Cómo protegerse contra los ataques de ingeniería social

Cómo protegerse contra los ataques de ingeniería social / Internet

La semana pasada echamos un vistazo a algunas de las principales amenazas de la ingeniería social ¿Qué es la ingeniería social? [MakeUseOf explica] ¿Qué es la ingeniería social? [Explica MakeUseOf] Puede instalar el firewall más fuerte y costoso de la industria. Puede educar a los empleados sobre los procedimientos de seguridad básicos y la importancia de elegir contraseñas seguras. Incluso puede bloquear la sala de servidores, pero cómo ... Lea más que usted, su empresa o sus empleados deben estar atentos. En pocas palabras, la ingeniería social es similar a un truco de confianza mediante el cual un atacante obtiene acceso, información o dinero al ganarse la confianza de la víctima..

Estas técnicas pueden abarcar desde estafas de suplantación de identidad a través del correo electrónico hasta elaborados trucos telefónicos y ataques de pretexto invasivos. Si bien no hay una forma definitiva de detener a los ingenieros sociales, hay algunas cosas que debe recordar para evitar que este tipo de ataques se vuelvan demasiado serios. Como siempre, tu mejor defensa es el conocimiento y la vigilancia constante..

Protección contra ataques físicos

Muchas compañías educan a su equipo de seguridad de red sobre los peligros del ataque físico. Un método conocido como “tailgating” Se usa en muchos ataques físicos para obtener acceso a áreas restringidas sin autorización. Este ataque se basa en la cortesía humana básica, sosteniendo una puerta para alguien, pero una vez que el atacante obtiene acceso físico, la brecha de seguridad se vuelve muy seria..

Si bien esto no se aplica realmente en un escenario hogareño (es poco probable que mantenga la puerta principal abierta para un extraño ahora, ¿verdad?), Hay algunas cosas que puede hacer para reducir las posibilidades de ser víctima de una ingeniería social. Ataque que depende de materiales físicos o de una ubicación..

Pretexting es una técnica utilizada por los atacantes que primero encuentran información sobre su víctima (por ejemplo, de un estado de cuenta o de una tarjeta de crédito) que luego pueden usar contra su víctima al convencerla de que tienen un sentido de autoridad. La protección más básica contra este tipo de ataque (a veces referido como “Dumpster Diving”) es destruyendo cualquier material que contenga información personal importante.

Esto también se aplica a los datos digitales, por lo que los discos duros viejos deben destruirse (físicamente) y los medios ópticos también pueden destruirse. Algunas compañías incluso lo toman hasta tal punto que bloquean su desecho y hacen que la seguridad lo controle. Considere el papeleo no despachado que desecha (calendarios, recibos, facturas e incluso notas personales) y luego considere si esta información podría ser utilizada en su contra.

La idea de un robo no es particularmente agradable, pero si le robaron su computadora portátil Rastree y recupere su computadora portátil robada con Prey Rastree y recupere su computadora portátil robada con Prey Leer más mañana, ¿estaría bloqueado adecuadamente? Las computadoras portátiles, los teléfonos inteligentes y otros dispositivos que acceden a su información personal, correo electrónico y cuentas de redes sociales siempre deben estar protegidos con contraseñas seguras Cómo crear una contraseña segura que no olvidará Cómo crear una contraseña segura que no olvidará ¿Sabe cómo? ¿Para crear y recordar una buena contraseña? Estos son algunos consejos y trucos para mantener contraseñas seguras y separadas para todas sus cuentas en línea. Leer más y códigos. Si está realmente paranoico con respecto al robo, es posible que incluso desee cifrar los datos en su disco duro usando algo como TrueCrypt Cómo hacer carpetas cifradas que otros no pueden ver con Truecrypt 7 Cómo hacer carpetas cifradas que otros no pueden ver con Truecrypt 7 Leer más o BitLocker.

Recuerde: cualquier información que un ladrón pueda extraer puede ser usada en su contra en futuros ataques, meses o años después del incidente..

El hostigamiento: dejar un dispositivo malintencionado, como una memoria USB comprometida donde se puede encontrar fácilmente, se evita fácilmente al no permitir que sus curiosidades lo superen. Si encuentra una memoria USB en su porche, trátela con la máxima sospecha. Las memorias USB se pueden usar para instalar registradores de teclas, troyanos y otros programas no deseados para extraer información y presentar una amenaza real..

Prevención de ataques psicológicos

Casi todos los ataques de ingeniería social son psicológicos por su propia definición, pero a diferencia de los pretextos que requieren un conocimiento previo, algunos ataques son puramente psicológicos. La protección contra este tipo de ataques es actualmente una gran prioridad para muchas empresas, y esto implica educación, vigilancia y, a menudo, pensar como un atacante..

Las compañías ahora están comenzando a educar al personal en todos los niveles, ya que la mayoría de los ataques comienzan con el guardia de seguridad en la puerta o la recepcionista en la recepción. Por lo general, esto implica instruir a los empleados para que tengan cuidado con las solicitudes sospechosas, personas agresivas o cualquier cosa que simplemente no se sume. Esta vigilancia es fácilmente transferible a su vida diaria pero depende de su capacidad para identificar solicitudes de información que sean confidenciales.

Si bien los ataques en línea a través del correo electrónico y la mensajería instantánea son cada vez más frecuentes, los ataques de ingeniería social a través del teléfono (y VoIP, lo que dificulta el rastreo de la fuente) siguen siendo una amenaza real. La forma más sencilla de evitar un ataque es terminar la llamada en el momento en que sospeche algo..

Es posible que su banco lo llame, pero es raro que le pidan su contraseña u otra información directamente. Si se realiza una llamada de este tipo, solicite el número de teléfono del banco, verifique dos veces y devuelva la llamada. Puede tomar cinco minutos adicionales, pero sus fondos e información personal están seguros y el banco será entender. Del mismo modo, es muy poco probable que una compañía de seguridad llame para advertirle de problemas con su computadora. Trate todas las llamadas como una estafa, desconfíe y no ponga en peligro su PC. Técnicos informáticos de llamadas en frío: ¡No se deje engañar por una estafa como esta [Alerta de estafa!] Técnicos informáticos de llamadas en frío: No se deje engañar por una estafa como esta [ ¡Alerta de estafa!] Probablemente haya escuchado el término "no estafar a un estafador", pero a mí siempre me ha gustado "no estafar a un escritor de tecnología". No estoy diciendo que seamos infalibles, pero si su estafa involucra a Internet, a Windows… Lea más o compre lo que venden.!

La educación es la mejor defensa, por lo que mantenerse al tanto de las técnicas de seguridad y las noticias lo ayudará a detectar un posible ataque. Recursos como Social-Engineer.org intentan educar a las personas sobre las técnicas utilizadas por los ingenieros sociales, y hay mucha información disponible.

Algunas cosas para recordar

La confianza es la táctica principal de un ingeniero social y se utilizará para obtener acceso a ubicaciones físicas, información confidencial y, en una escala más amplia, datos confidenciales de la compañía. Un sistema es tan fuerte como su defensa más débil, y en el caso de la ingeniería social, esto significa personas que desconocen las amenazas y técnicas utilizadas..

Conclusión

Para citar a Kevin Mitnick, quien logró pasearse por la conferencia de seguridad más grande del mundo, sin etiquetas ni controles (RSA 2001): “Podría gastar una fortuna comprando tecnología y servicios de cada expositor, orador y patrocinador en la Conferencia RSA, y su infraestructura de red podría seguir siendo vulnerable a la manipulación a la antigua usanza.”. Esto es cierto para las cerraduras de sus puertas y la alarma en su casa, así que esté atento a las tácticas de ingeniería social en el trabajo y en el hogar..

¿Has experimentado tales ataques? ¿Trabaja para una empresa que recientemente comenzó a educar a los empleados sobre los peligros? Háganos saber lo que piensa, en los comentarios a continuación..

Créditos de las imágenes: Wolf in Sheep's Clothing (Shutterstock) Trituradora de papel (Chris Scheufele), Disco duro (jon_a_ross), Teléfono en el escritorio (Radio.Guy), Recepción de Mozilla (Niall Kennedy),

Explorar más sobre: ​​Phishing, estafas.