Cómo protegerse contra los ataques de ingeniería social

Vídeo: Cómo evitar ataques de ingeniería social

La semana pasada dimos un vistazo a algunas de las principales amenazas de ingeniería social que usted, su empresa o sus empleados deben estar mirando hacia fuera para. En pocas palabras, la ingeniería social es similar a una estafa por el que un atacante obtiene acceso, la información o el dinero, ganándose la confianza de la víctima.¿Qué es la Ingeniería Social? [Explica MakeUseOf]¿Qué es la Ingeniería Social? [Explica MakeUseOf]Puede instalar más fuerte y más caro del firewall de la industria. Se puede educar a los empleados acerca de los procedimientos de seguridad básicos y la importancia de elegir contraseñas seguras. Puede incluso bloquear hacia abajo la sala de servidores - pero ¿cómo ...Lee mas

Vídeo: Hacking Android - Ingeniería social escondiendo el ataque en códigos QR

Estas técnicas pueden ir desde suplantación de identidad estafas vía e-mail para elaborar trucos de teléfono y de pretextos ataques invasivos. Si bien no hay manera definitiva de parada ingenieros sociales hay algunas cosas a tener en cuenta para evitar este tipo de ataques se vuelva demasiado grave. Como siempre, la mejor defensa es el conocimiento y la vigilancia constante.

Protección contra ataques físicos

Muchas compañías de educar a su equipo de seguridad de la red sobre los peligros de ataque físico. Un método conocido como “chupar rueda” se utiliza en muchos ataques físicos para tener acceso a las áreas restringidas sin autorización. Este ataque se alimenta de cortesía humano básico - la celebración de una puerta a alguien - pero una vez que el atacante tenga acceso físico la brecha de seguridad se vuelve muy grave.

Si bien esto no se aplica realmente en un escenario de casa (es poco probable que mantenga la puerta abierta para un extraño ahora, ¿verdad?), Hay algunas cosas que puede hacer para reducir las posibilidades de ser víctimas de una ingeniería social ataque que depende de los materiales físicos o una ubicación.

Pretexting es una técnica utilizada por los atacantes que primero encontrar información sobre su víctima (por ejemplo, de una factura o estado de cuenta) que luego pueden utilizar en contra de su víctima, convenciéndolos de que tienen un sentido de autoridad. La protección más básica contra este tipo de ataque (a veces referido como “basurero de buceo”) es mediante la destrucción de cualquier material que contienen información importante, personal.

Esto también se aplica a los datos digitales, por lo que los viejos discos duros deben ser destruidos de manera adecuada (físicamente) y los medios ópticos también pueden ser triturados. Algunas empresas incluso toman esto en un grado tal que bloquee sus desechos y tener la seguridad que el monitor. Considere el papeleo sin triturar de tirar - calendarios, recibos, facturas y notas personales, incluso - y luego considerar si esta información podría ser usada en su contra.

La idea de un robo no es un particularmente agradable, pero si fue robado su ordenador portátil mañana sería que puede bloquear de manera adecuada? Ordenadores portátiles, teléfonos inteligentes y otros dispositivos que acceden a sus cuentas personales de información, correo electrónico y redes sociales deben ser siempre protegido con contraseñas seguras y los códigos. Si usted es realmente paranoico sobre el robo puede ser que incluso desee cifrar los datos en el disco duro usando algo como TrueCrypt o BitLocker.Localizar y recuperar su ordenador portátil robado con la presaLocalizar y recuperar su ordenador portátil robado con la presaLee mas

Recuerde - cualquier información que un ladrón puede extraer puede ser usado en su contra en los futuros ataques, meses o años después del incidente.

Cebo - dejando a un dispositivo malicioso, como una memoria USB comprometida en la que se puede encontrar fácilmente - se puede evitar fácilmente al no dejar que sus curiosidades sacar lo mejor de ti. Si encuentra una memoria USB en su porche, tratarla con la mayor sospecha. memorias USB se pueden utilizar para instalar keyloggers, troyanos y otro software no deseado para extraer información y presentar una amenaza muy real.

Prevención de ataques psicológicos

Casi todos los ataques de ingeniería social son psicológicas por su propia definición, pero a diferencia de los pretextos que requiere conocimientos previos, algunos ataques son puramente psicológico. La protección contra este tipo de ataques es actualmente una gran prioridad para muchas empresas, y esto implica la educación, la vigilancia y la frecuencia de pensar como un atacante.

Las empresas están comenzando a educar al personal en todos los niveles, como la mayoría de los ataques comienzan con el guardia de seguridad en la puerta o la recepcionista de la recepción. En general, esto implica ordenar a los empleados que tengan cuidado de las solicitudes sospechosas individuos agresivos, o cualquier cosa que simplemente no cuadra. Esta vigilancia es fácilmente transferible a su vida diaria, pero depende de su capacidad para identificar las solicitudes de información que es confidencial.

Mientras que los ataques en línea a través de correo electrónico y la mensajería instantánea son, ataques de ingeniería social cada vez más frecuentes a través del teléfono (y VoIP, lo que hace que sea más difícil rastrear la fuente) siguen siendo una amenaza real. La forma más sencilla de evitar un ataque es para terminar la llamada del segundo sospecha nada.

Es posible que su banco le llame, pero rara que iban a pedir su contraseña u otra información pura y simple. Si una llamada de este tipo se lleva a cabo, solicitar el número de teléfono del banco, vuelva a comprobar y llamar de nuevo. Puede ser que tome un extra de cinco minutos, pero sus fondos e información personal son seguros y el banco será entender. Del mismo modo, una empresa de seguridad es muy poco probable que llame a fin de advertirle de problemas con el ordenador. Tratar a todas las llamadas como una estafa, ser sospechoso y no ponen en peligro su PC o comprar lo que están vendiendo!Llamadas en frío Técnicos informáticos: No caiga en una estafa como esta [Spam Alerta!]Llamadas en frío Técnicos informáticos: No caiga en una estafa como esta [Spam Alerta!]Usted probablemente ha escuchado el término "No hacer un estafador estafa" pero siempre he sido aficionado "No hacer una estafa escritor de tecnología" mí mismo. No estoy diciendo que somos infalibles, pero si su estafa consiste en la Internet, de Windows ...Lee mas

La educación es la mejor defensa, por lo que mantenerse al corriente de las técnicas de seguridad y las noticias le ayudará a detectar un posible ataque. Recursos como Social-Engineer.org intentan educar a la gente de las técnicas utilizadas por los ingenieros sociales, y hay una gran cantidad de información disponible.

Algunas cosas para recordar

La confianza es la táctica principal de un ingeniero social y se utilizará para acceder a ubicaciones físicas, información confidencial y, en una escala mayor, los datos confidenciales de la empresa. Un sistema es sólo tan fuerte como su defensa más débil, y en el caso de la ingeniería social, esto significa las personas que no son conscientes de las amenazas y las técnicas utilizadas.

Conclusión

Para citar a Kevin Mitnick que logró pasear por la mayor conferencia de seguridad en el mundo, unbadged y sin marcar (RSA 2001): “Se puede pasar una tecnología y los servicios de compra fortuna de cada expositor, el altavoz y el patrocinador en la Conferencia RSA, y la infraestructura de red todavía podría seguir siendo vulnerable a la manipulación pasada de moda”. Esto es cierto para las cerraduras de las puertas y la alarma en su casa, por lo que mantener un ojo hacia fuera para las tácticas de ingeniería social en el trabajo y en casa.

¿Ha tenido algún tipo de ataques? ¿Usted trabaja para una compañía que ha comenzado recientemente educar a los empleados acerca de los peligros? Vamos a saber lo que piensa, en los comentarios a continuación.