Què entenem per “Enginyeria Social”?
L’enginyeria social és el terme utilitzat per a una àmplia gamma d’activitats malicioses aconseguides a través de les interaccions humanes. Utilitza la manipulació psicològica per a enganyar els usuaris a cometre errors de seguretat o donar informació sensible.
Els atacs d’enginyeria social es desenvolupen en un o més passos. Primer investiga a la víctima per recollir informació de fons necessària, com punts potencials d’entrada i protocols de seguretat febles, necessaris per procedir amb l’atac. Després, l’atacant es mou per guanyar-se la confiança de la víctima i proporcionar estímuls per a accions posteriors que trenquin les pràctiques de seguretat, com revelar informació sensible o permetre l’accés a recursos crítics.
El que fa que l’enginyeria social sigui especialment perillosa és que es basa en l’error humà, en lloc de vulnerabilitats en el programari i/o sistemes operatius. Els errors comesos pels usuaris legítims són molt menys previsibles, fent-los més difícils d’identificar i frustrar que una intrusió basada en malware.
Com detectar els atacs d’enginyeria social?
- Algú conegut envia un missatge inusual. Robar o imitar la identitat en línia d’algú i després minar els seus cercles socials és relativament fàcil per a un atacant decidit, així que si reps un missatge d’un amic, parent o company de treball que sembla estrany, assegura’t que realment estàs parlant amb ell abans d’actuar. Per exemple, és possible que la teva neta estigui realment de vacances i necessiti diners, o que el teu cap vulgui realment que li enviïs una suma de sis xifres a un nou proveïdor a Bielorússia, però això és una cosa que has de comprovar tres vegades abans de prémer enviar.
- Un desconegut et fa una oferta massa bona per a ser veritat. És fàcil caure en estafes que ens enganyen dient-nos que estem a punt d’aconseguir alguna cosa que no esperàvem ni havíem demanat. Tant si es tracta d’un correu electrònic en el qual se’ns diu que hem guanyat una loteria en la qual no havíem entrat, com d’un missatge de text d’un número estrany en el qual se’ns ofereix una targeta regal només per haver pagat la factura del telèfon a temps, etc, si sembla massa bo per ser veritat, probablement NO ho és.
- Les teves emocions s’intensifiquen i has d’actuar ràpid. Els estafadors d’enginyeria social s’aprofiten de les emocions fortes (por, cobdícia, empatia..) per crear un sentit d’urgència, específicament per tal que no et paris a pensar dues vegades en escenaris com els que acabem de descriure.
Una tècnica especialment maliciosa en aquest àmbit és l’estafa de suport tècnic, on s’aprofiten de les persones que ja estan nervioses pels atacs, però que no són molt expertes en tecnologia. Són trucades, correus on una persona agressiva que per exemple et diu ser de Google o Microsoft, et comenta que el teu sistema ha estat compromès i t’exigeix que canviïs les teves contrasenyes immediatament, enganyant-te perquè els revelis les teves credencials en el procés.
