¿Qué es la ingeniería social? [MakeUseOf explica]

¿Qué es la ingeniería social? [MakeUseOf explica] / Cultura web

Puede instalar el firewall más sólido y costoso de la industria. ¿Cómo funciona un firewall? [MakeUseOf Explica] ¿Cómo funciona un Firewall? [MakeUseOf Explica] Hay tres piezas de software que, en mi opinión, constituyen la columna vertebral de una configuración de seguridad decente en la PC de su hogar. Estos son el antivirus, el firewall y el administrador de contraseñas. De estos, el… Leer más. Puede educar a los empleados sobre los procedimientos de seguridad básicos y la importancia de elegir contraseñas seguras Cómo crear contraseñas seguras que pueda recordar fácilmente Cómo crear contraseñas seguras que pueda recordar fácilmente Lea más. Incluso puede bloquear la sala de servidores, pero ¿cómo proteger a una empresa de la amenaza de ataques de ingeniería social??

Desde una perspectiva de ingeniería social, los empleados son el eslabón débil en la cadena de medidas de seguridad Obtenga un cambio de imagen de seguridad para su sitio de WordPress Con WebsiteDefender Obtenga un cambio de imagen de seguridad para su sitio de WordPress con WebsiteDefender Con la popularidad de Wordpress cada vez mayor, los problemas de seguridad nunca han sido más relevantes - pero aparte de mantenerlo actualizado, ¿cómo puede un usuario principiante o de nivel medio mantenerse al tanto de las cosas? ¿Incluso ... Leer más en su lugar. Los humanos no solo son susceptibles a los errores humanos básicos, sino también los ataques dirigidos de individuos que esperan convencerlos de que entreguen información confidencial. Hoy exploraremos algunas de las técnicas sociales usadas para engañar y defraudar..

Los fundamentos de la ingeniería social

La ingeniería social es el acto de manipular a una persona para obtener acceso o datos confidenciales aprovechando la psicología humana básica. La diferencia entre los ataques de ingeniería social y, por ejemplo, un pirata informático que intenta obtener acceso a un sitio web es la elección de las herramientas utilizadas. Un pirata informático puede buscar una debilidad en el software de seguridad o una vulnerabilidad en el servidor, mientras que un ingeniero social usará técnicas sociales, obligando a la víctima a entregar información o acceder libremente..

Estas tácticas no son nada nuevo, y han existido desde que la gente decidió que engañarse mutuamente era una forma aceptable de ganarse la vida. Ahora que la sociedad ha evolucionado para depender de la naturaleza inmediata de Internet y de la información bajo demanda, más personas que nunca están expuestas a ataques de ingeniería social a gran escala..

La mayoría de las veces, el atacante no se encontrará cara a cara con su víctima, sino que se basará en el correo electrónico, la mensajería instantánea y las llamadas telefónicas para llevar a cabo el ataque. Hay una variedad de técnicas que son ampliamente consideradas como ataques de ingeniería social, así que echémosles un vistazo con más detalle..

Técnicas de ingeniería social explicadas

Suplantación de identidad

De lejos, una de las técnicas más conocidas gracias al conocimiento generado por proveedores de correo electrónico como Google y Yahoo, el phishing es un ejemplo bastante básico y muy utilizado de ingeniería social..

Esta técnica, que generalmente se realiza por correo electrónico, es un tipo de fraude que implica convencer a la víctima de que usted está solicitando legítimamente información confidencial. Uno de los tipos más comunes de ataques de phishing consiste en solicitar víctimas “verificar” su cuenta bancaria o información de PayPal Cómo mantener su cuenta de Paypal a salvo de los piratas informáticos Cómo mantener su cuenta de Paypal a salvo de los piratas informáticos Lea más para evitar que se suspendan sus cuentas. El atacante, o phisher, a menudo compra un dominio que está diseñado para imitar un recurso oficial, y las discrepancias en la URL a menudo regalan el juego..

El phishing en línea es cada vez más fácil de detectar e informar gracias a las técnicas de filtración utilizadas por los proveedores de correo electrónico. También es una buena práctica nunca divulgar información confidencial o financiera por correo electrónico (ninguna organización legítima le pedirá que lo haga) y verificar dos veces la legitimidad de las URL antes de ingresar credenciales importantes.

Técnicas Telefónicas o “Vishing”

La respuesta de voz interactiva (IVR) o vishing (phishing de voz) implica el uso de técnicas similares a las descritas anteriormente a través de un teléfono o una interfaz VoIP. Hay una serie de diferentes técnicas de vishing, y son:

  • Directamente llamando a la víctima utilizando un automatizado “Su tarjeta de crédito ha sido robada” o “se requiere acción urgente” estafa, luego solicitando “Verificación de seguridad” Para restablecer el acceso normal a la cuenta..
  • Enviar un correo electrónico a la víctima, indicándole que luego llame a un número de teléfono y verifique la información de la cuenta antes de conceder el acceso.
  • Usar técnicas telefónicas interactivas falsas o interacción humana directa para extraer información, por ejemplo,. “presiona 1 para ... ” o “Ingrese su número de tarjeta de crédito después del pitido”.
  • Llamar a la víctima, convencerla de una amenaza de seguridad en su computadora e instruirla para que compre o instale software (a menudo software malicioso o de escritorio remoto) para solucionar el problema.

Personalmente he estado en el lado receptor de la estafa del software del teléfono y, aunque no caí en nada, no me sorprendería si alguien lo hiciera gracias a las tácticas de miedo empleadas. Mi encuentro involucró a “Empleado de Microsoft” Y algunos virus que no existían. Puede leer todo sobre esto aquí Técnicos en computación de llamadas en frío: No se deje engañar por una estafa [¡Alerta estafa!] Técnicos en computación de llamadas en frío: No se deje engañar por una estafa [¡Alerta de estafa!] el término "no engañe a un estafador", pero a mí siempre me ha gustado "no engañar a un escritor de tecnología". No estoy diciendo que seamos infalibles, pero si su estafa involucra a Internet, un Windows ... Leer más .

Cebos

Esta técnica particular se aprovecha de una de las mayores debilidades de la humanidad: la curiosidad. Al abandonar deliberadamente los medios físicos, ya sea un disquete (poco probable en estos días), medios ópticos o (más comúnmente) un dispositivo USB en un lugar donde es probable que se descubra, el estafador simplemente se sienta y espera hasta que alguien haga uso del dispositivo.

Muchas PC “autorun” Dispositivos USB, por lo que cuando un malware, como troyanos o registradores de teclas, se incluye en el USB, es posible que una máquina se infecte sin que la víctima se dé cuenta. Los estafadores a menudo visten estos dispositivos con logotipos o etiquetas oficiales que pueden despertar el interés en las posibles víctimas..

Pretexting

Esta técnica consiste en convencer a la víctima para que renuncie a la información utilizando un escenario inventado. El escenario generalmente se deriva de la información recopilada sobre la víctima para convencerla de que el estafador es, de hecho, una figura oficial u oficial..

Dependiendo de la información que busque el estafador, el pretexto puede incluir información personal básica como la dirección de una casa o la fecha de nacimiento, para obtener información más específica, como los montos de transacción en una cuenta bancaria o los cargos en una factura.

Patinaje

Una de las pocas técnicas enumeradas aquí que involucra al estafador físicamente involucrado en el ataque, el seguimiento de la situación describe la práctica de obtener acceso a un área restringida sin autorización al seguir a otro empleado (legítimo) al área. Para muchos estafadores, esto elimina la necesidad de adquirir tarjetas o claves de acceso y presenta un posible incumplimiento grave de seguridad para la empresa involucrada..

Esta táctica en particular se basa en la cortesía común, como el hecho de sostener una puerta para alguien y se ha convertido en un problema que muchos lugares de trabajo han tomado para enfrentar el problema directamente con avisos en las entradas, como el aviso utilizado por Apple en la imagen de arriba..

Otras tecnicas

Hay algunas otras técnicas asociadas con la ingeniería social, como el algo por algo “quid pro quo” Técnica de uso frecuente contra trabajadores de oficina. Quid pro quo involucra a un atacante que se presenta como, por ejemplo, un empleado de soporte técnico que devuelve una llamada. El atacante mantiene “devolver llamada” hasta que encuentre a alguien que realmente necesite asistencia, lo ofrezca, pero al mismo tiempo extraiga otra información o apunte a la víctima a descargas de software dañinas.

Otra técnica de ingeniería social se conoce como la “robo por diversión” y no está realmente asociado con computadoras, Internet o phishing telefónico. En su lugar, es una técnica común que se utiliza para convencer a los correos legítimos para que crean que una entrega se reciba en otro lugar..

Conclusión

Si sospecha que una persona está intentando engañarlo con una estafa de ingeniería social, debe notificar a las autoridades y (si corresponde) a su empleador. Las técnicas no se limitan a lo que se ha mencionado en este artículo: se diseñan nuevas estafas y trucos todo el tiempo, así que manténgase alerta, pregunte todo y no sea víctima de un estafador.

La mejor defensa contra estos ataques es el conocimiento; por lo tanto, informe a sus amigos y familiares que la gente puede y usará estas tácticas contra usted..

¿Has tenido problemas con ingenieros sociales? ¿Su empresa ha educado a la fuerza laboral sobre los peligros de la ingeniería social? Añade tus pensamientos y preguntas en los comentarios, a continuación..

Créditos de las imágenes: Wolf in Sheep's Clothing (Shutterstock), memoria USB de Symposium de NetQoS (Michael Coté), trituradora de papel (Sh4rp_i)

Explorar más sobre: ​​Phishing, estafas.