Tácticas comunes de ataque de ingeniería social y cómo prevenirlas

Cuando ves a los piratas informáticos en la televisión, siempre son expertos digitales. Golpean agresivamente los teclados en habitaciones oscuras, derribando firewalls e infiltrándose en redes al descifrar el código de la computadora y romper los protocolos de seguridad. Como puede imaginar, esto tiene poco que ver con lo que hacen los piratas informáticos exitosos en el mundo real. Muchos piratas informáticos modernos ni siquiera atacan principalmente a las computadoras. En su lugar, atacan a las personas, superando los obstáculos de seguridad mediante técnicas de ataque de ingeniería social.

La ingeniería social es una técnica nefasta que utilizan los estafadores para ganarse su confianza. Al imitar fuentes confiables y explotar la psicología humana, los piratas informáticos lo manipulan para que divulgue información confidencial libremente. Al aprender algunos ataques comunes de ingeniería social y cómo prevenirlos, puede evitar convertirse en una víctima.

Ataques de phishing

Los ataques de phishing son, con mucho, la forma más común de ataque de ingeniería social. Por lo general, un atacante imita un correo electrónico de una parte en la que confía. Por ejemplo, pueden crear un correo electrónico que imite un mensaje de su banco. Ese correo electrónico puede verse exactamente como los correos electrónicos de su banco y puede parecer que proviene de una dirección de correo electrónico propiedad de su banco. Pero si toma las medidas que exige el correo electrónico para desbloquear su cuenta, estará entrando directamente en las garras del atacante. También verá correos electrónicos falsos que supuestamente provienen de un contacto personal que le solicita que visite un enlace de Google Drive.

Para combatir los ataques de phishing, verifique dos veces los correos electrónicos sospechosos a través de un canal de comunicación separado. Si recibe un correo electrónico de su banco solicitando que se comunique con ellos, no utilice la información contenida en el correo electrónico. En su lugar, busque el número de teléfono de su banco en su sitio web oficial y llámelos para confirmar la veracidad de la comunicación. Si recibe un correo electrónico inusual de un amigo o colega, envíele un correo electrónico por separado o llámelo para asegurarse de que el correo electrónico sea legítimo.

Ataques de abrevadero

Los ataques de abrevadero son más sutiles que los ataques de phishing. Dependen de incrustar malware dentro de un sitio web de confianza que el objetivo ya visita. Esto comienza con un exploit técnico en el código del sitio web, pero solo tiene éxito cuando la víctima hace clic en un enlace envenenado. Es un ataque difícil contra el que protegerse, pero se basa en la tendencia del usuario a confiar en información sospechosa si aparece en un sitio de confianza. Es útil estar al tanto del contenido sospechoso, sin importar dónde lo vea.

Pretextando

Al pretextar los ataques, los atacantes crean un escenario falso diseñado para manipular a los objetivos para que proporcionen información. Una técnica común consiste en que los atacantes soliciten información para confirmar su identidad. Las versiones avanzadas de este ataque podrían incluso convencer a las víctimas de que tomen medidas que permitan a los piratas informáticos acceder a una red segura.

Como regla general, nunca debe dar información confidencial a nadie que lo llame o le envíe un correo electrónico inesperadamente, y sea respetuoso con los extraños. Si su trabajo implica enviar información confidencial, asegúrese de seguir los protocolos de la empresa al pie de la letra: normalmente están diseñados para proteger contra estos escenarios. Los atacantes confían en que infrinjas las reglas.

Chupar rueda

Los ataques de seguimiento se basan en la rapidez con la que la mayoría de las personas genera confianza para obtener acceso a ubicaciones físicas. Al entablar conversaciones amistosas y actuar como si pertenecieran, los atacantes pueden abrirse camino hacia áreas seguras. Las historias comunes involucran tarjetas clave perdidas o, mejor aún, soporte técnico solicitado por la alta gerencia. El nombre proviene de la forma más rudimentaria de la técnica en la que los atacantes violan una ubicación restringida siguiendo de cerca a una persona autorizada.

Sea cortésmente cauteloso con la identidad de todos los extraños y nunca ayude a los extraños a acceder a una ubicación segura, incluso si parecen legítimos. Esto se aplica doblemente a los reparadores o trabajadores de servicios públicos inesperados.

Cebo

A veces, los atacantes “ceban” a las personas ofreciéndoles algo que quieren. Por ejemplo, los atacantes pueden ofrecer descargas gratuitas de música, películas o pornografía. Estas descargas, por supuesto, contienen programas maliciosos. Encontrará esto con frecuencia en torrents ilegales u otras descargas que subvierten los derechos de autor. Debido a que los objetivos quieren el cebo, no sospecharán ni siquiera de los programas obviamente maliciosos. Los atacantes también pueden dejar misteriosas unidades USB por ahí, con la esperanza de que un alma curiosa conecte una a su computadora y permita que el malware de ejecución automática descargue su carga útil.

Siempre cuestione ofertas que parezcan demasiado buenas para ser verdad. Nunca descargue música o películas gratis y obtenga su material para adultos de fuentes confiables. Y si conecta un dispositivo misterioso a su computadora, se merece todo lo que obtenga.

Conclusión

Puede evitar la mayoría de los ataques de ingeniería social reduciendo la velocidad y pensando antes de actuar. Sea amigable pero cauteloso con los extraños que soliciten incluso información inocua y aumente su nivel general de sospecha. No crea una historia solo porque suena bien o porque la fuente parece creíble. Y, por supuesto, nunca proporcione información confidencial o acceso a esa información a personas desconocidas.

Crédito de la imagen: Crackers , Conversation

¡Si te ha gustado vota con 5 Estrellas!
(Votos: 0 Promedio: 0)

Escribe Aquí Tu Comentario