O que é Enxeñaría social? 11 exemplos a ter en conta
Índice analítico
Que é exactamente a Enxeñaría Social, de todos os xeitos?
A enxeñaría social refírese ao acto de manipular persoas para extraer a súa información confidencial. O tipo de información que buscan os criminais pode variar. Normalmente, os individuos están dirixidos polos seus datos bancarios ou contrasinais da súa conta. Os delincuentes tamén tentan acceder ao ordenador da vítima para instalar software malicioso. Este software axúdalles a extraer calquera información que poidan necesitar.
Os delincuentes usan tácticas de enxeñería social porque a miúdo é fácil explotar a unha persoa gañando a súa confianza e convencela de que renuncie aos seus datos persoais. É un xeito máis cómodo que piratear directamente o ordenador de alguén sen o seu coñecemento.
Exemplos de Enxeñaría Social
Poderás protexerte mellor informando das diferentes formas en que se fai a enxeñaría social.
1. Pretexto
O pretexto úsase cando o criminal quere acceder a información confidencial da vítima para realizar unha tarefa crítica. O atacante tenta obter a información a través de varias mentiras coidadosamente elaboradas.
O criminal comeza establecendo confianza coa vítima. Isto pódese facer suplantando a identidade dos seus amigos, colegas, funcionarios bancarios, policías ou outras autoridades que poidan solicitar esa información sensible. O atacante failles unha serie de preguntas co pretexto de confirmar a súa identidade e recolle neste proceso datos persoais.
Este método úsase para extraer todo tipo de datos persoais e oficiais dunha persoa. Esta información pode incluír enderezos persoais, números de seguridade social, números de teléfono, rexistros telefónicos, datos bancarios, datas de vacacións do persoal, información de seguridade relacionada coas empresas, etc.
2. Roubo de desvío
Este é un tipo de estafa que xeralmente se dirixe ás empresas de mensaxería e transporte. O delincuente tenta enganar á empresa obxectivo facéndolle proporcionar o seu paquete de entrega a un lugar de entrega diferente ao previsto inicialmente. Esta técnica utilízase para roubar bens preciosos que se entregan por correo.
Esta estafa pódese realizar tanto fóra de liña como en liña. Pódese achegar ao persoal que transporta os paquetes e convencer de que deixe a entrega noutro lugar. Os atacantes tamén poden acceder ao sistema de entrega en liña. A continuación, poden interceptar o calendario de entrega e modificarlle.
3. Phishing
O phishing é unha das formas máis populares de enxeñería social. As estafas de phishing implican mensaxes de correo electrónico e de texto que poden xerar unha sensación de curiosidade, medo ou urxencia nas vítimas. O texto ou o correo electrónico instigaos a facer clic en ligazóns que levarían a sitios web ou anexos maliciosos que instalarían malware nos seus dispositivos.
Por exemplo, os usuarios dun servizo en liña poden recibir un correo electrónico afirmando que houbo un cambio de política que lles obriga a cambiar os seus contrasinais inmediatamente. O correo conterá unha ligazón a un sitio web ilegal que é idéntico ao sitio web orixinal. A continuación, o usuario introducirá as credenciais da súa conta nese sitio web, considerando que é o lexítimo. Ao enviar os seus datos, a información estará accesible ao criminal.
4. Spear Phishing
Este é un tipo de estafa de phishing que está máis dirixida a un individuo ou unha organización en particular. O atacante personaliza as súas mensaxes en función dos postos de traballo, características e contratos relacionados coa vítima, para que parezan máis xenuínas. O phishing esixe máis esforzo por parte do criminal e pode levar moito máis tempo que o phishing habitual. Non obstante, son máis difíciles de identificar e teñen unha mellor taxa de éxito.
Por exemplo, un atacante que intente phishing nunha organización enviará un correo electrónico a un empregado que se fai pasar por o consultor de TI da empresa. O correo electrónico enmarcarase de forma exactamente semellante a como o fai o consultor. Parecerá o suficientemente auténtico como para enganar ao destinatario. O correo electrónico solicitará ao empregado que cambie o seu contrasinal proporcionándolle unha ligazón a unha páxina web maliciosa que rexistrará a súa información e llo enviará ao atacante.
5. Water-Holing
A estafa do agujero aproveita os sitios web fiables que son visitados regularmente por moita xente. O criminal recollerá información sobre un grupo de persoas obxectivo para determinar que sitios web visitan con frecuencia. Estes sitios web serán probados para detectar vulnerabilidades. Co tempo, un ou máis membros deste grupo infectaranse. O atacante poderá acceder ao sistema seguro destes usuarios infectados.
O nome provén da analoxía de como os animais beben auga reuníndose nos seus lugares de confianza cando teñen sede. Non pensan dúas veces en tomar precaucións. Os depredadores son conscientes diso, polo que esperan preto, preparados para atacalos cando a garda baixe. A captura de auga na paisaxe dixital pode usarse para facer algúns dos ataques máis devastadores a un grupo de usuarios vulnerables ao mesmo tempo.
6. Cebo
Como se desprende do nome, o cebo implica o uso dunha promesa falsa para provocar a curiosidade ou a codicia da vítima. A vítima é atraída a unha trampa dixital que axudará ao criminal a roubar os seus datos persoais ou a instalar malware nos seus sistemas.
O cebo pode realizarse a través de medios en liña e fóra de liña. Como exemplo fóra de liña, o criminal pode deixar o cebo en forma de unidade flash que foi infectada con malware en lugares visibles. Este pode ser o ascensor, o baño, o aparcamento, etc., da empresa destinataria. A unidade flash terá un aspecto auténtico, o que fará que a vítima a tome e a introduza no seu ordenador do traballo ou da casa. A unidade flash exportará automaticamente malware ao sistema.
As formas de cebo en liña poden estar en forma de anuncios atractivos e atractivos que animarían ás vítimas a facer clic nel. A ligazón pode descargar programas maliciosos, que logo infectarán o seu ordenador con malware.
7. Quid Pro Quo
Un ataque quid pro quo significa un ataque "algo por algo". É unha variación da técnica de cebo. En lugar de cebar ás vítimas coa promesa dun beneficio, un ataque contrapartida promete un servizo se se executou unha acción específica. O atacante ofrece un beneficio falso á vítima a cambio de acceso ou información.
A forma máis común deste ataque é cando un delincuente se fai pasar por un persoal informático dunha empresa. A continuación, o criminal contacta cos empregados da empresa e ofrécelles un novo software ou unha actualización do sistema. A continuación, pediráselle ao empregado que desactive o seu software antivirus ou que instale software malicioso se quere a actualización.
8. Tailgating
Un ataque de tailgating tamén se denomina piggybacking. Implica o delincuente que busca a entrada nun lugar restrinxido que non ten as medidas de autenticación adecuadas. O delincuente pode acceder entrando detrás doutra persoa que estea autorizada para entrar na zona.
Por exemplo, o delincuente pode facerse pasar por un repartidor que ten as mans cheas de paquetes. Agarda a que entre pola porta un empregado autorizado. O repartidor impostor pídelle entón ao empregado que lle abra a porta, permitíndolle así acceder sen ningunha autorización.
9. Trampa de mel
Este truco consiste en que o criminal pretende ser unha persoa atractiva en liña. A persoa faise amiga dos seus obxectivos e finxe unha relación en liña con eles. O criminal aproveita entón esta relación para extraer os datos persoais das súas vítimas, pedirlles diñeiro prestado ou facerlles instalar malware nos seus ordenadores.
O nome "trampa de mel" provén das antigas tácticas de espionaxe nas que as mulleres eran usadas para atacar os homes.
10. canalla
O software deshonesto pode aparecer en forma de anti-malware deshonesto, escáner deshonesto, software anti-malware, anti-spyware, etc. Este tipo de malware informático induce aos usuarios a que paguen por un software simulado ou falso que prometía eliminar o malware. O software de seguridade deshonesto converteuse nunha preocupación crecente nos últimos anos. Un usuario desprevenido pode facilmente caer presa deste software, que está dispoñible en abundancia.
11. Software malicioso
O obxectivo dun ataque de malware é conseguir que a vítima instale malware nos seus sistemas. O atacante manipula as emocións humanas para que a vítima permita que o malware entre nos seus ordenadores. Esta técnica implica o uso de mensaxes instantáneas, mensaxes de texto, redes sociais, correo electrónico, etc., para enviar mensaxes de phishing. Estas mensaxes enganan á vítima para que faga clic nunha ligazón que abrirá un sitio web que contén o malware.
As tácticas de susto úsanse a miúdo para as mensaxes. Poden dicir que hai algo mal na túa conta e que debes facer clic inmediatamente na ligazón proporcionada para iniciar sesión na túa conta. A ligazón fará que descargues un ficheiro a través do cal se instalará o malware no teu ordenador.
Mantéñase consciente, Mantéñase a salvo
Manterse informado é o primeiro paso para protexerse ataques de enxeñería social. Un consello básico é ignorar as mensaxes que soliciten o teu contrasinal ou información financeira. Podes usar os filtros de spam que veñen cos teus servizos de correo electrónico para marcar estes correos electrónicos. Conseguir un software antivirus de confianza tamén axudará a protexer aínda máis o teu sistema.
