El arte de la manipulación: la ingeniería social en los ciberfraudesJennifer González 28 febrero, 2023 La ingeniería social tiene sus raíces en la psicología social y por definición es el esfuerzo de influir en las actitudes, relaciones y/o acciones de un individuo o de una sociedad, en definitiva, es la de cambiar o dirigir el comportamiento hacia un objetivo. En 1895 Gustave Le Bon publicó el libro “Psicología de las masas” y en él explica cómo los lideres pueden aprovechar la psicología de las masas para manipular y lograr los objetivos de estos. A medida que la tecnología avanza y el uso de ordenadores e Internet se vuelve más común, los ciberdelincuentes utilizan técnicas de ingeniería social para engañar a las personas y obtener información confidencial o acceder a los sistemas informáticos. Los delincuentes utilizan la ingeniería social para explotar la confianza, la inocencia, el miedo y otras emociones humanas con el propósito de lograr sus objetivos. Kevin Mitnick es una de las personas más famosas en utilizar la ingeniería social con las nuevas tecnologías. Ya incluso antes de la década de los 90, Mitnick utilizaba técnicas de manipulación haciéndose pasar por empleado de compañías para conseguir información confidencial. La ingeniería social en la actualidad Uno de los objetivos para los ciberdelincuentes al utilizar la ingeniería social es la de conseguir un beneficio económico. Existen múltiples variantes de ciberestafas mediante la ingeniería social. Sin embargo, me voy a centrar en la ingeniería social en la empresa y la ingeniería social en victimas individuales. El fraude del CEO (‘CEO/BEC fraud’) Sin ir muy lejos, recientemente la Europol ha desarticulado una organización franco-israelí que habría llegado a defraudar más de 38 millones de euros a través el “fraude del CEO”. Esta modalidad de fraude consiste en engañar a empleados que están autorizados para emitir pagos suplantando la identidad de altos directivos de la empresa, o bien de proveedores que de forma urgente requieren cambiar la cuenta corriente para el próximo pago. Los estafadores suelen conocer bien la organización, porque se la han estudiado, son extrabajadores descontentos o porque son insiders. A simple vista el correo electrónico que utilizan resulta muy parecido al legítimo, o directamente lo suplantan. Además, en sus correos suelen aludir a una situación importante de la empresa y utilizar frases como “confidencial” o “urgente”. Ciberestafas en el mundo de las criptomonedas: tipologías, cómo protegerte y qué hacer si eres víctima Estafas románticas (‘romance scam’) Otro de los fraudes que dan un beneficio económico importante son las estafas románticas. Según los datos de la Comisión Federal del Comercio, las estafas románticas en adultos mayores de 60 años representaron 139 millones de dólares en 2020. Este tipo de estafas consisten principalmente en el que o bien a través apps de citas o en redes sociales como Facebook o Instagram. El estafador envía solicitud a la posible víctima desde un perfil falso en el que se hace pasar por un profesional muy cualificado, médico, piloto etc. Tras hablar mediante redes sociales suele querer hablar mediante mensajería instantánea, WhatsApp o Telegram. De esta manera intentan ganarse la confianza de las victimas para crear una conexión emocional. Tras la conexión emocional crean una historia triste, como que ha fallecido un ser querido o la enfermedad grave puede tener algún familiar. Así genera empatía en la posible víctima. Una vez consolidada la relación de confianza es cuando solicitan el dinero, con el pretexto de hacer frente a los gastos del supuesto tratamiento médico, por ejemplo. Los menores como víctimas desde la perspectiva de la ciberseguridad ¿Cómo podemos protegernos? La Europol EC3 junto a varias organizaciones más nos dan recomendaciones para prevenir y protegernos frente a los fraudes que hemos comentado. Para el fraude el CEO tenemos consejos tanto, para protegerse como empresa y también como empleado: Como empresa: Sé consciente de los riesgos y asegúrate de que los empleados estén también concienciados.Anima a tus equipos a ser precavidos cuando les soliciten un pago.Implanta protocolos internos para los pagos.Implanta un procedimiento para verificar la legitimidad de las solicitudes de pago recibidas por correo.Establece procedimientos para gestionar el fraude.Revisa el contenido del portal web de tu empresa, limita la información y sé cauteloso en las redes sociales.Mejora y actualiza la seguridad de tus sistemas. 🛑 Contacta siempre con la policía en caso de intento de fraude, incluso si has logrado evitarlo. Como empleado: Respeta estrictamente los procedimientos de seguridad vigentes para los pagos y las compras. No te saltes ningún paso y no cedas a la presión.Revisa siempre con cuidado las direcciones de correo cuando manejes información delicada o hagas transferencias.En caso de duda sobre una orden de transferencia, consulta a un compañero experto.No abras nunca enlaces o adjuntos sospechosos recibidos por correo. Ten especial cuidado al consultar tu correo personal en los ordenadores de la empresa.Limita la información y sé cauto en las redes sociales.No compartas información sobre el organigrama, la seguridad y los procedimientos de tu compañía. 🛑 Si recibes un correo o una llamada sospechosa, informa siempre al departamento de informática. Para la estafa romántica o ‘romance scam’ la Europol EC3 nos dice lo siguiente para protegernos: Ten mucho cuidado con la información que compartes en las redes sociales y en las páginas de contactos.Considera siempre los riesgos. Los estafadores están en las páginas más respetables.Actúa con cabeza y tantea con preguntas.Investiga la fotografía y el perfil de la persona para averiguar si se ha utilizado en otros sitios.Estate atento a los errores ortográficos y gramaticales, historias incoherentes y excusas como que su cámara no funciona.No compartas nada que pueda comprometerte y sirva para chantajearte.Si aceptas veros en persona, cuenta a tu familia y amigos dónde vas a estar.Ten cuidado si te piden dinero. No lo envíes nunca ni proporciones los datos de tu tarjeta, cuenta bancaria, o copias de tu DNI.Evita enviar pagos por adelantado. No transfieras dinero en nombre de otra persona: el blanqueo de dinero es delito. Mi experiencia personal como víctima de ‘romance scam’ Voy a mostrar mi experiencia personal que hace unos meses viví. Cuando intentan agregarme a Instagram y sobre todo alguien que no conozco, como precaución primero miro el número de seguidores, de publicaciones, si tenemos personas en común…. Si algo no me cuadra o directamente elimino el mensaje o —en mi caso por «deformación profesional»— me gusta investigar y jugar con los cibermalos. Podéis ver que pone “usuario de Instagram” pero en su momento tenía la foto de perfil, de un hombre de unos 40 años y atractivo. Se puede ver que en el segundo mensaje ya intenta ligar conmigo, ya que vio mi foto y “le gustó”. Me dice que es del Reino Unido, que ejerce de médico en España, pero cuando le hago alguna pregunta más técnica de medicina, me contesta con que a eso ahora no puede responderme. Pero en el momento que me dice que trabaja de médico en un barco en Madrid, es cuando ya del todo saltan las alarmas. Por si algún lector es de fuera de España, Madrid no tiene playa, y de ahí que en la conversación pongo “la canción de vaya vaya aquí no hay playa, hemos sido engañadooooosss”. Como se puede leer me pide hablar por WhatsApp y cuando le digo que sea él que me lo dé me dice que solo tiene WhatsApp de empresa, y ya deja de contestar hasta al día siguiente que me da un número de teléfono. Lo primero que hago es buscar el prefijo para ver a que país corresponde y efectivamente no es Reino Unido y mucho menos España, sino que corresponde a Nigeria. Al ser preguntado sobre esto… vaya, maravillosamente me encuentro con que es dueño del mayor hospital de Nigeria. He buscado entre las capturas de pantalla porque sabía que había realizado alguna, en la primera imagen es el supuesto médico. Que como decía antes, hay ciertos rasgos del perfil que hacen saltar las alarmas, sigue a muchas personas, pocos seguidores y es nuevo el perfil en Instagram. La segunda imagen corresponde al perfil de WhatsApp del número que me proporciona y que en nada se parece al de la imagen de Instagram. Además, sospechosamente tiene puesto un número de Reino Unido. Como habéis podido leer, nadie está a salvado de ser víctima de una ciberestafa por lo que no hay que dejar toda la Ciberseguridad en manos de la tecnología ya que la protección empieza en uno mismo. Fotografía principal: Kyle Glenn / Unsplash Boletín semanal de Ciberseguridad, 18 – 24 de febreroMWC: Todas las innovaciones y el conocimiento experto que hemos compartido
Telefónica Tech Boletín semanal de Ciberseguridad, 18 – 24 de marzo HinataBot: nueva botnet dedicada a ataques de DDoS El equipo de investigadores de Akamai ha publicado un informe en el que señala que han identificado una nueva botnet denominada HinataBot que dispondría...
Telefónica Tech Qué es el Esquema Nacional de Seguridad (ENS 2.0) La Ciberseguridad, la privacidad y la protección de los datos y de la información sensible son aspectos cada vez más importantes en la sociedad actual. Tanto para empresas y...
Nacho Palou 5G: cuatro casos de uso reales y prácticos El último informe “La Sociedad Digital en España 2022” [1] de Fundación Telefónica confirma la consolidación de los procesos de digitalización en la sociedad española. En este sentido, cabe...
Susana Alwasity Ciberseguridad: eventos “cisne negro” en un mundo conectado En la sociedad actual, la tecnología ha transformado la forma en que vivimos, trabajamos y nos relacionamos. Con el aumento del uso de dispositivos y redes conectados a internet,...
Telefónica Tech Boletín semanal de Ciberseguridad, 11 – 17 de marzo Nueva versión del troyano bancario Xenomorph Investigadores de ThreatFabric han detectado una nueva variante del troyano bancario para Android Xenomorph. Esta familia de malware fue detectada por primera vez en febrero...
Gonzalo Álvarez Marañón Matemáticas contra el cibercrimen: cómo detectar fraude, manipulaciones y ataques aplicando la Ley de Benford Cómo aplicar la ley de Benford para luchar contra el cibercrimen. La respuesta, en este post que utiliza las matemáticas para ayudar a la ciberseguridad.
