Què és l'Enginyeria Social?
L’enginyeria social és l’acte d’explotar les debilitats humanes per accedir a la informació personal i als sistemes protegits. L’enginyeria social es basa en la manipulació d’individus en lloc de piratejar sistemes informàtics per penetrar en el compte d’un objectiu.
Comprensió d'Enginyeria Social
Per exemple, una dona pot trucar al banc d’una víctima masculina i fingir ser la seva dona que reclama una emergència i que sol·liciti l’accés al seu compte. Si la dona pot enginyar socialment el representant d’atenció al client del banc amb un recorregut apel·lant a la tendència empàtica del representant, pot aconseguir l’accés al compte de l’home i poder robar-li diners. De la mateixa manera, un atacant podria contactar amb el departament d’atenció al client d’un proveïdor de correu electrònic per obtenir un restabliment de contrasenya que permeti a l’atacant controlar el compte de correu electrònic d’un destinatari en lloc de piratejar aquest compte.
L’enginyeria social es refereix a la manipulació d’un objectiu de manera que es doni informació clau. A més de robar la identitat d’una persona o comprometre una targeta de crèdit o un compte bancari, es pot aplicar enginyeria social per obtenir secrets comercials d’una empresa o explotar la seguretat nacional.
L'enginyeria social és difícil de prevenir per als objectius possibles. S'utilitzen precaucions com ara l'ús de contrasenyes contundents i l'autenticació de dos factors per als comptes, però tercers poden veure compromesos amb l'accés als seus comptes, com ara els empleats bancaris. No obstant això, les persones poden disminuir el seu risc evitant donar informació confidencial, sent prudents quan comparteixen informació a les xarxes socials, no repetint contrasenyes, utilitzant l'autenticació de dos factors, utilitzant respostes falses o difícils d'endevinar per a preguntes de seguretat del compte i mantenint una detingueu els comptes, especialment els comptes financers.
Els atacants sovint utilitzen tàctiques sorprenentment senzilles en esquemes d’enginyeria social, com ara demanar ajuda a la gent. Una altra tàctica és explotar les víctimes de desastres demanant-los que proporcionin informació identificable personalment com ara noms de soltera, adreces, dates de naixement i números de seguretat social per a éssers estimats desapareguts o morts, informació que posteriorment es pot utilitzar per robatori d’identitat.
Posar com a professional d'assistència tecnològica o com a persona lliuradora són maneres fàcils d'obtenir accés no autoritzat a un compte, tal com envia un correu electrònic aparentment legítim amb un fitxer adjunt maliciós. Aquests missatges de correu electrònic s’envien sovint a una adreça de correu electrònic de treball on les persones tenen menys probabilitat de sospitar d’un remitent desconegut.
Els correus electrònics es poden disfressar perquè semblin que s'han originat per un remitent conegut quan realment han estat enviats per un pirata informàtic. Tàctiques més elaborades dirigides a persones específiques podrien implicar informació sobre els seus interessos i enviar l'enviament un enllaç relacionat amb aquest interès. L’enllaç pot contenir un codi maliciós que pot robar informació personal dels seus ordinadors. Les tècniques populars d’enginyeria social inclouen la pesca, la pesca de gats, l’atrac i la marmellada.
