Malware
Tecnología Social
Ransomware
phishing
cibercrimen

Cinco viejos trucos de ingeniería social en los que todavía caen los empleados, y otros cuatro nuevos

A pesar de toda la formación y las advertencias, la gente sigue cayendo en estas sencillas estafas de ingeniería social. Y lo que es peor, los ciberdelincuentes siguen ideando nuevas.

seguridad_correo_email

Hay que achacarlo al cansancio por la pandemia, al trabajo a distancia o simplemente a la excesiva información, pero los empleados parecen estar bajando la guardia a la hora de detectar los trucos de ingeniería social. Los atacantes tuvieron más éxito con sus esquemas de ingeniería social el año pasado que un año antes, según Proofpoint. Más del 80% de las organizaciones sufrieron un ataque de phishing por correo electrónico con éxito en 2021, según una encuesta realizada a 3.500 profesionales. Eso es un salto del 46% desde 2020.

"Tantas personas, especialmente hoy en día con todas las distracciones y el ruido del mundo, están en piloto automático", asegura Kevin Beaver, consultor principal de la firma de seguridad Principle Logic. "Su subconsciente se ha hecho cargo de tomar lo que a menudo son decisiones críticas. Los malos saben que tienen ventaja".

Un estudio realizado por investigadores de la Universidad de Stanford descubrió que cerca del 88% de las violaciones de datos están causadas por un error de los empleados. Casi la mitad de los empleados (45%) citó la distracción como la principal razón para caer en una estafa de phishing, y el 57% de los trabajadores remotos admiten que se distraen más cuando trabajan desde casa. Las principales razones para hacer clic en los correos electrónicos de phishing son la percepción de legitimidad del correo electrónico, o que parecía provenir de un alto ejecutivo o de una marca conocida.

Las consecuencias de una brecha causada por un error humano son mayores que nunca.  Proofpoint identificó casi 15 millones de mensajes de phishing en 2021 con cargas útiles de malware que se han vinculado directamente con ransomware de fase posterior. Y el coste total medio de recuperación de un ataque de ransomware alcanzó los 1,85 millones de dólares en 2021, según Sophos. 

¿Por qué los empleados siguen cayendo en los mismos trucos de siempre? El director general de KnowBe4, Stu Sjouwerman, los llamó los siete vicios mortales de la ingeniería social en 2016, y la mayoría de los empleados los siguen compartiendo hoy en día: curiosidad, cortesía, credulidad, avaricia, irreflexión, timidez y apatía.

 

Cinco viejos trucos de ingeniería social

Los expertos en concienciación de seguridad dicen que los empleados siguen cayendo en estos cinco viejos trucos de ingeniería social, y advierten de cuatro nuevas estafas que añaden una vuelta de tuerca a estos oldies but goodies.

1. Correo electrónico de aspecto oficial

¿Quién podría resistirse a abrir un correo electrónico que parece proceder del director general de su empresa con el asunto "Se le ha mencionado en este documento" y que contiene un enlace titulado "Aumentos y ascensos de los empleados 2022"? Sí, la gente sigue cayendo en ese correo electrónico de aspecto oficial, en el que el mensaje parece proceder de una fuente legítima o de una persona conocida, afirma John Wilson, investigador principal de amenazas de Agari by HelpSystems. Wilson recibió recientemente este mismo intento de phishing, pero ya conocía el cebo.

En intentos como éste, "los malos intentan suplantar las credenciales", afirma. En este caso, para abrir el documento, "quiere que vuelvas a iniciar sesión con tus credenciales de Office 365". Si lo hacen lo suficientemente jugoso, la gente lo abrirá".

Independientemente del cebo ofrecido, la lección aquí es: "No hay ninguna buena razón para que tengas que volver a iniciar sesión para abrir algo", dice. Wilson también sugiere utilizar un gestor de contraseñas que sólo aplique tus credenciales si estás en un sitio web auténtico.

2. "Aquí tienes una memoria USB gratis"

El FBI advirtió en enero a las empresas estadounidenses sobre las cartas falsas enviadas a través del Servicio Postal de EE.UU. y de UPS, que se hacían pasar por el Departamento de Salud y Servicios Humanos en algunos casos ofreciendo información sobre COVID-19, y por Amazon en otros. Ambas incluían una memoria USB con software malicioso.

Si se insertaba en un ordenador, la memoria USB podía dar al grupo de piratas informáticos acceso a la red de una organización para desplegar un ransomware, dijo el FBI.  No está claro si alguna de las empresas se vio comprometida en los incidentes, pero es un recordatorio de que los viejos trucos de ingeniería social persisten.

3. La estafa de las tarjetas de regalo de la oficina

Uno de los trucos de ingeniería social más prolíficos, si no el más eficaz, que sigue circulando es la estafa de la tarjeta de regalo, en la que un correo electrónico parece proceder de un ejecutivo de la empresa que pide ayuda. La historia suele ser la siguiente: el ejecutivo necesita tarjetas regalo para recompensar al personal, "y es una sorpresa, así que no se lo digas a nadie", dice Wilson. El objetivo es conseguir que el empleado compre las tarjetas, raspe la capa plateada que cubre los códigos y luego envíe por correo electrónico una foto del reverso de las tarjetas.

"Diría que 1 de cada 100 [empleados] responderá esa primera vez. Lo que no está claro es si alguien va y recibe la tarjeta de regalo", dice Wilson, pero su equipo ha registrado aproximadamente 10.300 incidentes desde enero de 2019 y ve cientos de estos intentos de phishing cada día en los datos de toda su base de clientes. "Sigue funcionando, así que alguien está cayendo en la trampa", dice.

4. "Tienes un buzón de voz"

Los mensajes de voz internos con malware enviados a través de correos electrónicos han resurgido en los últimos meses, y algunos empleados siguen cayendo en ellos, dice Wilson. "Ha estado ocurriendo siempre. Es un buen señuelo porque quieres conseguir tu correo electrónico", dice. Su eficacia depende de quién esté en el extremo receptor y de su departamento. "Un ingeniero no va a responder a su correo de voz, pero si está en ventas y cree que ese correo de voz puede ser un pedido o un cliente potencial, puede abrirlo".

Los destinatarios deben preguntarse si su empresa utiliza un sistema que envía los mensajes de voz a través del correo electrónico. Si lo hace, siempre hay que pasar el ratón por encima de la dirección de correo electrónico para asegurarse de que es de un remitente conocido, dice Wilson.

5. "Hay un problema con la entrega de su paquete"

Los avisos falsos de entrega de paquetes han evolucionado y florecido durante más de 15 años, dice Chester Wisniewski, científico principal de investigación de Sophos. Estos intentos de phishing tienen muchas variantes, pero están diseñados para cobrarle una tarifa por derechos o aduanas, mientras que otros son simplemente ataques de phishing diseñados para que "inicie sesión con su correo electrónico para rastrear un paquete", y las credenciales son robadas. "A menudo se adaptan a la región del destinatario y falsifican marcas logísticas globales como DHL, UPS o FedEx", añade. 

 

Cuatro nuevos trucos de ingeniería social

Nunca faltan las nuevas estafas de ingeniería social que esperan ser explotadas, pero aquí hay cuatro de los nuevos trucos más comunes, flagrantes o peligrosos, basados en viejos vicios.

1. "Aquí tienes tus documentos legales de DocuSign"

Un truco de ingeniería social muy popular, sobre todo desde el comienzo de la pandemia de COVID-19, es el malware disfrazado de solicitud de firma de documentos legales a través de DocuSign. "Es de suponer que hoy en día se firman más formularios legales de forma digital", afirma Wisniewski. "Te pedirán que instales algún tipo de plugin, que en realidad es un malware informático, para proceder a ver el supuesto documento".

2. La estafa del "informe de cuentas antiguas"

En esta estafa, un empleado, normalmente de cuentas por cobrar, recibe un correo electrónico que dice ser de un ejecutivo de la empresa. El mensaje dice que quiere hacer una investigación sobre nuestras cuentas por cobrar pendientes y pide al destinatario que "envíe nuestro último informe de antigüedad de cuentas por cobrar" que incluye una lista de todos los clientes que deben dinero y la cantidad de tiempo de retraso. A continuación, los delincuentes crean y registran un nombre de dominio similar y atacan a todos los que figuran en esa lista, explica Wilson.

"Los malos actores saben cuánto se debe, cuándo se debe, las condiciones de pago, y entonces dicen: 'Sólo aceptamos pagos ACH a este número de cuenta en adelante'. Desgraciadamente, como toda la información coincide, los clientes aceptan". Según todos los indicios, el truco ha sido bastante eficaz, dice Wilson. "La estafa es especialmente peligrosa porque el daño no es para su empresa, sino para todos sus clientes".

3. "Hay un problema con su cuenta bancaria. Haga clic aquí para resolver el problema"

Los ciberdelincuentes utilizan un correo electrónico de phishing para convencer al objetivo de que hay un problema con su cuenta bancaria, cuenta de correo electrónico u otra cuenta de alto valor. El correo electrónico contiene un enlace que ayudará a la persona afectada a resolver el problema urgente. Al hacer clic en el enlace, se abre una ventana del navegador web que lleva a una página de inicio de sesión para esa cuenta. La víctima introduce sus credenciales y recibe el esperado mensaje solicitando un código MFA, que también introduce. La víctima no ve nada malo en la cuenta, piensa que el mensaje sobre el problema era un error y cierra la ventana o pestaña del navegador que utilizó para iniciar la sesión.

"Se trata de una forma nueva y complicada de eludir los controles de seguridad mejorados (como la autenticación multifactor) para llevar a cabo viejos y fiables trucos de ingeniería social", afirma Erich Kron, defensor de la concienciación en materia de seguridad de KnowBe4. Muchas organizaciones se han vuelto buenas a la hora de detectar los servidores proxy inversos utilizados para esto, lo que hace más difícil que los ciberdelincuentes lo lleven a cabo, añade Kron. "Sin embargo, los ciberdelincuentes han contraatacado".

4. Phishing por teléfono

Han surgido nuevas estafas utilizando el teléfono. El malware conocido como BazarLoader se hace pasar por marcas como Amazon para convencerte de que te están cobrando cientos de dólares por una suscripción. Si quiere cancelarla, tiene que llamar a un número de teléfono para hablar con un representante. Los delincuentes operan con centros de llamadas reales en los que le indican por teléfono cómo descargar el malware y ejecutarlo en su ordenador. Otras variaciones de esto incluyen señuelos similares para cancelar servicios de vídeo en streaming o revistas.

"Estos ataques nunca desaparecerán, sólo tenemos que tratar de permanecer atentos y advertir a los demás cuando detectemos una estafa que esté circulando", afirma Wisniewski. Los equipos de seguridad deben facilitar que los empleados informen cuando han sido engañados, "y dejar claro que los empleados no tienen problemas".



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper