La ingeniería social
es el término que se utiliza para la explotación de las debilidades de la
conducta humana para tener acceso a una organización o sistema, o invadir el
espacio físico o virtual de una organización.
Según experiencia de
expertos de pruebas de penetración de International Institute of
Cyber Security, los ingenieros sociales utilizan una amplia variedad de
métodos para obtener acceso a información confidencial o reservada, y el
ingenio de los atacantes maliciosos significa que siempre se inventan nuevos
métodos y nuevas formas de empleo para romper la seguridad lógica y seguridad
perimetral.
Aquí presentamos
algunos de los métodos más comunes utilizados por los ingenieros sociales.
1. OBTENCIÓN DE INFORMACIÓN
Los ingenieros
sociales inician mediante la búsqueda de la información que puede ser utilizada
para penetrar en un sistema o una organización. Se utilizan varios métodos de
confianza que animan a la gente a compartir información, y cuanto más se sabe
acerca de un individuo o una organización, más fácil es para ellos para atacar
la seguridad lógica y
seguridad perimetral.
Según experiencia de
expertos de pruebas de penetración de iicybersecurity IICS, algunos métodos de
baja tecnología que los ingenieros sociales pueden utilizar para atacar la
seguridad lógica y seguridad perimetral son:
·
El arrastre de objetos valiosos en estacionamientos. Los Coches
pueden contener tarjetas de seguridad, teléfonos inteligentes, las carpetas,
documentos confidenciales u otros artículos de gran valor para un ingeniero
social.
·
Los sitios de medios sociales como Facebook, Linked In, y Google
+ son ricas fuentes de información sobre los individuos y organizaciones.
·
Un buen ingeniero social encontrara una oportunidad de mirar a
través de la basura un verdadero tesoro de información descartada, pero útil.
·
Creación de un pretexto (también llamado “pretexting”) es la
técnica de inventar un escenario plausible como olvidar la propia tarjeta de
identificación o tener problemas informáticos que incitan a la víctima a
permitir voluntariamente al ingeniero social tener acceso a su ordenador o al
sistema y romper la seguridad lógica y seguridad perimetral .
·
Un ingeniero social pasa el tiempo averiguando donde el objetivo
pasa el tiempo, dónde compra, a que los clubes pertenece, a qué actividades se
dedica.
2. CÓMO FAMILIARIZARSE CON GENTE
Como hemos señalado
anteriormente, el objetivo de un ataque de ingeniería social es obtener
información para pasar la seguridad lógica y seguridad perimetral, por lo
general con el fin de ejecutar una técnica más profunda en una organización. El
método para lograr esto es establecer una confianza inapropiada. Como siempre,
los ingenieros sociales tienen una gran cantidad de métodos para lograr esto.
El ingeniero social
puede frecuentar un bar que es muy popular entre los empleados o un club o un
restaurante que es un favorito de los ejecutivos de la empresa objetivo,
saludando y conversando con la gente hasta que él o ella llega a ser reconocido
e incluso es saludado con una sonrisa.
Otra técnica que se
utiliza para establecer la familiaridad, es que el ingeniero social puede
elegir un grupo de personas para entrar en el edificio con de forma periódica,
ya sea continua hasta el fondo o desviarse en el último minuto. En cualquier
caso, el impostor se las arregla para ser una cara conocida en el grupo explica
experto de pruebas de penetración.
Los ingenieros
sociales también utilizarán las redes sociales para reforzar su familiaridad,
su interés en ser un amigo o conexión, y siguiendo a la gente para establecer
su presencia.
3. PIGGYBACKING
Una forma en que los
ingenieros sociales utilizan su familiaridad cuidadosamente. Piggybacking es
una de las más antiguas tácticas de infiltración en la historia, mucho más
antigua que la propia era de la información.
A veces, la táctica
se utiliza para seguir a otro empleado en una zona de acceso restringido: el
ingeniero social se correrá después de un empleado de entrar en la sala de
servidores.
En otro tipo de
ataque piggybacking, el ingeniero social pretenderá ser una persona de la
entrega, incluso a aparecer en uniforme. Él o ella se acercarán a la puerta
justo detrás de otros empleados, cargado con un paquete, y solicitará a alguien
para mantener la puerta “piggybacking” en el acceso legítimo de otra persona y
pasar la seguridad lógica y seguridad perimetral.
4. GANAR LA CONFIANZA CON EL
LENGUAJE CORPORAL
Los ingenieros
sociales son expertos en su campo y están bien educados en la lectura del
lenguaje corporal y en la proyección de mensajes utilizando el lenguaje
corporal explican los expertos de pruebas de penetración.
Inhalando al mismo
ritmo que el blanco, sonriendo íntimamente y de manera apropiada, reaccionando
y respondiendo a los cambios emocionales, estas son sólo una muestra de las
señales psicológicas sutiles un ingeniero social puede utilizar para hacer una
conexión con un empleado para pasar la seguridad lógica y seguridad perimetral.
Mediante la creación
de confianza a un nivel inconsciente, la gente por defecto a desea de ayudar a
sostener la puerta para que el impostor puede entrar en la empresa, ayudando a
pegar su ordenador a la red, y así sucesivamente. El ingeniero social, en este
caso, crea una atmósfera donde la asistencia es automática, y el objetivo
responde sin pensar.
5. GANAR LA CONFIANZA CON EL SEXO
Tan obvio como es,
los individuos seleccionados caen en la trampa cada vez: Sexo. Un ingeniero
social puede ganar la confianza al mostrarse atractivo para un individuo en la
sociedad, e incluso salir con la persona y el desarrollo de una relación
íntima. A veces, un coqueteo hará el truco, y el objetivo será proporcionar la
información sin problemas de seguridad perimetral.
Pero si el coqueteo
por sí solo no es suficiente para ganar la confianza suficiente de la víctima,
un ingeniero social dedicado escalará la relación, pidiendo a la victima por
una cita, lo garantizando que la cita salga bien y el seguimiento con más
citas, más tiempo juntos, más confianza para pasar la seguridad lógica y
seguridad perimetral.
6. EL USO DE HOSTILIDAD
Una alternativa al
establecimiento de la confianza y romper la seguridad perimetral es establecer
la hostilidad en contra de la intuición y hostilidad es otra forma de
intimidad.
La hostilidad genera
la intimidad o confiar en esta forma: la gente en general, prefiere evitar a
las personas hostiles. Si alguien suena o parece enojado, la reacción
instintiva es permanecer fuera de su camino y evitar que enfureciera aún más –
tal vez la apertura de puertas, dirigirlos a áreas sensibles, o la oferta de
simpatía en un esfuerzo por evitar o mitigar la ira.
Una manera en que
los ingenieros sociales utilizan este aspecto de la conducta humana es mediante
la unión con sus objetivos sobre la causa de su enojo. ¿Quién no va a ofrecer
simpatía después de una mala sesión con uno de la compañía de seguros? Al
compartir frustraciones, un ingeniero social puede fomentar un sentido de
camaradería con un objetivo desprevenido mencionan los expertos de pruebas de
penetración.
Otra forma que los
ingenieros sociales pueden utilizar una situación hostil es si tienen que ir a
través de las zonas sensibles en las instalaciones físicas de una organización
y pasar la seguridad perimetral.
7. OBTENER UNA ENTREVISTA Y UN
TRABAJO
Objetivos de hackers
– es decir, las organizaciones con una gran cantidad de datos valiosos – valen
una mayor inversión de tiempo y energía, incluso hasta el punto de invertir
meses o años en la infiltración de una empresa. Un ingeniero social con una
agenda ambiciosa podría tener éxito en conseguir un puesto de trabajo, aunque
la entrevista por sí solo puede proporcionar suficiente información para
proceder al siguiente nivel de ataque para hackear la seguridad perimetral y
seguridad lógica.
Una sorprendente
cantidad de información confidencial o sensible puede ser intercambiada durante
una entrevista, en particular uno con un candidato prometedor. Los ingenieros
sociales son expertos en hacer las preguntas correctas tal vez acerca de la
tecnología de TI en funcionamiento, y los detalles de un proceso de negocio.
Se establece un
nivel de comodidad y familiaridad. El candidato puede incluso manejar la
situación para conseguir que el entrevistador inicie sesión en el sistema allí
mismo, obteniendo toda la información que necesitan de la entrevista a solas, y
nunca tener que mostrarse para un día de “trabajo”.
Sin embargo, el
entrevistador no puede ser llevado tan fácilmente, en cuyo caso, si la
organización de destino es lo suficientemente valiosa, el ingeniero social
podría tener éxito en la infiltración de la empresa desde dentro, por conseguir
un empleo y la obtención de las credenciales oficiales según experiencia de los
consultores de pruebas de penetración.
8. ACTUANDO COMO UN CONSULTOR
Un ingeniero social
puede en cambio optar por ingresar a la compañía como consultor. Los
consultores son a menudo confiados con una enorme cantidad de información
confidencial de seguridad perimetral, seguridad lógica después de que hayan
firmado sus acuerdos de no divulgación. Los asesores deben ser cuidadosamente
examinados, y las referencias obtenidas y confirmadas antes de contratarlos,
los niveles de confianza se deben aumentar lentamente.
9. HABLAR DE LA CHARLA
Una de las tácticas
de gran alcance en la caja de herramientas de los ingenieros sociales es el
conocimiento mencionan los expertos de pruebas de penetración. Un ingeniero
social experto puede usar esas habilidades para conseguir una entrevista o
incluso un puesto de trabajo, pero él o ella puede crear confianza simplemente
por estar bien informado. Las personas sin conocimientos técnicos pueden ser
fácilmente superadas por las personas que tienen derecho a las palabras de moda
y jergas de la industria, ya que a menudo proporcionan voluntariamente
contraseñas, acceso a sistemas de seguridad lógica a una persona que
simplemente suena bien informado y seguro de sí mismo.
10. INGENIERÍA SOCIAL INVERSA
Por último, existe
la táctica conocida como ingeniería social inversa (RSE), en la que el
ingeniero social crea un problema y, a continuación interviene para resolverlo.
Esta táctica tiene tres pasos básicos: el sabotaje inicial, que ofrecen asistencia
e infiltración.
En primer lugar, un
ingeniero social utiliza una jugada para alertar departamento de TI que están
bajo ataque. Esto puede ser un ataque de denegación de servicio en su página
web, o tal vez es tan simple como enviar un correo electrónico de phishing. El
objetivo es asegurar que ellos conocen que están bajo ataque y que la seguridad
perimetral, seguridad lógica puede verse comprometida.
A continuación, el
ingeniero social aparece como un consultor de seguridad perimetral, seguridad
lógica o agencia. Con una gran cantidad de conocimientos sobre el problema, ya
que ellos ayudaron a causarlo demuestran su experiencia y su capacidad para
solucionar el problema y ofrecer ayuda. Por último, después de haber sido
contratado para solucionar el problema que han causado, los atacantes son
capaces de ejecutar la actividad maliciosa, al igual que la posibilidad de
subir malware o el robo de datos confidenciales.
La primera línea de
defensa contra los ataques de ingeniería social es un buen programa de
educación para sus empleados y tener seguridad perimetral, seguridad lógica pero no
puede terminar ahí. Con el fin de fomentar una cultura de comportamiento
defensivo, las organizaciones puede configurar pruebas de penetración sin
previo aviso a los empleados, utilizando técnicas de ingeniería social
inesperadas en momentos aleatorios. Según expertos de International Institute
of Cyber Security iicybersecurity, Si los empleados están condicionados a
pensar y actuar de forma segura, es más probable que lo hagan cuando se
enfrentan a una amenaza real.
0 comments:
Post a Comment