▷▷Ingeniería social

El método de acceso no autorizado a los recursos de información basado en las características de la psicología humana. 

El objetivo principal de los ingenieros sociales, como otros piratas informáticos y crackers, es obtener acceso a sistemas seguros para robar información, contraseñas, datos de tarjetas de crédito, etc.

La principal diferencia con el ciberataque estándar es que, en este caso, no la máquina, sino su operador es el objeto del ataque. Es por eso que todos los métodos y técnicas de los ingenieros sociales se basan en el uso de las debilidades del factor humano, que se considera extremadamente destructivo, ya que un atacante recibe información, por ejemplo, por medio de una conversación telefónica regular o al penetrar en una organización bajo la apariencia de su empleado. Para protegerse contra los ataques de este tipo, debe conocer los tipos de fraude más comunes, comprender lo que los crackers realmente quieren y organizar una política de seguridad adecuada de manera oportuna. (Wikipedia)

¿Y cómo funciona esto en un ejemplo? Probablemente el método más famoso para robar una contraseña es llamar a la víctima en nombre del administrador del sistema o, por el contrario, al administrador en nombre de algún usuario. La solicitud en ambos casos es la misma: bajo cualquier pretexto para obtener información secreta (en este caso, la contraseña).

Puede verse, por ejemplo, así: “¡Alo, hola! El experto en seguridad Vasya Pupkin está llevando a cabo una conversación explicativa con usted. ¿Recuerdas que nunca, bajo ninguna circunstancia, debes decirle a nadie tu contraseña? ¿Recuerdas que una contraseña debe consistir en una combinación de letras y números? Por cierto, ¿cómo es para ti? … «

Principios y técnicas de ingeniería social: Existen varias técnicas y tipos de ataques comunes que utilizan los ingenieros sociales. Todas estas técnicas se basan en las características de las personas que toman decisiones, conocidas como sesgos cognitivos. Para lograr el resultado, el atacante usa varias tácticas diferentes: haciéndose pasar por una persona diferente, distrayendo la atención, intensificando el estrés psicológico, etc. Los objetivos finales del engaño también pueden ser muy diversos.

1. El phishing es un tipo de fraude en Internet, cuyo propósito es obtener acceso a datos confidenciales de los usuarios: inicios de sesión y contraseñas. El ejemplo más sorprendente de un ataque de phishing puede ser un mensaje enviado a la víctima por correo electrónico y falsificado como una carta oficial, de un banco o sistema de pago, que requiere la verificación de cierta información o ciertas acciones. Las razones se pueden llamar muy diferentes. Esto puede ser pérdida de datos, un colapso en el sistema y más. Dichas cartas generalmente contienen un enlace a una página web falsa, exactamente similar a la oficial, y contienen un formulario que requiere información confidencial.

2. El pretexto es un conjunto de acciones llevadas a cabo de acuerdo con un guión específico preparado previamente (pretexto). Esta técnica y el uso de herramientas de voz como teléfono, Skype, etc. para obtener la información que necesita. Como regla general, pretendiendo ser un tercero o pretendiendo que alguien necesita ayuda, un atacante le pide a la víctima que proporcione una contraseña o inicie sesión en una página web de phishing, lo que le obliga a tomar las medidas necesarias o proporcionar cierta información.

¿Cómo reconocer un ataque de phishing? Casi todos los días hay nuevos esquemas de fraude. La mayoría de las personas pueden aprender a reconocer mensajes fraudulentos por sí mismos al familiarizarse con algunos de sus sellos distintivos. Muy a menudo, los mensajes de phishing contienen:

1. Información de preocupación o amenaza, por ejemplo, el cierre de cuentas bancarias de usuarios. 2. Promesas de un gran premio en efectivo con poco o ningún esfuerzo. 3. Solicitudes de donaciones voluntarias en nombre de organizaciones benéficas. 4. errores gramaticales, de puntuación y de ortografía.

El ataque de phishing más común es «loterías falsas». El usuario puede recibir mensajes que indican que ganó la lotería, que fue realizada por cualquier empresa conocida. Exteriormente, estos mensajes pueden parecer enviados a nombre de uno de los empleados superiores de la corporación.

Hay muchas técnicas de ingeniería social, y no pueden caber en cien. Sé vigilante y cuidadoso;)

Descargo de responsabilidad : este artículo está escrito solo con fines educativos. El autor o editor no publicó este artículo con fines maliciosos. Si los lectores desean utilizar la información para beneficio personal, el autor y el editor no son responsables de ningún daño o daño causado.