Enginyeria social: atacs habituals i com podem esquivar-los

L’enginyeria social és l’art de l’engany. Utilitza tècniques de manipulació de la naturalesa humana perquè faces alguna acció i el ciberdelinqüent aconseguisca el seu objectiu. Normalment, aquest tipus d’atacs apel·len els sentiments i emocions de les persones, i 4 principis bàsics del nostre comportament:

1. La nostra tendència és la confiança cap a l’altre.
2. A tots ens agrada que ens lloen.
3. No ens agrada dir NO.
4. Tots volem ajudar.

L’enginyeria social està en evolució constant, sempre innovant, perfeccionant els seus trucs i creant nous atacs per a fer-te caure en el seu parany. Repassem els més habituals, des dels més populars als de nou encuny:

• Phishing: l’atac d’enginyeria social per excel·lència. Busquen “pescar” víctimes, generalment per correu electrònic, suplantant la identitat d’una empresa o persona de confiança per a obligar-te a fer el que volen. Recorda que el phishing pot “pescar-te” per qualsevol mitjà i dispositiu, inclosa la  Internet de les Coses. Més informació en aquesta guia per a identificar-lo.

• Business Email Compromise (phishing corporatiu): variant del phishing per correu electrònic on el remitent suplanta un superior o company de la teua empresa per a aconseguir el seu objectiu. Un exemple seria el Frau del CEO.

• Smishing: variant del phishing que es difon a través de SMS. Són bastant habituals els que suplanten Correus i la Seguretat Social amb pretextos relacionats amb falses ajudes i subsidis.

• Vishing: variant del phishing que actua a través de telefonades. L’atacant suplanta una organització o persona de confiança per a estafar la víctima o fer que revele informació confidencial.

• Sextorsió: xantatge on amenacen la víctima a difondre contingut compromés de caràcter sexual si no accedeix a la petició del ciberdelinqüent.

• Baiting: empra un esquer amb programari maliciós, per exemple, una memòria USB, perquè siga la mateixa víctima la que el connecte al seu dispositiu i l’infecte. Mai connectes dispositius extraïbles que trobes per casualitat, ni encara que tinguen el logotip de la teua empresa o vulgues retornar-los al seu propietari.

• Shoulder surfing: mirar per damunt del muscle, espiar, observar el que una persona escriu o el que apareix en la pantalla del seu dispositiu per a capturar informació útil.

• Dumpster diving: el vell truc dels paparazzi, ensumar en el fem per a obtindre documents amb informació personal o financera, o indicis d’hàbits de les persones.

• Quid pro quo: accions que prometen un benefici o una compensació en forma de regal a canvi d’entregar la teua informació personal, per exemple, emplenant un formulari. Poden prometre marxandatge d’una marca, cupons descompte, accés exclusiu a un esdeveniment…

• Xarxes socials: l’enginyeria social sol recórrer a cupons descompte, sortejos, jocs, qualsevol format en el qual cregues que pots guanyar alguna cosa, a canvi de la teua informació. Aquesta és una fórmula especialment habitual (i eficaç!) en xarxes socials.

• Brushing: engany relacionat amb el comerç electrònic. La persona rep a la seua casa un paquet no sol·licitat d’una empresa. L’empresa venedora crea un compte d’usuari fals, suplantant la identitat de la persona que ha rebut el paquet. Amb aquesta escriu un comentari positiu i qualifica el producte amb la màxima puntuació. Aquesta acció, multiplicada per centenars o milers de casos, fa que l’atacant aconseguisca el seu objectiu: millorar el posicionament del producte en els aparadors virtuals.

Com déiem, l’enginyeria social és tot un art, però no és invencible. Si no pots amb l’enemic, fixa’t en les seues pistes i esquiva’l:

• Verifica sempre el remitent dels correus electrònics, els atacants utilitzen adreces falses i solen camuflar-les. Davant el dubte, no faces clic en cap enllaç, no òbrigues arxius adjunts, no descarregues cap programari i no respongues al missatge, reporta’l a través del correu “csirtcv@gva.es” o elimina’l.

• Desconfia dels correus amb arxius adjunts sospitosos, especialment si contenen suposades factures no sol·licitades o impagades. Flama sempre per telèfon al remitent (consulta les dades de contacte oficials, no els del correu) per a comprovar la seua autenticitat. Davant el dubte, no descarregues ni òbrigues cap adjunt.

• Popularitat inesperada? No agregues en les teues xarxes socials contactes que no coneixes de res, poden estar recopilant la teua informació per a suplantar la teua identitat o altres propòsits il·lícits.

• Atenció a la desinformació: alguns partits polítics utilitzen les xarxes socials per a esbiaixar la teua opinió i guanyar vots, verifica sempre les notícies i no propagues faules. Informa’t bé abans d’emetre el teu vot o difondre una notícia “sospitosa”.

• No compartisques les teues contrasenyes, els atacants poden fer-se passar per altres persones de l’organització per a accedir a les teues credencials.

• Utilitza la verificació en dos passos, així, encara que aconseguisquen la teua contrasenya no podran accedir al teu compte, ja que es requereix una segona acció de verificació.

• Evita fer clic en enllaços que et porten a l’inici de sessió d’una web, podria ser un clon de l’autèntica, dissenyada per a robar les teues contrasenyes.

• Els atacants poden crear xarxes wifi fraudulentes amb el mateix nom que les originals i accedir a les teues dades de navegació. Evita les xarxes públiques!

• Sigues original amb les preguntes de seguretat de recuperació de contrasenyes: només tu has de saber la resposta. Preguntes i respostes, com més creatives millor.

• Descàrrega el programari i les aplicacions de fonts oficials, evita les descàrregues pirata o a través d’enllaços no comprovats. Desactiva les descàrregues automàtiques en els teus dispositius.

• Protegeix les teues dades, no reveles informació personal ni professional en formularis d’Internet, sortejos, trucades telefòniques o converses en públic. Mai saps qui està a l’altre costat.

• Si compres per Internet, fes-ho en botigues oficials. Fer servir PayPal per a pagar ofereix més seguretat al comprador. Alerta amb descomptes i regals! Si sembla massa bo per a ser cert, probablement és un parany.

ConcienciaT més:

• Pren nota dels 7 errors de ciberseguretat que no hauries de cometre.
• Protegeix-te encara millor traient el “fem” dels teus dispositius: guia contra el spam.