Pruebas de ingeniería social y Phishing

Las Pruebas de ingeniería social y Phishing son una práctica muy utilizada por los delincuentes informáticos que les permite ingresar a los sistemas internos de las empresas, o equipos personales, a través de engaños que realizan a los usuarios, aprovechando su confianza e ignorancia en muchos casos, para que revelen información confidencial y sensible o efectúen algunas acciones que benefician directamente a los atacantes.

La ingeniería social genera una sensación o situación de urgencia. Los atacantes esperan que sus victimas objetivos no reflexionen demasiado sobre lo que está sucediendo y que actúen de forma rápida. Por eso, es necesario que tomes una pausa para reaccionar, pensar y demostrar que se trata de un fraude.

Uno de los métodos más utilizados por su efectividad en ingeniería social es el Phishing, donde los delincuentes utilizan diferentes medios para engañar a los usuarios y de esta forma cumplir con sus propósitos, como obtener datos de importancia entre las cuales se destacan las credenciales de acceso e información valiosa y reservada de empresas y personas.

Índice

¿Qué es el Phishing y que medios son utilizados para ejecutar ataques?
¿Cuál es el objetivo para realizar las pruebas de ingeniería social?
- ¿Cómo se realizan las pruebas de ingeniería social a través de phishing?
¿Quiénes pueden realizar una prueba de ingeniería social y Phishing?
¿Cómo se puede proteger una empresa contra el phishing?
- Consejos para evitar un ataque de Ingeniería Social
Conclusiones

¿Qué es el Phishing y que medios son utilizados para ejecutar ataques?

¿Qué es el Phishing?

El phishing es una técnica que utilizan los delincuentes cibernéticos, que buscan seducir a las personas para que brinden información privada y sensible, como, contraseñas, números de cuentas bancarias, claves tarjetas de crédito, entre otros datos. Por lo general, los atacantes aparentan ser miembros de entidades o personas de confianza, que ofrecen productos financieros u otros servicios en línea bastante llamativos.

Un ataque de ingeniería social es ejecutado a través de diferentes medios como:

Llamadas telefónicas.
Correos electrónicos.
Aplicaciones de mensajería.
Redes sociales.
Ataques perpetrados por medio de acciones directas y presenciales.

Llamadas telefónicas

Con este método de engaño, los delincuentes estafadores hacen uso de llamadas telefónicas para manipular y engañar a las personas para obtener todo tipo de información sensible una vez se han ganado su confianza y persuasión.

Para cumplir con su objetivo utilizan estrategias psicosociales y suplantación de identidad, creando ambientes donde se relacionan clientes y proveedores, para convencer mucho más la persona atacada y de esta forma hacer que brinden con mayor facilidad la información solicitada.

Correo electrónico y aplicaciones de mensajería

Buscan los delincuentes obtener la información enviando correos electrónicos a la persona seleccionada a partir de la suplantación de cuentas de personas que laboran para la empresa, emulando formatos iguales de clientes y proveedores, aplicando técnicas de persuasión para cumplir con la entrega de la información buscada.

También los delincuentes se valen de aplicaciones de mensajería y redes sociales, para persuadir y motivar a las personas a enviar información y datos sensibles de empresas y personas, que les permite, cometer delitos y fraudes, robar dinero o causar otro tipo de daños.

Prueba de Ingeniería social realizada de manera directa

Los ataques en este tipo se realizan a través de engaños a los usuarios utilizando métodos directos y presenciales que realizan estando dentro de las instalaciones, una vez se ha logrado tener la suficiente confianza con el usuario y posterior a ello acceder a la información al interior de la empresa, para ello utilizan:

Suplantación de identidad - Los atacantes se hacen pasar por empleados de una empresa, por ejemplo, de servicio al cliente, etc., para acceder a áreas restringidas y obtener información sensible.
Diferentes tipos de pretextos - El estafador crea una situación no real para obtener información o acceso.
Espionaje - El delincuente observa a la víctima mientras esta introduce contraseñas, claves u otra información confidencial, ya sea de forma presencial o a través de cámaras ocultas.
Otro ejemplo de ataque de ingeniería social es el Baiting por medio del cual un atacante deja un dispositivo infectado con un virus, como una USB en un sitio de fácil acceso para que la victima lo instale y contamine el sistema con el malware y de esta forma el atacante obtiene acceso no autorizado para obtener acceso a sus recursos, información o sistemas.

Otros métodos que se deben tener presentes

Otro método que utilizan los atacantes es a través de ofrecimientos llamativos para hacer caer a los usuarios, donde muestran enlaces para realizar descargas, por ejemplo de Software gratuitos.

También otra trampa bien novedosa es el ofrecimiento de ayudas o servicios de importancia a cambio de información confidencial o el acceso a redes o sistemas de las empresas.

Otro método de ataque funciona por medio de mensajes de texto o SMS. por lo general, estos ataques piden a la víctima que realice un proceso inmediato a través de vínculos maliciosos en los que hacen clic o dan números de teléfono para llamar.

¿Cuál es el objetivo para realizar las pruebas de ingeniería social?

Las pruebas de ingeniería social buscan y permite a los colaboradores empresariales concientizarse de los riesgos que un ataque de Phishing le puede acarrear a las empresas y organizaciones.

Al someter a una empresa a este tipo de prueba, se evalúa que tan factible es que sus empleados sean víctimas de un ataque de ingeniería social y cuál sería su reacción en el momento de recibir un verdadero ataque.

¿Cómo se realizan las pruebas de ingeniería social a través de phishing?

A través de una prueba de ingeniería social, se simula un verdadero ataque de forma personalizada y de esta manera detectar que tan vulnerable es la persona abordada, para luego mejorar las capacidades contra un ataque de los delincuentes informáticos.

La prueba que realizan expertos en seguridad informática supone la simulación de correos electrónicos de phishing, donde se evalúa la capacidad de una determinada empresa para resistir ataques de esta índole.

En la ejecución de la prueba, el atacante envía correos de prueba a los colaboradores de la empresa auditada, que al parecer son reales, pero con enlaces a sitios web falsos o solicitando algún tipo de información.

Quienes hacen clic en los enlaces o brindan alguna información de seguridad son redirigidos a una página de información de seguridad, que les brinda información sobre el phishing y como evitar ser vulnerado por esta modalidad de ataque.

Una vez se ha concluido la prueba, los profesionales encargados de realizarla, emiten un informe donde se describen las diferentes vulnerabilidades y falencias de los sistemas informáticos, con las correspondientes recomendaciones para corregir las debilidades halladas.

Otro aspecto importante es que el grupo de auditores de la empresa contratada para realizar la prueba, brindan capacitación a los empleados de la empresa a través de diferentes módulos, para ampliar la cultura y concientización sobre el buen manejo de los diferentes activos informáticos y evitar de esta manera ataques de Phishing inesperados.

¿Quiénes pueden realizar una prueba de ingeniería social y Phishing?

Expertos en seguridad informática especializados en realizar pruebas de penetración y de ingeniería social están disponibles para brindar las mejores soluciones a través de servicios de seguridad, dependiendo de las necesidades de cada empresa, compañía u organización.

Este grupo de profesionales laboran para la empresa DragonJAR, con amplia experiencia en el campo de la seguridad informática, con un amplio portafolio de servicios para empresas y organizaciones que quieran proteger sus sistemas informáticos, detectar vulnerabilidades en ellos y poder de esta manera ir un paso más adelante que los delincuentes informáticos.

¿Cómo se puede proteger una empresa contra el phishing?

Son varias las alternativas para que tu empresa se mantenga bien protegida contra ataques de los ciberdelincuentes, entre ellos tenemos las siguientes:

En primer lugar, se debe brindar capacitación de forma regular a todos los empleados de las empresas donde se brinde información sobre como detectar e identificar correos electrónicos con contenido de Phishing, como abordar llamadas donde se muestra claramente que van directamente en búsqueda de información y en contra de la seguridad y como detectar intrusos que van directamente a obtener datos de forma fraudulenta.

También, se deben implementar filtros de correo electrónicos para bloquear los indeseados antes que lleguen a la bandeja de entrada de los usuarios.

Mantener los diferentes sistemas informáticos actualizados y protegidos, sin brechas de seguridad por donde se pueda filtrar datos e información sensible. Esto se puede realizar a través de un Pentesting o prueba de penetración.

Finalmente, es muy importante estar muy atentos frente a peticiones que nos hagan de forma extraña. Nunca debemos brindar información sensible si no estamos autorizados y seguros de la persona que nos contacta y mucho menos divulgar credenciales de acceso.

Consejos para evitar un ataque de Ingeniería Social

Reporte a los encargados de la seguridad cualquier mensaje de correo electrónico sospechoso y elimínelo
Investigue en lo posible las fuentes de procedencia y las páginas web
Instale un antivirus seguro y de empresas que le brinden confianza, para combatir la ingeniería social
Use una conexión Wi-Fi privada o una VPN cuando lo considere posible.
Utilice siempre contraseñas que sean seguras

Conclusiones

Entender claramente de que se tratan las pruebas de ingeniería social utilizando diferentes métodos empleados por los ciberdelincuentes es muy importante para poder proteger la información sensible y privilegiada de las empresas.

El phishing es una técnica que utilizan los delincuentes cibernéticos, que buscan seducir a las personas para que brinden información privada y sensible, como, contraseñas, números de cuentas bancarias, claves tarjetas de crédito, entre otros datos.

Capacitar a los colaboradores de las empresas y establecer políticas y procedimientos fuertes en materia de seguridad es vital para reducir los riesgos de ser víctima de un ataque de ingeniería social.

Consulta a expertos en Pruebas de ingeniería social y Phishing de la empresa DragonJAR, quienes a través de diferentes métodos, pruebas y capacitaciones podrás hacer que tu empresa, organización de cualquier sector económico este protegida y libre de este tipo de amenazas cibernéticas.

Pentesting continuo en Medellín