La semana pasada echamos un vistazo a algunas de las principales amenazas de ingeniería social ¿Qué es ingeniería social? [MakeUseOf Explains] ¿Qué es ingeniería social? [MakeUseOf Explains] Puede instalar el cortafuegos más potente y costoso de la industria. Puede educar a los empleados sobre los procedimientos de seguridad básicos y la importancia de elegir contraseñas seguras. Incluso puede bloquear la sala de servidores, pero cómo ... Leer más que usted, su empresa o sus empleados deberían estar buscando. En pocas palabras, la ingeniería social es similar a un truco de confianza mediante el cual un atacante obtiene acceso, información o dinero al ganarse la confianza de la víctima.
Estas técnicas pueden ir desde estafas de phishing por correo electrónico hasta elaborar trucos telefónicos y ataques pretextos invasivos. Si bien no existe una forma definitiva de detener a los ingenieros sociales, hay algunas cosas que debes recordar para evitar que este tipo de ataques se vuelvan demasiado serios. Como siempre, tu mejor defensa es el conocimiento y la vigilancia constante.
Protegiendo contra ataques físicos
Muchas empresas educan a su equipo de seguridad de red sobre los peligros del ataque físico. Un método conocido como "chupar rueda" se usa en muchos ataques físicos para obtener acceso a áreas restringidas sin autorización. Este ataque se basa en la cortesía humana básica, que tiene una puerta para alguien, pero una vez que el atacante obtiene acceso físico, la brecha de seguridad se vuelve muy grave.
Si bien esto no se aplica realmente en un escenario doméstico (es poco probable que mantenga la puerta abierta para un desconocido ahora, ¿verdad?) Hay algunas cosas que puede hacer para reducir las posibilidades de ser víctima de una ingeniería social ataque que depende de materiales físicos o una ubicación.
La pretextación es una técnica utilizada por los atacantes que primero encuentran información sobre su víctima (por ejemplo, de una factura o extracto de la tarjeta de crédito) que luego pueden usar contra su víctima al convencerlos de que tienen un sentido de autoridad. La protección más básica contra este tipo de ataque (a veces denominada "inmersión en un contenedor de basura") es mediante la destrucción de cualquier material que contenga información personal importante.
Esto también se aplica a los datos digitales, por lo que los discos duros viejos se deben destruir adecuadamente (físicamente) y los medios ópticos también se pueden triturar. Algunas empresas incluso toman esto hasta el punto de que bloquean sus desechos y hacen que la seguridad lo controle. Considere la documentación no fragmentada que desecha (calendarios, recibos, facturas e incluso notas personales) y luego considere si esta información podría usarse en su contra.
La idea de un robo con allanamiento de morada no es particularmente agradable, pero si le robaron su computadora portátil, rastrear y recuperar su computadora portátil robada con rastrear y rastrear su computadora portátil robada con presa ¿Sería adecuadamente bloqueada? Las computadoras portátiles, teléfonos inteligentes y otros dispositivos que acceden a su información personal, correo electrónico y cuentas de redes sociales siempre deben estar protegidos con contraseñas seguras. Cómo crear una contraseña segura que no olvidará Cómo crear una contraseña segura que no olvidará ¿Sabe cómo? para crear y recordar una buena contraseña? Aquí hay algunos consejos y trucos para mantener contraseñas fuertes y separadas para todas sus cuentas en línea. Leer más y códigos. Si es realmente paranoico con respecto al robo, es posible que desee encriptar los datos en su disco duro usando TrueCrypt Cómo hacer carpetas encriptadas Otros no pueden ver con Truecrypt 7 Cómo hacer carpetas encriptadas que otros no pueden ver con Truecrypt 7 Lea más o BitLocker.
Recuerde: cualquier información que un ladrón pueda extraer se puede usar en su contra en futuros ataques, meses o años después del incidente.
El hostigamiento, al dejar un dispositivo malicioso como una memoria USB comprometida donde se puede encontrar fácilmente, se evita fácilmente al no dejar que sus curiosidades lo perjudiquen. Si encuentra una memoria USB en su porche, trátela con la mayor sospecha. Las memorias USB se pueden usar para instalar keyloggers, troyanos y otros programas no deseados para extraer información y presentar una amenaza muy real.
Previniendo ataques psicológicos
Casi todos los ataques de ingeniería social son psicológicos por su propia definición, pero a diferencia de los pretextos que requieren conocimiento previo, algunos ataques son puramente psicológicos. La protección contra este tipo de ataques es actualmente una gran prioridad para muchas empresas, y esto implica educación, vigilancia y, a menudo, pensar como un atacante.
Las empresas están empezando a educar al personal en todos los niveles, ya que la mayoría de los ataques comienzan con el guardia de seguridad en la puerta o la recepcionista en la recepción. En general, esto implica instruir a los empleados para que tengan cuidado con las solicitudes sospechosas, las personas insistentes o cualquier cosa que simplemente no cuadre. Esta vigilancia es fácilmente transferible a su vida diaria, pero depende de su capacidad para identificar solicitudes de información que es confidencial.
Si bien los ataques en línea a través del correo electrónico y la mensajería instantánea son cada vez más frecuentes, los ataques de ingeniería social por teléfono (y VoIP, que dificultan la localización de la fuente) siguen siendo una amenaza real. La forma más sencilla de evitar un ataque es terminar la llamada en el momento en que sospeche algo.
Es posible que su banco lo llame, pero es raro que le pidan su contraseña u otra información directamente. Si tal llamada tiene lugar, solicite el número de teléfono del banco, vuelva a verificarlo y devuelva la llamada. Puede tomar cinco minutos adicionales, pero sus fondos e información personal están seguros y el banco lo entenderá. Del mismo modo, es poco probable que una compañía de seguridad llame para avisarle de problemas con su computadora. Trate a todas las llamadas como una estafa, sea sospechoso y no comprometa su PC. Técnicos en computación de llamadas en frío: ¡No se deje engañar así [Alerta de estafa!] Técnicos en computación de llamadas en frío: No caiga en una estafa así [ Scam Alert!] Probablemente haya escuchado el término "no estafar a un estafador", pero siempre me ha gustado "no estafar a un escritor de tecnología". No estoy diciendo que seamos infalibles, pero si su estafa involucra Internet, un Windows ... ¡Lea más o compre lo que están vendiendo!
La educación es la mejor defensa, por lo que mantenerse al tanto de las técnicas de seguridad y las noticias lo ayudará a detectar un posible ataque. Recursos como Social-Engineer.org intentan educar a las personas sobre las técnicas utilizadas por los ingenieros sociales, y hay mucha información disponible.
Algunas cosas para recordar
La confianza es la táctica principal de un ingeniero social y se utilizará para obtener acceso a ubicaciones físicas, información confidencial y, a mayor escala, datos sensibles de la compañía. Un sistema es tan fuerte como su defensa más débil, y en el caso de la ingeniería social esto significa que las personas que no conocen las amenazas y las técnicas utilizadas.
Conclusión
Para citar a Kevin Mitnick, que logró pasear por la conferencia de seguridad más grande del mundo, sin marcar y sin marcar (RSA 2001): "Podría gastar una fortuna comprando tecnología y servicios de cada expositor, orador y patrocinador en la Conferencia RSA, y su red la infraestructura podría seguir siendo vulnerable a la manipulación anticuada ". Esto es cierto para las cerraduras en sus puertas y la alarma en su casa, así que esté atento a las tácticas de ingeniería social en el trabajo y en el hogar.
¿Has experimentado alguno de esos ataques? ¿Trabajas para una empresa que recientemente comenzó a educar a los empleados sobre los peligros? Háganos saber lo que piensa, en los comentarios a continuación.
Créditos de la imagen: Lobo con piel de oveja (Shutterstock) Trituradora de papel (Chris Scheufele), Disco duro (jon_a_ross), Teléfono con escritorio (Radio.Guy), Recepción Mozilla (Niall Kennedy),