Tabla de contenidos
La ingeniería social es el término que se utiliza para una amplia gama de actividades maliciosas realizadas a través de interacciones humanas . Utiliza la manipulación psicológica para engañar a los usuarios para que cometan errores de seguridad o entreguen información confidencial.
Los ataques de ingeniería social ocurren en uno o más pasos. Un perpetrador primero investiga a la víctima prevista para recopilar la información de antecedentes necesaria, como posibles puntos de entrada y protocolos de seguridad débiles, necesarios para continuar con el ataque. Luego, el atacante se mueve para ganarse la confianza de la víctima y proporcionar estímulos para acciones posteriores que rompan las prácticas de seguridad, como revelar información confidencial u otorgar acceso a recursos críticos .
Lo que hace que la ingeniería social sea especialmente peligrosa es que se basa en errores humanos, en lugar de vulnerabilidades en el software y los sistemas operativos. Los errores cometidos por usuarios legítimos son mucho menos predecibles, lo que los hace más difíciles de identificar y frustrar que una intrusión basada en malware.
Técnicas de ataque de ingeniería social
Los ataques de ingeniería social vienen en muchas formas diferentes y se pueden realizar en cualquier lugar donde haya interacción humana. Las siguientes son las cinco formas más comunes de ataques de ingeniería social digital.
El Cebo
Como su nombre lo indica, los ataques de cebo utilizan una promesa falsa para despertar la codicia o la curiosidad de la víctima. Atraen a los usuarios a una trampa que roba su información personal o inflige malware en sus sistemas.
La forma más vilipendiada de hostigamiento utiliza medios físicos para dispersar el malware. Por ejemplo, los atacantes dejan el cebo (por lo general, unidades flash o pendrives infectadas con malware) en áreas visibles donde las posibles víctimas seguramente las verán (por ejemplo, baños, ascensores, el estacionamiento de una empresa objetivo). El cebo tiene un aspecto auténtico, como una etiqueta que lo presenta como la lista de nómina de la empresa. Las víctimas recogen el cebo por curiosidad y lo insertan en una computadora del trabajo o del hogar, lo que resulta en la instalación automática de malware en el sistema.
Las estafas de hostigamiento no necesariamente tienen que llevarse a cabo en el mundo físico. Las formas de hostigamiento en línea consisten en anuncios atractivos que conducen a sitios maliciosos o que alientan a los usuarios a descargar una aplicación infectada con malware.
Espantapájaros (scareware )
El scareware implica que las víctimas sean bombardeadas con falsas alarmas y amenazas ficticias. Se engaña a los usuarios al pensar que su sistema está infectado con malware, lo que los incita a instalar un software que no tiene ningún beneficio real (excepto para el perpetrador) o que es malware en sí mismo. El scareware también se conoce como software engañoso, software de escáner no autorizado y software fraudulento.
Un ejemplo común de scareware son las pancartas emergentes de aspecto legítimo que aparecen en su navegador mientras navega por la web, mostrando un texto como «Su computadora puede estar infectada con programas de spyware dañinos». Ofrece instalar la herramienta (a menudo infectada con malware) por usted, o lo dirige a un sitio malicioso donde su computadora se infecta.
El scareware también se distribuye a través de correo electrónico no deseado que distribuye advertencias falsas o hace ofertas para que los usuarios compren servicios inútiles o dañinos.
El pretexto
Aquí, un atacante obtiene información a través de una serie de mentiras ingeniosamente elaboradas. La estafa a menudo es iniciada por un perpetrador que finge necesitar información confidencial de una víctima para realizar una tarea crítica.
El atacante generalmente comienza estableciendo confianza con su víctima haciéndose pasar por compañeros de trabajo, policías, funcionarios bancarios y fiscales, u otras personas que tienen derecho a saber. El pretextador hace preguntas aparentemente necesarias para confirmar la identidad de la víctima, a través de las cuales recopila datos personales importantes.
Todo tipo de información y registros pertinentes se recopilan mediante esta estafa, como números de seguridad social, direcciones personales y números de teléfono, registros telefónicos, fechas de vacaciones del personal, registros bancarios e incluso información de seguridad relacionada con una planta física.
Phishing
Como uno de los tipos de ataques de ingeniería social más populares, las estafas de phishing son campañas de correo electrónico y mensajes de texto destinadas a crear una sensación de urgencia, curiosidad o miedo en las víctimas. Luego los incita a revelar información confidencial, hacer clic en enlaces a sitios web maliciosos o abrir archivos adjuntos que contienen malware.
Un ejemplo es un correo electrónico enviado a los usuarios de un servicio en línea que les advierte sobre una violación de la política que requiere una acción inmediata de su parte, como un cambio de contraseña requerido. Incluye un enlace a un sitio web ilegítimo, casi idéntico en apariencia a su versión legítima, que solicita al usuario desprevenido que ingrese sus credenciales actuales y una nueva contraseña. Tras el envío del formulario, la información se envía al atacante.
Dado que se envían mensajes idénticos, o casi idénticos, a todos los usuarios en campañas de phishing, detectarlos y bloquearlos es mucho más fácil para los servidores de correo que tienen acceso a las plataformas de intercambio de amenazas .
Suplantación de identidad
Esta es una versión más específica de la estafa de phishing en la que un atacante elige personas o empresas específicas. Luego, adaptan sus mensajes en función de las características, los puestos de trabajo y los contactos que pertenecen a sus víctimas para que su ataque sea menos notorio. Spear phishing requiere mucho más esfuerzo por parte del perpetrador y puede tardar semanas y meses en llevarse a cabo. Son mucho más difíciles de detectar y tienen mejores tasas de éxito si se realizan con habilidad.
Un escenario de spear phishing podría involucrar a un atacante que, haciéndose pasar por el consultor de TI de una organización, envía un correo electrónico a uno o más empleados. Está redactado y firmado exactamente como lo hace normalmente el consultor, lo que engaña a los destinatarios para que piensen que es un mensaje auténtico. El mensaje solicita a los destinatarios que cambien su contraseña y les proporciona un enlace que los redirige a una página maliciosa donde el atacante ahora captura sus credenciales.
