¿Qué es la ingeniería social? [Explica makeuseof]
Puede instalar la industria de más fuerte y más caro cortafuegos. Se puede educar a los empleados acerca de los procedimientos básicos de seguridad y la importancia de elegir contraseñas seguras. Incluso se puede bloquear hacia abajo la sala de servidores - pero ¿cómo proteger a una empresa de la amenaza de ataques de ingeniería social?¿Cómo funciona un firewall? [Explica MakeUseOf]¿Cómo funciona un firewall? [Explica MakeUseOf]Hay tres piezas de software que, en mi opinión, hacen que la columna vertebral de una configuración de seguridad decente en su PC doméstico. Estos son los antivirus, el firewall y el administrador de contraseñas. De éstos, el ...Lee mas
Desde una perspectiva de la ingeniería social, los empleados son el eslabón más débil en la cadena de medidas de seguridad en su lugar. Los seres humanos no sólo son susceptibles a errores humanos básicos, sino también dirigida ataques de personas con la esperanza de convencer a renunciar a información sensible. Hoy vamos a explorar algunas de las técnicas utilizadas sociales para engañar y estafar.
Los fundamentos de la ingeniería social
La ingeniería social es el acto de manipular a una persona en el acceso o los datos sensibles por aprovecharse de la psicología humana básica. La diferencia entre los ataques de ingeniería social y, por ejemplo, un hacker que intenta acceder a un sitio web es la elección de las herramientas utilizadas. Un pirata informático podría buscar una debilidad en el software de seguridad o una vulnerabilidad en el servidor mientras que un ingeniero social utilizará técnicas sociales, coaccionar a la víctima para que den información o acceso libremente.
Estas tácticas no son nada nuevo, y han existido durante el tiempo que la gente decidió que engañar a la otra era una forma aceptable de ganarse la vida. Ahora que la sociedad ha evolucionado para depender de la naturaleza inmediata de la Internet y bajo demanda de información, más personas que nunca están expuestos a ataques de ingeniería social a gran escala.
Vídeo: Ingeniería Social
Gran parte del tiempo el atacante no se encontrará cara a cara con su víctima, en lugar de confiar en el correo electrónico, mensajería instantánea y llamadas telefónicas para llevar a cabo el ataque. Hay una variedad de técnicas que son ampliamente considerados como ataques de ingeniería social, por lo que vamos a echar un vistazo a ellos con más detalle.
Explicación de técnicas de ingeniería social
Suplantación de identidad
Con mucho, una de las técnicas más conocidas gracias a la conciencia planteada por proveedores de correo electrónico como Google y Yahoo, el phishing es un ejemplo bastante básico y muy ampliamente utilizado de la ingeniería social.
Más comúnmente llevada a cabo a través de correo electrónico, esta técnica es un tipo de fraude que implica convencer a la víctima que está solicitando legítimamente información sensible. Uno de los tipos más comunes de ataques de phishing implica que solicita víctimas “verificar” su cuenta bancaria o la información segura para evitar que sus cuentas suspendidas. El atacante, o estafador, a menudo va a comprar un dominio que está diseñado para imitar a un recurso oficial, y discrepancias en la URL suelen dar el juego de distancia.Cómo mantener su cuenta PayPal salvo de los hackersCómo mantener su cuenta PayPal salvo de los hackersLee mas
suplantación de identidad en línea es cada vez más fácil de detectar y reportar gracias a las técnicas de filtración utilizadas por los proveedores de correo electrónico. También es una buena práctica nunca divulgar información sensible o financiera por correo electrónico - ninguna organización legítima nunca le pedirá que lo haga - y volver a verificar las direcciones URL de legitimidad antes de entrar en las credenciales importantes.
Técnicas telefónicas o “vishing”
de respuesta de voz interactiva (IVR) o vishing (voz phishing) implica el uso de técnicas similares a las descritas anteriormente a través de un teléfono o una VoIP interfaz. Hay un número de diferentes técnicas vishing y son:
Vídeo: Aprende Cuales Son Los Metodos De Ingenieria Social
- llamando directamente a la víctima utilizando una “tarjeta de crédito ha sido robado” automatizado o “se requiere una acción urgente” estafa, a continuación, solicitando “la verificación de seguridad” con el fin de restaurar el acceso normal a la cuenta.
- Enviando un correo electrónico a la víctima, a continuación, dándoles instrucciones para llamar a un número de teléfono y verificar información de la cuenta antes de otorgar acceso.
- Usando técnicas telefónicas interactivo de imitación o la interacción humana directa para extraer información, por ejemplo, “Pulse 1 para ...” o “introducir su número de tarjeta de crédito después de la señal”.
- Llamando a la víctima, convenciéndolos de una amenaza de seguridad en su ordenador y dándoles instrucciones para comprar o instalar el software (software de escritorio menudo malware o remoto) para solucionar el problema.
He estado personalmente en el extremo receptor de la estafa de teléfono de software y, aunque no me quedo para nada, no me sorprendería si alguien lo hizo gracias a las tácticas empleadas susto. Mi encuentro involucrado un “empleado de Microsoft” y algunos virus que no existían. Usted puede leer todos los detalles aquí.Llamadas en frío Técnicos informáticos: No caiga en una estafa como esta [Spam Alerta!]Llamadas en frío Técnicos informáticos: No caiga en una estafa como esta [Spam Alerta!]Usted probablemente ha escuchado el término "No hacer un estafador estafa" pero siempre he sido aficionado "No hacer una estafa escritor de tecnología" mí mismo. No estoy diciendo que somos infalibles, pero si su estafa consiste en la Internet, de Windows ...Lee mas
cebo
Esta técnica en particular se alimenta de una de las mayores debilidades de la humanidad - la curiosidad. Al dejar deliberadamente medio físico - ya sea un disquete (poco probable en estos días), medios ópticos o (más comúnmente) una memoria USB en alguna parte, es probable que se descubran, el estafador simplemente se sienta a esperar hasta que alguien hace uso del dispositivo.
Muchos PC dispositivos USB “autorun”, por lo que cuando los programas maliciosos, como troyanos o keyloggers se encuentran agrupados en el USB, entonces es posible que una máquina de infectarse sin que la víctima ni siquiera darse cuenta. Los estafadores a menudo se visten con este tipo de dispositivos con logotipos oficiales o etiquetas que puedan captar el interés de las víctimas potenciales.
pretexting
Esta técnica consiste en convencer a la víctima a renunciar a información a través de un escenario inventado. El escenario se deriva generalmente de la información recopilada acerca de la víctima con el fin de convencerlos de que el estafador es, de hecho, una figura de autoridad o funcionario.
En función de la información que el estafador es después, el pretexto puede implicar información personal básica como una dirección o fecha de nacimiento, para obtener información más específica, como los importes de transacciones en una cuenta bancaria o cargos a la cuenta.
Vídeo: Ingeniería social, el arte del engaño
chupar rueda
Una de las pocas técnicas enumeradas aquí implican el estafador estar involucrado en el ataque físico, chupar rueda describe la práctica de acceder a una zona restringida sin autorización siguiendo otro empleado (legítima) en la zona. Para muchos estafadores esto elimina la necesidad de adquirir tarjetas de acceso o claves y presenta un potencial incumplimiento grave de seguridad para la empresa en cuestión.
Esta táctica particular, se alimenta de cortesía común, tales como el acto de la celebración de una puerta para alguien y se ha convertido en un problema tal que muchos lugares de trabajo han llevado a abordar el problema de frente con los avisos sobre las entradas, al igual que el anuncio utilizado por Apple en la imagen de arriba .
otras técnicas
Hay algunas otras técnicas asociadas a la ingeniería social, tales como la técnica de algo-para-algo “quid pro quo”, a menudo utilizado en contra de los trabajadores de oficina. Quid pro quo implica un atacante hacerse pasar por, por ejemplo, un empleado de soporte técnico devolver una llamada. El atacante mantiene “volver a llamar” hasta que él o ella encuentra a alguien en necesidad genuina de apoyo, lo ofrece, pero al mismo tiempo extrae otra información o puntos de la víctima a las descargas de software dañinos.
Otra técnica de ingeniería social se conoce como el “robo de desvío” y no está realmente asociada con las computadoras, Internet o teléfono de suplantación de identidad. En cambio, es una técnica común utilizada para correos legítimos convencido en la creencia de una entrega ha de ser recibido en otro lugar.
Conclusión
Si usted sospecha que un individuo está tratando de engañar con una estafa de ingeniería social, entonces usted debe notificar a las autoridades y (si procede) de su empleador. Técnicas no se limitan a lo que se ha mencionado en este artículo - nuevas estafas y trucos se ideado todo el tiempo - así que estad en guardia, cuestiona todo y no ser víctima de un estafador.
La mejor defensa contra estos ataques es el conocimiento - así informar a sus amigos y familiares que las personas pueden y van a utilizar estas tácticas en su contra.
¿Ha tenido roces con los ingenieros sociales? su empresa ha educado a la fuerza de trabajo acerca de los peligros de la ingeniería social? Añadir sus pensamientos y preguntas en los comentarios, a continuación.