¿Qué es la ingeniería social?
La ingeniería social es el término utilizado para una amplia gama de actividades maliciosas realizadas a través de las interacciones humanas. Utiliza la manipulación psicológica para engañar a los usuarios para que cometan errores de seguridad o faciliten información sensible.
Los ataques de ingeniería social se producen en uno o varios pasos. En primer lugar, el agresor investiga a la víctima prevista para recopilar la información de fondo necesaria, como los posibles puntos de entrada y los protocolos de seguridad débiles, necesarios para llevar a cabo el ataque. A continuación, el atacante se mueve para ganarse la confianza de la víctima y proporcionar estímulos para las acciones posteriores que rompen las prácticas de seguridad, como revelar información sensible o conceder acceso a recursos críticos.
Lo que hace que la ingeniería social sea especialmente peligrosa es que se basa en el error humano, más que en las vulnerabilidades del software y los sistemas operativos. Los errores cometidos por los usuarios legítimos son mucho menos predecibles, por lo que son más difíciles de identificar y frustrar que una intrusión basada en malware.
Un ataque muy popular en ingeniería social es Self-xss, usado para perder control de las cuentas web de las víctimas.
¿Qué es y cómo funciona Self-XSS?
Self-XSS es un ataque de ingeniería social utilizado para obtener el control de las cuentas web de las víctimas engañando a los usuarios para que copien y peguen contenido malicioso en sus navegadores. Dado que los proveedores de navegadores y los sitios web han tomado medidas para mitigar este ataque bloqueando el pegado de la etiqueta javascript, he descubierto una forma de hacerlo utilizando Bit.ly, de modo que podemos crear una redirección que apunte a “website.com/javascript:malicious_code”. Si el usuario es engañado para ejecutar el código javascript después de “website.com/” las cookies de su sesión autenticada/registrada de website.com serán enviadas al atacante.
Prevención de la ingeniería social
Los ingenieros sociales manipulan los sentimientos humanos, como la curiosidad o el miedo, para llevar a cabo sus planes y hacer caer a las víctimas en sus trampas. Por lo tanto, ten cuidado cada vez que te sienta alarmado por un correo electrónico, atraído por una oferta mostrada en un sitio web o cuando se encuentre con medios digitales extraviados.
Además, los siguientes consejos pueden ayudar a mejorar su vigilancia en relación con los ataques de ingeniería social.
-No abras correos electrónicos ni archivos adjuntos de fuentes sospechosas: si no conoces al remitente en cuestión, no tienes por qué responder a un correo electrónico. Incluso si lo conoces y sospechas de su mensaje, comprueba y confirma las noticias desde otras fuentes, como por teléfono o directamente desde el sitio de un proveedor de servicios. Recuerda que las direcciones de correo electrónico se falsifican constantemente; incluso un correo electrónico que supuestamente proviene de una fuente de confianza puede haber sido iniciado por un atacante.
-Desconfía de las ofertas tentadoras – Si una oferta suena demasiado tentadora, piénsalo dos veces antes de aceptarla como un hecho. Buscar en Google el tema puede ayudarle a determinar rápidamente si se trata de una oferta legítima o de una trampa.
-No hagas clic en las urls abreviadas por Ejemplo: bit.ly/55ewEb?22. Esto puede redirigir a un sitio infectado.
-Si alguien te pide (incluso si es tu amigo) que pegues los scripts en la barra del navegador, nunca cometas este error.
-Si alguien dice “Iphone sólo 10 dólares”, no te apresures a hacer clic en él.
-Si alguien dice “1000 compartidos curarán a un bebé”, nunca cometas este error. Las acciones de Facebook nunca ayudan a conseguir dinero o a curar a un bebé.
-Mantén actualizado tu software antivirus/antimalware – Asegúrate de que las actualizaciones automáticas están activadas, o acostúmbrate a descargar las últimas firmas a primera hora del día. Comprueba periódicamente que se han aplicado las actualizaciones y analiza tu sistema en busca de posibles infecciones.
¡RED FLAGS!
Dios nos ha dado el sexto sentido, úsalo y piensa antes de hacer clic en cualquier enlace o seguir otras instrucciones.
En Interscope Media estamos para alertarte y aconsejarte ante cualquier anomalía o posible ataque, si te sientes amenazado no dudes en contactarnos.
