La ingeniería social es un método no técnico para irrumpir en un sistema o red. Es el proceso de engañar a los usuarios de un sistema y convencerlos a realizar actos de utilidad para el hacker, tales como dar información que se puede utilizar para anular o evitar mecanismos de seguridad.
Es importante entender la ingeniería social porque los hackers la pueden utilizar para atacar al elemento humano de un sistema y eludir las medidas técnicas de seguridad. Este método puede ser utilizado para recoger información antes de o durante un ataque.
La parte más peligrosa de la ingeniería social es que las empresas con procesos de autenticación, cortafuegos, redes privadas virtuales y software de supervisión de la red siguen siendo vulnerables a ataques externos, ya que la ingeniería social no ataca las medidas de seguridad directamente.
La ingeniería social incluye la adquisición de información sensible o el acceso indebido de privilegios por un extraño, basado en la construcción de relaciones de confianza inapropiados. Los hackers que son capaces de relacionarse y parece ser una parte de la organización son los más exitosos en los ataques de ingeniería social. Esta capacidad de mezclarse es referida comúnmente como el arte de la manipulación.
La ingeniería social se puede dividir en dos tipos comunes:
Basados en personas: Ingeniería social basada en las personas se refiere a la interacción de persona a persona para obtener la información deseada. Basada en el Cómputo: La ingeniería social basada en cómputo se refiere a tener los programas informáticos para intentar obtener la información deseada.
Las técnicas de ingeniería social basados en personas pueden clasificarse en términos generales como sigue:
Los ataques de ingeniería social basados en computadora pueden incluir los siguientes:
Si un hacker no puede encontrar alguna otra manera de vulnerar una organización, la siguiente mejor opción es infiltrar la organización siendo contratado como empleado o mediante la búsqueda de un empleado descontento que ayude en el ataque. Los ataques internos pueden ser de gran alcance porque los empleados tienen acceso físico y son capaces de moverse libremente por la organización.
Un hacker puede hacerse pasar por un empleado o robar la identidad del empleado para perpetrar un ataque. La información reunida en la etapa de dumpster diving o en el Shoulder surfing en combinación con la creación de credenciales de identificación falsas puede dar acceso a los hackers en una organización.
El phishing consiste en el envío de un correo electrónico, por lo general se hacen pasar por un banco, compañía de tarjetas de crédito u otra organización financiera. Los correos solicitan que el destinatario confirme la información bancaria o piden restablecer las contraseñas o PIN. El usuario al hace clic en el enlace del correo electrónico se redirige a un sitio web falso.
Algunos sitios web que hacen ofertas gratuitas u otras ofertas especiales pueden atraer a una víctima para introducir un nombre de usuario y una contraseña que puede ser los mismos que los que utilizan para tener acceso a su sistema de trabajo.
Ventanas emergentes también se pueden utilizar en los ataques de ingeniería basados en computadoras, en una situación similar al los archivos adjuntos de correo electrónico, ventanas pop-up con ofertas especiales o cosas gratis pueden animar a un usuario a instalar software malicioso sin querer.
En términos simples, es la dirección del sitio web. La ofuscación de URL consta en ocultar una dirección URL falsa en lo que parece ser una dirección de sitio web legítimo. Por ejemplo, un sitio web 204.13.144.2/Citibank puede parecer ser una dirección web legítima para Citibank pero en realidad no lo es. La ofuscación de URL se utiliza en los ataques de phishing y en estafas en línea para hacer que la estafa parezca legítima.
Saber cómo combatir la ingeniería social es fundamental para cualquier hacker ético certificado. Hay varias maneras de hacer esto.
Políticas de seguridad documentadas y aplicadas, y programas de sensibilización de seguridad son el componente crítico en cualquier programa de seguridad de la información. Las buenas políticas y procedimientos no son eficaces si no se enseñan y refuerzan en los empleados. Las políticas deben ser comunicadas a los empleados para enfatizar su importancia y, deben ser aplicadas por la dirección.
** eof **
Obtendrás información ampliada Y COMPLETA, a la que has leído en este artículo, y material adicional, visita https://ehack.mx/ceh/ para más información o ecríbenos a ceh@ehack.mx
Ingeniería Social by Roberto C. González is licensed under a Creative Commons Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional License.
El comando dnsenum es una herramienta de línea de comandos para realizar enumeración de DNS…
En esta entrada te presento 24 de las listas negras más comunes que los servidores…
ZoomIt es una herramienta de anotación y zoom de pantalla para presentaciones técnicas que incluyen…
WinObj es el visor de espacios de nombres de Object Manager definitivo. Es la primera…
Whois realiza el registro de registro para el nombre de dominio o la dirección IP…
VolumeID – Esta utilidad, le permite cambiar los identificadores de los discos FAT y NTFS…