Entradas etiquetadas como ‘timo’

Ingeniería social

Miércoles, 17 de febrero de 2010
Al acecho...

Al acecho...

La gente es más inocente que un balón de playa. De buenos que somos rayamos en lo ridículo, bordeamos la frontera con los tontos de baba. Nos gusta ayudar o, mejor dicho, quedar bien ante los demás. Si alguien que no conocemos nos pide algo por teléfono de buenas maneras y con voz sensual, le damos hasta la talla de ropa interior. Si un desconocido nos aborda por la calle y nos pide que le socorramos y le dejemos el móvil para llamar, le marcamos nosotros al pobre, que está muy nervioso. Bienvenidos al maravilloso mundo de la ingeniería social.

Una de las técnicas de hacking más antiguas (y eficaces) es la ingeniería social. Es la “ciencia” que permite obtener información confidencial mediante la manipulación psicológico social de los individuos usuarios legítimos. Se trata de técnicas muy antiguas que, probablemente, llegaron al mundo binario nacidas en otros contextos, porque a la gente se la ha engañado toda la vida. El principio que sustenta la ingeniería social referida a la computación es que en cualquier sistema informático el usuario es el eslabón más débil.

El gran Kevin Mitnick, uno de los hackers más famosos de los años ochenta y noventa en EEUU y ahora reconvertido en consultor de seguridad, fue el más alto representante en lo que a ingeniería social se refiere. Según sus propias tesis, este tipo de ataque para averiguar claves de acceso, contraseñas y datos sensibles de usuarios está fundamentado en cuatro pilares básicos que son:

  1. Todos queremos ayudar.
  2. El primer movimiento es siempre de confianza hacia el otro.
  3. No nos gusta decir que no.
  4. A todos nos gusta que nos alaben.

Bien es cierto que hoy día los usuarios estamos más alerta ante engañifas tales, porque vivimos mejor informados y vemos por la tele continuamente noticias de timos a través de Internet o del teléfono. Pero en la época de Mitnick, si a un empleado de una gran empresa le llamaba un hacker social haciéndose pasar por un superior (al que ni siquiera conocía) o por un compañero en apuros, el hombre soltaba por su boca contraseñas y la vida si era necesario.

Esto no quiere decir que a estas alturas de la existencia no siga habiendo gente que caiga en bulos y enredos. Y me viene a la memoria un mail, encadenado de esos, que recibí hace poco. En él se relataba una historia que venía a decir (y hablo de memoria) que una chica apurada solicitaba el móvil de otra persona en un restaurante para llamar a su marido, que debía pasar a recogerla y no había aparecido. El hombre le ofrece su móvil y la mujer, tras retirarse un poco, realiza una llamada. Pocos minutos después vuelve a pedir el teléfono porque su marido sigue sin aparecer, telefonea de nuevo y devuelve el aparato a su dueño; desaparece. Posteriormente el dueño del móvil recibe una llamada de su madre llorando y preguntado a ver si está bien. El hombre no comprende nada hasta que la madre le explica que una mujer la llamó diciéndole que su hijo estaba secuestrado y requiriendo un rescate inmediato. Además le dijo que aquello no era ninguna broma, y que como prueba estaba telefoneando desde el móvil de su hijo. Posteriormente la volvió a llamar para confirmar la recepción del rescate.

Dudo mucho que la historia sea cierta, pero podría haber sido totalmente verídica. La cantidad de correos electrónicos que llegan a nuestros buzones solicitando nuestras contraseñas de servicios de mensajería o nuestros datos bancarios es ingente, y estamos curados de espanto. Pero, aún así, se siguen produciendo timos a plena luz del día.

La ingeniería social no siempre es esencialmente delictiva, un ejemplo podría ser el de un vendedor que investiga las costumbres y aficiones de un cliente para establecer una relación de confianza o empatía y poder vender con mayor facilidad sus productos o servicios. Google, sin ir más lejos, nos espía continuamente para, según ellos, mejorar la experiencia del usuario. Pero, ¿quién no se ha encontrado un correo en su cuenta de, por decir algo, una empresa que fabrica cajas registradoras dos días después de haber realizado un búsqueda sobre ese mismo asunto? Aquí hay algo que no huele muy bien.

Los gobiernos utilizan continuamente diversidad de técnicas sociales para desviar la atención de temas inconvenientes, críticos, de escándalo, de corrupción, etcétera. Las denominadas “cortinas de humo” son técnicas de ingeniería social. Todo el mundo es capaz de mentir por algo que de verdad le importe, y cualquiera de nosotros es susceptible de caer en una trampa.

Lo más importante es dejarse llevar por la intuición y por el sentido común. Cualquiera debería saber que nuestros datos personales más confidenciales son absolutamente privados, y nadie puede solicitárnoslos por teléfono o por correo electrónico. Y que por mucho que te alaben y te den coba desde el otro lado de la línea, los altos cargos de tu empresa nunca te pedirían a ti directamente una contraseña. Además, créeme, el presidente de tu compañía no tiene una voz sensual, te lo aseguro.

Escrito en la categoría Underground | Etiquetas: engaño, ingeniería, kevin, mitnick, social, timo, Underground | 6 comentarios »

Sobre phishing y tal

Miércoles, 25 de noviembre de 2009
Phishing

Phishing

Si se pudiera calibrar la capacidad de maldad de la multitud de cuatreros electrónicos que campan por la Red, sin duda a los autores del phishing se les podría calificar de auténticos hijos de la gran puta con todas las letras.

El phishing comenzó allá por los años noventa, cuando hackers bregados en ingeniería social lograban conseguir los datos de clientes de AOL para utilizar los servicios de esta compañía americana por la face.

En aquella época, cuando las pequeñas aplicaciones que generaban números válidos de tarjetas de crédito funcionaban, cualquier pendejo digital era capaz de burlar la seguridad de grandes empresas intimidando a sus usuarios con veladas amenazas de cerrar sus cuentas de por vida si no recitaban sus claves de cabo a rabo.

El phishing evolucionó para convertirse en un método eficaz de conseguir los datos de cuentas de correo electrónico y software de mensajería instantánea, de lo que no se libró ni el apuntador, aunque parece ser que los ladronzuelos se decantaban más por los omnipresentes Hotmail y Messenger. No era raro recibir un correo solicitando tu nombre de usuario y contraseña so pena de bloquear tu cuenta si te resistías a colaborar. Lo más gracioso del tema era recibir una notificación de un servicio del que tú no disponías, causa por la que adivinabas el engaño antes que los demás.

Muchos de los intentos de embuste se basaban (y se basan) en la capacidad de la víctima para intentar hacer el mal, saliendo escaldado por supuesto. Algo así como el timo de la estampita de toda la vida, en el que el timado es abordado por una persona, aparentemente de capacidades mentales limitadas, con el objeto de venderle estampitas, que son billetes realmente, y, al final, el intento de aprovecharse del pobre tonto termina por dejar a la víctima sin un céntimo en su cartilla de ahorros. Muy español, sí señor; voy a timar al bobo de turno y acabo siendo yo el timado. Pero que nadie se entere, no vaya a ser que encima se rían de mí.

Este ejemplo trasladado al mundo de Internet es el clásico mensaje que te ofrece la posibilidad de conocer la contraseña de cualquier correo de Hotmail. Vamos, que puedes meterte hasta el fondo en la cuenta de la vecinita esa que está buenorra y ver las fotos que se hizo en topless en la playa de Palma y que envió la semana pasada a su mejor amiga. Evidentemente para realizar este trámite has de enviar un correo de determinadas características a una dirección (la del timador) en el que, de alguna u otra manera, habrás de incluir tu cuenta de usuario y tu contraseña. El cazador cazado.

La evolución del phising ha pasado en unos años del terreno de la gamberrada al del delito más flagrante. Hoy no se roban contraseñas, sino pasta contante y sonante. Cualquiera de nosotros habrá recibido más de una vez un mensaje de Caja Madrid o del Banco Santander solicitando nuestros datos de acceso a su web con el fin de solucionar problemas de seguridad recientemente acaecidos o de cotejar determinada circunstancia ocurrida con la cuenta. Por supuesto siempre hay una amenaza implícita, y es que si no accedes podrías perder tu acceso, tu cuenta, tu dinero… incluso si no eres cliente siquiera. Tócate los pies.

La semana pasada llegó a mi buzón el último intento de esta panda de cabronazos de querer timarme. Supuestamente la Agencia Tributaria me devolvía un dinero que me debía (cosa ya rara de por sí) y para ello había de acceder a su web (vía un enlace en el propio correo; muy típico) en el que, entre otros datos personales, tenía que escribir el número de tarjeta de crédito y ¡mi PIN!. Sí, han leído ustedes bien, mi PIN. Además especificaban claramente que debía ser el que yo utilizaba en el cajero automático cuando sacaba dinero, por si no me quedaba cristalino.

Mi reacción ante estos insultos a mi inteligencia es siempre primaria, entendiendo por “primaria” primitiva y poco civilizada. Relleno los casilleros del formulario de improperios y hago clic en el botón de enviar. Que se jodan. Pero el otro día, además, me indigne sólo de pensar en la cantidad de personas que, incautos ellos, escriban sus datos, PIN incluido, y lo envíen vaya usted a saber dónde y a quién con el anhelo de recibir esos ciento y poco euros que les prometen. Personas mayores, de pocos recursos y faltos de amplios conocimientos acerca de Internet, son timadas diariamente y despojadas de sus ahorrillos por estos crueles apandadores sin escrúpulos.

Se estima que entre mayo de 2004 y mayo de 2005, aproximadamente 1,2 millones de usuarios de ordenadores en Estados Unidos tuvieron pérdidas a causa del phishing, lo que suma aproximadamente 929 millones de dólares estadounidenses. Wikipedia dixit.

Los daños causados por el phishing oscilan de la pérdida del acceso al correo electrónico a pérdidas económicas sustanciales. Este tipo de robo de identidad se está haciendo cada vez más popular por la facilidad con que personas confiadas normalmente revelan información personal a los phishers, incluyendo números de tarjetas de crédito y números de la Seguridad Social. Una vez esta información es adquirida, los phishers pueden usar los datos personales para crear cuentas falsas utilizando el nombre de la víctima, gastar el crédito de la víctima, o incluso impedir a las víctimas acceder a sus propias cuentas.

Y ahora, encima, se está empezando a poner de moda también el phishing telefónico y vía SMS, en el que se nos solicitan nuestros datos en un mensaje corto de texto o mediante una llamada a nuestro móvil o teléfono fijo.

La recomendación es muy clara: no hay que fiarse nunca de nadie que nos pida información que sólo nosotros debemos conocer. Nuestro PIN de una tarjeta de crédito, por ejemplo, sólo debemos de saberlo nosotros. Ni el propio banco tiene por qué conocer este dato.

Por mucho logotipo guapo en un correo y mucha página web con apariencia de “oficial”, la única manera que debemos utilizar para acceder a un sitio web es a través de su dirección completa en un navegador. Olvídese de links o vínculos que le llevan a los oscuros dominios del atacante con URL interminables que, incluso, pueden incluir el nombre de la entidad en cuestión. Además asegúrese de que la página en la que está utiliza algún tipo de cifrado (busque el candadito, hombre).

Un nuevo método que se está imponiendo es el que utiliza la técnica conocida como Cross Site Scripting (XSS), y que permite a un atacante dirigir al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. Esta técnica se basa en una vulnerabilidad del sistema de validación de un HTML incrustado y ofrece la posibilidad de ejecutar un código o script propio en el contexto de otro sitio web. Afortunadamente cada vez son más las empresas y organismos que protegen sus webs frente a este agujero de seguridad.

Otro problema es el relacionado con el manejo del Nombre de Dominio Internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dοminiο.com, aunque en el segundo las letras “o” hayan sido reemplazadas por la correspondiente letra griega ómicron, “ο”). Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing, o ataque homógrafo, ningún ataque conocido de phishing lo ha utilizado. Aunque sólo hay que dar tiempo al tiempo.

Lo más importante es guardar unas medidas básicas de seguridad para que no puedan engañarnos. Supongo que en el “mundo real” usted no ofrecería sus datos bancarios al primer desconocido que pasee por la calle, pues en el “mundo virtual” haga lo mismo. Con el tiempo sospecho que irán apareciendo nuevos métodos de engañar y timar a la gente, porque mangantes siempre ha habido y siempre habrá, pero que no se crean que todo el monte es orégano. A mí no me phiseas, pendejo.

Escrito en la categoría Internet | Etiquetas: phisher, phishing, timador, timo | No hay comentarios »
Sigue teknoPLOF! vía…
 
Twitter
RSS
 
BTaprendiendo
Publicidad
Editor
Jonathan Préstamo Rodríguez
Licencia Creative Commons
Wikio – Top Blogs

Contacto | Licencia | Privacidad

(cc) Jonathan Préstamo Rodríguez | teknoPLOF! | 2008 - 2011 | Powered by WordPress