En este artículo prestaremos atención al concepto de "ingeniería social". Aquí se considerará una definición general del término. También aprenderemos sobre quién fue el fundador de este concepto. Hablemos por separado sobre los principales métodos de ingeniería social utilizados por los atacantes.
Introducción
Los métodos que le permiten corregir el comportamiento de una persona y administrar sus actividades sin el uso de un conjunto técnico de herramientas forman el concepto general de ingeniería social. Todos los métodos se basan en la afirmación de que el factor humano es la debilidad más destructiva de cualquier sistema. Muchas veces este concepto se considera a nivel de actividad ilícita, mediante la cual el delincuente realiza una acción encaminada a obtener información del sujeto-víctima de forma deshonesta. Por ejemplo, podría ser algún tipo de manipulación. Sin embargo, la ingeniería social también es utilizada por humanos en actividades legítimas. Hasta la fecha, se usa con mayor frecuencia para acceder a recursos con información confidencial o delicada.
Fundador
El fundador de la ingeniería social es Kevin Mitnick. Sin embargo, el concepto mismo nos llegó de la sociología. Denota un conjunto general de enfoques utilizados por social aplicado. ciencias enfocadas en cambiar la estructura organizacional que puede determinar el comportamiento humano y ejercer control sobre él. Kevin Mitnick puede ser considerado el fundador de esta ciencia, ya que fue él quien popularizó lo social. ingeniería en la primera década del siglo XXI. El mismo Kevin fue anteriormente un hacker que ingresó ilegalmente a una amplia variedad de bases de datos. Sostuvo que el factor humano es el punto más vulnerable de un sistema de cualquier nivel de complejidad y organización.
Si hablamos de métodos de ingeniería social como una forma de obtener derechos (a menudo ilegales) para usar datos confidenciales, podemos decir que se conocen desde hace mucho tiempo. Sin embargo, fue K. Mitnick quien pudo transmitir la importancia de su significado y las peculiaridades de su aplicación.
Phishing y enlaces inexistentes
Cualquier técnica de ingeniería social se basa en la presencia de distorsiones cognitivas. Los errores de comportamiento se convierten en una "herramienta" en manos de un ingeniero experto, que en el futuro puede crear un ataque destinado a obtener datos importantes. Entre los métodos de ingeniería social se distinguen el phishing y los enlaces inexistentes.
Phishing es una estafa en línea diseñada para obtener información personal como nombre de usuario y contraseña.
Enlace inexistente: usar un enlace que atraiga al destinatario con ciertasbeneficios que se pueden obtener haciendo clic en él y visitando un sitio específico. La mayoría de las veces, se utilizan los nombres de grandes empresas, haciendo ajustes sutiles a su nombre. La víctima, al hacer clic en el enlace, transferirá "voluntariamente" sus datos personales al atacante.
Métodos con marcas, antivirus defectuosos y lotería falsa
La ingeniería social también utiliza estafas de marca, antivirus defectuosos y loterías falsas.
"Fraude y marcas" - un método de engaño, que también pertenece a la sección de phishing. Esto incluye correos electrónicos y sitios web que contengan el nombre de una empresa grande y/o "publicitada". Desde sus páginas se envían mensajes con notificación de victoria en determinada competición. A continuación, debe ingresar información importante de la cuenta y robarla. Además, esta forma de fraude se puede realizar por teléfono.
Lotería falsa: un método en el que se envía un mensaje a la víctima con el texto de que (a) ganó (a) la lotería. La mayoría de las veces, la alerta se enmascara usando los nombres de grandes corporaciones.
Los antivirus falsos son estafas de software. Utiliza programas que parecen antivirus. Sin embargo, en realidad conducen a la generación de notificaciones falsas sobre una amenaza en particular. También intentan atraer a los usuarios al ámbito de las transacciones.
Vishing, phreaking y pretextos
Al hablar de ingeniería social para principiantes, también debemos mencionar vishing, phreaking y pretexting.
Vishing es una forma de engaño que utiliza redes telefónicas. Utiliza mensajes de voz pregrabados, cuyo objetivo es recrear la "llamada oficial" de la estructura bancaria o cualquier otro sistema IVR. La mayoría de las veces, se les pide que ingresen un nombre de usuario y/o contraseña para confirmar cualquier información. En otras palabras, el sistema requiere autenticación por parte del usuario mediante códigos PIN o contraseñas.
Phreaking es otra forma de estafa telefónica. Es un sistema de pirateo que utiliza la manipulación del sonido y la marcación por tonos.
El pretexto es un ataque que utiliza un plan premeditado, cuya esencia es representar a otro sujeto. Una forma extremadamente difícil de hacer trampa, ya que requiere una preparación cuidadosa.
Quid Pro Quo y el método Road Apple
La teoría de la ingeniería social es una base de datos multifacética que incluye métodos de engaño y manipulación, así como formas de lidiar con ellos. La principal tarea de los intrusos, por regla general, es pescar información valiosa.
Otros tipos de estafas incluyen: quid pro quo, road apple, shoulder surfing, open source y redes sociales inversas. ingeniería.
Quid-pro-quo (del latín - "para esto"): un intento de extraer información de una empresa o empresa. Esto sucede contactándola por teléfono o enviándole mensajes por correo electrónico. Muy a menudo, los atacantespretender ser empleados. apoyo, que informan la presencia de un problema específico en el lugar de trabajo del empleado. Luego sugieren formas de solucionarlo, por ejemplo, instalando software. El software resulta ser defectuoso y promueve el crimen.
The Road Apple es un método de ataque que se basa en la idea de un caballo de Troya. Su esencia radica en el uso de un medio físico y la sustitución de información. Por ejemplo, pueden proporcionar una tarjeta de memoria con cierto "bien" que atraerá la atención de la víctima, provocará el deseo de abrir y usar el archivo o seguir los enlaces indicados en los documentos de la unidad flash. El objeto "manzana de carretera" se deja caer en lugares sociales y se espera hasta que algún sujeto implemente el plan del intruso.
Recopilar y buscar información de fuentes abiertas es una estafa en la que la adquisición de datos se basa en los métodos de la psicología, la capacidad de notar pequeñas cosas y el análisis de los datos disponibles, por ejemplo, páginas de una red social. Esta es una forma bastante nueva de ingeniería social.
Shoulder surfing y redes sociales inversas. ingeniería
El concepto de "shoulder surfing" se define a sí mismo como ver a un sujeto en vivo en el sentido literal. Con este tipo de pesca de datos, el atacante va a lugares públicos, como una cafetería, un aeropuerto, una estación de tren y sigue a las personas.
No subestimes este método, ya que muchas encuestas y estudios demuestran que una persona atenta puede recibir mucha información confidencial.información simplemente siendo observador.
La ingeniería social (como nivel de conocimiento sociológico) es un medio para “capturar” datos. Existen formas de obtener datos en las que la propia víctima ofrecerá al atacante la información necesaria. Sin embargo, también puede servir al bien de la sociedad.
Social inversa la ingeniería es otro método de esta ciencia. El uso de este término se vuelve apropiado en el caso que mencionamos anteriormente: la propia víctima ofrecerá al atacante la información necesaria. Esta afirmación no debe tomarse como absurda. El hecho es que los sujetos dotados de autoridad en ciertas áreas de actividad a menudo obtienen acceso a los datos de identificación por decisión propia del sujeto. La base aquí es la confianza.
¡Importante recordar! El personal de soporte nunca le pedirá al usuario una contraseña, por ejemplo.
Información y protección
La capacitación en ingeniería social puede ser realizada por el individuo ya sea sobre la base de la iniciativa personal o sobre la base de los beneficios que se utilizan en programas especiales de capacitación.
Los delincuentes pueden utilizar una amplia variedad de tipos de engaño, que van desde la manipulación hasta la pereza, la credulidad, la cortesía del usuario, etc. Es extremadamente difícil protegerse de este tipo de ataques, debido a la f alta de conciencia de que él) engañó. Varias firmas y empresas para proteger sus datos en este nivel de peligro a menudo se dedican a la evaluación de la información general. El siguiente paso es integrar los necesariosgarantías a la política de seguridad.
Ejemplos
Un ejemplo de ingeniería social (su acto) en el campo de los correos de phishing globales es un evento que ocurrió en 2003. Se enviaron correos electrónicos a los usuarios de eBay durante esta estafa. Afirmaron que las cuentas que les pertenecían estaban bloqueadas. Para cancelar el bloqueo, fue necesario volver a ingresar los datos de la cuenta. Sin embargo, las cartas eran falsas. Tradujeron a una página idéntica a la oficial, pero falsa. Según estimaciones de expertos, la pérdida no fue demasiado significativa (menos de un millón de dólares).
Definición de responsabilidad
El uso de la ingeniería social puede ser punible en algunos casos. En varios países, como Estados Unidos, el pretexto (engañar haciéndose pasar por otra persona) se equipara con una invasión de la privacidad. Sin embargo, esto puede ser sancionado por la ley si la información obtenida durante el pretexto era confidencial desde el punto de vista del sujeto u organización. Grabar una conversación telefónica (como un método de ingeniería social) también es requerido por ley y requiere una multa de $250,000 o prisión de hasta diez años para individuos. personas Las entidades legales deben pagar $500,000; el plazo sigue siendo el mismo.