Archivado en Noticias, Seguridad

La ingeniería social, el sistema más usado para timar en la Red


La semana pasada, un número indeterminado de personas recibía un correo electrónico no solicitado donde se les instaba a rellenar el formulario de una página web, para ser clientes del servicio BBVAnet. Datos personales, número de tarjeta de crédito, fecha de caducidad e incluso el PIN iban a parar a la base de datos de los atacantes, cuya identidad se desconoce. Es la primera vez que este truco de ingeniería social se utiliza contra una entidad bancaria española. El BBVA actuó con celeridad y, en menos de 24 horas, la web fraudulenta y el sitio donde se recogían los datos estaban fuera de línea.





Merce Molist- El País Universidad . La web estaba registrada en Estados Unidos, en la empresa Freeservers.com, que rápidamente la cerró. Según un experto consultado, "estaba todo hecho de forma profesional, ya que el código de la página que suplanta al BBVA está oculto. En vez de escribir el código HTML directo, está cifrado vía JavaScript y la construcción del formulario se hace en el navegador del usuario. Así, pueden saltarse los sistemas de filtrado de contenido y hace que el rastreo sea relativamente complicado".

El origen del mensaje es igualmente oscuro: "Se ha enviado desde una conexión ADSL, pero viendo el nivel de complejidad de la página HTML, apostaría que se ha secuestrado una máquina con poca seguridad, para lanzar los mensajes. Me costaría mucho creer que se haya molestado tanto en ocultar el código HTML y después utilizar para el envío una máquina fácilmente identificable y rastreable", afirma el experto.

Algo parecido sucedía a principios de mayo en Gran Bretaña, según publicaba eWeek: "Se están enviando mensajes fraudulentos a los clientes de First Union, donde se les pide que visiten una web e introduzcan sus nombres de usuario y contraseñas. Sólo mirar la web ya trae problemas, porque instala automáticamente un troyano en la máquina del visitante. No está claro cómo el atacante ha tenido acceso a las direcciones de correo de los clientes del banco".

La Ingeniería Social es el arte de hacer que otros hagan o digan lo que uno quiere, abusando de su confianza, inocencia o ganas de caer bien. El diccionario Jargon File habla de "técnicas que se aprovechan de las debilidades de las personas, con el objetivo de conseguir sus contraseñas u otra información. Un truco clásico es telefonear a la víctima diciendo que eres un técnico con un problema urgente". La Ingeniería Social usa desde hace tiempo las herramientas de la red, igual que el teléfono o el contacto directo.

Uno de los trucos más comunes en el chat ha sido engañar a alguien para obtener sus datos de acceso a Internet y usarlos gratuitamente. "El método más fácil para conocer la contraseña de alguien es preguntándoselo", dicen los expertos. Recientemente, se hacía la prueba, patrocinada por InfoSecurity Europe 2003, en una estación central de Londres: nueve de cada diez oficinistas aceptaron revelar sus contraseñas a cambio de un bolígrafo.

Más engaños

En su Curso de Ingeniería Social, LeStEr ThE TeAcHeR explica cómo recopilar datos financieros: "Un caso que requiere una especial atención es la simulación de mails que provienen de servicios de banca por Internet. Como todo, son sencillamente suplantables. Basta con crear un mail en HTML utilizando las imágenes y los formatos de alguna de estas entidades, pero enviándolo desde cualquier otra cuenta. Conozco casos en los que un usuario recibe un mail que parece provenir de un banco conocido y que luego lo redirige a un formulario falso, en el que se le hace escribir su contraseña de acceso y ésta es guardada en una tabla, o enviada por mail a una dirección donde luego se utiliza de forma fraudulenta. A continuación, dicho usuario es enviado a la página real del banco, tras haber recibido una pantalla de error". Kevin Mitnick da cuenta también de este tipo de engaño en su libro The art of deception, con un ejemplo real y muy parecido al fraude del BBVA: "Un día del verano de 2001, Edgar recibió un mensaje de PayPal, una compañía que permite hacer pagos rápidos por Internet y que Edgar usaba para hacer compras en eBay: "Apreciado cliente; Paypal quiere darle 5 dólares de crédito. Sólo tiene que ir a la página http://www.paypal-secure.com/cgi-bin y actualizar su información".

Pero éste no fue el primer engaño bajo el nombre de PayPal. En enero del 2000, la compañía publicaba un aviso después que un correo masivo invitase a sus clientes a conectarse a www.paypai.com y dejar sus datos: "Hay muchos artistas del fraude que os enviarán correo pretendiendo ser vendedores o sitios con los que habéis tenido negocios en el pasado. Usualmente os darán una dirección web duplicada, con la dirección ligeramente diferente de la auténtica, y os pedirán que reveléis los datos de vuestras tarjetas de créditoo contraseñas". En marzo del 2002, le tocaba el turno a Visa. Aunque, como dice Mitnick, "¿por qué dedicarse a robar los números de tarjetas uno por uno, cuando puedes entrar en la mayoría de compañías de comercio electrónico y coger todas sus bases de datos?".