La ingenieria social, el arte del engaño

Los delincuentes en Internet intentan engañarnos de muchas formas diferentes con el objetivo de acceder a información privada, infectar el ordenador con algún tipo de virus, robar datos bancarios o suplantar nuestra identidad en la red. 

¿Sabes cuál es la principal estrategia de engaño qué utilizan los delincuentes en Internet?

La ingeniería social, que consiste en utilizar un reclamo para atraer nuestra atención para conseguir que actuemos de la forma que ellos desean por ejemplo, convenciéndonos de la necesidad de reenviar un correo electrónico a toda nuestra lista de contactos, descargar y abrir un archivo que se adjunta en un correo bajo alguna excusa o incitándonos a proporcionar información sensible como son las claves de acceso a un determinado servicio o los datos bancarios.

Para captar nuestra atención se aprovechan de la curiosidad y el morbo que nos produce el conocer hazañas de personajes famosos, catástrofes humanitarias o temas de actualidad. Las denuncias de injusticias, supuestos premios que hemos ganado o fechas significativas como pueden ser la Navidad o la celebración de unos juegos olímpicos también son temáticas muy utilizadas, así como los mensajes de seguridad alarmantes enviados supuestamente por algún servicio de Internet o banco.

Ideas claves que debéis recordar sobre la ingeniería social:

• Utiliza cualquier reclamo para captar nuestra atención y conseguir que actuemos de una determinada forma.
• Aprovecha cualquier referencia a temas de actualidad o temas de interés.
• Emplean el miedo que una determinada situación causa al usuario: multas económicas, Agencia Tributaria, denuncias de la Policía, etc.
• La mayoría de fraudes e infecciones por virus se apoyan en ella.

La ingeniería social utilizada como gancho, ¿qué cosas funcionan bien?

Aplicaciones, mensajes y páginas de dudosa reputación o fraudulentas en redes sociales.

• Principal objetivo: infectar ordenadores con virus que sean capaces de robar información sensible almacenada en éstos: documentos, fotos, historial de navegación del navegador, direcciones de correos electrónicos, etc. Suplantar la identidad -phishing- para robar los datos del usuario, principalmente bancarios.
• Servicios más utilizados: redes sociales -Facebook, Twitter, Tuenti-, bancos, instituciones y servicios públicos -Policía Nacional, Correos y Telégrafos, Agencia Tributaria-, etc.
• Casos reales detectados:
  
  • La aplicación WhatssApp no está disponible en Facebook
  • Páginas que supuestamente son capaces de decirte quien visita tu perfil
  • Mensajes fraudulentos con enlaces a páginas que suplantan a Twitter

Correos electrónicos que se hacen pasar por algún servicio, que contienen ficheros adjuntos con virus, facilitan enlaces a páginas web maliciosas o incluyen formularios para rellenar con información privada.

• Principal objetivo: infectar ordenadores con virus que sean capaces de robar información sensible almacenada en éstos: documentos, fotos, historial de navegación del navegador, correos electrónicos, etc. Suplantar la identidad -phishing- para robar los datos del usuario principalmente bancarios.
• Servicios más utilizados: redes sociales -Facebook, Twitter, Tuenti-, bancos, instituciones y servicios públicos -Policía Nacional, Correos y Telégrafos, Agencia Tributaria-, etc.
• Casos reales detectados:
  • Supuestas notificaciones de la Sociedad Estatal Correos y Telégrafos S.A. a con el objetivo de que el usuario ejecute un fichero en su ordenador que contiene código malicioso.
  • Supuestos correos de la Agencia Tributaria que incitan al usuario a facilitar sus datos bancarios con la excusa de recibir un reembolso de impuestos.
  • Phishing a Hotmail cuyo objetivo es realizar una suscripción a un servicio SMS Premium y robar las credenciales de acceso del usuario.

Publicidad engañosa que se «cuela» en servicios, páginas de Internet y correos electrónicos

• Principal objetivo: obtener datos privados, realizar suscripciones “Premium SMS” sin el conocimiento ni consentimiento del usuario y obtener direcciones de correo electrónico para el envió de spam.
• Servicios más utilizados: servidores de correo electrónico, páginas de descargas de ficheros y páginas con contenido pornográfico, aunque también este tipo de publicidad engañosa se puede «colar» en páginas confiables.
• Casos reales detectados:
  • Anuncio que incita a consultar el saldo de puntos del carnet de conducir y te redirige a una página que no es la de la Dirección General de Tráfico.
  • Vídeos en Youtube que propagaban mensajes spam con el objetivo de que un usuario se instalara una barra de herramientas
  • Ofertas de trabajo en las que supuestamente se puede ganar mucho dinero de forma fácil

Virus que lanzan mensajes al usuario suplantando a una entidad, empresa, institución, servicio, etc.

• Principal objetivo: robar credenciales de acceso de servicios utilizados en Internet, recibir transferencias económicas y obtener datos bancarios para robar dinero al usuario.
• Servicios más utilizados: redes sociales -Facebook, Twitter, Tuenti-, bancos, instituciones y servicios públicos -Policía Nacional, Correos y Telégrafos, Agencia Tributaria-, etc.
• Casos reales detectados:
  • Virus que muestra un falso mensaje del Cuerpo Nacional de Policía que bloquear el ordenador del usuario y solicita una cantidad económica en concepto de pago de una multa por visualizara contenido pornográfico.
  • Virus que muestra un falso mensaje de la SGAE que bloquear el ordenador del usuario y solicita una cantidad económica en concepto de pago de una multa por descarga de contenidos de Internet.

Cómo habéis visto, casi cualquier cosa puede ser utilizada para engañarnos en Internet, por este motivo, hay que tener mucho sentido común y no creerse cualquier cosa que esté publicada en una web, red social, correo electrónico, etc. Si se tienen dudas sobre la credibilidad de algo, siempre se recomienda consultar directamente al servicio implicado, a fuentes de confianza, y también a nosotros ;)