Top de las t茅cnicas de ingenieria social usadas por los scammers

Publicado en Seguridadcon fecha 16 - noviembre - 2009

 

tecnicas ingenieria socialAsegurar la informaci贸n que guardamos en nuestra mente, datos de caracter personal privados, contrase帽as o cualquier informaci贸n que requiera absoluta discreci贸n es una tarea colosal en comparaci贸n con el esfuerzo que se requiere para asegurar informaci贸n digital. Es por esto que el riesgo de error humano es la mayor vulnerabilidad en las empresas, sobretodo a nivel de seguridad de las empresas de tecnologias de la informaci贸n.

Se puede tener el mejor firewall, sistemas de contrase帽as dificiles de averiguar que van cambiando para evitar su detecci贸n y utilizaci贸n con software malicioso o los mejores filtros para evitar a los scammers; basta con que una persona caiga en una t茅cnica de ingenieria social y permita acceso a datos confidenciales y los ciberdelincuentes habr谩n tenido una via perfecta para atacar.

1) Familiarity Exploit 鈥 Este tipo de enga帽o unicamente est谩 previsto dentro de empresas donde algunos empleados tienen tentaciones de espiar la seguridad empresarial o datos de otros compa帽eros de trabajo. Tambi茅n puede funcionar a trav茅s de la red pero es mucho m谩s complejo y requiere contacto previo, creaci贸n de familiaridad mencionando el nombre de la persona, fingiendo aprecio, como en el caso de boletines de vendedores fraudulentos.

Est谩 basado en la familiaridad y la confianza que las personas tenemos al reaccionar a peticiones de individuos que nos son relativamente conocidos, actuamos de forma m谩s abierta y concedemos algunas cosas a personas simplemente porque nos suenan y ya las hemos visto anteriormente o creemos tener un trato familiar, aunque nunca se pueda llegar a conocer las 煤ltimas intenciones de una persona.

2) Situaci贸n hostil 鈥 La mayor parte de las personas evitan y se retiran al encontrarse con un individuo que parece desequilibrado emocionalmente, que est谩 col茅rico o es conflictivo. Si un individuo se pone a gritar como si tuviese una acalorada discusi贸n al tel茅fono, las personas que pasen cerca notaran su presencia y pasaran de largo, evitando tratar con ese tipo. Esta t茅cnica se realiza simulando un enfado contra una situaci贸n o alguien al otro lado del tel茅fono o un canal de comunicaci贸n pero no hacia otra persona presente.

Si alguien desea acceder a areas restringidas junto con otros empleados pero en zonas donde normalmente no le est谩 permitido estar, podria usar esta t茅cnica para incorporarse junto a un grupo de personas que evitar谩n cuestionar su presencia al notar su estado col茅rico, esperando que pase la tempestad. Otra situaci贸n donde algunas personas usan esa t茅cnica de ingenieria social es en los pasos de control donde empleados de seguridad chequean bolsas de viaje, maletas y los objetos contenidos, algunos individuos simulan una discusi贸n y un estado col茅rico para evitar ser cuestionados en ese momento. Como la mayor parte de las personas no queremos relacionarnos con gente que est谩 de mal humor y grita a los dem谩s, podrian pasar por evitar el m谩s minimo trato.

3) Recolectar y utilizar informaci贸n acerca del objetivo 鈥 En ingenieria social una m谩xima es que cuanta m谩s informaci贸n personal se tiene de la persona objetivo, m谩s f谩cil ser谩 conseguir sacar lo que se desea a trav茅s de esa persona, de ahi la importancia de recolectar informaci贸n. Algunos buenos sitios para este prop贸sito son:

a. Internet, tan sencillo como buscar su nombre en Google o si tiene perfil en redes como Linked In, Facebook, Twitter, MySpace, etc. Muchas personas lo hacen con otros empleados dentro de la empresa.
b. Objetos en su zona de trabajo.
c. Cotilleos de conocidos y compa帽eros de trabajo.
d. Intereses, pautas de comportamiento, lugares frecuentados.
e. Papelera, un trabajo sucio pero puede esconder joyas para comprender la mente de la persona.

4) Infiltrarse consiguiendo un empleo en el entorno objetivo 鈥 Algunos individuos que desean obtener informaci贸n acerca de empresas o trabajadores son capaces de buscar un empleo dentro del lugar objetivo, se convierten en empleados de las empresas que quieren conocer y buscan toda la informaci贸n posible desde dentro. Muchos departamentos de recursos humanos, coordinadores o managers no est谩n entrenados para detectar a una persona maliciosa en una entrevista de trabajo. Un infiltrado tendr谩 mayores resultados positivos con sus t茅cnicas de ingenieria social si se convierte primero en un empleado de confianza y en alguien de fiar, aparentemente.

5) Correcta interpretaci贸n del lenguaje corporal 鈥 Un experimentado ingeniero social, o un brib贸n sensato, sabe sacar partido del lenguaje corporal y las emociones de las personas del entorno que son objetivo. Seg煤n Chris Nickerson, el lenguaje corporal bien utilizado es una forma de crear conexiones entre personas, de forma que exista armonia suficiente antes de tratar de obtener algo. Ser educado, mantener una postura adecuada, dar apretones de manos confiados, hablar con seguridad y mirar a las personas a sus ojos (o al entrecejo), adaptarse a las normas y al protocolo, la etiqueta, no quejarse ni criticar a nadie, hacer sentir bien a los dem谩s, agradecer y respaldar el sentimiento de importancia y la autoestima de otras personas…

Cuando un individuo que desea hacer ingenieria social se ha comportado de ese modo durante un tiempo razonable, las personas querr谩n ayudarle, no estar谩n tan armadas para saber decir NO y se sentir谩n bien haciendo peque帽os favores sin que resulte ning煤n esfuerzo.

6) Erotismo – El erotismo o m谩s bien el sexo camuflado se utiliza constantemente para manipular a las personas y sobretodo a los hombres. Publicidad expl铆cita, mujeres explosivas empleadas como vendedoras, presentadoras, azafatas; cantantes pop insinuando de forma promiscua en sus actuaciones… El sexo se utiliza para vender productos y las mujeres les funciona para controlar a los hombres, tambi茅n vale en ingenieria social. Los individuos que difunden malware por internet lo saben bien y esconden programas maliciosos en sitios er贸ticos relacionados con famosas o con contenidos de sexo expl铆cito.

7) Tiempo cr铆tico – Es habitual verlo en los emails de ventas o los fraudes como el phishing en seguridad bancaria donde se presiona al objetivo para dar sus contrase帽as con la excusa de una alerta repentina de seguridad o en los timos por email donde se trata de hacer creer al objetivo que ha ganado alg煤n premio y debe dar sus datos confidenciales en un corto plazo de tiempo para obtener lo que le van a regalar en un concurso en el que nunca particip贸.

A modo de conclusi贸n toca pensar de que manera podemos estar protegidos contra las t茅cnicas de ingenieria social y la manipulaci贸n para obtener informaci贸n confidencial o evitar ser estafados. Se cree que lo mejor es formarse, estar familiarizado y evitar caer en nuestras emociones, tratando de razonar seg煤n el sentido com煤n y la experiencia en las relaciones humanas. No hay widget de seguridad, ni software para controlar la ingenieria social, pero se puede estar prevenido.

Via PCWorld.

publicidad



Puedes compartir la entrada en algunas redes sociales:

 

Si te parece interesante la entrada, puedes considerar suscribirte de forma totalmente gratuita, por feed o por email, para recibir nuevos contenidos cuando sean publicados. Puedes consultar debajo otras entradas relacionadas.

1 comentario

  1. Mary comenta:

    Buena informaci贸n, a煤n siendo datos preliminares y b谩sicos para mi carrera (ingenier铆a en inform谩tica).

    Escrito con fecha febrero 21st, 2012 a las 16:03

Escribir comentario




;-) :wikipedia: :tears: :supermario: :shutupandtakemymoney: :sad: :rubor: :rolleyes: :rock: :razz: :pacman: :omg: :odd: :nice: :nibble: :mrgreen: :lol: :linux: :linkzelda: :like: :here: :google: :firefox: :evil: :enojado: :devianart: :bomberman: :bender: :ajedrez: :-S :-O :-D :-8