normalmente no harían.
Término usado entre crackers y samurais para referirse a las
técnicas de violación que se sustentan en las debilidades de las personas mas que en el software.
El objetivo es engañar a la gente para que revele contraseñas u otra información que
comprometa la seguridad del sistema objetivo.
Objetivos
Los objetivos básicos de la Ingeniería Social son los mismos
del “hacking” o “cracking” (dependiendo de quien lo haga) en
general: ganar acceso no autorizado a los sistemas, redes o a
la información para...
>Cometer Fraude,
>Entrometerse en las Redes,
>Espionaje Industrial,
>Robo de Identidad (de moda),
>Irrumpir en los Sistemas o Redes.
Víctimas
Las víctimas típicas incluyen:
> Empresas Telefónicas
> Servicios de Helpdesk y CRM
> Corporaciones Renombradas
> Agencias e Instituciones Gubernamentales y Militares
> Instituciones Financieras
> Hospitales.
> En general, los ataques se centran en grandes compañias.
Artilugios y técnicas de la Ingeniería Social. (Invasivas directas o Físicas)
• El Teléfono
• La Basura
• La Internet-Intranet
• Fuera de la Oficina
Teléfono.
• Personificación Falsa y Persuación
> Tretas Engañosas: Amenazas, Confusiones Falsas.
> Falsos Reportes de Problemas.
• Personificación Falsa en llamadas a HelpDesks y Sistemas CRM
> Completación de Datos Personales
• Robo de Contraseñas o Claves de Acceso
Telefónico:
> Consulta de buzones de voz.
> Uso fraudulento de líneas telefónicas.
> Uso de Sistemas Internacionales de Voz sobre IP.
Técnicas de Ingeniería Social (Seductivas y/o Inadvertidas.)
• Autoridad
• Carisma
• Reciprocidad
• Validación Social
• Ingeniería Social Reversa
Autoridad
• Pretender estar con la gente de TI o con un alto ejecutivo en la Empresa o Institución.
• Puede usar un tono de voz:
> Intimidante
> Amenazante
> Urgente
Tips Simples para Defenderse.
• Mantenga una actitud cautelosa y revise
constantemente sus tendencias de
ayudar a personas que no conoce. Ojo:No tiene que volverse una persona
huraña y paranóica.
• Verifique con quien habla,
especialmente si le estan preguntando
por contraseñas, datos de empleado u
otra información sensitiva.
• Al teléfono, obtenga nombres e
identidades (Nro. De Empleado, por
ejemplo). Corrobórelos y llámelos a su
pretendida extensión.
• No se deje intimidar o adular para
terminar ofreciendo información.
• No le permita a una persona
desconocida “descrestarlo” con su
aparente conocimiento.
y por favor...NO RESPONDA MENSAJES EN CADENA!!!
Como Identificar al “Hacker Social”.• En los ataques telefónicos, se aprovechan del hecho de la mayor credibilidad de la mujer.
• Utilizan “marcas de agua” cuando usan correo
convencional falso.
• Usan tarjetas de negocio y nombres (ambos) falsos.
Verifíquelos antes de involucrarse.
• Tratan de manipular a las personas menos afortunadas, segregadas, a las menos agraciadas y en general a todos los que buscan validación
social.
Estratégias de Combate:
• Area de Riesgo
• Estratégia de Combate
> Refuerzo contínuo del conocimiento de los cambios a los sistemas y redes.
> Entrenamiento en el uso de contraseñas
> Inducción en la creación de contraseñas “fuertes”
• Tácticas del Hacker
> “Password Guessing”
> Encuestas, Concursos, Falsas Actualizaciones de Datos.
> Anexos con Troyanos, Exploits, Spyware, Software de Navegación remota y Screen Rendering.
No hay comentarios.:
Publicar un comentario