La ingeniería social utiliza la debilidad humana o la psicología para obtener acceso al sistema, los datos y la información personal, etc. Es el arte de manipular a las personas. No implica el uso de técnicas técnicas de piratería. Los atacantes utilizan nuevas prácticas de ingeniería social porque, por lo general, es más fácil explotar la inclinación natural de la víctima a confiar.
Por ejemplo, es mucho más fácil engañar a alguien para que dé su contraseña en lugar de hackearla. Compartir demasiada información en las redes sociales puede permitir a los atacantes obtener una contraseña o extraer información confidencial de una empresa utilizando las publicaciones de los empleados. Esta información confidencial ayudó a los atacantes a obtener la contraseña de las cuentas de las víctimas.
¿Cómo se llevan a cabo los ataques de ingeniería social?
Las estafas de phishing son los tipos más comunes de ataques de ingeniería social en estos días. Herramientas como SET (Social Engineering Toolkit) también facilitan la creación de una página de phishing, pero afortunadamente muchas empresas ahora pueden detectar phishing como Facebook. Pero eso no significa que no puedas ser víctima de phishing porque hoy en día los atacantes utilizan iframe para manipular las técnicas de detección. El ejemplo de dichos códigos ocultos en las páginas de phishing son la falsificación de requests entre sitios “ CSRF ”, que es un ataque que obliga a un usuario final a ejecutar acciones no deseadas en una aplicación web.
Ejemplo: en 2018, hemos visto un gran aumento en el uso de ransomware que se entregó junto con los correos electrónicos de phishing. Lo que hace un atacante suele entregar un archivo adjunto con un asunto como «Información de la cuenta» con la extensión de archivo común, por ejemplo, .pdf/.docx/.rar, etc. En el que el usuario generalmente hace clic y el trabajo del atacante se realiza aquí. Este ataque a menudo cifra todo el disco o los documentos y luego, para descifrar estos archivos, requiere el pago de criptomonedas, que se dice que es «Ransom (dinero)». Por lo general, aceptan Bitcoin/Etherium como moneda virtual debido a su característica no rastreable. Estos son algunos ejemplos de ataques de ingeniería social que se suelen ejecutar a través de phishing:
- Estafas de enlaces bancarios
- Estafas de enlaces de redes sociales
- Estafas de lotería por correo
- Estafas de empleo
Prevención
- Supervise oportunamente las cuentas en línea, ya sean cuentas de redes sociales o cuentas bancarias, para asegurarse de que no se hayan realizado transacciones no autorizadas.
- Verifique los encabezados de correo electrónico en caso de que haya algún correo sospechoso para verificar su fuente legítima.
- Evite hacer clic en enlaces, archivos desconocidos o abrir archivos adjuntos de correo electrónico de remitentes desconocidos.
- Tenga cuidado con los enlaces a formularios en línea que requieren información personal, incluso si el correo electrónico parece provenir de una fuente. Los sitios web de phishing son iguales a los sitios web legítimos en apariencia.
- Adopte un mecanismo de seguridad adecuado, como filtros de spam, software antivirus y un firewall, y mantenga todos los sistemas actualizados, anti-keyloggers.
Publicación traducida automáticamente
Artículo escrito por deepamanknp y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA