En el camp de la informàtica, l'enginyeria social consisteix a obtenir informació confidencial manipulant als seus usuaris legítims. Es tracta d'un atac dirigit a enganyar un usuari o administrador d'un lloc a Internet per poder veure informació útil, obtenir accés a sistemes, cometre frau, intrusió a una xarxa, etc.
És una tècnica que poden fer servir certes persones per obtenir informació, accés o permisos en sistemes d'informació[1] que els permetin fer danys a la persona o organisme compromesos. El principi que sustenta l'enginyeria social és que, en qualsevol sistema, els usuaris són la «baula feble».
A la pràctica, un enginyer social utilitzarà el telèfon o la Internet per enganyar la gent, fingint ser, per exemple, un treballador d'algun banc o alguna altra empresa, un company de feina, un tècnic o un client, etc., fent que la víctima reveli informació confidencial o que faci alguna cosa il·legal.
Via Internet s'usa, addicionalment, l'enviament de sol·licituds de renovació de permisos d'accés a pàgines web o correus electrònics falsos que sol·liciten respostes i fins i tot les famoses cadenes, portant així a revelar les credencials d'accés o informació sensible, confidencial o crítica.
Amb aquest mètode, els enginyers socials aprofiten la tendència natural de la gent a reaccionar de manera predictible en certes situacions –per exemple, proporcionant detalls financers a un aparent funcionari d'un banc– enlloc d'haver de trobar forats de seguretat en els sistemes informàtics.
Habitualment s'usen les xarxes socials com a forma d'obtenció d'informació personal, doncs els seus usuaris, principalment els més joves, les utilitzen a diari, on col·loquen tot tipus d'imatges de la seva família, els llocs on es troben, el seus gustos personals i fins i tot les seves relacions amoroses. D'aquesta forma, les xarxes socials són una font d'informació on el delinqüent troba una gran facilitat per fer un atac com robar la identitat.
Els atacs de Pretexting són un tipus d'enginyeria social basats en crear un bon pretext (d'aquí el nom en anglès), situació forjada o escenari, que els estafadors aprofiten per convèncer la víctima que reveli la seva pròpia informació personal. Una mentida elaborada implica sovint una investigació prèvia de la víctima per aconseguir la informació necessària, i així dur a terme la suplantació (per exemple, la data de naixement, el número de la Seguretat Social, dades bancàries, etc.) i fer-li creure que és legítim.
El pretext també es pot utilitzar per suplantar companys de treball, la policia, el banc, autoritats fiscals o qualsevol altra persona que podria haver percebut el dret a la informació a la ment de la víctima. El “pretexter” simplement ha de preparar respostes a preguntes que es pot plantejar la víctima. En alguns casos, tot allò que necessita és una veu que inspiri autoritat, un to seriós i la capacitat d'improvisar per crear un escenari pretextual.
La pesca electrònica o phishing és una de les diferents tècniques utilitzades per atacs d'enginyeria social. Es pot considerar l'atac més simple però també el més efectiu, doncs s'enganya a l'usuari portant-lo a penar que un administrador del sistema està sol·licitant una contrasenya per propòsits aparentment legítims.[2]
Un exemple de phishing és el fet de rebre missatges que sol·liciten contrasenyes o informació de targetes de crèdit, amb el motiu de "crear un compte", "reactivar una configuració", o una altra operació benigna. Un altre exemple contemporani d'un atac d'enginyeria social és l'ús d'arxius adjunts a correus electrònics, oferint, per exemple, fotos "íntimes" d'alguna persona famosa o algun programa "gratis" (sovint aparentment provinents d'alguna persona coneguda) però que executen codi maliciós (per exemple, utilitzar la màquina de la víctima per enviar quantitats massives de correu brossa). Ara bé, els usuaris han d'activar aquests fitxers de manera explícita perquè passi una acció maliciosa. Molts usuaris, però, obren gairebé cegament qualsevol fitxer adjunt rebut, concretant així l'atac.
L'enginyeria social també s'aplica a l'acte de manipulació de cara a cara per obtenir accés als sistemes informàtics, como ara el coneixement sobre la víctima, a través de la introducció de contrasenyes habituals, lògiques típiques o coneixent-ne el passat i el present; responent la pregunta: Quina contrasenya introduiria jo si fos la víctima?
Tot i que és semblant al phishing, el spear phishing és una tècnica que obté informació privada de manera fraudulenta mitjançant l'enviament de correus electrònics molt personalitzats a pocs usuaris. A diferència d'aquesta, les campanyes de phishing es centren en enviar grans volums de correus electrònics generalitzats amb l'expectativa de que només responguin unes poques persones. D'altra banda, els correus electrònics de spear phishing requereixen que l'atacant realitzi investigacions addicionals sobre els seus objectius per "enganyar" els usuaris per tal que realitzin les activitats sol·licitades. L'èxit d'aquest tipus d'atacs depèn en gran manera de la quantitat i la qualitat de l'OSINT (intel·ligència de codi obert) que pugui obtenir l'atacant.[3]
El vishing consisteix a fer trucades telefòniques encobertes mitjançant els sistemes de voice IP, sota enquestes amb les quals també es podria treure informació personal de manera que la víctima no sospiti. El mateix es fa mitjançant el smishing Arxivat 2022-03-30 a Wayback Machine., però en aquest cas, per missatge de text (SMS).
El punt clau del baiting[4] és temptar la víctima perquè «piquil'ham», d'aquí el seu nom (en anglès, «baiting» significa literalment «posar esquer»). El contingut temptador podria ser la promesa d´un regal o la possibilitat de rebre alguna recompensa. Per tant, el treball del hacker és crear un parany per a les víctimes.
Per aquest atac 'utilitza un dispositiu d'emmagatzematge extraïble (CD, DVD, USB) infectat amb un programari maliciós, deixant-lo en un lloc on sigui fàcil de trobar (per exemple, banys públics, ascensors, voreres, etc.). Quan la víctima trobi aquest dispositiu i l'introdueixi al seu ordinador, el programari s'instal·larà i permetrà que el hacker obtingui totes les dades personals de l'usuari.[5]
Quid pro quo significa "una cosa per altre". L'atacant truca a números aleatoris en una empresa, al·legant estar trucant de nou des del suport tècnic. Aquesta persona informarà a algú d'un problema legítim i s'oferirà a ajudar-lo, durant el procés aconseguirà les dades d'accés i llançarà un codi maliciós (malware), on finalment es produirà un robatori d'identitat.[6]
Frank Abagnale Jr. és un consultor de seguretat nord-americà conegut per la seva experiència com a ex estafador, falsificador de xecs i impostor quan tenia entre 15 i 21 anys. Es va convertir en un dels impostors més coneguts,[7] afirmant haver assumit vuit identitats, inclòs un pilot de línia aèria, un metge, un agent de l'Agència de Presons dels Estats Units i un advocat. Abagnale va escapar de la custòdia policial dues vegades (una d'un avió de passatgers en rodatge i una altra d'una penitenciaria federal dels EUA) abans de fer 22 anys.[8] La popular pel·lícula de Steven Spielberg "Atrapa'm si pots" està basada en la seva vida.
Kevin Mitnick és un consultor de seguretat informàtica nord-americana, autor i pirata informàtic, conegut pel seu arrest el 1995 i la posterior condemna de cinc anys per diversos delictes relacionats amb la informàtica i les comunicacions.[9] Va ser el gran creador del hacking per enginyeria social, qui defensava que la tècnica més efectiva és el hacking de persones. Segons ell, l'enginyeria social es basa en quatre principis: 1) tothom vol ajudar, 2) el primer moviment sol ser gairebé sempre de confiança envers l'altra persona, 3) a la gent li costa dir “no”, 4) a tothom li agrada que l'alabin. Va ser condemnat i se li va posar com a pena la prohibició de fer servir telèfons (pena d'allunyament informàtic). Es va parlar per primer cop de l'addicció a la tecnologia.[10]
Susan Headley va ser una pirata informàtica nord-americana activa a finals dels 70 i principis dels 80 àmpliament respectada per la seva experiència en enginyeria social, pretexting i subversió psicològica.[11] Era coneguda per irrompre en els sistemes informàtics militars, que sovint implicava anar al llit amb el personal militar i revisar la seva roba a la recerca de noms d'usuari i contrasenyes mentre dormien. Es va involucrar especialment amb el phreaking de Kevin Mitnick i Lewis de Payne a Los Ágeles, però després els va incriminar per esborrar els arxius del sistema a US Leasing després d'una baralla, fet que va portar a la primera condemna de Mitnick. Es va retirar per fer-se jugadora de pòquer professional.[12]
Els germans Ramy, Muzher i Shadde Badir, tots cecs de naixement, van aconseguir establir un extens pla de frau telefònic i informàtic a Israel a la dècada de 1990 utilitzant enginyeria social, suplantació de veu i ordinadors amb Línia braille.[13][14]
Christopher J. Hadnagy és un enginyer social nord-americà i consultor de seguretat en tecnologia de la informació, autor de quatre llibres sobre enginyeria social i seguretat cibernètica,[15] a més de ser fundador de la "Innocent Lives Foundation", una organització que ajuda a rastrejar i identificar el tràfic de nens utilitzant diverses tècniques de seguretat com l'ajuda d'especialistes en seguretat de la informació, l'ús de dades d'intel·ligència de codi obert (OSINT) i la col·laboració amb les forces policials.[16]