Diferentes vectores de ataque de ingeniería social

Diferentes vectores de ataque de ingeniería social

La ingeniería social es un estilo de piratería en el que el ingeniero social intenta engañar a alguien para que divulgue información confidencial, como credenciales de inicio de sesión, número de tarjeta de crédito o número de seguro social. La ingeniería social también se conoce como “piratería humana”. Los ingenieros sociales (SE) utilizan una variedad de vectores de ataque para atacar a sus víctimas, como correo electrónico, mensajes de texto, web fraudulento, redes sociales, llamadas telefónicas tradicionales o incluso en persona. ingeniería social

Un correo electrónico de phishing es un correo electrónico enviado desde un SE que contiene código malicioso diseñado para robar información. El código malicioso se activa al hacer clic en un enlace dentro del correo phishing. Los correos electrónicos de suplantación de identidad (phishing) están específicamente diseñados para atraer a la víctima a hacer clic y el pirata informático usará muchas tácticas diferentes para lograr que lo hagan.

Similar al phishing, smishing es cuando un SE intenta robar la información de una víctima enviándole un mensaje de texto malicioso. El mensaje de texto contiene un enlace que descargará automáticamente software malicioso o intentará que la víctima descargue una aplicación maliciosa en su dispositivo.ingeniería social

Un sitio web fraudulento es un sitio web creado por un SE que tiene la intención de robar información o dinero de usted. Los SE son muy buenos para configurar sitios web fraudulentos y no siempre son fáciles de detectar. Los sitios web fraudulentos generalmente usan un nombre de dominio que está cerca de una marca o compañía conocida. Lo que es aún más engañoso es que un sitio web fraudulento puede adoptar fácilmente la apariencia del sitio web real que intenta imitar. Examine detenidamente el nombre de dominio cuando visite un sitio web para asegurarse de que esté escrito correctamente.

El phishing de pescador es cuando un SE usa las redes sociales para intentar robar información de una víctima. El phishing de pescador, también conocido como phishing en redes sociales, es un vector de ataque relativamente nuevo que los ingenieros sociales están usando. Es cierto que la táctica es muy inteligente. Así es como funciona. Un ingeniero social abrirá una cuenta de redes sociales fraudulenta en sitios como Facebook y Twitter. El nombre del perfil se parecerá mucho a una compañía con la que esté familiarizado y su nombre de perfil también implicará que es un representante de soporte de esa compañía. Por ejemplo: “BofA_Login_Support” (lo que implica que son soporte técnico de Bank of America).

SE utilizará phishing de voz porque cierta generación de personas tiende a confiar en una llamada telefónica sobre otros canales de comunicación. De forma similar a cómo un ingeniero social puede “falsificar” la dirección de correo electrónico de una estafa de suplantación de identidad (phishing) por correo electrónico, también pueden “suplantar” el nombre para mostrar en una ID de llamada. Es decir, el identificador de llamadas podría leer “Bank of America”, pero el ingeniero social es el que realmente está en la línea.

ingeniería social
ingeniería social

El phishing en persona es la última y más descarada táctica de pirateo en el toolbelt del ingeniero social. El phishing en persona es cuando un ingeniero social aparece físicamente en su oficina disfrazado de alias e intenta robarle información. Por lo general, el pirata informático intentará insertar una unidad USB en una computadora o dispositivo conectado a la red de su empresa. La unidad USB puede contener software que se activa automáticamente una vez que está conectado. Una vez que la unidad USB está conectada a una computadora en su sistema, puede implementar un registrador de teclado, un virus, descargar todo en su red, ransomware o más.

La amenaza de una incursión cibernética maliciosa con éxito recae en un solo empleado que involuntariamente sea víctima de un ataque de ingeniería social. Es decir, un empleado hace clic en un enlace malicioso en un correo electrónico o texto, o divulga información confidencial por teléfono o en las redes sociales que le abre la puerta. Una vez que el delincuente cibernético está en su sistema, puede provocar la pérdida masiva de datos, el rescate, ¡o incluso una completa eliminación de datos!

Dado esto, el comportamiento de los empleados es un componente crítico para mantener seguros sus datos. Podrías tener la defensa cibernética más sofisticada del mundo, pero si un empleado involuntariamente abre la puerta de entrada, no hay mucho que puedas hacer al respecto. La educación del empleado juega un papel fundamental en la prevención de ataques de ingeniería social.

Agregue un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *

This site uses Akismet to reduce spam. Learn how your comment data is processed.