¿Qué es la Ingeniería Social?
La ingeniería social es el arte de manipular a los usuarios de un sistema informático para que revelen información confidencial que se puede utilizar para obtener acceso no autorizado a un sistema informático. El término también puede incluir actividades como explotar la bondad humana, la codicia y la curiosidad para obtener acceso a edificios de acceso restringido o hacer que los usuarios instalen software de puerta trasera.
Conocer los trucos utilizados por los piratas informáticos para engañar a los usuarios para que divulguen información vital de inicio de sesión, entre otros, es fundamental para proteger los sistemas informáticos.
En este tutorial, le presentaremos las técnicas comunes de ingeniería social y cómo puede idear medidas de seguridad para contrarrestarlas.
Temas cubiertos en este tutorial
- ¿Cómo funciona la ingeniería social?
- Técnicas comunes de ingeniería social
- Contramedidas de ingeniería social
¿Cómo funciona la ingeniería social?
AQUÍ,
- Recopilar información : esta es la primera etapa, la persona aprende todo lo que puede sobre la víctima prevista. La información se recopila de los sitios web de la empresa, otras publicaciones y, a veces, hablando con los usuarios del sistema de destino.
- Planificar el ataque : los atacantes describen cómo pretende ejecutar el ataque.
- Adquirir herramientas : incluyen programas informáticos que un atacante utilizará al lanzar el ataque.
- Ataque : Aprovecha las debilidades del sistema objetivo.
- Utilice los conocimientos adquiridos : la información recopilada durante las tácticas de ingeniería social, como los nombres de las mascotas, las fechas de nacimiento de los fundadores de la organización, etc., se utiliza en ataques como el adivinar contraseñas.
Técnicas comunes de ingeniería social:
Las técnicas de ingeniería social pueden adoptar muchas formas . La siguiente es la lista de las técnicas más utilizadas.
- Explotación de familiaridad: Los usuarios sospechan menos de las personas con las que están familiarizados. Un atacante puede familiarizarse con los usuarios del sistema objetivo antes del ataque de ingeniería social. El atacante puede interactuar con los usuarios durante las comidas, cuando los usuarios están fumando puede unirse, en eventos sociales, etc. Esto hace que el atacante se familiarice con los usuarios. Supongamos que el usuario trabaja en un edificio que requiere un código de acceso o tarjeta para acceder; el atacante puede seguir a los usuarios cuando ingresan a dichos lugares. A los usuarios les gusta mantener la puerta abierta para que el atacante entre, ya que están familiarizados con ellos. El atacante también puede pedir respuestas a preguntas como dónde conoció a su cónyuge, el nombre de su profesor de matemáticas de la escuela secundaria, etc. Es más probable que los usuarios revelen respuestas ya que confían en la cara conocida.Esta información podría usarse para piratear cuentas de correo electrónico y otras cuentas que hacen preguntas similares si uno olvida su contraseña.
- Circunstancias intimidantes : las personas tienden a evitar a las personas que intimidan a los que les rodean. Con esta técnica, el atacante puede pretender tener una discusión acalorada por teléfono o con un cómplice del plan. El atacante puede entonces pedir a los usuarios información que se utilizaría para comprometer la seguridad del sistema de los usuarios. Lo más probable es que los usuarios den las respuestas correctas solo para evitar una confrontación con el atacante. Esta técnica también se puede utilizar para evitar ser revisados en un punto de control de seguridad.
- Phishing : esta técnica utiliza trucos y engaños para obtener datos privados de los usuarios. El ingeniero social puede intentar hacerse pasar por un sitio web genuino como Yahoo y luego pedirle al usuario desprevenido que confirme su nombre de cuenta y contraseña. Esta técnica también podría usarse para obtener información de tarjetas de crédito o cualquier otro dato personal valioso.
- Tailgating : esta técnica implica seguir a los usuarios por detrás cuando ingresan a áreas restringidas. Como cortesía humana, es más probable que el usuario deje que el ingeniero social ingrese al área restringida.
- Explotación de la curiosidad humana : con esta técnica, el ingeniero social puede dejar caer deliberadamente un disco flash infectado con virus en un área donde los usuarios puedan recogerlo fácilmente. Lo más probable es que el usuario conecte el disco flash a la computadora. El disco flash puede ejecutar automáticamente el virus o el usuario puede tener la tentación de abrir un archivo con un nombre como Informe de revalorización de empleados 2013.docx, que en realidad puede ser un archivo infectado.
- Explotación de la codicia humana : con esta técnica, el ingeniero social puede atraer al usuario con promesas de ganar mucho dinero en línea al completar un formulario y confirmar sus datos utilizando los datos de la tarjeta de crédito, etc.
Contramedidas de ingeniería social
La mayoría de las técnicas empleadas por los ingenieros sociales implican manipular los prejuicios humanos . Para contrarrestar tales técnicas, una organización puede;
- Para contrarrestar el exploit de familiaridad , los usuarios deben estar capacitados para no sustituir la familiaridad con las medidas de seguridad. Incluso las personas con las que están familiarizados deben acreditar que tienen la autorización para acceder a determinadas áreas e información.
- Para contrarrestar los ataques de circunstancias intimidantes, los usuarios deben estar capacitados para identificar técnicas de ingeniería social que buscan información sensible y decir cortésmente que no.
- Para contrarrestar las técnicas de phishing , la mayoría de los sitios como Yahoo utilizan conexiones seguras para cifrar los datos y demostrar que son quienes dicen ser. Verificar la URL puede ayudarlo a detectar sitios falsos . Evite responder a correos electrónicos que le soliciten que proporcione información personal .
- Para contrarrestar los ataques de persecución, los usuarios deben estar capacitados para no permitir que otros usen su autorización de seguridad para acceder a áreas restringidas. Cada usuario debe utilizar su propia autorización de acceso.
- Para contrarrestar la curiosidad humana , es mejor enviar los discos flash recogidos a los administradores del sistema, quienes deben analizarlos en busca de virus u otras infecciones, preferiblemente en una máquina aislada.
- Para contrarrestar las técnicas que explotan la codicia humana , los empleados deben estar capacitados sobre los peligros de caer en tales estafas.
Resumen
- La ingeniería social es el arte de explotar los elementos humanos para acceder a recursos no autorizados.
- Los ingenieros sociales utilizan una serie de técnicas para engañar a los usuarios para que revelen información confidencial.
- Las organizaciones deben tener políticas de seguridad que tengan contramedidas de ingeniería social.