5 tipos de ataques de ingeniería social

0 Comments

las estafas de ingeniería Social han estado sucediendo durante años y, sin embargo, seguimos cayendo en ellos todos los días. Esto se debe a la abrumadora falta de capacitación en ciberseguridad disponible para los empleados de organizaciones grandes y pequeñas. En un esfuerzo por difundir la conciencia de esta táctica y luchar, aquí hay una descripción rápida de las estafas comunes de ingeniería social., Los proveedores de servicios administrados (MSP) tienen la oportunidad de educar a sus clientes de Pequeñas y Medianas Empresas para que aprendan a identificar estos ataques, lo que facilita mucho evitar amenazas como el ransomware.

Phishing

El Phishing es una forma líder de ataque de ingeniería social que generalmente se entrega en forma de correo electrónico, chat, anuncio web o sitio web que ha sido diseñado para hacerse pasar por un sistema, persona u organización real. Los mensajes de Phishing están diseñados para transmitir una sensación de urgencia o miedo con el objetivo final de capturar los datos confidenciales de un usuario final., Un mensaje de phishing puede provenir de un banco, el gobierno o una gran corporación. El llamado a la acción varía. Algunos le piden al usuario final que «verifique» la información de inicio de sesión de una cuenta e incluya una página de inicio de sesión con logotipos y marcas para que parezca legítima. Algunos afirman que el usuario final es el «ganador» de un gran premio o lotería y solicitan acceso a una cuenta bancaria en la que entregar las ganancias. Algunos piden donaciones caritativas (y proporcionan instrucciones de cableado) después de un desastre natural o tragedia. Un ataque exitoso a menudo culmina en el acceso a los sistemas y la pérdida de datos., Las organizaciones de todos los tamaños deben considerar hacer copias de seguridad de los datos críticos para el negocio con una solución de continuidad del negocio y recuperación ante desastres para recuperarse de tales situaciones.

Baiting

Baiting, similar al phishing, implica ofrecer algo tentador a un usuario final, a cambio de información de inicio de sesión o datos privados., El » cebo «viene en muchas formas, tanto digital, como una descarga de música o película en un sitio peer-to-peer, y física, como una unidad flash de marca corporativa etiquetada como» Executive Salary Summary Q3 » que se deja en un escritorio para que un usuario final lo encuentre. Una vez que el cebo se descarga o se utiliza, el software malicioso se entrega directamente en el sistema de los usuarios finales y el hacker es capaz de ponerse a trabajar.

Quid Pro Quo

Similar al cebo, quid pro quo implica que un hacker solicite el intercambio de datos críticos o credenciales de inicio de sesión a cambio de un servicio., Por ejemplo, un usuario final puede recibir una llamada telefónica del hacker que, haciéndose pasar por un experto en tecnología, ofrece asistencia informática gratuita o mejoras tecnológicas a cambio de credenciales de inicio de sesión. Otro ejemplo común es un hacker, haciéndose pasar por un investigador, pide acceso a la red de la compañía como parte de un experimento a cambio de 1 100. Si una oferta suena demasiado buena para ser verdad, probablemente es quid pro quo.

Piggybacking

Piggybacking, también llamado tailgating, es cuando una persona no autorizada sigue físicamente a una persona autorizada en un área o sistema corporativo restringido., Un método probado y verdadero de piggybacking es cuando un hacker llama a un empleado para mantener una puerta abierta para ellos ya que han olvidado su tarjeta de identificación. Otro método implica que una persona le pide a un empleado que «tome prestado» su computadora portátil durante unos minutos, durante los cuales el criminal puede instalar rápidamente software malicioso.,

Pretexting

Pretexting, el equivalente humano de phishing, es cuando un hacker crea una falsa sensación de confianza entre ellos y el usuario final al hacerse pasar por un compañero de trabajo o una figura de autoridad bien conocida por un usuario final con el fin de obtener acceso a la información de inicio de sesión. Un ejemplo de este tipo de estafa es un correo electrónico a un empleado de lo que parece ser el jefe de soporte de TI o un mensaje de chat de un investigador que afirma estar realizando una auditoría corporativa., Los pretextos son altamente efectivos, ya que reducen las defensas humanas al phishing al crear la expectativa de que algo es legítimo y seguro para interactuar. Los correos electrónicos de pretextos son particularmente exitosos para obtener acceso a contraseñas y datos comerciales, ya que los imitadores pueden parecer legítimos, por lo que es importante tener un proveedor de copias de seguridad de terceros

para que todos los empleados estén al tanto de los de ingeniería social es esencial para garantizar la ciberseguridad corporativa., Si los usuarios conocen las principales características de estos ataques, es mucho más probable que puedan evitar caer en ellos.

aparte de la educación y la conciencia, hay otras maneras de reducir el riesgo de ser hackeado. Los empleados deben recibir instrucciones de no abrir correos electrónicos o hacer clic en enlaces de fuentes desconocidas. Las computadoras nunca deben compartirse con nadie, ni siquiera por un momento. De forma predeterminada, todos los equipos de escritorio, portátiles y dispositivos móviles de la empresa deben bloquearse automáticamente cuando se dejan inactivos durante más de cinco minutos (o menos)., Por último, asegúrese de que su negocio esté preparado para recuperarse rápidamente de este tipo de ataque en caso de que un empleado sea víctima de uno de estos esquemas. Los humanos son humanos después de todo. Al aprovechar una solución de copia de seguridad y recuperación sólida, todos pueden estar tranquilos.


Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *