Me parece que se me había pasado comentaros pero…

A principios de la década pasada apareció en nuestras pantallas una interesante película, basada en la novela homónima, titulada Takedown. En ella nos relataba la historia de uno de los hackers más conocidos a nivel mundial, Kevin Mitnick, también conocido por su nick “The Condor”. Su vector de ataque favorito era la ingeniería social, y la verdad es que los resultados obtenidos fueron tan satisfactorios que lo elevaron al Olimpo de los hackers.

Muchos os estaréis preguntando en que consiste exactamente este tipo de ataque, y aunque existen muchas artimañas dentro del gran abanico de la ingeniería social, me voy a centrar en explicar de forma sencilla y breve dos tipos de técnicas:

• Traditional Social Engineering: Un hacker se hace pasar por un usuario, siendo éste la víctima del ataque, que por alguna razón misteriosa ha tenido la mala suerte de, por ejemplo, perder su contraseña justo cuando iba a enviar un documento importantísimo a un socio. Aprovechándose de la buena fe, poca profesionalidad o como queramos llamarlo de la persona encargada, logra obtener el password de una forma rápida, alegando que es necesario hacer ese envío lo antes posible porque es crucial para la compañía. Siguiendo patrones similares, puede no solo llegar a lograr una contraseña, sino grandes cantidades de datos. Evidentemente, no hacen ataques parecidos a la misma persona continuamente ya que antes o después acabaría sospechando algo.

• Reverse Social Engineering: En este caso, como bien indica su nombre, el juego es el inverso. El hacker se hace pasar por una persona que puede solucionar los problemas informáticos que puede tener la víctima. Se gana su confianza haciéndose pasar por alguien familiar, como podría ser alguien con previa relación con la compañía. Suele ser común que el problema que la víctima quiere solucionar haya sido causado por el propio hacker previamente. Por tanto, una vez el usuario le da acceso a la red o equipos (escritorio remoto…), él soluciona la incidencia sin ninguna dificultad y de regalo se lleva toda la información valiosa que haya podido conseguir. Finalmente, la victima queda contenta porque el error no persiste, y no se da cuenta de qué es lo que realmente ha ocurrido allí.

Estas técnicas se suelen llevar a cabo a través de correos electrónicos o el propio teléfono, pero muchas veces no llega a ser necesario embaucar a nadie, ya que actualmente gran cantidad de información de las personas se encuentra completamente “pública” en la red. Ya sea de una forma clara, como mediante metadatos en diferentes servicios, se puede lograr un perfil bastante detallado de una persona sin demasiado esfuerzo personal ni computacional.

Existen muchas herramientas que ayudan a realizar este tipo de ataques, algunas de las más conocidas son Maltego de Paterva o Social-Engineering Toolkit (SET) de TrustedSec. La primera de las herramientas se basa principalmente en la obtención de la información que permitirá al atacante generar ese entorno de confianza previamente mencionado, mientras la segunda tiene una funcionalidad más centrada en los propios ataques que se pueden realizar utilizando dichos datos.

A modo de conclusión, simplemente comentaros que, como podéis intuir, la mejor manera de impedir este tipo de ataques no es una herramienta o programa milagroso, sino una buena concienciación sobre el tema. El usuario es el eslabón más débil en la cadena de la seguridad, así que estar atentos y no os dejéis engañar.

El que avisa no es traidor.

The post Hackeando tu mente, la magia de la ingeniería social appeared first on S3lab.

Tras terminar la reunión tengo 14 e-mails de mis contactos preguntando por un e-mail que les he enviado que dice compartir un documento que no está. Han metido su usuario y contraseña como les pedía pero no hay nada. ¿Te suena? Empieza la fiesta.

Quizás tú no hayas caído en la trampa, pero seguro que algún familiar o amigo ha tenido la mala suerte de hacerlo. Ahora se le llama a esto Ingeniería Social. Es el engaño de toda la vida que mis abuelos llamaban el timo de la estampita. Todo se basa en la confianza depositada por el usuario receptor del mensaje (víctima objetivo) en el usuario emisor (víctima ya comprometida por el ataque). Si el e-mail me lo envía un familiar/amigo/compañero, seguro que es de fiar.

El primer paso del ataque consiste en conseguir el acceso a cuentas de correo electrónico, redes sociales, etc. ¿Sabes esas noticias que a veces lees, pero no haces mucho caso del tipo Roban datos de otros 18 millones de cuentas de correo electrónico y sus contraseñas en Alemania? Pues así empieza todo.

Desde esas cuentas a las que consiguen acceso, los criminales envían a los contactos de ese usuario comprometido correos , indicando que se han subido unos documentos importantes,similares a los que se muestran el la imagen.

Los receptores, que confían en quién se lo manda, no dudan en seguir las instrucciones. Primero abren el documento adjunto, llamado docfile.htm, que abre una web con diferentes formas de identificarme. Muy amables. Me dejan utilizar con cualquiera de mis cuentas. Ante todo facilidad.

Si analizamos un poco el código de la web que se nos presenta, descargando el documento docfile.htm y abriendolo con cualquier editor de texto (e.g., Notepad++), podemos observar algunas cosas sospechosas, si es que hasta el momento ya no nos olía mal la cosa. La clave de todo está en el código HTML de los formularios que se presentan cuando pinchamos en la imagen de alguno de los servicios presentados.

Si nos fijamos en el “action” del formulario, lo que define dónde se envían los campos, podemos observar que no apunta a Google, si no a un dominio diferente, en este caso Brasileño. Esto indica que una vez introduzcamos los datos y pulsemos el botón, estaremos enviando nuestro usuario y contraseña a un atacante que, posteriormente, los utilizará para acceder a nuestra cuenta y volver a reenviarse a todos nuestros contactos. Y comienza el bucle.

Alguno podría pensar que la solución a esta amenaza es ir a por los propietarios del dominio, en este caso Brasileño, pero el problema es que ellos son otra víctima, también controlada por el atacante. Otro peón dentro del tablero. Si pensamos en lo sencillo que es enviar un e-mail de forma automática y en el porcentaje ALTO de usuarios que no son conscientes del peligro, el resultado es un ejército de peones a las órdenes del atacante para poder difundir lo que él desee (e.g., spam, phishing, malware…). Y todo esto siempre, recordemos, con la posición estratégica favorable de contar con la confianza de los destinatarios (Ingeniería Social), aumentando así exponencialmente el impacto del ataque.

Alguno se estará preguntando ahora, ¿y qué hago yo que abrí uno de estos correos? Lo primero de todo y más importante es cambiar las contraseñas de acceso a las cuentas que puedan estar comprometidas. Lo segundo, y no menos importante, es explicar esto mismo a aquellos conocidos que puedan haberse visto afectados.

Pues nada, os dejo, me ha llegado un correo nuevo, veamos que toca ahora…

The post Se adjunta un documento importante para que lo veas appeared first on S3lab.