Què és lEnginyeria Social?

En seguretat informàtica, es produeixen molts problemes malgrat els millors esforços de l'usuari. Per exemple, en qualsevol moment us podeu colpejar amb programari maliciós per publicitat maliciosa, és a causa de la mala sort. Hi ha passos que podeu seguir per minimitzar el risc, com ara utilitzar un bloquejador d'anuncis. Però ser colpejat així no és culpa de l'usuari. Altres atacs, però, se centren a enganyar l'usuari perquè faci alguna cosa. Aquest tipus d'atacs es troben sota la bandera àmplia dels atacs d'enginyeria social.

L'enginyeria social implica utilitzar l'anàlisi i la comprensió de com les persones gestionen determinades situacions per manipular un resultat. L'enginyeria social es pot realitzar contra grans grups de persones. En termes de seguretat informàtica, però, normalment s'utilitza contra individus, encara que potencialment com a part d'una gran campanya.

Un exemple d'enginyeria social contra un grup de persones podrien ser els intents de provocar pànic com a distracció. Per exemple, un militar que realitza una operació de bandera falsa o algú que crida "foc" en un lloc ocupat i després roba en el caos. En algun nivell, la propaganda simple, els jocs d'atzar i la publicitat també són tècniques d'enginyeria social.

En seguretat informàtica, però, les accions solen ser més individuals. La pesca intenta convèncer els usuaris perquè facin clic i enllacin i introdueixin detalls. Moltes estafes intenten manipular-les basant-se en la por o la cobdícia. Els atacs d'enginyeria social en seguretat informàtica poden fins i tot aventurar-se al món real, com ara intentar obtenir accés no autoritzat a una sala de servidors. Curiosament, en el món de la ciberseguretat, aquest últim escenari, i altres com aquest, solen ser el que es vol dir quan es parla d'atacs d'enginyeria social.

Enginyeria social més àmplia: en línia

El phishing és una classe d'atac que intenta enginyer social de la víctima perquè proporcioni detalls a un atacant. Els atacs de phishing solen lliurar-se en un sistema extern, com ara per correu electrònic, i per tant tenen dos punts d'enginyeria social diferents. En primer lloc, han de convèncer la víctima que el missatge és legítim i fer-li clic a l'enllaç. Aleshores es carrega la pàgina de pesca, on se li demanarà a l'usuari que introdueixi els detalls. Normalment, aquest serà el seu nom d'usuari i contrasenya. Això es basa en el correu electrònic inicial i la pàgina de pesca que semblen prou convincents com per dissenyar l'usuari social perquè confiï en ells.

Moltes estafes intenten enginyer social a les seves víctimes perquè lliurin diners. La clàssica estafa del "príncep nigerià" promet un gran pagament si la víctima pot pagar una petita quota anticipada. Per descomptat, una vegada que la víctima paga la "taxa" no es rep mai cap pagament. Altres tipus d'atacs d'estafa funcionen amb principis similars. Convèncer la víctima perquè faci alguna cosa, normalment lliurar diners o instal·lar programari maliciós. El ransomware fins i tot és un exemple d'això. La víctima ha de lliurar diners o corre el risc de perdre l'accés a les dades xifrades.

Enginyeria social presencial

Quan es fa referència a l'enginyeria social al món de la ciberseguretat, normalment es refereix a accions en el món real. Hi ha molts escenaris exemples. Un dels més bàsics s'anomena tail-gating. Això es troba prou a prop darrere d'algú per mantenir oberta una porta amb control d'accés per deixar-te passar. El tail-gating es pot millorar configurant un escenari en què la víctima us pugui ajudar. Un mètode és passar l'estona amb els fumadors fora en una pausa per fumar i després tornar a dins amb el grup. Un altre mètode és que es vegi portar alguna cosa incòmode. És encara més probable que aquesta tècnica tingui èxit si el que portes podria ser per a altres. Per exemple, si tens una safata de tasses de cafè per al "teu equip", hi ha una pressió social perquè algú tingui la porta oberta per a tu.

Gran part de l'enginyeria social en persona es basa en configurar un escenari i després tenir confiança en ell. Per exemple, un enginyer social podria passar per una mena de treballador de la construcció o netejador que generalment es pot passar per alt. Fer-se passar per un bon samarità, lliurar una unitat USB "perduda" podria provocar que un empleat la connectés. La intenció seria veure a qui pertany, però llavors podria infectar el sistema amb programari maliciós.

Aquest tipus d'atacs d'enginyeria social en persona poden tenir molt èxit, ja que ningú espera ser enganyat així. No obstant això, comporten un gran risc per a l'atacant, que té una possibilitat molt real de ser atrapat en flagrant violació.

Conclusió

L'enginyeria social és el concepte de manipular persones per aconseguir un objectiu. Una manera consisteix a crear una situació real per enganyar la víctima perquè s'ho cregui. També podeu crear un escenari en què hi hagi una pressió social o expectativa perquè la víctima actuï en contra dels consells de seguretat estàndard. Tots els atacs d'enginyeria social, però, depenen d'enganyar una o més víctimes perquè realitzin una acció que l'atacant vol que facin.