Cómo ingenieros sociales exploit relaciones para introducirse en los sistemas
Después de ingenieros sociales obtengan la confianza de sus víctimas inocentes, que explotan la relación y coaxial a las víctimas para que divulguen más información de lo que deberían. Whammo - el ingeniero social puede ir a matar. Los ingenieros sociales hacen a través cara a cara o comunicación electrónica que las víctimas se sientan cómodos con, o que utilizan la tecnología para conseguir víctimas a divulgar información.
Engaño a través de palabras y acciones
Ingenieros sociales Wily pueden obtener información en el interior de sus víctimas en muchos sentidos. A menudo son articuladas y se centran en mantener sus conversaciones en movimiento sin renunciar a sus víctimas mucho tiempo para pensar en lo que están diciendo. Sin embargo, si son descuidados o demasiado ansioso durante sus ataques de ingeniería social, los siguientes punta-offs podrían dar a la basura:
Actuando demasiado amable y con ganas
La mención de nombres de personas prominentes dentro de la organización
Presumiendo de autoridad dentro de la organización
Amenazar reprimendas si las solicitudes no se respetan
Actuando nervioso cuando se le preguntó (frunciendo los labios y la inquietud - especialmente en las manos y los pies, porque el control de las partes del cuerpo que están más lejos de la cara requiere un esfuerzo más consciente)
Poner demasiado énfasis en los detalles
Experimentar cambios fisiológicos, como la dilatación de las pupilas o cambios en el tono de voz
Apareciendo apresurado
Negarse a dar información
Voluntariado información y responder a las preguntas sin respuesta
Conocer la información de que un extraño no debería tener
Usando discurso privilegiada o argot como un outsider conocido
Hacer preguntas extrañas
Palabras con errores ortográficos en las comunicaciones escritas
Un buen ingeniero social no es evidente con las acciones anteriores, pero estos son algunos de los signos de que el comportamiento malicioso está en los trabajos. Por supuesto, si la persona es un sociópata o psicópata, su experiencia puede variar.
Los ingenieros sociales a menudo hacen un favor a alguien y luego dar la vuelta y pedir a esa persona si él o ella le importaría ayudarles. Este común truco de ingeniería social funciona bastante bien. Los ingenieros sociales también utilizan a menudo lo que se llama revertir la ingeniería social.
Esto es donde ofrecen ayuda si un problema específico arises- pasa algún tiempo, el problema se produce (a menudo por su hacer), y luego ayudan a solucionar el problema. Ellos pueden venir a través como héroes, lo que puede favorecer su causa. Los ingenieros sociales pueden pedirle a un empleado desprevenido un favor. Sí - que acaba de plano piden un favor. Muchas personas caen en esta trampa.
Hacerse pasar por un empleado es fácil. Los ingenieros sociales pueden llevar un uniforme de aspecto similar, hacer una tarjeta de identificación falsa, o simplemente vestirse como los empleados reales. La gente piensa, " Hey - que se ve y actúa como yo, por lo que debe ser uno de nosotros ".
Ingenieros sociales también se hacen pasar por empleados que llaman desde una línea telefónica exterior. Este truco es una forma muy popular de explotar el personal de asistencia y centros de llamadas. Los ingenieros sociales saben que estos empleados caen en una rutina fácil debido a que sus tareas son repetitivas, como diciendo: " Hola, ¿puedo obtener su número de cliente, por favor "?
Engaño a través de la tecnología
La tecnología puede facilitar las cosas - y más divertido - por el ingeniero social. A menudo, una petición maliciosa de información proviene de una computadora u otra entidad electrónica que las víctimas creen que pueden identificar. Pero spoofing un nombre de equipo, una dirección de correo electrónico, un número de fax o una dirección de red es fácil.
Los hackers pueden engañar a través de la tecnología mediante el envío de correo electrónico que le pide a las víctimas para obtener información crítica. Este e-mail por lo general proporciona un enlace que dirige a las víctimas a un sitio web profesionalismo y legítimo de futuro que " # 148 actualizaciones; información de la cuenta, como ID de usuario, contraseñas y números de Seguro Social. También podrían hacerlo en sitios de redes sociales, como Facebook y Myspace.
Muchos mensajes de spam y phishing también utilizan este truco. La mayoría de los usuarios son inundados con tanto spam y otra dirección de correo no deseado que suelen bajar la guardia y los correos electrónicos y archivos adjuntos que no debe abrirse. Estos correos electrónicos generalmente un aspecto profesional y creíble. A menudo engañan a las personas para que revelen información que nunca deben dar a cambio de un regalo.
Estos trucos de ingeniería social también se producen cuando un hacker que ya ha entrado en la red envía mensajes o crea ventanas de Internet emergentes falsos. Los mismos trucos se han producido a través de la mensajería instantánea y mensajería móvil.
En algunos incidentes muy publicitados, los hackers enviado por correo electrónico a sus víctimas un parche que supuestamente provienen de Microsoft o de otro proveedor conocido. Los usuarios opinan que parece un pato y grazna como un pato - pero no es el pato a la derecha! El mensaje es en realidad de un hacker que quiera el usuario para instalar el " parche, " que instala un keylogger troyano o crea una puerta trasera en los ordenadores y redes.
Los hackers utilizan estas puertas traseras para introducirse en los sistemas de la organización o usar las computadoras de las víctimas (conocido como zombis) Como plataformas de lanzamiento para atacar a otro sistema. Incluso los virus y gusanos pueden utilizar la ingeniería social. Por ejemplo, el gusano LoveBug dijo a los usuarios que tenían un admirador secreto. Cuando las víctimas abrieron el correo electrónico, ya era demasiado tarde. Sus computadoras fueron infectadas (y tal vez peor, no tenían un admirador secreto).
los Nigeriano 419 esquema de fraude de correo electrónico intenta acceder desprevenido de las cuentas bancarias y el dinero la gente. Estos ingenieros sociales ofrecen transferir millones de dólares a la víctima a repatriar los fondos de un cliente fallecido a los Estados Unidos. Toda la víctima debe proporcionar es la información de la cuenta bancaria personal y un poco de dinero por adelantado para cubrir los gastos de transferencia. Víctimas luego tienen sus cuentas bancarias vaciadas.
Muchas tácticas de ingeniería social computarizadas pueden realizarse de forma anónima a través de servidores proxy de Internet, anonimizadores, remailers y servidores SMTP básicos que tienen una retransmisión abierta. Cuando las personas se enamoran de las solicitudes de información personal o corporativa confidencial, las fuentes de estos ataques de ingeniería social son a menudo imposibles de rastrear.