viernes, 22 de mayo de 2015

"A MI NO ME ENGAÑAN"

Ingeniería social: el arte del engaño


http://hangouton.es/video-ingenieria-social-arte-del-engano/
“A mí no me engañan”.

Sí, esa frase la hemos dicho todos pero la realidad es que cualquiera estamos expuestos a caer en las zarpas de los ciberdelincuentes. Hacerlo es más fácil de lo que parece si no se es precavido y es que la ingeniería social está a la orden del día. Este sutil arte del engaño no ha surgido al amparo de Internet si no que siempre ha existido lo que sucede es que cada vez se refinan más las prácticas y se dan a mayor escala.



El 1,2,3 de la Ingeniería Social
http://www.bsecure.com.mx

  • Identificar a la Victima- En esta área se comprende la psicología de la víctima, y de ser necesario, el ingeniero social se convierte en una persona totalmente distinta a fin de agradarle y obtener la información que desea.

  1. Reconocimiento-No es otra cosa que obtener información de la víctima.
    1. Ahora bien, ¿dónde obtenemos información de la víctima?  La obtención de información se puede realizar mediante  sitios Web, bases de datos, grupos de noticias, socios de negocios, “dumpster diving” búsqueda en la basura.
    2. Existe una herramienta que para mí es una de las más poderosas y se llama:Facebook.  Al visitar los perfiles de Facebook, uno puede darse cuenta que la mayoría de las personas no se toman la molestia de manejar su perfil como privado, sino que al contrario, lo dejan como público.  Gracias a estos “muros” de datos personales encontramos información como nombre, fecha de nacimiento, lugar de nacimiento, escuelas donde estudió, empresas en las que ha laborado, amistades e incluso fotografías.
    3. Telefónicamente, el atacante se hace pasar por otra persona o sorprende en su buena fe al usuario aprovechándose de su ignorancia o inocencia, y así consigue información importante.
    4. Investigando en los contenedores de basura de la víctima.  Allí pueden encontrarse datos útiles como horarios de vigilancia, nombres y códigos de empleados, procedimientos de la empresa, códigos fuente, discos u otros dispositivos de almacenamiento.
    5. Crear el escenario-Una vez estudiado cuidadosamente quién es la víctima, se procede a crear un escenario creíble en el cual participarán la víctima y el ingeniero social.  La parte más importante de un ataque es la creación del escenario que dará pie al ataque en sí.  Este escenario apela a todos los principios antes expuestos y cuidadosamente elaborados para engañar a la víctima.  Este escenario puede ser una situación por teléfono, puede ser una aparición física al área de trabajo, puede ser a través de Internet en fin existen diversos medios para crear el escenario del ataque.
    6. Realizar el taque- Por supuesto la realización del ataque supone que se conocen de ante mano toda la información necesaria para llevarlo a cabo sin dejar rastros.
    7. Obtener la información- Una vez se obtiene la información deseada solo procede a salir.
    8. Salir –Finalmente el salir implica el borrado de huellas, de modo que no queden evidencias de que se estuvo allí.
¿Por qué caen las personas en estas trampas?
Primeramente las personas son víctimas de ataques de ingeniería social por varias causas entre ellas:
  1. Total desconocimiento del tema- No se puede reconocer un ataque de ingeniería social, porque ni siquiera se reconoce el término,  mucho menos  se podrá identificar quién es un ingeniero social y por qué se hacen las preguntas para obtener información.
  2. Falta de información accesible- No se encuentra información accesible, clara y específica sobre esta disciplina ya que la misma forma parte de un cuerpo de integrado del tema de seguridad en informática.  Aunque  en otros ya se ha estudiado como una disciplina aparte y hasta se ha creado un “framework” de estudio sobre la misma, aún la ingeniería social es considerada una herramienta más para hacking como lo serían los sniffers, keyloggers, troyanos y otros.
  3. Falta de adiestramientos- La falta de adiestramientos es la variable más común en la lucha por la prevención e identificación de ataques de ingeniería social.  Si no se capacita a la fuerza laboral sobre estos temas las empresas seguirán siendo víctimas de estos ataques.
  4. Actitud: “A mí no me va a pasar”- Esta actitud refleja la negación de muchas empresas a invertir en adiestramientos y en contramedidas para atacar la ingeniería social en el área laboral.  Esta negación a capacitar al personal no técnico así como al técnico se ha traducido en cientos de miles de pérdidas anuales por la fuga de información.
RECOMENDACION: NO de sus datos personales por chat, mail o telefono. en caso de ser indispensable, verifique la fuente.

Fuentes:

http://www.bsecure.com.mx

http://hangouton.es




No hay comentarios:

Publicar un comentario