Tipos de ataques de ingeniería social

Febrero 7, 2022 By Nancy William Sin comentarios 14 minutos

Los ataques cibernéticos en la actualidad se han disparado sin medida y, dicho esto, probablemente hayas oído hablar de varios tipos de ataques de ingeniería social. Podría llamarlo una colección de varios tipos de ataques maliciosos inducidos a través de la explotación y manipulación psicológica.

Es más como experimentar el peores tipos de ataques de ciberseguridad y ni siquiera saber cómo sucedió. Los ataques de ingeniería social se realizan de manera compleja, tomándose el tiempo para dirigirse a personas específicas, desarrollar ciertas estrategias, descubrir puntos débiles de entrada, hacer que la víctima confíe en el atacante, etc.

Esta guía descubrirá algunos de los peores tipos de ataques de ingeniería social y cómo puede crear estrategias de protección contra ellos.

Tabla de contenidos.

• ¿Qué es la ingeniería social?
• El ciclo de los ataques de ingeniería social
• 17 tipos de ataques de ingeniería social
• Estrategias de protección para prevenir ataques de ingeniería social
• Conclusión

¿Qué es la ingeniería social?

Como se mencionó anteriormente, la ingeniería social es una colección de numerosos tipos de ataques cibernéticos que ocurren a través de interacciones humanas y psicológicas. Es donde el perpetrador establecerá un objetivo y utilizará todos los medios posibles para lograr resultados. Estos resultados son la pérdida de información confidencial, detalles bancarios, fraude de identidad, fondos robados, adquisición de dispositivos o instalación el malware en los dispositivos de las personas a través de intentos de phishing.

Por ejemplo, hubo un tiempo en que miles de Las cuentas de Facebook fueron pirateadas a través del malware troyano FlyTrap. Esto sucedió cuando los usuarios descargaron aplicaciones falsas de las tiendas de aplicaciones.

El ciclo de los ataques de ingeniería social

Hay ciertos pasos que cada atacante toma para completar un ataque de ingeniería social. Aquí están los pasos:

• Apuntando a una víctima
• Investigarlos y recopilar información.
• Proponer métodos de ataque en función de los puntos débiles o vulnerables.
• Comprometerse con la víctima
• Planificación de una historia para girar y convencer a la víctima
• Expandir el ataque pidiendo información lenta y gradualmente al objetivo
• Colocar malware y otras tramas de ingeniería social para el ataque
• Cubriendo todas las pistas después de que ocurra el ataque

Ahora que sabe cómo funcionan los ataques de ingeniería social, eche un vistazo a continuación para conocer los diferentes tipos de ataques de ingeniería social.

17 tipos de ataques de ingeniería social

Los siguientes son actualmente algunos de los ataques de ingeniería social más avanzados en la actualidad. Están:

• Phishing

Comenzando con Phishing, suele ser el tipo de ataque de ingeniería social que se lleva a cabo a través de mensajes de texto y correos electrónicos. Es posible que en algún momento haya notado un correo electrónico que le solicita que inicie sesión con algunos detalles de la cuenta personal, o que debe pagar una cierta cantidad para continuar con una membresía que nunca solicitó. Incluso pueden usar estas tácticas para instalar Malware Zeus u otros tipos en su dispositivo.

Sé lo que estás pensando. ¿Por qué alguien respondería ciegamente a tales correos electrónicos y mensajes de texto? No es tan simple. Algunas de estas estafas de phishing son extremadamente difíciles de distinguir. Esto también incluye chatear con alguien en Instagram y ser engañado para tener una relación, solo para descubrir que tu cuenta bancaria ha sido vaciada. Se llama suplantación de identidad de Instagram y puede suceder en casi cualquier otro servicio de redes sociales.

• Vishing

Otro tipo de ataque de phishing es Vishing. Se trata de estafadores que engañan a la víctima para que cumpla con sus demandas a través de llamadas telefónicas. Falsifican sus números haciéndose pasar por funcionarios bancarios, universidades, hospitales, oficinas, etc.

A veces, las llamadas son tan avanzadas que sus voces también parecen familiares. Estos estafadores le pedirán información confidencial como sus direcciones, números de seguro social y más. Es por eso que los funcionarios bancarios les dicen a los clientes una y otra vez que ningún representante les pedirá datos confidenciales durante una llamada o un mensaje de texto.

•  Smishing

Hemos cubierto correos electrónicos y llamadas telefónicas, y ahora hablemos de Smishing ataques realizados a través de mensajes de texto. Se ha demostrado que este tipo de ataque de ingeniería social es muy exitoso porque casi todos asumen que quienquiera que tenga su número y nombre debe ser una fuente auténtica.

Puede venir en forma de un mensaje de texto que le pide que haga clic en un enlace que contiene la confirmación de entrega de su paquete, que escriba un código en un mensaje de texto para proteger su cuenta de redes sociales, etc. Apenas notarás la diferencia.

• Cebo

¿Qué te viene a la mente cuando escuchas la palabra cebo? Puede describirlo como algo emocionante unido al final de un gancho mortal, esperando pacientemente a que las víctimas sean tentadas, atraídas. Hay diferentes variaciones de cómo se ven los ataques de cebo.

Los atacantes roban información a través de anuncios, anuncios, premios gratis, etc., o infectan su sistema con malware usando unidades flash. Sin pensarlo, la víctima conecta estas unidades flash maliciosas en sus dispositivos, lo que provoca fallas en el sistema o pérdida de información.

Lo mismo se puede decir sobre la instalación de aplicaciones falsas o maliciosas de varias tiendas de aplicaciones. Se anuncian de maneras tan convincentes que no notarás la diferencia. Es como buscar el mejores aplicaciones de Firestick y aterrizando en algunos que están lejos de ser auténticos, posiblemente llenando su dispositivo con malware y otros tipos de infecciones.

• Spear Phishing

Spear phishing es otro de los tipos de ataques de ingeniería social más específicos en la actualidad. Se llama un tipo preciso de estafa de phishing principalmente porque se dirige a sus víctimas con una planificación muy detallada: lleva semanas o meses lograrlo. Este tipo de ataques se dirigen a peces más grandes como grandes empresas, personas de alto perfil, etc.

Para especificar cómo funciona, el objetivo recibirá un correo electrónico o muchos donde el contenido se hace pasar por un grupo dentro del lugar de trabajo o un consultor privado.

El correo electrónico puede pedirle que cambie su contraseña o correo electrónico para ingresar o login a una página, portal o cuenta específicos. El enlace a la página del formulario puede ser el área donde se lleva a cabo el ataque, donde el pirata informático puede acceder fácilmente a toda la información ingresada.

• Phishing de pescador

Si recientemente compró un producto en línea o a través de las redes sociales y procedió a presentar una queja, hay estafadores esperando para atacar. Usan cuentas de servicio al cliente suplantadas o falsas para engañar a los clientes para que llenen formularios con información personal.

Por ejemplo, digamos que hay una página en Facebook donde los usuarios presentan quejas sobre las empresas XYZ. Estos atacantes monitorean todas las quejas y apuntan a usuarios específicos que tienen mucho que perder.

• Pesca deportiva

¿Cuántos de ustedes han sido víctimas de estafas de citas online? ¿Alguna vez hablaste con alguien, te enamoraste perdidamente de ellos, solo para descubrir que te estaban engañando todo el tiempo? La persona con la que estás hablando dice ser un chico de 22 años, pero en realidad resulta ser un hombre de 78 años.

Los perfiles falsos que son estafas se utilizan a menudo como uno de los ataques de ingeniería social más rápidos. Se llama catfishing las víctimas a creer que están hablando con alguien que es honesto y real, es todo lo contrario.

Este tipo de estafas de catfishing pueden llegar a hacer que alguien se apegue emocionalmente a ti y luego, usando una historia triste y triste, pídeles que te donen dinero. Los atacantes pueden incluso pedir información personal; se puede utilizar de cualquier manera posible.

• Robo de desvío

Entre los tipos de ataques de ingeniería social, tenemos el robo de diversión. Si solo echa un vistazo al nombre en sí, entenderá más claramente este tipo de ataque. Distracción significa distraer a alguien de lo que realmente está sucediendo.

A través de esto, el atacante puede engañar fácilmente a los usuarios para que les den información confidencial como detalles de cuenta, direcciones, contraseñas. Estados financieros y mucho más.

• Pretextando

Pretextando se puede definir como otro tipo de ataque de ingeniería social en el que el perpetrador selecciona cuidadosamente las líneas o la información, hace que parezca legal y luego la envía a su objetivo. Puede ser una suplantación de los organismos encargados de hacer cumplir la ley, sus funcionarios fiscales, el personal del hospital, etc.

Se necesita mucha tarea en un ataque como este, en el que el atacante se toma su tiempo para recopilar todo tipo de información sobre su objetivo. A través de esto, pueden crear avisos, formularios, correos electrónicos falsos, etc., obligando a la persona a corresponder y cumplir.

• Pegarse mucho al delantero

¿Conoces el momento en que sigues a un automóvil o un vehículo para obtener el mejor lugar para estacionar o para lograr algo? Esto se conoce como chupar rueda. Es un tipo simple pero estratégico de ataque de ingeniería social.

El atacante puede usar cualquier medio para acercarse a un individuo o sujeto siguiéndolos. Se puede usar en circunstancias en las que un intruso puede seguir a alguien a un edificio de alto perfil.

Cuando la persona entra por la puerta, el intruso automáticamente corre hacia la puerta y entra ilegalmente. Lo mismo se puede hacer en línea. Cuando sigues a una persona mientras usa su aplicación bancaria u otras plataformas sensibles y recopilas información en proximidades tan cercanas.

• A cuestas

Se podría decir que Piggybacking es muy similar a chupar rueda. Sin embargo, en este tipo de ataque social, el individuo lleva conscientemente al intruso a sus datos bancarios y otra información confidencial.

Por ejemplo, es muy parecido a aceptar la culpa de alguien, incluso si no está equivocado. Solo lo hiciste por cortesía porque al culpable se le ocurrió alguna historia triste y convincente.

Si nos dirigimos a un entorno profesional, el intruso puede hacer que un guardia descuidado se sienta culpable y le dé una clave de acceso de repuesto; alegando que trabajan para la empresa y que dejaron su tarjeta de acceso en otro lugar.

Pero, ¿cómo puede el guardia dar acceso fácilmente? El intruso investigó un poco, reunió la mayor cantidad de información posible y la utilizó lo mejor que pudo.

• Scareware

El scareware es una de las estafas de ingeniería social más utilizadas. Probablemente haya recibido o visto algunas notificaciones que le indican que su dispositivo está infectado con malware. Le solicita que haga clic en ciertos enlaces, lo que lo lleva a instalar malware real u otros tipos de amenazas. Otra variación del scareware se conoce como escáner no autorizado, software fraudulento o software engañoso.

Cuando ingresa a ciertos sitios web, es posible que haya visto algunas pancartas emergentes, etc. que le indican que su dispositivo está infectado y que necesita descargar un limpiador o instalar un software de seguridad, recomendado por el atacante, por supuesto.

Aparte de eso, hay correos electrónicos y mensajes de texto que contienen rastros de scareware. Hubo un incidente en una oficina en el que se envió un correo electrónico a un nuevo empleado diciéndole que pagara una cierta cantidad o se expusiera a sus empleadores. Asustado, el empleado cumplió con las exigencias sin pensarlo dos veces, porque quién quiere perder su trabajo, ¿no? Ese fue un pequeño ejemplo de un ataque de ransomware, también otra contraparte del scareware.

• Ballenero

Otro tipo de ataque de phishing se llama Whaling. Sin embargo, Ballenero es una especie de ataque de ingeniería social que se utiliza para atrapar peces grandes con una sola red. Estos atacantes se dirigen a personas de alto perfil, grandes empresas o alguien de rango superior, como un director ejecutivo.

Si se pregunta cómo funciona, bueno, los atacantes primero falsifican las direcciones de correo electrónico de las personas de mayor prioridad en un lugar de trabajo, o de una agencia o empresa, etc.

Dentro del correo electrónico enviado, lo hacen sonar como una situación de hacer o teñir, lo que hace que suene muy sensible al tiempo. Si el ataque tiene éxito, la víctima puede perder una gran parte de los datos confidenciales y meterse en problemas reales.

• Spam de contacto

Si usa Facebook o el cambio de nombre más reciente a Metaverso, entonces es posible que esté al tanto de este tipo de ataque de ingeniería social. ¿Alguna vez has recibido un mensaje de un amigo que dice "mira este video, creo que estás en él?" Ese también es un tipo de virus que se envía a todos los contactos y no a tu amigo real.

Cuando hace clic en el enlace o el video, el malware u otros tipos de amenazas se propagarán e infectarán su dispositivo.

• Quid pro quo

El significado real de quid pro quo es otorgar algo a alguien a cambio de satisfacer ciertas demandas. Del mismo modo, el quid pro quo se utiliza como mecanismo de ataques de ingeniería social.

Por ejemplo, supongamos que desea reparar su dispositivo y comunicarse con un especialista en TI que acaba de conocer en Internet porque el servicio es más económico. Luego, el atacante “repara” el dispositivo, pero en realidad instaló software malicioso en el dispositivo de la persona para apoderarse de él u obtener información.

Del mismo modo, puede ser cualquiera que le diga que ganó un chequeo médico gratuito y, para aprovecharlo, debe ofrecer sus datos como información de cuenta, direcciones, contraseñas, etc. ¿A cambio? No obtienes nada más que información robada.

• Trampa de miel

La trampa de miel suele ser una olla pegajosa para atrapar a personas o insectos para que no sean tentados por la miel. Sin embargo, en esta circunstancia, este ataque de ingeniería social es aquel en el que el atacante finge estar emocional o sexualmente involucrado con otra persona en línea.

En esta situación, el atacante le pide a su "compañero" que envíe imágenes o videos explícitos con la esperanza de usarlos en su contra. Si no es así, el atacante le pide a la persona que envíe información confidencial que luego se puede cambiar por dinero.

• Agujero de riego

Por último en la lista de tipos de ataques de ingeniería social, tenemos Watering Hole. Este tipo de ataque se dirige a sitios web o servicios que reúnen una gran cantidad de usuarios. Cuando el usuario inicia sesión en su cuenta, toda la información ingresada puede registrarse o almacenarse dentro de ese sitio web infectado.

Estrategias de protección para prevenir ataques de ingeniería social

Ahora tiene una idea completa de lo que son los ataques de ingeniería social y sus tipos. Sin embargo, llegará un día en el que podrías encontrarte con uno o dos, ya que no todos están seguros en línea.

Sin embargo, por este motivo, también hemos ideado algunas medidas de protección que pueden ayudar a prevenir estos ataques. Esto es lo que puede hacer con estos ataques:

• Sigue haciendo preguntas aunque no haya dudas.

Nunca es una vergüenza hacer preguntas, especialmente si alguien te pide datos bancarios y otro tipo de información personal. Una vez que haga sus preguntas sobre qué y por qué se deben proporcionar ciertos datos, asegúrese de estar atento a las respuestas.

• Vuelva a verificar la identidad de la persona con la que está hablando

Si alguien le envía correos electrónicos, mensajes de texto o llamadas solicitando su información; si dice ser alguien que usted conoce, como del banco o de su empresa, asegúrese de pedir los detalles de la persona. Verifique si la persona realmente existe, en lugar de ser arrastrada a un estafa en línea.

• buscar errores

No todos los atacantes dominan el idioma inglés o cualquier idioma en realidad. Busque errores ortográficos o gramaticales. Verifique los signos de puntuación, etc. Si algo parece fuera de lugar o no muy profesional, omita el cumplimiento. Si es importante, lo contactaremos nuevamente.

• Usar un servicio VPN

Esta medida es una de las mejores. En primer lugar, una VPN, abreviatura de Virtual Private Network, está diseñada para proteger a los usuarios en línea, sus datos y mantener la privacidad.

Hay ventajas adicionales, como acceder US Netflix u otros servicios de transmisión, pero la seguridad es el beneficio número uno. FastestVPN ofrece funciones de seguridad de primer nivel. Incluso puede ayudar a evitar que haga clic en enlaces aleatorios de varios anuncios emergentes maliciosos.

• Proteja su dispositivo y software

Una VPN puede ayudar a proteger su dispositivo o su navegación con una extensión para ello, pero no es lo único que debería interesarte. Usa un contraseña segura, software antivirus, 2FA, y otro tipo de medidas cautelares necesarias. En lugar de dirigirse a sitios web solo en cualquier navegador, asegúrese de buscar solo el navegadores más seguros que son populares.

Conclusión

Y eso es una envoltura. Ahora conoce algunos tipos de ataques de ingeniería social que actualmente afectan a los usuarios de todo el mundo. Al mismo tiempo, también tiene conocimiento interno sobre cómo abordar algunos de estos con nuestra guía sobre cómo mantenerse protegido. De cualquier manera, asegúrese de mantenerse alerta y conectarse a un servicio VPN para una mejor protección en línea.

Suscríbete al boletín de noticias

Recibe las publicaciones de tendencia de la semana y los últimos anuncios de FastestVPN a través de nuestro boletín electrónico.

Correo electrónico