1-800-987-654 admin@totalwptheme.com
Social Engineering

Cuidado freelancers y autónomos: El fraude está a la vuelta de la esquina

Curioso el caso que comentan por el blog de Kaspersky (ES) sobre un timo que trae locos a la comunidad de seguridad.

El ataque va dirigido a freelances de la más diversa índole (diseñadores, desarrolladores, testers, creativos, escritores,…), que normalmente son contactados mediante páginas donde ofrecen sus servicios. Alguien se hace pasar por un posible empleador que busca un profesional para que de solución a un problema sencillo que tienen en su compañía.

Para agilizar los trámites, piden a la víctima que instale una aplicación de gestión remota (en este caso, AirDroid (ES)) o un programa específico para compartir contenido multimedia (si por ejemplo estamos ante un diseñador).

La aplicación es legítima, y además de estar disponible en el market oficial de Google (lo cual tranquilizará a muchos), hace en efecto lo que dice.

El problema es que para entrar a utilizarla el atacante le pasará a la víctima una cuenta. Algo, por otro lado, bastante habitual cuando un tercero te contrata para hacer algo.

Pero en este caso, al acceder desde tu dispositivo con la cuenta del atacante lo que estás permitiendo es que éste remotamente pueda acceder a tu dispositivo.

Los últimos ataques se están realizando, como comentaba, mediante dispositivos móviles, y una vez activado, el atacante tiene control absoluto del mismo (ES), pudiendo abrir aplicaciones de banca y enviarse dinero, extorsionar a familiares y cualquier otra maldad que se te ocurra, aunque no hay que olvidar que esto mismo puede llegar a reproducirse en entornos de escritorio.

Programas como TeamViewer ofrecen acceso remoto a dispositivos, y el problema aquí radica en que no se trata de una aplicación comprometida, sino de una tergiversación de su uso.

Los desarrolladores de AirDroid ya están sobre aviso, pero sinceramente, lo único que van a poder hacer es quizás alertar mediante una pantalla a la hora de loguearse de los riesgos que tiene agregar una cuenta de la cual no somos los únicos que tienen acceso.

No es por tanto un problema técnico, una vulnerabilidad que afecte a cómo opera este tipo de herramientas. Hablamos de un ataque que tiene como objetivo engañar a un profesional, y para ello utiliza las herramientas esperables de un artista del engaño.

Es, a efectos prácticos, un ataque de ingeniería social (ES), que invalida cualquier posible control que tenga el sistema sobre las acciones maliciosas que un tercero puede llegar a hacer, y debe ser tratado como tal.

Por ello, desde esta santa casa queremos también alertar de la situación, y recordar a cualquier empresa u organización que frente a este tipo de campañas la única medida de seguridad válida es la formación de TODOS los trabajadores.

Cualquier compañía B2B o B2C es, por simple traslado de funciones, susceptible a sufrir una brecha de información que puede ocasionar pérdidas económicas directas, descontando el descrédito y la posible crisis reputacional que tendría si nuestros clientes se enteran de que hemos expuesto su información a terceros.

Solo basta que uno de nuestros trabajadores (quizás un comercial) acabe por picar en el anzuelo, para que desde allí tengan acceso al resto de servicios cloud que utilizamos.

Vale más ser precavido que lamentar, ya sabes…

This Post Has One Comment
  1. Un dia cualquiera en una conferencia…
    El conferencista exclama…muy buenos dias jovenes yo soy ingeniero…
    buuu buuuu buuuu gritan los estudiantes….
    el conferencista termina su frase… soy ingeniero social…
    los estudiantes con cara de afligidos dejando apagados sus moviles y tratando de no hacer ningun movimiento en falso porque saben que cualquier cosa puede ser usada en su contra…. fin.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *