Técnicas de Ingeniería Social Comúnmente Utilizadas
La ingeniería social es un conjunto de técnicas psicológicas y habilidades sociales empleadas para obtener información de terceras personas, o hacer que estas personas realicen ciertas actividades que nosotros queramos sin que estas se den cuenta de ello.
Tenemos un eBook en el cual explicamos 10 técnicas (exploits) de ingeniería social presencial.Link[ Quiero el eBook ]
1.- Explotación familiar
Los usuarios desconfían menos de las personas con las que están familiarizados. Un atacante puede familiarizarse con los usuarios del sistema objetivo antes del ataque de ingeniería social.
El atacante puede interactuar con los usuarios durante las comidas, cuando los usuarios fuman puede unirse, en eventos sociales, etc. Esto hace que el atacante sea familiar para los usuarios. Supongamos que el usuario trabaja en un edificio que requiere un código de acceso o una tarjeta para obtener acceso; el atacante puede seguir a los usuarios cuando ingresan a dichos lugares. Los usuarios prefieren mantener la puerta abierta para que el atacante pueda entrar, ya que están familiarizados con ellos. El atacante también puede pedir respuestas a preguntas como dónde conoció a su cónyuge, el nombre de su maestro de matemáticas de la escuela secundaria, etc.
Es más probable que los usuarios revelen respuestas ya que confían en la cara familiar. Esta información podría usarse para comprometer cuentas de correo electrónico y otras cuentas que hacen preguntas similares si uno olvida su contraseña.
2.- Circunstancias intimidantes
Las personas tienden a evitar a las personas que intimidan a otros a su alrededor. Usando esta técnica, el atacante puede pretender tener una discusión acalorada en el teléfono o con un cómplice en el esquema, luego, el atacante puede solicitar a los usuarios información que se utilizaría para comprometer la seguridad del sistema de los usuarios.
Es muy probable que los usuarios den las respuestas correctas solo para evitar tener una confrontación con el atacante. Esta técnica también se puede utilizar para evitar que se verifique en un punto de control de seguridad.
3.- Phishing y Smishing
Esta técnica utiliza trucos y engaños para obtener datos privados de los usuarios. El ingeniero social puede intentar hacerse pasar por un sitio web genuino como Yahoo y luego pedirle al usuario desprevenido que confirme su nombre de cuenta y contraseña. Esta técnica también podría usarse para obtener información de la tarjeta de crédito o cualquier otro dato personal valioso.
Con el mismo fin pero con un medio diferente el smishing consiste en enviar mensajes de texto al objetivo, suplantando a X persona o una empresa, con el fin de que el objetivo brinde información.
4.- Tailgating
Esta técnica implica seguir a los usuarios detrás cuando entran en áreas restringidas. Como cortesía humana, lo más probable es que el usuario deje que el ingeniero social ingrese al área restringida.
5.- Explotación de la curiosidad humana
Utilizando esta técnica, el atacante puede colocar deliberadamente un pendrive (memoria USB) infectado con virus en un área donde los usuarios puedan recogerlo fácilmente. Lo más probable es que el usuario conecte el pendrive a la computadora.
El pendrive puede ejecutar automáticamente el virus, o el usuario puede verse tentado a abrir un archivo con un nombre como Employees Revaluation Report 2013.docx, que en realidad puede ser un archivo infectado.
6.- Explotación de la codicia humana
Utilizando esta técnica, el ingeniero social puede atraer al usuario con la promesa de ganar mucho dinero en línea rellenando un formulario y confirmando sus datos utilizando los datos de la tarjeta de crédito, etc.
