ATAC D’ENGINYERIA SOCIAL

Definim “Atac d’enginyeria social” com a la pràctica d’obtenir informació confidencial a través de la manipulació d’usuaris legítims. És a dir, l’Enginyeria Social és la disciplina que fa servir la manipulació per hackejar a les persones. Explota el fet que, en qualsevol sistema, el factor humà és la baula més feble.

Resultat d'imatges de atac d'enginyeria social

Els ciberdelinqüents que empren tècniques d’enginyeria social es recolzen en aquests principis bàsics definits per Pablo Iglesias,en el seu post: “Els 6 principis bàsics de l’enginyeria social”:

  • Reciprocitat.
  • Urgència.
  • Consistència o costum.
  • Confiança.
  • Autoritat com a via per a la suplantació d’identitat.
  • Validació social o necessitat d’aprovació del col·lectiu.

Aquests principis parteixen de la base que el comportament humà és fàcilment predictible. Assumeix que si s’aborda l’usuari de la manera adequada, s’aconsegueix la informació necessària.

Hi ha diferents tipus d’atacs, en definirem 5:

Resultat d'imatges de atac d'enginyeria social

  • Phishing:

Una de les modalitats d’atac més simple i coneguda, però també molt reeixida. Consisteix en enganyar l’usuari perquè cregui que un administrador del sistema li està demanant la seva contrasenya amb una raó legítima.

  • Vishing:

Consisteix en la realització de trucades telefòniques fraudulentes, que simulen enquestes amb l’objectiu d’obtenir informació privada sense que la víctima sospiti.

  • Baiting:

En aquest tipus d’atac utilitza un dispositiu d’emmagatzematge extraïble (CD, DVD, USB) prèviament infectat amb un malware, i que després es deixa en un lloc públic on pugui ser fàcil de trobar. La persona que el trobi, si decideix introduir-lo en el seu ordinador, instal·larà el programari maliciós i el hacker podrà accedir a totes les dades personals de l’usuari

  • Smishing:

Consisteix en el robatori de dades personals per SMS. És un nou tipus de delicte d’enginyeria social que utilitza missatges de text enfocats en dispositius mòbils.

  • Xarxes Socials:

El creixement de les xarxes socials i la informació que compartim a través d’elles, atrau un gran nombre de ciberdelinqüents. Solen presentar els seus fraus en forma d’ofertes i gangues per dirigir als usuaris a webs fraudulentes on els demanen les seves dades o autorització d’accés als seus perfils socials. Un altre esquer que empren són els jocs o concursos en què només guanyen els estafadors.

Els cibercriminals utilitzen la familiaritat, hostilitat infiltració i la sexualitat per aconseguir els seus objectius.

Existeixen un punts clau a seguir per evitar l’atac:

  • Dissenyar i implementar un protocol de seguretat per mitigar els riscos.
  • Realitzar simulacres d’atacs que et permetin provar les teves sistemes de prevenció.
  • Envia una alerta immediata que ha estat víctima d’un atac als empleats; el xoc emocional ajuda a la conscienciació.
  • Campanyes permanents de reforços dels protocols de seguretat establerts.
  • Fomentar la cultura de la discreció, educar el personal en la importància de no divulgar informació sensible amb desconeguts o en llocs públics.
  • Formar el personal per detectar possibles fraus i intentar que el sospitós s’identifiqui i tractar de revertir la situació per obtenir la major quantitat d’informació possible de l’atacant.
  • Realitzar auditories i Pentest usant Enginyeria Social per detectar forats de seguretat i posar-hi remei.

 

ColaboradorseguretatATAC D'ENGINYERIA SOCIAL Definim 'Atac d'enginyeria social' com a la pràctica d’obtenir informació confidencial a través de la manipulació d’usuaris legítims. És a dir, l’Enginyeria Social és la disciplina que fa servir la manipulació per hackejar a les persones. Explota el fet que, en qualsevol sistema, el factor humà és la baula...Blog Aula Informàtica Gimnèsia