¿Qué es la ingeniería social? El | Los ataques | Prevención


Con pasar la mitad de mi vida trabajando como periodista de seguridad cibernética, la ingeniería social ha sido la esencia de mi trabajo. ¡Ahora lo entiendo! Todos ustedes deben estar preguntándose “ingeniería social y seguridad cibernética? ¡Eso sonaba como una cosa de apoyo de trabajo social! ¿Qué tiene que ver eso con el cibercrimen?

Sí, ¿alguna vez tuvo un ataque de malware haciendo clic en ventanas emergentes furtivas mientras navegaba en línea? ¡Sí, eso es ingeniería social! No hay mucho de apoyo, sí?

Antes de continuar con algo, déjenme explicarles que la ingeniería social es.

¿Qué es la ingeniería social??

La ingeniería social se conoce como el arte de manipular psicológicamente a alguien para que renuncie a su información privada. Un ingeniero social trabaja para explotar la naturaleza humana fundamental y juega con los instintos de la víctima..

Es el método más popular de pirateo entre delincuentes, ya que es mucho más fácil manipular las debilidades de alguien en lugar de invadir un sistema de software..

¿Cómo podría operar un ingeniero social en usted??

Con esto se estableció que la ingeniería social funciona jugando con los instintos generales de una persona, lo que se piensa aquí es cómo un ingeniero social puede organizar un ataque?

¿Recuerdas la famosa película “The Sting”? El uno contra dos estafadores (hombres de confianza) buscando formas de estafar a un mafioso multimillonario (Mark)?

Los dos organizan un elaborado esquema donde usan la información general que sabían sobre el mafioso. Además usaron esta información para ganar su confianza a través de varias travesuras.

Las películas juegan a Mark confiando en los dos estafadores, y los dos estafadores finalmente terminan estafándolo.

Del mismo modo, como se describe en la película, así es exactamente como un ingeniero social trabaja con algunas tácticas para organizar un ataque. El primer y principal trabajo requerido es investigar y reunir información sobre el objetivo.

Como estos ataques generalmente están dirigidos a corporaciones a gran escala, la planificación comienza con una investigación sobre la estructura de los empleados de la compañía, los asuntos internos, el funcionamiento de la compañía, los socios comerciales, los accionistas y alguna otra información.

Otra forma en que un ingeniero social puede infiltrarse en una empresa es estudiando y observando a sus empleados a nivel del suelo, como los guardias de seguridad o los recepcionistas..

Los hackers también pueden buscarlos en las redes sociales y obtener toda su información personal, así como estudiar su comportamiento en línea y en persona..

Esta información se utiliza para descubrir las fallas y vulnerabilidades que se pueden utilizar para llevar a cabo el ataque..

Estos ataques se pueden usar para obtener información sobre tarjetas de débito, detalles de cuentas bancarias y otra información confidencial o se pueden usar para obtener acceso a sistemas y redes seguros.

6 caras de un ataque de ingeniería social

Un ataque de ingeniería social ocurre de varias maneras y puede ocurrir donde sea que haya interacción humana. Aquí he mencionado seis tipos de ataques de ingeniería social para facilitar la identificación de posibles ataques:

1. Phishing

El phishing es el método más utilizado y es para un gran público objetivo. Implica enviar correos electrónicos con una dirección de correo electrónico falsa o bastante legítima. También puede contener lo que parece una información auténtica de la compañía.

El correo electrónico puede contener un enlace, documento o archivos que contienen malware que infecta el dispositivo tan pronto como el usuario hace clic en ellos. Los ataques de phishing se utilizan para obtener información confidencial del usuario, como información de tarjetas de crédito, nombres de usuario, contraseñas, detalles de cuentas bancarias, etc..

2. Spear Phishing

Esta técnica implica apuntar a una persona o empresa específica. El hacktivista luego redacta los correos electrónicos de acuerdo con las características, descripciones de trabajo y contactos de la víctima para que el ataque parezca pretencioso.

El spear phishing es relativamente técnico y requiere mucho trabajo de la persona que necesita llevar a cabo este ataque. A veces, puede llevar semanas o meses hacerlo a fondo. Estos ataques, si se realizan hábilmente, son difíciles de detectar y a menudo son exitosos.

Un ejemplo de spear phishing puede ser un hacker haciéndose pasar por el CEO de una empresa. Podría elaborar un correo electrónico para que parezca un correo electrónico del CEO y enviarlo al jefe del departamento de finanzas exigiendo la transferencia de algo de dinero a una cuenta falsa.

El correo electrónico está cuidadosamente diseñado para que parezca original, lo que requiere mucho tiempo y trabajo duro..

3. Vishing

Esta es la versión vocal del phishing. El trabajo aquí no es necesariamente en línea y ocurre a través de correo electrónico de voz, VoIP (Voz sobre IP) o un teléfono fijo o celular.

El propósito aquí es el mismo mientras haya una diferencia en los métodos. Al igual que el phishing, se usa para extraer información confidencial de la víctima.

Un escenario vishing puede continuar con una víctima que recibe un mensaje de voz, estipulando que se han producido actividades sospechosas en la cuenta de la tarjeta de crédito, cuenta bancaria, etc..

Se le dice a la víctima que llame a un número específico donde se le pide que brinde más información en nombre de “verificación de identidad” o “asegúrese de que el fraude no se haya producido”.

Vishing es particularmente imposible de rastrear y, a menudo, se lleva a cabo en números extranjeros, lo que hace que la policía no tenga poder.

4. Pretexting

Una serie de mentiras cuidadosamente elaboradas se utilizan para llevar a cabo este método. El atacante miente a la víctima para obtener información personal.

El pretexter comienza ganando la confianza de la víctima actuando como un compañero de trabajo, funcionario bancario, oficial de policía o cualquier persona de autoridad en la que una persona pueda confiar.

Se hacen preguntas aparentemente esenciales que son necesarias para confirmar la identidad de una persona, lo que lleva a que la víctima proporcione la mayoría de los datos cruciales..

A través de esta estafa, el atacante logra adquirir todo tipo de información relevante, como número de seguro social, detalles de cuentas bancarias, direcciones personales, detalles de seguridad, etc..

5. Cebo

¿Alguna vez has ido a pescar? Sí, mientras atrapas un pez, tiras la cuerda con un gusano y luego esperas a que llegue el pez. Eso es precisamente lo que es el cebo.

De manera similar, en el mundo cibernético, el nombre implica que está utilizando falsas promesas para captar el interés de una persona. Una vez que el criminal logra captar sus intereses, procede a atraerlos y atraparlos en una web que roba su información personal o los infecta con malware.

Por lo general, los delincuentes usan los medios físicos para rociar malware. Esta es la forma más cruda de cebo. Se deja un USB o unidad flash infectado con malware, en un lugar visible donde la víctima se encontrará con él.

Puede estar en un baño, elevador, estacionamiento de una compañía de víctimas, etc. El ingeniero crea el cebo para que se vea pegadizo y auténtico, ya que su función principal es atraer a una víctima.

Podría tener una etiqueta que presente una lista de empleados que recibirán un ascenso o la lista de nómina de la empresa, etc. La víctima, por curiosidad, agarra el anzuelo y lo inserta en una computadora. Una vez que la víctima ingresa a la unidad flash o al USB, comienza a descargar e instalar el malware y de esta manera el ataque de cebo es exitoso.

Otra forma de cebo es el método en línea. Esto implica que una víctima haga clic en anuncios pegadizos o enlaces emergentes que conducen a la infección de malware o al robo de información.

6. Scareware

El método Scareware nuevamente involucra mentiras. La víctima recibe continuamente avisos de falsas alarmas y amenazas falsificadas. Esto lo engaña haciéndole creer que la computadora tiene malware o tiene contenido ilegal descargado.

Luego, el pirata informático proporciona a la víctima una solución que inadvertidamente solucionaría el problema falso. Sin embargo, esta “solución” ofrecida a la víctima es, en realidad, un malware que el usuario instala.

Los ataques de Scareware generalmente son en forma de ventanas emergentes que a menudo se encuentran en línea con textos de miedo como “su dispositivo puede estar infectado”. Estas ventanas emergentes se ofrecen para descargar una herramienta que, en realidad, es un malware lanzado para infectar su dispositivo.

La herramienta también puede ser una aplicación inútil, y el usuario solo recibe sus indicaciones para que la descargue y tenga la oportunidad de robar sus datos.

Además de los enlaces emergentes, el scareware también se propaga sobre el uso de correos electrónicos no deseados que vienen con advertencias falsas o incitan a los usuarios a comprar servicios inútiles o dañinos..

5 maneras de prevenir la ingeniería social

Los ataques de ingeniería social están muy extendidos hoy en día, por eso es algo crucial tratar de mantenerse a salvo de ellos. Me he tomado la libertad de compilar una lista de formas que pueden ayudarlo a mantenerse seguro de los ataques de ingeniería social:

Utilice antivirus / antimalware actualizados

El software antiviral y antimalware ayuda a proteger su dispositivo. Sin embargo, es particularmente importante mantener actualizado su software antiviral y antimalware con actualizaciones periódicas.

Si el usuario actualiza regularmente el software, proporciona una mejor protección. También debe escanear periódicamente su dispositivo para mantenerse aún más protegido.

No abra correos electrónicos de fuentes desconocidas

La puerta de entrada más frecuente a los ataques de ingeniería social son los correos electrónicos. Es mejor mantenerse alerta y mantenerse alejado de correos electrónicos o archivos adjuntos de recursos no descubiertos.

La suplantación de identidad por correo electrónico es muy común. Es por eso que es mejor no responder a correos electrónicos desconocidos o abrir archivos adjuntos enviados desde ellos. Es mejor verificar el mensaje recibido de recursos ocultos.

Además, es mejor mantenerse alerta y no abrir ningún archivo adjunto que le parezca sospechoso, ya que pueden contener malware o virus..

Mantente educado y educa

Vivimos en un mundo acelerado que avanza continuamente. Con los avances en cada campo, los métodos de piratería también están recibiendo actualizaciones frecuentes. Teniendo esto en cuenta, es mejor mantenerse actualizado con las promociones..

Además, como los ataques de ingeniería social también pueden atacar a las empresas, es mejor educar a su personal. Esto puede permitir que el personal permanezca alerta y que su empresa permanezca protegida.

Cuida tu privacidad

Tenga cuidado antes de responder a las solicitudes de contraseñas u otra información personal. Es mejor volver a buscar la fuente antes de responder.

Las fuentes que solicitan contraseñas u otra información personal a menudo son estafas. Por lo tanto, es mejor mantenerse alejado de ellos o revisar los recursos antes de responder.

Tenga cuidado con las ofertas de ayuda

Los ingenieros sociales a menudo pueden hacerse pasar por personal de soporte técnico para invadir su dispositivo con malware o robar su información personal. A veces pueden solicitar su ayuda para obtener información u ofrecer ayuda..

Si no solicitó ayuda, es mejor no responder a tales solicitudes. También es seguro verificar dos veces desde una fuente confiable. Haga su investigación antes de enviar cualquier información personal.

Bien consciente ahora?

Ahora que ha recibido información esclarecedora sobre los consejos de prevención, es mejor mantenerse alejado de estos ataques. ¡Ahora puede comenzar trabajando en los consejos de prevención para mantenerse lo más seguro posible! La privacidad es particularmente crucial en este trabajo, y usted debe trabajar en cómo protegerla..

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me