En su libro, "Fantasma en los cables: mis aventuras como el pirata informático más buscado del mundo", Kevin Mitnick, uno de los piratas informáticos más conocidos, describió cómo utilizó la ganancia social para acceder sin autorización a redes y sistemas telefónicos.
Ejemplos de redes sociales
A continuación, se incluyen ejemplos de cómo alguien podría usar la ingeniería social para obtener acceso a su red, robar información confidencial u obtener algo gratis.
- Compañero de trabajo : fingiendo ser un compañero de trabajo que tiene problemas para acceder a su cuenta y necesita seguridad, inicio de sesión u otros detalles de la cuenta.
- Informática falsa: soporte informático falso que solicita acceso remoto a una computadora debido a un problema falso o una amenaza a la seguridad.
- Pretender a su cónyuge : simule ser un cónyuge que llama a una empresa sobre los problemas para acceder a la cuenta de su cónyuge y necesita detalles de la cuenta.
- Estudiante falso: estudiante falso que llama al personal de soporte que indica que un sitio web no funciona. Cuando un miembro del personal visita la página del supuesto problema, reúne información de la computadora y la red o intenta infectar esa computadora con un troyano u otro malware.
- Cliente falso: cliente falso disgustado quejándose de productos que no compraron y que exigen un reembolso o compensación sin el comprobante de compra.
- Pretenda el hombre de mantenimiento : alguien imprime una placa de simulación que da la apariencia de ser un técnico de reparaciones que está de visita para arreglar una computadora, una impresora, un teléfono u otro sistema. Después de obtener acceso al edificio, obtienen acceso a documentos confidenciales o computadoras que les permitirían acceder a la red.
- Cliente falso : un correo electrónico de un cliente falso con una propuesta comercial con un archivo adjunto que es un troyano u otro malware para infectar una red y otorgar acceso remoto.
Prevención de ataques a redes sociales.
Educación
Todos los empleados, el personal, los estudiantes o los miembros de la familia en la misma red deben conocer todas las amenazas potenciales que pueden enfrentar. También es importante que cualquier otra persona que pueda tener acceso remoto, como una empresa de TI de terceros o contratistas, también sea educada.
Medidas de seguridad
La mayoría de las empresas tienen (o deberían tener) medidas de seguridad, como un código que se requiere para acceder a los detalles de la cuenta. Si un cliente o alguien que llama diciendo que es el cliente no puede proporcionar esa información, no se le deben dar los detalles de la cuenta por teléfono. También debe quedar claro que proporcionar la información para evitar conflictos con el cliente podría hacer que el empleado pierda inmediatamente su trabajo.
Siempre ten cuidado con lo que no puedes ver
La mayoría de los ataques de ingeniería social se realizan por teléfono, correo electrónico u otras formas de comunicación que no requieren comunicación cara a cara. Si no puede ver con quién está hablando, siempre debe asumir que es posible que la persona con la que está hablando no sea quien dice ser.
Seguridad o recepción
No todos los ataques de ingeniería social ocurren por teléfono o Internet. Un atacante también podría visitar la compañía con una credencial de simulación o una forma de identificación. Todas las empresas deben tener una recepción o un guardia de seguridad que también esté al tanto de todas las amenazas de seguridad y sepa que nadie puede pasar sin la autorización adecuada. También deben darse cuenta de que si se ignoran estas precauciones (por ejemplo, alguien dice que olvidaron su credencial), se perderá su trabajo.
También es una buena idea que las áreas más sensibles, como una sala de servidores, requieran seguridad adicional, como un lector de credenciales que solo permita que los empleados autorizados accedan a la sala. Además, los empleados que acceden a un edificio o habitación con una placa deben darse cuenta de que ellos tampoco deben permitir que nadie entre por la puerta al mismo tiempo que ellos.
Desgarrar
Algunas personas no tienen miedo de buscar en el basurero para encontrar información confidencial de la compañía u otra información que les permita acceder a una red. Cualquier papel que desechen sus empleados debe ser triturado.
Desechar adecuadamente los equipos de la empresa.
Asegúrese de que cualquier equipo se destruya o se deseche adecuadamente. La mayoría de las personas pueden darse cuenta de que el disco duro de una computadora (incluso cuando se borra) puede tener datos confidenciales que pueden recuperarse. Sin embargo, no mucha gente sabe que los dispositivos como copiadoras, impresoras y máquinas de fax también contienen almacenamiento y que los datos confidenciales también se pueden recuperar de estos dispositivos. A menos que sienta que es seguro que alguien lea todo lo que ha impreso, escaneado o enviado por fax (no es probable), asegúrese de desechar el dispositivo.
Términos de seguridad, Surf de hombro.