Què és l’Enginyeria Social? | Atacs | Prevenció


Després de passar la meitat de la meva vida treballant com a periodista de ciberseguretat, l’enginyeria social ha estat l’eix de la meva feina. Ara ho entenc! Tots us heu de preguntar “l’enginyeria social i la ciberseguretat? Això semblava una cosa de suport social! Què té a veure això amb la ciberdelinqüència? ”

Sí, alguna vegada ha tingut un atac de programari maliciós en fer clic a aparences emergents mentre navegava en línia? Sí, això és l’enginyeria social! No és gaire favorable, sí?

Abans de continuar amb res, permeteu-me que us expliqui sobre l’enginyeria social.

Què és Enginyeria Social?

L’enginyeria social és coneguda com l’art de manipular psicològicament algú per renunciar a la seva informació privada. Un enginyer social treballa per explotar la naturalesa humana fonamental i juga en els instints de la víctima.

És el mètode més popular de pirateria entre els delinqüents, ja que és molt més fàcil manipular les debilitats d’algú en lloc d’envair en un sistema de programari.

Com pot operar un enginyer social?

Amb aquest fet que l’enginyeria social funciona jugant amb els instints generals d’una persona, aquí es planteja com un enginyer social pot orquestrar un atac.?

Recordeu la famosa pel·lícula “la picada”? El de dos homes (de confiança) treballa de manera per estafar a un mafiós multimilionari (Mark)?

Els dos orquestren un esquema elaborat on utilitzen la informació general que coneixien sobre el mafiós. A més van utilitzar aquesta informació per guanyar-se la seva confiança a través de diversos antics.

Les pel·lícules es reprodueixen a Mark confiant en els dos homes, i els dos homes acaben estafant-lo.

De la mateixa manera, tal com es mostra a la pel·lícula, aquesta és exactament la manera com un enginyer social treballa mitjançant algunes tàctiques per organitzar un atac. El primer que cal fer és investigar i recollir informació sobre l’objectiu.

Com que aquests atacs s’adrecen generalment a empreses de gran escala, la planificació s’inicia amb la investigació sobre l’estructura dels empleats de l’empresa, els afers interns, el funcionament de l’empresa, els socis comercials, els accionistes, així com una altra informació..

Una altra manera com un enginyer social pot infiltrar-se en una empresa és estudiant i observant els seus empleats de nivell terrestre com els vigilants de seguretat o els recepcionistes.

Els pirates informàtics també poden consultar-los a les xarxes socials i obtenir tota la informació personal, així com estudiar el seu comportament en línia i de manera personalitzada.

Aquesta informació s’utilitza llavors per esbrinar els defectes i les vulnerabilitats que es poden utilitzar per dur a terme l’atac.

Aquests atacs es poden utilitzar per esbrinar informació de la targeta de dèbit, dades del compte bancari i altra informació sensible o es pot utilitzar per obtenir accés a sistemes i xarxes segures..

6 cares d’un atac d’enginyeria social

Un atac d’enginyeria social es produeix de diverses maneres i pot ocórrer allà on hi hagi interacció humana. Aquí he esmentat sis tipus d’atacs d’enginyeria social per facilitar la identificació de possibles atacs:

1. Phishing

La pesca no és el mètode més utilitzat i és per a un gran públic objectiu. Es tracta d’enviar correus electrònics amb una adreça de correu electrònic falsa o força legítima. També pot contenir el que sembla una informació d’informació de l’empresa autèntica.

El correu electrònic pot contenir un enllaç, document o fitxers amb programari maliciós que infecta el dispositiu tan aviat com l’usuari hi fa clic. Els atacs de phishing s’utilitzen per obtenir informació sensible de l’usuari, com ara informació de la targeta de crèdit, noms d’usuari, contrasenyes, dades del compte bancari, etc..

2. Spear Phishing

Aquesta tècnica consisteix en dirigir-se a una persona o empresa determinada. El hacktivista redacta els correus electrònics segons les característiques, les descripcions de feina i els contactes de la víctima de manera que l’atac sembli ser pretenciós.

El phishing de llança és relativament tècnic i requereix molta feina per part de la persona que necessita atacar aquest atac. De vegades es pot trigar setmanes o mesos a recórrer-hi a fons. Aquests atacs, si es realitzen amb destreses, són difícils de detectar i solen tenir èxit.

Un exemple de phishing spear pot ser un hacker que es presenta com a director general d’una empresa. Podria escriure un correu electrònic perquè sembli un correu electrònic del CEO i enviar-lo al cap del departament de finances demanant la transferència d’alguns diners a un compte fals..

El correu electrònic està elaborat amb cura per semblar original que requereix molt de temps, així com un treball dur.

3. Vishing

Aquesta és la versió vocal del phishing. El treball aquí no és necessàriament en línia i es produeix a través de correu electrònic de veu, VoIP (Voice over IP) o una línia fixa o telèfon mòbil.

El propòsit és el mateix mentre hi ha una diferència en els mètodes. Igual que el phishing, s’utilitza per extreure informació sensible de la víctima.

Es pot produir un escenari de vishing amb la víctima que rep un missatge de veu, estipulant que s’ha realitzat una activitat sospitosa al compte de la targeta de crèdit, al compte bancari, etc..

Es diu a la víctima que truqui a un número específic on se li demana que doni més informació en nom de la “verificació d’identitat” o “s’assegura que el frau no es va produir”.

Vishing és particularment intracerable i sovint es realitza en números estrangers i fan que l’aplicació de la llei sigui impotent.

4. Pretexting

Per dur a terme aquest mètode s’utilitzen una sèrie de mentides acurades. La víctima es mentida a l’atacant per obtenir informació personal.

El pretexter comença guanyant-se la confiança de la víctima actuant com a col·laborador, funcionari bancari, agent de policia o qualsevol persona d’autoritat que pugui confiar una persona.

Es fan preguntes essencialment essencials que es requereixen per confirmar la identitat d’una persona, cosa que porta a la víctima a donar la majoria de les dades crucials.

Mitjançant aquesta estafa, l’atacant aconsegueix adquirir tota mena d’informació rellevant com ara el número de seguretat social, les dades del compte bancari, les adreces personals, les dades de seguretat, etc..

5. Estar

Ja heu anat a pescar? Sí, mentre agafa un peix, llença la corda amb un cuc i després espera que arribi el peix. Això és precisament el que és el fet d’escanyar.

De la mateixa manera en el món cibernètic d’abandonament com el seu nom indica, està fent servir promeses falses per captar l’interès d’una persona. Una vegada que el delinqüent aconsegueix captar els seus interessos, procedeix a atraure-los i agafar-los en un web que els robi les seves dades personals o els infecti amb programari maliciós..

Normalment els delinqüents utilitzen els mitjans físics per ruixar programari maliciós. Aquesta és la forma més crua d’esterro. Es deixa al seu voltant un USB o un disc flash infectat amb programari maliciós, en un lloc visible on la víctima es troba obligada a trobar-lo.

Pot ser que es trobi en un bany, ascensor, pàrquing d’una empresa de víctimes, etc. L’enginyer fabrica l’esquer per semblar enganxós i autèntic, ja que la seva funció principal és atreure una víctima..

Podria tenir una etiqueta que presentés una llista d’empleats per obtenir una promoció o la llista de nòmines de l’empresa, etc. La víctima per curiositat agafa l’esquer i l’insereix en un ordinador. Una vegada que la víctima entra a la unitat flash o al USB, ha començat a descarregar i instal·lar el programari maliciós i d’aquesta manera l’atac de marcatge té èxit.

Un altre mètode per aparèixer és el mètode en línia. Es tracta d’una víctima que faci clic a anuncis enganxosos o enllaços emergents que condueixin a infecció de programari maliciós o robatori d’informació.

6. Espantaware

El mètode d’escarpa torna a comportar mentides. La víctima contínuament sol·licita falses alarmes i falsificacions. Això l’engreixa a pensar que l’ordinador té programari maliciós o té contingut il·legal descarregat.

El pirata informàtic proporciona a la víctima una solució que arreglaria inadvertidament el problema fals. Tanmateix, aquesta “solució” que s’ofereix a la víctima és, en realitat, un programari maliciós que l’usuari instal·la.

Els atacs d’espantació solen tenir forma de finestres emergents que sovint es troben en línia amb textos terrorífics com ara “el vostre dispositiu pot estar infectat”. Aquestes finestres emergents ofereixen la descàrrega d’una eina que, en realitat, és un programari maliciós alliberat per infectar el vostre dispositiu.

L’eina també pot ser una aplicació inútil i l’usuari només rep les seves indicacions perquè la descarregui i tingui l’oportunitat de robar-li les dades.

A més dels enllaços emergents, el programa de programari també s’estén sobre l’ús de correus electrònics de correu brossa que vénen amb advertències falses o que fan que els usuaris comprin serveis inútils o nocius.

5 maneres d’evitar l’enginyeria social

Els atacs a l’enginyeria social són molt difosos avui dia, és per això que és una mica crucial intentar mantenir-los a perill. He pres la llibertat de recopilar una llista de maneres que us poden ajudar a mantenir-se segur dels atacs d’enginyeria social:

Utilitzeu antivirus actualitzats / anti-malware

El programari antiviral i anti-malware ajuda a protegir el vostre dispositiu. Tanmateix, és particularment crucial mantenir actualitzat el vostre programari antiviral i anti-malware amb actualitzacions periòdiques.

Si la regulació de l’usuari actualitza el programari, proporciona una millor protecció. També heu d’explorar periòdicament el dispositiu per mantenir-vos encara més protegits.

No obris correus electrònics de fonts desconegudes

La porta d’entrada més freqüent als atacs d’enginyeria social són els correus electrònics. És millor mantenir-vos alerta i allunyar-vos de correus electrònics o fitxers adjunts de recursos no descoberts.

El correu electrònic de correu electrònic és molt freqüent. Per això, és millor no respondre a correus electrònics desconeguts ni obrir fitxers adjunts enviats d’ells. És millor comprovar el missatge rebut dels recursos ocults.

A més, és millor mantenir-se alerta i no obrir fitxers adjunts que us semblin sospitosos, ja que poden contenir virus o programari maliciós.

Continua educat i educa

Vivim en un món trepidant que continua avançant. Amb els avenços en tots els camps, els mètodes de pirateria també estan rebent actualitzacions freqüents. Tenint això en compte, és millor mantenir-se al dia de les promocions.

A més, com els atacs d’enginyeria social també poden dirigir-se a empreses, és millor educar el vostre personal. Això pot permetre que el personal estigui vigilant i la vostra empresa es mantingui protegida.

Cuideu la vostra privadesa

Compte abans de respondre a les sol·licituds de contrasenyes o altra informació personal. És millor tornar a cercar la font abans de respondre.

Les fonts que demanen contrasenyes o altra informació personal sovint són estafes. Per tant, és millor evitar-los o revisar els recursos abans de respondre.

Compte amb ofertes d’ajuda

Els enginyers socials sovint es plantegen com a personals de suport tècnic per envair el vostre dispositiu amb programari maliciós o robar-vos informació personal. De vegades poden demanar ajuda per obtenir informació o oferir ajuda.

Si no heu sol·licitat ajuda, és millor no respondre a aquestes peticions. També és segur comprovar dos cops d’una font de confiança. Feu la vostra investigació abans d’enviar informació personal.

Ben conscient ara?

Ara que heu rebut informació destacada dels consells de prevenció, és millor evitar-vos d’aquests atacs. Ara podríeu començar treballant en els consells de prevenció per mantenir-vos el més segur possible. La privadesa és especialment crucial en aquest treball i hauríeu de treballar sobre com protegir-la.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me