-
Tàctiques denginyeria social i com els Ciberdelinqüents manipulen la psicologia humana.
-
12 d'agost de 2024
-
Lenginyeria social és un mètode datac que explota les debilitats humanes en lloc de les tecnològiques. En lloc de tractar de forçar la seva entrada en un sistema, els ciberdelinqüents manipulen les persones perquè lliurin voluntàriament la informació que busquen. A través de la manipulació psicològica , els atacants aconsegueixen que les víctimes realitzin accions que comprometen la seguretat de les dades o sistemes.
Phishing
Elphishingés una de les tàctiques denginyeria social més comunes i efectives. Consisteix a enviar correus electrònics fraudulents que semblen provenir de fonts fiables, com ara bancs o plataformes de xarxes socials. L'objectiu és enganyar la víctima perquè lliuri informació confidencial, com ara contrasenyes o números de targetes de crèdit. Aquests correus solen incloure un enllaç a un lloc web fals, dissenyat per semblar legítim, on la víctima introdueix les dades personals.
Les variants del phishing, com el spear phishingi el whaling, estan adreçades a víctimes específiques, utilitzant informació personal o corporativa per fer l'atac més convincent. En el cas del spear phishing, s'enfoca en individus o empleats d'una empresa, mentre que el whalingapunta executius dalt nivell.
Pretexting: Crear una història convincent
El pretextingés una tàctica on l'atacant crea un escenari fals, o “pretext”, per enganyar la víctima i fer-la revelar informació confidencial. Això pot incloure fer-se passar per un company de feina, un tècnic de suport o fins i tot una figura dautoritat, com un oficial de policia. La clau del pretextingés que la història presentada per l'atacant ha de ser prou creïble perquè la víctima no sospiti.
Per exemple, un ciberdelinqüent podria trucar a un empleat, fingint ser del departament de TI, i sol·licitar accés al vostre compte per resoldre un problema tècnic. En presentar-se amb una actitud d'autoritat i urgència, l'atacant aconsegueix que la víctima abaixi la guàrdia i cooperi.
Baiting: Atrapar la víctima amb un parany temptador
Elbaitingés una tàctica en què l'atacant utilitza una recompensa o incentiu fals per atraure la víctima. Un exemple comú és deixar unitats USB infectades en llocs públics, com ara estacionaments o cafeteries, esperant que algú les reculli i les connecti a l'ordinador. Quan es connecten, el programari maliciós s'instal·la automàticament al sistema de la víctima.
Una altra forma de baitingpot involucrar descàrregues gratuïtes de programari, música o pel·lícules. Els ciberdelinqüents ofereixen aquests fitxers en llocs web no oficials, però el fitxer descarregat conté codi maliciós que compromet la seguretat del dispositiu de la víctima. La idea és que la temptació d'obtenir alguna cosa "gratis" ennuvoli el judici de la persona, fent-la ignorar els possibles riscos.
Quid pro quo: Un intercanvi fraudulent
El quid pro quo, que significa "alguna cosa per alguna cosa", és una tàctica on l'atacant ofereix un servei o benefici a canvi d'informació o accés. Un exemple comú és quan un ciberdelinqüent es fa passar per un tècnic de suport i ofereix solucionar un problema tècnic a canvi de credencials daccés.
Aquest tipus datac és especialment efectiu en ambients laborals on els empleats estan acostumats a rebre assistència tècnica. El ciberdelinqüent pot prometre resoldre un problema tècnic urgent, i la víctima, ansiosa per rebre ajuda, lliura la informació sol·licitada sense qüestionar la legitimitat de l'oferta.
Impersonació: Fingir ser algú més
La impersonació és una tècnica d'enginyeria social on l'atacant fa veure que és una altra persona, generalment algú de confiança per a la víctima. Això pot incloure fer-se passar per un col·lega, un cap o fins i tot un proveïdor. Els atacs d'impersonació són particularment efectius en ambients corporatius on els empleats solen obeir ordres de superiors sense qüestionar-les.
En alguns casos, els atacants investiguen les víctimes per obtenir detalls específics que facin la seva actuació més creïble. Utilitzant informació disponible públicament, com a perfils de xarxes socials, l'atacant pot personalitzar-ne l'enfocament i fer que la sol·licitud sembli legítima. Per exemple, podria enviar un correu electrònic fent-se passar pel CEO d'una empresa, demanant una transferència bancària urgent a un compte controlat per l'atacant.
Evitant caure al parany
Protegir-se contra les tàctiques denginyeria social requereix una combinació de coneixement, precaució i escepticisme. És crucial educar els empleats i el públic en general sobre els mètodes utilitzats pels ciberdelinqüents. Les organitzacions han dimplementar programes de conscienciació sobre seguretat que incloguin simulacions datacs denginyeria social perquè els empleats puguin reconèixer i respondre adequadament a aquests intents.
A més, és important verificar sempre la identitat de qualsevol persona que sol·liciti informació confidencial o accés a sistemes. Les polítiques de seguretat han d'incloure procediments per a la verificació de sol·licituds, com ara contactar directament la persona que suposadament va fer la sol·licitud utilitzant informació de contacte oficial i no a través de la informació proporcionada al missatge rebut.
Per tant, l'enginyeria social continua sent una de les amenaces més insidioses al panorama de la ciberseguretat. En comprendre les tàctiques utilitzades pels atacants i prendre mesures proactives, podem reduir significativament el risc de caure als seus paranys.
Comentarios:
Sin comentarios