La ingeniería social se define como “un método de intrusión no técnico que utilizan los piratas informáticos que se basa en gran medida en la interacción humana y, a menudo, implica engañar a las personas para que rompan los procedimientos de seguridad normales. Es una de las mayores amenazas con las que se encuentran hoy las organizaciones ".
Cuando la mayoría de nosotros pensamos en ataques de ingeniería social, es probable que imaginemos a personas que se hacen pasar por inspectores, tratando de obtener acceso a áreas restringidas. También podríamos imaginar a un pirata informático llamando a alguien y pretendiendo ser de soporte técnico y tratando de engañar a algún usuario crédulo para que proporcione su contraseña u otra información personal que pueda ser útil para un pirata informático.
Estos ataques clásicos se han visto en la televisión y en las películas durante décadas. Sin embargo, los ingenieros sociales están evolucionando constantemente sus métodos y vectores de ataque y desarrollando nuevos. Por lo general, se basan en un motivador muy poderoso: la curiosidad humana.
Cómo funciona el Road Apple Attack
Uno de estos ataques, en particular, tiene varios nombres, pero en general se le conoce como el ataque "Road Apple". El origen del nombre no está claro, pero el ataque es bastante simple. Es básicamente un ataque tipo troyano clásico con un giro.
En un ataque de Road Apple, un pirata informático suele tomar varias unidades flash USB, CD grabables en DVD, etc. y los infecta con malware, normalmente rootkits tipo troyano. Luego dispersan las unidades / discos infectados en todo el estacionamiento de la ubicación a la que se dirigen.
Su esperanza es que algún empleado curioso de la compañía a la que se dirige se dirija a la unidad o disco (o Road Apple) y que su curiosidad por averiguar qué hay en la unidad anulará su sentido de seguridad y traerán la unidad a la instalación. Insértelo en su computadora y ejecute el malware, ya sea haciendo clic en él o ejecutándolo automáticamente a través de la funcionalidad de "reproducción automática" del sistema operativo.
Dado que es probable que el empleado haya iniciado sesión en su computadora cuando abre el disco o la unidad infectada con el malware, el malware puede eludir el proceso de autenticación y es probable que tenga los mismos permisos que el usuario registrado. Es poco probable que el usuario reporte el incidente por temor a meterse en problemas y / o perder su trabajo.
Algunos piratas informáticos harán que las cosas sean más tentadoras al escribir algo en el disco con un marcador, como "Salario de empleado y aumento de información 2015" o algo más que un empleado de la empresa pueda encontrar lo suficientemente irresistible para poner en su computadora sin darle un segundo. pensamiento.
Una vez que se ejecute el malware, es probable que el pirata informático llegue a su casa y le permita el acceso remoto a la computadora de la víctima (dependiendo del tipo de malware instalado en el disco o la unidad).
¿Cómo se pueden prevenir los ataques de Apple Road?
Educar a los Usuarios: La política debe ser nunca, nunca instalar los medios que se han encontrado en las instalaciones, a veces, los piratas informáticos incluso dejan discos dentro de las áreas comunes. Nadie debe confiar en ningún medio o disco que encuentre en cualquier lugar.
Se les debe dar instrucciones para que siempre entreguen las unidades que se encuentran a la persona de seguridad de la organización.
Educar a los administradores: El administrador de seguridad nunca debe instalar o cargar estos discos en una computadora en red. Cualquier inspección de discos o medios desconocidos solo debe realizarse en una computadora que esté aislada, que no esté conectada a la red y que tenga cargados los últimos archivos de definición de antimalware. La reproducción automática debe estar desactivada y los medios deben tener un escaneo completo de malware antes de abrir cualquier archivo en la unidad. Idealmente, también sería una buena idea tener un escáner de malware de segunda opinión que también escanee el disco / unidad.
Si ocurre un incidente, la computadora afectada debe aislarse de inmediato, hacer una copia de seguridad (si es posible), desinfectarse, y limpiarse y volver a cargar desde medios confiables si es posible.
