, existe software dedicado a mitigar estos ataques que puede ser instalado en una PC hogareña (software instalable, add-ons, toolbars, etc).

VISHING:
Esta práctica no se emplea usualmente, es poco probable que de resultados al atacante pero si existe y vamos a detallarla.
Básicamente, el término proviene de la mezcla de voice (voz en inglés) y Phishing y tal como se presupone, se utiliza el protocolo VoIP (Voz sobre IP) para desplegar el ataque.
Un ejemplo sería que el atacante (el visher) monte un “war dialing” mediante una central PBX, o sea, mediante equipamiento necesario, llamar al azar a un grupo de números telefónicos de una región determinada. Cuando la víctima atiende, una voz pre-grabada, en nombre del banco, alerta al usuario de que su nro de tarjeta de crédito o débito esta siendo utilizada de forma indiscriminada para compras y gastos de todo tipo. Luego le indica a la víctima que debe comunicarse inmediatamente a un nro telefónico para remediar esta situación, por supuesto que ese nro no será del banco, sino del visher en cuestión.
Una vez que el usuario llama, lo atenderá otra voz pre-grabada que le indicará que para continuar ingrese los 16 dígitos de su tarjeta y a veces hasta el PIN, de este modo, el atacante se alza con su mas buscado botín.

Contramedidas:

  • Lo dicho anteriormente, los bancos NUNCA y en ningún caso solicitan al usuario datos personales, codigos o nros de tarjetas. Si recibe alguna llamada de este tipo, simplemente no se alerte por lo que puedan decirle y corte inmediatamente la comunicación. Si tiene dudas al respecto, comuníquese con su banco a un nro ud que tenga con anterioridad.

REVERSE SOCIAL ENGINEERING:
Esta técnica aplica a grandes organizaciones, donde no todos se conocen entre si, y consiste en que el atacante contacta a un empleado significativo para el fin (algún administrativo con acceso a cuentas, algún sysadmin, etc) haciéndose pasar por un alto directivo de la empresa y solicitándole datos sensibles (claves, nros de pin, etc) de manera urgente.
Muchas veces, los mismos servidores de e-mail de la empresa cuentan con una mala configuración que permite enviar mails en nombre de otros. Esto es un ambiente propicio para perpetrar estos ataques.
Por supuesto que estos actos delictivos deben ser planificados y estudiados por el atacante, que deberá conocer de la mecánica interna de la organización, pero aún así, cuenta con grandes chancees de conseguir información valiosa.

Contramedidas:

  • El usuario que posea información sensible, por política de la empresa, no debe divulgar dicha información a nadie que no esté autorizado y sea de su conocimiento. De hacerlo, deberá existir un procedimiento para hacerlo de manera segura y que se pueda comprobar la identidad del solicitante.

DUMPSTER DIVING o TRASHING:
No es para nada raro ver en los escritorios de los empleados papeles de todo tipo revelando información mas que útil para cualquier atacante que quiera utilizar alguno de los métodos antes descriptos. Desde nros de teléfonos útiles, claves de acceso a bancos, claves de acceso a portales tributarios, webmails, etc.
Muchos de estos papeles, generalmente van a parar a la basura y posteriormente a la calle donde el atacante tiene un acceso directo a ellos. Esta también es una práctica de la ingeniería social, y aunque en la mayoría de los casos no se revelen datos útiles como nros de pines y claves, si se revela información valiosa para entender el funcionamiento de la empresa, por ejemplo: mails impresos, agendas con nros telefónicos, datos de personas, reuniones, bancos en uso, etc.
Si se tiene acceso a esos datos, es probable que el atacante gane conocimiento necesario para aplicar, por ejemplo, la técnica “Reverse Social Engineering”.

Contramedidas:

  • Como primera medida, evite usar el papel común para anotar claves, pines o nros (mucho menos pegarlo en el costado del monitor o dejarlo a la vista de cualquier persona). Utilice herramientas (a veces en formato software) destinadas para estas tareas, por ejemplo: USB Tokens, Smart Cards, sistemas de almacenamiento de claves, etc.
  • No deseche información sensible en papeles grandes y legibles, utilice trituradoras de papel antes de echarlos a la basura.

La persona que lea esta nota puede pensar que son métodos poco efectivos o poco probables que sucedan dado que el usuario víctima debe contar con un desconocimiento significativo o simplemente ingenuidad, pero lo cierto es que las estadísticas dicen que estas técnicas de ingeniería social han hecho perder millones a bancos, empresas, entidades y por supuesto personas en todo el mundo.
En AltoSec brindamos consultoría y proveemos métodos efectivos para prevenir y mitigar estas posibles vulnerabilidades. Puede contactarnos mediante el formulario en nuestro sitio web.
Existen mas tipos de ataque de ingeniería social que iremos divulgando mas adelante en este blog.

[1] DNS (Domain Name System): Todos los ordenadores conectados a internet tienen una dirección IP única, que consiste en 4 octetos (4 grupos de 8 dígitos binarios) de 0 a 255 separados por un punto (ej: 127.0.0.1). Estas direcciones IP son comparables a las direcciones postales de las casas, o al número de los teléfonos.
Debido a la dificultad que supondría para los usuarios tener que recordar esas direcciones IP, surgieron los Nombres de Dominio, que van asociados a las direcciones IP del mismo modo que los nombres de las personas van asociados a sus números de teléfono en una guía telefónica.
(Extraído de Wikipedia)