Escrito por Tienda.Digital
La ingeniería social y el phishing son la pareja de radares que representa la mayoría absoluta de los ataques contra su organización y su personal. Además, estos tipos de ataques son casi imposibles de proteger de cualquier otra forma que no sea la sensibilización de todos los empleados de la organización.
Todos pueden ser engañados; Es casi peor caminar y pensar que eres demasiado inteligente para dedicarte a la ingeniería social y al phishing. Los atacantes se han vuelto extremadamente expertos en el diseño de sus ataques, lo que dificulta la identificación de los legos, además de utilizar técnicas legítimas, como certificados inexactos y dominios “falsos”, para que sus métodos sean aún más creíbles. Aquí hay nueve signos de que está expuesto a la ingeniería social.
1. Alguien necesita tu contraseña
Este es, con mucho, el signo más común de que está expuesto a la ingeniería social. Viene por correo electrónico, un sitio web que visita o por llamada telefónica. El principio a seguir es muy simple: nunca, nunca, nunca le des tu contraseña a nadie ni a nada. Punto.
Incluso si fuera su jefe, un técnico de TI en el trabajo, un correo electrónico increíblemente creíble o quien sea o lo que sea, es una parada. Ok? Realmente no necesita verificar la autenticidad de los correos electrónicos, las URL y los dominios, algo que apenas los expertos pueden hacer, es mucho más fácil simplemente decidir sobre el principio de nunca dar una contraseña sin importar qué.
Si no está seguro de si su cuenta es segura, inicie sesión de la manera habitual que siempre lo hace. Después de iniciar sesión, puede verificar si hay errores o eventos. Lo importante es que lo haga usted mismo abriendo la página web actual o similar, no yendo a la página haciendo clic en un enlace en un correo electrónico.
La mejor manera de contrarrestar este tipo de ataques, además de decir siempre que no, es mediante autenticación de dos factores y / o manejadores de contraseñas que aleatorizan contraseñas largas al azar; es difícil deshacerse de una contraseña que no conoce. Introduzca la autenticación de dos factores en su organización, hoy es simple y económico. Si ejecuta un servicio donde las personas necesitan iniciar sesión, haga lo mismo allí. Demuestre que es una organización moderna que piensa en la seguridad de sus empleados y clientes al usar contraseñas.
2. Alguien quiere que ejecutes contenido
La siguiente forma más común de ser engañado es ejecutar contenido. Esto puede aparecer por correo electrónico o un sitio web, pero lo más común es a través de las redes sociales. Un ejemplo clásico es que una publicación en Facebook, por ejemplo, muestra un video. Parece muy divertido, el helado de bocadillos del mundo, pero desafortunadamente no puedes ver el video antes de instalar un códec de video. Otro ejemplo es un sitio web que no puede mostrar el contenido correctamente antes de instalar un pequeño complemento o similar. Inteligente, ¿verdad?
Lo que realmente instalará es una puerta trasera, un llamado “archivo cuentagotas” que intenta apoderarse de su computadora y “llamar a casa” para descargar código malicioso adicional.
Si realmente es que parece necesitar un códec o un complemento para una página web, lo que es muy poco probable ya que los navegadores modernos admiten prácticamente todos los diferentes formatos y tipos de contenido disponibles, instale el programa manualmente a través del sitio oficial para el programa en cuestión. Sin embargo, es mucho más probable que haya configurado ajustes duros en su navegador, lo que en sí mismo es bueno, o que el desarrollador del sitio web necesite un curso de programación.
3. Nombres de dominio extraños, similares o falsos
Conectado al primer punto está el fenómeno de nombres de dominio extraños, mal escritos, similares o simplemente falsos y URL dudosas. Raramente tienen algo que ver con el dominio real, pero es bastante común que las grandes empresas compren todos los dominios similares al real para evitar el phishing. Si no hay peligro, solo se te redirige al dominio real si deletreas accidentalmente, pero es un mal seguro.
La mayoría de la gente entiende esto, pero tomamos algunos ejemplos solo para mostrar a qué prestar atención:
apple.annandoman.com <-> annandoman.apple.com – verifica el orden de los subdominios.
applr.com – r se encuentra cerca de la e en el teclado, fácil de deletrear.
apple.one: hay millones de sitios falsos que tienen el nombre real de la empresa, pero en otro dominio de nivel superior.
Tenga en cuenta que esto también se aplica a las direcciones de correo electrónico y, por ejemplo, a los sms. Es bastante fácil falsificar una dirección de remitente, incluso si parece que el correo electrónico proviene por usted.
4. ¡Siempre tiene prisa!
El estrés hace que te confundas y liberes todo, al igual que los atacantes. Por lo general, si no actúa ahora, sucederá algo grave, como ser bloqueado de su cuenta o la empresa se arriesga a perder un trato. Esta categoría también incluye el estrés de la vergüenza, por lo que puede estar expuesto a algo vergonzoso que los atacantes han encontrado. Por supuesto que no. Y casi nunca tiene prisa por guardar una cuenta o cerrar un trato.
5. La dirección del remitente que se muestra en un correo electrónico no es la misma que la dirección de devolución
Ciertamente no es del todo seguro, pero a menos que la dirección del remitente sea la misma que la del remitente, se debe tener cuidado. Este es un truco de phishing común, pero también ocurre en contextos de marketing o soporte. Además, busque los correos electrónicos que provienen de una persona que conoce, pero no de la dirección normal del remitente.
6. Cuenta bancaria modificada o nueva información de pago
Los estafadores pueden intentar que les paguen facturas enviándoles información sobre una nueva cuenta bancaria u otra información de pago. Se encuentra un fraude particularmente difícil si piratearon la organización que normalmente recibe los pagos y le envía información sobre la cuenta modificada. Pueden pasar meses antes de que se descubran estas estafas. Todos los cambios en las cuentas bancarias u otra información de pago deben verificarse con una llamada a ellos que los estafadores fingen ser.
7. ¿El remitente es poco formal o usa el tipo de nombre incorrecto?
El estafador puede revelar muchos correos electrónicos fraudulentos al no poder obtener los códigos informales (o formales) entre usted y el remitente normal. Por ejemplo, si su colega normalmente termina su correo electrónico con “Kalle” y ahora dice “Karl Olsson”, o viceversa, puede ser algo sospechoso. O, en casos normales, el remitente siempre escribe “Hola Lisa”, pero ahora es solo un “Gane”. Todas esas desviaciones de la rutina que debes tener en cuenta. Llame y consulte con la persona en cuestión.
8. El remitente definitivamente no puede ser llamado
Un procedimiento común es que el atacante no quiere usar el teléfono, especialmente no quiere que lo llame para verificar algo. Quienquiera que diga ser, por lo general, nunca tiene problemas para ser llamado, pero ahora han dejado caer repentinamente el teléfono o tienen otro escape para no recibir llamadas. Curiosamente, por ejemplo, pueden chatear y usar las redes sociales tanto como sea posible, pero no conversaciones. La razón, por supuesto, es que inmediatamente escucharías que es la persona equivocada.
9. Si es demasiado bueno para ser verdad, no lo es
Si un comprador está más que feliz de pagar su precio inicial algo elevado, más el envío, más muchas otras cosas que se pueden agregar, o si un vendedor tiene algo que desea a un excelente precio, tenga cuidado. Si es demasiado bueno para ser verdad, a menudo es algo complicado. Termine la conversación de inmediato.
En el futuro, muchos de estos métodos pueden volverse aún más difíciles de detectar. Se pueden usar varias formas de IA, por ejemplo, para representar voces y caras, algo que ya ha sucedido en la práctica. Pero hasta entonces, estos nueve consejos lo ayudarán a descubrir la ingeniería social. Sospechar y estar alerta no está mal en el entorno de red actual.
