¿Ha visto algunos titulares espeluznantes sobre un nuevo "ataque de ingeniería social" que circula, pero no está seguro de lo que realmente significa? Entonces ha venido al lugar correcto, ya que hemos creado esta guía para detallar lo que significa el término y algunos consejos rápidos sobre cómo evitar ser víctima de él.
La versión corta es que un ataque de ingeniero social es donde el mal uso de la computadora se combina con el engaño de la confianza a la antigua. Específicamente, los ataques de ingeniería social son estafas que explotan la parte más vulnerable de cualquier sistema técnico: el usuario.
Los ataques de ingeniería social pueden llevarse a cabo a través de la web, correo electrónico, teléfono, mensajes de texto o instantáneos, o en persona. Se basan en engañar a un usuario para que piense que el mal actor es un representante honesto de, por ejemplo, Amazon o Microsoft el tiempo suficiente para darle al mal actor sus credenciales de inicio de sesión, acceso a su computadora o dinero.
Los ataques de ingeniería social pueden ocurrir en tiempo real, con alguien hablando activamente con usted por teléfono o físicamente presente en su escritorio; de forma asincrónica, como a través de un intercambio de correo electrónico con un mal actor que finge ser alguien que no es, o como una trampa pasiva enviada por correo electrónico, sitio web o incluso una memoria USB física.
Kaspersky Total Security - Ahora con un 60 % de descuento
Protección galardonada contra piratas informáticos, virus y malware. Incluye VPN gratis, Administrador de contraseñas y Kaspersky Safe Kids.
UTILICE el código: KTSQ210 para ahorrar un 10 % adicional además del ya fantástico 50 % de descuento
- CÓDIGO: KTSQ210
- 60% de descuento
- £ 16 por año
Ejemplos de ataques de ingeniería social
El phishing, en el que un malhechor envía mensajes, a menudo por correo electrónico, diseñados para parecer que provienen de una empresa legítima, con la intención de engañarlo para que entregue su información de inicio de sesión o contraseña, autorice un pago, son ejemplos comunes de ataques de ingeniería social. . . A menudo hacen esto ofreciendo un trato irresistible y por tiempo limitado o amenazando con consecuencias nefastas (como un sobrepago inminente) para hacer que la víctima entre en pánico y se apresure a hacer clic sin pensar en lo que está haciendo.
Más bien, algunos de estos ataques tienen como objetivo introducir malware en una PC convenciendo al usuario de que se trata de un software legítimo. Cuando Adobe Flash todavía estaba en uso, a menudo veíamos sitios maliciosos que distribuían malware bajo la apariencia de una descarga de Flash Player. Una vez que el usuario ha sido engañado para que lo instale, el malware puede espiarlo, intentar comprometer su red o abusar de los recursos del sistema para participar en botnets, enviar spam o extraer criptomonedas.
Estafas de soporte técnico. Entre las más populares se encuentran las llamadas de soporte falsas que afirman ser de Microsoft. Un ejemplo infame informó al usuario que tenía una infección de malware grave y lo "probó" al pedirle que abriera el Visor de eventos de Windows, un visor de registros que muestra muchos errores y advertencias bastante benignos que parecen intimidantes para alguien que no sabe qué. . ellos miran.
Algunas estafas de soporte técnico utilizan ventanas emergentes web de "bloqueo de pantalla" que congelan el navegador para desactivar temporalmente la computadora de la víctima e indicarles que llamen a un "número de teléfono de soporte oficial", funcionando de la misma manera que "un ransomware no cifrado, que a su vez utiliza elementos de Ingeniería social.
"Scareware", una categoría relacionada que a menudo presenta ventanas emergentes en línea que le advierten que su PC está infectada con malware, así como una herramienta descargable "anti-malware" que en sí misma es maliciosa.
Llamadas dirigidas falsas hacia o desde el equipo de soporte de TI de una empresa, por ejemplo, para solicitar credenciales de inicio de sesión u otra información confidencial.
Los ataques de ingeniería social física pueden basarse en la distracción o la incongruencia, como el ejemplo de Naomi Wu de un probador de penetración con poca ropa que se filma a sí misma con un palo de selfie y es completamente ignorada mientras pasa por la recepción y la seguridad, o lo contrario, mezclándose con el fondo, como como hacer que parezca que se supone que debes estar en algún lugar al llevar un portapapeles, caminar deliberadamente y usar alta visibilidad para obtener acceso a un sitio seguro.
Una vez en un sitio supuestamente seguro, el actor malicioso puede acceder a computadoras, claves o datos para comprometer a su objetivo. El ataque del "ama de llaves malvado" al que se refiere Wu en su video a menudo involucra al personal real de una empresa (por ejemplo, un hotel) que usa su acceso para comprometer el dispositivo electrónico de su objetivo, pero también puede ser realizado por un impostor.
Otro ataque físico, bastante pasado su fecha de caducidad pero que no requiere interacción humana, es el cebo. Una unidad USB infestada de malware se deja en un lugar atractivo, potencialmente etiquetada para alentar a su investigador a conectarla a una PC y verificarla. Aunque ya pasaron los días en que los archivos de ejecución automática de Windows podían ejecutarse desde medios extraíbles, un programa con un nombre ingenioso y un archivo Léame en el disco aún podrían convencer al buen objetivo de sabotear su propia computadora ejecutándolos.
Lea nuestra Guía de seguridad para obtener más consejos sobre cómo vivir una vida más segura en línea.