Taula de continguts[Amaga][Espectacle]
Tot i que la majoria dels ciberdelinqüents són manipuladors hàbils, això no vol dir que sempre siguin manipuladors tecnològics hàbils; altres ciberdelinqüents prefereixen la pràctica de manipular persones.
En altres paraules, abracen l'enginyeria social, que és la pràctica de llançar un ciberatac aprofitant els defectes de la naturalesa humana.
En un cas senzill d'enginyeria social, això podria passar si un cibercriminal es fa passar per un expert informàtic i demana les vostres dades d'inici de sessió per solucionar un forat de seguretat al vostre sistema.
Si proporcioneu la informació, acabeu de donar accés al vostre compte a una persona dolenta sense que ni tan sols s'hagi de preocupar d'accedir al vostre correu electrònic o a l'ordinador.
En totes les cadenes de seguretat, gairebé normalment som l'enllaç més feble, ja que som susceptibles a una varietat d'enganys. Les tècniques d'enginyeria social aprofiten aquesta vulnerabilitat de les persones per enganyar les víctimes perquè divulguin informació privada.
L'enginyeria social està sempre en evolució, igual que la majoria de les amenaces cibernètiques.
En aquest article, parlarem de l'estat actual de l'enginyeria social, dels diferents tipus d'atacs que cal tenir en compte i dels senyals d'advertència que cal tenir en compte.
Comencem la introducció a l'enginyeria social.
Què és l'Enginyeria Social?
L'enginyeria social en informàtica fa referència a les tècniques que els ciberdelinqüents utilitzen per persuadir a les víctimes perquè facin una acció dubtosa, que sovint implica una violació de la seguretat, la transmissió de diners o la divulgació d'informació personal.
Aquestes activitats sovint desafien la lògica i van en contra del nostre millor criteri.
Tanmateix, els estafadors ens poden convèncer de deixar de pensar lògicament i començar a actuar per instint sense pensar en el que estem fent realment manipulant les nostres emocions, tant positives com negatives, com la ràbia, la por i l'amor.
En termes senzills, l'enginyeria social és com els pirates informàtics comprometen el nostre cervell, igual que ho fan amb programari maliciós i virus per comprometre les nostres màquines.
Els atacants utilitzen sovint l'enginyeria social perquè sovint és més senzill aprofitar-se dels individus que identificar una debilitat de la xarxa o del programari.
Com que els delinqüents i les seves víctimes mai han d'interactuar en persona, l'enginyeria social sempre és un component d'una estafa més àmplia.
Aconseguir que les víctimes: és generalment l'objectiu principal:
- Programari maliciós al seu telèfon intel·ligent.
- Renuncia al teu nom d'usuari i contrasenya.
- Doneu permís per a un complement, una extensió o una aplicació de tercers maliciosa.
- Envieu diners mitjançant gir postal, transferència electrònica de fons o targetes de regal.
- Fes el paper d'una mula de diners per transmetre i rentar diners il·legals.
Els delinqüents utilitzen tècniques d'enginyeria social perquè sovint és més senzill aprofitar la vostra tendència inherent a confiar en els altres que no pas esbrinar com piratejar el vostre programa.
Per exemple, tret que la contrasenya sigui realment feble, és molt més senzill enganyar algú perquè us digui la seva contrasenya que no pas intentar piratejar-la.
Com funciona l'enginyeria social?
Els enginyers socials duen a terme ciberatacs mitjançant una sèrie d'estratègies. La majoria d'assalts d'enginyeria social comencen amb l'atacant fent reconeixement i investigació sobre la víctima.
Per exemple, si l'objectiu és una empresa, el pirata informàtic podria conèixer l'estructura organitzativa de l'empresa, els processos interns, l'argot del sector, els possibles socis comercials i altres detalls.
Centrar-se en les accions i els hàbits dels treballadors amb un accés de baix nivell però inicial, com un vigilant de seguretat o un recepcionista, és una estratègia que fan servir els enginyers socials.
Els atacants poden buscar mitjans de comunicació social compta de la informació personal i observa el seu comportament tant en línia com en persona.
A continuació, l'enginyer social pot utilitzar les proves recollides per planificar un assalt i aprofitar els defectes descoberts durant l'etapa de reconeixement.
Si realment es produeix l'atac, l'atacant podria obtenir sistemes o xarxes protegides, diners dels objectius o accés a dades privades com números de la Seguretat Social, dades de targetes de crèdit o dades bancàries.
Tipus habituals d'atacs d'enginyeria social
Conèixer les tècniques típiques utilitzades en enginyeria social és una de les millors estratègies per defensar-se d'un atac d'enginyeria social.
Avui en dia, l'enginyeria social es produeix habitualment en línia, fins i tot a través d'estafes a les xarxes socials, quan els atacants assumeixen la identitat d'una font fiable o d'un funcionari d'alt rang per enganyar les víctimes perquè revelin informació sensible.
Aquests són alguns altres atacs d'enginyeria social prevalents:
Phishing
El phishing és una mena d'enfocament d'enginyeria social en què les comunicacions es disfressen de manera que semblin procedents d'una font fiable.
Aquestes comunicacions, que sovint són correus electrònics, tenen l'objectiu d'enganyar les víctimes perquè revelin informació personal o financera.
Després de tot, per què hem de sospitar de la legitimitat d'un correu electrònic d'un amic, familiar o empresa que coneixem? Els estafadors s'aprofiten d'aquesta confiança.
Desesperant
El vishing és un tipus complex d'assalt de pesca. També es coneix com a "phishing per veu". En aquests assalts, sovint es falsifica un número de telèfon per semblar autèntic: els atacants poden fer-se passar per personal informàtic, companys de feina o banquers.
Alguns atacants poden utilitzar canviadors de veu per enfosquir encara més la seva identitat.
Spear phishing
Les grans empreses o persones particulars són els objectius del spear phishing, una mena d'assalt d'enginyeria social. Els objectius dels atacs de pesca amb llança són individus forts o grups reduïts, com ara líders empresarials i personatges públics.
Aquesta forma d'atac d'enginyeria social sovint està ben investigada i enganyosament camuflada, cosa que fa que sigui difícil de detectar.
Fumant
Smishing és una mena d'assalt de pesca que utilitza missatges de text (SMS) com a mitjà de comunicació. En presentar URL nocius per fer clic o números de telèfon per contactar, aquests agressions solen requerir una acció ràpida per part de les víctimes.
Sovint se'ls demana a les víctimes que proporcionin informació privada que els atacants poden utilitzar contra elles.
Per persuadir les víctimes perquè actuïn amb rapidesa i caiguin en l'assalt, els atacs smishing sovint mostren una sensació d'urgència.
Espantalls
L'ús de l'enginyeria social per espantar els individus perquè instal·lin programari de seguretat fals o accedeixi a llocs web infectats per programari maliciós es coneix com a espantar.
Scareware normalment es manifesta com a finestres emergents que ofereixen ajudar-vos a eradicar una suposada infecció de l'ordinador del vostre ordinador portàtil. En fer clic a la finestra emergent, és possible que instal·leu més programari maliciós sense voler o que us enviïn a un lloc web perillós.
Utilitzeu un programa d'eradicació de virus fiable per escanejar sovint l'ordinador si creieu que teniu un programari d'espantall o una altra finestra emergent intrusiva. És important que la higiene digital examini periòdicament el vostre dispositiu per detectar riscos.
També pot ajudar a protegir la vostra informació personal evitant futurs agressions d'enginyeria social.
Esquer
Els atacs d'enginyeria social també poden començar fora de línia; no necessàriament es llancen en línia.
L'esquer és la pràctica d'un atacant que deixa un objecte infectat amb programari maliciós, com ara una unitat USB, en algun lloc on és probable que es descobreixi. Aquests dispositius sovint es marquen a propòsit per despertar interès.
Un usuari que agafa el gadget i el posa al seu propi ordinador per curiositat o cobdícia s'arrisca a infectar sense voler aquesta màquina amb un virus.
Balena
Un dels intents de pesca més agosarats, amb resultats desastrosos, és la caça de balenes. L'objectiu típic d'aquest tipus d'atac d'enginyeria social és una persona única i de gran valor.
El terme "frau del CEO" s'utilitza ocasionalment per descriure la caça de balenes, que us dóna una indicació de l'objectiu.
Com que assumeixen eficaçment un to de parla adequat i empresarial i fan ús dels coneixements privilegiats de la indústria al seu avantatge, els assalts de la caça de balenes són més difícils de detectar que altres atacs de pesca.
Pre-enviament de missatges de text
El pretext és el procés de fabricació d'una circumstància falsa, o "pretext", que fan servir els estafadors per enganyar les seves víctimes.
Els assalts pretextos, que es poden produir fora de línia o en línia, es troben entre les tècniques d'enginyeria social més reeixides perquè els atacants s'esforcen molt perquè semblin de confiança.
Aneu amb compte quan reveleu informació privada a desconeguts, ja que pot ser difícil detectar l'engany d'un pretext.
Per descartar un intent d'enginyeria social, poseu-vos en contacte directament amb l'empresa si algú us truca per una necessitat urgent.
Trampa de mel
Una trampa de mel és una mena d'enfocament d'enginyeria social en què l'agressor sedueix la víctima a un entorn sexual insegur.
Aleshores, l'agressor aprofita la circumstància per cometre xantatge o practicar sextorsió. Mitjançant l'enviament de correus electrònics de correu brossa amb la falsa pretensió que us estaven "veient a través de la vostra càmera" o alguna cosa igualment nefasta, els enginyers socials solen posar trampes de mel.
Si rebeu un missatge com aquest, assegureu-vos que la vostra càmera web estigui protegida.
Aleshores, només cal mantenir-se compost i abstenir-se de respondre, ja que aquests correus electrònics no són més que correu brossa.
Compensació
El llatí significa "alguna cosa per alguna cosa", en aquest cas es refereix a la víctima que rep una recompensa a canvi de la seva cooperació.
Una excel·lent il·lustració és quan els pirates informàtics es fan passar per assistents informàtics. Trucaran a tants empleats com sigui possible en una empresa i diuen tenir una solució senzilla, afegint que "només necessiteu desactivar el vostre AV".
Qualsevol persona que sucumbi a això té un programari de ransomware o altres virus instal·lats al seu ordinador.
Tailgating
El tailgating, també conegut com a piggybacking, es produeix quan un pirata informàtic segueix una persona que utilitza una targeta d'accés vàlida a un edifici assegurat.
Per dur a terme aquest atac, se suposa que la persona que té permís per entrar a l'edifici seria prou considerada com per mantenir la porta oberta a la persona que ve darrere seu.
Com es pot prevenir els atacs d'enginyeria social?
Mitjançant aquestes mesures preventives, vostè i el seu personal tindreu les millors possibilitats d'evitar agressions d'enginyeria social.
Educar els empleats
La principal causa de la fal·libilitat dels empleats als atacs d'enginyeria social és la ignorància. Per ensenyar al personal com reaccionar als intents d'incompliment típics, les organitzacions haurien d'oferir formació sobre conscienciació sobre seguretat.
Per exemple, què fer si algú intenta portar un empleat al lloc de treball o demana informació sensible.
Alguns dels ciberatacs més freqüents es descriuen a la llista següent:
- Atacs DDoS
- Atacs de phishing
- Atacs de clickjacking
- Atacs de Ransomware
- Atacs de programari maliciós
- Com respondre al tailgating
Comproveu la resistència a l'atac
Realitzeu atacs controlats d'enginyeria social a la vostra empresa per provar-ho. Envieu correus electrònics de pesca falsos i recrimineu suaument els membres del personal que obrin fitxers adjunts, feu clic a enllaços nocius o reaccionin.
En lloc de ser percebuts com a fracassos de la ciberseguretat, aquests casos haurien de ser vists com a situacions altament educatives.
Operació de seguretat
OPSEC és un mètode per detectar un comportament amigable que podria ser avantatjós per a un futur atacant. OPSEC pot exposar dades sensibles o importants si es processen adequadament i s'agrupen amb altres dades.
Podeu limitar la quantitat d'informació que els enginyers socials poden obtenir mitjançant els procediments OPSEC.
Trobeu fuites de dades
Saber si les credencials s'han exposat com a resultat d'un intent de pesca pot ser un repte.
La vostra empresa hauria de buscar constantment exposicions de dades i credencials filtrades perquè alguns phishers poden trigar mesos o fins i tot anys a explotar les credencials que recullen.
Implementar l'autenticació multifactor
Apliqueu un mètode d'autenticació multifactor que requereix que els usuaris posseeixin un testimoni, coneguin una contrasenya i posseeixin la seva biometria per poder accedir als recursos crítics.
Implementar un sistema de gestió de riscos de tercers
Abans de contractar nous proveïdors o de continuar treballant amb proveïdors actuals, creeu un sistema per gestionar els riscos de tercers, una política de gestió de proveïdors i realitzeu una risc de ciberseguretat avaluació.
Sobretot després que les dades robades s'hagin venut a la web fosca, és considerablement més senzill evitar violacions de dades que netejar-les.
Trobeu programari que pugui gestionar automàticament el risc dels proveïdors i fer un seguiment, classificar i avaluar regularment la ciberseguretat dels vostres proveïdors.
Modifiqueu les vostres preferències de correu brossa.
Canviar la configuració del correu electrònic és un dels mètodes més senzills per defensar-se dels intents d'enginyeria social. Podeu millorar els vostres filtres de correu brossa per mantenir els correus electrònics d'estafa d'enginyeria social fora de la vostra safata d'entrada.
També podeu afegir directament les adreces de correu electrònic d'individus i organitzacions que sabeu que són reals a les vostres llistes de contactes digitals; qualsevol persona que pretengui ser-ho però que faci servir una adreça diferent en el futur és probablement un enginyer social.
Conclusió
Finalment, l'enginyeria social és una tècnica força senzilla que es pot utilitzar per cometre fraus, fraus o altres delictes. Pot passar a qualsevol persona en persona, per telèfon o en línia.
Els enginyers socials no necessiten ser molt tècnics; només han de ser capaços d'enganyar-vos perquè els proporcioneu informació privada.
És una estafa potencialment desastrosa, ja que tots estem en perill. Les xarxes socials també han permès que els enginyers socials es tornin més astuts, permetent-los crear comptes falsos que són fàcils de confondre amb reals o fins i tot per suplantar persones reals.
Sempre tingueu precaució quan veieu perfils estranys o desconeguts a les xarxes socials.
Deixa un comentari