Què és Enginyeria social? 11 exemples a tenir en compte
Taula de continguts
Què és exactament l'Enginyeria Social, de totes maneres?
L'enginyeria social es refereix a l'acte de manipular persones per extreure la seva informació confidencial. El tipus d'informació que busquen els delinqüents pot variar. Normalment, les persones s'orienten a les seves dades bancàries o a les contrasenyes del seu compte. Els delinqüents també intenten accedir a l'ordinador de la víctima per instal·lar programari maliciós. Aquest programari els ajuda a extreure qualsevol informació que puguin necessitar.
Els delinqüents utilitzen tàctiques d'enginyeria social perquè sovint és fàcil explotar una persona guanyant-se la seva confiança i convèncer-la perquè renunciï a les seves dades personals. És una manera més còmoda que piratejar directament l'ordinador d'algú sense el seu coneixement.
Exemples d'enginyeria social
Podràs protegir-te millor informant-te de les diferents maneres en què es fa l'enginyeria social.
1. Pretexting
El pretext s'utilitza quan el criminal vol accedir a informació sensible de la víctima per realitzar una tasca crítica. L'atacant intenta obtenir la informació mitjançant diverses mentides elaborades amb cura.
El delinqüent comença establint confiança amb la víctima. Això es pot fer fent passar la identitat dels seus amics, col·legues, funcionaris bancaris, policia o altres autoritats que puguin demanar aquesta informació sensible. L'atacant els fa una sèrie de preguntes amb el pretext de confirmar la seva identitat i recopila dades personals en aquest procés.
Aquest mètode s'utilitza per extreure tot tipus de dades personals i oficials d'una persona. Aquesta informació pot incloure adreces personals, números de seguretat social, números de telèfon, registres telefònics, dades bancàries, dates de vacances del personal, informació de seguretat relacionada amb les empreses, etc.
2. Robatori de desviació
Aquest és un tipus d'estafa que generalment s'adreça a empreses de missatgeria i transport. El delinqüent intenta enganyar l'empresa objectiu fent-li proporcionar el seu paquet de lliurament a un lloc de lliurament diferent de l'originalment previst. Aquesta tècnica s'utilitza per robar béns preciosos que s'envien per correu.
Aquesta estafa es pot dur a terme tant fora de línia com en línia. Es pot acostar al personal que porta els paquets i es pot convèncer perquè deixi el lliurament en un lloc diferent. Els atacants també poden accedir al sistema de lliurament en línia. A continuació, poden interceptar el calendari de lliurament i fer-hi modificacions.
3. phishing
El phishing és una de les formes més populars d'enginyeria social. Les estafes de pesca impliquen missatges de correu electrònic i de text que poden generar una sensació de curiositat, por o urgència a les víctimes. El text o el correu electrònic els instiga a fer clic als enllaços que conduirien a llocs web o fitxers adjunts maliciosos que instal·larien programari maliciós als seus dispositius.
Per exemple, els usuaris d'un servei en línia poden rebre un correu electrònic en què s'afirma que hi ha hagut un canvi de política que els obliga a canviar les seves contrasenyes immediatament. El correu contindrà un enllaç a un lloc web il·legal que és idèntic al lloc web original. A continuació, l'usuari introduirà les credencials del seu compte en aquest lloc web, considerant que és el legítim. En enviar les seves dades, la informació serà accessible per al delinqüent.
4. Spear Phishing
Aquest és un tipus d'estafa de pesca que s'adreça més a una persona o una organització en particular. L'atacant personalitza els seus missatges en funció dels llocs de treball, les característiques i els contractes relacionats amb la víctima, de manera que semblin més autèntics. La pesca amb llança requereix més esforç per part del criminal i pot trigar molt més temps que la pesca habitual. Tanmateix, són més difícils d'identificar i tenen una millor taxa d'èxit.
Per exemple, un atacant que intenti phishing a una organització enviarà un correu electrònic a un empleat que suplanta la identitat del consultor informàtic de l'empresa. El correu electrònic s'emmarcarà d'una manera exactament semblant a com ho fa el consultor. Semblarà prou autèntic com per enganyar el destinatari. El correu electrònic demanarà a l'empleat que canviï la seva contrasenya proporcionant-li un enllaç a una pàgina web maliciosa que enregistrarà la seva informació i l'enviarà a l'atacant.
5. Water-Holing
L'estafa de l'aigua s'aprofita de llocs web de confiança que són visitats regularment per molta gent. El criminal recopilarà informació sobre un grup objectiu de persones per determinar quins llocs web visiten amb freqüència. A continuació, es provaran aquests llocs web per detectar vulnerabilitats. Amb el temps, un o més membres d'aquest grup s'infectaran. Aleshores, l'atacant podrà accedir al sistema segur d'aquests usuaris infectats.
El nom prové de l'analogia de com els animals beuen aigua reunint-se als seus llocs de confiança quan tenen set. No s'ho pensin dues vegades a l'hora de prendre precaucions. Els depredadors en són conscients, així que esperen a prop, disposats a atacar-los quan la guàrdia baixi. L'abocament en el paisatge digital es pot utilitzar per fer alguns dels atacs més devastadors a un grup d'usuaris vulnerables alhora.
6. Esquer
Com es desprèn del nom, l'esquer implica l'ús d'una promesa falsa per provocar la curiositat o la cobdícia de la víctima. La víctima és atraïda a una trampa digital que ajudarà el criminal a robar les seves dades personals o instal·lar programari maliciós als seus sistemes.
L'esquer pot tenir lloc tant a través de mitjans en línia com fora de línia. Com a exemple fora de línia, el criminal podria deixar l'esquer en forma d'una unitat flaix que ha estat infectada amb programari maliciós en llocs visibles. Aquest podria ser l'ascensor, el bany, l'aparcament, etc., de l'empresa objectiu. La unitat flaix tindrà un aspecte autèntic, cosa que farà que la víctima l'agafi i l'insereixi a l'ordinador de la feina o de casa. Aleshores, la unitat flaix exportarà automàticament programari maliciós al sistema.
Les formes d'esquer en línia poden tenir la forma d'anuncis atractius i atractius que animarien les víctimes a fer-hi clic. L'enllaç pot descarregar programes maliciosos, que després infectaran el seu ordinador amb programari maliciós.
7. Quid Pro Quo
Un atac quid pro quo significa un atac "alguna cosa per alguna cosa". És una variació de la tècnica d'esquer. En lloc d'enganxar les víctimes amb la promesa d'un benefici, un atac contrapartida promet un servei si s'ha executat una acció específica. L'atacant ofereix un benefici fals a la víctima a canvi d'accés o informació.
La forma més comuna d'aquest atac és quan un criminal es fa passar per un personal informàtic d'una empresa. Aleshores, el criminal es posa en contacte amb els empleats de l'empresa i els ofereix un nou programari o una actualització del sistema. Aleshores, se li demanarà a l'empleat que desactivi el seu programari antivirus o que instal·li programari maliciós si vol l'actualització.
8. Tailgating
Un atac de tailgating també s'anomena piggybacking. Implica el delinqüent que busca l'entrada dins d'un lloc restringit que no té les mesures d'autenticació adequades. El delinqüent pot accedir caminant darrere d'una altra persona autoritzada per entrar a la zona.
Per exemple, el delinqüent pot suplantar un repartidor que té les mans plenes de paquets. Espera que un empleat autoritzat entri per la porta. Aleshores, el repartidor impostor demana a l'empleat que li atingui la porta, deixant-li així accedir sense cap autorització.
9. Trampa de mel
Aquest truc implica que el criminal es fa veure que és una persona atractiva en línia. La persona es fa amistat amb els seus objectius i simula una relació en línia amb ells. Aleshores, el criminal aprofita aquesta relació per extreure les dades personals de les seves víctimes, demanar-los diners en préstec o fer-los instal·lar programari maliciós als seus ordinadors.
El nom "trampa de mel" prové de les antigues tàctiques d'espionatge on les dones s'utilitzaven per apuntar als homes.
10. canalla
El programari delinqüent pot aparèixer en forma d'anti-programari maliciós, escàner delinqüent, programari d'espantall, anti-programari espia, etc. Aquest tipus de programari maliciós enganya els usuaris perquè paguin per un programari simulat o fals que prometia eliminar el programari maliciós. El programari de seguretat canalla s'ha convertit en una preocupació creixent en els últims anys. Un usuari desprevingut pot caure fàcilment presa d'aquest programari, que està disponible en abundància.
11. Programari maliciós
L'objectiu d'un atac de programari maliciós és aconseguir que la víctima instal·li programari maliciós als seus sistemes. L'atacant manipula les emocions humanes per fer que la víctima permeti que el programari maliciós entri als seus ordinadors. Aquesta tècnica implica l'ús de missatges instantanis, missatges de text, xarxes socials, correu electrònic, etc., per enviar missatges de pesca. Aquests missatges enganyen la víctima perquè faci clic en un enllaç que obrirà un lloc web que conté el programari maliciós.
Sovint s'utilitzen tàctiques de por per als missatges. Podrien dir que hi ha alguna cosa malament amb el vostre compte i que heu de fer clic immediatament a l'enllaç proporcionat per iniciar sessió al vostre compte. L'enllaç us farà baixar un fitxer mitjançant el qual s'instal·larà el programari maliciós al vostre ordinador.
Estigueu atents, estigueu segurs
Mantenir-se informat és el primer pas per protegir-se atacs d'enginyeria social. Un consell bàsic és ignorar els missatges que demanen la vostra contrasenya o informació financera. Podeu utilitzar els filtres de correu brossa que inclouen els vostres serveis de correu electrònic per marcar aquests correus electrònics. Obtenir un programari antivirus de confiança també ajudarà a protegir encara més el vostre sistema.
