Hogar › Servicios › Métodos de ingeniería social. Ingeniería social

Métodos de ingeniería social. Ingeniería social

Mentir es toda una tecnología llamada “Ingeniería Social”. Las mentiras de alta calidad son una parte integral de la "Ingeniería Social", sin cuyo uso en las condiciones modernas ni un solo ladrón, tanto principiante como experimentado, puede prescindir.

Hay diferentes tipos de hackers: hacker de estaciones de trabajo, hacker de servidores, hacker de redes informáticas, hacker de redes telefónicas, hacker ( portero) solo el cerebro, etc. - y todos ellos utilizan la "Ingeniería Social" como una herramienta auxiliar o simplemente una mentira, sobre la cual se construye básicamente la "Ingeniería Social", y de hecho la mayor parte de la vida de toda la humanidad.

De niños nos enseñaron que es imposible mentir. A nadie le importa. Sin embargo, como suele suceder, la vida tacha todas las lecciones de la escuela y nos recuerda persistentemente que sin mentiras no hay aquí ni allá: "Si no mientes, no vivirás". Los mejores mentirosos mienten, sorprendentemente, a veces y casi nunca lo admiten. Hablaremos de otros secretos del arte de mentir en este artículo.

Las mentiras impregnan casi todas las esferas de la vida humana, incluida la religión, y los inquietos investigadores británicos de todo el mundo y sus galaxias adyacentes añaden también: “¡Resulta que cada persona miente aproximadamente más de 88 mil veces en su vida! "

La lista de las mentiras más populares, por supuesto, incluye las más trilladas: "No hay dinero, ahora estoy arruinado", "Me alegro mucho de verte", "Te llamaremos de nuevo", y “Muchas gracias, realmente estoy muy feliz”. como ". Resulta que todo el mundo miente, a todo el mundo, siempre. Pero algunas personas mienten maravillosamente, divirtiendo a quienes las rodean y haciéndoles la vida más fácil, mientras que otras no mienten en absoluto, provocando dolor y sufrimiento a todos los que las rodean.

Entonces, ¿cómo puedes aprender a “empolvar tu cerebro” de forma sencilla, segura y hermosa ( colgarse fideos en las orejas, provocar una tormenta de nieve, engañar)? Este oficio, como cualquier otro, tiene sus propias leyes y secretos no escritos.

“El profesor, claro, es un imbécil, pero el equipo está con él, con él. ¿Cómo puedes oír? »

Las mentiras grandes y pequeñas requieren una actitud igualmente escrupulosa.

Ésta es una de las reglas básicas que el próximo maestro de la mentira debe memorizar. Cada una de tus mentiras, independientemente de su significado, habrá que recordarla para siempre y las mentiras posteriores deberán construirse teniendo en cuenta la anterior. Sin embargo, algunos pueden pensar que basta con recordar la mentira más básica, y que una mentira basada en formalidades menores no es digna de memorizar. Así es como, por regla general, arden los mentirosos sin experiencia: después de haber acumulado una montaña de mentiras, olvidan quién, cuándo y cómo se "peinaron".

Por eso te esfuerzas en recordar cada mentira, incluso la más pequeña. Y como la memoria humana no es infinita y ciertamente no podrás recordar todos tus “gonilovo”, de esta conclusión se desprende la regla básica: miente lo menos posible, en mi humilde opinión, esa es la única manera de lograr credibilidad.

Arena en los ojos, fideos en los oídos.

Un verdadero maestro (persecudor) de la mentira es como un torero español, que desenvaina su espada sólo en el momento más decisivo y asesta un solo golpe. El resto del tiempo, distrae hábilmente a la víctima con la ayuda de hábiles manipulaciones de su capa roja. Al colgar fideos en las orejas, se utilizan métodos similares, y cambiar hábilmente la atención del interlocutor a otro objeto o cambiar el tema de conversación de vez en cuando lo libera por completo de la necesidad de mentir. Piense de antemano en su estrategia de comportamiento para no tener que ahuyentar ninguna tormenta de nieve. ¡Pero cuidado con no exagerar, porque un uso inadecuado de la muleta puede costarle la vida al torero!

Difícil en la escuela, fácil en el trabajo.

Cualquier profesión requiere formación práctica, y en una profesión como la de mentiroso, definitivamente no se puede prescindir de la práctica. Pero como practicar con personas vivas es muy inhumano, practicaremos con nosotros mismos. Pongámonos frente al espejo y repitamos nuestras mentiras hasta que empiecen a verse completamente naturales. Lo ideal sería convencernos de la verdad de nuestras mentiras. Un engaño impecable es aquel en el que nosotros mismos creemos.

Y yo no soy yo, y las tonterías no son mías

Si se sospecha que usted está mintiendo, lo peor que puede hacer en tal situación es comenzar a justificarse y comenzar a inventar más y más mentiras nuevas. Cuando la casa comienza a temblar, debes escapar de ella lo antes posible y no agregar pisos adicionales con urgencia. Por eso es necesario responder a cualquier acusación con un silencio ofendido y orgulloso, o pasar a otro tema.

En cuanto a la “entrega voluntaria al cautiverio anal”, dicha entrega equivale a un disparo directo en la sien. A menudo hay circunstancias en las que la verdad es igualmente perjudicial para ambas partes y la otra parte, a pesar de sus acusaciones de mentira, como el propio mentiroso, no querría escucharla. No retrocedas ni te rindas, incluso cuando estés literalmente empujado contra la pared. Sigue tu línea contra la confirmación, la lógica y el sentido común ( No hay tropas nuestras en Crimea: todo esto es autodefensa del pueblo.).

Solo tu y solo yo

Puedes pensar en una estrategia de comportamiento para muchos pasos por delante, puedes practicar brillantes habilidades de actuación cerca del espejo y practicar las entonaciones veraces de una conversación, inventar una excusa, proporcionarte testigos, rutas de escape y una segunda línea de defensa. .

Pero familiares y amigos aún pueden descubrir la verdad. Esto no admite explicación científica, porque no creemos en cosas como “lo soñé” o “lo siento en mi corazón”... “que eres un puto mentiroso de ciencia ficción”. Digámoslo de otra manera, entre algunas personas se puede establecer una especie de conexión psicofisiológica no verbal (astral), gracias a la cual inconscientemente sienten las más mínimas modificaciones del estado de cada uno. Por eso es preferible ni siquiera intentar mentir a familiares y amigos.

Ingeniería social — acceso no autorizado a información confidencial mediante la manipulación de la conciencia de una persona. Los métodos de ingeniería social se basan en las peculiaridades de la psicología y tienen como objetivo explotar las debilidades humanas (ingenuidad, falta de atención, curiosidad, intereses comerciales). Los hackers sociales los utilizan activamente tanto en Internet como fuera de ella.

Sin embargo, en lo que respecta a las tecnologías digitales, los recursos web, las computadoras y los teléfonos inteligentes, la "niebla mental" de los usuarios de la red ocurre de manera algo diferente. Los estafadores colocan trampas, trampas y otros trucos en cualquier lugar y de cualquier manera: en las redes sociales, en los portales de juegos, en las bandejas de entrada del correo electrónico y en los servicios en línea. Éstos son sólo algunos ejemplos de métodos de ingeniería social:

Como regalo navideño... un caballo de Troya

Independientemente de su carácter, profesión, solvencia económica, todo el mundo espera con ansias las fiestas: Año Nuevo, 1 de mayo, 8 de marzo, Día de San Valentín, etc., para, por supuesto, celebrarlas, relajarse, llenar de positividad su aura espiritual. y, al mismo tiempo, intercambia felicitaciones con tus amigos y camaradas.

En este momento, los hackers sociales están especialmente activos. Los días festivos y festivos envían postales a las cuentas de servicios de correo electrónico: luminosas, coloridas, con música y... un peligroso virus troyano. La víctima, sin saber nada de tal engaño, en medio de la euforia de la diversión o, simplemente, de la curiosidad, hace clic en la postal. Al mismo tiempo, el malware infecta el sistema operativo y luego espera el momento adecuado para robar datos de registro, un número de tarjeta de pago o reemplazar la página web de la tienda en línea en el navegador por una falsa y robar dinero de la cuenta.

Descuento favorable y virus “cargado”

Un gran ejemplo de ingeniería social. El deseo de "ahorrar" el dinero que tanto le costó ganar está completamente justificado y es comprensible, pero dentro de límites razonables y en determinadas circunstancias. Se trata de "no es oro todo lo que brilla".

Los estafadores, disfrazados de las mayores marcas, tiendas y servicios online, con un diseño adecuado, ofrecen comprar productos con un descuento increíble y, además de la compra, recibir un regalo... Hacen boletines informativos falsos, crean grupos en las redes sociales y “hilos” temáticos en foros.

La gente común e ingenua, como dicen, se deja "guiar" por este brillante cartel comercial: a toda prisa cuentan mentalmente cuánto queda de su salario, pago por adelantado y hacen clic en el enlace "comprar", "ir al sitio para comprar”, etc. Después de lo cual, en 99 de cada 100 casos, en lugar de realizar una compra rentable, reciben un virus en su PC o envían dinero a hackers sociales de forma gratuita.

Donación de jugador +300% para habilidades de robo

En los juegos en línea, y en los juegos multijugador en general, con raras excepciones, sobreviven los más fuertes: aquellos que tienen una armadura más fuerte, daño, magia más fuerte, más salud, maná, etc.

Y, por supuesto, todo jugador quiere a toda costa conseguir estos preciados artefactos para su personaje, tanque, avión y quién sabe qué más. En batallas o campañas, con tus propias manos o con dinero real (función de donación) en la tienda virtual del juego. Ser el mejor, el primero... en alcanzar el último nivel de desarrollo.

Los estafadores conocen estas “debilidades de los jugadores” y los tientan de todas las formas posibles para que adquieran artefactos y habilidades preciados. A veces por dinero, a veces gratis, pero esto no cambia la esencia y el propósito del malvado plan. Las ofertas tentadoras en sitios falsos suenan así: "descargar esta aplicación", "instalar el parche", "iniciar sesión en el juego para obtener el artículo".

A cambio del tan esperado bono, roban la cuenta del jugador. Si está bien bombeado, los ladrones lo venden o extraen de él información de pago (si corresponde).

Malware + ingeniería social = mezcla explosiva de engaño

¡Iconos de precaución!

Muchos usuarios utilizan el ratón en el sistema operativo en “piloto automático”: haga clic aquí, aquí; Descubrí esto, aquello, aquello. Rara vez alguno de ellos analiza más de cerca el tipo de archivos, su volumen y propiedades. Pero en vano. Los piratas informáticos disfrazan los archivos ejecutables de malware como carpetas, imágenes o aplicaciones confiables normales de Windows, lo que significa que no se pueden distinguir externa o visualmente. El usuario hace clic en la carpeta, su contenido, naturalmente, no se abre, porque no es una carpeta en absoluto, sino un instalador de virus con la extensión .exe. Y el malware penetra "silenciosamente" en el sistema operativo.

El "antídoto" seguro contra estos trucos es el administrador de archivos Total Commander. A diferencia del Explorador de Windows integrado, muestra todos los detalles del archivo: tipo, tamaño, fecha de creación. El mayor peligro potencial para el sistema son los archivos desconocidos con las extensiones: “.scr”, “.vbs”, “.bat”, “.exe”.

El miedo alimenta la confianza

El usuario abre un “sitio de historias de terror” e inmediatamente recibe la noticia más desagradable, o incluso la noticia más desagradable: “su PC está infectado con un troyano peligroso”, “10, 20... 30 virus han sido detectados en su sistema operativo”, “Se está enviando spam desde su computadora”, etc.
E inmediatamente ofrecen (muestran “preocupación”) instalar un antivirus y, por tanto, solucionar el problema de seguridad expresado en el sitio. Y lo más importante, completamente gratis.
Si un visitante teme por su PC, sigue el enlace y descarga... no un antivirus, sino un falso antivirus, un falso repleto de virus. Se instala y se inicia: las consecuencias son apropiadas.

En primer lugar, un sitio web no puede comprobar instantáneamente la PC de un visitante e identificar malware.
En segundo lugar, los desarrolladores distribuyen sus antivirus, ya sean de pago o gratuitos, a través de sus propios sitios web, es decir, oficiales.
Y por último, en tercer lugar, si existen dudas y temores sobre si el SO está “limpio” o no, es mejor comprobar la partición del sistema con lo que está disponible, es decir, el antivirus instalado.

resumiendo

Hoy en día, la psicología y el hacking van de la mano: un tándem de explotación de las debilidades humanas y las vulnerabilidades del software. Mientras esté en Internet, en días festivos y entre semana, de día o de noche, y sin importar cuál sea su estado de ánimo, debe estar alerta, reprimir la ingenuidad y ahuyentar los impulsos de ganancia comercial y de algo “gratis”. Porque, como sabéis, sólo se reparte queso a cambio de nada, y sólo en una ratonera. Crea solo contraseñas, guárdalas en lugares y quédate con nosotros, porque, como sabemos, nunca existe demasiada seguridad.

Toda organización grande o incluso pequeña tiene debilidades en la seguridad de la información. Incluso si todas las computadoras de la empresa tienen el mejor software, todos los empleados tienen las contraseñas más seguras y todas las computadoras están monitoreadas por los administradores más inteligentes, aún se puede encontrar un punto débil. Y uno de los “puntos débiles” más importantes son las personas que trabajan en la empresa, tienen acceso a sistemas informáticos y son, en mayor o menor medida, portadores de información sobre la organización. Las personas que planean robar información, o en otras palabras los piratas informáticos, sólo se benefician del factor humano. Y es con las personas que prueban varios métodos de influencia llamados ingeniería social. Intentaré hablar de ello hoy en el artículo y del peligro que representa para los usuarios y organizaciones comunes.

Primero, comprendamos qué es la ingeniería social: es un término utilizado por crackers y piratas informáticos que se refiere al acceso no autorizado a la información, pero es completamente opuesto a la designación de piratería de software. El objetivo no es hackear, sino engañar a las personas para que ellas mismas proporcionen contraseñas u otra información que luego pueda ayudar a los piratas informáticos a violar la seguridad del sistema. Este tipo de fraude implica llamar por teléfono a una organización e identificar a los empleados que tienen la información requerida, y luego llamar al administrador identificado de un empleado inexistente que supuestamente tiene problemas para acceder al sistema.

La ingeniería social está directamente relacionada con la psicología, pero se desarrolla como una parte separada de ella. Hoy en día, el enfoque de ingeniería se utiliza con mucha frecuencia, especialmente cuando un ladrón roba documentos sin ser detectado. Este método se utiliza para entrenar espías y agentes secretos para penetrar secretos sin dejar rastros.

Una persona es capaz de pensar, razonar, llegar a tal o cual conclusión, pero es posible que las conclusiones no siempre resulten reales, propias y no impuestas desde el exterior, como si las necesita otra persona. Pero lo más interesante y lo principal que ayuda a los estafadores es que una persona puede no darse cuenta de que sus conclusiones son falsas. Hasta el último momento puede pensar que lo decidió todo él mismo. Es esta característica la que utilizan las personas que practican la ingeniería social.

El objetivo de la ingeniería social es el robo de información. Las personas que hacen esto intentan robar información sin prestar demasiada atención y luego la utilizan a su propia discreción: venden o chantajean al propietario original. Según las estadísticas, muy a menudo resulta que estos trucos se producen a petición de una empresa competidora.

Ahora veamos formas de ingeniería social.

Denegación de servicio humana (HDoS)

La esencia de este ataque es obligar silenciosamente a una persona a no reaccionar ante determinadas situaciones.

Por ejemplo, simular un ataque a algún puerto sirve como maniobra de distracción. El administrador del sistema se distrae con los errores y en ese momento penetra fácilmente en el servidor y toma la información que necesita. Pero el administrador puede estar seguro de que no puede haber errores en este puerto, y entonces la penetración del hacker se notará instantáneamente. El objetivo de este método es que el atacante debe conocer la psicología y el nivel de conocimiento del administrador del sistema. Sin este conocimiento no es posible la penetración en el servidor.

Método de llamada.

Este método implica una llamada telefónica a la llamada "víctima". El estafador llama a la víctima y, con la ayuda de un discurso correctamente pronunciado y preguntas psicológicamente correctas, la engaña y descubre toda la información necesaria.

Por ejemplo: un estafador llama y dice que, a petición del administrador, está comprobando el funcionamiento del sistema de seguridad. Luego solicita una contraseña y un nombre de usuario, y luego toda la información que necesita está en su bolsillo.

Contacto visual.

El camino más difícil. Sólo las personas con formación profesional pueden afrontarlo. El objetivo de este método es que debes encontrar un acercamiento a la víctima. Una vez encontrado un enfoque, será posible utilizarlo para complacer a la víctima y ganarse su confianza. Y después de eso, la propia víctima expondrá toda la información necesaria y le parecerá que no está contando nada importante. Sólo un profesional puede hacer esto.

Correo electrónico.

Esta es la forma más común que tienen los piratas informáticos de extraer información. En la mayoría de los casos, los piratas informáticos envían a la víctima una carta de alguien que supuestamente conocen. Lo más difícil de este método es copiar la manera y el estilo de escritura de este amigo. Si la víctima cree en el engaño, aquí ya podrá extraer toda la información que el hacker pueda necesitar.

Ingeniería social- un método para obtener el acceso necesario a la información, basado en las características de la psicología humana. El objetivo principal de la ingeniería social es obtener acceso a información confidencial, contraseñas, datos bancarios y otros sistemas protegidos. Aunque el término ingeniería social apareció no hace mucho tiempo, el método para obtener información de esta manera se utiliza desde hace bastante tiempo. Los empleados de la CIA y la KGB que quieren obtener algunos secretos de estado, los políticos y los candidatos al parlamento, y nosotros mismos, si queremos obtener algo, a menudo sin siquiera darnos cuenta, utilizamos métodos de ingeniería social.

Para protegerse de los efectos de la ingeniería social, es necesario comprender cómo funciona. Veamos los principales tipos de ingeniería social y los métodos para protegernos contra ellos.

Pretexto- se trata de un conjunto de acciones elaboradas según un escenario específico precompilado, como resultado del cual la víctima puede revelar cierta información o realizar una determinada acción. En la mayoría de los casos, este tipo de ataque implica el uso de medios de voz como Skype, teléfono, etc.

Para utilizar esta técnica, el atacante debe tener inicialmente algunos datos sobre la víctima (nombre del empleado; cargo; nombre de los proyectos con los que trabaja; fecha de nacimiento). El atacante utiliza inicialmente consultas reales con los nombres de los empleados de la empresa y, tras ganarse la confianza, obtiene la información que necesita.

Phishing– una técnica de fraude en Internet destinada a obtener información confidencial del usuario: datos de autorización de varios sistemas. El principal tipo de ataque de phishing es un correo electrónico falso enviado a la víctima que parece ser una carta oficial de un procesador de pagos o un banco. La carta contiene un formulario para ingresar datos personales (códigos PIN, nombre de usuario y contraseña, etc.) o un enlace a la página web donde se encuentra dicho formulario. Los motivos de la confianza de la víctima en dichas páginas pueden ser diferentes: bloqueo de cuenta, fallo del sistema, pérdida de datos, etc.

caballo de Troya– Esta técnica se basa en la curiosidad, el miedo u otras emociones de los usuarios. El atacante envía una carta a la víctima por correo electrónico, cuyo archivo adjunto contiene una “actualización” del antivirus, una clave para ganar dinero o pruebas incriminatorias contra un empleado. De hecho, el archivo adjunto contiene un programa malicioso que, después de que el usuario lo ejecute en su computadora, será utilizado por un atacante para recopilar o cambiar información.

Qui sobre quo(quid pro quo): esta técnica implica que el atacante se comunique con el usuario por correo electrónico o por teléfono corporativo. Un atacante puede presentarse, por ejemplo, como empleado de soporte técnico e informar sobre la aparición de problemas técnicos en el lugar de trabajo. Además informa sobre la necesidad de eliminarlos. En el proceso de "resolver" dicho problema, el atacante empuja a la víctima a realizar acciones que le permitan ejecutar ciertos comandos o instalar el software necesario en la computadora de la víctima.

manzana de carretera– este método es una adaptación del caballo de Troya y consiste en utilizar medios físicos (CD, unidades flash). Un atacante suele colocar dichos medios en lugares públicos de las instalaciones de la empresa (aparcamientos, comedores, lugares de trabajo de los empleados, aseos). Para que un empleado se interese en este medio, un atacante puede colocar el logotipo de la empresa y algún tipo de firma en el medio. Por ejemplo, "datos de ventas", "salarios de los empleados", "informe de impuestos" y más.

Ingeniería social inversa- este tipo de ataque tiene como objetivo crear una situación en la que la víctima se verá obligada a acudir al atacante en busca de "ayuda". Por ejemplo, un atacante puede enviar una carta con números de teléfono y contactos del "servicio de soporte" y después de un tiempo crear problemas reversibles en el ordenador de la víctima. En este caso, el usuario llamará o enviará un correo electrónico al atacante y, en el proceso de "solucionar" el problema, el atacante podrá obtener los datos que necesita.

Figura 1 – Principales tipos de ingeniería social

Contramedidas

La principal forma de protegerse contra los métodos de ingeniería social es capacitar a los empleados. Se debe advertir a todos los empleados de la empresa sobre los peligros de revelar información personal e información confidencial de la empresa, así como sobre las formas de evitar la fuga de datos. Además, cada empleado de la empresa, dependiendo del departamento y puesto, debe tener instrucciones sobre cómo y sobre qué temas puede comunicarse con el interlocutor, qué información puede proporcionar al servicio de soporte técnico, cómo y a qué debe comunicarse un empleado de la empresa. recibir esa información u otra información de otro empleado.

Además, se pueden distinguir las siguientes reglas:

Las credenciales de usuario son propiedad de la empresa.
Es necesario realizar capacitaciones introductorias y periódicas a los empleados de la empresa destinadas a incrementar el conocimiento sobre la seguridad de la información.
Es obligatorio contar con normas de seguridad, así como instrucciones a las que el usuario debe tener acceso siempre. Las instrucciones deben describir las acciones de los empleados si surge una situación particular.
Las computadoras de los empleados siempre deben tener un software antivirus actualizado.
En la red corporativa de una empresa es necesario utilizar sistemas de detección y prevención de ataques.
Todos los empleados deben recibir instrucciones sobre cómo comportarse con los visitantes.
Es necesario limitar al máximo los derechos de los usuarios en el sistema.

Con base en todo lo anterior, podemos concluir: la principal forma de protegerse contra la ingeniería social es capacitar a los empleados. Es necesario saber y recordar que la ignorancia no es excusa para la responsabilidad. Cada usuario del sistema debe ser consciente de los peligros de revelar información confidencial y conocer formas de ayudar a prevenir fugas. ¡Prevenido está armado!

Ingeniería social

Ingeniería social es un método de acceso no autorizado a información o sistemas de almacenamiento de información sin el uso de medios técnicos. El objetivo principal de los ingenieros sociales, al igual que otros hackers y crackers, es obtener acceso a sistemas seguros para robar información, contraseñas, información de tarjetas de crédito, etc. La principal diferencia con el simple hackeo es que en este caso no se elige la máquina, sino su operador, como objetivo del ataque. Es por eso que todos los métodos y técnicas de los ingenieros sociales se basan en el uso de las debilidades del factor humano, que se considera extremadamente destructivo, ya que el atacante obtiene información, por ejemplo, a través de una conversación telefónica regular o infiltrándose en una organización bajo el nombre de apariencia de su empleado. Para protegerse contra este tipo de ataques, debe conocer los tipos de fraude más comunes, comprender lo que realmente quieren los piratas informáticos y organizar una política de seguridad adecuada de manera oportuna.

Historia

A pesar de que el concepto de "ingeniería social" apareció hace relativamente poco tiempo, la gente de una forma u otra ha utilizado sus técnicas desde tiempos inmemoriales. En la antigua Grecia y Roma, se tenía en alta estima a las personas que podían convencer a su interlocutor de diversas formas de que obviamente estaba equivocado. Hablando en nombre de los líderes, llevaron a cabo negociaciones diplomáticas. Utilizando hábilmente mentiras, halagos y argumentos ventajosos, a menudo resolvían problemas que parecían imposibles de resolver sin la ayuda de una espada. Entre los espías, la ingeniería social siempre ha sido el arma principal. Al hacerse pasar por otra persona, los agentes de la KGB y la CIA podían descubrir secretos de estado secretos. A principios de los años 70, durante el apogeo del phreaking, algunos gamberros telefónicos llamaron a los operadores de telecomunicaciones e intentaron extraer información confidencial del personal técnico de la empresa. Después de varios experimentos con trucos, a finales de los años 70, los phreakers habían perfeccionado tanto las técnicas de manipulación de operadores no capacitados que podían aprender fácilmente de ellos casi todo lo que querían.

Principios y técnicas de ingeniería social.

Existen varias técnicas y tipos de ataques comunes que utilizan los ingenieros sociales. Todas estas técnicas se basan en características de la toma de decisiones humanas conocidas como sesgos cognitivos (ver también Cognitivos). Estos sesgos se utilizan en diversas combinaciones para crear la estrategia de engaño más adecuada en cada caso particular. Pero la característica común de todos estos métodos es la engañosa, con el objetivo de obligar a una persona a realizar alguna acción que no le resulta beneficiosa y es necesaria para el ingeniero social. Para lograr el resultado deseado, el atacante utiliza diversas tácticas: hacerse pasar por otra persona, distraer la atención, aumentar la tensión psicológica, etc. Los objetivos finales del engaño también pueden ser muy diversos.

Técnicas de ingeniería social

Pretexto

El pretexto es un conjunto de acciones que se llevan a cabo de acuerdo con un escenario específico y preparado previamente (pretexto). Esta técnica implica el uso de medios de voz como teléfono, Skype, etc. para obtener la información necesaria. Normalmente, al hacerse pasar por un tercero o pretender que alguien necesita ayuda, el atacante le pide a la víctima que proporcione una contraseña o inicie sesión en una página web de phishing, engañando así al objetivo para que realice una acción deseada o proporcione cierta información. En la mayoría de los casos, esta técnica requiere algunos datos iniciales sobre el objetivo del ataque (por ejemplo, datos personales: fecha de nacimiento, número de teléfono, números de cuenta, etc.) La estrategia más común es utilizar pequeñas consultas al principio y mencionar el nombres de personas reales de la organización. Más tarde, durante la conversación, el atacante explica que necesita ayuda (la mayoría de las personas son capaces y están dispuestas a realizar tareas que no se perciben como sospechosas). Una vez que se ha establecido la confianza, el estafador puede pedir algo más sustancial e importante.

Phishing

Ejemplo de un correo electrónico de phishing enviado desde un servicio de correo electrónico solicitando "reactivación de cuenta"

El phishing (phishing en inglés, de pesca - pesca, pesca) es un tipo de fraude en Internet cuyo objetivo es obtener acceso a datos confidenciales del usuario: nombres de usuario y contraseñas. Este es quizás el esquema de ingeniería social más popular en la actualidad. No se produce ni una sola filtración importante de datos personales sin que le siga una ola de correos electrónicos de phishing. El objetivo del phishing es obtener ilegalmente información confidencial. El ejemplo más llamativo de un ataque de phishing es un mensaje enviado a la víctima por correo electrónico y falsificado como una carta oficial (de un banco o de un sistema de pago) que exige la verificación de cierta información o la realización de ciertas acciones. Puede haber una variedad de razones. Esto podría ser pérdida de datos, falla del sistema, etc. Estos correos electrónicos suelen contener un enlace a una página web falsa que se parece exactamente a la oficial y contiene un formulario que requiere que usted ingrese información confidencial.

Uno de los ejemplos más famosos de correos electrónicos de phishing global fue una estafa de 2003 en la que miles de usuarios de eBay recibieron correos electrónicos afirmando que su cuenta había sido bloqueada y necesitaban actualizar la información de su tarjeta de crédito para desbloquearla. Todos estos correos electrónicos contenían un enlace que conducía a una página web falsa que se parecía exactamente a la oficial. Según los expertos, las pérdidas derivadas de esta estafa ascendieron a varios cientos de miles de dólares.

Cómo reconocer un ataque de phishing

Casi todos los días aparecen nuevos esquemas de fraude. La mayoría de las personas pueden aprender a reconocer mensajes fraudulentos por sí mismas si se familiarizan con algunas de sus características distintivas. La mayoría de las veces, los mensajes de phishing contienen:

información que cause preocupación o amenazas, como el cierre de cuentas bancarias de los usuarios.
promesas de grandes premios en efectivo con poco o ningún esfuerzo.
Solicitudes de donaciones voluntarias en nombre de organizaciones benéficas.
errores gramaticales, de puntuación y ortográficos.

Esquemas de phishing populares

Las estafas de phishing más populares se describen a continuación.

Fraude utilizando marcas de corporaciones famosas.

Estas estafas de phishing utilizan correos electrónicos o sitios web falsos que contienen nombres de empresas grandes o conocidas. Los mensajes pueden incluir felicitaciones por ganar un concurso organizado por la empresa o sobre la necesidad urgente de cambiar sus credenciales o contraseña. También se pueden llevar a cabo esquemas fraudulentos similares por parte del soporte técnico por teléfono.

Loterías fraudulentas

El usuario puede recibir mensajes indicando que ha ganado una lotería realizada por alguna empresa conocida. A primera vista, estos mensajes pueden parecer como si hubieran sido enviados en nombre de un alto empleado corporativo.

Falsos antivirus y programas de seguridad

IVR o phishing telefónico

Principio de funcionamiento de los sistemas IVR.

Qui sobre quo

Quid pro quo es una abreviatura comúnmente utilizada en inglés para significar "quid pro quo". Este tipo de ataque implica que un atacante llame a una empresa desde un teléfono corporativo. En la mayoría de los casos, el atacante se hace pasar por un empleado de soporte técnico y pregunta si hay algún problema técnico. En el proceso de "resolver" problemas técnicos, el estafador "obliga" al objetivo a ingresar comandos que le permiten ejecutar o instalar software malicioso en la máquina del usuario.

caballo de Troya

A veces, el uso de troyanos es sólo parte de un ataque planificado de varias etapas a determinados ordenadores, redes o recursos.

Tipos de troyanos

Los troyanos suelen desarrollarse con fines maliciosos. Existe una clasificación donde se dividen en categorías según cómo los troyanos se infiltran en el sistema y lo dañan. Hay 5 tipos principales:

acceso remoto
destrucción de datos
cargador
servidor
desactivador de programa de seguridad

Objetivos

La finalidad del programa troyano puede ser:

subir y descargar archivos
copiar enlaces falsos que conduzcan a sitios web, salas de chat u otros sitios de registro falsos
interferir con el trabajo del usuario
robar datos de valor o secretos, incluida información de autenticación, para acceder no autorizado a recursos, obtener detalles de cuentas bancarias que podrían usarse con fines delictivos
distribución de otro malware como virus
destrucción de datos (borrado o sobrescritura de datos en un disco, daños difíciles de ver en archivos) y equipos, desactivación o falla del servicio de sistemas informáticos, redes
recopilar direcciones de correo electrónico y utilizarlas para enviar spam
espiar al usuario y comunicar en secreto información a terceros, como sus hábitos de navegación
Registrar pulsaciones de teclas para robar información como contraseñas y números de tarjetas de crédito.
desactivar o interferir con el funcionamiento de programas antivirus y cortafuegos

Ocultar

Muchos programas troyanos se encuentran en los ordenadores de los usuarios sin su conocimiento. A veces, los troyanos se registran en el Registro, lo que provoca que se inicien automáticamente cuando se inicia el sistema operativo. Los troyanos también se pueden combinar con archivos legítimos. Cuando un usuario abre dicho archivo o inicia una aplicación, el troyano se inicia junto con él.

Cómo funciona el troyano

Los troyanos suelen constar de dos partes: Cliente y Servidor. El Servidor se ejecuta en la máquina víctima y monitorea las conexiones del Cliente. Mientras el servidor se está ejecutando, monitorea uno o varios puertos para detectar una conexión desde el cliente. Para que un atacante pueda conectarse al servidor, debe conocer la dirección IP de la máquina en la que se está ejecutando. Algunos troyanos envían la dirección IP de la máquina víctima al atacante por correo electrónico o algún otro método. Tan pronto como se produce una conexión con el Servidor, el Cliente puede enviarle comandos, que el Servidor ejecutará. Actualmente, gracias a la tecnología NAT, es imposible acceder a la mayoría de ordenadores a través de su dirección IP externa. Es por eso que hoy en día muchos troyanos se conectan al ordenador del atacante, que es responsable de recibir las conexiones, en lugar de que sea el propio atacante el que intente conectarse con la víctima. Muchos troyanos modernos también pueden eludir fácilmente los cortafuegos de los ordenadores de los usuarios.

Recopilación de información de fuentes abiertas.

El uso de técnicas de ingeniería social requiere no sólo conocimientos de psicología, sino también la capacidad de recopilar la información necesaria sobre una persona. Una forma relativamente nueva de obtener dicha información fue recopilarla de fuentes abiertas, principalmente de redes sociales. Por ejemplo, sitios como livejournal, Odnoklassniki, Vkontakte contienen una gran cantidad de datos que, por regla general, la gente no intenta ocultar. Los usuarios no prestan suficiente atención a las cuestiones de seguridad, dejando datos e información de dominio público que pueden ser utilizados por un atacante.

Un ejemplo ilustrativo es la historia del secuestro del hijo de Evgeniy Kaspersky. Durante la investigación se estableció que los delincuentes conocieron el horario y las rutas diarias del adolescente a través de sus publicaciones en una página de la red social.

Incluso limitando el acceso a la información en su página de red social, un usuario no puede estar seguro de que nunca caerá en manos de estafadores. Por ejemplo, un investigador brasileño de seguridad informática demostró que es posible hacerse amigo de cualquier usuario de Facebook en 24 horas utilizando técnicas de ingeniería social. Durante el experimento, el investigador Nelson Novaes Neto eligió una "víctima" y creó una cuenta falsa de una persona de su entorno: su jefe. Neto primero envió solicitudes de amistad a amigos de amigos del jefe de la víctima y luego directamente a sus amigos. Después de 7,5 horas, el investigador consiguió que la "víctima" lo agregara como amigo. De esta manera, el investigador obtuvo acceso a la información personal del usuario, que compartía únicamente con sus amigos.

manzana de carretera

Este método de ataque es una adaptación del caballo de Troya y consiste en utilizar medios físicos. El atacante coloca al "infectado", o flash, en un lugar donde se pueda encontrar fácilmente al portador (baño, ascensor, estacionamiento). El medio está falsificado para parecer oficial y va acompañado de una firma diseñada para despertar la curiosidad. Por ejemplo, un estafador puede colocar una carta equipada con un logotipo corporativo y un enlace al sitio web oficial de la empresa, rotulándola como "Salarios de ejecutivos". El disco se puede dejar en el piso del ascensor o en el vestíbulo. Un empleado puede, sin saberlo, coger el disco e insertarlo en el ordenador para satisfacer su curiosidad.

Ingeniería social inversa

Se hace referencia a ingeniería social inversa cuando la propia víctima ofrece al atacante la información que necesita. Esto puede parecer absurdo, pero de hecho, las personas con autoridad en una esfera técnica o social a menudo reciben identificaciones de usuario, contraseñas y otra información personal confidencial simplemente porque nadie cuestiona su integridad. Por ejemplo, el personal de soporte nunca solicita a los usuarios una identificación o contraseña; no necesitan esta información para resolver problemas. Sin embargo, muchos usuarios proporcionan voluntariamente esta información confidencial para poder resolver rápidamente los problemas. Resulta que el atacante ni siquiera necesita preguntar al respecto.

Un ejemplo de ingeniería social inversa es el siguiente escenario simple. Un atacante que trabaja con la víctima cambia el nombre de un archivo en la computadora de la víctima o lo mueve a un directorio diferente. Cuando la víctima nota que falta el archivo, el atacante afirma que puede arreglarlo todo. Al querer completar el trabajo más rápido o evitar el castigo por perder información, la víctima acepta esta oferta. El atacante afirma que el problema sólo puede resolverse iniciando sesión con las credenciales de la víctima. Ahora la víctima le pide al atacante que inicie sesión con su nombre para intentar restaurar el archivo. El atacante acepta a regañadientes y restaura el archivo, y en el proceso roba el ID y la contraseña de la víctima. Habiendo llevado a cabo con éxito el ataque, incluso mejoró su reputación, y es muy posible que después de esto otros colegas recurran a él en busca de ayuda. Este enfoque no interfiere con los procedimientos habituales para brindar servicios de soporte y complica la captura del atacante.

Ingenieros sociales famosos

Kevin Mitnick

Kevin Mitnick. Hacker y consultor de seguridad de fama mundial

Uno de los ingenieros sociales más famosos de la historia es Kevin Mitnick. Como hacker informático y consultor de seguridad de fama mundial, Mitnick es también autor de numerosos libros sobre seguridad informática, dedicados principalmente a la ingeniería social y los métodos de influencia psicológica en las personas. En 2002, bajo su autoría se publicó el libro "El arte del engaño", que cuenta historias reales sobre el uso de la ingeniería social. Kevin Mitnick argumentó que es mucho más fácil obtener una contraseña mediante engaños que intentar hackear un sistema de seguridad

Hermanos Badir

A pesar de que los hermanos Mundir, Mushid y Shadi Badir eran ciegos de nacimiento, lograron llevar a cabo varios grandes planes de fraude en Israel en la década de 1990, utilizando ingeniería social y suplantación de voz. En una entrevista televisiva dijeron: "Sólo aquellos que no utilizan teléfono, electricidad y una computadora portátil están completamente asegurados contra ataques a la red". Los hermanos ya han estado en prisión por poder escuchar y descifrar los tonos secretos de interferencia de los proveedores de telefonía. Hicieron largas llamadas al extranjero por cuenta de otra persona, después de reprogramar las computadoras de los proveedores de telefonía celular con tonos de interferencia.

Arcángel

Portada de la revista Phrack

Archangel, famoso hacker informático y consultor de seguridad de la famosa revista en línea en inglés "Phrack Magazine", demostró el poder de las técnicas de ingeniería social obteniendo contraseñas de una gran cantidad de sistemas diferentes en poco tiempo, engañando a varios cientos de víctimas.

Otro

Los ingenieros sociales menos conocidos incluyen a Frank Abagnale, David Bannon, Peter Foster y Stephen Jay Russell.

Formas de protegerse contra la ingeniería social

Para llevar a cabo sus ataques, los atacantes que utilizan técnicas de ingeniería social suelen aprovechar la credulidad, la pereza, la cortesía e incluso el entusiasmo de los usuarios y empleados de las organizaciones. No es fácil defenderse de tales ataques porque las víctimas pueden no ser conscientes de que han sido engañadas. Los atacantes de ingeniería social generalmente tienen los mismos objetivos que cualquier otro atacante: quieren dinero, información o los recursos de TI de la empresa víctima. Para protegerse contra este tipo de ataques, es necesario estudiar sus tipos, comprender qué necesita el atacante y evaluar el daño que podría causar a la organización. Con toda esta información podrás integrar las medidas de protección necesarias en tu política de seguridad.

Clasificación de amenazas

Amenazas por correo electrónico

Muchos empleados reciben decenas e incluso cientos de correos electrónicos cada día a través de sistemas de correo electrónico privados y corporativos. Por supuesto, con tal flujo de correspondencia es imposible prestar la debida atención a cada carta. Esto hace que sea mucho más fácil realizar ataques. La mayoría de los usuarios de sistemas de correo electrónico se muestran tranquilos a la hora de procesar dichos mensajes, percibiendo este trabajo como el análogo electrónico del traslado de documentos de una carpeta a otra. Cuando un atacante envía una simple solicitud por correo, su víctima suele hacer lo que se le pide sin pensar en sus acciones. Los correos electrónicos pueden contener hipervínculos que inciten a los empleados a violar la seguridad corporativa. Estos enlaces no siempre conducen a las páginas indicadas.

La mayoría de las medidas de seguridad tienen como objetivo evitar que usuarios no autorizados accedan a los recursos corporativos. Si, al hacer clic en un hipervínculo enviado por un atacante, un usuario carga un troyano o un virus en la red corporativa, esto facilitará eludir muchos tipos de protección. El hipervínculo también puede apuntar a un sitio con aplicaciones emergentes que solicitan datos u ofrecen ayuda. Al igual que con otros tipos de estafas, la forma más eficaz de protegerse de ataques maliciosos es ser escéptico ante cualquier correo electrónico entrante inesperado. Para promover este enfoque en toda su organización, su política de seguridad debe incluir pautas específicas para el uso del correo electrónico que cubran los siguientes elementos:

Anexos a documentos.
Hipervínculos en documentos.
Solicitudes de información personal o corporativa provenientes del interior de la empresa.
Solicitudes de información personal o corporativa con origen ajeno a la empresa.

Amenazas asociadas al uso de servicios de mensajería instantánea

La mensajería instantánea es un método relativamente nuevo de transferencia de datos, pero ya ha ganado gran popularidad entre los usuarios corporativos. Debido a su velocidad y facilidad de uso, este método de comunicación abre amplias oportunidades para diversos ataques: los usuarios lo tratan como una conexión telefónica y no lo asocian con posibles amenazas de software. Los dos principales tipos de ataques basados en el uso de servicios de mensajería instantánea son la inclusión de un enlace a un programa malicioso en el cuerpo del mensaje y la entrega del propio programa. Por supuesto, la mensajería instantánea también es una forma de solicitar información. Una de las características de los servicios de mensajería instantánea es el carácter informal de la comunicación. Combinado con la capacidad de asignarse cualquier nombre, este factor hace que sea mucho más fácil para un atacante hacerse pasar por otra persona y aumenta significativamente sus posibilidades de llevar a cabo un ataque con éxito si una empresa tiene la intención de aprovechar las oportunidades de reducción de costos. Otros beneficios que brinda la mensajería instantánea, es necesario incluir en las políticas de Seguridad corporativas mecanismos de protección frente a amenazas relevantes. Para obtener un control confiable sobre la mensajería instantánea en un entorno empresarial, se deben cumplir varios requisitos.

Elija una plataforma de mensajería instantánea.
Determine la configuración de seguridad que se especifica al implementar el servicio de mensajería instantánea.
Definir principios para establecer nuevos contactos.
Establecer estándares de contraseña
Hacer recomendaciones para el uso del servicio de mensajería instantánea.

Modelo de seguridad multinivel

Para proteger a las grandes empresas y a sus empleados de los estafadores que utilizan técnicas de ingeniería social, a menudo se utilizan complejos sistemas de seguridad multinivel. Algunas de las características y responsabilidades de dichos sistemas se enumeran a continuación.

Seguridad física. Barreras que restringen el acceso a los edificios de la empresa y a los recursos corporativos. No olvide que los recursos de la empresa, por ejemplo, los contenedores de basura ubicados fuera del territorio de la empresa, no están protegidos físicamente.
Datos. Información comercial: cuentas, correo, etc. Al analizar amenazas y planificar medidas para proteger los datos, es necesario determinar los principios de manejo de soportes de datos electrónicos y en papel.
Aplicaciones. Programas ejecutados por el usuario. Para proteger su entorno, debe considerar cómo los atacantes pueden explotar los programas de correo electrónico, la mensajería instantánea y otras aplicaciones.
Computadoras. Servidores y sistemas cliente utilizados en la organización. Protege a los usuarios de ataques directos a sus computadoras al definir pautas estrictas que rigen qué programas se pueden usar en las computadoras corporativas.
Red interna. Una red a través de la cual interactúan los sistemas corporativos. Puede ser local, global o inalámbrico. En los últimos años, debido a la creciente popularidad de los métodos de trabajo remoto, los límites de las redes internas se han vuelto en gran medida arbitrarios. Es necesario informar a los empleados de la empresa qué deben hacer para operar de forma segura en cualquier entorno de red.
Perímetro de la red. El límite entre las redes internas de una empresa y las externas, como Internet o las redes de organizaciones asociadas.

Responsabilidad

Pretexto y grabación de conversaciones telefónicas.

Hewlett-Packard

Patricia Dunn, presidenta de Hewlett Packard Corporation, dijo que contrató a una empresa privada para identificar a los empleados de la empresa responsables de filtrar información confidencial. Posteriormente, el director de la corporación admitió que durante el proceso de investigación se utilizó la práctica del pretexto y otras técnicas de ingeniería social.