Oye,
Leer: ciberdelincuentes de ingeniería social que quieren hackear tu cerebro
Puede tener todos los sofisticados firewalls y software antivirus del mundo, pero aún así no protegerá su mayor vulnerabilidad cibernética: su gente. Cuando se trata de ataques cibernéticos, la tecnología es solo una parte de la imagen, y la mayoría de las infracciones también involucran algún tipo de ingeniería social o, en otras palabras, manipulan a sus empleados confiables y útiles para obtener acceso a sus sistemas.
- ¿Cuáles son las peores infracciones de la política de TI que ha hecho o escuchado en su empresa?
- ¿Qué antivirus gratuito te brinda una protección del 100%?
- ¿Existen casos conocidos de proyectos de código abierto que introducen vulnerabilidades de seguridad intencionales?
- ¿Qué piensan los funcionarios del gobierno indio del discurso de la Cumbre de Seguridad Cibernética de Obama en Stanford recientemente?
- Hice clic en un enlace malicioso con mi Mac, ¿qué debo hacer ahora?
Los ingenieros sociales usan una variedad de métodos para engañarlo a usted y a sus empleados para que bajen sus defensas, ya sea a través del correo electrónico, las redes sociales, el teléfono, el texto o el hardware físico. Y aunque muchos de nosotros podríamos pensar que seríamos demasiado inteligentes para caer en sus técnicas, es posible que se sorprenda de lo convincentes y exitosos que pueden ser.
La mayoría de las veces, los ingenieros sociales pedirán información que parece inocua por sí sola, pero que se puede usar con un efecto devastador cuando se combina con detalles adicionales recopilados de otros lugares. Por ejemplo, podrían simplemente tratar de averiguar si su software está actualizado o el nombre de su administrador de TI; información que parece perfectamente inocente. También se aprovechan del instinto natural de sus empleados de ser amigables y serviciales, especialmente aquellos en funciones de ventas o servicio al cliente.
Las estadísticas muestran que muchas empresas caen en la trampa, con un informe reciente que revela que el 60% de las empresas fueron víctimas de ataques de ingeniería social en 2016 y que casi una quinta parte de ellas (17%) tuvieron acceso a las cuentas financieras de su empresa como resultado. Mientras tanto, la Federación de Pequeñas Empresas (FSB) estima que estos ataques cuestan a las pequeñas empresas más de £ 5 mil millones cada año. Por lo tanto, vale la pena saber qué buscar.
Estas son algunas de las tácticas de ingeniería social más notorias para tener en cuenta:
Suplantación de identidad
Según el FSB, casi la mitad (49%) de las pequeñas empresas afectadas por un ciberataque en los últimos dos años fueron víctimas de phishing. Este tipo de ingeniería social implica que un pirata informático se contacte con una persona o empresa, se haga pasar por una fuente confiable, como su banco o proveedor de telefonía móvil, y lo engañe para que comparta ciertos detalles personales, financieros o comerciales confidenciales. Es más probable que suceda por correo electrónico, sin embargo, los ingenieros sociales también pueden usar las redes sociales, el teléfono o los mensajes de texto para obtener lo que necesitan.
Spear-phishing
Al igual que el phishing, pero esta vez es personal, con piratas informáticos dirigidos a un individuo específico, utilizando detalles que han recopilado de otras fuentes, como las redes sociales. Al incluir esta información personal, la comunicación parece automáticamente más legítima y convincente, y es mucho más probable que las personas caigan en el ataque.
Pretexting
Aquí es donde un hacker crea un escenario falso para persuadir a un individuo de divulgar información confidencial. Por lo tanto, pueden hacerse pasar por su proveedor de TI, decir que necesitan sus datos de inicio de sesión con urgencia, o pretender ser su banco, decirle que sus datos han sido comprometidos y confirmar su identidad. En muchos casos, el ingeniero social introducirá un sentido de urgencia a la situación, por lo que se sentirá bajo presión y no tendrá tiempo para pensar con claridad sobre la legitimidad de la solicitud.
Cebo
También debe estar atento a los ataques con hardware físico, como una memoria USB o un disco duro externo, que los piratas informáticos pueden dejar en su oficina o en otro lugar donde pueda encontrarlo. Si instala inadvertidamente el hardware, introducirá malware en sus sistemas y dará acceso a los piratas informáticos a todos sus datos confidenciales y confidenciales.
¿Qué puedes hacer para evitar un ataque?
La mejor manera de evitar caer en un ataque es asegurarse de que todos los empleados sepan qué buscar y cómo responder si son atacados. Esto incluye:
- Siempre verifique a la persona que llama: si alguien llama de la nada solicitando información, siempre verifique su identidad solicitando los detalles que debe conocer.
- Devolución de llamada: si no está seguro de la legitimidad de una llamada o correo electrónico, devuelva la llamada a la empresa con un número que sepa que es auténtico.
- Tenga cuidado con los enlaces y archivos adjuntos sospechosos: compruebe de dónde proviene un correo electrónico antes de descargar archivos adjuntos o hacer clic en los enlaces. Y si no estás seguro, simplemente no lo hagas.
- Evitar ataques físicos: verifique la identidad de los visitantes antes de dejarlos entrar a su edificio, no deje información confidencial por ahí y asegúrese de bloquear la pantalla de su computadora cuando no esté en su escritorio.
- Procesos de pagos: tenga cuidado al agregar y cambiar la información de proveedores y vendedores, asegurándose de que los datos bancarios se proporcionen en papel con encabezado de la compañía, citando una referencia específica y / o un punto de contacto conocido en la organización. Otros controles de mejores prácticas incluyen llamar a un número de teléfono que sabe que es correcto para verificar los detalles del pago y que el beneficiario confirme la recepción de un pago parcial antes de transferir el saldo completo. También es aconsejable contar con un proceso de autorización dual en el que dos altos funcionarios del personal tengan que firmar un pago antes de que el banco pueda realizar la transferencia.
- Conciencia de las redes sociales: también es importante que los empleados comprendan los peligros de compartir en exceso en las redes sociales y tengan los controles de privacidad necesarios.
Solo se necesita un enlace débil y se desperdicia todo su trabajo duro e inversión en seguridad. Lea más sobre seguridad cibernética y las medidas que puede tomar para mantenerse protegido en esta guía definitiva de seguridad cibernética .