¿Qué es la ingeniería social?
La ingeniería social es la práctica ilegítima de obtener información confidencial y personal, a través de la manipulación, generalmente emocional, de usuarios legítimos.
¿Cómo funciona?
Los ciberdelincuentes emplean estas técnicas, para obtener información, acceso o permisos a sistemas de información, como nombres, direcciones, fechas de nacimiento, preguntas de seguridad para restablecer contraseñas o para recuperar cuentas que requieren esta información muy personal.
Los hackers se basan en el principio de que, en cualquier sistema, los usuarios son el eslabón más débil, y aprovechan la psicología y las emociones humanas para robar datos con éxito. Estas prácticas permiten atacar a personas y organismos y son utilizados en diversas formas de estafa y suplantaciones de identidad.
Todos los ataques de ingeniería social tienen un patrón similar:
-Llamar la atención de una persona
-Proporcionar información que abrume, asuste o incite la ambición del afectado.
-Apelar a las emociones primarias de un usuario, como el miedo o la avaricia.
-Ofrecer instrucciones que ayuden obtener el resultado deseado.
Los ataques de ingeniería social son significativamente más dañinos cuando las partes maliciosas los usan para exponer información personal, para su reventa en la darknet o para la extorsión mediante ransomware.
El phishing
Los profesionales de la seguridad definen el phishing como un intento fraudulento, generalmente por correo electrónico, de robar información haciéndose pasar por alguien que parece confiable. Los ataques de phishing modernos ocurren en todas las plataformas digitales y ocultan malware en sitios web falsos.
Clases de phishing
Email phishing:
El phishing por correo electrónico es aquel que se recibe por e-mail y que asusta al destinatario (amenaza con cancelar su cuenta bancaria, o con publicar fotos íntimas) o suena demasiado bueno para ser verdad (ofrece una tarjeta regalo o una desorbitada cantidad de dinero que alguien necesita ingresar en una cuenta bancaria nacional).
El atacante crea un sitio web falso, incrusta el enlace dentro del texto del correo electrónico para ocultarlo y solicita que el usuario haga clic en el enlace para restablecer la contraseña. Cuando las víctimas hacen clic en ese enlace, el atacante obtiene la contraseña a través del portal de “cambio de contraseña”, instala malware en su ordenador o ambas cosas.
Phishing en redes sociales:
Funciona de manera similar, excepto que en lugar de un correo electrónico, se envía un mensaje privado a una cuenta de redes sociales desde pero una cuenta duplicada o falsa suplantando la de alguien conocido por el usuario.
SMShing:
funciona de la misma forma, pero a través de mensajes de móvil.
Cómo prevenir un ataque de ingeniería social
-Verificar el remitente, comprobando la dirección de correo electronico o el usuario en redes sociales.
-Revisar la dirección de envío, el “Para:”, pasando el cursor sobre el nombre del destinatario resaltado en azul, y comprobar si es su dirección.
-Comprobar que la dirección web o la url no contiene subterfugios (un 0 sustituye a la O, por ejemplo).
-Si el texto parece sospechoso o tiene errores ortográficos, lo mejor es ignorarlo
Y sobre todo nunca haga clic en el enlace.
¿Cómo puede ayudar SecurityScorecard a evitar los ataques de ingeniería social?
El módulo de ingeniería social SecurityScorecard se utiliza para determinar la susceptibilidad potencial de una organización a un ataque de ingeniería social dirigido. El módulo utiliza los datos de redes sociales y violaciones de datos públicos y combina métodos de análisis patentados.
El puntaje de ingeniería social es un indicador informativo calculado en función de la cantidad de indicadores que aparecen en los sensores de recopilación de SecurityScorecard.
Por razones de privacidad, los nombres de usuarios afectados solo son visibles para el administrador de la cuenta de la empresa.
Si quieres más información sobre SecurityScorecard contacta con nosotros o visita nuestra web
No Comments