suplantación de identidad de ingeniería social

Tipos de ataques de ingeniería social

Lo crea o no, muchos ciberataques modernos no se llevan a cabo con tecnología futurista y habilidades de piratería ultra avanzadas. A menudo, los ciberataques todavía utilizan una buena ingeniería social de moda . La siguiente información detalla los diferentes tipos de ataques de ingeniería social.

Los ataques de phishing son una de las formas más comunes de ataques de ingeniería social. La siguiente imagen muestra un ejemplo de correo electrónico de phishing.

ataque de suplantación de identidad
Un correo electrónico de phishing.

Los ataques de phishing a veces utilizan una técnica llamada pretexto en la que el delincuente que envía el correo electrónico de phishing fabrica una situación que gana la confianza de los objetivos y subraya la supuesta necesidad de que las víctimas previstas actúen rápidamente.

En el correo electrónico de phishing que se muestra, tenga en cuenta que el remitente, haciéndose pasar por el banco Wells Fargo, incluyó un enlace al Wells Fargo real dentro del correo electrónico, pero no pudo disfrazar correctamente la dirección de envío.

Las formas comunes de ataques de ingeniería social incluyen correos electrónicos de spear phishing, smishing, spear smishing, vishing, spear vishing y fraude de CEO.

Suplantación de identidad

La suplantación de identidad se refiere a un intento de convencer a una persona de que realice alguna acción haciéndose pasar por una parte de confianza que razonablemente puede solicitar legítimamente al usuario que realice dicha acción.

Por ejemplo, un delincuente puede enviar un correo electrónico que parece haber sido enviado por un banco importante y que le pide al destinatario que haga clic en un enlace para restablecer su contraseña debido a una posible violación de datos. Cuando el usuario hace clic en el enlace, se le dirige a un sitio web que parece pertenecer al banco, pero en realidad es una réplica administrada por el delincuente.

Como tal, el delincuente utiliza el sitio web fraudulento para recopilar nombres de usuario y contraseñas para el sitio bancario.

Spear phishing

El spear phishing se refiere a los ataques de phishing que están diseñados y enviados para dirigirse a una persona, empresa u organización específicas. Si un delincuente busca obtener credenciales en el sistema de correo electrónico de una empresa específica, por ejemplo, puede enviar correos electrónicos diseñados específicamente para personas específicas dentro de la organización.

A menudo, los delincuentes que lanzan phishing investigan a sus objetivos en línea y aprovechan la información que se comparte en exceso en las redes sociales para crear correos electrónicos que suenen especialmente legítimos.

Por ejemplo, el siguiente tipo de correo electrónico suele ser mucho más convincente que “Inicie sesión en el servidor de correo y restablezca su contraseña”:

“Hola, voy a tomar mi vuelo en diez minutos. ¿Puede iniciar sesión en el servidor de Exchange y comprobar cuándo es mi reunión? Por alguna razón, no puedo ingresar. Puede intentar llamarme por teléfono primero por razones de seguridad, pero, si me extraña, simplemente continúe, verifique la información y envíemela por correo electrónico, ya que sabe que estoy recibiendo en un vuelo que está a punto de despegar “.

Fraude de CEO

El fraude del CEO es un ataque de ingeniería social que es similar al spear phishing en el sentido de que involucra a un criminal que se hace pasar por el CEO u otro ejecutivo senior de una empresa en particular, pero las instrucciones proporcionadas por “el CEO” pueden ser tomar una acción directamente, no inicie sesión en un sistema, y ​​es posible que el objetivo no sea capturar nombres de usuario y contraseñas o similares.

LEER  El costo de conectar su hogar en red

El delincuente, por ejemplo, puede enviar un correo electrónico al director financiero de la empresa indicándole que emita un pago por transferencia a un nuevo proveedor en particular o que envíe todos los formularios W2 de la organización para el año a una dirección de correo electrónico particular que pertenezca al contador de la empresa. .

El fraude de los directores ejecutivos a menudo genera ganancias significativas para los delincuentes y hace que los empleados que caen en las estafas parezcan incompetentes. Como resultado, las personas que son víctimas de este tipo de estafas a menudo son despedidas de sus trabajos.

correo electrónico de ingeniería social
Un correo electrónico fraudulento.

Smishing

Smishing se refiere a casos de phishing en los que los atacantes envían sus mensajes a través de mensajes de texto (SMS) en lugar de correo electrónico. El objetivo puede ser capturar nombres de usuario y contraseñas o engañar al usuario para que instale malware .

Vishing

Vishing , o phishing basado en voz, es phishing a través de POTS, que significa “servicio telefónico simple”. Sí, los delincuentes utilizan métodos antiguos y probados para estafar a las personas. Hoy en día, la mayoría de esas llamadas se transmiten mediante sistemas de voz sobre IP, pero, al final, los estafadores están llamando a las personas a través de teléfonos regulares de la misma manera que lo han estado haciendo durante décadas.

Ballenero

La caza de ballenas se refiere al spear phishing dirigido a ejecutivos de empresas de alto perfil o funcionarios gubernamentales.

Manipulación

A veces, los atacantes no quieren interrumpir las actividades normales de una organización, sino que buscan la ingeniería social explotando esas actividades para obtener ganancias financieras. A menudo, los delincuentes logran tales objetivos manipulando los datos en tránsito o cuando se encuentran en los sistemas de sus objetivos en un proceso conocido como manipulación.

En un caso básico de manipulación de datos en tránsito, por ejemplo, imagine que un usuario de banca en línea ha dado instrucciones a su banco para transferir dinero a una cuenta en particular, pero de alguna manera un delincuente interceptó la solicitud y cambió el número de cuenta y de ruta correspondiente a su propio.

Un delincuente también puede piratear un sistema y manipular información con fines similares. Utilizando el ejemplo anterior, imagine si un delincuente cambia la dirección de pago asociada con un beneficiario en particular para que cuando el departamento de Cuentas por Pagar realice un pago en línea. los fondos se envían al destino equivocado (bueno, al menos es incorrecto a los ojos del pagador).

Otros ataques de ingeniería social

También son populares otros tipos de ataques de ingeniería social:

  • Cebo: un atacante envía un correo electrónico o mensaje de chat, o incluso hace que una publicación en las redes sociales prometa a alguien una recompensa a cambio de realizar alguna acción, por ejemplo, decirle a un objetivo que si completa una encuesta, recibirá un artículo gratis. A veces, esas promesas son reales, pero a menudo no lo son y son simplemente formas de incentivar a alguien a tomar una acción específica que de otra manera no tomaría.
cebo de ingeniería social
Ejemplo de mensaje de cebo.

A veces, estos estafadores buscan el pago de una pequeña tarifa de envío por el premio, a veces distribuyen malware y, a veces, recopilan información confidencial. Incluso hay malware que ceba.

LEER  Los cables de red para su PC

No confunda el cebo con el scambaiting. Esto último se refiere a una forma de vigilantismo en la que las personas fingen ser crédulos, posibles víctimas y desperdician el tiempo y los recursos de los estafadores a través de interacciones repetidas, así como (a veces) recopilan información sobre el estafador que puede ser entregada a la ley. aplicación o publicado en Internet para advertir a otros sobre el estafador.

  • Quid pro quo: el atacante afirma que necesita que la persona realice una acción para prestar un servicio a la víctima prevista. Por ejemplo, un atacante puede hacerse pasar por un administrador de soporte de TI que ofrece asistencia a un empleado para instalar una nueva actualización de software de seguridad. Si el empleado coopera, el criminal lo guía a través del proceso de instalación de malware.
  • Suplantación de identidad en las redes sociales : algunos atacantes se hacen pasar por personas en las redes sociales para establecer conexiones en las redes sociales con sus víctimas. Las partes suplantadas pueden ser personas reales o entidades inexistentes. Los estafadores detrás de la suplantación de identidad a continuación y muchas otras cuentas similares con frecuencia se comunican con las personas que siguen las cuentas, pretendiendo ser el autor, y solicitan que los seguidores realicen varias “inversiones”.

    suplantación de identidad de ingeniería social
    Un ejemplo de una cuenta de Instagram que se hace pasar por un autor, usando su nombre, biografía y principalmente fotos tomadas de su cuenta real de Instagram.
  • Correos electrónicos tentadores: estos correos electrónicos intentan engañar a las personas para que ejecuten malware o hagan clic en enlaces envenenados mediante la explotación de su curiosidad, deseos sexuales y otras características.
  • Tailgating: Tailgating es una forma física de ataque de ingeniería social en la que el atacante acompaña al personal autorizado cuando se acercan a una puerta que ellos, pero no el atacante, está autorizado a pasar y los engaña para que lo dejen pasar con el personal autorizado. El atacante puede fingir estar buscando en un bolso una tarjeta de acceso, afirmar haber olvidado su tarjeta o simplemente actuar socialmente y seguir a la parte autorizada.
  • Falsas alarmas: Generar falsas alarmas también puede hacer que las personas de ingeniería social permitan que personas no autorizadas hagan cosas que no se les debería permitir. Considere el caso en el que un atacante activa la alarma de incendio dentro de un edificio y logra ingresar a áreas normalmente aseguradas a través de una puerta de emergencia que otra persona usó para salir rápidamente debido a la llamada emergencia.
  • Water holing: Water holing combina la piratería y la ingeniería social al explotar el hecho de que las personas confían en ciertas partes , por lo que, por ejemplo, pueden hacer clic en enlaces cuando ven el sitio web de esa parte, incluso si nunca harían clic en enlaces en un correo electrónico o mensaje de texto. . Los delincuentes pueden lanzar un ataque de abrevadero al violar el sitio relevante e insertar los enlaces envenenados en él (o incluso depositar malware directamente en él).
  • Engaños de virus: los delincuentes aprovechan el hecho de que las personas están preocupadas por la ciberseguridad y probablemente presten una atención inmerecida a los mensajes que reciben de advertencia sobre un peligro cibernético. Los correos electrónicos de engaño de virus pueden contener enlaces envenenados, indicar a un usuario que descargue software o indicarle que se comunique con el soporte de TI a través de alguna dirección de correo electrónico o página web. Estos ataques vienen en muchas formas: algunos los distribuyen como correos electrónicos masivos, mientras que otros los envían de manera muy específica.
LEER  Hardware de red inalámbrica en Windows 8

Algunas personas consideran que el scareware que asusta a los usuarios haciéndoles creer que necesitan comprar algún software de seguridad en particular es una forma de engaño de virus. Otros no lo hacen porque el “espanto” del scareware es causado por un malware que ya está instalado, no por un mensaje falso que pretende que el malware ya está instalado.

  • Fallos técnicos: los delincuentes pueden explotar fácilmente la molestia de los humanos con los problemas tecnológicos para socavar varias tecnologías de seguridad.

Por ejemplo, si un delincuente que se hace pasar por un sitio web que normalmente muestra una imagen de seguridad en un área en particular coloca un “símbolo de imagen rota” en la misma área del sitio web clonado, muchos usuarios no percibirán el peligro, ya que están acostumbrados a verlo roto. símbolos de imagen y asociarlos con fallas técnicas en lugar de riesgos de seguridad.

6 principios que explotan los ingenieros sociales

El psicólogo social Robert Beno Cialdini, en su trabajo de 1984 publicado por HarperCollins, Influence: The Psychology of Persuasion, explica seis conceptos básicos importantes que las personas que buscan influir en otros a menudo aprovechan. Los ingenieros sociales que buscan engañar a las personas a menudo explotan estos mismos seis principios, por lo que aquí hay una descripción general rápida de ellos en el contexto de la seguridad de la información .

La siguiente lista le ayuda a comprender e internalizar los métodos que probablemente utilizarán los ingenieros sociales para tratar de ganarse su confianza:

  • Prueba social: las personas tienden a hacer cosas que ven que hacen otras personas.
  • Reciprocidad: la gente, en general, a menudo cree que si alguien hizo algo bueno por ellos, le deben a esa persona hacer algo bueno a cambio.
  • Autoridad: Las personas tienden a obedecer a las figuras de autoridad, incluso cuando no están de acuerdo con las figuras de autoridad e incluso cuando piensan que lo que se les pide que hagan es objetable.
  • Simpatía: las personas, en general, son más fáciles de persuadir por las personas que les gustan que por otras.
  • Coherencia y compromiso: si las personas se comprometen a lograr algún objetivo e internalizan ese compromiso, se convierte en parte de su propia imagen y es probable que intenten
  • Escasez: si la gente piensa que un recurso en particular es escaso, independientemente de si realmente es escaso, lo querrán, incluso si no lo necesitan.

Es importante capacitar a los usuarios finales para que reconozcan los ataques de ingeniería social para ayudar a proteger su organización y garantizar prácticas efectivas de ciberseguridad.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *