Ingeniería social: una hoja de trucos para profesionales de negocios


Las personas, como las computadoras, pueden ser pirateadas mediante un proceso llamado ingeniería social, y existe una buena posibilidad de que un ataque de ciberseguridad en su organización pueda comenzar con esta técnica.

Llamada telefónica desde un número desconocido a altas horas de la noche. Estafa, fraude o phishing con el concepto de teléfono inteligente. Broma llamante, estafador o extraño. Hombre respondiendo a la llamada entrante.

Imagen: Tero Vesalainen, Getty Visuals / iStockphoto

No operamos como computadoras: solo hacen lo que se les dice, ejecutan tareas basadas en un conjunto de instrucciones, sin la capacidad de evaluar críticamente la honestidad o la buena fe de la persona que hace la aportación. Al menos, eso es lo que creemos que es diferente sobre nosotros y las máquinas.

Pero ese no es el caso en absoluto: nosotros, los humanos, a pesar de nuestra inteligencia y capacidad de hacer juicios críticos, también somos propensos a tomar nuestras instrucciones al pie de la letra sin tener en cuenta la honestidad de la persona que nos pide que hagamos algo. Los hackers han aprendido esto y lo convirtieron en un proceso llamado ingeniería social.

Esta táctica de piratería humana no es nada nuevo: Los estafadores han estado realizando trucos de ingeniería social durante siglos. En la era de los delitos cibernéticos y las estafas en línea, la ingeniería social se ha vuelto mucho más amenazante: los estafadores ahora pueden acercarse y engañarlo sin tener que decir una palabra, y se está convirtiendo en uno de los métodos preferidos para obtener acceso ilícito a sistemas seguros.

VER: Conciencia de seguridad y política de capacitación (TechRepublic Top quality)

¿Qué es la ingeniería social?

La consultora de seguridad Social Engineer, Inc., outline la ingeniería social en términos increíblemente básicos y amplios: «Cualquier acto que influye en una persona para tomar una acción que puede ser o no en su mejor interés».

Esa definición puede parecer basic, pero eso se debe a que los ataques de ingeniería social adoptan múltiples formas, tanto usando una computadora como en el mundo físico. Con la definición anterior en mente, se hace evidente que casi todos los incidentes de seguridad comienzan con al menos algún tipo de ingeniería social.

  • Los ataques de phishing intentan que los usuarios desprevenidos hagan clic en un enlace, descarguen un archivo o respondan con detalles personales.
  • La suplantación de identidad o «vishing» del teléfono puede implicar que un estafador lo llame o que un estafador realice la llamada en un intento de obtener información de identificación private o restablecer una contraseña.
  • Los ataques de cebo implican explotar la curiosidad de alguien para llevarlo a algo que un atacante quiere, como enchufar una memoria USB encontrada que luego inyecta malware en una red.
  • Pretexting, llamado no por enviar un mensaje SMS sino por el acto de presentarse con un pretexto falso, involucra cosas como vestirse con un uniforme de servicio de entrega para pasar a escondidas a los guardias, o «caminar enérgicamente y llevar un portapapeles».
  • La suplantación de SMS también se puede utilizar para convencer a los usuarios de teléfonos inteligentes de que llamen a un número configurado para recolectar datos, robar información de la cuenta bancaria, etc.

Todas estas técnicas presentan un frente falso que convence a alguien de hacer algo, sin darse cuenta, en contra de sus mejores intereses.

Los ingenieros sociales tampoco necesitan ser informáticos: es completamente posible ser un ingeniero social exitoso Si tiene un ingenio rápido, buenas habilidades blandas, habilidades de pensamiento crítico, puede pensar como un tipo malo y hacer una buena investigación.

Los hackers, probadores de penetración, héroes de acción ficticios, espías y estafadores utilizan la ingeniería social. Incluso las personas bien intencionadas socialmente diseñan situaciones para lograr objetivos positivos por ejemplo, supongo que cualquier persona con un hijo ha fallado para que su hijo haga lo que quiere.

En términos de ciberseguridad, la ingeniería social puede costar a las empresas reputación, a los gobiernos sus secretos y a las personas cientos de miles de dólares.

Recursos adicionales:

¿Cuáles son ejemplos del mundo actual de ataques de ingeniería social?

Abundan los ejemplos reales de ataques exitosos de ingeniería social, y podemos adentrarnos en la historia para encontrar ejemplos de trucos reales de ingeniería social, como los perpetuados por Victor Lustig, que se hizo pasar por un funcionario francés y vendió con éxito la Torre Eiffel como chatarra, varias veces.

Pero no hay necesidad de volver a la period analógica para encontrar ejemplos de trucos de ingeniería social exitosamente ejecutados: hay mucho para elegir.

  • A fines de febrero de 2020, una parte desconocida engañó exitosamente a la inversionista de Shark Tank Barbara Corcoran casi $ 400,000 enviando un correo electrónico de phishing con una factura de renovación falsa utilizando un correo electrónico casi idéntico al de su asistente.
  • Las campañas de spear phishing contra el Comité Nacional Demócrata y la Fundación Clinton se llevaron gran cantidad de documentos que pueden haber influido en las elecciones presidenciales de 2016, muchos robados al hacerse pasar por funcionarios de Gmail y pedirles a las personas seleccionadas que restablezcan sus contraseñas mediante un enlace malicioso.
  • Una filial europea de Toyota fue estafada por más de $ 37 millones de dólares a través de un ataque BEC eso resultó en cambios en los detalles bancarios y en el envío de depósitos masivos a cibercriminales.
  • En 2015, un niño británico de 15 años. se abrió camino con éxito en las cuentas del jefe de la CIA John Brennan, el director del FBI Mark Giuliano y el secretario de Seguridad Nacional de Estados Unidos, Jeh Johnson, robando documentos del gobierno, restableciendo iPads personales y mostrando mensajes burlones en la televisión hogareña de Johnson.
  • Un par de investigadores de seguridad crearon un personaje falso en línea llamado Emily Williams, y con esto logró ingresar a las redes gubernamentales, obtener acceso a una computadora portátil de propiedad corporativa y tener acceso a VPN y otros recursos seguros.

Estos son solo algunos ejemplos de ataques de ingeniería social contra objetivos reales que tuvieron consecuencias reales, y hay muchos más de donde provienen.

Una búsqueda rápida en Google le proporcionará docenas de historias sobre ataques exitosos de ingeniería social, y con una buena razón: un estimado El 98% de los ciberataques se lanzan utilizando ingeniería social, lo que lo convierte en una amenaza mucho mayor que la focalización directa de exploits por parte de hackers

Recursos adicionales:

¿Quién está en riesgo de sufrir un ataque de ingeniería social?

No hay dos formas de hacerlo: todos corren el riesgo de ser atacados por un ataque de ingeniería social, y esos ataques son cada vez más exitosos. Los números de la firma de investigación de seguridad CyberEdge indican que más ataques están teniendo éxito año tras año, hasta 78% en 2019.

La ingeniería social es exitosa porque es muy insidiosa. Se aprovecha del deseo de las personas de ayudar, o de la confianza inherente otorgada cuando un correo electrónico proviene de alguien que se percibe como un supervisor, funcionario del gobierno u otra figura de autoridad.

VER: Todas las hojas de trucos y guías inteligentes de TechRepublic

Los ataques de ingeniería social adoptan una variedad de formas, como correos electrónicos de phishing, sitios world wide web acuáticos que imitan páginas legítimas y ataques de baja tecnología como llamar a un servicio de asistencia y engañarlos para que restablezcan la contraseña de un usuario.

Si tiene acceso a un sistema seguro, es un objetivo potencial.

Si trabaja a la vista del público, se conoce su nombre y se puede encontrar fácilmente su información de contacto, es un objetivo potencial.

Si eres rico, eres un objetivo potencial.

Si trabaja en una mesa de ayuda o en un centro de llamadas, es un objetivo potencial.

Si tiene algún tipo de información own bloqueada detrás de una contraseña en Net, es un objetivo potencial.

En resumen, un ingeniero social puede apuntar a todos, ya sea que se ajuste a una de las categorías anteriores o no. Si forma parte de nuestro mundo moderno conectado a Web, debe estar atento a los ingenieros sociales, en persona, por teléfono y a través de formas digitales indirectas de comunicación.

Recursos adicionales:

¿Cómo puedo protegerme contra los ataques de ingeniería social?

Hay muchos ángulos diferentes que los ataques de ingeniería social pueden tomar, por lo que hay varias cosas que las personas y las organizaciones deben hacer para protegerse.

Tenga en cuenta qué información pone a disposición

Muchos de los ataques de ingeniería social dependen de saber algo sobre el objetivo previsto, y ¿dónde es mejor recopilar esa información que en las redes sociales?

La principal hacker de IBM, Stephanie Carruthers, advierte contra publicar información confidencial en espacios públicos: «Piensa en lo que estás publicando. ¿Realmente necesitas decirles a todos que te vas de vacaciones?»

Algo tan aparentemente inocuo como publicar una foto de la fiesta de cumpleaños de su hijo le da al ingeniero social varios intentos de preguntas de seguridad, intentos de PIN y adivinanzas de contraseña. Ir de vacaciones, hablar sobre libros y películas favoritas, discutir dónde conoció a un compañero: todas estas cosas son información que está dando libremente a los atacantes cuando publica públicamente en línea.

Para estar seguro, asegúrese de que su perfil esté desprovisto de este tipo de información y diseñado para ser público, o bloqueado para que los extraños no puedan ver lo que usted no quiere.

Carruthers también aconseja a las personas que consulten los sitios world-wide-web para obtener información particular que pueda estar disponible públicamente, como direcciones, números de teléfono, and so forth., y soliciten que se elimine. Además, suscríbase a sitios web como hasibeenpwned, que recopila datos de infracciones en un formato de búsqueda y notifica a los usuarios cuando su información se descubre en línea.

Haga todo lo posible para asegurarse de que su información individual no esté disponible, y para estar más seguro, asegúrese de no estar utilizando información fácil de adivinar como contraseñas, preguntas de seguridad o recordatorios de contraseñas.

Eduque a sus usuarios

Los departamentos de TI deben asegurarse de que existan filtros de correo electrónico para bloquear el correo no deseado y los intentos de phishing, y todos los empleados deben estar capacitados para reconocer el phishing y otras formas de ingeniería social. Asegúrese de que las personas sepan qué banderas rojas deben vigilar, especialmente si están en condiciones de interactuar con potenciales ingenieros sociales.

Los usuarios deben estar capacitados para interrogar a cualquier persona que no reconozcan, y para que se les pregunte si se encuentran en un área a la que generalmente no van preguntar o ser cuestionado puede ser incómodo, pero es mejor exigir respuestas y conocer un compañero de trabajo que ser responsable de dejar que un hacker entre por la puerta principal.

Poner buenas políticas en su lugar

Establezca políticas que dificulten la entrada de un ingeniero social, electronic o físicamente. Asegúrese de que las contraseñas sean largas y complicadas, obligue a los usuarios a cambiar las contraseñas de manera frequent, requiera autenticación de dos factores, impida a los usuarios hacer ciertas cosas mientras están fuera de la oficina y garantice un command estricto de las herramientas de acceso físico, como tarjetas RFID y códigos de acceso.

También es una buena thought considerar contratar una empresa de seguridad para realizar una auditoría de ingeniería social de su organización. Una auditoría puede decirle si está preparado para un ataque, dónde están sus puntos débiles y cómo protegerse contra los ingenieros sociales que realmente quieren hacerle daño.

Puede parecer insuperable cuando se enfrenta a posibles llamadas telefónicas fraudulentas, correos electrónicos de phishing, personas que hablan suavemente y atacantes disfrazados, pero no lo es: solo se necesita saber qué información confidencial es, controlar cómo se comparte y estar atento cuando algo no está &#39 Muy bien.

Estas estrategias no eliminarán sus posibilidades de ser una víctima de la ingeniería social. No para ser un apocalíptico, pero no hay nada que realmente pueda evitar que un ingeniero social determinado y calificado.

Al poner todas las barreras de entrada posibles, puede mitigar significativamente sus posibilidades de ser una víctima: piense en luchar contra la ingeniería social menos como tapar todos los agujeros posibles, y más como hacer que un ataque sea más molesto de lo que vale. Siempre hay otra marca allá afuera, y es trabajo de todos asegurarse de que ellos, sus amigos y sus compañeros de trabajo no se dejen engañar.

Recursos adicionales:



Enlace a la noticia initial