Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DEFENSA
Introducción a la
Ingeniería Social
Concepto de Ingeniería Social
La ingeniería social es el acto de robo de información de las personas.
Como no tiene ninguna interacción con el sistema o la red de destino,
se considera un ataque no técnico. La ingeniería social se considera
como el arte de convencer al objetivo para que revele información.
Puede ser una interacción física directa con la victima, o convencer a la
victima en cualquier plataforma, como las redes sociales; las redes
sociales son una plataforma popular para la ingeniería social. Se
encuentra el hecho de que las personas son descuidadas o no son
conscientes de la importancia de la valiosa información que poseen.
Vulnerabilidades ante los ataques de
Ingeniería Social
Una de las principales vulnerabilidades que conduce a este tipo de
ataque es la "Confianza". El usuario confía en otro usuario y no protege
sus credenciales. Esto puede conducir a un ataque por parte del usuario,
ya que la segunda persona puede revelar la información a una tercera
persona.
Las organizaciones que desconocen los ataques de Ingeniería Social, su
contramedida y precaución también son vulnerables a este ataque. Un
programa de capacitación y educación insuficiente de los empleados crea
una vulnerabilidad en la seguridad contra la Ingeniería Social. Cada
organización debe capacitar a sus empleados para estar al tanto de la
ingeniería social.
Cada organización debe asegurar su infraestructura físicamente. Un
empleado que tenga un nivel diferente de autoridad debe tener
restricciones para desempeñarse en sus privilegios restringidos. El
empleado no puede acceder a los departamentos, como el
departamento de Finanzas, debe restringirse solo a sus departamentos
permitidos. En el caso de que un empleado sea libre de moverse, puede
realizar ataques de ingeniería social mediante Dumpster Diving o
Shoulder surfing.
La falta de políticas de seguridad y privacidad también son vulnerables.
Las políticas de seguridad deben ser lo suficientemente fuertes como
para evitar que un empleado se haga pasar por otro usuario. Se debe
mantener la privacidad entre personas o clientes no autorizados y el
empleado de una organización para mantener las cosas seguras contra
el acceso no autorizado o el robo.
Fases de un ataque de Ingeniería Social
Los ataques de ingeniería social no son ataques complejos que
requieren un fuerte conocimiento técnico, es un acto de robo de
información de las personas. Sin embargo, los ataques de Ingeniería
Social se realizan siguiendo los pasos que se mencionan a continuación:
• Investigación: La fase de investigación incluye una recopilación de
información sobre la organización objetivo. Puede ser recolectado en
el contenedor de basura, escaneando los sitios web de la
organización, buscando información en Internet, recopilando
información de los empleados de la organización objetivo, etc.
• Seleccionar objetivo: En la selección del objetivo, el atacante
selecciona el objetivo entre los empleados de una organización. Un
objetivo frustrado es más preferido ya que será fácil revelar
información de él.
• Relacionamiento: La fase de relación incluye crear una relación con el
objetivo de la forma en que no pudo identificar la intención; de
hecho, el objetivo será confiar en el atacante. Más nivel de confianza
entre el objetivo y el atacante será más fácil de revelar información.
• Explotación: Explotar la relación mediante una recopilación de
información confidencial, como nombre de usuario, contraseñas,
información de red, etc.
Tipos de Ingeniería
Social
Ingeniería Social basada en personas
La Ingeniería Social basada en personas incluye interacción uno a uno
con el objetivo. El atacante recopila información confidencial mediante
trucos, como garantizar la confianza, aprovechar los hábitos, el
comportamiento y la obligación moral.
• Suplantación: Suplantar es una técnica de ingeniería social basada en
el ser humano. Suplantación significa simular ser alguien o algo.
Suplantar en ingeniería social es fingir que un atacante es un usuario
legítimo o fingir ser una persona autorizada. Esta suplantación puede
ser personal o detrás de un canal de comunicación, como cuando se
comunica con correo electrónico, teléfono, etc.
• Eavesdropping and Shoulder Surfing: Eavesdropping es una técnica
en la que el atacante se revela información al escuchar la
conversación de forma encubierta. No solo incluye escuchar
conversaciones; incluye leer o acceder a cualquier fuente de
información sin ser notificado. Shoulder surfing es un método para
recopilar información al pararse detrás de un objetivo cuando
interactúa con información confidencial.
SlowHTTPTest es una
herramienta altamente
configurable que simula
algunos ataques de
denegación de servicio de la
capa de aplicación.
Implementa los ataques DoS
de capa de aplicación de bajo
ancho de banda más comunes.
Hping3