El pretexting es una forma de ingeniería social en la que un atacante intenta convencer a una víctima para que entregue información valiosa o acceso a un servicio o sistema. La característica distintiva de este tipo de ataque es que los estafadores inventan una historia, o un pretexto , para engañar a la víctima. El pretexto generalmente coloca al atacante en el papel de alguien con autoridad que tiene derecho a acceder a la información que se busca, o que puede usar la información para ayudar a la víctima.
Los pretextos tienen una historia bastante larga; en el Reino Unido, donde también se conoce como blagging, es una herramienta que los periodistas de tabloides han usado durante años para tener acceso a información obscena sobre celebridades y políticos. Pero hoy en día, los estafadores lo utilizan comúnmente para tratar de obtener acceso a sus cuentas financieras y datos privados. Y los pretextadores pueden usar cualquier forma de comunicación, incluidos correos electrónicos, mensajes de texto y llamadas telefónicas de voz, para ejercer su oficio.
“La parte clave… es la creación de un escenario, que es el pretexto utilizado para involucrar a la víctima. El pretexto establece el escenario del ataque junto con los personajes y la trama. Es la base sobre la que se realizan muchas otras técnicas para lograr los objetivos generales”. hay dos elementos principales: un personaje interpretado por el estafador y una situación plausible en la que ese personaje podría necesitar o tener derecho a la información que busca. Por ejemplo, todos sabemos que a veces surgen errores con los sistemas de pago automático; por lo tanto, es plausible que alguna factura recurrente que hemos configurado para cargar a nuestra tarjeta de crédito o cuenta bancaria automáticamente falle misteriosamente y, como resultado, la compañía a la que queríamos pagar se comunique con nosotros. Un atacante podría encontrarnos en ese escenario: un representante de servicio al cliente amable y servicial, por ejemplo, que se comunique con nosotros para ayudarlo a corregir el error y asegurarse de que el pago se realice antes de que nuestra cuenta se atrase. A medida que se desarrolla el escenario, el atacante solicitaría información bancaria o de tarjeta de crédito para ayudar en el proceso, y esa es la información que necesitan para robar dinero directamente de nuestras cuentas.
En el escenario descrito anteriormente, la clave para que la estafa funcione es que la víctima crea que el atacante es quien dice ser. Eso requiere que el personaje sea tan creíble como la situación. No es suficiente encontrar plausible en abstracto que podría recibir una llamada telefónica de su compañía de cable que le dice que su pago automático no se realizó; usted tiene que encontrar creíble que la persona en el teléfono es en realidad un representante de servicio al cliente de su compañía de cable. Por lo tanto, las técnicas de pretexto más importantes son las que utiliza el estafador para tranquilizarlo. Si un atacante de alguna manera obtuvo su factura de cable, por ejemplo, revisando su basura, estará armado con el nombre de su proveedor de cable y su número de cuenta cuando lo llame,
Este ejemplo demuestra una especie de paradoja del pretexto: cuanto más específica sea la información que un pretextador tenga sobre usted antes de ponerse en contacto con usted, más valiosa será la información que pueda convencerlo de que renuncie. Es por eso que la investigación cuidadosa es una técnica fundamental para los pretextadores. Si bien la búsqueda en el basurero puede ser una buena fuente de inteligencia sobre una víctima, obviamente también requiere un poco de trabajo desordenado en el mundo real y puede no valer la pena para un objetivo de valor relativamente bajo. Pero los pretextadores tienen una gran cantidad de otras técnicas de investigación más eficientes disponibles, incluida la llamada inteligencia de fuente abierta .— información que se puede reconstruir a partir de información disponible públicamente, desde registros gubernamentales hasta perfiles de LinkedIn. También hay gigabytes de datos de identificación personal en la web oscura como resultado de innumerables violaciones de datos, disponibles para comprar a un precio relativamente bajo para servir como esqueleto para un escenario de pretexto.
También hay algunos métodos más técnicos que los pretextadores pueden usar para agregar plausibilidad al escenario que están implementando. Por ejemplo, pueden falsificar el número de teléfono o el nombre de dominio del correo electrónico de la institución que se están haciendo pasar para parecer legítimos.
Pretextos y phishing
La falsificación de una dirección de correo electrónico es una parte clave del phishing , y muchos intentos de phishing se basan en escenarios de pretexto, aunque es posible que no impliquen una gran cantidad de investigación o detalles; por ejemplo, un atacante podría enviar un correo electrónico a un representante de recursos humanos con malware adjunto diseñado para parecerse al currículum de un solicitante de empleo. La variedad dirigida de phishing, conocida como phishing selectivo , que tiene como objetivo atrapar a una víctima específica de alto valor, generalmente conduce a un ataque de pretexto, en el que se engaña a un ejecutivo de alto nivel haciéndole creer que se está comunicando con otra persona en el empresa o en una empresa colaboradora, con el fin último de convencer a la víctima para que realice una importante transferencia de dinero.
Pretextar también es una parte clave del vishing , un término que es un acrónimo de “voz” y “phishing” y es, en esencia, phishing por teléfono. Muchos pretextadores obtienen el número de teléfono de su víctima como parte de una recopilación en línea de información de identificación personal antes mencionada, y usan el resto de los datos de la víctima para tejer el escenario plausible que los ayudará a alcanzar su objetivo (generalmente, una contraseña crucial o un número de cuenta financiera) .
Ataque de seguimiento
Hay una técnica más para discutir que a menudo se agrupa en la categoría de pretexto: chupar rueda. Seguir de cerca es una técnica común para atravesar una puerta cerrada simplemente siguiendo a alguien que puede abrirla antes de que se cierre. Se puede considerar una especie de pretexto porque el seguidor a menudo adopta una personalidad que alienta a la persona con la llave a dejarlo entrar al edificio; por ejemplo, podría vestirse con un mono y afirmar que está allí para arreglar el plomería o HVAC, o tener una caja de pizza y decir que están entregando el almuerzo a otro piso. Como muchas técnicas de ingeniería social, esta se basa en el deseo innato de las personas de ser útiles o amigables; siempre que haya una razón aparentemente buena para dejar entrar a alguien, la gente tiende a hacerlo en lugar de confrontar al seguidor.
Ejemplos de pretextos
Como señalamos anteriormente, una de las primeras formas en que el pretexto llamó la atención del mundo fue en una serie de escándalos que rodearon a los tabloides británicos a mediados de los 2000. Estos periódicos, en una competencia desesperada entre sí incluso por las primicias menores sobre celebridades y miembros de la realeza, utilizaron una variedad de técnicas para espiar el correo de voz de sus víctimas. En algunos casos, esto fue tan simple como probar si la víctima había cambiado el PIN de su correo de voz predeterminado (un número sorprendente no lo había hecho), pero también usaron una variedad de técnicas de pretexto denominadas internamente “blagging” para obtener acceso. a la información , incluido el buceo en la basura y el engaño a los representantes de servicio al cliente de la compañía telefónica para permitir el acceso al buzón de correo de voz.
Para muchos estadounidenses, su primera introducción a los pretextos se produjo en 2006, cuando los conflictos internos en Hewlett-Packard se convirtieron en un escándalo abierto. La dirección de HP contrató a investigadores privados para averiguar si algún miembro del consejo había estado filtrando información a la prensa; los IP, a su vez , se hicieron pasar por esos miembros de la junta , en algunos casos usando sus números de Seguro Social, que HP había proporcionado, para engañar a las compañías telefónicas para que entregaran los registros de llamadas. Todo terminó con la renuncia en desgracia de la presidenta de HP, Patricia Dunn, y la presentación de cargos penales (más sobre esto en un momento).
Aún así, el tipo de ataque de pretexto que es más probable que afecte su vida será uno en el que estas técnicas se vuelvan contra usted personalmente. El blog KnowBe4 brinda un excelente ejemplo de cómo un estafador con pretextos logró vencer la autenticación de dos factores para piratear la cuenta bancaria de una víctima . Se suponía que la víctima debía confirmar con un código de seis dígitos, que le envió su banco, si alguna vez intentaba restablecer su nombre de usuario y contraseña; los estafadores lo llamaron mientras restablecían esta información, fingiendo ser su banco confirmando cargos inusuales, y le pidieron que leyera los códigos que el banco le enviaba, alegando que los necesitaban para confirmar su identidad. Con esos códigos en la mano, pudieron piratear fácilmente su cuenta.
Pero es probable que los pretextadores apunten más a las empresas que a los individuos, ya que las empresas generalmente tienen cuentas bancarias más grandes y tentadoras. A menudo es más difícil averiguar los detalles de los ataques exitosos, ya que es poco probable que las empresas admitan que han sido estafadas. Chris Tappin y Simon Ezard de VTRAC, escribiendo para CSO Australia, describen una técnica de pretexto que llaman Spiked Punch , en la que los estafadores se hacen pasar por un proveedor al que una empresa envía pagos regularmente. Con la información obtenida de fuentes públicas y perfiles de redes sociales, pueden convencer al personal de cuentas por pagar de la empresa objetivo para que cambie la información de la cuenta bancaria de los proveedores en sus archivos y lograr ganar bastante dinero antes de que nadie se dé cuenta.
En otro ejemplo, Ubiquiti Networks, un fabricante de equipos de red, perdió casi $40 millones de dólares debido a una estafa de suplantación de identidad. Los pretextadores enviaron mensajes a empleados de Ubiquiti haciéndose pasar por ejecutivos corporativos y solicitaron que se enviaran millones de dólares a varias cuentas bancarias; una de las técnicas utilizadas fue “URL similares”: los estafadores habían registrado una URL que era solo una letra diferente de la de Ubiquiti y enviaban sus correos electrónicos desde ese dominio.
FUENTE: CSONLINE