¿Qué es la Ingeniería Social?
La ingeniería social es el arte de manipular a alguien para conseguir algo. La ingeniería social no siempre es mala. Sin embargo, en este artículo, nos centraremos en la ingeniería social en el contexto de la seguridad de la información. La mayoría de las violaciones de datos enormes hoy en día tienen un componente de ingeniería social – Los ataques exitosos utilizan ingeniería social altamente sofisticada aumentada por técnicas de evasión de detección.
Tipos de ataques de ingeniería social
1. Correo electrónico de un amigo/colega/miembro de la familia
Estos ataques abusan de la confianza entre dos individuos. Una persona finge ser alguien que no es.
Variante en el extranjero varado
No es raro recibir un correo electrónico que pretenda ser de alguien que conoces y en quien confías. A veces resulta que este correo electrónico fue enviado por una persona con intenciones criminales. El correo electrónico podría informarle que Sue está atrapada en Barcelona y le robaron el bolso. Está en la embajada y sólo necesita dinero para conseguir un billete de avión para volar de vuelta a casa. Si recibes un correo electrónico de este tipo, intenta ponerte en contacto con Sue a través de otro medio de comunicación, Skype, Whatsapp, Teléfono, etc…
Eso le permitirá confirmar si el correo electrónico fue realmente enviado por ella. Esto a su vez le ayudará a asegurarse de que no divulga información confidencial o enviar dinero a los delincuentes cibernéticos. Si el contacto por correo electrónico es la única opción, indímelo a su departamento de TI/Seguridad de la información. Sabrán cómo lidiar con eso.
Variante de enlace divertido/interesante
Todos conocemos este, «¡Guau! Esta es la muestra más increíble de amabilidad natural que he visto. Fíquelo.». A continuación, haga clic en el enlace y se le dirigirá a un vídeo. Mientras tanto, acabas de perder el control de tu computadora. Si se trata de un ordenador en la red de trabajo esto deletrea problemas. El ordenador ahora se puede utilizar como frente a la playa para atacar el resto de la red interna de su empresa.
2. Intentos de phishing
Estos ataques abusan de la confianza que tenemos para las instituciones oficiales, por encima de los reproches.
Variante de error de entrega del paquete DHL/Fedex
Es posible que reciba un correo electrónico informándose de que DHL no pudo entregar un paquete en su casa, si puede simplemente hacer clic en el siguiente enlace y… Lo que debes hacer es: ¡STOP! Entonces pregúntate si esperabas algún paquete, si no, olvídalo. Si es lo suficientemente importante, el remitente se pondrá directamente en contacto con usted, a diferencia de a través de DHL.
Variante de organización de organización de caridad/recaudación de fondos de renombre
Si es importante para ti, ignora toda la información del correo electrónico, ve a buscar los detalles de esa organización benéfica, llámalos y verifica con ellos.
Problema urgente, necesita variante de resolución instantánea
Trate de comunicarse con la empresa por teléfono o entrando en su oficina local. Una vez más, si es lo suficientemente importante, la compañía tendrá muchas maneras de comunicarse con usted.
Has ganado la variante de la lotería
Si ganas la lotería, ¿no deberías haber jugado primero o comprado un boleto? Póngase en contacto con la lotería por teléfono. Ignorar el correo electrónico, de lo contrario se arriesga a llamar a un número de teléfono controlado por los estafadores.
Su ayuda es necesaria para alguna variante de socorro en caso de desastre
A las pocas horas de cualquier desastre natural, los estafadores comienzan a dirigirse a individuos de todo el mundo. Envían correos electrónicos falsos en busca de ayuda, recursos, etc. Usted puede protegerse de estos phishers y estafadores. Sin embargo, solo hay mucho que puede hacer si un servicio que utiliza está en peligro.
Estas son algunas medidas preventivas básicas que puede tomar:
- En caso de duda, ignórelo!!!
- Respira hondo y piensa.
- Investiga, usa medios alternativos de comunicación.
- Informe y, a continuación, elimine todas las solicitudes de información privada, de empresa o financiera.
- Informe, a continuación, ignore las solicitudes de ayuda. Si es legítimo, oirás hablar de ello oficialmente.
- ¿Tienes que hacer clic en ese enlace?
- Utilice diferentes inicios de sesión y contraseñas para diferentes servicios.
- Usar autenticación de dos factores
- Utilice tarjetas de crédito con cuidado
Estos pasos no evitarán que su cuenta se vea comprometida si un proveedor de servicios se enamora de un hackeo de ingeniería social y entrega su cuenta al atacante, pero al menos pueden minimizar el daño posible y también darle más tranquilidad de que está haciendo todo lo posible para protegerse.
El conocimiento de la seguridad por sí solo no es suficiente para evitar que los usuarios hacen clic en enlaces maliciosos y ser manipulados para introducir los datos de inicio de sesión y otra información confidencial. Los estafadores de phishing son maestros de la manipulación inteligente del comportamiento. Al igual que todos los enfoques para la mitigación de amenazas de seguridad, un enfoque proactivo y en capas funciona mejor. Las empresas deben acelerar la formación de conciencia de seguridad utilizando herramientas potentes e inteligentes que impiden que un usuario sea llevado a un sitio web falsificado, incluso si hace clic en un enlace malicioso. Estas herramientas deben incluir el uso de una plataforma de filtrado de contenido web. Esto evita que los empleados naveguen a sitios web peligrosos y reduce la posibilidad de violaciones de datos corporativos y otros ataques cibernéticos.
Fuente: Blog de TitanHQ