Vídeo: Nueva perspectiva de la Danza, más allá de movimientos | María José Cifuentes | TEDxPUCdeChile (De novembre 2024)
L’enginyeria social és el que pot fer que els correus electrònics de phishing i els llocs web maliciosos que estiguin disfressats semblin webs populars i segurs. Durant una discussió amb Chris Hadnagy, cap humà hacker de Social-Engineer Inc., li vaig preguntar com detectar aquestes estafes. Els seus consells fan ressò del que hem dit sovint als lectors: sempre desconfieu.
Més que un cont
De la meva discussió amb Hadnagy, queda clar que alguns dels que anomenem enginyeria social són els mateixos trucs que la gent fa anys que utilitza les decisions d’influència. La indústria de menjar ràpid, per exemple, va explorar cèlebrement quins colors animarien a la gent a menjar més de pressa. Espionistes falsos del segle XIX (que inclou membres de la meva família) i que avui fan servir una tàctica anomenada "lectura en fred" per enganyar les víctimes per revelar informació sobre elles mateixes.
Però hi ha més enginyeria social que trucs barats, com demostra el Concurs d'enginyeria social Capture the Flag celebrat a Def Con. Aquí, els concursants guanyen punts per obtenir informació que obtenen en empreses investigadores i en contactar directament amb aquestes empreses. Hadnagy va dir que els millors concursants puntuables també van fer més recerca, cosa que demostra la utilitat de conèixer els vostres objectius.
Malauradament, ara és un bon moment per ser enginyer social fent recerca o recopilació d'informació de codi obert. Hadnagy va explicar que empreses i particulars publiquen molta informació a les xarxes socials, gran part de la qual es pot utilitzar en atacs d’enginyeria social. Anteriorment, vam mirar com els estafadors intentaven fer servir informació recopilada des de Facebook per fer que les estafes semblessin més atractives, de vegades amb resultats hilarants.
Emoció orientada
Una de les millors tàctiques d’enginyeria social és evitar que penseu de manera crítica, generalment orientant-vos a les emocions. Hadnagy va dir que un atac que gairebé el va enganyar va dir que era un correu electrònic d'enviament d'Amazon. "Va ser una cosa personal, una cosa que va afectar la meva vida i alguna cosa que era important per a mi", va dir.
En aquest atac particular, Hadnagy va rebre un missatge de correu electrònic que deia que una de les seves ordres importants d'Amazon es retardava a causa d'un número de targeta de crèdit rebutjat. En els dies previs a una gran conferència, Hadnagy va dir que estava sobre treballat i va fer clic a l'enllaç del correu electrònic, en lloc de visitar directament Amazon. La pàgina a la qual va ser realitzada estava ben elaborada, però per sort va notar el domini ".ru" abans d'introduir informació personal.
Si bé era simple, aquesta tàctica era molt efectiva. "Sóc el tipus que, pel que faig, va fer més de 190.000 persones en els darrers mesos", va dir Hadnagy, en referència al seu treball de consultoria. "Gairebé vaig caure per aquest atac".
Un altre avantatge de cridar a l’emoció és que no requereix el tipus de recerca dels millors enginyers socials empleats. "El que veurem és que escollim coses importants per a les masses". Hadnagy va explicar que això inclou l’enviament d’UPS, les comandes d’Amazon i les transferències de PayPal.
La crida massiva també funciona bé per a la difusió en massa, una altra tàctica freqüent. "Envien això a milions de persones alhora, de manera que no els importa si obtinguin el 100 per cent", va dir Hadnagy. "El 10 per cent continua sent milers de comptes compromesos."
Mantenir-se segur
Moltes de les tàctiques utilitzades per identificar correus electrònics de phishing són també vàlides per a l’enginyeria social. Tot allò que sona massa bé per ser veritat, o massa dolent per ser veritat, probablement no sigui cert. Tàctiques com ara passar el curs enllaços per veure l’URL complet, introduir manualment adreces web i evitar que els enllaços que arribin del blau siguin tàctiques de so.
Però la part en directe del concurs Capture the Flag posa de manifest una altra faceta de l’enginyeria social: la confiança institucional. Aquest any, molts dels concursants es van plantejar com a companys de feina o venedors, cosa que va proporcionar als empleats de les empreses objectiu una raó immediata per confiar en ells. De vegades, paga per fer preguntes quan algú que afirma ser el conseller delegat de la seva empresa et truca personalment.
Hadnagy ha fet una carrera explicant l'enginyeria social, però no li preocupa si els atacants agafin els seus trucs. "Els dolents no busquen dades sobre com fer-ho", va dir a SecurityWatch. "Ja ho saben. El problema és que els bons no." A través del seu treball, Hadnagy creu que pot ensenyar a Amèrica corporativa i gent regular com pensar críticament sobre les seves interaccions diàries i com respondre en els pitjors casos. Hadnagy ho va explicar d'aquesta manera: "En lloc d'armar als dolents, arma els nois bons".
Imatge via usuari de Flickr Travis V.