Social Engineering Flashcards
¿Qué es la ingeniería social?
Es una estrategia manipulativa que explota la psicología humana para obtener acceso no autorizado a sistemas, datos o espacios físicos, manipulando a las personas para que revelen información confidencial o realicen acciones que comprometen la seguridad.
¿Cuáles son los disparadores motivacionales más comunes usados en la ingeniería social?
🔶Motivational Triggers
- Autoridad: Los atacantes se hacen pasar por figuras de autoridad para obtener obediencia sin cuestionamientos.
- Urgencia: Crean presión de tiempo para que la víctima actúe rápidamente sin reflexionar.
- Prueba social: Aprovechan la tendencia a seguir lo que otros ya han validado o recomendado.
- Escasez: Inducen a actuar al hacer creer que hay recursos limitados o tiempo reducido.
- Simpatía: Usan carisma o amabilidad para ganarse la confianza de la víctima.
- Miedo: Amenazan con consecuencias negativas para forzar el cumplimiento de sus demandas.
A menudo, los ingenieros sociales combinan varios disparadores para maximizar el impacto de su ataque.
¿Cuáles son las formas principales de ataques de impersonation y sus contramedidas?
🔶Impersonation
Impersonation (Suplantación de Identidad)
Ataque en el que el adversario asume la identidad de otra persona para ganar acceso no autorizado a recursos o datos sensibles. Los atacantes a menudo pretenden ser alguien que las víctimas conocen y en quien confían, o alguien con autoridad para intimidar a los usuarios y hacer que entreguen información confidencial.
Contramedidas:
- Proporcionar formación continua de concienciación en seguridad.
- Verificar la identidad de cualquier persona que solicite información sensible, especialmente si se hace por teléfono o correo electrónico.
Brand Impersonation (Suplantación de Marca)
Es cuando un atacante finge ser una empresa o marca legítima para engañar a los usuarios y robar sus datos, usando sitios web falsos o correos electrónicos fraudulentos.
Contramedidas:
* Educar a los usuarios sobre los peligros de la suplantación de marca.
* Utilizar puertas de enlace de correo electrónico seguras.
* Monitorizar activamente la presencia en línea de la marca.
Typosquatting (secuestro de URL)
Técnica en la que un atacante registra un dominio similar a una web popular pero con errores tipográficos comunes. El objetivo es que los usuarios que cometan un error al escribir la URL sean redirigidos a un sitio fraudulento
Contramedidas:
* Registrar variantes comunes de errores tipográficos del dominio.
* Utilizar servicios que monitoricen dominios similares.
* Educar a los usuarios para que revisen las URL antes de interactuar con ellas.
Watering Hole Attacks (Ataques de Abrevadero)
Los atacantes comprometen un sitio web o servicio conocido por ser utilizado por sus objetivos. Una vez que el sitio está comprometido, el atacante lo utiliza para distribuir malware o lanzar otros tipos de ataques contra las víctimas.
Contramedidas:
* Mantener los sistemas actualizados.
* Usar servicios de inteligencia de amenazas.
* Implementar herramientas avanzadas de detección y prevención de malware.
¿Qué es el pretexting en ingeniería social?
¿Cuáles son las contramedidas contra el pretexting?
🔶Pretexting
Es una técnica en la que el atacante crea un escenario falso o una historia convincente (como ser un empleado de soporte técnico o un representante de una empresa) para obtener información confidencial de la víctima. El atacante se hace pasar por una persona o entidad confiable para lograr que la víctima revele datos sensibles.
CONTRAMEDIDAS
1. Capacitación de usuarios: Es fundamental que las organizaciones eduquen a sus empleados para que no compartan información confidencial por teléfono, incluso si el solicitante parece legítimo.
2. Políticas de verificación: Los empleados deben verificar la identidad de cualquier persona que solicite información, especialmente si la solicitud es inusual.
3. No completar la información por otros: Una táctica clave de pretexting es hacer que la víctima complete la historia del atacante. Se debe enseñar a los empleados a no proporcionar información si no están seguros de con quién están hablando.
4. Reportar actividades sospechosas: Cualquier llamada o solicitud inusual debe ser reportada al departamento de seguridad.
¿Cuáles son los tipos de phishing más comunes?
🔶Tipos de Ataques de Phishing
Phishing: Ataque masivo donde se envían correos fraudulentos que parecen legítimos para robar información personal o financiera mediante enlaces o archivos maliciosos.
Spear Phishing: Ataque dirigido a personas u organizaciones específicas. Los correos se personalizan con información relevante para engañar a la víctima con mayor efectividad.
Whaling: Variante de spear phishing que se dirige a altos ejecutivos (CEOs, CFOs) para obtener acceso a información crítica o realizar transacciones financieras fraudulentas.
Business Email Compromise (BEC): Toma de control de una cuenta de correo legítima en una organización para engañar a otros empleados y obtener transferencias de dinero o datos sensibles.
Vishing (Voice Phishing): Engaño telefónico en el que el atacante se hace pasar por una figura de confianza, como un representante bancario, para robar información confidencial.
Smishing (SMS Phishing): Uso de mensajes de texto para engañar a la víctima con enlaces maliciosos o solicitudes de información personal, redirigiendo a sitios web fraudulentos o instalando malware.
¿Cuáles son algunos indicadores comunes de phishing?
🔶Prevención de Ataques de Phishing
Urgencia
Correos que crean presión para actuar rápido, como “Tienes 4 horas para reclamar tu premio”.
Solicitudes inusuales
Pedir contraseñas o datos confidenciales es sospechoso, ya que bancos y soporte técnico no lo solicitan por correo.
URLs desajustadas
Enlaces que parecen legítimos pero redirigen a sitios maliciosos.
- Para verificar, los usuarios deben pasar el cursor sobre el enlace para ver la URL real. Si la URL no coincide con el enlace de texto, es probable que sea un intento de phishing.
Direcciones de correo sospechosas
Correos de remitentes con direcciones inusuales o que no coinciden con la empresa legítima.
- Al pasar el cursor sobre la dirección de correo del remitente, puedes ver la dirección real. Si no coincide o parece extraña, es una señal de alerta.
Errores gramaticales
Un mensaje con muchos errores gramaticales o de ortografía es sospechoso. Sin embargo, algunos atacantes pueden escribir correos bien redactados, por lo que este indicador no debe ser el único considerado.
¿Qué hacer si un usuario hizo clic en un enlace de phishing?
🔶Prevención de Ataques de Phishing
- Investigar para verificar si hubo acceso no autorizado o infección.
- Informar a todos los usuarios sobre el ataque para que tomen precauciones adicionales.
¿Qué es el fraude y cuál es su objetivo principal?
¿Qué es el fraude de identidad y cómo difiere del robo de identidad?
🔶Fraudes y Estafas
El fraude busca lograr una ganancia personal o financiera mediante el engaño, haciendo que la víctima entregue voluntariamente su información o bienes.
¿Qué es el fraude de identidad y cómo difiere del robo de identidad?
- El fraude de identidad es cuando el atacante usa la información personal de la víctima para hacer cargos o transacciones.
- El robo de identidad es cuando el atacante asume completamente la identidad de la víctima para obtener otros beneficios. Ambos términos se usan a menudo de manera intercambiable.
¿Cómo prevenir el fraude de identidad?
* Proteger la información personal y financiera.
* Utilizar autenticación multifactor en cuentas sensibles.
* Monitorizar regularmente las cuentas bancarias y de crédito para detectar actividades sospechosas.
¿Qué es una estafa (scam) y cuál es su objetivo principal?
¿Qué es una estafa de facturas y cómo funciona?
🔶Fraudes y Estafas
Las estafas son actos engañosos o fraudulentos destinados a engañar a la víctima.
¿Qué es una estafa de facturas y cómo funciona?
Es cuando un atacante envía una factura falsa a la empresa, intentando que pague por productos o servicios no solicitados. A menudo, los atacantes utilizan pretextos para convencer a un empleado de que se hizo un pedido legítimo.
¿Qué es una estafa de facturas por correo electrónico?
Es cuando un atacante envía una factura por correo electrónico con un archivo adjunto (como un PDF) que contiene código malicioso. Al abrir el archivo, se infecta la computadora, dándole al atacante acceso remoto.
¿Cómo prevenir una estafa de facturas?
* Verificar siempre las facturas y los pedidos con el proveedor antes de realizar pagos.
* Analizar archivos adjuntos de correos electrónicos de fuentes desconocidas antes de abrirlos.
* Entrenar a los empleados para que detecten señales de estafas y fraudes.
¿Cuál es la diferencia entre misinformation y desinformation?
🔶Influence Campaigns
Misinformation: Información falsa compartida sin intención maliciosa, generalmente debido a errores.
Desinformation: Información falsa difundida deliberadamente con el propósito de engañar o manipular.
Ejemplos de Campañas de Influencia
🔶Influence Campaigns
Elecciones presidenciales de EE. UU. (2016)
- Se cree que operativos patrocinados por el estado ruso usaron desinformación para manipular a los votantes estadounidenses durante las elecciones de 2016.
- Utilizaron cuentas falsas en redes sociales como Facebook y Twitter para difundir información política divisiva y rumores falsos sobre los candidatos, con el fin de influir en el resultado electoral.
Estafa de Bitcoin en Twitter (2020)
- En julio de 2020, Twitter fue víctima de un ataque en el que se comprometieron cuentas de alto perfil, incluyendo las de Barack Obama, Elon Musk y Bill Gates.
- Los atacantes usaron estas cuentas para publicar mensajes afirmando que cualquier Bitcoin enviado a una dirección específica sería duplicado como parte de un gesto de caridad, lo cual resultó ser una estafa.
¿Cuáles son algunas estrategias para combatir la misinformation y desinformation?
🔶Influence Campaigns
- Promover la alfabetización mediática: Enseñar a las personas a evaluar críticamente la información que encuentran en línea para identificar fuentes confiables y evitar caer en engaños.
- Priorizar la verificación de hechos: Fomentar la cultura del fact-checking y la verificación de información antes de compartirla.
- Transparencia y responsabilidad: Las plataformas en línea deben ser más transparentes y responsables con respecto a cómo manejan la información, especialmente durante eventos como elecciones o crisis de salud pública.
- Regulación adecuada: Implementar regulaciones que fomenten la supervisión de contenido en línea y las publicaciones patrocinadas para evitar la manipulación masiva de la opinión pública.
¿Qué es el robo por desvío (Diversion Theft) y cómo se realiza?
🔶Otros Ataques de Ingeniería Social
El robo por desvío implica manipular una situación o crear una distracción para robar información o bienes valiosos.
En el ámbito físico, esto puede involucrar la creación de una escena para desviar la atención, mientras un cómplice comete el robo.
En el ámbito digital, un ejemplo común es redirigir el tráfico de internet a sitios web falsos mediante DNS spoofing. Este ataque manipula los servidores DNS para llevar a los usuarios a un sitio web falso que imita uno legítimo, donde los usuarios pueden ser engañados para proporcionar información sensible.
¿Qué es un hoax y cómo puede prevenirse?
🔶Otros Ataques de Ingeniería Social
Forma de engaño malintencionado, generalmente difundida por redes sociales, correos electrónicos o mensajes.
Pueden causar pánico o ser usadas como parte de ataques de phishing o malware.
Un ejemplo común es cuando recibes una alerta de virus para un sistema operativo que no estás usando, lo que puede ser fácilmente identificado como un engaño.
Para prevenir Hoaxes, se deben utilizar habilidades de pensamiento crítico y verificación de la fuente antes de actuar sobre cualquier mensaje sospechoso.
¿Qué es el shoulder surfing y cómo prevenirlo?
🔶Otros Ataques de Ingeniería Social
Es cuando un atacante observa a alguien mientras introduce información sensible, como un PIN o contraseña. Se previene protegiendo el teclado al escribir y usando pantallas de privacidad.
