El Baiting consiste en un ataque informático de ingeniería social en el que el atacante presenta una oportunidad tentadora, ya sea para obtener un beneficio o por simple curiosidad, y la usa para atraer a la víctima a sufrir un ataque. Básicamente consiste en poner un cebo (bait en inglés) para atraer a la víctima hacia una trampa. Ejemplos típicos de objetivos del ataque son obtener datos personales, obtener datos bancarios o introducir un malware en una red corporativo.[1]
Lo de ofrecer una recompensa también es usado en correos electrónicos de phishing cuando se ofrece a un usuario algo que podría obtener si pincha en un enlace. La diferencia entre Baiting y Phishing es que el Baiting es como dejar el cebo y dejar que se lo lleven para que envenene sus sistema más tarde, por otro lado, el phishing es como colgar un gusano brillante en un anzuelo para extraer información en el momento en que lo agarran[2]
Este tipo ataque puede tener como objetivo una persona cualquiera, o estar centrado en cierto tipos de individuos. Para hacer un ataque de este tipo centrado en cierto tipo de individuos, lo mejor es estudiar su comportamiento y usar un cebo adecuado a él. Por ejemplo si queremos atacar a altos ejecutivos de empresas, el estudio de sus hábitos puede determinar que están especialmente interesados en coches clásicos y por tanto es buena idea usar un cebo relacionado con el tema.[1]
A los atacantes que realizan ataques de baiting se les llama baiters. [3]
Tipos
Los tipos de Baiting más habituales son:
Ofrecer dispositivos de almacenamiento externo (USB's, CD, CVD's,...) infectadas con malware con la esperanza de que este hardware se inserte en ordenadores y de esta forma el malware pueda acceder al equipo y a la red a la que está conectada. Por ejemplo se puede ofrecer los dispositivos:[3]
Envíandoselos por correo postal directamente al destinatario. Por ejemplo en 2018 agencias gubernamentales de Estados Unidos recibieron sobres con CD con matasellos de China[4]
Dejándolos 'abandonados' en sitios públicos, como aparcamientos o en la calle, para intentar explotar la curiosidad de la gente
Dejándolos como obsequios en una bandeja en la recepción de la empresa. De esta forma los trabajadores podrán cojerlos al finalizar la jornada de trabajo.
Dejándolos en sitios muy frecuentados de una empresa como baños, lugares de recepción, salas de conferencias y ascensores de la empresa.[5]
Colocándolos directamente en el sitio de trabajo de ciertos empleados.
A veces los dispositivos se marcan con etiquetas como 'Confidencial', 'Información Salarial' o . De esta forma resulta tentador a la víctima introducirlo en el equipo para leerlo.[3]
El ataque más frecuente de este tipo es usar ofrecer USB's llamándose el ataque USB Baiting o road apples (road apples en inglés hace referencia al estiércol de caballo que dejan estos en las carreteras).
Algunos equipos tienen configuración para que se ejecute automáticamente ciertos archivos del disposivo de almacenamiento externo, por ejemplo la opción auto-run de Windows[1]. Otras veces es necesario incitar al usuario para que ejecute cierto archivo o lo abra con cierta aplicación (ej. virus de macro embebidos en ficheros .docx o pdf). Una buena técnica es poner nombres de ficheros que inciten a la apertura de cierto archivo.[5][2]
Ofrecer descargas gratuitas de artículos, música películas si se les da sus credenciales a una determinada página.[3]
Ofrecer premios, por ejemplo un teléfono inteligente o un reproductor de audio digital, a cualquiera que se conecte. Para poder obtener los premios es necesario introducir datos personales.[3]
Click baiting. Consiste en usar titulares y enlaces llamativos con el objetivo de que los internautas hagan click y recibir tráfico. Dicho de otra forma, realizar usos intencionados de titulares engañosos para conseguir captar rápidamente la atención de los usuarios. Para creación de este tipo de enlaces se investigan y usan trucos lingüísticos, visuales y emocionales capaces de aumentar la curiosidad y el interés de los usuarios en la red. Los titulares click bait se caracterizan por ser poco descriptivos y tener la capacidad de generar suspense y expectación.[6]
Scam baiting. Consiste en simular interés en un fraude por correo electrónico o estafa nigeriana con el fin de manipular al estafador para hacerle perder tiempo, molestarlo, obtener información que permita llevarlo ante la justicia con la esperanza de que sea procesado, o por simple diversión.
Referencias
↑ Social Engineering Penetration Testing: Executing Social Engineering Pen Tests, Assesments and Defense. Gavin Watson et ali. Elsevier 2014
↑ The hacker Ethos: The Beginner's Guide to Ethical Hacking and Penetration Testing. True Demon. CreateSpace Independent Publishing Platform. 29 de enero de 2016
↑ Ingeniería Social: ¿qué es el Baiting («cebar», o «poner carnada»)?. Manuel Fernandez. mailfence.com. 17 de febrero de 2020
State Govts. Warned of Malware-Laden CD Sent Via Snail Mail from China. krebsonsecurity.com. 27 de julio de 2018
¿Qué es el «Click Baiting»?. Maripi Sánchez. idento.es
Datos:Q97178787
Septiembre 21, 2021
baiting, consiste, ataque, informático, ingeniería, social, atacante, presenta, oportunidad, tentadora, para, obtener, beneficio, simple, curiosidad, para, atraer, víctima, sufrir, ataque, básicamente, consiste, poner, cebo, bait, inglés, para, atraer, víctima. El Baiting consiste en un ataque informatico de ingenieria social en el que el atacante presenta una oportunidad tentadora ya sea para obtener un beneficio o por simple curiosidad y la usa para atraer a la victima a sufrir un ataque Basicamente consiste en poner un cebo bait en ingles para atraer a la victima hacia una trampa Ejemplos tipicos de objetivos del ataque son obtener datos personales obtener datos bancarios o introducir un malware en una red corporativo 1 Lo de ofrecer una recompensa tambien es usado en correos electronicos de phishing cuando se ofrece a un usuario algo que podria obtener si pincha en un enlace La diferencia entre Baiting y Phishing es que el Baiting es como dejar el cebo y dejar que se lo lleven para que envenene sus sistema mas tarde por otro lado el phishing es como colgar un gusano brillante en un anzuelo para extraer informacion en el momento en que lo agarran 2 Este tipo ataque puede tener como objetivo una persona cualquiera o estar centrado en cierto tipos de individuos Para hacer un ataque de este tipo centrado en cierto tipo de individuos lo mejor es estudiar su comportamiento y usar un cebo adecuado a el Por ejemplo si queremos atacar a altos ejecutivos de empresas el estudio de sus habitos puede determinar que estan especialmente interesados en coches clasicos y por tanto es buena idea usar un cebo relacionado con el tema 1 A los atacantes que realizan ataques de baiting se les llama baiters 3 Tipos EditarLos tipos de Baiting mas habituales son Ofrecer dispositivos de almacenamiento externo USB s CD CVD s infectadas con malware con la esperanza de que este hardware se inserte en ordenadores y de esta forma el malware pueda acceder al equipo y a la red a la que esta conectada Por ejemplo se puede ofrecer los dispositivos 3 Enviandoselos por correo postal directamente al destinatario Por ejemplo en 2018 agencias gubernamentales de Estados Unidos recibieron sobres con CD con matasellos de China 4 Dejandolos abandonados en sitios publicos como aparcamientos o en la calle para intentar explotar la curiosidad de la gente Dejandolos como obsequios en una bandeja en la recepcion de la empresa De esta forma los trabajadores podran cojerlos al finalizar la jornada de trabajo Dejandolos en sitios muy frecuentados de una empresa como banos lugares de recepcion salas de conferencias y ascensores de la empresa 5 Colocandolos directamente en el sitio de trabajo de ciertos empleados A veces los dispositivos se marcan con etiquetas como Confidencial Informacion Salarial o De esta forma resulta tentador a la victima introducirlo en el equipo para leerlo 3 El ataque mas frecuente de este tipo es usar ofrecer USB s llamandose el ataque USB Baiting o road apples road apples en ingles hace referencia al estiercol de caballo que dejan estos en las carreteras Algunos equipos tienen configuracion para que se ejecute automaticamente ciertos archivos del disposivo de almacenamiento externo por ejemplo la opcion auto run de Windows 1 Otras veces es necesario incitar al usuario para que ejecute cierto archivo o lo abra con cierta aplicacion ej virus de macro embebidos en ficheros docx o pdf Una buena tecnica es poner nombres de ficheros que inciten a la apertura de cierto archivo 5 2 Ofrecer descargas gratuitas de articulos musica peliculas si se les da sus credenciales a una determinada pagina 3 Ofrecer premios por ejemplo un telefono inteligente o un reproductor de audio digital a cualquiera que se conecte Para poder obtener los premios es necesario introducir datos personales 3 Click baiting Consiste en usar titulares y enlaces llamativos con el objetivo de que los internautas hagan click y recibir trafico Dicho de otra forma realizar usos intencionados de titulares enganosos para conseguir captar rapidamente la atencion de los usuarios Para creacion de este tipo de enlaces se investigan y usan trucos linguisticos visuales y emocionales capaces de aumentar la curiosidad y el interes de los usuarios en la red Los titulares click bait se caracterizan por ser poco descriptivos y tener la capacidad de generar suspense y expectacion 6 Scam baiting Consiste en simular interes en un fraude por correo electronico o estafa nigeriana con el fin de manipular al estafador para hacerle perder tiempo molestarlo obtener informacion que permita llevarlo ante la justicia con la esperanza de que sea procesado o por simple diversion Referencias Editar a b c Social Engineering Penetration Testing Executing Social Engineering Pen Tests Assesments and Defense Gavin Watson et ali Elsevier 2014 a b The hacker Ethos The Beginner s Guide to Ethical Hacking and Penetration Testing True Demon CreateSpace Independent Publishing Platform 29 de enero de 2016 a b c d e Ingenieria Social que es el Baiting cebar o poner carnada Manuel Fernandez mailfence com 17 de febrero de 2020 State Govts Warned of Malware Laden CD Sent Via Snail Mail from China krebsonsecurity com 27 de julio de 2018 a b INGENIERIA SOCIAL PHISHING Y BAITING Cortes Hernandez Andres Mauricio 2019 Que es el Click Baiting Maripi Sanchez idento es Datos Q97178787Obtenido de https es wikipedia org w index php title Baiting amp oldid 130339133, wikipedia, wiki, leyendo, leer, libro, biblioteca,
