10 casos reales y famosos de ataques de ingeniería social

10 casos reales y famosos de ataques de ingeniería social

mayo 1, 2022 0 Por admin


La ingeniería social es la táctica detrás de algunos de los ataques de hackers más famosos. Es un método basado en la investigación y la persuasión que suele estar en la raíz de las estafas de spam, phishing y spear phishing, que se propagan por correo electrónico.

El objetivo de los ataques de ingeniería social es, básicamente, ganarse la confianza de la víctima para robar datos y dinero. Los incidentes de ingeniería social a menudo también implican el uso de malware, como ransomware y troyanos.

Los casos de ingeniería social que se enumeran a continuación le darán una idea de cómo funcionan estos ataques y cuán costosos pueden ser para las empresas, las personas y los gobiernos. Si alguna vez dudaste de que un simple correo electrónico falso de soporte de Apple podría causar un daño real, esta lista es para ti.

En este artículo, le mostraremos los siguientes ejemplos de ingeniería social:

La jueza de televisión de Shark Tank, Barbara Corcoran, fue engañada en una estafa de phishing e ingeniería social de casi USD 400 000 en 2020. Un ciberdelincuente se hizo pasar por su asistente y envió un correo electrónico al contador solicitando un pago de renovación relacionado con inversiones inmobiliarias. Usó una dirección de correo electrónico similar a la legítima. El fraude solo se descubrió después de que el tenedor de libros envió un correo electrónico a la dirección correcta del asistente preguntando sobre la transacción.

Toyota Boshoku Corporation, un proveedor de autopartes, fue víctima de un ataque de ingeniería social y BEC (Business Email Compromise) en 2019. El dinero perdido asciende a USD 37 millones. Utilizando la persuasión, los atacantes persuadieron a un ejecutivo de finanzas para que cambiara la información de la cuenta bancaria del destinatario en una transferencia bancaria.

Debido a una estafa de ingeniería social y BEC, el condado de Cabarrus, en los Estados Unidos, sufrió una pérdida de USD 1,7 millones en 2018. Usando correos electrónicos maliciosos, los piratas informáticos se hicieron pasar por proveedores del condado y solicitaron pagos a una nueva cuenta bancaria. Según la investigación, luego de que el dinero fuera transferido, fue desviado a varias cuentas. En los correos electrónicos, los estafadores presentaron documentación aparentemente legítima.

Por cierto, ¿has revisado nuestra lista de 10 casos reales y famosos de BEC (Business Email Compromise)?

Varias personas perdieron miles de dólares en criptomonedas después de que el sitio web de Ethereum Classic fuera pirateado en 2017. Utilizando la ingeniería social, los piratas informáticos se hicieron pasar por el propietario de Classic Ether Wallet, obtuvieron acceso al registro de dominio y luego redirigir el dominio a su propio servidor. Los delincuentes extrajeron la criptomoneda Ethereum de las víctimas después de ingresar un código en el sitio web que les permitía ver las claves privadas que se utilizan para las transacciones.

Uno de los casos más icónicos de ingeniería social son las elecciones presidenciales de Estados Unidos en 2016. Los ataques de spear phishing llevaron a la filtración de correos electrónicos e información del Partido Demócrata que pudo haber influido en el resultado de las elecciones, con la victoria de Donald Trump sobre Hillary Clinton. . Los piratas informáticos crearon un correo electrónico falso de Gmail, invitando a los usuarios, a través de un enlace, a cambiar sus contraseñas debido a una actividad inusual. Luego, los estafadores tuvieron acceso a cientos de correos electrónicos que contenían información confidencial sobre la campaña de Clinton.

Ubiquiti Networks, fabricante de tecnología para redes, perdió casi $40 millones de dólares, en 2015, tras un ataque de phishing. Se cree que la cuenta de correo electrónico de un empleado se vio comprometida en Hong Kong. Luego, los piratas informáticos utilizaron la técnica de suplantación de identidad de los empleados para solicitar pagos fraudulentos, que fueron realizados por el departamento de contabilidad.

  • ¡Consulte nuestros 7 consejos sobre cómo identificar y detectar correos electrónicos maliciosos y tenga cuidado!

Tras una investigación, el FBI señaló que el ciberataque a Sony Pictures, en 2014, fue responsabilidad del gobierno de Corea del Norte. Se robaron miles de archivos, incluidos acuerdos comerciales, documentos financieros e información de los empleados. Sony Pictures fue objeto de ataques de phishing selectivo. Parece que los empleados fueron atraídos por correos electrónicos falsos de Apple.

Como resultado de la violación de datos de Target, en 2013, los piratas informáticos obtuvieron acceso a la información de pago de 40 millones de clientes. A través de un correo electrónico de phishing, los delincuentes instalaron un malware en una empresa socia de Target, lo que les permitió, en un segundo momento, acceder a la red de la segunda tienda minorista más grande de Estados Unidos. Luego, los piratas informáticos instalaron otro malware en el sistema de Target para copiar la información de la tarjeta de crédito y débito de los clientes. ¿Qué podemos aprender de este ataque? Tenga mucho cuidado con las empresas y socios que tienen acceso a su red.

Los piratas informáticos robaron millones de números de Seguro Social y miles de información de tarjetas de crédito y débito del Departamento de Ingresos de Carolina del Sur en 2012. Los empleados cayeron en estafas de phishing, compartiendo sus nombres de usuario y contraseñas con delincuentes. Luego de eso, con las credenciales en mano, los hackers accedieron a la red de la dependencia estatal.

Se estima que RSA, una empresa de seguridad, gastó alrededor de $66 millones debido a su violación de datos en 2011. El ataque comenzó con un documento de Excel, enviado a un pequeño grupo de empleados por correo electrónico. El asunto del correo electrónico decía algo así como «Plan de Reclutamiento». El archivo adjunto contenía un archivo malicioso que abrió una puerta trasera para los piratas informáticos.

Como se ve en los ejemplos, la ingeniería social se basa en que el atacante se gana la confianza de la víctima. Por esta razón, es importante prestar atención a los correos electrónicos, revisar los archivos adjuntos y enlaces, y desconfiar de los pedidos urgentes que involucran principalmente dinero.

La tecnología también juega a tu favor. Gatefy ofrece diferentes soluciones de protección de correo electrónico para empresas. Por ejemplo, tenemos un solución segura de puerta de enlace de correo electrónico y un solución antifraude (basada en DMARC) que ayudará a su empresa a luchar contra los ataques de ingeniería social, el phishing y otras amenazas.

Ponerse en contacto o solicitar un manifestación.