¿Qué es la ingeniería social?
La ingeniería social es el acto de manipular gente para realizar acciones o divulgar información confidencial. Aunque es similar a un truco de confianza o simple fraude, el término se aplica por lo general al truco o el engaño con el propósito de recaudar información, fraude, o acceso a sistemas de computadora; en la mayoría de los casos, el atacante nunca da la cara a la víctima.
- Pre-textos es el acto de crear y usar un escenario inventado (pre-texto) para persuadir a la víctima de que divulgue información o desarrolle una acción y típicamente se hace a través del teléfono. Es mas que una simple mentira y muy frecuentemente involucra alguna investigación previa y el uso de piezas de información conocida (Ej. Para suplantación: fecha de nacimiento, número de seguro social, la cantidad de su última factura) para establecer legitimidad en la mente del ojetivo.
- Phishing es una técnica fraudulenta para la obtención de información privada. Tipicamente, el estafador envía un email que parece venir de un negocio legítimo, un banco, o una compañía de tarjeta de crédito, solicitando una “verificación” de información y advirtiendo sobre consecuencias inminentes si no es proporcionado. El correo electrónico por lo general contiene un enlace a una página fraudulenta que parece legítima, con logotipos de la compañía y su contenido, y tiene un formulario que solicita todo, desde la dirección del hogar, hasta el número clave de un cajero automático.
- Phishing por Teléfono o Vishing utiliza un sistema bribon de respuesta de voz interactiva (IVR) para recrear una copia legítima de resonancia de un banco u otra institución de sistemas IVR. La víctima se le pide (por lo general a través de un correo electrónico fraudulento) que llame al “banco” a un número (sin cobro) provisto para “verificar” la información. Un sistema típico rechazará inicios de sesión continua, asegurando que la víctima ingrese los PINs o contraseñas muchas veces, y con frecuencia compartiendo diferentes contraseñas. Los sistemas más avanzados transfieren a la víctima al atacante que posa como un agente de servico al cliente para más interrogatorios.
- Quishing, o QR phishing, es un tipo de amenaza de ciberseguridad en la que los atacantes crean códigos QR para redirigir a las víctimas para que visiten o descarguen contenido malicioso.
- Cebar es como el Caballo de Troja del mundo real que usa información física y se funda en la curiosidad o avaricia de la víctima. En este ataque, el atacante deja un progrma malicioso (malwares) un disco floppy, CD Rom o Flash drive infectado en un lugar en donde sea encontrado con toda seguridad, (el baño, elevador, acera, estacionamiento) le da una apariencia de legítimo y una etiqueta que inspira curiosidad, y simplemente espera a que la victima utilice el dispositivo.
- Quid pro quo significa una cosa por otra: un atacante llama numeros al azar en una empresa que devuelve la iiamada al apoyo. Eventualmente llegarán a alguien con un problema legítimo, agradecido que alguien está llamando para ayudar. El atacante “ayudará” a resolver el problema y, en el proceso, hará que el usuario escriba comandos que le dan al atacante acceso, o lanza programas dañinos. Por ejemplo, en una encuesta de información de seguridad, el 90% de los trabajadores de oficina dió a los investigadores lo que ellos creían que era su contraseña en respuesta a una pregunta hecha en una encuesta a cambio de un bolígrafo barato. Encuestas similares en años posteriores obtuvieron resultados similares utilizando chocolates y otros articulos baratos, aunque ellos no intentaron validar las personas que llaman.
- Spear phishing es un email de parodia con intento de fraude que se dirige a una organización específica, buscando acceso no autorizado a información confidencial. Como sucede con los mensajes por correo electrónico utilizados en expediciones regulares de phishing, los mensajes de spear phishing parecen venir de fuentes confiables. Los mensajes phishing usualmente parecen venir de una compañía grande y bien conocida o sitio en la red, con una gran membresía, como eBay o PayPal. En el caso de spear phishing, sin embargo, la fuente aparente del email es posible que sea un individuo dentro de la misma compañía del destinatario y por lo general, alguien en una posición de autoridad.
¿Cómo se puede proteger usted mismo contra la ingeniería social?
El conocimiento es un arma eficaz en contra muchas formas de robo de identidad. Esté alerta de como la información es robada y lo que usted puede hacer para proteger la suya, controle su información personal para descubrir cualquier problema rápidamente y sepa qué hacer cuando usted sospeche que su identidad ha sido robada.
Armado con el conocimiento de como protegerse usted y tomando acción, usted puede hacer que el trabajo de los ladrones de ingeniería social sea mucho más difícil. Usted incluso puede ayudar en la lucha contra la ingeniería social enseñando a sus amigos, familiares y miembros de su comunidad.
Aqui van algunos consejos sobre como luchar contra un intento de llamada de ingeniería social:
- Pregunte al solicitante sobre la compañía para la cual él o ella trabaja;
- Pregunte el por qué necesita su información confidencial;
- a la información de quien llama y llame a la compañía para confirmarlo;
- Cuídese de no compartir su número de seguro social, fecha de nacimiento, PIN o número de tarjetas de crédito con extraños.
¿Debería usted proveer su contraseña o Identificación de usuario en un correo electrónico?
Cathay Bank no solicita información confidencial de clientes a través de email o de ventanas emergentes. Adicionalmente, Cathay Bank nunca le preguntará su contraseña. Usted debe salvaguardar y no compartir su contraseña con nadie.
