Los delincuentes que operan en Internet pueden usar tecnología avanzada para intentar obtener acceso a su equipo, o bien recurrir a algo más sencillo e insidioso: la ingeniería social.
La ingeniería social ofrece a los delincuentes un medio de obtener acceso a su equipo. Por lo general, la finalidad de la ingeniería social es instalar de forma secreta spyware u otro software malintencionado para intentar convencerle de que facilite sus contraseñas u otra información confidencial de carácter personal o financiero.
La ingeniería social ofrece a los delincuentes un medio de obtener acceso a su equipo. Por lo general, la finalidad de la ingeniería social es instalar de forma secreta spyware u otro software malintencionado para intentar convencerle de que facilite sus contraseñas u otra información confidencial de carácter personal o financiero.
Algunos delincuentes de Internet consideran más fácil aprovecharse de la naturaleza humana que de las vulnerabilidades del software.
Hay varios tipos de ingeniería social que deben tenerse presentes:
• Suplantación de personalidad (phishing): La forma más frecuente de ingeniería social es la estafa por phishing o suplantación de identidad. Para las estafas de phishing se emplean mensajes de correo electrónico o sitios web fraudulentos en los que se intenta que facilite información personal. Por ejemplo, podría recibir un mensaje de correo electrónico que parezca proceder de su banco o de otra entidad financiera en el que se le pida que actualice la información de su cuenta. El mensaje de correo electrónico incluye un vínculo que parece de un sitio legítimo, pero que en realidad le lleva a un sitio web falsificado.
• Suplantación de personalidad (phishing): La forma más frecuente de ingeniería social es la estafa por phishing o suplantación de identidad. Para las estafas de phishing se emplean mensajes de correo electrónico o sitios web fraudulentos en los que se intenta que facilite información personal. Por ejemplo, podría recibir un mensaje de correo electrónico que parezca proceder de su banco o de otra entidad financiera en el que se le pida que actualice la información de su cuenta. El mensaje de correo electrónico incluye un vínculo que parece de un sitio legítimo, pero que en realidad le lleva a un sitio web falsificado.
• Spear phishing: Los timadores de "spear phishing" envían mensajes de correo electrónico que parecen auténticos a todos los empleados o miembros de una determinada empresa, organismo, organización o grupo.
El mensaje puede parecer procedente de un compañero de trabajo o de un responsable (como el jefe de recursos humanos o de TI), que podría enviar un mensaje de correo electrónico a todos los usuarios de la empresa. Podría incluir solicitudes de nombres de usuario y contraseñas o contener software malintencionado, como un troyano o un virus.
La estafa de "spear phishing" corresponde a un tipo de ingeniería social más avanzado que el "phishing", pero las técnicas que pueden usarse para evitar ser engañados son las mismas.
• Correo electrónico engañoso: se presentan de distintos modos, desde una estafa en la que se le pide ayuda para sacar dinero de otro país (a menudo Nigeria) hasta un aviso de que ha ganado en un sorteo.
El elemento en común es que normalmente se le promete una gran suma de dinero a cambio de muy poco o ningún esfuerzo por su parte.
El estafador intenta que envíe dinero o revele información financiera que pueda usarse para robarle dinero, su identidad o ambos.
Fuente: Microsoft
2 comentarios:
Sobre ingeniería social recomendaría los libros de “The Arto f Deception” y “The art of Intrusion” de Kevin Mitnick, y “El gran juego” de Carlos Martín Pérez. Imagino que debe de haber muchos más, pero son los que conozco. "El gran juego" se puede encontrar en http://www.librosenred.com/autores/CarlosMartinPerez.aspx
http://www.personal.able.es/cm.perez/Extracto_de_EL_GRAN_JUEGO.pdf
Gracias por el aporte.
Publicar un comentario