domingo, 29 de marzo de 2020

Utilizando Open Graph protocol en la propagación de campañas de Ingeniería social en redes Sociales.




En esta entrada hablaremos de Open Graph protocol y como sus características pueden ser usadas como técnicas para la propagación de ataques de Ingeniería social a través de redes sociales, entre los más afectados se encuentran Facebook y sistemas de comunicación instantánea como WhatsApp entre otros.

Entendamos las bases


Empezaremos por conocer un poco de Open Graph protocol, es prácticamente una serie de metadatos estructurados que se pueden añadir a un archivo HTML que explica el contexto de su contenido, los convierten en objetos gráficos y toma el control de los fragmentos que se muestran cuando tus URLs se comparten en redes sociales como Facebook, Twitter, y también en sistemas de comunicación instantánea como WhatsApp.


Ingeniería Social, consiste en persuadir a una persona para influenciarla en sus acciones. En otras palabras, es la manipulación de personas influenciándolas a ejecutar determinada acción, que las lleva a ser víctimas de un delito informático.


Uno de los pioneros del la Ingeniería social es Kevin Mitnick considera que el factor que determina la seguridad del hardware y el software es el factor humano, ademas se establece 4 principios que afecta a todas las personas:

  • Todos queremos ayudar
  • Siempre, el primer movimiento hacia el otro, es de confianza
  • Evitamos decir NO
  • A todos nos gusta que nos alaben



Actualmente con todas las herramientas informáticas disponibles y la presencia de las redes sociales al alcance de cualquier persona, la posibilidad de realizar la propagación efectiva de ataques de Ingeniería social se facilita.



Manos a la obra.


Entonces como se puede utilizar Open Graph protocol, en la propagación de posibles ataques de Ingeniería social, para tener un enfoque practico definiré una posible situación real:


  • Propagación de una noticia bancaria falsa (Enfocado a redes sociales)



El atacante tiene un sitio web malicioso la cual es la imitación del portal bancario en la cual recolecta datos personales, la temática puede ser muchas como:

  • Regalar dinero a los clientes que se infecten del Covid-2019 (Noticias falsas actuales)
  • Actualización de datos bancarios (Ej. Estamos actualizando los datos por favor... ).
  • Premios sorpresas (Ej. Te ganaste un auto en un sorteo )



Entonces añadimos los siguientes metadatos a nuestra página web, la descripción completa y detallada de cada metadato se encuentra en https://ogp.me/.





Lo mencionado anteriormente, probaremos en una publicación en Facebook y en un mensaje de WhatsApp. En una publicación en Facebook se muestra lo siguiente.






En Facebook podemos ver que la vista preliminar de la web toma como referencia el metadato URL que asignamos, lo cual se puede tomar como una suplantación en la previsualización del sitio web bancario.


y no así la URL de la aplicación web real que es la siguiente.
  • http://demos.lorddemon.org/ingsocial/bank.html (sitio que contiene los metadatos)



En ataques reales se realizan el acortamiento de la url con Bit.ly o algún otro ademas de apoyar la temática mediante un texto descriptivo en la publicación.





En messenger se visualiza de la siguiente manera, en este sistema de mensajería instantánea se puede notar que también se puede llegar a suplantar la URL.





Si se envía el enlace en un mensaje por medio del sistema de mensajería instantánea WhatsApp se visualiza lo siguiente.





La implementación de Open Graph protocol en WhatsApp permite ser más descriptivo, los metadatos que se visualizan son:
  • Metadato que define la URL.


  • Metadato que define la imagen.

  • Metadato que define la descripción, que apoya a la temática que queremos brindar para que la victima entre al enlace.



Se puede resumir que si la campaña de ingeniería social se propaga por WhatsApp puede ser más efectivo que Facebook.



Recomendaciones para mitigar estos incidentes.


Se tiene que tomar en cuenta que todos podemos ser victimas de este tipo de incidentes, uno de los factores más aprovechados son las temáticas populares de actualidad. Así también los ataques enfocados a las personas que tienen información confidencial a su cargo (Banco, Gobierno, etc), normalmente tienen la temática sera más enfocada (promociones, comunicados internos, etc).

Por lo cual  se recomienda:
  • Tener sentido común 
  • Si ves un mensaje comunicarlo a un superior o al encargado de comunicación interna.
  • Si se detecta que es una intento de ataque de ingeniería social comunicar a todos los colaboradores de la empresa.
  • Si se usa un acortador de URL se recomienda usar un verificador de la URL que expanda esta, puede ser http://checkshorturl.com/.


Conclusiones


Open Graph protocol es una iniciativa interesante para enriquecer el entendimiento de una página web al momento de compartirlo en las diferentes redes sociales, aquí se demuestra que puede ser mal usada en la propagación de campañas de ingeniera social.


Referencias:

https://ogp.me/
https://www.welivesecurity.com/la-es/2014/05/21/tecnicas-ingenieria-social-evolucionaron-presta-atencion/