Enginyeria social

De la Viquipèdia, l'enciclopèdia lliure.
Saltar a la navegació Saltar a la cerca
Nota de desambiguació.svg Desambiguació : si esteu buscant esforços per influir en les societats a gran escala, vegeu Enginyeria social (ciències polítiques) .
Kevin Mitnick , autor dels llibres The art of deception i The art of intrusion

L’enginyeria social (de l’ anglès social engineering ), en el camp de la seguretat de la informació , és l’estudi del comportament individual d’una persona per tal de robar informació útil.

Descripció general

Aquesta tècnica també és un mètode (impropi) de criptoanàlisi quan s’utilitza en una persona que coneix la clau criptogràfica d’un sistema i també la fa servir la policia . De manera similar a l’anomenat mètode de tubs de goma (que, tanmateix, és una forma de tortura ), pot ser, segons els experts, una manera sorprenentment eficient d’obtenir la clau, sobretot si es compara amb els mètodes criptanalítics .

Un enginyer social ( enginyer social) que s'ha de definir com a tal ha de poder convèncer amb paraules per completar el seu treball.
Un enginyer social sap molt bé amagar la seva identitat fent-se passar per una altra persona: d’aquesta manera és capaç d’obtenir informació que mai no podria obtenir amb la seva identitat real. Si és un pirata informàtic , pot obtenir informació relativa a un sistema informàtic.
Per tant, l’enginyeria social és una tècnica per obtenir informació àmpliament utilitzada per pirates i espies experimentats i, ja que implica (sobretot en l’última fase de l’atac) una relació més directa amb la víctima, aquesta tècnica és una de les més importants per robar informació . En molts casos, l'anomenat enginyer serà capaç d'obtenir tot el que necessiti d'una víctima completament desprevinguda.

Les fases de l'atac

L’enginyer social comença recopilant informació sobre la víctima i després arriba a l’atac real.

  • Durant la primera fase (que pot trigar unes quantes setmanes d’anàlisi), l’enginyer intentarà obtenir tota la informació que necessiti sobre el seu objectiu: correu electrònic , números de telèfon, etc.

Després d'aquesta fase, anomenada petjada , l'enginyer passarà a la següent fase,

  • Segona fase, l'enginyer comprova si la informació que ha obtingut és més o menys fiable, també trucant a l'empresa objectiu i demanant educadament que parli amb la víctima.
  • La tercera fase, la més important, la que determinarà l’èxit de l’atac, és l’estudi de l’estil vocal de la persona per a qui vol fingir (per exemple, intentar evitar de totes maneres l’ús d’ expressions dialectals i intentant ser el més natural possible, sempre amb un to neutre i cortès). En aquesta fase, l'atacant sempre tindrà les seves notes properes a ell amb tota la informació recollida en la fase de petjada , demostrant així la seva seguretat en cas que se li faci alguna pregunta.

La investigació es divideix en dues parts: 1. context , trobareu tota la informació pública i, per tant, fàcilment accessible, per entendre quines preguntes fer i sobretot a qui. 2. acumulat totes aquestes dades es recopila i s'utilitza per fer les peticions més complexes a la víctima, que també inclou noms de personal, habilitats i tot el necessari per obtenir la major confiança possible. [1]

Tècniques psicològiques

Les tècniques psicològiques que s’utilitzen en enginyeria social són moltes, però les més comunes impliquen l’explotació d’eines com l’ autoritat , la culpa , el pànic , la ignorància , el desig , la cobdícia i la compassió . Tot això, si es reconeix, pot al seu torn ajudar a la víctima a evitar ser atacada i, per tant, és important tenir en compte en el món de la ciberseguretat per augmentar la consciència dels usuaris de la xarxa. [2]

Autoritat

Si una informació o ordre es comunica a través d’un missatge amb característiques pròpies d’una determinada autoritat (per exemple: empresa , organisme governamental , banc ), es pot interpretar i tenir en compte amb certa importància en funció de l’organisme en qüestió. Com més un atacant simuli un missatge d'aquest tipus posant també imatges o peculiaritats típiques, més l'usuari serà vulnerable a l'hora d'acceptar i seguir les accions il·lustrades al missatge. Es pot aplicar a àrees com ara correus electrònics o llocs web ( pesca ), on l'atac se centra a crear un entorn de visualització el més semblant possible al de l'autoritat implicada (logotips, consignes, accions a realitzar).

Sentit de culpa

En fer que un usuari en particular se senti culpable, l’impulsarà a resoldre la situació incòmoda per qualsevol mitjà al seu abast. Coneixent sobretot les debilitats de la persona, l’enginyer social és capaç de crear una condició per la qual l’usuari se sent culpable i, per tant, obligat a prendre una decisió, tant que realitza accions particulars i inusuals. Per exemple, es pot fer creure a la persona que és conscient de les seves descàrregues il·legals d’Internet i obligar-la a pagar una multa en línia per trobar no només els diners, sinó també les dades associades al pagament.

Pànic

Una altra eina utilitzada en enginyeria social és el pànic. En crear aquesta situació, és més fàcil convèncer una persona que faci una acció que sembla resoldre un problema que ha trastocat el context tranquil i normal (costum) de la víctima. Caient el pànic, tractem de resoldre el problema fins i tot amb actes imprudents que ens semblen els més ràpids i efectius. Per exemple, mitjançant un correu electrònic se'ns avisa d'un virus nou i perillós que pot desactivar qualsevol sistema i que hi ha un fitxer adjunt al missatge que ens permet defensar-nos d'aquest atac. Aquest fitxer pot contenir programari maliciós o qualsevol altre, capaç d’infiltrar-se a la xarxa local.

La ignorància

Al món d'Internet és difícil ser conscient de totes les eines de programari i maquinari utilitzades. D'aquesta manera, els usuaris poden trobar-se confosos si un missatge conté una terminologia molt sofisticada i molt tècnica, creant les condicions per conduir la víctima a fer les accions recomanades al text sense importar-se el significat real del missatge. Per tant, es fa important llegir abans d’emprendre accions imprudents davant missatges complexos i demanar consell a usuaris amb més experiència i altament formats. Cal subratllar que no es perd el temps necessari per dur a terme les comprovacions necessàries, de fet és la millor inversió que es pot fer per no caure sistemàticament a les trampes de la xarxa i els lladres d’identitat.

Desitjar

El desig sovint condueix a navegar per parts d'Internet que resulten atractives per a l'usuari. Especialment per als usuaris masculins, és molt fàcil involucrar-se en contingut pornogràfic. [3] Un exemple molt famós es va produir a la popularíssima xarxa social Facebook , on des de principis del 2015 van aparèixer enllaços a vídeos pornogràfics falsos a la paret virtual d'alguns usuaris, on també es van esmentar alguns amics dels desgraciats. L'enllaç va donar lloc a programari maliciós que es va infiltrar en dispositius i va robar dades confidencials de les persones atacades. [4] Tot això també va ser revelat per la policia estatal italiana en un comunicat de premsa de data 16/02/2015 del qual s'informa d'un breu fragment: "Aquest és un programa" maliciós "que té la capacitat de robar dades sensibles. el virus es pot transmetre de contacte en contacte, per exemple, pot insinuar-se al xat, de manera que si xategeu amb un amic "infectat" també podríeu estar infectat ". [5]

Cobdícia

L’usuari pot trobar ofertes que semblin imprescindibles per adquirir un objecte concret. Si alguna cosa sembla fàcilment accessible, en molts casos això només pot ser una manera de mossegar a alguns desgraciats que se sentin implicats en una compra fàcil i excepcional. També en aquest cas es va produir un atac, que va aparèixer per primera vegada el 2012, a la xarxa social Facebook . S’ha estès un esdeveniment al voltant d’un dia aleatori en què l’empresa Ray-Ban venia ulleres de baix cost, destacant així una increïble oportunitat per als compradors d’estalviar fàcilment. L’esdeveniment va resultar ser un fals en què el famós fabricant d’ulleres no estava implicat, i contenia un enllaç que va conduir a la descàrrega de programari maliciós capaç d’accedir a dades personals. L'atac també es va dur a terme de diferents maneres, mantenint sempre el sistema d' etiquetatge amb la finalitat de difondre el malware. [6]

Compassió, agraïment i bones sensacions

Per a la confiança de guany i la gratitud, l'enginyer social pot pretendre proporcionar un servei o ajuda a qualsevol persona de l'empresa (per exemple, mitjançant la simulació d'una " taula d'ajuda "). La víctima, sentint-se segura, farà tot el que se li digui posant a disposició de l'atacant informació important. Per contra, si l'enginyer social pretén ser un col·lega i té problemes, la víctima pot mostrar compassió i proporcionar la informació necessària per ajudar-lo. [1]

Aprofitar les bones sensacions pot fer que algunes persones facin donacions o descarreguin aplicacions concretes. Tot i que el gènere masculí es basa en la tècnica del desig, en aquest cas és molt més fàcil trencar l’altre sexe mitjançant organitzacions benèfiques falses o llocs i aplicacions relacionades amb l’amor i la vida en parella. Un famós exemple d’aquest tipus d’atac és el virus ILOVEYOU que es va estendre el 2000, que feia servir un fitxer adjunt dins d’un correu electrònic que semblava ser un simple fitxer de text amb el títol "LOVE-LETTER-FOR-YOU.TXT", però era en realitat un fitxer executable comú.

Eines i mètodes d’atac

Les eines físiques que s’utilitzen en enginyeria social són variades, però la principal continua sent el telèfon, mitjançant el qual és possible utilitzar el llenguatge desitjat i l’enfocament exacte per eludir la víctima. També s’utilitzen correus electrònics i llocs web en l’atac, creant un context en què les imatges i els missatges poden portar l’atacant a obtenir dades confidencials mitjançant l’ús de formularis web o aplicacions reals. Amb la difusió de les xarxes socials en els darrers anys, l'enginyeria social ha tornat a desenvolupar-se, aprofitant també els sistemes semàntics o els rastrejadors d' informació. [7] Les eines no menys importants són trivialment la veu i el vocabulari de l’enginyer social, que mitjançant l’estudi del sistema a atacar aconsegueix adaptar-se a la situació en què ha de treballar per no despertar sospites. [1]

Les metodologies d’atac exploten principalment aquestes tecnologies aprofitant tècniques psicològiques. [8]

Pretexting

El pretexting ("creació d'un pretext") consisteix a crear un entorn fals amb l'objectiu d'induir un usuari a divulgar informació o a fer accions que no serien habituals en el context en què opera. L'atacant s'identifica amb una determinada entitat, aprofitant algunes dades adquirides prèviament (data de naixement, targeta d'identificació, ...), per penetrar més en la ment de la víctima. En alguns casos, l'atacant pot simular el comportament d'una determinada autoritat important, com ara la policia o el banc, cosa que provoca que la víctima respongui a totes les preguntes fetes sense dubtar-ho. Quan es fa per telèfon, utilitzar un to autoritari crea un escenari encara més realista per a la víctima. [9]

Phishing i vishing

El phishing és una tècnica per obtenir informació de manera fraudulenta. Normalment s’envia un correu electrònic a la víctima, cosa que fa que sembli el més semblant possible al missatge enviat per una empresa determinada. Es pressiona a la persona que descarregui un fitxer adjunt que presenti programari maliciós o que faci clic en un enllaç intern del correu electrònic que condueixi a una pàgina web molt similar a la original del proveïdor de serveis, presentant un formulari per emplenar on solen haver-hi camps. com ara banc de codi PIN o contrasenya. En el camp de l’enginyeria social, s’utilitza freqüentment el phishing telefònic, també anomenat vishing , en el qual es simula un context concret com un centre de trucades , a través del qual és possible rebre una major confiança de la persona implicada en l’atac.

Kevin Mitnick va ser un gran exponent de la tècnica que acaba de descriure durant les incursions informàtiques, tant que va escriure un llibre sobre aquest tema, L’art de l’engany .

Esquer i brossa informàtica

Un altre mitjà comú és l’ esquer que consisteix, com el seu nom indica, a utilitzar un esquer per a una persona capaç d’accedir a un sistema específic (una mena de cavall de Troia ). A la pràctica, un mitjà d’emmagatzematge com una clau USB o un disc dur es deixa sense vigilància en un lloc comú (entrada de l’empresa, bany públic) per tal d’estimular la curiositat de la víctima que amb una certa probabilitat agafarà l’objecte ( aprofitant, doncs, el desig i la cobdícia). Posteriorment, l'eina es pot utilitzar al sistema en què treballa l'actor implicat, accedint així a les dades personals o de l'empresa amb més facilitat, ja que ja es troba dins de la xarxa local ( LAN ).

Un altre mètode útil per obtenir informació sobre les persones és la brossa. Molt sovint es llença el maquinari sense importar que les dades encara estiguin presents al dispositiu i, per tant, es puguin obtenir d’altres. Per exemple, per esborrar dades d’un disc dur no n’hi ha prou amb fer un format complet, però cal aplicar accions físiques al dispositiu, com ara crear forats reals als discos. Cal recórrer a aquestes dràstiques mesures, ja que hi ha un programari de reconstrucció de dades especialment avançat, capaç d’obtenir les dades suprimides fins i tot després de múltiples formats. [10]

Altres mètodes

Mitjançant el mètode quid pro quo , l’enginyer social realitza algunes trucades a l’atzar a diferents empreses que pretenen garantir el suport tècnic. En el cas que la víctima tingui coneixement d’un problema que pot haver causat dins del context en què treballa, serà més possible fer-lo seguir tots els passos que condueixen a l’adquisició de dades útils. Es pot veure que el sentiment de culpabilitat en aquest cas empeny la persona implicada a fer tot el que l’atacant li digui. La seguretat de la informació va realitzar un experiment al respecte el 2003 i es va trobar que el 90% de les persones involucrades (amb feina d’oficina) estaven disposades a comunicar la contrasenya del seu ordinador a canvi d’un bolígraf barat. [11] Un cas interessant també va sorgir el 2007 a la sucursal ABN Amro d' Anvers , quan un estafador va aconseguir fer-se amb diamants i gemmes de 120.000 quirats, no a través d'eines tecnològiques, sinó comprant bombons per al personal i presentant-se com un persona amable i servicial. D’aquesta manera va obtenir la confiança dels empleats i les claus del lloc on es guardaven les joies. [12]

En el cas que un atacant vulgui accedir físicament a un lloc segur, pot ser necessari tenir una clau concreta o algun tipus de reconeixement, com ara una targeta RFID . Per a això, és possible aplicar la tècnica de persecució , que consisteix a seguir a la persona que accedeix a aquesta ubicació per intentar irrompre en aquest lloc fingint haver perdut la clau o simplement demanant una cortesia. En alguns casos, l'atacant també pot tenir una identificació falsa. [13]

El robatori de material o informació també es pot produir per robatori de desviament . El mètode també es diu " Joc de la cantonada " [14] i s'origina a l'est de Londres. Simplement consisteix a variar la destinació del missatger sense que ell se n’adoni, obtenint així el material d’interès. De la mateixa manera, tot també és aplicable a Internet, variant el destinatari d’un missatge concret.

Possibles contramesures

Per contrarestar els intents d’enginyeria social, no es pot confiar en les tecnologies físiques adoptades per a la seguretat informàtica, com ara tallafocs o antivirus . De fet, atès que en aquest cas el vincle feble és l’ésser humà, la consciència i la desconfiança es converteixen en armes importants en la defensa contra l’enginyeria social.

Per limitar atacs d’aquest tipus, a l’entorn empresarial es poden seguir algunes precaucions com:

  • Creeu una infraestructura de confiança per als empleats i la resta de personal (especifiqueu on, com, quan i per a qui s'han de processar les dades).
  • Comprendre quina informació és sensible i avaluar el seu nivell d’exposició al món exterior.
  • Establir protocols, polítiques i procediments de seguretat per a dades sensibles .
  • Formar el personal d’interès en els procediments de seguretat que us interessin.
  • Provar aleatòriament, sense informar, aquesta infraestructura.
  • Manipuleu i reviseu tots els passos. [15]
  • Utilitzeu un servei de gestió de residus amb taquilles bloquejades amb cadenats que només poden obrir personal de neteja autoritzat ( els residus informàtics poden ser útils per a possibles atacants).

A nivell personal, també es recomanen aquestes contramesures: [16]

  • Desconfieu dels correus electrònics o de les trucades telefòniques no sol·licitades, especialment si la gent sol·licita informació sobre els empleats o sobre l’empresa (inclosos els financers). Esbrineu primer qui sol·licita aquestes dades (autoritats).
  • No dissemineu informació sensible a la xarxa sense comprovar el nivell de seguretat i fiabilitat del lloc.
  • Comproveu sempre l' URL del lloc web , ja que pot contenir algunes lleugeres diferències respecte a l'original.
  • Obteniu més informació sobre l’emissor del missatge, sense referir-vos només a la informació de contacte, sinó cercant possibles atacs a les llistes de pesca que es poden trobar a través del motor de cerca.
  • Eviteu obrir fitxers adjunts o executables d’origen dubtós.

Si sabeu que heu estat víctima d'un atac d'enginyeria social:

  • En un entorn empresarial, és important comunicar-ho tot als administradors de xarxa i als gestors de seguretat interns.
  • En cas que hi hagi hagut comptes bancaris, cal contactar amb el banc d’interessos i controlar el saldo i els moviments.
  • Si s'han comunicat contrasenyes, també s'han de canviar a la resta de llocs on es van utilitzar.
  • Considereu també la possibilitat de comunicar-vos amb una autoritat competent (per exemple: la policia postal ).

Nota

  1. ^ A b c (EN) TC Samuel Thompson, Helping the Hacker? Informació de la biblioteca, seguretat i enginyeria social , en Tecnologies de la informació i biblioteques , vol. 25, núm. 4, 13 de gener de 2013, pp. 222-225. Consultat el 19 d'abril de 2016 .
  2. Paolo Attivissimo, enginyeria social , a www.attivissimo.net . Consultat el 24 de març de 2016 .
  3. ^ Pornografia i Internet. El 12% dels llocs són pornogràfics. Totes les estadístiques a www.piacenzanight.com . Consultat el 16 d'abril de 2016 (arxivat de l' original el 27 d'abril de 2016) .
  4. ^ Protecció del compte: nova onada de vídeos porno etiquetats a Facebook , www.protezioneaccount.com . Consultat el 2 d'abril de 2016 .
  5. ^ Dades en risc a Facebook amb el nou virus , a www.poliziadistato.it . Consultat el 13 d'abril de 2016 .
  6. ^ Mark Turner, els spammers estan dirigits a àlbums de fotos de Facebook , a markturner.net . Consultat el 16 d'abril de 2016 .
  7. ^ Les AP van ser víctimes ideals d'atacs d'enginyeria social: a causa de les llacunes de la cultura de TI , a forumpa.it . Consultat el 19 d'abril de 2016 .
  8. ^ Defensa contra les tècniques d'enginyeria social per robar dades personals i fer trampes , a Navigaweb.net . Consultat el 31 de març de 2016 .
  9. ^ Com mantenir segura la vostra informació personal | Informació al consumidor , a www.consumer.ftc.gov . Consultat el 13 d'abril de 2016 .
  10. ^ Com esborrar permanentment les dades d'un disc dur , a wikiHow . Consultat el 31 de març de 2016 .
  11. ^ Hacking, els treballadors d'oficines regalen contrasenyes per a un bolígraf barat a theregister.co.uk . Consultat el 13 d'abril de 2016 .
  12. Luigi Cristiani, ABC de seguretat: enginyeria social , a techeconomy.it . Consultat el 16 d'abril de 2016 .
  13. ^ No Tailgating , sobre consells de seguretat de la informació de Westfield Insurance . Consultat el 13 d'abril de 2016 (arxivat de l' original el 10 de juny de 2016) .
  14. ^ Train For Life , a trainforlife.co.uk , 5 de gener de 2010. Obtingut el 13 d'abril de 2016 (arxivat de l' original el 5 de gener de 2010) .
  15. Mitnick, K. i Simon, W. (2005). "L’art d’intrusió". Indianapolis, IN: Wiley Publishing.
  16. ^ Amenaces: com evitar atacs de pesca i enginyeria social - CERT Nazionale Italia , a CERT Nazionale Italia . Consultat el 21 d'abril de 2016 .

Bibliografia

Publicacions

Articles relacionats

Altres projectes

Enllaços externs