Home > Tecnologia, Tips > Ataque de Ingeniería Social

Ataque de Ingeniería Social


Ingeniería Social

image

La ingeniería social es el acto de manipular a la gente para realizar acciones o divulgación de información confidencial, en lugar de utilizar técnicas de hacking. Aunque similar a una estafa o fraude, el término se suele aplicar a engaño o el engaño con el fin de recaudar información, el fraude o el acceso a sistemas informáticos, en algunos casos, el atacante no se encuentra cara a cara con la víctima.

A continuación se presentan varios ejemplos de métodos de ingeniería social, muchos de los cuales se basan en el contacto directo con un individuo, junto con sugerencias para reducir al mínimo la probabilidad de que estos métodos sean exitosos.

1.  Pretextos

image

Un pretexto es el acto de crear y utilizar un escenario inventado (el pretexto) para atacar una víctima específica de una manera que aumenta la posibilidad de que la víctima divulgue información o realice acciones poco probables en circunstancias ordinarias. Es más que una simple mentira, ya que a menudo implica una investigación previa y el uso de información previa para la impostura  (por ejemplo, fecha de nacimiento, número de Seguro Social, balance de cuenta) para establecer la legitimidad en la mente de la víctima.

Esta técnica puede usarse para engañar a una empresa para que revelen información de los clientes, así como por investigadores privados para obtener registros telefónicos, registros de utilidades, registros bancarios y otra información directamente de los representantes de servicio junior de la empresas.

Pretextos también pueden utilizarse para suplantar a los compañeros de trabajo, la policía, bancos, autoridades fiscales, o los investigadores de seguros – o cualquier otra persona que podría reflejar autoridad o el derecho a la información en la mente de la víctima.

2.  Phishing

image

El phishing es una técnica para obtener fraudulentamente información privada. Normalmente, el phisher envía un e-mail que parece provenir de un negocio legítimo – un banco o compañía de tarjeta de crédito – solicitando la “verificación” de información y la alerta de cierta importancia extrema si no se proporciona. El correo electrónico suele contener un enlace a una página web fraudulenta que parece legítimo – con logotipos de la compañía y el contenido – y tiene un formulario de solicitud de todo, desde direcciones postales hasta el PIN de una tarjeta de cajero automático.

3.  IVR o Phone Phishing

image

Esta técnica utiliza un Interactive Voice Response (IVR) para recrear una copia legítima de sonido del IVR de un banco u otra institución. A la víctima se le pide (por lo general a través de un correo electrónico de phishing) para llamar al “banco” a través de un número (lo ideal es gratuito), siempre con el fin de “verificar” su información. Un sistema típico rechazará log-ins de forma continua, garantizando que la víctima entra PINs o contraseñas varias veces, a menudo revelando varias contraseñas diferentes. Los sistemas más avanzados transfieren a la víctima al atacante para hacerse pasar por un agente de servicio al cliente para más interrogatorios.

Incluso se puede grabar los comandos típicos (“Pulse uno para cambiar su contraseña, pulse dos a hablar con el servicio al cliente”…) y reproducir la dirección manualmente en tiempo real, dando la apariencia de ser un IVR sin el gasto.

4.  Baiting

image

Baiting es un Caballo de Troya que utiliza medios físicos y se basa en la curiosidad de la víctima.

En este ataque, el atacante deja un disquete infectado de malware, CD-ROM o una unidad flash USB en un lugar que de seguro será encontrado (ejemplos: baño, ascensor, aceras, estacionamientos), le da un sello de apariencia legítima y que despiertan la curiosidad, y simplemente espera a que la víctima utilice el dispositivo.

Por ejemplo, un atacante podría crear un disco con un logotipo de empresa, y escribir “Resumen Ejecutivo Salario Q2 2010” en el frente. El atacante podría dejar el disco en el piso de un ascensor o en algún lugar en el vestíbulo de la empresa. Un empleado puede posteriormente insertar el disco en una computadora para satisfacer su curiosidad, o un buen samaritano podría encontrarlo y entregarlo a la empresa.

En cualquier caso, como consecuencia de insertar el disco en una computadora para ver el contenido, el usuario sin saberlo, instalaría malware probablemente dando un hacker el acceso sin restricciones a la computadora de la víctima y tal vez, la red interna de la empresa. A menos que los controles de la computadora bloquean la infección, las computadoras configuradas  con “auto-run” puede verse comprometida tan pronto como un disco se inserta.

5.  Suplantación de identidad

image

En esta situación, el autor se hace pasar por otra persona – por ejemplo, hacerse pasar por un alto funcionario de su organización o alguien de su Help Desk. La suplantación de identidad puede ocurrir a través del teléfono, en persona o por correo electrónico. El autor puede tratar de hacer que se sienta obligado a ayudar, o bajo la presión de seguir sus instrucciones. Ellos pueden usar la intimidación o una falsa sensación de urgencia de buscar su colaboración esperando que reacciones antes de que pienses plenamente en las consecuencias.

Recuerde que debe seguir sus procedimientos internos al responder a las solicitudes de información sensible o confidencial. Nunca des tu contraseña a nadie, incluso si dicen ser de “apoyo técnico”. El Help Desk nunca le pedirá su contraseña. Si usted es contactado por alguien que dice ser del Help Desk y le pide su contraseña u otra información confidencial, pregunte por su nombre e informarles de que llamará al número de teléfono del Help Desk para asegurarse de que la solicitud es legítima o que informará el incidente a seguridad.

6.  Piggybacking o Tailgating

image

Con demasiada frecuencia, la gente le abrirá la puerta  para alguien entrar en un área segura o edificio sin saber siquiera quién es el individuo o preguntando a dónde van. El individuo no autorizado puede pretender ser un mensajero, un visitante, o incluso un compañero de trabajo. Tenga cuidado si un individuo desconocido o no autorizado está tratando de seguirlo a través de puertas de acceso. Validar con la persona a quien va a visitar que la visita es autorizada antes de dejar la persona desatendida. En cuanto a un compañero de trabajo desconocido, asegúrese de que tengan una tarjeta de identificación, si es necesario y que utilice en el lector de tarjetas en su caso.

7.  Shoulder Surfing

image

Este escenario se refiere a la capacidad de una persona no autorizada para obtener acceso a la información simplemente observando lo que está escribiendo o ver lo que está en la pantalla de la computadora. Esto se conoce como “shoulder surfing,” y también se puede hacer mirando a través de una ventana, puerta, o simplemente escuchar las conversaciones.

Sea consciente de su ambiente de trabajo y quien está a su alrededor cuando se trabaja con información confidencial, o incluso cuando usted está escribiendo su contraseña. No deje que los demás vean cuando escriba su contraseña y proteja la pantalla de la computadora contra accesos no autorizados. Computadoras en las zonas públicas no deben tener los monitores accesibles a otras personas.

8. Dumpster Diving

image

¿Destruyes todos los documentos confidenciales o sensibles que no sean necesarios? Buscando en la basura (“dumpster diving”) es un método usado para obtener información sensible. Cuando los documentos confidenciales y sensibles ya no son necesarios, asegúrese de destruirlos en conformidad con la política de la organización de retención de records.

¿Cómo Protegerte de Ataques de Ingeniería Social?

image

Los escenarios anteriores representan tan sólo unos pocos tipos de intentos de ingeniería social que puede encontrar. Siguiendo algunas reglas de sentido común y de utilizar su mejor juicio, puede defenderse contra estos ataques y proteger mejor a usted y su información.

1. Antes de divulgar cualquier información a cualquier persona, es esencial establecer al menos: la sensibilidad de la información, su autoridad para intercambiar o divulgar la información, la verdadera identidad del tercero, y el propósito del intercambio.

2. Sea consciente de sus alrededores. Asegúrese de saber quién estar a una distancia en donde pueda escuchar su conversación o ver su trabajo. Pantallas de privacidad para computadora son una gran manera de disuadir el “shoulder surfing” en lugares públicos.

3. Antes de tirar algo a la basura, pregúntese, ¿Es esto algo que le daría a una persona no autorizada o que se haga disponible al público en general? Si usted no está seguro, siempre errar en el lado de la precaución y destruir el documento o depositarlo en un contenedor de destrucción segura.

4. Si no conoce a alguien que se encuentra en una zona restringida, busque su identificación o un pase de visitante. Si no está seguro acerca de su autorización o permiso de acceso, informe la situación al personal adecuado.

image

(Fuerte: Daniel Ferreira-Maldonado)

Posted from WordPress for Android. Of Puerto Rico to the Word.

Advertisements
Categories: Tecnologia, Tips Tags: ,
  1. No comments yet.
  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: