INGENIERÍA SOCIAL / PHISHING



 

¿QUÉ ES LA INGENIERÍA SOCIAL?

La ingeniería social es una de las formas en las que los cibercriminales usan las interacciones entre personas para que el usuario comparta información confidencial. Ya que la ingeniería social se basa en la naturaleza humana y las reacciones humanas, hay muchas formas en que los atacantes pueden engañar, en línea o sin conexión.

PHISHING


Es el truco más antiguo entre cibercriminales y sigue siendo uno de los más exitosos. Intentan usar una variedad de métodos para engañar a las personas y obtener su información.

Las tácticas que se basan en el miedo son las más populares entre los criminales, dado que presentan una situación en la que se debe actuar de inmediato y, normalmente, involucran una cuenta bancaria u otra cuenta en línea.

Esta táctica depende de que los usuarios tomen decisiones basadas en el miedo y en cómo se sienten, en lugar de pensar por un momento en la situación. Otras versiones de correos electrónicos simulan provenir de una figura de autoridad, como alguien de mayor jerarquía en la empresa que solicita su nombre de usuario y contraseña para poder acceder a un sistema.
doble-identidad.jpg
Las personas suelen cumplir con lo solicitado si proviene de un compañero de trabajo, en particular si tiene mayor jerarquía administrativa. Otra táctica popular usada para el phishing es transmitir una sensación de urgencia.

Seguramente ha visto correos electrónicos que anuncian productos con grandes descuentos pero con una cantidad limitada. Parece una gran oferta y proporciona al usuario la sensación de que debe actuar inmediatamente; por lo tanto, las decisiones se toman de forma impulsiva.

OTROS TIPOS DE ATAQUES

El spear phishing está relacionado con el phishing, aunque es un poco más complejo. Es una campaña dirigida a empleados de una empresa en particular a la cual los cibercriminales desean robarle datos. El criminal elige un objetivo en la organización y realiza una investigación en línea sobre él, durante la cual recopila información personal y sobre sus intereses a partir de las búsquedas que realiza en Internet y de sus perfiles de redes sociales. Una vez que el criminal conoce al objetivo, comienza a enviarle correos electrónicos que le resulten relevantes y personales para persuadirlo de que haga clic en un vínculo malicioso que alberga software malicioso o de que descargue un archivo malicioso. Todos comprobamos nuestros correos electrónicos personales y nuestros perfiles de redes sociales mientras estamos conectados a la red de la empresa, y los cibercriminales dependen de ello. Una vez que el usuario ha caído en el engaño, el software malicioso se instala en el equipo de la red, lo cual permite que se propague fácilmente a otros equipos dentro de la red de la empresa.
De todos estos métodos, el vishing es el que involucra mayor interacción humana. El criminal llama al empleado de una empresa y se hace pasar por una persona de confianza o por un representante de su banco o de otra empresa con la cual tiene negocios. Luego, intenta obtener información del objetivo haciéndose pasar por un compañero que perdió su contraseña (y le pide al empleado la suya) o haciéndole una serie de preguntas para verificar su identidad.
La ingeniería social puede realizarse de dos formas: con un solo ataque, como un correo electrónico de phishing; o de forma más compleja, normalmente dirigida a instituciones. Estos dos métodos se conocen como hunting y farming.
El hunting es la versión corta de estos ataques. Normalmente, los cibercriminales usan el phishing, la carnada y el hacking de correo electrónico con el propósito de extraer tantos datos como pueda de la víctima con la menor interacción posible.
 

Es una estafa de larga duración, en la cual los cibercriminales buscan establecer una relación con el objetivo. Normalmente, observan los perfiles de redes sociales del objetivo e intentan construir una relación con él basada en la información que recopilan durante la investigación. Este tipo de ataque también depende del pretexto, ya que el atacante intenta engañar a la víctima por tanto tiempo como puede para obtener todos los datos que sean posibles.

En AMECI disponemos de un programacompletomedibleescalablepara identificar el riesgo en este tipo de ataques

01

Evaluación

Para conocer el estado actual de conocimiento en temas de Ciberseguridad para los colaboradores y empleados de las organizaciones se realiza el despliegue de una evaluación Online en la plataforma de entrenamiento de AMECI, en la cual se realizarán preguntas interactivas ( identificación de correos phishing, situaciones reales, videos que permitan una toma de decisión, preguntas de opción múltiple, definición de conceptos, entre otros contenidos) que permitan identificar las áreas de oportunidad y considerar los temas  de mayor relevancia donde se deba robustecer la capacitación que se incluye en la Etapa 3 de este plan

02

Ataque

Envío de correo electrónico engañoso, con el fin de obtener una métrica de la cantidad de usuarios a los que se les envía y los que lo abren.

El ejercicio consiste en crear algunos escenarios de fraude controlados a los cuales se expondrá a los usuarios seleccionados, estos pueden variar en los siguientes casos:
  • Promociones, transferencias bancarias y regalos.
  • Correo equivocado: el destinatario final era otro y el correo contiene información como la nómina de la empresa.
  • Actualizaciones en sistemas de correo y validación de credenciales.

03

Capacitación

Se realiza una capacitación ya sea Online o presencial con temas enfocados a robustecer el conocimiento en temas de prevención e identificación de ataques.

Entre otros temas se consideran:

  • ¿A qué estamos expuestos?
  • Cómo operan los cibercriminales
  • Qué servicios uso en internet y cómo debo protegerlos
  • Protección de contraseñas
  • Protección en redes sociales
  • Protección de correos electrónicos
  • Ataques de ingeniería Social
  • Protección de equipos de cómputo
  • Protección de Teléfonos móviles
  • Protección de lugar de trabajo
  • Uso responsable de internet
  • Servicios en la nube y su protección
  • Protección de la información
  • Software Antimalware
  • Robo de identidad y ciberextorción
  • Protección WIFI y redes públicas
  •  Navegación segura

Si tiene alguna duda comuníquese con nosotros

Plataforma de capacitación

Nosotros

Somos una organización 100% MEXICANA cuyo objetivo es asesorar a las organizaciones en las mejores
prácticas de seguridad de la información.

AVISO DE PRIVACIDAD

Contacto

email: contacto@ameci.org

Ciudad de México, 06700

Calle Zacatecas, Colonia Roma Norte 24

México, CDMX

Seguridad Hoy!!