Atacs per enginyeria social i quins tipus existeixen


Alguna vegada t’has preguntat com afectaria un ciberatac en la teva empresa? Sabies que la majoria d’ells són per enginyeria social?

Actualment, qualsevol empresa, sigui gran o petita, pot ser objectiu pels ciberdelinqüents. Totes les empreses tracten dades de gran valor i aquests poden ser utilitzats per perpetrar fraus o extorsionar. Per això, el 50% de les empreses han patit un ciberatac que els ha paralitzat l’activitat de l’empresa.

Necessites conèixer quines són les principals ciberamenaces per poder-les identificar i evitar. Per això, en l’article d’avui et parlarem sobre els atacs per enginyeria social, que són els més habituals, ja que requereixen menys esforços que altres atacs i, per tant, el benefici és major.

Què són els atacs per enginyeria social?

Aquest tipus de ciberatacs es perpetua a partir de diferents tècniques de manipulació psicològica dirigides als usuaris (en el cas de les empreses sol ser dirigit als treballadors) amb l’objectiu de fer-nos revelar informació confidencial o de prendre el control dels dispositius i comptes.

Existeixen diferents tipus d’atacs per enginyeria social, que estan basats en la manipulació i l’engany, encara que puguin tenir diferents conseqüències i puguin ser un primer pas per cometre un atac per malware.

Com es categoritzen els atacs per enginyeria social?

Es poden categoritzar en dos tipus diferents segons les comunicacions que el ciberdelinqüent tingui per aconseguir el seu objectiu:

  • Hunting: L’atac es comet amb només una comunicació. Aquest tipus de tècnica és utilitzada en atacs de phishing o campanyes de malware, en les que envien campanyes massives sense tenir un objectiu concret i buscant que algú caigui en l’engany.
  • Farming: L’atac es perpetra a partir de més d’una comunicació amb la víctima fins a arribar a aconseguir l’objectiu. Aquest tipus de tècnica la veiem en campanyes de sextorsió o fraus del CEO.

Quines són les fases dels atacs per enginyeria social?

La majoria d’atacs per enginyeria social comparteixen algunes característiques en comú. Per això, saber reconèixer-les abans de temps pot evitar que pateixis un d’aquests atacs.

Aquestes serien les fases principals:

  • Recol·lecció d’informació: En aquesta fase el ciberdelinqüent recull tota la informació sobre les possibles víctimes, esbrinant quin és el seu correu electrònic, els noms de domini de l’empresa, els números de telèfon, noms personals, etc.
  • Manipulació: Aquesta és la fase més important de qualsevol atac, ja que és on es produeix l’atac en qüestió. La majoria dels ciberdelinqüents tenen experiència fent fraus, per això saben utilitzar la manipulació psicològica per generar una relació de confiança amb la víctima. També juguen amb motius d’urgència, falta de pagaments o retirades de servei perquè s’actuï més depressa i de forma més inconscient.
  • Sortida: L’última fase de l’atac on el ciberdelinqüent intentarà no ser descobert després d’haver comès el frau perquè l’impacte de l’atac sigui encara major per l’empresa.

Quin és el principal mitjà de comunicació per aquests atacs?

El correu electrònic sol ser el mitjà preferit pels ciberdelinqüents, ja que la majoria d’empreses i autònoms utilitzen el correu en el seu dia a dia com a eina de treball.

Al ser una tasca que moltes vegades realitzem de forma mecànica i molt sovint, això pot provocar que es converteixi en una eina perillosa, perquè podríem accedir a pàgines web fraudulentes sense adonar-nos-en.

Quins tipus d’atacs per enginyeria social existeixen?

  • Phishing, vishing i smishing: Aquests tres atacs per enginyeria social són molt similars. En tots ells el ciberdelinqüent envia un missatge suplantant la identitat d’una entitat (banc, empresa, xarxa social, entitat pública o servei tècnic) de confiança per aconseguir enganyar a la víctima a través d’un enllaç o arxiu maliciós.

El phishing és una estafa per correu, xarxes socials o missatgeria instantània, el vishing es duu a terme mitjançant trucades telefòniques i el smishing mitjançant els SMS.

  • Baiting (o Gancho): Aquest atac es produeix a través d’un mitjà físic, com pot ser un dispositiu d’emmagatzematge o USB, que els ciberdelinqüents col·loquen en llocs estratègics per infectar els equips o robar dades o informació confidencial.
  • Shoulder surfing: Aquest tipus d’atac consisteix en robar informació (documents confidencials, claus, contrasenyes, contactes, credencials…) dels dispositius posicionant-se a prop de la víctima.
  • Dumpster Diving: És un atac on el ciberdelinqüent busca en les escombraries dels nostres dispositius per obtenir informació confidencial sobre l’empresa.
  • Spam: Consisteix en l’enviament de molts missatges publicitaris que no són desitjats ni han estat sol·licitats. Solen ser missatges comercials, però també poden amagar algun malware.
  • Fraus online: Són estafes online amb els que pretenen enganyar-nos perquè revelem dades personals o confidencials amb les quals obtenir beneficis econòmics a la nostra costa.

Com podem evitar aquests atacs?

Com t’hem dit anteriorment, la majoria d’atacs per enginyeria social compten amb unes característiques similars. Pel que podràs identificar aquests fraus si:

  • Analitzes l’adreça de correu electrònic del remitent per comprovar que no sigui falsejada o sospitosa.
  • No descarreguis arxius adjunts sospitosos, ni de correus desconeguts, tenint especial cura amb les extensions <<.exe, .vbs, .msi, .vbs, .docm, .xlsm o .pptm>> i amb els arxius comprimits.
  • Comproves que la comunicació del correu és impersonal o generalista, per exemple “estimat client” o “usuari” en comptes d’una comunicació personal on es dirigeixen pel teu nom.
  • La redacció de la comunicació és dolenta i hi ha faltes d’ortografia i erros gramaticals. Les empreses o entitats solen cuidar molt la seva comunicació i que els seus correus estiguin ben redactats.
  • No cliques enllaços a pàgines web quan el correu és sospitós. Has de verificar a quina web redirigeix i si és segura.
  • El correu no té firma oficial o el paràgraf legal sobre privacitat.

Si no vols patir una bretxa de seguretat en la teva empresa, protegeix sempre les teves dades i compleix amb les mesures de seguretat necessàries. Des de Pyme Legal podem ajudar-te per evitar aquests ciberatacs.

L’equip de Pyme Legal.