Hacking ético - Ingeniería social
Intentemos comprender el concepto de ataques de ingeniería social a través de algunos ejemplos.
Ejemplo 1
Debes haber notado que los documentos antiguos de la empresa se tiran a la basura como basura. Estos documentos pueden contener información confidencial como nombres, números de teléfono, números de cuenta, números de seguro social, direcciones, etc. Muchas empresas todavía usan papel carbón en sus máquinas de fax y una vez que se termina el rollo, el carbón se deposita en el cubo de la basura que puede tener rastros. de datos sensibles. Aunque suene improbable, los atacantes pueden recuperar fácilmente información de los contenedores de basura de la empresa robando la basura.
Ejemplo 2
Un atacante puede hacerse amigo del personal de la empresa y establecer una buena relación con él durante un período de tiempo. Esta relación se puede establecer en línea a través de las redes sociales, salas de chat o fuera de línea en una mesa de café, en un patio de juegos o por cualquier otro medio. El atacante confía en el personal de la oficina y, finalmente, extrae la información confidencial necesaria sin dar una pista.
Ejemplo 3
Un ingeniero social puede hacerse pasar por un empleado o un usuario válido o un VIP falsificando una tarjeta de identificación o simplemente convenciendo a los empleados de su puesto en la empresa. Dicho atacante puede obtener acceso físico a áreas restringidas, lo que brinda más oportunidades para ataques.
Ejemplo 4
En la mayoría de los casos sucede que un atacante puede estar cerca de usted y puede hacer shoulder surfing mientras escribe información confidencial como ID de usuario y contraseña, PIN de cuenta, etc.
Ataque de suplantación de identidad
Un ataque de phishing es una ingeniería social basada en computadora, en la que un atacante crea un correo electrónico que parece legítimo. Dichos correos electrónicos tienen la misma apariencia que los recibidos del sitio original, pero pueden contener enlaces a sitios web falsos. Si no es lo suficientemente inteligente, ingresará su ID de usuario y contraseña e intentará iniciar sesión, lo que resultará en un error y, en ese momento, el atacante tendrá su ID y contraseña para atacar su cuenta original.
Arreglo rapido
Debe hacer cumplir una buena política de seguridad en su organización y realizar las capacitaciones requeridas para que todos los empleados sean conscientes de los posibles ataques de ingeniería social y sus consecuencias.
La destrucción de documentos debería ser una actividad obligatoria en su empresa.
Asegúrese de que todos los enlaces que reciba en su correo electrónico provengan de fuentes auténticas y que apunten a sitios web correctos. De lo contrario, podría terminar siendo víctima de phishing.
Sea profesional y nunca comparta su ID y contraseña con nadie más en ningún caso.