Ingeniería Social
La Ingeniería Social es básicamente la manipulación de la tendencia del ser humano a confiar, con el objetivo de hacer que una persona haga algo que el ingeniero social quiere (descargar un archivo desde Internet, acceder a un enlace, brindar información confidencial, tomar una decisión en particular, etc).
Cada vez son más las empresas víctimas de lo que se puede denominar como “Fugas y Fraudes” en los “Sistemas Internos y Externos de la Información”, que en unión con los “Delitos Electrónicos”, son difíciles de cuantificar, sin embargo, a pesar del peligro que esto conlleva, muchas empresas aún no están conscientes de esta problemática. Los métodos de ingeniería social más conocidos están:
‘- Hurtos por Transferencias electrónicas ( phishing, pharming, etc)
– Ofertas de dinero fácil y rápido. Bolsas de empleo
– Smishing Mensajes falsos vía SMS
– Suplantación de identidad
– Venta de bases de datos
– Robo de datos, espionaje
– Virus, Troyanos, malware
– Hacking – saboteo
– Cyberbulling
Newnet a través de herramientas, metodologías y personal altamente calificado y conexperiencia ayuda a nuestros clientes a verificar el nivel de conciencia y educación en Seguridad de la Información que tienen las personas, identificando vulnerabilidades en el componente humano, generando así recomendaciones para mitigarlas.
Las caracteristicas de este servicio se pueden resumir en algunas técnicas así:
– Técnicas No presenciales: Estas pruebas se realizan a distancia utilizando diferentes medios como el teléfono, correo electrónico, páginas web o cartas, algunas desarrolladas son:
— Smishing: Técnica fraudulenta a través de mensajes de texto. Se pide al usuario que llame a un número de tarificación especial o que acceda a un enlace de una web falsa.
— Vishing: Técnica eficaz en el cual se comunica telefónicamente o vía mensaje de voz haciéndose pasar por una empresa o entidad confiable con la intención de engañar a la víctima y convencerla de que realice una acción que va en contra de sus intereses.
— Phishing: Generalmente se emplean correos electrónicos con archivos adjuntos infectados o links a páginas fraudulentas de ejercicio con el objetivo de identificar vulnerabilidades.
— Pretexting: Consiste en elaborar un escenario/historia ficticia, donde se trata de que las víctimas compartna información que, en circunstancias normales, no revelaría.
– Técnicas presenciales: En estas pruebas se realiza una intrusión física en sitio. Dentro de esta técnica se destacan las siguientes actividades:
— Buscando en La basura(Dumpster Diving)
— Listados Telefónicos.
— Organigramas.
— Memorandos Internos.
— Manuales de Políticas de la Empresa.
— Agendas en Papel de Ejecutivos con Eventos y Vacaciones.
— Manuales de Sistemas.
— Impresiones de Datos Sensibles y Confidenciales
— Entrada a los sitios de trabajo
— Acceso Físico no Autorizado o Autorizado
— Piggybacking y Tailgating: Piggybacking se produce cuando una persona autorizada permite a alguien a seguirlo a través de una puerta a un área segura. Tailgating es cuando una persona, siendo un empleado o no, pasa a través de una puerta segura antes de que cierren sin el conocimiento de la persona que ha tenido acceso legítimo a través de esta.
Ambas prácticas son violaciones de puntos de control de acceso controlados con cerraduras, tarjetas de acceso o sistemas biométricos.
— Oficina
— Fotografiar o evidenciar documentos sensibles desatendidos.
— Pasearse por los pasillos buscando oficinas abiertas evidenciar
— Intentos de ganar acceso al cuarto de PBX y/o servidores para:
— Evidenciar posibles acceso a los sistemas,
— Demostrar o evidenciar la posible Instalación de analizadores de protocolo escondidos, sniffers.
– Identificar falencias en los controles de acceso físico ý lógico.
– Mejorar las políticas o procesos de seguridad en la organización.
– Poder transmitir las directrices o mejores prácticas para proteger de una manera adecuada los activos de información en la organización.
– Evaluación del grado de exposición que su estructura tiene ante intentos de engaño enmarcados dentro de procedimientos de Ingeniería Social.
Algunos de Nuestros Clientes en Ingeniería Social
