Ingeniería social - Nethemba

SERVICIOS DE SEGURIDAD

Ingeniería social

01

La ingeniería social, en el contexto de la seguridad, se entiende como el arte de manipular a las personas para que realicen acciones o divulguen información confidencial. [1] Si bien es similar a un truco de confianza o una estafa simple, por lo general es un engaño o fraude con el propósito de recopilar información, fraude o acceso al sistema informático; En la mayoría de los casos, el atacante nunca se encuentra cara a cara con las víctimas.

La “ingeniería social” como un acto de manipulación psicológica se había asociado previamente con las ciencias sociales, pero su uso se ha popularizado entre los profesionales de la informática. [2]

La ingeniería social explota el comportamiento humano altruista con el objetivo de alterar el entorno interno de la organización u obtener información sensible y confidencial mediante juegos psicológicos, manipulación o incluso amenazas.

Proceso de prueba de ingeniería social.

La duración mínima de la prueba de ingeniería social es de 5 días:

Duración de la prueba:   5 días

Técnicas y Métodos Ingeniería social pasiva
Simulación de phishing

Resumen ejecutivo: Sí

Duración de la prueba:   6 -7 días

Técnicas y Métodos Ingeniería social pasiva
Simulación de phishing
Obtención de información sensible y confidencial.

Resumen ejecutivo: Sí

Duración de la prueba   8 -10 días

Técnicas y Métodos Ingeniería social pasiva
Simulación de phishing
Obtención de información sensible y confidencial.

Ingeniería social activa

Durante las pruebas, se utilizan diversos trucos sociotécnicos, como falsificar mensajes de correo electrónico, falsificar el identificador de llamadas o el identificador de remitente en mensajes SMS, hacerse pasar por un nuevo empleado u otros aspectos psicológicos de actuar sobre la víctima. Las pruebas de ingeniería social se pueden dividir en los métodos y técnicas mencionados a continuación.

El informe final y la evaluación.

Todos los incidentes de seguridad revelados, comportamiento inseguro o información confidencial obtenida se registran y describen exhaustivamente en el informe final.

DESCRIPCIÓN DE LAS TÉCNICAS DE INGENIERÍA SOCIAL UTILIZADAS DURANTE LA PRUEBA

La ingeniería social pasiva es una fase de la recolección y análisis de la siguiente información:

Revisión de la información publicada sobre la organización probada.

Análisis y extracción de toda la información sobre vulnerabilidades encontradas en las pruebas de la infraestructura de TI.

Objetivo: obtener cualquier información o conocimiento que pueda mejorar la sofisticación de los ataques de ingeniería social

La obtención de información sensible y confidencial se realiza mediante las siguientes técnicas:

utilizando un teléfono o SMS (con identificador de llamadas falsificado) para contactar a empleados seleccionados o al azar de la compañía examinada

el uso de las redes sociales, las comunicaciones de mensajería instantánea o VoIP para ponerse en contacto con empleados seleccionados al azar o seleccionados de la empresa probada

Objetivo: obtener información confidencial que pueda ser mal utilizada fácilmente (por ejemplo, el conocimiento de la jerarquía del empleado, la infraestructura utilizada y los métodos de software, información sobre soporte técnico o para obtener contraseñas para los buzones de correo de los empleados). Persuadir a los empleados para que tomen una decisión a favor del éxito de la prueba de ingeniería social.

Ingeniería social activa que involucra:

  • infiltración física en el edificio de la organización donde es posible interactuar con los otros empleados de la empresa testeada
  • prueba con un medio portátil (USB flash, DVD, CD) que sea fácilmente accesible para todos los empleados de la organización testeada
  • buceo / dumpster diving

Objetivo: obtener acceso y control total sobre sus PC infectadas con malware, en caso de infiltración física para revelar la mayor cantidad posible de información sensible y confidencial de diferentes ubicaciones del edificio (en la mesa, en la basura, etc.) o para obtener Acceso total a la red de intranet con el dispositivo especial del ingeniero social conectado.