BOSTON – Un prominente consultor de seguridad insta a replantear la forma como las empresas manejan el conocimiento y la educación de los usuarios, y advierte que los técnicas de ingeniería social empleadas por los atacantes las tornan difíciles de combatir.
Durante una presentación en la conferencia SOURCE, el administrador del incidente SANS y Consulting Manager en Savvis, Lenny Landis, advirtió que no se abordado correctamente la educación de los usuarios y «ha fracasado» porque es «demasiado aburrido», y recomienda que los profesionales de la seguridad miraren de cerca la evolución de los ataques de ingeniería social.
«El forastero ahora está entre nosotros», dijo Landis durante la presentación de casos reales de técnicas de ataque de ingeniería social que han atraído a los usuarios profesionales y consumidores finales a la tierra de los sitios maliciosos, comprometiendo así credenciales sensibles de los usuarios.
«Tal vez la forma cómo realizamos los entrenamientos de conciencia de seguridad son demasiado aburrido en estos días. Tenemos que capacitar a los empleados y los usuarios finales en los canales alternativos de ingeniería social … de la forma en que están [los atacantes utilizando la mensajería personal relevante, el cumplimiento social y la confianza en los mecanismos de seguridad.
«Como están las cosas hoy en día, debemos asumir que la ingeniería social va a funcionar. Tenemos que capacitar a nuestros usuarios de una forma diferente para que entiendan exactamente como estos ataques trabajan. Necesitamos tener conciencia de la seguridad en torno a la ingeniería social para trabajar y medirla a través de pruebas de lápiz «, agregó Zeltser.
Zeltser discutió la forma como los atacantes pasaron por alto los controles tecnológicos al usar técnicas de ingeniería social, tales como:
- Iniciar los ataques en el mundo físico en lugar del virtual. Los ejemplos incluyen el uso de volantes dejados en los parabrisas de los automóviles dentro de los estacionamiento, los cuales solicitaban a las personas que accedieran al sitio web horribleparking.com. Una vez que un usuario visita el sitio, se les pidió la descarga de un reproductor para ver archivos de medios. La descarga resultó ser un ataque de un falso anti-virus (scareware).
- Ataque que comienzan con mensajes de voz en los teléfonos, dando la bienvenida a los usuarios a una institución financiera y engañándolos para confirmar la información de la cuenta. «Entre más incómodo se pueda sentir el objetivo, es más probable que de un clic en un enlace o renunciar a la información porque quieren quitare esa molestia.»
- Los atacantes compran campañas de publicidad en sitios web legítimos mediante el uso de información de agencias de publicidad reales. «En un caso, el atacante efectivamente comprometió el objetivo por teléfono durante un lapso de varios días, utilizó la jerga de la agencia de publicidad, convenciendo a la victima de que se trataba de una verdadera campaña», explicó. Resultó ser una campaña de malvertising que sirvió explotaciones PDF a los visitantes.
- El troyano Waledac utiliza mensajes personales relevantes como señuelos para aumentar la eficiencia de los ataques. El malware utiliza el correo electrónico como señuelo con noticias de última hora sobre la explosión de una bomba, y cuando los usuarios visitan el sitio Web falso, visualizan un falso informe de noticias de la agencia Reuters, que utiliza la geolocalización para determinar la procedencia de la víctima. Con base en la ubicación, el mensaje es personalizado para la una ciudad específica.
- Los archivos adjuntos de correo electrónico que pretenden ser facturas de UPS y los proveedores de malware que utilizan software de chat en vivo Web para interactuar con las víctimas en tiempo real.
- Clickjacking en Facebook que engaña a los usuarios para dar clic en botón ¿deseas ver algo caliente? » para difundir un vínculo malicioso dentro de iFrame invisible.
«Hasta ahora, hemos estado fallando en educar a los usuarios finales. Tenemos que encontrar una mejor forma de hacer esto», dijo Zelser, instando a las empresas a centrarse en la segmentación interna y el principio de privilegios mínimos para limitar el daño de los ataques.
«Tenemos que centrarnos en lo que está pasando dentro de la organización debido a que un forastero puede convertirse fácilmente en un informante.».
Requieres asesoría de como mejorar la seguridad de tu negocio o empresa contacta a Multicomp dedicados a Seguridad Informática