Que es Ingeniería social? 11 ejemplos a tener en cuenta
Índice del contenido
¿Qué es exactamente la ingeniería social, de todos modos?
La ingeniería social se refiere al acto de manipular a las personas para extraer su información confidencial. El tipo de información que buscan los delincuentes puede variar. Por lo general, las personas son el objetivo de sus datos bancarios o las contraseñas de sus cuentas. Los delincuentes también intentan acceder a la computadora de la víctima para instalar software malicioso. Este software les ayuda a extraer cualquier información que puedan necesitar.
Los delincuentes utilizan tácticas de ingeniería social porque a menudo es fácil explotar a una persona ganándose su confianza y convenciéndola de que revele sus datos personales. Es una forma más conveniente que piratear directamente la computadora de alguien sin su conocimiento.
Ejemplos de ingeniería social
Podrás protegerte mejor estando informado de las diferentes formas en que se realiza la ingeniería social.
1. Pretextar
El pretexto se utiliza cuando el delincuente quiere acceder a información confidencial de la víctima para realizar una tarea crítica. El atacante intenta obtener la información a través de varias mentiras cuidadosamente elaboradas.
El criminal comienza estableciendo confianza con la víctima. Esto se puede hacer haciéndose pasar por sus amigos, colegas, funcionarios bancarios, policías u otras autoridades que puedan solicitar dicha información confidencial. El atacante les hace una serie de preguntas con el pretexto de confirmar su identidad y recopila datos personales en este proceso.
Este método se utiliza para extraer todo tipo de datos personales y oficiales de una persona. Dicha información puede incluir direcciones personales, números de seguro social, números de teléfono, registros telefónicos, datos bancarios, fechas de vacaciones del personal, información de seguridad relacionada con empresas, etc.
2. Robo de desvío
Este es un tipo de estafa que generalmente está dirigida a las empresas de mensajería y transporte. El delincuente intenta engañar a la empresa objetivo haciéndoles entregar su paquete de entrega en un lugar de entrega diferente al previsto originalmente. Esta técnica se utiliza para robar bienes preciosos que se envían por correo.
Esta estafa puede llevarse a cabo tanto fuera de línea como en línea. Se puede acercar al personal que lleva los paquetes y convencerlo de que deje la entrega en un lugar diferente. Los atacantes también pueden obtener acceso al sistema de entrega en línea. Luego pueden interceptar el cronograma de entrega y modificarlo.
3. Suplantación de identidad
El phishing es una de las formas más populares de ingeniería social. Las estafas de phishing involucran correos electrónicos y mensajes de texto que pueden crear una sensación de curiosidad, miedo o urgencia en las víctimas. El texto o correo electrónico los incita a hacer clic en enlaces que los llevarían a sitios web maliciosos o archivos adjuntos que instalarían malware en sus dispositivos.
Por ejemplo, los usuarios de un servicio en línea pueden recibir un correo electrónico en el que se les informa que ha habido un cambio de política que les obliga a cambiar sus contraseñas de inmediato. El correo contendrá un enlace a un sitio web ilegal que es idéntico al sitio web original. Luego, el usuario ingresará las credenciales de su cuenta en ese sitio web, considerándolo legítimo. Al enviar sus detalles, la información será accesible para el delincuente.
4 Spear phishing
Este es un tipo de estafa de phishing que está más dirigida a un individuo u organización en particular. El atacante personaliza sus mensajes en función de los puestos de trabajo, características y contratos relacionados con la víctima, para que parezcan más genuinos. Spear phishing requiere más esfuerzo por parte del delincuente y puede llevar mucho más tiempo que el phishing regular. Sin embargo, son más difíciles de identificar y tienen una mejor tasa de éxito.
Por ejemplo, un atacante que intente phishing selectivo en una organización enviará un correo electrónico a un empleado haciéndose pasar por el consultor de TI de la empresa. El correo electrónico se enmarcará de manera que sea exactamente similar a como lo hace el consultor. Parecerá lo suficientemente auténtico como para engañar al destinatario. El correo electrónico solicitará al empleado que cambie su contraseña al proporcionarle un enlace a una página web maliciosa que registrará su información y se la enviará al atacante.
5. Agujero de agua
La estafa de pozos de agua se aprovecha de sitios web confiables que muchas personas visitan regularmente. El delincuente recopilará información sobre un grupo objetivo de personas para determinar qué sitios web visitan con frecuencia. Estos sitios web luego serán probados en busca de vulnerabilidades. Con el tiempo, uno o más miembros de este grupo se infectarán. El atacante podrá entonces acceder al sistema seguro de estos usuarios infectados.
El nombre proviene de la analogía de cómo los animales beben agua reuniéndose en sus lugares de confianza cuando tienen sed. No se lo piensan dos veces a la hora de tomar precauciones. Los depredadores son conscientes de esto, por lo que esperan cerca, listos para atacarlos cuando bajan la guardia. Water-holing en el panorama digital se puede utilizar para realizar algunos de los ataques más devastadores contra un grupo de usuarios vulnerables al mismo tiempo.
6. cebo
Como es evidente por el nombre, el cebo implica el uso de una promesa falsa para provocar la curiosidad o la codicia de la víctima. La víctima es atraída a una trampa digital que ayudará al delincuente a robar sus datos personales o instalar malware en sus sistemas.
El cebo puede tener lugar a través de medios tanto en línea como fuera de línea. Como ejemplo fuera de línea, el delincuente podría dejar el cebo en forma de una unidad flash que ha sido infectada con malware en lugares visibles. Este podría ser el ascensor, el baño, el estacionamiento, etc., de la empresa objetivo. La unidad flash tendrá un aspecto auténtico, lo que hará que la víctima la tome y la inserte en la computadora de su trabajo o de su hogar. La unidad flash luego exportará automáticamente el malware al sistema.
Las formas de hostigamiento en línea pueden ser en forma de anuncios atractivos y atractivos que animen a las víctimas a hacer clic en ellos. El enlace puede descargar programas maliciosos, que luego infectarán su computadora con malware.
7. Quid pro quo
Un ataque quid pro quo significa un ataque de “algo por algo”. Es una variación de la técnica del cebo. En lugar de cebar a las víctimas con la promesa de un beneficio, un ataque quid pro quo promete un servicio si se ha ejecutado una acción específica. El atacante ofrece un beneficio falso a la víctima a cambio de acceso o información.
La forma más común de este ataque es cuando un delincuente se hace pasar por personal de TI de una empresa. Luego, el delincuente se pone en contacto con los empleados de la empresa y les ofrece un nuevo software o una actualización del sistema. Luego se le pedirá al empleado que deshabilite su software antivirus o que instale software malicioso si desea la actualización.
8. Seguir de cerca
Un ataque de seguimiento también se llama piggybacking. Involucra al delincuente que busca ingresar dentro de una ubicación restringida que no cuenta con las medidas de autenticación adecuadas. El delincuente puede acceder caminando detrás de otra persona que haya sido autorizada para ingresar al área.
Por ejemplo, el delincuente puede hacerse pasar por un repartidor que tiene las manos llenas de paquetes. Espera a que un empleado autorizado entre por la puerta. El repartidor impostor le pide al empleado que le sostenga la puerta, dejándolo así entrar sin ninguna autorización.
9. trampa de miel
Este truco consiste en que el delincuente finja ser una persona atractiva en línea. La persona se hace amiga de sus objetivos y finge una relación en línea con ellos. Luego, el delincuente aprovecha esta relación para extraer los datos personales de sus víctimas, pedirles dinero prestado o hacer que instalen malware en sus computadoras.
El nombre 'trampa de miel' proviene de las viejas tácticas de espionaje en las que se usaba a las mujeres para atacar a los hombres.
10. Pícaro
El software no autorizado puede aparecer en forma de antimalware no autorizado, escáner no autorizado, scareware no autorizado, antispyware, etc. Este tipo de malware informático engaña a los usuarios para que paguen por un software simulado o falso que prometía eliminar el malware. El software de seguridad falso se ha convertido en una preocupación creciente en los últimos años. Un usuario desprevenido podría caer fácilmente presa de dicho software, que está disponible en abundancia.
11. Malware
El objetivo de un ataque de malware es lograr que la víctima instale malware en sus sistemas. El atacante manipula las emociones humanas para que la víctima permita que el malware ingrese a sus computadoras. Esta técnica implica el uso de mensajes instantáneos, mensajes de texto, redes sociales, correo electrónico, etc., para enviar mensajes de phishing. Estos mensajes engañan a la víctima para que haga clic en un enlace que abrirá un sitio web que contiene el malware.
Las tácticas de miedo se utilizan a menudo para los mensajes. Podrían decir que hay algún problema con su cuenta y que debe hacer clic inmediatamente en el enlace proporcionado para iniciar sesión en su cuenta. Luego, el enlace le hará descargar un archivo a través del cual se instalará el malware en su computadora.
Manténgase alerta, manténgase seguro
Mantenerse informado es el primer paso para protegerse de ataques de ingeniería social. Un consejo básico es ignorar cualquier mensaje que solicite su contraseña o información financiera. Puede usar los filtros de correo no deseado que vienen con sus servicios de correo electrónico para marcar dichos correos electrónicos. Obtener un software antivirus confiable también ayudará a proteger aún más su sistema.
