CIBERDELINCUENCIA – Instituto FOC | Informática ONLINE | FP Informática ONLINE

El fraude de los RRHH

INCIBE-CERT ha detectado un aumento en los casos de suplantación de identidad de los trabajadores de una empresa. Los ciberdelincuentes contactan con el departamento de Recursos Humanos a través del correo electrónico para solicitar un cambio de cuenta bancaria para recibir la nómina del trabajador.

El email spoofing consiste en suplantar la identidad del remitente. Una de las formas que utilizan para ello es modificar un carácter de la dirección de correo electrónico del trabajador.

Ejemplo:

Dirección correcta pepe.gonzales@nombredeempresa.es

Dirección falsa pepe.gonzalez@nombredempresa.es

Con este leve cambio, el receptor del correo puede no detectarlo y caer en el fraude.

 

¿Qué debes hacer para solucionarlo?

Los ciberdelicuentes suelen hacer uso de infecciones por malware para hacerse con los correos de los empleados de la empresa.

Siempre, ante la más mínima duda, tenemos que analizar el correo y aprender a identificarlos. Si no sabes cómo hacerlo pincha aquí.

Para evitar que espíen nuestro correo electrónico y evitar que nos infecten debemos seguir estos pasos:

  • Actualizar el sistema operativo y todas las aplicaciones.
  • Instalar y configurar filtros antispam y un antivirus que tendremos que mantener actualizado.
  • Desactivar la vista de correos en html en las cuentas críticas

 

 

 

 

Vector de Abstracto creado por katemangostar – www.freepik.es

Kevin Mitnick, un fantasma en el sistema

Este hacker, creador del concepto de ingeniería social fue considerado “el más buscado de todo el ciberespacio”.

 

Sus inicios

Ya a sus 13 años apuntaba a maneras cuando decidió buscar las artimañas para no pagar al subir en el autobús. Los billetes de autobús tenían una forma concreta de estar agujereados dependiendo del día, la hora o la ruta del autobús. Mitnick compró una maquina igual a la que utilizaban para realizar esas perforaciones y consiguió muchas tarjetas sin perforar en una terminal en la que los conductores dejaban sus libros de tarjetas sin vigilancia.

En su libro Un fantasma en el sistema declara: A mi madre le parecía ingenioso, a mi padre le parecía una muestra de iniciativa y a los conductores de autobús que sabían que yo picaba mis propios billetes de transbordo les parecía una cosa muy graciosa. Era como si toda la gente que sabía lo que estaba haciendo me diera palmaditas en la espalda.

 

El juego de la ingeniería social.

Gracias a sus dotes sociales era capaz de obtener información de diversos sistemas manipulando a los usuarios legítimos de estos sistemas.

Su técnica era simple. En una de sus primeras veces, necesitaba un número de solicitante para pinchar el Departamento de Vehículos de Motor y para lograrlo llamó a una comisaría haciéndose para por un componente del DMV. Le preguntaron si su código de solicitante era 36472 y el digo “No, es el 62883”.

Es un truco que he descubierto que funciona muy a menudo. Si pides información confidencial, la gente, naturalmente, sospecha de inmediato. Si finges que ya tienes esa información y dices algo que está mal, la gente suele corregirte y te recompensa con la información que estabas buscando. Declara el hacker.

Conocía al detalle los datos que necesitaba y eso era lo que le daba la seguridad para realizar las llamadas telefónicas.

Confía en que el eslabón más débil de una cadena de seguridad es el humano.

 

Perfeccionando la técnica

Al principio su actividad se centró en las redes telefónicas pero con el paso del tiempo y la adquisición de nuevos conocimientos fue mejorando su técnica.

Llegó a hacer escuchas a los agentes del FBI que estaban investigándolo y que trataban de arrestarle. Creó un sistema que le alertaba cuando se organizaba una redada el cual le permitía huir a tiempo. Incluso en una de las ocasiones les gastó una broma a los agentes dejándoles unos donuts.

 

Repercusión mediática

Una vez capturado, su figura se convierte en un referente  para muchos, incluso se basan en su historia para crear la película Juegos de Guerra.

También se publicaron documentales como Freedom Downtime en el que narraban todos los hechos.

Mitnick siempre ha defendido: Nunca fui capaz de robar dinero. Y eso que hoy podría ser multimillonario y vivir el resto de mis días al sol del Caribe. Pero la conciencia me lo impidió. Lo que me impulsaba a hacer lo que hacía era la euforia del descubrimiento científico, el placer que se experimenta cuando se resuelve un problema matemático difícil.

 

¿A qué se dedica ahora?

Finalmente y tras su salida de la cárcel en enero del 2000, creó una empresa de seguridad informática en la que se dedicaba a hacer lo que hacía anteriormente pero esta vez con el permiso expreso de las empresas que lo contrataban para el análisis de su seguridad.

Ahora da conferencias por el mundo y es el Chief Hacking Officer de KnowBe4, otra empresa de consultoría y formación en seguridad informática.