Si os dijese que por favor me enviarais vuestra dirección de correo y contraseña correspondiente, todos repondríais que no.
Si en vez de pedirla así hiciese una página web con dos campos para vuestra dirección y contraseña y un script que me enviase los datos a mí, todos seguiríais respondiendo que no.
Si cogemos esa hipotética página y ponemos que ofrece algún tipo de servicio para el cual es necesario que escribas tu dirección de correo y contraseña, la mayoría seguiría diciendo que no.
La mayoría. Que no todos. Ya que alguno que otro, como he podido comprobar, caería.
Bienvenidos a la ingeniería social. Con ese nombre puede parecer que tiene algo que ver con las aplicaciones de la ingeniería en la sociedad, pero nada más lejos de la realidad. Se trata de la definición del conjunto de técnicas y métodos usados para apropiarse de información privada mediante el engaño y la manipulación de las víctimas, en contraposición al pirateo clásico que está orientado a la superación de los protocolos de seguridad y demás sistemas desde el punto de vista técnico. Se considera a los ingenieros sociales dentro de la categoría de 'estafadores' más que como 'hackers'.
Paso a exponer los tres ejemplos que de los que yo mismo he recibido (sin caer) y más me han llamado la atención (para aquellos que tengan curiosidad y un rato largo disponible):
La base de la ingeniería social radica en la idea de que los usuarios son el eslabón débil en la cadena de la seguridad. La mejor caja fuerte del mundo no sirve para nada si se la abres al que venga a robarte o simplemente te la dejas abierta. Los ingenieros sociales explotan diversos factores para ello: el desconocimiento de algunos usuarios, la voluntad de ayudar, la confianza de la gente, el deseo de conseguir cosas, el miedo... vamos, lo que cualquier otro estafador. Veamos un pequeño ranking (de valoración personal, por supuesto):
3 puesto:
Hace algunos años se rumoreo por la red que un grupo de hackers consiguió encontrar una pequeña abertura en la seguridad de un sistema de correo aprovechando las opciones de recuperar contraseñas mediante pregunta que ofrecen los principales servidores. Sea esto o no cierto (la compañía afectada nunca lo reconoció, así que no se puede asegurar, claro que yo no lo habría reconocido ni aunque fuera verdad: adiós a la confianza de los usuarios), se aprovechó el eco de la noticia para sacar partido, no explotando el fallo de seguridad (hemos dicho ya que la ingeniería social no se preocupa por el aspecto técnico), sino el deseo de ciertos usuarios de obtener las contraseñas de otros.
En muchos foros aparecieron "sistemas infalibles" para obtener contraseñas ajenas. En ellos se explicaba lo del bug en el sistema de recuperación de contraseñas y se indicaba que para aprovecharlo había que enviar un código a cierta dirección de correo que, según se decía, usaban los servidores de correo. Las direcciones tenían nombres tipo passrecsys@gmail.com, recover_password@hotmail.com o cosas por el estilo. Direcciones que pueden sonar muy técnicas pero que cualquiera puede dar de alta (el estafador en este caso), obviamente los servidores de correo nunca usarán cuentas de ese tipo para la comunicación interna del sistema. El código, cualquier tipo de engendro creado al propósito, necesitaba que la víctima rellenase tres campos: la dirección de la que se quería obtener la contraseña (lógico), la dirección a la que se tenía que enviar la contraseña (cualquier víctima no avispada pondría su propia cuenta de correo) y la contraseña de esta última (¿desde cuando los sistemas de correo piden la contraseña de la cuenta alternativa para mandar la recuperación de una contraseña?). Así, el estafador sólo tiene que abrir el correo que ha creado y leer tranquilamente la dirección y contraseña del estafado.
Por lo menos esta no está exenta de ironía: al que sacan la contraseña es aquel que quería hacer lo mismo con otro. El cazador cazado.
2 puesto:
Phising: se conoce con este nombre al conjunto de técnicas basadas en la suplantación de la identidad de sistemas reales (generalmente bancos o entidades de pago on-line) simplemente creando páginas parecidas o solicitando datos como si se fuese el sistema real.
Un ejemplo que me ha pasado a mi varias veces es un correo supuestamente de PayPal (un sistema de pagos on-line) diciéndome que se había detectado accesos a mi cuenta desde una ip de otro país y que era necesario que confirmase mis datos y que modificase mi contraseña, ofreciéndome un enlace para hacerlo, o cerrarían mi cuenta en previsión a posibles robos hasta que me volviera a dar de alta. He de reconocer que al principio según iba leyendo me acojoné (lo que busca el ingeniero social), pero en cuento vi lo de confirmar contraseña sospeché y en seguida me di cuenta que era una estafa. Primero: la notificación estaba en inglés y eran enlaces tipo .com(cosa de la que al principio ni me di cuenta, pero que en cuanto me paré recordé que yo me di de alta como español y los comunicados van a través de un domino .es y en español). Me pareció muy raro lo de que me amenazasen con cerrarme la cuenta (¿a santo de qué?). Así que hice lo que se debe hacer en estos casos: ante la duda nunca se uséis enlaces, si no que debéis entrar a través de la página oficial en la que estéis registrados. Y obviamente cuando abrí mi cuenta normalmente no había ninguna referencia a este aviso. Pinchando el enlace se abría una ventana con un aspecto calcado al que ofrece la original, pero en otro dominio. Así que tened cuidado cuando algún correo os solicite que debéis confirmar vuestra contraseña.
1 puesto:
El que me ha hecho escribir este post, tras comprobar cuanta gente cae: el clásico 'averigua quién te bloquea' en el messenger/google talk. Si os fijáis bien no deja de ser lo que expuse en el segundo párrafo del artículo: una página con dos campos para que pongas tu correo y contraseña. ¿Quién te asegura que no sea simplemente una página que lo único que hace es almacenar estos datos para que los aproveche cualquiera?¿El cartelito que te asegura que no se almacenará la contraseña?¿Porque lo pone en una página web no te pueden estar engañando?
Lo cierto es que este sistema es una obra de arte. Si, lo estoy alabando. Aunque esté en contra de estafar a la gente no puedo dejar de admirar la astucia que demuestran los que crean estas cosas. Y es que está muy bien diseñada. Apela a los bajos instintos de la gente(querer saber quién de los tus supuestos amigos en realidad te esta bloqueando) o simplemente a la curiosidad (que como dice el refrán, mató al gato). El hecho de que debas usar tu correo principal pues es de este del que querrás saber las cosas (toda persona que pase mucho tiempo rebuscando por foros y páginas que te piden un registro tiene un correo secundario, ideal para estas cosas ya que da igual que sea reventado o no).
Y lo mejor de todo, según he oído por ahí (ya que personalmente no lo he probado) realmente hace lo que te ofrece y no te modifica la contraseña ni te roba la cuenta. Algo completamente lógico. Seamos sinceros, puede que consideres que lo peor que puede pasarte es que te saquen la contraseña, pero por regla general los correos personales sobre tus cosas íntimas o los trabajos de la universidad no le importan a los que se dedican a hacer estas cosas. Estos se dedican a recorrer el correo de forma automatizada buscando correos de bancos o sistemas de pagos. Si encuentran algún indicio que explotar, en ese caso si se dedicarán a intentar explotar la cuenta de correo. Si no, se limitarán a darte de alta en alguna base de datos con una selección de gustos para que te envíen spam y te dejarán la cuenta en paz. Les interesa que veas que cumplen con lo expuesto, para que vayas recomendando el sistema a tus contactos y aumentar así la gente que cae y sus posibilidades de dar con algo explotable.
Mención de honor:
Google black: aunque no entra en el ranking por no ser un sistema que intente obtener datos privados, es otra obra maestra de el engaño en internet. Hace algún tiempo se dedicaron a hacer circular correos (generando las ya clásicas cadenas esas de reenviaselo a tus contactos) en la que exponían como un fondo blanco consume más que uno negro y dado que google es la página de inicio de mucha gente (incluido yo), usar una versión de google con el fondo negro (de la que daban el enlace) ayudaría a ahorrar energía y reducir el calentamiento global, etc... vamos, apelaban a la conciencia de la gente sobre el medio ambiente usando uno de los medios de difusión mejor adaptados para este fin. Ahora bien, ni es cierto que el fondo negro ahorre energía (de hecho en ciertos tipos de pantalla consume más: el negro se produce por bloqueo de la luz en vez de por ausencia de ella, aún así, pienso dejar el fondo del blog negro hasta que alguien me demuestre que es un cambio significativo) ni las páginas de google black son propiedad de google, si no de gente que ha copiado su estilo pero en negro y ofrecen los resultados de una consulta a google. Y a diferencia de esas cadenas a las que sigo sin verles sentido (del tipo: cuidado ante x-virus (que no existe), van a quitar el messenger (pero ni de coña), etc) esta tiene un fin: las páginas de google en negro contienen publicidad, que cobran los autores aprovechándose de google y de la buena voluntad de la gente. Olé sus huevos.
Si en vez de pedirla así hiciese una página web con dos campos para vuestra dirección y contraseña y un script que me enviase los datos a mí, todos seguiríais respondiendo que no.
Si cogemos esa hipotética página y ponemos que ofrece algún tipo de servicio para el cual es necesario que escribas tu dirección de correo y contraseña, la mayoría seguiría diciendo que no.
La mayoría. Que no todos. Ya que alguno que otro, como he podido comprobar, caería.
Bienvenidos a la ingeniería social. Con ese nombre puede parecer que tiene algo que ver con las aplicaciones de la ingeniería en la sociedad, pero nada más lejos de la realidad. Se trata de la definición del conjunto de técnicas y métodos usados para apropiarse de información privada mediante el engaño y la manipulación de las víctimas, en contraposición al pirateo clásico que está orientado a la superación de los protocolos de seguridad y demás sistemas desde el punto de vista técnico. Se considera a los ingenieros sociales dentro de la categoría de 'estafadores' más que como 'hackers'.
Paso a exponer los tres ejemplos que de los que yo mismo he recibido (sin caer) y más me han llamado la atención (para aquellos que tengan curiosidad y un rato largo disponible):
La base de la ingeniería social radica en la idea de que los usuarios son el eslabón débil en la cadena de la seguridad. La mejor caja fuerte del mundo no sirve para nada si se la abres al que venga a robarte o simplemente te la dejas abierta. Los ingenieros sociales explotan diversos factores para ello: el desconocimiento de algunos usuarios, la voluntad de ayudar, la confianza de la gente, el deseo de conseguir cosas, el miedo... vamos, lo que cualquier otro estafador. Veamos un pequeño ranking (de valoración personal, por supuesto):
3 puesto:
Hace algunos años se rumoreo por la red que un grupo de hackers consiguió encontrar una pequeña abertura en la seguridad de un sistema de correo aprovechando las opciones de recuperar contraseñas mediante pregunta que ofrecen los principales servidores. Sea esto o no cierto (la compañía afectada nunca lo reconoció, así que no se puede asegurar, claro que yo no lo habría reconocido ni aunque fuera verdad: adiós a la confianza de los usuarios), se aprovechó el eco de la noticia para sacar partido, no explotando el fallo de seguridad (hemos dicho ya que la ingeniería social no se preocupa por el aspecto técnico), sino el deseo de ciertos usuarios de obtener las contraseñas de otros.
En muchos foros aparecieron "sistemas infalibles" para obtener contraseñas ajenas. En ellos se explicaba lo del bug en el sistema de recuperación de contraseñas y se indicaba que para aprovecharlo había que enviar un código a cierta dirección de correo que, según se decía, usaban los servidores de correo. Las direcciones tenían nombres tipo passrecsys@gmail.com, recover_password@hotmail.com o cosas por el estilo. Direcciones que pueden sonar muy técnicas pero que cualquiera puede dar de alta (el estafador en este caso), obviamente los servidores de correo nunca usarán cuentas de ese tipo para la comunicación interna del sistema. El código, cualquier tipo de engendro creado al propósito, necesitaba que la víctima rellenase tres campos: la dirección de la que se quería obtener la contraseña (lógico), la dirección a la que se tenía que enviar la contraseña (cualquier víctima no avispada pondría su propia cuenta de correo) y la contraseña de esta última (¿desde cuando los sistemas de correo piden la contraseña de la cuenta alternativa para mandar la recuperación de una contraseña?). Así, el estafador sólo tiene que abrir el correo que ha creado y leer tranquilamente la dirección y contraseña del estafado.
Por lo menos esta no está exenta de ironía: al que sacan la contraseña es aquel que quería hacer lo mismo con otro. El cazador cazado.
2 puesto:
Phising: se conoce con este nombre al conjunto de técnicas basadas en la suplantación de la identidad de sistemas reales (generalmente bancos o entidades de pago on-line) simplemente creando páginas parecidas o solicitando datos como si se fuese el sistema real.
Un ejemplo que me ha pasado a mi varias veces es un correo supuestamente de PayPal (un sistema de pagos on-line) diciéndome que se había detectado accesos a mi cuenta desde una ip de otro país y que era necesario que confirmase mis datos y que modificase mi contraseña, ofreciéndome un enlace para hacerlo, o cerrarían mi cuenta en previsión a posibles robos hasta que me volviera a dar de alta. He de reconocer que al principio según iba leyendo me acojoné (lo que busca el ingeniero social), pero en cuento vi lo de confirmar contraseña sospeché y en seguida me di cuenta que era una estafa. Primero: la notificación estaba en inglés y eran enlaces tipo .com(cosa de la que al principio ni me di cuenta, pero que en cuanto me paré recordé que yo me di de alta como español y los comunicados van a través de un domino .es y en español). Me pareció muy raro lo de que me amenazasen con cerrarme la cuenta (¿a santo de qué?). Así que hice lo que se debe hacer en estos casos: ante la duda nunca se uséis enlaces, si no que debéis entrar a través de la página oficial en la que estéis registrados. Y obviamente cuando abrí mi cuenta normalmente no había ninguna referencia a este aviso. Pinchando el enlace se abría una ventana con un aspecto calcado al que ofrece la original, pero en otro dominio. Así que tened cuidado cuando algún correo os solicite que debéis confirmar vuestra contraseña.
1 puesto:
El que me ha hecho escribir este post, tras comprobar cuanta gente cae: el clásico 'averigua quién te bloquea' en el messenger/google talk. Si os fijáis bien no deja de ser lo que expuse en el segundo párrafo del artículo: una página con dos campos para que pongas tu correo y contraseña. ¿Quién te asegura que no sea simplemente una página que lo único que hace es almacenar estos datos para que los aproveche cualquiera?¿El cartelito que te asegura que no se almacenará la contraseña?¿Porque lo pone en una página web no te pueden estar engañando?
Lo cierto es que este sistema es una obra de arte. Si, lo estoy alabando. Aunque esté en contra de estafar a la gente no puedo dejar de admirar la astucia que demuestran los que crean estas cosas. Y es que está muy bien diseñada. Apela a los bajos instintos de la gente(querer saber quién de los tus supuestos amigos en realidad te esta bloqueando) o simplemente a la curiosidad (que como dice el refrán, mató al gato). El hecho de que debas usar tu correo principal pues es de este del que querrás saber las cosas (toda persona que pase mucho tiempo rebuscando por foros y páginas que te piden un registro tiene un correo secundario, ideal para estas cosas ya que da igual que sea reventado o no).
Y lo mejor de todo, según he oído por ahí (ya que personalmente no lo he probado) realmente hace lo que te ofrece y no te modifica la contraseña ni te roba la cuenta. Algo completamente lógico. Seamos sinceros, puede que consideres que lo peor que puede pasarte es que te saquen la contraseña, pero por regla general los correos personales sobre tus cosas íntimas o los trabajos de la universidad no le importan a los que se dedican a hacer estas cosas. Estos se dedican a recorrer el correo de forma automatizada buscando correos de bancos o sistemas de pagos. Si encuentran algún indicio que explotar, en ese caso si se dedicarán a intentar explotar la cuenta de correo. Si no, se limitarán a darte de alta en alguna base de datos con una selección de gustos para que te envíen spam y te dejarán la cuenta en paz. Les interesa que veas que cumplen con lo expuesto, para que vayas recomendando el sistema a tus contactos y aumentar así la gente que cae y sus posibilidades de dar con algo explotable.
Mención de honor:
Google black: aunque no entra en el ranking por no ser un sistema que intente obtener datos privados, es otra obra maestra de el engaño en internet. Hace algún tiempo se dedicaron a hacer circular correos (generando las ya clásicas cadenas esas de reenviaselo a tus contactos) en la que exponían como un fondo blanco consume más que uno negro y dado que google es la página de inicio de mucha gente (incluido yo), usar una versión de google con el fondo negro (de la que daban el enlace) ayudaría a ahorrar energía y reducir el calentamiento global, etc... vamos, apelaban a la conciencia de la gente sobre el medio ambiente usando uno de los medios de difusión mejor adaptados para este fin. Ahora bien, ni es cierto que el fondo negro ahorre energía (de hecho en ciertos tipos de pantalla consume más: el negro se produce por bloqueo de la luz en vez de por ausencia de ella, aún así, pienso dejar el fondo del blog negro hasta que alguien me demuestre que es un cambio significativo) ni las páginas de google black son propiedad de google, si no de gente que ha copiado su estilo pero en negro y ofrecen los resultados de una consulta a google. Y a diferencia de esas cadenas a las que sigo sin verles sentido (del tipo: cuidado ante x-virus (que no existe), van a quitar el messenger (pero ni de coña), etc) esta tiene un fin: las páginas de google en negro contienen publicidad, que cobran los autores aprovechándose de google y de la buena voluntad de la gente. Olé sus huevos.
1 comentario:
El curioso intento de timo del que fui victima el otro dia fue aquel que mencionas de PayPal, pero lo que me pareció asombroso es que en el mail te ofrecian un link, que redirigia a una página de Yahoo.
Yo, por curiosidad y sabiendo que se trataba de un timo, le di a ver que pasaba. Pues bien, era una página idéntica hasta el mas minimo detalle a la de PayPal, tanto que habían copiado el código fuente de la pagina oficial y lo habian usado como plantilla para la suya, de tal manera que para un usuario novato es muy dificil distinguirlas. Depués cerre el explorador y borre el mail.
En fin, fue curioso cuando menos XD
Publicar un comentario