¿Confía en su Smart TV?

Iniciado por AXCESS, Agosto 04, 2021, 10:38:35 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

¿Alguna vez se detuvo a pensar que el Smart TV de oficina que se usa para presentaciones de la empresa, reuniones de Zoom y otras actividades relacionadas con el trabajo puede no ser tan confiable?

En el siguiente video, se demuestra un escenario de ataque que puede ocurrir dentro de cualquier organización: piratear un Smart TV.

El video muestra a un informante conectando un USB Rubber Ducky a un Smart TV en una sala de reuniones de la empresa. En menos de un minuto, se ejecuta una carga útil (payload) para configurar una red Wi-Fi para la exfiltración de datos (llamada kitty3) y le indica al televisor que se conecte a ella. El payload luego carga una utilidad que captura la pantalla antes de que la información privilegiada elimine el dispositivo malicioso.



Más tarde ese mismo día, se lleva a cabo una reunión de la empresa en esa misma sala de reuniones, y el Smart TV muestra una presentación que contiene datos confidenciales. La pantalla de la utilidad de captura de pantalla graba toda la presentación y guarda la grabación como un archivo en el televisor. A través de la red Wi-Fi preestablecida (kitty3), el atacante se conecta de forma remota al televisor y ve y descarga la grabación de pantalla guardada. Ahora, el mal actor tiene acceso completo a todos los datos.

En este escenario, el tipo de ataque al Smart TV fue un ataque basado en hardware.

Estos ataques requieren acceso físico, ya que alguien debe insertar físicamente el dispositivo malicioso y, en este caso, ese "alguien" era un infiltrado; más específicamente, un trabajador subcontratado.

Según el Informe de amenazas internas de 2020, los contratistas, proveedores de servicios y trabajadores temporales representan el mayor riesgo para el 50% de las organizaciones. Como trabajador subcontratado, el limpiador tiene acceso interno pero menos lealtad a la organización que un empleado directo. Estas características significan que el personal subcontratado es un objetivo ideal para los atacantes. El acceso interno del limpiador se encarga del desafío del acceso físico, mientras que el desapego a la organización hace que el individuo sea más susceptible a la ingeniería social. Existe una gran cantidad de técnicas de ingeniería social, muchas de las cuales son siniestras, como el chantaje. En este caso, sin embargo, la técnica de ingeniería social fue el soborno en forma de pago financiero.

Aparte de una crisis de salud global, COVID-19 trajo nuevas oportunidades a los malos actores. Antes de la pandemia, usar una mascarilla quirúrgica levantaba sospechas a menos que fuera cirujano o trabajador de la salud. Sin embargo, como usar una máscara ahora no es solo una segunda naturaleza, sino que en la mayoría de los países es obligatorio, los atacantes están usando esto en su beneficio para ocultar su identidad y obtener acceso físico a ubicaciones seguras.

El uso de máscaras para ayudar en la actividad delictiva es de tal valor que las máscaras faciales se venden en el mercado negro con primas de hasta el 1.500%. Entonces, si bien este ataque demostró manipular a una persona con información privilegiada, siempre que las máscaras faciales sean una norma, esa persona con información privilegiada podría haber sido cualquiera.

El USB Rubber Ducky es un dispositivo pícaro que falsifica un HID legítimo. Las lagunas en la visibilidad del dispositivo significan que el dispositivo no autorizado no se detecta, sino que el dispositivo legítimo al que se hace pasar sí lo es. Como resultado, Rogue Device no emite alarmas de seguridad y, en segundos, piratea de forma encubierta al Smart TV para proporcionar al atacante acceso remoto a la información confidencial de la empresa, incluso después de eliminar la herramienta de ataque.

Entonces, aunque no lo vea, ellos le ven a Ud.; todo lo que necesitan es un Rubber Ducky, una conexión Wi-Fi y un Smart TV que sea más inteligente de lo que se cree.

Fuente:
SecurityAffairs
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta