¿Cómo se usa la ingeniería social como táctica de piratería?

Oye,

Leer: ciberdelincuentes de ingeniería social que quieren hackear tu cerebro

Puede tener todos los sofisticados firewalls y software antivirus del mundo, pero aún así no protegerá su mayor vulnerabilidad cibernética: su gente. Cuando se trata de ataques cibernéticos, la tecnología es solo una parte de la imagen, y la mayoría de las infracciones también involucran algún tipo de ingeniería social o, en otras palabras, manipulan a sus empleados confiables y útiles para obtener acceso a sus sistemas.

Los ingenieros sociales usan una variedad de métodos para engañarlo a usted y a sus empleados para que bajen sus defensas, ya sea a través del correo electrónico, las redes sociales, el teléfono, el texto o el hardware físico. Y aunque muchos de nosotros podríamos pensar que seríamos demasiado inteligentes para caer en sus técnicas, es posible que se sorprenda de lo convincentes y exitosos que pueden ser.

La mayoría de las veces, los ingenieros sociales pedirán información que parece inocua por sí sola, pero que se puede usar con un efecto devastador cuando se combina con detalles adicionales recopilados de otros lugares. Por ejemplo, podrían simplemente tratar de averiguar si su software está actualizado o el nombre de su administrador de TI; información que parece perfectamente inocente. También se aprovechan del instinto natural de sus empleados de ser amigables y serviciales, especialmente aquellos en funciones de ventas o servicio al cliente.

Las estadísticas muestran que muchas empresas caen en la trampa, con un informe reciente que revela que el 60% de las empresas fueron víctimas de ataques de ingeniería social en 2016 y que casi una quinta parte de ellas (17%) tuvieron acceso a las cuentas financieras de su empresa como resultado. Mientras tanto, la Federación de Pequeñas Empresas (FSB) estima que estos ataques cuestan a las pequeñas empresas más de £ 5 mil millones cada año. Por lo tanto, vale la pena saber qué buscar.

Estas son algunas de las tácticas de ingeniería social más notorias para tener en cuenta:

Suplantación de identidad

Según el FSB, casi la mitad (49%) de las pequeñas empresas afectadas por un ciberataque en los últimos dos años fueron víctimas de phishing. Este tipo de ingeniería social implica que un pirata informático se contacte con una persona o empresa, se haga pasar por una fuente confiable, como su banco o proveedor de telefonía móvil, y lo engañe para que comparta ciertos detalles personales, financieros o comerciales confidenciales. Es más probable que suceda por correo electrónico, sin embargo, los ingenieros sociales también pueden usar las redes sociales, el teléfono o los mensajes de texto para obtener lo que necesitan.

Spear-phishing

Al igual que el phishing, pero esta vez es personal, con piratas informáticos dirigidos a un individuo específico, utilizando detalles que han recopilado de otras fuentes, como las redes sociales. Al incluir esta información personal, la comunicación parece automáticamente más legítima y convincente, y es mucho más probable que las personas caigan en el ataque.

Pretexting

Aquí es donde un hacker crea un escenario falso para persuadir a un individuo de divulgar información confidencial. Por lo tanto, pueden hacerse pasar por su proveedor de TI, decir que necesitan sus datos de inicio de sesión con urgencia, o pretender ser su banco, decirle que sus datos han sido comprometidos y confirmar su identidad. En muchos casos, el ingeniero social introducirá un sentido de urgencia a la situación, por lo que se sentirá bajo presión y no tendrá tiempo para pensar con claridad sobre la legitimidad de la solicitud.

Cebo

También debe estar atento a los ataques con hardware físico, como una memoria USB o un disco duro externo, que los piratas informáticos pueden dejar en su oficina o en otro lugar donde pueda encontrarlo. Si instala inadvertidamente el hardware, introducirá malware en sus sistemas y dará acceso a los piratas informáticos a todos sus datos confidenciales y confidenciales.

¿Qué puedes hacer para evitar un ataque?

La mejor manera de evitar caer en un ataque es asegurarse de que todos los empleados sepan qué buscar y cómo responder si son atacados. Esto incluye:

  • Siempre verifique a la persona que llama: si alguien llama de la nada solicitando información, siempre verifique su identidad solicitando los detalles que debe conocer.
  • Devolución de llamada: si no está seguro de la legitimidad de una llamada o correo electrónico, devuelva la llamada a la empresa con un número que sepa que es auténtico.
  • Tenga cuidado con los enlaces y archivos adjuntos sospechosos: compruebe de dónde proviene un correo electrónico antes de descargar archivos adjuntos o hacer clic en los enlaces. Y si no estás seguro, simplemente no lo hagas.
  • Evitar ataques físicos: verifique la identidad de los visitantes antes de dejarlos entrar a su edificio, no deje información confidencial por ahí y asegúrese de bloquear la pantalla de su computadora cuando no esté en su escritorio.
  • Procesos de pagos: tenga cuidado al agregar y cambiar la información de proveedores y vendedores, asegurándose de que los datos bancarios se proporcionen en papel con encabezado de la compañía, citando una referencia específica y / o un punto de contacto conocido en la organización. Otros controles de mejores prácticas incluyen llamar a un número de teléfono que sabe que es correcto para verificar los detalles del pago y que el beneficiario confirme la recepción de un pago parcial antes de transferir el saldo completo. También es aconsejable contar con un proceso de autorización dual en el que dos altos funcionarios del personal tengan que firmar un pago antes de que el banco pueda realizar la transferencia.
  • Conciencia de las redes sociales: también es importante que los empleados comprendan los peligros de compartir en exceso en las redes sociales y tengan los controles de privacidad necesarios.

Solo se necesita un enlace débil y se desperdicia todo su trabajo duro e inversión en seguridad. Lea más sobre seguridad cibernética y las medidas que puede tomar para mantenerse protegido en esta guía definitiva de seguridad cibernética .

Related Content

Cómo averiguar la contraseña en la aplicación Applock

Cómo averiguar quién está pirateando mi computadora

¿Quiénes son los usuarios de la tecnología de cifrado?

Seguridad del correo electrónico: ¿cómo puedo enviar un correo electrónico para que nadie pueda monitorearlo?

¿Cuáles son las ventajas y desventajas de hacer públicas las vulnerabilidades de seguridad tan pronto como se descubren?

La ingeniería social se trata de generar confianza a través del intercambio cuidadoso de información, de modo que la persona en el otro extremo de la transacción informativa finalmente se convenza de realizar alguna tarea.

Los hackers saben que es mucho más fácil hackear a un humano que a una máquina. Regularmente vemos que los estafadores usan halagos (“Oh, tu voz es tan agradable”) y enojo (“No puedes mantenerme fuera de mi propia cuenta”) para convencer a los agentes del centro de llamadas de que hagan sus órdenes por completo. Hoy en día, los hackers tienen acceso a herramientas que hacen que la ingeniería social sea aún más fácil. Ya no necesita ser un gurú de la tecnología para utilizar la distorsión de voz o la suplantación de identidad de la persona que llama; hay una aplicación para eso. Del mismo modo, los piratas informáticos pueden utilizar los servicios de VoIP o los teléfonos de grabación para hacer llamadas gratuitas o baratas. Todo esto se suma a hacer que el canal de voz sea un entorno perfecto para los ingenieros sociales.

John Smith

La forma más simple y menos costosa de piratear cualquier cosa es simplemente pedirle a alguien su ID de usuario y contraseña, ¿y adivina qué? Algunas personas harán exactamente eso: dárselo gratis.

Todo lo que tiene que hacer es decir “Hola, soy Bob y administrador de TI. Recientemente hemos tenido una serie de ataques de piratería y necesitamos restablecer la contraseña de todos. ¿Me puede dar su identificación y contraseña para que yo pueda cambiar la suya? Ni siquiera tendrá que cerrar sesión mientras hago esto y lo llamaré de inmediato y le diré cuál es su nueva contraseña ”. Si usted es particularmente descuidado, podría incluir algunos comentarios sobre los gerentes en su departamento o personas saben prestar un poco de autenticidad al intercambio.

Eso es ingeniería social, y sí, la gente todavía se deja engañar. Es así como ocurrió el hackeo del correo electrónico de Clinton cuando fue atrapado en Podesta quien, sí, le dio a la persona que llama (rusa) su identificación y contraseña.

Charlotte Hall

La ingeniería social es un medio de recopilar datos y también una vía de ataque.

Por ejemplo, si estaba buscando información sobre un sujeto / víctima (podría ser un individuo, un grupo o una corporación), haría preguntas principales que podrían obtener las respuestas necesarias. Estas respuestas se podrían utilizar para recopilar más datos sobre el sujeto / víctima. Básicamente, lo que está haciendo es crear un dossier que le brinde la mayor influencia y conocimiento sobre cómo atacar a dicho sujeto / víctima.

También se está utilizando directamente para atacar sistemas al conocer la naturaleza general de un ser humano. Muchas personas son muy rápidas para hacer clic en un enlace en un correo electrónico si es algo que les atraiga. Entonces, algo así como un correo electrónico que está estructurado para parecer auténtico con un enlace en el que se puede hacer clic, y algunas palabras para atraerlo a hacer clic en el enlace, es una forma de ingeniería social llamada phishing. Esto podría ser un ataque directo para descargar un paquete de malware en un sistema, o simplemente una forma de recopilar datos más pertinentes (por ejemplo, contraseñas, nombres de usuario, número de seguro social, etc.).

Mandy Plett

La ingeniería social es una habilidad imprescindible para los hackers principiantes. Cuando era un adolescente, no puedo decirte la cantidad de veces que mis amigos me pidieron que “piratee” a alguien que representa casi cualquier sitio web, y mi respuesta siempre sería “dame un mes”. Luego me pondría en una posición en la que podría comenzar a salir con la persona hasta el punto en que puedas hablar con ella sola. Después de eso es solo un juego de espera. Por lo general, mato el tiempo pasando el rato con ellos, mientras mi PC intenta todas las variaciones posibles del nombre de su mascota. Sí, a veces es difícil, y tienes que cambiar completamente tu personalidad, pero funciona de maravilla

Vijay Balasubramaniyan

Sí, de hecho, es un paso clave en la etapa de huella

Charlotte Hall

More Interesting

¿Qué tan seguro es Opera 11.11 en comparación con otros navegadores como Chrome y Firefox?

¿Quién creó el virus?

Cómo dar una presentación sobre seguridad cibernética a personas no tecnológicas

¿Los programadores de computadoras trabajan en entornos aislados?

¿Cuál es la mejor solución para bloquear sitios web no deseados en mi empresa?

¿Qué tipo de autenticación / encriptación implementas en IoT?

¿Cuál debería ser mi hoja de ruta para los próximos 3 años para comenzar con la seguridad cibernética (3 años antes de que termine la universidad, estudiar ECE)?

A nivel técnico, ¿cómo se piratean los teléfonos de las celebridades?

¿Sería prudente instalar Norton Security en mi iPhone?

¿Qué es lo mejor que has creado solo como programador?

¿Cómo mantienen los ultra ricos (Mr.Ambani) en la India lakhs de millones de rupias en los bancos? ¿Es seguro? ¿No se filtra la información a los piratas informáticos / grupos terroristas?

¿Qué es el cifrado de clave simétrica?

¿Qué constituye una violación de datos?

¿Puedes restablecer la contraseña de Windows cuando no conoces la contraseña ya establecida en la computadora? Además, ¿es eso posible sin tener que arrancar desde un CD o disco extraíble?

¿Qué tan seguro es FortiClient como antivirus y firewall?