El concepte enginyeria social es refereix a una sèrie de tècniques que s’utilitzen en Seguretat informàtica, bé siga per professionals del sector o bé siga per ciberdelinqüents, amb la finalitat d’obtindre, a través de l’engany a usuaris legítims, informació privada sobre el seu entorn, i així poder realitzar atacs més sofisticats sobre aquest, com a un accés als sistemes, frau o robatori d’informació, entre altres.
Des de CSIRT- CV hem volgut explicar de manera més detallada en què consisteixen algunes de les tècniques d’enginyeria social que més s’utilitzen pels ciberdelinqüents perquè el ciutadà sàpia identificar aquest tipus d’engany i no caiga en el parany. Per a això hem desenvolupat durant les últimes setmanes una campanya de conscienciació que, com les anteriors, s’ha dut a terme en les xarxes socials en les quals CSIRT-CV està present, Facebook i Twitter a través de consells diaris.
Aquesta campanya l’hem titulada “Enginyeria Social, l’art de l’engany” i a continuació us deixem un resum d’aquesta:
Una de les tècniques d’enginyeria social que més s’utilitza és la d’un supòsit emprat d’un banc que, bé siga telefònicament o a través d’un correu fraudulent, us demana dades sobre el vostre compte bancari (sobre targetes de crèdit, contrasenyes, etc).
A través del correu electrònic o xarxes socials també ens solen arribar molts atacs d’enginyeria social, per exemple, aquells missatges que ens arriben en els que sol haver-hi un fitxer adjunt o t’indiquen que punxes en un enllaç per a veure “unes fotos íntimes d’algun famós”, o “fotos suposadament teues”. El que pretenen és que t’infectes amb alguna mena de malware per a robar-te informació. Cal tindre molta cura sobre on es punxa i quins adjunts obrir (sobretot si no sabem la procedència del correu, etc.), us demana que empleneu un formulari, contesteu al correu o us redirigeix a una pàgina idèntica a la del banc, però falsa perquè fiqueu les vostres dades. Cal recordar que el banc mai es posarà en contacte amb tu per a demanar-te aquest tipus de dades via correu o telèfon. Davant el dubte no doneu cap dada mai, i pregunteu en el banc.
Al fil del consell anterior i amb l’objectiu de realitzar una navegació per internet el més segura possible, en aquesta secció del nostre portal es mostren una sèrie d’eines que ajuden a protegir i avisar a l’usuari davant possibles riscos.
A través de la simple “observació” molts estafadors estan recopilant informació sobre nosaltres (nom, número DNI, domicili…) que després poden intentar utilitzar-la per a enganyar-nos.
Quan algú intente, a través de qualsevol mitjà, obtindre informació sensible vostra (número de targeta de crèdit, pin, contrasenyes,…etc) desconfieu encara que semble que us coneix!
Ací us deixem una interessant lectura sobre enginyeria social i el fàcil que pot ser aconseguir dades.
Una altra tècnica d’enginyeria social que utilitzen molt els estafadors que tenen accés físic al nostre entorn és el ‘basureo’, és a dir, rebuscar entre la nostra paperera qualsevol tipus de document que puga incloure dades privades nostres que després puguen utilitzar en la nostra contra.
Hem de custodiar de manera adequada qualsevol document que incloga informació sensible nostra i destruir-lo abans de tirar-lo a la paperera perquè ningú puga obtindre les nostres dades (rebuts del banc, nòmines, factures, etc).
És molt important en el treball tindre una política d’escriptoris neta i no deixar “a la vista” cap document que incloga informació sensible que puga ser utilitzada en la nostra contra, així com no oblidar mai recollir de la impressora documents que hàgem imprés i continguen informació confidencial. Una persona malintencionada podria robar-nos aqueixa informació i usar-la per a finalitats malicioses.
Hui dia sense adonar-nos fem pública massa informació nostra, sobretot en xarxes socials, quan activem la geolocalització per exemple, en els nostres comentaris o les nostres fotos, si no tenim ben configurada el compte qualsevol (no sols els teus amics) veuria a cada moment on ens trobem i podrien estar espiant els nostres moviments.
Al fil del missatge anterior ací teniu una interessant lectura sobre el perill que suposa compartir, sense pensar massa, fotos en les xarxes socials i també us deixem la nostra campanya de conscienciació sobre la importància de les metadades.
Una altra tècnica d’enginyeria sòcial que és molt utilitzada en els correus fraudulents és pressionar-nos “ficant-nos molta pressa” sobre facilitar una informació, per exemple, o canviar una contrasenya, normalment algú que es fa passar per un administrador de sistemes d’algun proveïdor de correu. Correus del tipus “has de canviar ja la teua contrasenya (punxant en un enllaç que ens porta a un lloc fals) si no perdràs el teu compte de correu”, o “el banc sol·licita que dones el teu número de targeta i pin si no serà cancel·lada hui mateix el teu compte” fan que ens posem nerviosos i reaccionem sense pensar. Ací us deixem un article amb algunes de les tècniques d’enginyeria social més usades.
Estafes molt utilitzades dins de l’enginyeria social són els del tipus “Endevina qui m’ha llevat del MSN?”, o “Endevina qui ha visitat el teu perfil en Facebook”. Pensem amb el cap fred i adonem-nos que ja d’entrada, això sona sona com menys estrany… Aquest tipus d’estafes solen portar-nos a algun enllaç maliciós que ens sol robar les credencials o infectar-nos l’equip.
Fes un ús adequat de les dades que proporciones en Internet: fotos que puges, tractament de les metadades dels arxius/fotos que intercanvies, dades financeres, direccions, etc. Qualsevol podria estar espiant-nos i usar tota aqueixa informació per a estafar-nos o atemptar contra la nostra intimitat. Recordem la nostra campanya de conscienciació sobre un ús segur de les dades en la xarxa.
Un altre tipus de tècnica d’enginyeria social molt utilitzada a través del correu electrònic consisteix en l’enviament de correus que t’ofereixen treball en el qual obtindràs molts beneficis, des de casa i treballant només unes hores!!, cridaner no? normalment darrere d’això sol haver-hi una màfia de ciberdelinqüents que bé ens estafen o bé ens inciten a cometre un delicte normalment de blanqueig de diners. Ací us deixem una nota de com detectar correus maliciosos.
Sabeu el que és el Shoulder Surf? Doncs res més ni menys que una tècnica d’enginyeria social que consisteix a mirar per damunt del muscle per a veure’t escriure el pin en un caixer o pagant en un comerç, o mentre escrius contrasenyes en el teu mòbil o teclat. Així que, aneu amb compte de no tindre a desconeguts ensumant al vostre voltant quan utilitzeu contrasenyes, i en teclejar el pin en el caixer del banc tapeu el que pugueu amb l’altra mà per a evitar que us el vegen i després us la roben.
Si no vols que la teua identitat siga suplantada o que algú puga tindre accés a llocs als quals has accedit des d’un ordinador que no siga el teu, és molt important que quan acabes isques de l’aplicació tancant-la correctament, i que t’assegures que no has acceptat que el navegador guarde les teues contrasenyes.
A través d’algunes de les ja comentades tècniques d’enginyeria social és possible que esbrinen la nostra data d’aniversari, nom de la nostra mascota, ciutat on vam nàixer o el nostre equip esportiu favorit, així que per favor, no useu aquestes dades com a contrasenyes!!!.
Se recomana utilitzar contrasenyes robustes compostes per caràcters alfanumèrics i símbols de puntuació, que siga llarga i no continga paraules que puguen trobar-se en un diccionari. I per descomptat, canviar-la de tant en tant i res de deixar-la apuntada en un lloc on us la puguen veure. Cura també amb “la pregunta secreta” si la usem per a recuperar la nostra contrasenya. Trieu una pregunta la resposta de la qual NOMÉS sapieu vosaltres i ningú puga esbrinar-la.