Que é a Enxeñaría Social?

Na seguridade informática, ocorren moitos problemas a pesar dos mellores esforzos do usuario. Por exemplo, pode ser golpeado con malware de publicidade maliciosa en calquera momento, realmente é a mala sorte. Hai pasos que podes tomar para minimizar o risco, como usar un bloqueador de anuncios. Pero ser golpeado así non é culpa do usuario. Outros ataques céntranse en enganar ao usuario para que faga algo. Este tipo de ataques están baixo a ampla bandeira dos ataques de enxeñería social.

A enxeñaría social implica utilizar a análise e a comprensión de como as persoas manexan determinadas situacións para manipular un resultado. A enxeñaría social pódese realizar contra grandes grupos de persoas. En termos de seguridade informática, con todo, normalmente úsase contra individuos, aínda que potencialmente como parte dunha gran campaña.

Un exemplo de enxeñería social contra un grupo de persoas poderían ser os intentos de causar pánico como distracción. Por exemplo, un militar que realiza unha operación de bandeira falsa ou alguén que grita "lume" nun lugar moi transitado e despois rouba no caos. Nalgún nivel, a propaganda simple, os xogos de azar e a publicidade tamén son técnicas de enxeñería social.

Porén, en seguridade informática, as accións tenden a ser máis individuais. O phishing tenta convencer aos usuarios de que fagan clic e liguen e introduzan detalles. Moitas estafas tentan manipular baseándose no medo ou a cobiza. Os ataques de enxeñaría social en seguridade informática poden incluso aventurarse no mundo real, como tentar acceder sen autorización a unha sala de servidores. Curiosamente, no mundo da ciberseguridade, este último escenario, e outros parecidos, son normalmente o que se entende cando se fala de ataques de enxeñería social.

Enxeñaría social máis ampla: en liña

O phishing é unha clase de ataque que intenta facer que a vítima proporcione detalles a un atacante. Os ataques de phishing adoitan realizarse nun sistema externo, como a través do correo electrónico, polo que teñen dous puntos de enxeñería social distintos. En primeiro lugar, deben convencer á vítima de que a mensaxe é lexítima e facer que faga clic na ligazón. Isto entón carga a páxina de phishing, onde se lle pedirá ao usuario que introduza os detalles. Normalmente, este será o seu nome de usuario e contrasinal. Isto depende do correo electrónico inicial e da páxina de phishing que parecen suficientemente convincentes para que o usuario confíe neles.

Moitas estafas intentan facer que as súas vítimas entreguen cartos. A clásica estafa do "príncipe nixeriano" promete un gran pago se a vítima pode facer fronte a un pequeno anticipo. Por suposto, unha vez que a vítima paga a "taxa" nunca se recibe ningún pago. Outros tipos de ataques de estafa funcionan con principios similares. Convencer á vítima de que faga algo, normalmente entregue diñeiro ou instale malware. Ransomware incluso é un exemplo diso. A vítima ten que entregar diñeiro ou corre o risco de perder o acceso aos datos cifrados.

Enxeñaría social presencial

Cando se refire á enxeñería social no mundo da ciberseguridade, normalmente refírese a accións no mundo real. Hai moitos exemplos de escenarios. Un dos máis básicos chámase tail-gating. Esta está o suficientemente preto detrás de alguén que manteña aberta unha porta de acceso controlado para deixarte pasar. O tail-gate pódese mellorar configurando un escenario no que a vítima poida axudarche. Un método é saír cos fumadores fóra nun descanso para fumar e despois volver ao interior co grupo. Outro método é que se vexa que leva algo incómodo. É aínda máis probable que esta técnica teña éxito se o que levas pode ser para outros. Por exemplo, se tes unha bandexa de cuncas de café para o "teu equipo", hai unha presión social para que alguén che manteña aberta a porta.

Gran parte da enxeñaría social en persoa depende de configurar un escenario e despois ter confianza nel. Por exemplo, un enxeñeiro social pode facerse pasar por unha especie de traballador da construción ou limpador que xeralmente se pasa por alto. Facerse pasar por un bo samaritano, entregar unha memoria USB "perdida" pode provocar que un empregado a conecte. A intención sería ver a quen pertence, pero entón podería infectar o sistema con malware.

Este tipo de ataques de enxeñería social en persoa poden ser moi exitosos, xa que ninguén realmente espera ser enganado así. Non obstante, supoñen un gran risco para o atacante, que ten unha posibilidade moi real de ser capturado en flagrante.

Conclusión

A enxeñaría social é o concepto de manipular persoas para acadar un obxectivo obxectivo. Unha forma consiste en crear unha situación real para enganar á vítima para que o crea. Tamén pode crear un escenario no que exista unha presión social ou expectativa de que a vítima actúe en contra dos consellos de seguridade estándar. Todos os ataques de enxeñaría social, con todo, dependen de enganar a unha ou máis vítimas para que realicen unha acción que o atacante quere.