La ingeniería social es el arte de manipular a las personas para que entreguen información confidencial. Los tipos de información que buscan estos delincuentes pueden variar, pero cuando las personas son atacadas, los delincuentes generalmente intentan engañarlo para que les dé sus contraseñas o información bancaria, o acceda a su computadora para instalar en secreto software malicioso, lo que les dará acceso a su contraseñas e información bancaria, además de darles control sobre su computadora.

Los delincuentes utilizan tácticas de ingeniería social porque generalmente es más fácil explotar su inclinación natural a confiar que descubrir formas de piratear su software. Por ejemplo, es mucho más fácil engañar a alguien para que le dé su contraseña que intentar piratear su contraseña (a menos que la contraseña sea realmente débil).

El phishing ha evolucionado. Aprenda 11 formas en que los piratas informáticos están buscando sus datos y cómo protegerse en esta guía.

La seguridad se trata de saber en quién y en qué confiar. Es importante saber cuándo y cuándo no tomarle la palabra a una persona y cuándo la persona con la que se está comunicando es quien dice ser. Lo mismo ocurre con las interacciones en línea y el uso del sitio web: ¿cuándo confía en que el sitio web que está utilizando es legítimo o seguro para proporcionar su información?

Pregúntele a cualquier profesional de seguridad y le dirán que el más débil El eslabón en la cadena de seguridad es el ser humano que acepta a una persona o escenario al pie de la letra. No importa cuántas cerraduras y cerrojos haya en sus puertas y ventanas, o si tienen perros guardianes, sistemas de alarma, focos, cercas con alambre de púas y personal de seguridad armado; si confías en la persona en la puerta que dice que es el repartidor de pizzas y lo dejas entrar sin verificar primero si es legítimo, estás completamente expuesto a cualquier riesgo que representa.

¿Qué significa un ¿Cómo parece un ataque de ingeniería social?

Correo electrónico de un amigo

Si un delincuente logra piratear o diseñar socialmente la contraseña de correo electrónico de una persona, tiene acceso a la lista de contactos de esa persona, y porque la mayoría de las personas usan una contraseña en todas partes, probablemente también tengan acceso a los contactos de redes sociales de esa persona.

Una vez que el criminal tiene esa cuenta de correo electrónico bajo su control, envía correos electrónicos a todos los contactos de la persona o deja mensajes en todos sus las páginas sociales de un amigo, y posiblemente en las páginas de los amigos del amigo de la persona.

Aprovechando su confianza y curiosidad, estos mensajes:

• Contengan un enlace que solo tiene que comprobar, y como el vínculo proviene de un amigo y tiene curiosidad, confiará en el vincular y hacer clic, y ser infectado con malware para que el delincuente pueda apoderarse de su máquina y recopilar la información de sus contactos y engañarlos como usted fue engañado

• Contiene una descarga de imágenes, música, película, documento, etc., que tenga incrustado software malicioso. Si descarga, lo que probablemente hará porque cree que es de su amigo, se infectará. Ahora, el delincuente tiene acceso a su máquina, cuenta de correo electrónico, cuentas y contactos de redes sociales, y el ataque se extiende a todos los que conoce. Y así sucesivamente.

Correo electrónico de otra fuente confiable

Los ataques de phishing son un subconjunto de la estrategia de ingeniería social que imita una fuente confiable y elabora una escenario aparentemente lógico para la entrega de credenciales de inicio de sesión u otros datos personales confidenciales. Según los datos de Webroot, las instituciones financieras representan la gran mayoría de las empresas suplantadas y, según el Informe anual de investigaciones sobre filtraciones de datos de Verizon, los ataques de ingeniería social, incluido el phishing y el pretexto (ver más abajo), son responsables del 93% de las filtraciones de datos exitosas.

Usando una historia convincente o un pretexto, estos mensajes pueden:

• Pedir tu ayuda urgentemente. Tu ‘amigo’ está atrapado en el país X, ha sido asaltado, golpeado y está en el hospital. Necesitan que envíes dinero para que puedan llegar a casa y te digan cómo enviar el dinero al delincuente.

• Utiliza intentos de phishing con un antecedentes aparentemente legítimos. Por lo general, un phisher envía un correo electrónico, mensajería instantánea, comentario o mensaje de texto que parece provenir de una empresa, banco, escuela o institución legítima y popular.

• Pedirle que haga una donación a su recaudación de fondos de caridad, o alguna otra causa. Probablemente con instrucciones sobre cómo enviar el dinero al delincuente. dness y generosidad, estos phishers piden ayuda o apoyo para cualquier desastre, campaña política o caridad que sea momentáneamente lo más importante.

• Presentar un problema que requiera que » Verifique «su información haciendo clic en el enlace que se muestra y proporcionando información en su formulario.La ubicación del enlace puede parecer muy legítima con todos los logotipos y contenido correctos (de hecho, los delincuentes pueden haber copiado el formato y el contenido exactos del sitio legítimo). Como todo parece legítimo, confía en el correo electrónico y en el sitio falso y proporciona cualquier información que el delincuente solicite. Estos tipos de estafas de phishing a menudo incluyen una advertencia de lo que sucederá si no actúa pronto porque los delincuentes saben que si pueden hacer que actúe antes de pensar, es más probable que caiga en su intento de phishing.

• Notificarle que es un «ganador». Tal vez el correo electrónico diga ser de una lotería, un pariente muerto o la millonésima persona que hizo clic en su sitio, etc. En orden Para darle sus ‘ganancias’, debe proporcionar información sobre el enrutamiento de su banco para que sepan cómo enviárselo o dar su dirección y número de teléfono para que puedan enviar el premio, y también se le puede pedir que demuestre quién es usted. a menudo incluyendo su número de seguro social. Estos son los ‘phishing codiciosos’ en los que, incluso si el pretexto de la historia es escaso, la gente quiere lo que se ofrece y se deja engañar por revelar su información, vaciar su cuenta bancaria y robarle la identidad.

• Posa como jefe o compañero de trabajo. Es posible que solicite una actualización sobre un proyecto propietario importante en el que su empresa está trabajando actualmente, para obtener información de pago relacionada con una tarjeta de crédito de la empresa o alguna otra consulta que se haga pasar por negocios del día a día.

Escenarios de cebo

Estos esquemas de ingeniería social saben que si cuelgas algo que la gente quiere, mucha gente morderá el anzuelo. Estos esquemas se encuentran a menudo en sitios Peer-to-Peer que ofrecen la descarga de algo como una nueva película o música. Pero los esquemas también se encuentran en sitios de redes sociales, sitios web maliciosos que encuentra a través de los resultados de búsqueda, etc.

O bien, el esquema puede aparecer como una oferta increíblemente buena en sitios clasificados, sitios de subastas, etc. .. Para disipar sus sospechas, puede ver que el vendedor tiene una buena calificación (todo planeado y elaborado con anticipación).

Las personas que muerden el anzuelo pueden infectarse con software malintencionado que puede generar cualquier cantidad de nuevos ataques contra ellos mismos y sus contactos, pueden perder su dinero sin recibir el artículo comprado y, si fueron lo suficientemente tontos para pagar con un cheque, pueden encontrar su cuenta bancaria vacía.

Respuesta a una pregunta que usted nunca lo había hecho

Los delincuentes pueden pretender responder a su «solicitud de ayuda» de una empresa y al mismo tiempo ofrecer más ayuda. Eligen empresas que utilizan millones de personas, como una empresa de software o un banco. Si no utiliza el producto o servicio, ignorará el correo electrónico, la llamada telefónica o el mensaje, pero si utiliza el servicio, es muy probable que responda porque probablemente desee ayuda con un problema. .

Por ejemplo, aunque sepa que originalmente no hizo una pregunta, probablemente tenga un problema con el sistema operativo de su computadora y aproveche esta oportunidad para solucionarlo. ¡Gratis! En el momento en que responda, habrá comprado la historia del delincuente, les ha dado su confianza y se ha abierto a la explotación.

El representante, que en realidad es un delincuente, deberá ‘autenticarlo’, que inicie sesión en ‘su sistema’ o, puede iniciar sesión en su computadora y darles acceso remoto a su computadora para que puedan ‘arreglarlo’ por usted, o decirle los comandos para que pueda arreglarlo usted mismo con su ayuda, donde algunos de los Los comandos que te dicen que ingreses abrirán una vía para que el delincuente vuelva a tu computadora más tarde.

Crear desconfianza

Cierta ingeniería social se trata de crear desconfianza o iniciar conflictos ; Estos a menudo los llevan a cabo personas que conoces y que están enojados contigo, pero también lo hacen personas desagradables que solo intentan causar estragos, personas que primero quieren crear desconfianza en tu mente sobre los demás para luego intervenir como un héroe y ganarse su confianza, o por extorsionistas que quieren manipular la información y luego amenazarlo con divulgarlo.

Esta forma de ingeniería social a menudo comienza obteniendo acceso a una cuenta de correo electrónico u otra cuenta de comunicación en un cliente de mensajería instantánea , redes sociales, chat, foros, etc. Lo logran mediante piratería, ingeniería social o simplemente adivinando contraseñas realmente débiles.

• La persona malintencionada puede alterar las comunicaciones confidenciales o privadas (incluidas imágenes y audio) utilizando técnicas de edición básicas y las reenvía a otras personas para crear drama, desconfianza, vergüenza, etc. Pueden hacer que parezca que se envió accidentalmente o que parezca que le están haciendo saber lo que es ‘realmente’ continúa.

• A Alternativamente, pueden usar el material alterado para extorsionar a la persona a la que piratearon o al supuesto destinatario.

Hay literalmente miles de variaciones de los ataques de ingeniería social.El único límite al número de formas en que pueden diseñar socialmente a los usuarios a través de este tipo de explotación es la imaginación del criminal. Y puede experimentar múltiples formas de exploits en un solo ataque. Entonces, es probable que el delincuente venda su información a otros para que ellos también puedan ejecutar sus hazañas contra usted, sus amigos, los amigos de sus amigos, etc., mientras los delincuentes aprovechan la confianza perdida de las personas.

No se convierta en una víctima

Si bien los ataques de phishing son desenfrenados, de corta duración y solo necesitan unos pocos usuarios para morder el anzuelo para una campaña exitosa, existen métodos para protegerse. La mayoría no requiere mucho más que simplemente prestar atención a los detalles frente a usted. Tenga en cuenta lo siguiente para evitar ser víctima de suplantación de identidad.

Consejos para recordar:

• Disminuya la velocidad. Los spammers quieren que actúe primero y piense después. Si el mensaje transmite una sensación de urgencia o utiliza tácticas de venta de alta presión, sea escéptico; nunca deje que su urgencia influya en su revisión cuidadosa.

• Investigue los hechos. Sospeche de cualquier mensaje no solicitado. Si el correo electrónico parece ser de una empresa que usted utiliza, investigue por su cuenta. Utilice un motor de búsqueda para ir al sitio de la empresa real, o un directorio telefónico para encontrar su número de teléfono.

• No permita que un enlace controle dónde aterriza. Mantenga el control al encontrar el sitio web usted mismo mediante un motor de búsqueda para asegúrese de aterrizar donde desea aterrizar. Al pasar el cursor sobre los enlaces en el correo electrónico, se mostrará la URL real en la parte inferior, pero una buena falsificación aún puede desviarlo.

• Secuestro de correo electrónico es desenfrenado. Hack Los usuarios de correo electrónico, spammers e ingenieros sociales que toman el control de las cuentas de correo electrónico de las personas (y otras cuentas de comunicación) se han vuelto desenfrenadas. Una vez que controlan una cuenta de correo electrónico, se aprovechan de la confianza de los contactos de la persona. Incluso cuando el remitente parezca ser alguien que usted conoce, si no espera recibir un correo electrónico con un enlace o un archivo adjunto, consulte con su amigo antes de abrir enlaces o descargar.

• Tenga cuidado con cualquier descarga. Si no conoce al remitente personalmente Y espera un archivo de él, descargar cualquier cosa es un error.

• Las ofertas extranjeras son falsas. Si recibe un correo electrónico de una lotería o sorteo extranjero, dinero de un familiar desconocido o solicitudes para transferir fondos desde un país extranjero por una parte del dinero, se garantiza que será una estafa.

Maneras de protegerse:

• Elimine cualquier solicitud de información financiera o contraseñas. Si le piden que responda a un mensaje con información personal, es una estafa.

• Rechace las solicitudes de ayuda u ofertas de ayuda. Las empresas y organizaciones legítimas no se comunican con usted para brindarle ayuda. Si no solicitó específicamente la asistencia del remitente, considere cualquier oferta para «ayudar» a restaurar las calificaciones crediticias, refinanciar una casa, responder a su pregunta, etc., una estafa. Del mismo modo, si recibe una solicitud de ayuda de una organización benéfica u organización con la que no tiene una relación, elimínela. Para donar, busque organizaciones benéficas de buena reputación por su cuenta para evitar caer en una estafa.

• Configure sus filtros de spam en un nivel alto. Todos los programas de correo electrónico tienen filtros de spam. Para encontrar el tuyo, mira tus opciones de configuración y configúralas en alto; solo recuerda revisar tu carpeta de correo no deseado periódicamente para ver si el correo electrónico legítimo ha quedado atrapado allí accidentalmente. También puede buscar una guía paso a paso para configurar sus filtros de spam buscando el nombre de su proveedor de correo electrónico más la frase «filtros de spam».

• Proteja su dispositivos informáticos. Instale software antivirus, cortafuegos, filtros de correo electrónico y manténgalos actualizados. Configure su sistema operativo para que se actualice automáticamente y, si su teléfono inteligente no se actualiza automáticamente, actualícelo manualmente cada vez que reciba un aviso para hacerlo. Utilice una herramienta anti-phishing ofrecida por su navegador web o un tercero para alertarlo sobre los riesgos.

La base de datos de amenazas de Webroot tiene más de 600 millones de dominios y 27 mil millones de URL categorizados para proteger a los usuarios contra las amenazas basadas en la web. La inteligencia de amenazas que respalda todos nuestros productos le ayuda a utilizar la web de forma segura, y nuestras soluciones de seguridad móvil ofrecen una navegación web segura para evitar ataques de phishing exitosos.