Què és enginyeria social?

La baula més feble en la seguretat de la informació de qualsevol organització és el personal intern. Els atacants necessiten informació sobre els seus objectius per poder realitzar els atacs, i una de les maneres més fàcils d'obtenir informació valuosa per a aquest propòsit és que se la proporcioni el personal de les organitzacions objectiu; en això consisteix l'enginyeria social.

Què és l'enginyeria social en seguretat informàtica?

L'enginyeria social és el conjunt de tècniques utilitzades per obtenir informació confidencial: usuaris i contrasenyes, números de targetes de crèdit, secrets comercials, etc. Això s'aconsegueix amb manipulació i tècniques enganyoses emprades pels cibercriminals i que animen l'usuari a realitzar una acció determinada.

No l'hem de confondre amb l'enginyeria social inversa, en la qual l'atacant actua de manera no activa, és a dir, fa algun tipus d'acció perquè la víctima voluntàriament reveli informació sense ser sol·licitada. Per exemple, danyarà l'ordinador de la víctima d'alguna manera perquè després l'usuari sol·liciti una solució i així poder obtenir la informació.

Per a què s'utilitza?

S'utilitza per obtenir informació d'interès per cometre atacs contra objectius, obtenir avantatges econòmics i comercials, causar dany i perjudicis.

Tipus d'enginyeria social

En l'enginyeria social els atacants fan servir habilitats socials per enganyar les víctimes i aconseguir informació personal com ara números de targetes de crèdit, comptes bancaris o informació confidencial sobre les organitzacions o els seus sistemes de TIC, per tal de llançar atacs o cometre un frau.

Els tipus d'enginyeria social són:

  • Basada en persones: implica la interacció amb individus, normalment per telèfon. Amb el pretext de ser una persona legítima o autoritzada, l'atacant interactua amb persones de l'organització per obtenir informació sensible, per exemple fent-ser passar per personal del departament de TI. Aquesta pràctica fraudulenta es coneix com vishing.
  • Basada en computadores: utilitzant la tecnologia obtenen la informació necessària per als seus atacs, per exemple a través de correus electrònics que semblen procedir de l'organització o d'organitzacions legítimes i que contenen enllaços a llocs maliciosos en què se sol·liciten dades sensibles de les persones. Aquesta última tècnica d'engany es coneix habitualment com phishing.
  • Mitjançant el desenvolupament d'aplicacions malicioses que imiten aplicacions populars i que infecten els dispositius per obtenir informació sensible a través de missatges SMS amb enllaços a llocs maliciosos.

Com es pot evitar?

No es pot evitar el risc de patir atacs d'enginyeria social, però sí que es poden adoptar un seguit de recomanacions bàsiques de seguretat:

  1. Desenvolupar i implementar una política de seguretat de la informació i els procediments i instruccions tècniques que la sustenten.

    a. Gestió d'usuaris i contrasenyes.
    b. Controls d'accés físic a les instal·lacions.
    c. Controls d'accés lògic als sistemes i a la xarxa.

  2. Formar i conscienciar els empleats en la política, els procediments i les instruccions de seguretat de la informació de l'organització i en bones pràctiques de seguretat.
  3. Establir acords formals amb els empleats sobre política de seguretat, procediments, instruccions tècniques, usos acceptables dels equips, bones pràctiques de seguretat i possibles penalitzacions en cas d'incompliment.
  4. Realitzar campanyes de conscienciació sobre enginyeria social i proves per detectar en quina mesura són efectives les mesures adoptades per l'organització per defensar-se contra aquesta.

Els atacs d'enginyeria social són habituals per obtenir dades sensibles, molt sovint claus o codis d'una persona i informació de caràcter empresarial. La millor defensa, en aquests casos, és la formació i conscienciació en bones pràctiques de seguretat.

Et pot interessar

×
${loading}
×