¿Por qué es efectiva la ingeniería social? | Hackeo ético

Ingeniería sociales una especialidad de controlar a las personas para revelar datos confidenciales para realizar alguna acción maliciosa. A pesar de las políticas de seguridad, los atacantes pueden comprometer la información confidencial de una organización mediante la ingeniería social, ya que apunta a la debilidad de las personas. La mayoría de las veces, los empleados ni siquiera son conscientes de un fallo de seguridad de su parte y revelan la información crítica de la organización sin darse cuenta. Por ejemplo, responder sin darse cuenta a las preguntas de extraños y responder a correos electrónicos no deseados. Las personas se han condicionado a no ser demasiado desconfiadas y asocian ciertos comportamientos y apariencias con entidades conocidas. Por ejemplo, un hombre con uniforme que lleva una pila de paquetes para entregar se considerará repartidor. Con la ayuda de trucos de ingeniería social, los atacantes logran obtener información confidencial, autorización,

Comportamientos vulnerables a los ataques:
aquí está la lista de comportamientos que son vulnerables a los ataques de ingeniería social:

1. La inclinación humana normal a creer en los demás es la piedra angular de cualquier truco de ingeniería social.
2. El desconocimiento de la ingeniería social y sus consecuencias para la fuerza laboral convierte a la organización en un blanco fácil.
3. Miedo a pérdidas severas en caso de incumplimiento de la solicitud del ingeniero social.
4. Los ingenieros sociales ceban los objetivos de revelar datos prometiendo algo a cambio de nada (voracidad).
5. A los destinatarios se les solicita asistencia y la consienten como una obligación ética.

Fuentes de información para el ataque:
antes de un ataque de ingeniería social, un pirata informático recopila información sobre la organización víctima de varias fuentes, como:

1. Sitios web oficiales de las organizaciones objetivo, donde se comparten las identificaciones, nombres y direcciones de correo electrónico de los empleados.
2. Anuncios de la organización objetivo a través del tipo de medios impresos requeridos para trabajadores de alta tecnología capacitados en bases de datos Oracle o servidores UNIX.
3. Blogs, foros, etc. donde los empleados comparten información personal y organizacional básica.

Después de recopilar la información requerida, el pirata informático ejecuta un ataque de ingeniería social utilizando varios enfoques, como suplantación de identidad, piggybacking, tailgating, ingeniería social inversa, etc. Robar información confidencial para realizar actividades maliciosas de manera inteligente se conoce como el arte de manipular a las personas, lo que se conoce como ingeniería social. A pesar de las políticas de seguridad, los atacantes pueden comprometer la información confidencial de una organización mediante la ingeniería social, ya que apunta a la debilidad de las personas.
Para tener éxito, los atacantes se interesan especialmente en desarrollar habilidades de ingeniería social y pueden ser tan competentes que las víctimas ni siquiera noten el fraude. Los atacantes siempre buscan nuevas formas de acceder a la información. También se aseguran de conocer el perímetro de la organización y las personas en el perímetro para aprovechar la supervisión humana.

La ingeniería social se aprovecha:
la ingeniería social trata de aprovechar las siguientes debilidades:

1. Reciprocidad-
   Es el primer principio universal de influencia. En pocas palabras, las personas están obligadas a devolver a los demás la forma de comportamiento, regalo o servicio que han recibido primero. Por ejemplo, si un amigo te invita a su fiesta, tienes la obligación de invitarlo a una futura fiesta que estés organizando. Y en el contexto de la obligación social, es más probable que las personas digan que sí a lo que deben. La clave para usar el principio de reciprocidad es ser el primero en dar y asegurarse de que lo que das sea personalizado e inesperado.
2. Escasez
   : el segundo principio universal de la persuasión es la escasez, lo que significa que las personas quieren más de las cosas de las que pueden tener menos. Entonces, cuando se trata de persuadir efectivamente a otros usando el principio de seguridad, la ciencia es clara. No es suficiente simplemente poner a las personas sobre los beneficios que obtendrán si eligen sus productos y servicios; también deberá señalar lo que es único acerca de su propuesta y lo que pueden perder si no la consideran.
3. Autoridad
   : se refiere a la idea de que las personas siguen el ejemplo de expertos en conocimiento creíbles. Los fisioterapeutas, por ejemplo, pueden persuadir a más pacientes para que cumplan con los programas de ejercicio recomendados si exhiben sus diplomas médicos en las paredes de sus consultorios. ¿Qué ciencia nos dice que es importante señalar a los demás lo que te convierte en una autoridad creíble y bien informada antes de intentar influir? De acuerdo con el principio, no importa si la persona que te presenta no solo está conectada contigo, sino que también es probable que prospere a partir de la presentación.
4. Gusto-
   Nos sintonizamos con las personas que nos gustan. Esta regla es la razón por la que solías ver a la atractiva joven sentada en la parte superior del vehículo de un juego en las promociones, por qué los elogios pueden mejorar las posibilidades de obtener ayuda y por qué ciertas strings de comida baratas tienen canales de Twitter grandilocuentes.
5. Compromiso
   : a las personas les gusta mantener una conducta confiable. Debido a esto, una pequeña actividad puede provocar actividades más grandes. Cialdini se refiere a un modelo; una investigación en la que se llamó a un ejemplo irregular de personas y se les preguntó cómo reaccionarían cuando se les pidiera que donaran tres horas de su tiempo para la Sociedad Estadounidense del Cáncer.
6. Consenso
   : las personas en general harán lo que creen que hacen todos los que las rodean, especialmente cuando no están seguros de qué hacer en cualquier caso. Si entras en una habitación repleta y todos miran al techo, ¿qué es lo principal que harás?
7. Unidad
   : Nos inclinamos hacia los individuos que distinguimos por ser como nosotros. Este es el lugar desde donde parte el patriotismo, el vínculo familiar y la Marcha de las Mujeres. También es por eso que nos gusta cuando compartimos un interés con alguien; es algo que compartimos para todos los efectos.
8. Capacitación de seguridad insuficiente: los
   empleados pueden ignorar los trucos de ingeniería social utilizados por un atacante para atraerlos y divulgar datos confidenciales sobre la organización. Por lo tanto, la responsabilidad mínima de cualquier organización es educar a sus empleados sobre las técnicas de ingeniería social y las amenazas asociadas con ellas para prevenir ataques de ingeniería social.
9. Acceso no regulado a la información-
   Para cualquier empresa, uno de los principales activos es su base de datos. Proporcionar acceso ilimitado o permitir el acceso de todos a datos confidenciales podría causarles problemas. Por lo tanto, las empresas deben garantizar una adecuada vigilancia y capacitación al personal clave que accede a los datos sensibles,
10. Varias unidades organizativas:
    algunas asociaciones tienen sus unidades en varias áreas geográficas, lo que dificulta el manejo de los mainframes. Por otra parte, se vuelve más fácil para un pirata informático acceder a los datos delicados de la asociación.
11. Falta de políticas de
    seguridad: la política de seguridad forma la base de la infraestructura de seguridad. Es un nivel significativo de archivo que representa los controles de seguridad actualizados en una organización. Se deben considerar todo tipo de medidas para cada posible amenaza o vulnerabilidad. La implementación de ciertas medidas de seguridad, como la política de cambio de contraseña, la política de intercambio de información, los privilegios de acceso, la identificación de usuario única y la seguridad centralizada, resultan beneficiosas.

Al igual que otras técnicas, la ingeniería social no se ocupa de los problemas de seguridad de la red, sino de la manipulación psicológica del ser humano para extraer la información deseada.

Por qué la ingeniería social sigue siendo convincente:
aquí hay algunas razones por las que la ingeniería social sigue siendo convincente: 

1. Independientemente de las diferentes estrategias de seguridad, prevenir la ingeniería social es una prueba, ya que las personas generalmente son vulnerables a la variedad.
2. De hecho, es difícil distinguir entre los esfuerzos de ingeniería social. La ingeniería social es la artesanía y el estudio de controlar a las personas para que revelen datos. Además, utilizando este truco, los agresores se cuelan en la bóveda de datos de una asociación.
3. Ninguna estrategia garantiza la seguridad total de los ataques de ingeniería social.
4. No se puede acceder a ningún equipo o programación en particular para defenderse de los ataques de ingeniería social.
5. Esta metodología es generalmente simple de actualizar y está libre de costos.

Impacto del ataque de ingeniería social en la organización:
la ingeniería social no parece ser un peligro real, pero puede provocar grandes desgracias para las organizaciones. El impacto del ataque de ingeniería social en las organizaciones incluye:

1. Pérdidas financieras: los
   competidores pueden utilizar procedimientos de ingeniería social para tomar datos confidenciales, por ejemplo, planes de desarrollo y sistemas publicitarios de una organización objetivo, lo que puede resultar en una desgracia financiera para la organización objetivo.
2. Daño a la buena voluntad
   : para una asociación, el altruismo es importante para atraer clientes. Los ataques de ingeniería social pueden dañar ese altruismo al liberar información jerárquica delicada.
3. Pérdida de
   privacidad: la privacidad es una preocupación importante, especialmente para las grandes organizaciones. Si una organización no puede mantener la privacidad de sus partes interesadas o clientes, entonces las personas pueden perder la confianza en la empresa y pueden interrumpir la asociación comercial con la organización. En consecuencia, la organización podría enfrentar pérdidas.
4. Peligros del terrorismo : el
   terrorismo y los elementos antisociales representan una amenaza para los activos de una organización: las personas y la propiedad. Los terroristas pueden usar técnicas de ingeniería social para hacer planos de sus objetivos para infiltrarse en sus objetivos.
5. Demandas y arbitraje
   : las demandas y el arbitraje generan publicidad negativa para una organización y afectan el desempeño del negocio.
6. Cierre temporal o permanente:
   los ataques de ingeniería social pueden resultar en una pérdida de buena voluntad. Las demandas y el arbitraje pueden forzar el cierre temporal o permanente de una organización y sus actividades comerciales.