La Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos...
La ingeniería social es, por definición, el abuso de la buena fe de las personas para que realicen actividades que interesan a un tercero. Es necesario contar con que esa tercera persona puede ser un ciberdelincuente que prepara un ataque de algún tipo contra alguna organización.
Para entender qué es la ingeniería social inversa hemos de comprender primero la ingeniería social, ese dudoso arte mediante el cual un delincuente establece relaciones de confianza con sus objetivos, para posteriormente conseguir información confidencial que puede comprometer su seguridad.
En la ingeniería social, el atacante es quien lleva el ritmo. Es activo y sigue una estrategia dividida en fases, de las cuales la primera es la de acumular información sobre los posibles objetivos en el entorno susceptible de ser atacado. Esto puede ser desde los nombres de los empleados de un departamento, pasando por sus números de teléfono, email y otros medios de contacto, hasta la ubicación del departamento y las más variadas informaciones.
Falsas noticias sobre tus amigos en las redes
Una de las tácticas más recientes es utilizar las redes sociales, aprovechando el poder de lo viral y el interés por las redes de usuarios. Desde el momento en el que un usuario se instala una falsa aplicación para Facebook o Twitter y queda infectado, el programa puede enviar tuits o mensajes de facebook con el mismo mensaje trucado.
La última fue de un mensaje de Facebook en la que se envía un supuesto vídeo de un amigo desnudo. Tal vídeo se aprovecha de la inmediatez de Internet para que el usuario no se lo piense dos veces y se deje llevar por el morbo de la situación.
Falsos antivirus y falsos programas
Los falsos antivirus y programas informáticos nos introducen en una red de mentiras constante. Primero nos hacen creer que tenemos un virus que no existe; después, que tenemos que bajarnos un antivirus capaz de eliminar ese virus. De esto ya hemos hablado en el post sobre los falsos antivirus que dan falsos positivos. Pero luego resulta que tal antivirus no es tal, sino un adware o un programa malicioso disfrazado de solución informática.
Falsas páginas de descarga
Aprovechando la confianza de los usuarios de la red en un programa conocido y utilizado por todos, hay ciberdelincuentes que aprovechan esta credibilidad para crear páginas web donde supuestamente se permite descargar este software de forma gratuita.
Para darle mayor confianza al usuario, se lleva incluso el nombre del software al nombre de dominio o subdominio para que el usuario piense que es una página oficial.
Falsas extensiones para el navegador
Las extensiones para Google Chrome y Firefox también son frecuentes. Desde falsas notificaciones en las que nos indican que debemos actualizar Flash (aquí puedes ver el aviso explicado por Google Chrome) o cualquier plugin del navegador, hasta extensiones falsas que en realidad pueden ser amenazas a la privacidad de nuestros datos.
Las extensiones se aprovechan de nuestra confianza y a veces el desconocimiento del usuario para instalar barras que no queremos, espiar nuestra actividad online y otras muchas actividades perversas.
Falsos comentarios en foros
Los comentarios falsos abundan en la red para todo tipo de temas. Detrás de ellos, no siempre hay intención de colarnos algún tipo de malware, sino más bien vendernos algo o llevarnos a descargar el programa equivocado. El asunto es tan sencillo como que un usuario hace una pregunta en un foro y luego llega otro, anónimo, y le da una respuesta donde le indica el programa que tiene que bajarse y el enlace.
Como el usuario que ha hecho la pregunta, normalmente está desesperado por solucionar su problema, acaba picando fácilmente y descargando el programa, cuyo origen puede ser desconocido y por supuesto no ayuda al usuario. Luego el usuario anónimo que ha dado la simpática respuesta se da de baja y asunto concluido.
No hay comentarios:
Publicar un comentario