Social Engineering Attacks

La ingeniería social es una amenaza a la seguridad que se dirige a los humanos en lugar de las computadoras o el software. Los ingenieros sociales utilizan una combinación de trucos, coerción y tácticas similares para influir en sus objetivos y hacer lo que quieren.

Solicite una demostración Más información

Social Engineering Attacks

¿Cómo funciona la ingeniería social?

Los ingenieros sociales suelen aprovechar Los siete principios clave de persuasión de Cialdini:

  • Reciprocidad: Es más probable que la gente haga algo por alguien que tiene o promete hacer algo por ellos a cambio.
  • Compromiso y consistencia: Es más probable que alguien haga algo después de hacer un compromiso o si siempre se ha hecho de esa manera.
  • Prueba social: El “efecto bandwagon” significa que las personas son más propensas a hacer algo que ellos ven como popular y que todos los demás van.
  • Autoridad: Es más probable que las personas tomen medidas ordenadas por una figura de autoridad.
  • Liking: La gente quiere agradar y hará cosas que les hagan gustar aún más o que les permitan evitar la vergüenza.
  • Escasez: Si algo escaseaba, la gente lo ve como más valioso y se apresura a conseguirlo antes de que sea demasiado tarde.
  • Unidad: Las personas son más propensas a hacer cosas que las personas que les gustan y con las que se identifican hacen o sugieren.

Muchos de los tipos más comunes de ataques de ingeniería social aprovechan uno o más de estos principios. Por ejemplo, los atacantes de Business Email Compromise (BEC) se hacen pasar por figuras de autoridad para robar información confidencial o dinero. Los esquemas de facturas falsas aprovechan el compromiso y la consistencia; si una empresa piensa que ha utilizado los productos o servicios de un proveedor, entonces se siente obligado a pagar por ello.

Tipos de ataques de ingeniería social

Phishing es el tipo más común de ingeniería social utilizada en ataques cibernéticos. Los ataques de phishing se presentan en una variedad de formas diferentes, que incluyen:

  • phishingde lanza: Los ataques de phishing son extremadamente específicos. Los phishing de Spear realizan una investigación en profundidad sobre sus objetivos para adaptar sus ataques y maximizar la probabilidad de éxito.
  • CAZA DE BALLENAS: Los ataques de caza de ballenas son ataques de phishing dirigidos a ejecutivos de alto nivel. Estos ataques están diseñados para parecerse a correos electrónicos legítimos e intentar aprovechar la autoridad y el poder del destinatario.
  • Ataques BEC: En un ataque BEC, el atacante se disfrace como una figura de autoridad dentro de una organización o proveedor o proveedor de una compañía. Estos ataques están comúnmente diseñados para robar información confidencial o hacer que un empleado envíe dinero al atacante.
  • Smishing: Los ataques de smishing son ataques de phishing realizados a través de mensajes de texto SMS. Estos ataques aprovechan el hecho de que las empresas utilizan cada vez más SMS para llegar a los clientes y que los servicios de acortamiento de enlaces se pueden usar para ocultar el destino de un enlace.
  • Vishing: Vishing significa phishing por voz. Estos ataques utilizan muchas de las mismas técnicas de influencia que el phishing, pero se realizan por teléfono.

Técnicas de ataque de ingeniería social

Además de explotar la psicología para influir, los ingenieros sociales también suelen usar trucos en sus ataques. Algunas técnicas de ataque comunes utilizadas en ataques de phishing incluyen:

  • Enlaces maliciosos: Los correos electrónicos phishing suelen contener enlaces a sitios de phishing y otros sitios maliciosos. Estos enlaces y los sitios a los que apuntan comúnmente están diseñados para parecerse a sitios legítimos.
  • Archivos adjuntos infectados: Los correos electrónicos de phishing pueden incluir malware adjunto o archivos que descargan malware. Las macros de Microsoft Office y los archivos PDF maliciosos son archivos adjuntos maliciosos comunes.
  • Direcciones similares: Para que los correos electrónicos de phishing parezcan realistas, los phishers pueden utilizar direcciones similares. Es más probable que las direcciones de correo electrónico que se asemejan a un dominio legítimo pasen un vistazo rápido y engañen al destinatario.

¿Cómo prevenir ataques de ingeniería social?

El phishing y otros esquemas de ingeniería social son una gran amenaza para la ciberseguridad empresarial. Mejores prácticas para protección contra ataques de ingeniería social incluye:

  • Educación del empleado: Los empleados necesitan saber sobre las amenazas de ingeniería social a las que se enfrentan para poder detectarlas y responderlas de la mejor manera. Una parte importante de esta capacitación es cómo identificar los distintos tipos de ataques de phishing y el hecho de que el phishing no se limita al correo electrónico.
  • autenticación de múltiples factores (MFA): Los ataques de ingeniería social comúnmente se dirigen a credenciales de inicio de sesión que se pueden usar para obtener acceso a recursos corporativos. La implementación de MFA en toda la empresa hace que sea más difícil para los atacantes aprovechar estas credenciales comprometidas.
  • Separación de deberes: Los ataques de ingeniería social están diseñados para engañar a los objetivos para que envíen información confidencial o dinero a un atacante. Los procesos deben diseñarse de manera que los pagos y otras acciones de alto riesgo requieran múltiples aprobaciones, disminuyendo la probabilidad de que todos sean engañados por la estafa.
  • Antivirus and Antimalware: Los ataques de phishing suelen estar diseñados para enviar malware a una computadora objetivo. Antivirus y las protecciones antimalware son esenciales para identificar y bloquear estos ataques.
  • Soluciones de seguridad de correo electrónico: Los Phishers utilizan una variedad de técnicas para hacer que sus mensajes parezcan más realistas y para engañar a sus destinatarios. Soluciones de seguridad de correo electrónico puede escanear correos electrónicos en busca de contenido sospechoso y borrar contenido potencialmente malicioso de mensajes y archivos adjuntos antes de entregarlos al destinatario.

Prevención de ingeniería social con Check Point

El phishing es una de las mayores amenazas a la ciberseguridad empresarial y es un vector de ataque común para malware y violaciones de datos. Check Point y Avanan han desarrollado una solución de seguridad de correo electrónico que brinda protección integral contra una variedad de ataques de ingeniería social basados en correo electrónico. Para aprender cómo proteger su organización y sus empleados contra el phishing y la ingeniería social, puede visitar regístrese para una demostración gratuita.

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.