Baiting

El Baiting consiste en un ataque informático de ingeniería social en el que el atacante presenta una oportunidad tentadora, ya sea para obtener un beneficio o por simple curiosidad, y la usa para atraer a la víctima a sufrir un ataque. Básicamente consiste en poner un cebo (bait en inglés) para atraer a la víctima hacia una trampa. Ejemplos típicos de objetivos del ataque son obtener datos personales, obtener datos bancarios o introducir un malware en una red corporativo.^[1]

Lo de ofrecer una recompensa también es usado en correos electrónicos de phishing cuando se ofrece a un usuario algo que podría obtener si pincha en un enlace. La diferencia entre Baiting y Phishing es que el Baiting es como dejar el cebo y dejar que se lo lleven para que envenene sus sistema más tarde, por otro lado, el phishing es como colgar un gusano brillante en un anzuelo para extraer información en el momento en que lo agarran^[2]

Este tipo ataque puede tener como objetivo una persona cualquiera, o estar centrado en cierto tipos de individuos. Para hacer un ataque de este tipo centrado en cierto tipo de individuos, lo mejor es estudiar su comportamiento y usar un cebo adecuado a él. Por ejemplo si queremos atacar a altos ejecutivos de empresas, el estudio de sus hábitos puede determinar que están especialmente interesados en coches clásicos y por tanto es buena idea usar un cebo relacionado con el tema.^[1]

A los atacantes que realizan ataques de baiting se les llama baiters.^[3]

Tipos editar

Los tipos de Baiting más habituales son:

Ofrecer dispositivos de almacenamiento externo (USB's, CD, CVD's,...) infectadas con malware con la esperanza de que este hardware se inserte en ordenadores y de esta forma el malware pueda acceder al equipo y a la red a la que está conectada. Por ejemplo se puede ofrecer los dispositivos:^[3]
- Envíandoselos por correo postal directamente al destinatario. Por ejemplo en 2018 agencias gubernamentales de Estados Unidos recibieron sobres con CD con matasellos de China^[4]
- Dejándolos 'abandonados' en sitios públicos, como aparcamientos o en la calle, para intentar explotar la curiosidad de la gente
- Dejándolos como obsequios en una bandeja en la recepción de la empresa. De esta forma los trabajadores podrán cojerlos al finalizar la jornada de trabajo.
- Dejándolos en sitios muy frecuentados de una empresa como baños, lugares de recepción, salas de conferencias y ascensores de la empresa.^[5]
- Colocándolos directamente en el sitio de trabajo de ciertos empleados.

A veces los dispositivos se marcan con etiquetas como 'Confidencial', 'Información Salarial' o . De esta forma resulta tentador a la víctima introducirlo en el equipo para leerlo.^[3]

El ataque más frecuente de este tipo es usar ofrecer USB's llamándose el ataque USB Baiting o road apples (road apples en inglés hace referencia al estiércol de caballo que dejan estos en las carreteras).

Algunos equipos tienen configuración para que se ejecute automáticamente ciertos archivos del dispositivo de almacenamiento externo, por ejemplo la opción auto-run de Windows.^[1] Otras veces es necesario incitar al usuario para que ejecute cierto archivo o lo abra con cierta aplicación (ej. virus de macro embebidos en ficheros .docx o pdf). Una buena técnica es poner nombres de ficheros que inciten a la apertura de cierto archivo.^[5]^[2]

Ofrecer descargas gratuitas de artículos, música películas si se les da sus credenciales a una determinada página.^[3]
Ofrecer premios, por ejemplo un teléfono inteligente o un reproductor de audio digital, a cualquiera que se conecte. Para poder obtener los premios es necesario introducir datos personales.^[3]
Click baiting. Consiste en usar titulares y enlaces llamativos con el objetivo de que los internautas hagan click y recibir tráfico. Dicho de otra forma, realizar usos intencionados de titulares engañosos para conseguir captar rápidamente la atención de los usuarios. Para creación de este tipo de enlaces se investigan y usan trucos lingüísticos, visuales y emocionales capaces de aumentar la curiosidad y el interés de los usuarios en la red. Los titulares click bait se caracterizan por ser poco descriptivos y tener la capacidad de generar suspense y expectación.^[6]
Scam baiting. Consiste en simular interés en un fraude por correo electrónico o estafa nigeriana con el fin de manipular al estafador para hacerle perder tiempo, molestarlo, obtener información que permita llevarlo ante la justicia con la esperanza de que sea procesado, o por simple diversión.

Formas de Evitarlo editar

Es relevante recordar que el baiting se basa en explotar nuestra debilidad por obtener algo, es por eso por lo que lo ideal es no recoger algún medio de almacenamiento que se encuentre en la calle o del que desconozcamos su procedencia e incluso conociéndola hacer analizar el medio para evitar cualquier infección de malware.

A la hora de recibir correos electrónicos con enlaces a otras páginas, es importante ver que el vínculo coincida con el dominio al que nos quiere dirigir el enlace y no solo eso, también corroborar que el dominio este escrito de forma correcta, pues por la ausencia de una letra o que haya sido puesta en orden diferente, la liga nos dirigirá a otro sitio controlado por el ciberdelincuente.

Referencias editar

↑ ^a ^b ^c Social Engineering Penetration Testing: Executing Social Engineering Pen Tests, Assesments and Defense. Gavin Watson et ali. Elsevier 2014
↑ ^a ^b The hacker Ethos: The Beginner's Guide to Ethical Hacking and Penetration Testing. True Demon. CreateSpace Independent Publishing Platform. 29 de enero de 2016
↑ ^a ^b ^c ^d ^e Ingeniería Social: ¿qué es el Baiting («cebar», o «poner carnada»)?. Manuel Fernandez. mailfence.com. 17 de febrero de 2020
↑ State Govts. Warned of Malware-Laden CD Sent Via Snail Mail from China. krebsonsecurity.com. 27 de julio de 2018
↑ ^a ^b INGENIERÍA SOCIAL: PHISHING Y BAITING. Cortés Hernández, Andrés Mauricio. 2019
↑ ¿Qué es el «Click Baiting»?. Maripi Sánchez. idento.es

Datos: Q97178787

[gabin-1] Social Engineering Penetration Testing: Executing Social Engineering Pen Tests, Assesments and Defense. Gavin Watson et ali. Elsevier 2014

[true-2] The hacker Ethos: The Beginner's Guide to Ethical Hacking and Penetration Testing. True Demon. CreateSpace Independent Publishing Platform. 29 de enero de 2016

[mailfence-3] Ingeniería Social: ¿qué es el Baiting («cebar», o «poner carnada»)?. Manuel Fernandez. mailfence.com. 17 de febrero de 2020

[4] State Govts. Warned of Malware-Laden CD Sent Via Snail Mail from China. krebsonsecurity.com. 27 de julio de 2018

[piloto-5] INGENIERÍA SOCIAL: PHISHING Y BAITING. Cortés Hernández, Andrés Mauricio. 2019

[6] ¿Qué es el «Click Baiting»?. Maripi Sánchez. idento.es

[1]

[2]

[3]

[4]

[5]

[6]