La Ingeniería Social ataca de nuevo en #HablandoDeSeguridad

Esta vez lo hace a través de mensajes de correo electrónico dirigidos a determinados ejecutivos de empresas de la región. En esta nota te contamos todo.

Este es un tema que, en Hablando de Seguridad presentamos en los Microinformes sobre las previsiones de riegos 2018 y 2019.

La idea estos ataques es lograr, por medio de una combinación de mensajes de correo electrónico y llamadas telefónicas, generar una situación de fraude financiero.

La cantidad de casos registrados aumentó en los últimos meses en los países de América Latina de habla hispana.

Si bien se registraron pocos casos en que el fraude se llegó a concretar, la mayoría de las personas que reciben los mensajes de correo electrónico, comienza a sospechar debido a que está escritos de manera idiomáticamente incorrecta.

Secuencia de las acciones del atacante

  • El delincuente informático hace un estudio previo de la empresa a través de redes Sociales en Particular e información disponible en Internet en general y detecta quienes son los altos directivos y las personas relacionadas a operaciones financieras.
  • Le envía un e-mail a una de las personas responsables de operaciones financieras que parece provenir de un alto directivo de la empresa. Esto lo logra abriendo un dominio cualquiera, el cual declara que va a ser utilizado para envío de e-mails. Como utiliza algunos de los servicios de compra de dominios que requieren pocos datos del solicitante, resulta difícil rastrear al responsable. Si bien este mensaje proviene de un dominio que no tiene que ver con la empresa, al enmascarar la dirección de origen con el nombre del directivo, el destinatario puede caer en el engaño.
  • Por lo general el texto del mensaje dice que se trata de una operación confidencial y que el responsable de operaciones financieras debe enviar un e-mail a una tercera persona que está gestionando una acción para la empresa, la cual acordará una comunicación telefónica.
  • Si el responsable de operaciones financieras contesta este e-mail y lleva adelante el contacto telefónico, puede caer en la trampa.

Contramedidas

  • La Ingeniería Social no tiene contramedidas técnicas directas, por lo que la mejor acción es la capacitación en aspectos de Seguridad Informática de todo el personal y en particular de los que toman decisiones.
  • En la medida que se reciben este tipo de e-mails o de Phishing en general, conviene incorporar los dominios de origen a una lista de bloqueo.
  • Es importante que un circuito de autorización de operaciones financieras no dependa sólo un mensaje de correo electrónico.

Recursos

Etiquetas
Mostrar más
Gustavo Aldegani

Gustavo Aldegani

Consultor Independiente en Seguridad Informática, con 25 años de experiencia, especializado en Implementación de Sistemas Informáticos Seguros en organizaciones militares, de gobierno y privadas de Estados Unidos, América Latina y Argentina. Profesor de la Materia Seguridad Informática en la Universidad de Belgrano.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Close