Methods Understanding Reducing Social Engineering Attacks 36972.en - Es PDF

SANS Institute
Información de la habitación de lectura de Seguridad
Los métodos para comprender y reducir

los ataques de ingeniería social
______________________________
Michael Alexander
Los derechos de autor SANS Institute 2020. Autor conserva todos sus derechos.
Este papel es del sitio SANS Institute Sala de Lectura. El traspaso no está permitido hacerlo sin el permiso expreso por escrito.
Comprender y reducir los ataques de ingeniería social 1
Los métodos para comprender y reducir Social

Los ataques de ingeniería
GIAC (CGCE) Certificación Oro
Autor: Michael Alexander, michael6933 @ Yaho o.com

Asesor: Rick Wanner Aceptado: 30
de abril el año 2016
Resumen
La ingeniería social es ampliamente reconocida por los delincuentes cibernéticos como uno de los métodos más eficaces para penetrar
en la infraestructura de una organización. profesionales de la seguridad de la información están al tanto de esto como una amenaza, pero
hasta la fecha nunca se han parecido a concentrar sus esfuerzos en estudiar y comprender en profundidad cómo y por qué los delincuentes
cibernéticos están usando esto como un arma. Los medios electrónicos de penetración son mucho más fácil centrarse en porque son
sencillos en sus técnicas y por lo tanto su prevención. Pero la piratería de la “wetware” tiende a ser visto como mucho más difícil de prevenir
debido al número aparentemente ilimitado de variables de los humanos actuales. Mientras que la prevención es casi imposible, más
investigación y mejores métodos para la comprensión de cómo y por qué los representantes de una organización son un blanco fácil sería
recorrer un largo camino para reducir
el éxito de estos esfuerzos de penetración.
Michael Alexander,• michael6933@yahoo.com•

La comprensión y la reducción de los ataques de ingeniería social 2
1. Introducción
“La mayor amenaza para la seguridad de una empresa no es un virus informático, un agujero sin parche en
un programa clave o un firewall instalado mal. De hecho, la mayor amenaza podría ser usted “.
- Kevin Mitnick
La ingeniería social es sin duda la forma más fácil para un atacante para penetrar las defensas de una organización. Como parte de
la protección de una organización, la mayoría de los expertos están de acuerdo en que la formación de los usuarios de punto final a tener en
cuenta los tipos de amenazas que pueden encontrar es esencial para una estrategia de seguridad eficaz de la información (Mitnick y Simon,
2002).
Pero la mayoría del entrenamiento para los usuarios de punto final se centra en las amenazas electrónicas tales como la
forma de detectar un ataque de suplantación de identidad o phishing de lanza o cómo evitar la descarga e instalación de software
malicioso. Mientras que estas amenazas se siguen considerando la ingeniería social debido a su elemento engañosa, tal vez una
llamada telefónica aparentemente benigno de una presunta técnico interno que afirma el acceso necesario para que puedan
verificar un problema es más una amenaza. la ingeniería social basados en la electrónica es potencialmente más fácil de tren
para que esto ocurre con más regularidad y los usuarios pueden ser enseñado a no abrir correos electrónicos de cualquier
persona que no reconocen. Pero humana basada en la ingeniería social, por ejemplo, una llamada telefónica de una persona
aparentemente digno de confianza o incluso dejar una puerta trasera extraño en la oficina simplemente porque no tienen en lo
que parece ser un uniforme oficial puede ser una amenaza mucho más grave.
Por el contrario, los ataques de ingeniería social basados en humanos, es decir, ataques, ya sea por teléfono o en
persona, son mucho más sutiles y más difíciles de detectar porque implican los escenarios muy complejos y aparentemente
ilimitadas que surgen de la interacción del día a día con otros seres humanos. Estas complejidades son explotados por el deseo
innato de los seres humanos para ser confiada, servicial y en general una “buena persona” (Peltier, 2006). Los atacantes utilizan
estos rasgos deseables en las personas y aprovechar para sus propios fines.
La causa principal de este problema radica en el tipo de formación que la mayoría de las organizaciones proporcionan a
sus empleados (Johnston, Warkentin, McBride, y Carter, 2016). Como una regla,

organizaciones están interesadas principalmente en la forma de generar más ventas. Además, cualquier problema encontrado que se
convierte en un perjuicio para ese objetivo también se convierte en una prioridad. En el 21 S t economía del siglo, los posibles clientes en un
mercado de negocio a negocio a menudo utilizan cuestionarios de seguridad para determinar si un proveedor potencial es lo suficientemente
seguro como para formar una asociación (Señor,
2016). Una de las preguntas de este cuestionario que debe responderse afirmativamente a la asociación de proceder es, “¿Se requiere la
formación de conciencia de seguridad para todos los empleados por lo menos anualmente?”. La mayoría de los expertos coinciden en que ser
capaz de responder con la verdad “Sí” a esta pregunta es la principal motivación para tener cualquier tipo de formación de conciencia de
seguridad en absoluto. Y en esto pone el problema. Las organizaciones están más interesados en “marcando la casilla” para poder responder
a esta pregunta con sinceridad de lo que son en realidad en la prevención de las infracciones que podrían resultar en la pérdida de datos
(Winkler y Manke, 2013).
2. ¿Qué es la Ingeniería Social?

La mayoría de los profesionales de la industria están muy familiarizados con la ingeniería social y sus peligros. Pero debe
tenerse en cuenta que la ingeniería social tiene muchas definiciones dependiendo de una experiencia y cómo se pudo haber
manifestado en el pasado. Si hubiera que realizar una búsqueda en Internet sobre “ ¿Qué es la Ingeniería Social en la Seguridad de
la Información? ”, uno puede ser presentado con una buena definición concisa como este de Whatis.com:
“ La ingeniería social es un vector de ataque que depende en gran medida de la interacción humana e implica a menudo
engañar a la gente romper los procedimientos de seguridad normales “.
Mientras todo esto es cierto, se presenta una visión muy simplista de un problema mucho más complejo. Ese
problema, al menos en parte, implica la formación de los empleados a reconocer y entender un ataque de ingeniería
social, cuándo, dónde y cómo lo ven.
Sin embargo la ingeniería social se define que es importante tener en cuenta el ingrediente clave para cualquier
ataque de ingeniería social es el engaño (Mitnick y Simon, 2002). El atacante debe engañar ya sea al presentarse como
alguien que puede y debe ser de confianza o, en el caso de un ataque de phishing por ejemplo, engañando al usuario a
creer que una correspondencia tiene un propósito benigno o incluso útil cuando se pretende a lo largo de acceder a
información sensible (Peltier, 2006).

3. Ejemplos de la práctica de exitosos ataques de ingeniería social
ataques de ingeniería social son mucho más antigua que la de Internet, la era electrónica o incluso la revolución
industrial. Los generales y líderes militares han estado usando algún tipo de engaño en la guerra casi desde el comienzo de la
guerra en sí. Probablemente el más famoso de ellos, tal como se representa en muchos libros y películas, es la instancia de la
guerra griego-Trojan (Bryce, 2005). La mayoría están familiarizados con la historia de la larga campaña de diez años entre las
dos naciones. Los griegos parecen haber sido derrotado y, como regalo de despedida, construido un gran caballo de madera y lo
dejó en la puerta de Troya y luego parecía haber retrocedido. Los troyanos, pensando que eran los vencedores, trajeron el
caballo a la ciudad y comenzaron su celebración de la victoria (Peters, 2015). Sin el conocimiento de los troyanos, los griegos
habían escondido una pequeña unidad militar de unos pocos soldados dentro del caballo. Después de que terminó la celebración
y mientras dormían los troyanos, los soldados griegos simplemente salió de su escondite y abrió las puertas para el ejército
griego que había regresado a la espera de un engaño éxito. La batalla que siguió fue muy corto y terminó en la resonante derrota
de los troyanos. Si esto es verdad o ficción, la historia ha hecho tal impresión en la comunidad de seguridad de la información
que una forma particular de malware ahora lleva el nombre de “caballo de Troya” (Peters 2015).
Mientras que la historia es un cuento con moraleja profunda, hay al menos dos ejemplos recientes de ataques que sólo puede ser
descrito como irónico. Uno ocurrió en el año 2011 a la empresa de seguridad RSA. RSA tenía un producto de autenticación de dos factores que
venden bajo el nombre de SecurID. El atacante envía dos mensajes de correo electrónico de phishing diferentes durante un período de dos
días. Los dos correos electrónicos fueron enviados a dos pequeños grupos de empleados. Estos usuarios no eran de alto perfil o de objetivos
de alto valor. La línea de asunto del correo electrónico lee "2011 Plan de Reclutamiento" (Heyden, 2011).
El correo electrónico fue elaborado suficientemente bien como para una entice de los empleados para abrir el archivo
adjunto de Excel. Era una hoja de cálculo titulada "2011 Reclutamiento plan.xls" que contiene un Adobe Flash explotar. Una vez
dentro de la red, el atacante realiza ataques de escalada de privilegios para acceder a las cuentas de administrador de mayor
valor. Este tipo de ataques trampolín permiten a los hackers aumentan el acceso a una cuenta comprometida bajo valor en las
cuentas con privilegios administrationlevel antes de llevar a cabo el propósito final que es a menudo la extracción de información
comercial o financiera sensible. Según los informes, RSA ha detectado el

atacan en progreso, pero los atacantes se las arregló para extraer datos sensibles (Schwartz, 2011). Los datos exactos
que se extrajo es desconocida, pero lo que sí se sabe es que hubo un número de serie del producto llave SecurID que
permitirían al atacante obtener acceso a cualquier sistema que el usuario autorizado se intenta autenticarse contra el uso
de esa señal.
Un segundo caso de la ironía era la brecha en la seguridad de información de empresa lista blanca Bit9. En 2013, el grupo
ciberespionaje "Hidden Lynx" en China usa ataques-embocar agua a los certificados de firma de código digitales firme compromiso de
seguridad de Bit9, que más tarde se utilizaron para apuntar a algunos clientes Bit9 (Krebs, 2013).
pozos de agua son mucho más sutiles que los ataques de phishing. El malware se inyecta en un sitio Web legítimo
que las organizaciones de la industria de destino es probable que visita. El engaño, y lo que califica esto como un ataque
de ingeniería social, es que los usuarios trabajan en la industria de destino se sabe que frecuentan el sitio de destino y lo
han hecho muchas veces sin incidente, lo que las hace sin sospechar nada nefasto.
Los atacantes acceder a la infraestructura de archivos de la firma de Bit9 con el fin de firmar el malware y hacen que
parezca legítimo. A continuación, utilizaron a sí Bit9 atacado, al menos tres de sus clientes, y las organizaciones de base
industrial de defensa que tres eran clientes de Symantec (Peters, 2015).
Y, por último, los ataques de ingeniería social no se limita sólo a las compañías de seguridad antiguas de guerra o de
información. Las consecuencias de un fallo de seguridad éxito generado por un ataque de ingeniería social pueden ser masivas a
una organización. Un ejemplo: el gigante minorista Target.
En diciembre de 2013, en medio de una temporada de compras navideñas muy ocupada, Target experimentó una brecha en su
sistema de punto de venta que les permite a los atacantes roban unos 40 millones de números de tarjetas de crédito (Olavsrud, 2014).
Forenses evidencia muestra que el sistema de punto de venta no era el objetivo original, pero debido a Target era compatible con PCI,
no se almacenan números de tarjetas de crédito en su base de datos. Así, mientras que los atacantes fueron capaces de acceder a la
base de datos y así extraer millones de datos personales del cliente, que se vieron frustrados en sus esfuerzos para extraer su objetivo
final; los números de tarjetas de crédito de millones de clientes objetivo.
Todo esto no se inició con una brecha en la tienda al principio, pero por el incumplimiento de un proveedor de climatización
que Target estaba usando en ese momento. El compromiso inicial se produjo a través de un phishing

atacar por el vendedor. El ataque permitió a los atacantes el acceso a un servicio web que Target había establecido que los
proveedores presenten las facturas (Olavsrud, 2014).
4. Métodos utilizados por los ingenieros sociales para tener acceso a información
sensible
4.1 Acceso electrónico
Como se mencionó anteriormente, los ingenieros sociales utilizan miles de formas de acceder a información sensible. Pero el
único elemento común en todas las técnicas es el engaño. Ya sea que están tratando de engañar mediante el envío de un correo
electrónico de phishing o haciéndose pasar por un técnico por teléfono o poniéndose de pie fuera de la puerta de la oficina que llevaba
un uniforme de aspecto oficial armado con el conocimiento de que parece indicar familiaridad, todo se trata de engañar a un objetivo en
dándoles información sensible (Ashford, 2016).
La mayoría de las personas sienten que son inmunes a tales engaños, ya que de alguna manera son más inteligentes o más
conscientes que otros. El hecho es que casi todo el mundo será víctima de alguna forma de ingeniería social en su vida. Puede que
no dar lugar a una fuga de datos masiva. Podría ser tan simple como un niño usando una sonrisa o un cumplido en una matriz de
manipularlos para que permita que el niño permanezca sólo un poco más largo. El complemento puede haber sido sincera y
genuina, pero si el propósito de dar el cumplido es otro que el de hacer sentir al receptor mejor sobre sí mismos nada, que es la
manipulación, el engaño y, por lo tanto, la ingeniería social. El hecho es que cualquier forma de engaño para obtener beneficios
personales cae en la categoría de ingeniería social.
Las técnicas utilizadas por los ingenieros sociales se dividen en las siguientes categorías básicas. Hay potencialmente
otros, pero estos parecen ser los más comunes.
4.1.1. Suplantación de identidad
Fraudes electrónicos podrían ser los tipos más comunes de ataques de ingeniería social utilizadas hoy en día. La mayoría de
los fraudes electrónicos tienden a tener las características siguientes (Bisson, 2015):
• Buscan obtener información de identificación personal (PII), tales como nombres, direcciones y números de la seguridad
social.

• Ellos tienden a utilizar las URL acortadas o enlaces embed que los usuarios de redirección a sitios que aparecen legítimo.
• Por lo general, tratan de inculcar un sentido de urgencia en el usuario mediante el uso de algún tipo de táctica de miedo o una
amenaza en un intento de conseguir que el usuario actúe de inmediato. Algunos correos electrónicos de phishing son más pobremente
elaborados que otros en la medida en que sus mensajes muchas veces los presentan errores ortográficos y gramaticales, pero estos
correos electrónicos no son menos orientado a dirigir las víctimas a un sitio web falso o la forma en la que pueden robar las credenciales
de inicio de sesión de usuario y otra información personal (Trabajador , 2008).
Una estafa reciente envía correos electrónicos de phishing a los usuarios después se instalaron agrietados archivos APK desde
Google Play Books que fueron pre-cargado con software malicioso. Esta campaña específica phishing demuestra cómo los atacantes
comúnmente se emparejan con los ataques de phishing de malware en un intento de robar información de los usuarios (Whitwam, 2015).
4.1.2. lanza Sitio de caza
spear phishing es muy similar a los ataques de phishing con una diferencia importante. Mientras que los ataques de phishing tienden a
ser muy dispersada por la naturaleza; que es un correo electrónico de phishing se puede enviar a miles de dominios, spear phishing es mucho
más específico. Por lo general, una lanza ataque de phishing se centrará en una sola organización, un grupo de individuos dentro de una
organización o incluso un solo individuo (Zitter, 2015). La intención es la misma de una suplantación de identidad, pero la tasa de éxito es a
menudo más altos debido a que el atacante menudo investigará la organización o individuo durante semanas o meses para encontrar
cualquier vulnerabilidad que pueden explotar. Por ejemplo, si un atacante aprende a través de medios de comunicación social que cierta CEO
tiene una debilidad por un cierto caridad, que pueden fabricar un correo electrónico que va a explotar eso y tal vez incluso engañar al director
general para que revelen información personal o sensible de la organización.
En una lanza real phishing intento de ataque, KnowBe4, una conciencia de la seguridad Formación y Simulación de phishing
compañía de plataforma en el área de Tampa, FL, recibió una lanza phishing de correo electrónico en septiembre de 2015. Fue recibido
por el controlador de KnowBe4 supuestamente desde el “CTO” solicitando un alambre transferir. Desde el controlador, estaba bien
entrenado en lo que debe buscar, ella inmediatamente se dirigió al director general. El CEO decidió activar el atacante y parece cumplir
con la solicitud. El atacante aparentemente había llevado a cabo una investigación somera sobre la

compañía y fue capaz de identificar el controlador y CTO, pero claramente no es suficiente investigación para saber que se trataba de
expertos en las técnicas de phishing de lanza (comunicado de prensa KnowBe4,
2015).
“Desde que envían millones de correos electrónicos de phishing simuladas a nuestros más de 2.000 clientes empresariales cada año,
decidimos tener un buen rato con estos estafadores”, dijo el CEO de KnowBe4 Stu Sjouwerman. el atacante había pasado un poco más de
tiempo para ver lo que realmente hacemos, podría haber cambiado de opinión desde su intento de fraude electrónico “.
correo electrónico real Figura 1. Imagen pf enviado a KnowBe4 en un intento de tener alambre fondos transferidos.
KnowBe4 analizó el correo electrónico atacantes. Los encabezados de correo electrónico revelaron que el atacante crea una cuenta
de alojamiento con GoDaddy para obtener acceso a un sistema de entrega de correo electrónico. El atacante utiliza un cliente de correo de
código abierto para encabezados de correo electrónico falsos y recoger el respondió a mensajes de correo electrónico en una cuenta de AOL.
El director general tenía el controlador de contestar de nuevo y para el atacante y simplemente preguntar "¿Cuánto y dónde?"
posterior respuesta del atacante contenía la información bancaria con la información bancaria real, sino un nombre de la empresa y la
dirección falsa. KnowBe4 decidió phishing volver al atacante y ha creado una cuenta de correo electrónico AOL falsa que se cobró la
cuenta del atacante estaba cerrada. El atacante cometió un error fatal y hace clic en el enlace que permitió KnowBe4 para obtener su
dirección IP. Estos datos se envió luego a equipo de seguridad de AOL y Internet Crime Complaint Center del FBI (comunicado de
prensa KnowBe4, 2015).

Figura 2. correo electrónico real enviada desde la parte posterior KnowBe4 al atacante. Cuando el atacante hace clic en el enlace, KnowBe4 capturado su
dirección IP que se reenvían al FBI a investigar.
4.1.3. Molestar
Cebo es en muchos aspectos similar a los ataques de phishing. Sin embargo, lo que distingue cebo de otros tipos de ingeniería
social es la promesa de un artículo o bien que los hackers utilizan a las víctimas tiente. Baiters pueden ofrecer a los usuarios descargas de
música o de películas gratuitos si proporcionan sus credenciales de acceso a una determinada aplicación o sitio web (DeWolf, 2013).
ataques de cebo no se restringen a los esquemas en línea, ya sea. Los atacantes también pueden centrarse en la explotación de la
curiosidad humana a través del uso de medios físicos.

Uno de estos ataques fue documentado por Steve Stasiukonis, vicepresidente y fundador de Secure Network Technologies,
Inc., en 2006. Para evaluar la seguridad de un cliente financiero, Steve y su equipo infectado a decenas de puertos USB con un
virus troyano y los dispersó alrededor de la estacionamiento de organización. Curioso, muchos de los empleados del cliente recogió
las memorias USB y los enchufados en sus ordenadores, que activan un capturador de teclado y dieron Steve acceso a una serie de
credenciales de acceso de los empleados (Johansson, 2008).
4.2. Acceso físico
4.2.1. pretexting
Pretexting es otra forma de ingeniería social, donde los atacantes se centran en la creación de un buen pretexto, o un
escenario fabricada, que pueden utilizar para tratar de robar información personal de sus víctimas. Estos tipos de ataques
comúnmente toman la forma de un estafador que se hace pasar que necesitan ciertos bits de información de su objetivo con el fin
de confirmar su identidad (Henry, 2014).
Más ataques avanzados también tratarán de manipular sus objetivos en la realización de una acción que les permite
explotar las debilidades estructurales de una organización o empresa. Un buen ejemplo de esto sería un atacante que se hace
pasar por un auditor externo y los servicios de TI manipula personal de seguridad física de una empresa para que les permitan
entrar en el edificio (Ashford,
2016).
A diferencia de los correos electrónicos de phishing, que utilizan el miedo y la urgencia en su beneficio, los ataques de
pretextos se basan en la construcción de un falso sentido de confianza con la víctima. Esto requiere que el atacante para construir una
historia creíble que deja poco espacio para la duda por parte de su objetivo (Bisson,
2015).
Pretexting ataques son comúnmente utilizados para obtener tanto información sensible y no sensible. En uno de
esos casos, un grupo de estafadores se hizo pasar por representantes de agencias de modelos y servicios de escolta,
historias de fondo falsas inventadas y preguntas de la entrevista con el fin de tener las mujeres, incluidas las adolescentes,
enviarles fotos de desnudos de sí mismos (Workman, 2008).

4.2.2. chupar rueda
Otro tipo de ataque de ingeniería social se conoce como al aire libre o “a cuestas” (Bisson, 2015).
Este tipo de ataque implica un individuo no autorizado después de un empleado u otra persona autorizada
en un área restringida.
En un tipo común de chupar rueda ataque, el atacante se hace pasar por un servicio de mensajería y espera fuera de un edificio.
Cuando aprobación y de la seguridad de un empleado gana abre la puerta a su zona de oficinas, el atacante pide que la retención de los
empleados de la puerta, obteniendo con ello el acceso fuera de alguien que está autorizado a entrar en la empresa.
Chupar rueda no funciona en todos los entornos corporativos, como en las compañías más grandes donde se requieren todas las
personas que entran en un edificio para pasar una. Sin embargo, en las empresas de tamaño medio, los atacantes pueden entablar
conversaciones con los empleados y el uso de este espectáculo de familiaridad de conseguir con éxito más allá de cualquier seguridad
basada en la insignia en su sitio (Peltier, 2006).
4.3.3. Quid pro quo
Del mismo modo, quid pro quo ataques prometen un beneficio a cambio de información. Este beneficio por lo general
toma la forma de un servicio, mientras cebo toma frecuentemente la forma de un bien.
Uno de los tipos más comunes de contrapartida ataques implican atacantes que se hacen pasar por gente de TI y de
servicios que se llaman “vish” tantos números directos que pertenecen a una empresa, ya que pueden adquirir. Estos atacantes lo
ofrecen asistencia a todas y cada una de sus víctimas. Ellos prometen una solución rápida a cambio de que el empleado
deshabilitar su programa de AV y de instalación de malware en sus equipos aparentemente como una actualización de software
(Bisson, 2015).
Es importante señalar, sin embargo, que los atacantes pueden utilizar mucho menos sofisticado contrapartida ofertas de lo que fija.
Como ejemplos del mundo real han demostrado, los trabajadores de oficina están más que dispuestos a regalar sus contraseñas para un
bolígrafo barato o incluso una barra de chocolate.
De hecho, Colin Greenless, un consultor de seguridad de Siemens Enterprise Communications, utiliza estas mismas tácticas para
obtener acceso a varias plantas diferentes, así como la sala de datos en una empresa financiera que cotiza en el FTSE. Incluso fue capaz
de basar el propio en un tercer piso de la sala de reuniones, de las cuales trabajó durante varios días (Bisson, 2015).

Permitiendo el acceso físico a una sala de servidores o incluso un punto final es extremadamente peligroso desde una perspectiva de
seguridad de la información. Una vez que un mal actor tiene este nivel de acceso que puedan instalar fácilmente los dispositivos USB, como
una tortuga WAN o una goma patito de que, o bien permitirles el acceso a través de una concha o pueden ejecutarse automáticamente
secuencias de comandos simples que pueden infectar un punto final y dar a un atacante acceder de donde sea.
4.3. Medios de comunicación social
Y, por último, más allá de los medios electrónicos y físicos de la ingeniería social, hay una tercera categoría. Se
puede considerar el acceso “electrónico”, pero es realmente más de un híbrido entre el acceso electrónico y físico / virtual, ya
que requiere la electrónica para acceder a la información de un individuo, sino utilizar esa información en beneficio de un
atacante puede incluir algún tipo de es decir, la interacción “virtual” un mensaje en Facebook o un comentario en un puesto de
Instagram (Algarni, Xu, Chan, y Tian, 2014).
Muchas personas hoy en línea tienden a ser demasiado libre en el intercambio de lo que ven como información
inofensiva o benigno. Pero los hackers ver esta información de manera muy diferente; especialmente aquellos cuya preferida
ataque vector es el robo de identidad. Y para agravar la situación, el intercambio de información personal por lo general se
siente alentado por los sitios de medios sociales propios. Esa es su manera de saber cómo dirigirse a un individuo para la
publicidad. Cuanto más una red social sabe acerca de los intereses y hábitos de una persona, más probable es que se presente
la publicidad que será atractivo y eficaz y, en última instancia, más ingresos que generará. Los anunciantes quieren publicidad
más específica porque la publicidad dirigida equivale a más ingresos por publicidad dólar gastado.
A continuación se presentan algunos tipos de información para evitar compartir en las redes sociales, ya que tienden a ser
utilizado como respuestas a las preguntas de seguridad y, a menudo tienden a ser incluidos en las contraseñas (Lewis,
2014).
• Nombre completo (nombre especialmente en medio)
• Fecha de nacimiento
• Nombre de mascota
• Pueblo natal
• lugares y fechas de graduación de la escuela

• Otras afiliaciones, intereses y aficiones
Pero la ingeniería social en los medios sociales no es sobre la orientación de información sobre los usuarios. También se puede
utilizar para crear perfiles falsos que aparecen legítima a los efectos de que se ha ganado la confianza y conexiones (Algarni, Xu, Chan, y
Tian, 2014).
En 2015, los investigadores de seguridad descubrieron más de dos docenas de falsos perfiles de LinkedIn que
aparentemente se crearon con la intención de poner en peligro la seguridad de las organizaciones que participan en diversas
industrias, incluyendo telecomunicaciones, servicios públicos, defensa y gobierno (Paganini, 2015).
Los ocho perfiles centrales del grupo afirmaron ser empleados de empresas como Northrop Grumman, Airbus,
Teledyne y Corea del Sur mantiene firme Doosan. El resto de los perfiles falsos fueron creados para llenar la red y
crea los perfiles básicos parecen más legítimo.
De acuerdo con InfoWorld, cinco de los ocho perfiles básicos que se considere que las empresas de selección, un papel que
justificaría objetivos potenciales de contacto con el frío del pirateo. Podría hacer esos objetivos más probables para creer los perfiles y
posibles ofertas de trabajo eran auténticos.
Los investigadores de seguridad fueron capaces de identificar los perfiles falsos a través de un examen minucioso de los detalles del
perfil. Por ejemplo, algunas de las fotos de perfil resultó en otro lugar en la web, a menudo en sitios para adultos, mientras que las
descripciones de trabajo utilizan el texto de anuncios de trabajo (Robinson, 2015).
En el momento en la red fraudulenta fue expuesto y llevado hacia abajo, se había desarrollado conexiones a más de
500 individuos reales, ubicados principalmente en el Oriente Medio, África del Norte y Asia del Sur.
El reto para las empresas y sus empleados es que el tipo de escrutinio que expuso este esfuerzo piratería es
tedioso, lento y generalmente fuera del alcance de muchas personas o incluso organizaciones enteras (Robinson,
2015).
5. La psicología de la ingeniería social

Ahora que la ingeniería social ha sido definida y las herramientas y técnicas de ingenieros sociales utilizar para explotar el
“wetware”, el siguiente paso es entender por qué los seres humanos son víctimas de esas herramientas y técnicas. Las preguntas de
esta sección trata de abordar son los siguientes:

1) ¿Todos los seres humanos son víctimas en algún momento a los ataques de ingeniería social?
2) ¿Son ciertas personas con ciertos tipos de personalidad u otras cualidades innatas más susceptibles a este
tipo de ataques?
3) ¿Son ciertas personas con ciertos tipos de personalidad u otras cualidades innatas más susceptibles a este
tipo de ataques?
5.1. Pregunta 1: ¿Todos los seres humanos son víctimas en algún momento a los ataques de ingeniería
social?
La primera pregunta tiene que ver con las tendencias generales comunes y la naturaleza humana. El hecho es que la
ingeniería social se basa en el engaño y todos los seres humanos son susceptibles de ser engañado. Hay algunas razones para
esto, pero la más relevante a este tema se deriva de la forma en la mayoría de los padres para estar en sociedad, los niños
enseñan de hoy en día, como los Boy Scouts estados lema, confianza, leal, servicial, amable, cortés, amable, obediente , alegre,
ahorrativo, valiente, limpio y reverente.
Tenga en cuenta que existen al menos cuatro características que la sociedad considera valorada en esa lista que son presa de los
ingenieros sociales (Peltier, 2006.) La primera es digno de confianza. Como parte de una sociedad civilizada, más se esfuerzan por ser
digno de confianza. Y al hacerlo, esperan que la mayoría de los demás están tratando de la misma manera. Por eso, cuando un ingeniero
social se aproxima a un individuo para ganar la entrada no autorizada en una oficina, lo que hace que la persona inocente es el hecho de
que ellos mismos intentan ser honesto y digno de confianza y tienden a suponer que de un total desconocido (Workman, 2007). Incluso
después de la finalización con éxito de un programa de formación de conciencia de seguridad que trata específicamente esto como una
amenaza, las enseñanzas arraigadas desde la infancia son a menudo demasiado para superar. El objetivo a menudo tienen dolores
iniciales de escepticismo y luego ceder después de sólo unos pocos segundos sin ninguna evidencia, además, que el atacante es legítimo.
Cuando se le preguntó más tarde sobre por qué se les permite al atacante obtener acceso, la respuesta es a menudo “Parecían ser
legítimo” o “Tenían una cara honesta” (Hadnagy, 2011).
La característica segunda valorado que los ingenieros sociales aprovechan de es la lealtad. Esto puede parecer contradictorio
porque un empleado que va en contra de la formación de conciencia de seguridad patrocinada por la compañía está mostrando lo
contrario de lealtad. De hecho, el ser el comportamiento que se muestra parece traición. Pero la cuestión es uno de motivación. Que
percibe el objetivo de que por

permitiendo el acceso a las instalaciones a alguien que parece ser un proveedor o contratista, que están siendo un buen
empleado (Peltier, 2006). En su propia mente, que están siendo tan leal lealtad, la traición no es la motivación que está siendo
acosada por el ingeniero social a pesar de que el resultado final es, de hecho, una traición.
Valorada característica número tres, que a menudo es explotada por los ingenieros sociales es probablemente la más
acosada. Es la tendencia y deseo de la gente para querer ser útil (Peltier,
2006). La mayoría de la gente siente que es útil es un verdadero ganar-ganar. Ayudar a los demás proporciona un servicio que
está claramente deseada y necesaria en el momento, sino que también nos hace, como seres humanos, se sienten bien con
nosotros mismos. Desde el momento un padre pide un hijo para ayudar con los trabajos de jardinería para ayudar a llevar la
mamá en las tiendas de comestibles a sólo ser un empleado bueno, siendo muy útil está arraigado en el ADN de los seres
humanos. Los ingenieros sociales explotan ese deseo innato de ser un útil dando la impresión de estar en necesidad desesperada
de ayuda. Incluso si eso significa que un empleado se dobla un poco las reglas para proporcionar esa ayuda, parece que el “hacer
lo correcto” (DePaul, 2013). Un trabajo típico de un ingeniero social es la de permanecer fuera de una oficina de espera para un
empleado autorizado para entrar y luego declarar a ellos que son nuevos y han olvidado su tarjeta de identificación.
Y, por último, el deseo de los seres humanos a ser obediente es una característica a menudo explotados por los ingenieros
sociales (Henry, 2014). Esta es sin duda una característica aprendida, ya que no es intuitivo para cualquier niño a ser obediente.
Como individuos, la gente tiende a querer hacer lo que quieren hacer cuando quieren hacerlo sin ninguna consideración por los
deseos de los demás. Los padres tienen que luchar contra esta tendencia en los niños pequeños con el fin de contribuir a una
sociedad de orden. Si esto no se enseña, el resultado sería niños que crecen a hacer lo que quieran cuando quieran. Es fácil imaginar
que una sociedad llena de estas personas podría convertirse rápidamente en el caos.
Una vez aprendido y entendido, esta característica se convierte en más de un instinto. Esto es particularmente cierto
en un entorno profesional en el que el medio de vida de un individuo podría estar en juego si son insubordinados. Casi
siempre, la personalidad de adaptación de un individuo en un entorno profesional incluye la de ser obediente. Como
profesional, se asignan tareas y la expectativa de gestión es que esas tareas son para ser completado en el tiempo previsto.
Un ingeniero social que a menudo utiliza tendencia reforzada por el medio ambiente del lugar de trabajo y

La comprensión y la reducción de los ataques de ingeniería social dieciséis
junto con un engaño de algún tipo para manipular a un empleado (Huang, Ryan, Zabel, y Palmer, 2014). Un típico
hazaña sería un ingeniero social posando como alguien que tiene autoridad otorgada a ellos por el liderazgo. El
atacante parece legítimo en que saben algo acerca de los procesos y la cadena de mando. Haciéndose pasar por tener
órdenes directas de alguien conoce el objetivo de estar a cargo y aparentemente tener suficiente información sobre la
situación de aparecer creíble, el objetivo que se siente ser “obediente” a las demandas de que el atacante está en su
mejor interés profesional.
Hay pocas dudas de que la respuesta a la pregunta 1 es un rotundo sí; todos los seres humanos son susceptibles a la
ingeniería social ya que la ingeniería social se basa en el engaño y todos los seres humanos son susceptibles de ser engañado.
Es importante tener en cuenta que la ingeniería social en este contexto no necesariamente tiene que ser un ataque. Cualquier
forma de manipulación a través de engaño puede ser considerada la ingeniería social.
5.2. Pregunta 2: ¿Son algunas personas con ciertos tipos de personalidad u otras
cualidades innatas más susceptibles a este tipo de ataques?
5.2.1 Información general
Como se señaló anteriormente, ciertos factores experimentales o culturales pueden y de hecho contribuir a la probabilidad de un
exitoso ataque de ingeniería social. Estos se aprenden las respuestas o las respuestas como resultado de el propio entorno. Pero, ¿hay
factores innatos integrados en la personalidad de uno o tendencias de comportamiento que contribuyen a un ataque con éxito, así? Si es así,
pueden estas tendencias innatas pueden superar mediante una formación específica?
Los rasgos de personalidad y tendencias varían mucho de persona a persona. Por naturaleza, algunas personas están más
confiados en contraposición a más sospechoso (Johnston, Warkentin, McBride, y Carter, 2016). Algunas personas son más dando en
contraposición a más egoísta. A medida que esto se aplica a la ingeniería social, el atacante busca explotar los que, por su propia
naturaleza, tienden a ser más útiles y más confianza (Abraham y Chengalur-Smith, 2010). A diferencia de las respuestas aprendidas de
nuestro tema anterior, la comprensión de las tendencias posee un individuo requiere tiempo y esfuerzo. Un ingeniero social puede no
dirigirse a un individuo poco después de reunirse con ellos, pero medida que avanza la relación, el atacante puede ver una oportunidad
basada en la observación de que un individuo es más probable que sea susceptible al ataque basado en sus tendencias. Esto es

especialmente cierto después de una confianza ha formado a lo largo de un período de tiempo. De hecho, el “atacante” no puede haber tenido
la intención de convertirse en un atacante. En algún momento, sin embargo, sobre la base de meses de observación, vieron una oportunidad
de explotar una tendencia particular de un individuo y se aprovecharon.
Al igual que con las respuestas aprendidas, las tendencias innatas de los seres humanos pueden ser superados mediante la
formación y sensibilización (Johnston, Warkentin, McBride, y Carter, 2016). La persona que sale de su cartera abierta y sin vigilancia
debe ser entrenado que este hábito genera un riesgo. A menudo, esta formación es más eficaz en la forma de un susto al objetivo. Si
un colega honesto se da cuenta de la cartera que se deja abierto y sin vigilancia, podrían tener temporalmente una tarjeta de crédito
para entrenar al objetivo. Cuando el objetivo se da cuenta de que falta, el trauma de que hace una impresión indeleble que no se olvida
pronto. La próxima vez que empiezan a salir de la zona abierta con su cartera, que sin duda será recordado ese incidente y tomar las
medidas apropiadas para asegurar sus pertenencias.
5.2.2 Determinación de los tipos de personalidad científico
Como se discutió en la sección anterior, las tendencias de los individuos pueden ser observadas, documentadas y en
última instancia, explotados por las personas que así lo quieren. El problema con la determinación de las tendencias de un
individuo con este método es que es reactiva (Aitel, 2012). Sólo después de una explotación se ha producido será reconocida la
tendencia y corregido y, tal vez, ni siquiera entonces.
Para abordar el problema de ser reactiva, una organización debe ser proactivo. Si esas tendencias de riesgo se podrían
probar para, analizados y representaron con antelación de tal infracción, la brecha se podría evitar o al menos reducir al mínimo
(Johnston, Warkentin, McBride, y Carter, 2016). Una forma de hacer esto es evaluar científicamente los tipos de personalidad y
el comportamiento de los individuos. Muchas organizaciones ya hacen esto para otros fines, tales como la colocación del
empleado con la personalidad adecuada en un papel que es el más adecuado para su personalidad (Bariff y Lusk, 1977). O
para asegurar que se colocan en un equipo o equipos que va a crear un ambiente de trabajo sinérgico con otros miembros del
equipo, ya sea con personalidades similares o complementarios para evitar conflictos o incluso promover conflictos que a
menudo los combustibles creatividad y la competencia.

Hay varias herramientas y técnicas que se han creado durante los años que científicamente puede ayudar a determinar
los rasgos de personalidad de los recursos humanos de una organización. A los efectos de esta discusión, la atención se
centrará en el método descrito en la Tabla 1 a continuación. Se conoce como los cinco grandes o el océano. MAR es un
acrónimo de los cinco rasgos de personalidad principales: La apertura, la escrupulosidad, extraversión, agradabilidad y
neuroticismo (Zhuang, 2006).
Tabla 1. Los principales rasgos de la personalidad y sus descripciones.
La tabla siguiente es la tabla de referencias MAR anteriormente. Asimismo, señala cómo ciertos tipos de personalidad basado
en el conjunto de marcos del océano son más o menos propensos a violar la política de seguridad cibernética. Se tienen en cuenta
otros factores, así como la amenaza de severidad, Auto-Eficacia, Sanción Gravedad y el coste de respuesta. Esto demuestra
claramente la correlación entre los tipos de personalidad y su probabilidad de ser víctima de un ataque de ingeniería social (Johnston,
Warkentin, McBride, y Carter, 2016).

Tabla 2. El desglose de cómo son más o menos propensos a violar las políticas de seguridad de algunos tipos de personalidad basados en el océano.
5.3. Pregunta 3: ¿Puede un programa de formación de conciencia de seguridad
personalizarse en función del tipo de personalidad, rasgos comunes experimentales u
otros rasgos que reducirá la probabilidad de ataques con éxito?
Muchas organizaciones tienden a llevar a cabo la formación de conciencia de seguridad mediante el uso de un tercero de algún tipo.
Esto se logra típicamente través de un contrato una empresa de seguridad para llevar a cabo esta formación en vivo o mediante la compra de
una herramienta de formación de terceros, tales como software o vídeos. Esto, por supuesto, implica que el tercero ofrece una solución
“enlatados” que cubre los conceptos básicos en un nivel alto, pero no se toman el tiempo o esfuerzo para entender las necesidades de
formación detallados de la organización. Desde la perspectiva de la organización, esto es un mal necesario. A menudo, la organización se
acaba “marcando la casilla” así que cuando un cliente pregunta si tienen un programa de formación de conciencia de seguridad, la
organización puede responder con la verdad sí (Winkler y Manke, 2013).

A medida que los atacantes se vuelven más sofisticados y más específica en sus ataques con lanza como phishing o avanzar
amenazas persistentes, este enfoque es rápidamente se convierte en extremadamente inadecuado. En un futuro próximo, la formación de
conciencia de seguridad debe ser tan sofisticado como los ataques. De lo contrario, habrá poca utilidad en tener todo. Para ello, la formación
de conciencia de seguridad debe entrenar al mismo nivel en el que se producen los ataques. Por ejemplo, si un ataque se dirige a un individuo
en particular en función de su posición en la empresa o su acceso privilegiado, la formación de conciencia de seguridad debe formar a los
individuos por separado y con mayor detalle y específicamente para la forma en que son propensos a ser atacados. Un administrador del
sistema, por ejemplo, es probable que sea atacado debido a su acceso privilegiado de una manera muy diferente a un auxiliar administrativo.
Un empleado de cuentas por pagar puede ser atacado de manera diferente que un director financiero porque la persona AP tiene la
capacidad de crear e imprimir cheques o tiene cierta información de la cuenta bancaria sensibles fácilmente disponible mientras que esto no
suele ser el caso de un director financiero. la formación de conciencia de seguridad como una “marca la casilla” ejercicio no va a entrenar
adecuadamente a los individuos en una organización que tienen más probabilidades de ser objetivo sobre la base de su acceso a la
información sensible (Winkler y Manke, 2013) ..
las necesidades de formación de conciencia de seguridad a los usuarios finales, incluso a ser revisados para tener en cuenta las
características de la personalidad y tendencias innatas como se señaló anteriormente. Si un atacante ha comprometido a un usuario en
particular y el seguimiento de su comportamiento, el atacante puede notar que frecuentan un sitio web en particular que no está
relacionado con la empresa, sino que es un interés personal del empleado. En este escenario, sería razonable suponer que el atacante
podría realizar algún tipo de ataque man-in-the-middle que parodia el sitio y solicita cierta información sensible (Lewis, 2010). Entonces,
el usuario entra en su información sensible y lo somete a pensar que estaba segura manejada por un sitio de confianza. Lo que
realmente sucedió es que el usuario acaba de enviar su información confidencial al atacante. Los usuarios finales son casi nunca
entrenados para tener cuidado con los sitios web legítimos que frecuenta todo el mundo como Google o Amazon y cómo decir la
diferencia entre el sitio legítimo y uno falsificado. Sin embargo, un atacante puede falsificar casi cualquier sitio. Muy pocos usuarios son
conscientes de ello, aunque la mayoría de ellos pasan por “la formación de conciencia de seguridad” al año (Bullée, Montoya, Pieters,
Junger, y Hartel, 2015).
Este es sólo un ejemplo de cómo, a menos que la formación de conciencia de seguridad se vuelve más sofisticada, las
organizaciones seguirán siendo vulnerables a los atacantes especialmente a través sociales

Ingenieria. Hay literalmente cientos de otros escenarios de ingeniería social que no se mencionan. Y si bien puede impráctico para
capacitar a todos los empleados en cada amenaza potencial, es posible modularizar la formación en base a ciertos vectores de amenazas
tales como el nivel de acceso, el uso de Internet o incluso los tipos de personalidad.
6. La Solución
En última instancia, la solución es crear una en la casa, hecha a la medida de conciencia de seguridad y programa de
entrenamiento. Se debe tener en cuenta todos los factores que afectan a la organización, así como los factores conductuales y de
personalidad discutido previamente. Se debe planificarse, diseñado, implementado y medido. Hay que “al horno-in” para los
procesos cotidianos de la organización hasta que se convierte en parte de la cultura de la organización.
6.1. Planificar la formación
El primer paso en la planificación de la formación es establecer los objetivos de la formación. Los objetivos deben
realista, alcanzable y medible (Gupta, nd). Los objetivos reales pueden variar de una organización a pero algunos ejemplos
podrían incluir:
• Asegúrese de que todos los empleados a aprender las políticas y procedimientos de seguridad para el final de la Q2.
• Reducir el uso de Internet por razones personales en un 30%.
• Reducir el número de incidentes relacionados con la seguridad, debido a la ingeniería social en un 30% a finales de Q3.
El siguiente paso es planificar las pruebas de personalidad. Plan de tiempo para investigar y seleccionar la mejor prueba
de la personalidad de la organización. El método OCEAN mencionado anteriormente es sólo un ejemplo (Johnston, Warkentin,
McBride, y Carter, 2016). Otros incluyen Myers-Briggs, el perfil de pinza y el disco. Hay un sinnúmero de otros. Se debe tener
cuidado para seleccionar la mejor prueba para la organización.
Por último, el método de formato y la entrega de la formación debe ser determinado. Esto debe tomar en cuenta todos los
factores, tales como medios de formación, materiales de capacitación, ubicación de los empleados si la organización es, varios idiomas
globales. Un plan de proyecto debe ser presentado para determinar todas las tareas pertinentes, prevista para el inicio y finalización de
cada tarea, predecesores y proyectadas fecha completa de la formación.

6.2 Realizar la prueba de personalidad
Una vez que el proveedor de pruebas adecuado ha sido seleccionada, la prueba de la personalidad debe comenzar tan pronto
como sea posible. Esto se debe a que el diseño del programa en sí no puede comenzar hasta que la pruebas de personalidad es completa.
Una vez que la prueba se ha completado, analizar los resultados a los empleados categorizar según el tipo de personalidad
(Johnston, Warkentin, McBride, y Carter, 2016). No puede haber tantos o tan pocos como tiene sentido, pero hay que señalar que se
creará un programa de entrenamiento personalizado para cada categoría.
6.3 Diseñar el programa de concienciación sobre la seguridad
Una vez que la prueba y el análisis se ha completado, el diseño de cada programa puede comenzar (Gupta, sf).
El diseño debe adaptarse a centrarse en las fortalezas potenciales, y lo más importante, las debilidades de cada tipo de
personalidad.
Por ejemplo, si las pruebas de un empleado en particular que caen en el tipo de personalidad extrovertida y se sabe que los
extrovertidos la mínima sensación de amenaza de severidad son más propensos a violar las políticas de seguridad de la empresa; estarán
capacitados para comprender plenamente todas las amenazas conocidas y las consecuencias de esos. Esto no quiere decir que todos los
empleados que no recibirán la formación, así pero para extrovertidos que será un punto de enfoque.
6.4 Desarrollar la formación de conciencia de seguridad
Ahora que la personalidad y el diseño se completa, el desarrollo de la formación puede comenzar (Gupta, sf). El diseño
debe adaptarse a centrarse en las fortalezas potenciales, y lo más importante, las debilidades de cada tipo de personalidad. Desde
el proceso de planificación, materiales de capacitación deben ser creados, las instalaciones deben estar bien sujetos y los horarios
deben ser finalizados. Un ensayo de los materiales se debe realizar en un pequeño grupo de funciones cruzadas de los empleados
y de realimentación se debe recoger y se incorporan en su caso. Además, este es el lugar donde los criterios de éxito deben ser
determinados de manera que cuando se miden los resultados, la gestión sabrá si el programa es un éxito.

6.5 Poner en práctica la formación de conciencia de seguridad
Esta es la culminación de los pasos anteriores. La planificación se completa, personalidades han sido determinados y
clasificados, y los materiales de formación se han escrito y reescrito. Suponiendo que todos aquellos se hace correctamente, la
entrega de la capacitación debe ir sin problemas. Es importante tener en cuenta que la entrega de la capacitación (y debería)
evolucionan con el tiempo (Gupta,
Dakota del Norte). Además, esto es cuando la cultura de la empresa debe empezar a cambiar. Las políticas y los plazos deben ser
implementados para asegurar el conocimiento de seguridad se convierte en arraigado en la mentalidad de cada empleado y se convierte
en una parte natural de los procesos de la organización.
7. Conclusión
La ingeniería social es más frecuente y más de una amenaza de lo que ha sido nunca. Como indica la figura 3, los ataques
como resultado de la ingeniería social comenzaron a dispararse en 2004 y que no parece que una ralentización de esta tendencia está
ocurriendo en un futuro próximo.
Figura 3. Número de incidentes de seguridad como resultado de la ingeniería social.
Los ataques a la información confidencial de una organización utilizando la ingeniería social son más específicas y
más sofisticada que nunca. la formación de conciencia de seguridad no ha seguido el ritmo con el nivel de sofisticación de
ingeniería social. A pesar de este hecho, la comunidad cibernética se niega a reconocer la gravedad de la amenaza. De
hecho, en la última versión de

los 20 controles críticos, publicada en octubre de 2015 mediante el Centro de Seguridad de Internet, la clasificación del
control relevante, a saber, “Seguridad evaluación de habilidades y formación adecuadas para llenar los vacíos”, cayó
desde el número 9 en la versión 5 para el número 17 en la versión 6. Se es importante señalar que estos controles se
clasifican por orden de gravedad de la amenaza. Es lógico si la comunidad cibernética no reconoce la amenaza como
crítica, entonces las organizaciones a las que ofrecen servicios de consultoría tampoco. Como resultado, los empleados
siguen cayendo para los ataques de ingeniería social a un ritmo alarmante y están costando organizaciones mil millones
al año (Ashford, 2016). Si bien es imposible evitar todos los ataques contra el wetware porque hay muchas
complejidades y variables dentro de la mente humana,
El desafío para una organización es revisar su actual conciencia de seguridad objetivo del programa de formación. Determinar si su
verdadero propósito es prevenir las infracciones y posible pérdida de datos o es sólo para “marcar la casilla” y ser capaz de responder con la
verdad cuestionario de seguridad de un cliente potencial. Una vez que la pregunta ha sido contestada, el siguiente reto es determinar de forma
proactiva cuál de los empleados de una organización son los más susceptibles a ataques de ingeniería social mediante la determinación
científicamente sus rasgos de personalidad y tendencias. Una forma de determinar esto sería documento que los empleados durante un
período de tiempo dado han sido víctimas de ataques de ingeniería social y prueba de ellos para determinar sus tipos de personalidad y
tendencias. A continuación, revise los perfiles de personalidad de las víctimas y referencia cruzada en busca de similitudes. Luego, una vez
cada empleado ha sido probado, debe ser obvio cuál de los empleados son más propensos a ser víctimas. Finalmente, el último reto es
demasiado personalizar y adaptar su programa de formación de conciencia de seguridad para hacer frente a las tendencias de los empleados
de más alto riesgo. Este esfuerzo debe estar basada en varios factores tales como lo que se utilizó el tipo de ingeniería social para victimizar a
la diana (phishing, quid pro quo, etc.). A continuación, diseñar un programa de entrenamiento dirigido a sólo aquellos empleados que se enfoca
en el tipo exacto de la ingeniería social que se utilizó. Este esfuerzo debe estar basada en varios factores tales como lo que se utilizó el tipo de
ingeniería social para victimizar a la diana (phishing, quid pro quo, etc.). A continuación, diseñar un programa de entrenamiento dirigido a sólo
aquellos empleados que se enfoca en el tipo exacto de la ingeniería social que se utilizó. Este esfuerzo debe estar basada en varios factores
tales como lo que se utilizó el tipo de ingeniería social para victimizar a la diana (phishing, quid pro quo, etc.). A continuación, diseñar un
programa de entrenamiento dirigido a sólo aquellos empleados que se enfoca en el tipo exacto de la ingeniería social que se utilizó.
Cabe señalar que no todos los profesionales de la seguridad cibernética está de acuerdo con este enfoque. Hay una escuela de
pensamiento que los estados que gastar dinero en la formación de conciencia de seguridad es un desperdicio. El argumento es que cualquier
presupuesto destinado a la formación de conciencia de seguridad estaría mejor invertido en la seguridad de las redes, servidores y estaciones
de trabajo (Aitel, 2012). La teoría es

que una mejor seguridad del hardware y el software que impediría cualquier empleado de que se les permita poner en peligro los datos
de una organización. Asimismo, debe tenerse en cuenta que esta opinión está en la inmensa minoría. La mayoría de los profesionales de
la seguridad cibernética creíbles de acuerdo en que más y mejor formación evitará que algunos atacantes de ingeniería social de alcanzar
sus objetivos.
La capacitación adecuada conciencia de seguridad lleva tiempo y es costoso. Se requiere un fuerte compromiso por parte de una
organización para seguir a través de todos los pasos descritos anteriormente. Sin embargo, en comparación con el costo potencial de una
violación tanto en dólares y la reputación de la marca, es insignificante. Con seguridad de la información mucho más de un tema hacia
delante y hacia el centro de lo que ha sido siempre, con las empresas que gastan millones de asegurar sus datos, ¿tiene sentido que salir
de esta zona tan expuesta a la amenaza?

referencias
Abraham, S., y Chengalur-Smith, I. (2010). Una visión general de malware de ingeniería social:
Tendencias, tácticas y consecuencias. Tecnología en la sociedad, 32 (3), 183-196. Aitel, D. (2012). Por qué no debe
capacitar a sus empleados para la conciencia de seguridad. OSC.
Consultado el 14 de abril de, 2016, frente
http://www.csoonline.com/article/2131941/securityawareness/why-you-shouldn-t-train-employees-for-security-awareness.html?nsdr=true
Algarni, A., Xu, Y., Chan, T., y Tian, Y. (2014). La ingeniería social en los sitios de redes sociales
: Lo bueno se vuelve malo. En Actas de la Conferencia de Asia Pacífico 18a en Sistemas de Información ( PACIS2014),
la Asociación de Sistemas de Información (AIS), Chengdu, China.
Applegate. SD Mayor. (2009). Ingeniería social: Hackear la Wetware! Información
Seguridad Diario: una perspectiva global, 18: 1, 40-46, DOI:
10.1080 / 19393550802623214
Ashford, W. (2016). La ingeniería social es el método de piratería superior, muestra la encuesta.
ComputerWeekly.com. Consultado el 22 de de marzo de, 2016, frente
http://www.computerweekly.com/news/4500272941/Social-engineering-is-top-hackingmethod-survey-shows
Bariff, ML, y Lusk, EJ (1977). Las pruebas cognitivas y de personalidad para el diseño de
Sistemas de Información Gerencial. Gestión de la Ciencia, 23 (8), 820-829. Bisson, D. (2015). 5
Ingeniería Social Ataques a tener en cuenta. Tripwire. Obtenido
13 de marzo de, 2016, frente
http://www.tripwire.com/state-of-security/security-awareness/5social-engineering-attacks-to-watch-out-for/

Bryce, T. (2005). La guerra de Troya: ¿mito o realidad? El Reino de los hititas, 357-371.
doi: 10.1093 / acprof: Oso / 9780199281329.003.14
Bullée, JWH, Montoya, L., Pieters, W., Junger, M., y Hartel, PH (2015). la persuasión
y experimentar la conciencia de seguridad: reducir el éxito de los ataques de ingeniería social. Diario de la
criminología experimental, 11 (1), 97-115.
Burgess, C. (2015). Tres razones ingeniería social sigue siendo una amenaza Empresas. Seguridad
Inteligencia. Consultado el 15 de de abril de, 2016, frente
https://securityintelligence.com/threereasons-social-engineering-still-threatens-companies/
Chatterjee, C. (2015). 5 pruebas de personalidad directores de recursos humanos están usando que podría hacer o romper
su entrevista de trabajo. MSN Money. Consultado el 30 de de marzo de, 2016, frente
http://www.msn.com/en-nz/money/careersandeducation/5-personality-tests-hiringmanagers-are-using-that-could-make-or-break-your-next-
trabajo de entrevista / arBBl1TRB # page = 2
Cullina, M. (2012). 9 alarmantes estadísticas sobre el robo de identidad. IDT911. Obtenido de marzo
12, 2016 de http://idt911.com/education/blog/9-alarming-statistics-about-identitytheft
Dattner, B. (2014). La mayoría del trabajo Los conflictos no se deben a la personalidad. Harvard Business
Revisión. Obtenido de https://hbr.org/2014/05/most-work-conflicts-arent-due-topersonality/
DePaul, N. (2013). Hackear la mente: cómo y por qué Sociales Obras de Ingeniería. Veracode.
Consultado el 12 de marzo de, 2016, frente
https://www.veracode.com/blog/2013/03/hacking-themind-how-why-social-engineering-works

DeWolf, J. (2013). 5 tipos de ataques de ingeniería social. Datto. Obtenido 20 de abril de, el año 2016
de http://www.datto.com/blog/5-types-of-social-engineering-attacks Flores, WR, y Ekstedt, M.
(2016). Dar forma a la intención de resistir la ingeniería social a través
liderazgo transformacional, la cultura y la conciencia de seguridad de la información. Computadoras y Seguridad, 59, 26-44.
Gardner, B., & Thomas, V. (2014). La construcción de un programa de sensibilización Seguridad de la Información:
La defensa contra la ingeniería social y técnica Amenazas. Elsevier. Goodchild, J. (2011). Ingeniería
social: 3 ejemplos de piratería humano. OSC. Obtenido
12 de marzo de, 2016, frente
http://www.csoonline.com/article/2126983/socialengineering/social-engineering-social-engineering-3-examples-of-humanhacking.htm
Gupta, M. (nd). Diseño y desarrollo de un sistema eficaz sobre temas de seguridad
y el programa de entrenamiento. Instituto Nacional de Estándares y Tecnología. Obtenido abril
23, 2016 de http://csrc.nist.gov/organizations/fissea/2009-
conferencias / presentaciones / fissea09-mgupta-Día 3-panel_process-programa de acumulación de effectivetraining.pdf
Hadnagy, C. (2011). Ingeniería social: El arte de la piratería humano. Indianapolis, IN: Wiley. Huang, JL, Ryan,
AM, Zabel, KL, y Palmer, A. (2014). Personalidad y adaptativa
el rendimiento en el trabajo: Una investigación meta-analítica. Journal of Applied Psychology, 99 ( 1), 162-179. doi:
10.1037 / a0034285
Henry, A. (2014). ¿Por qué la ingeniería social debe ser su preocupación más grande de Seguridad.
Lifehacker. Consultado el 3 de abril de, 2016, frente
http://lifehacker.com/why-social-engineeringshould-be-your-biggest-security-1630321227

Heyden, J. (2011). RSA explica cómo los atacantes rompieron sus sistemas. El registro. Obtenido
09 de marzo 2016 de http://www.theregister.co.uk/2011/04/04/rsa_hack_howdunnit/ Johansson, J.
(2008). De isla en isla: El Infecciosa Allure of Vendor botín. Technet
Revista. Retreived 14 de abril de, 2016, frente
https://technet.microsoft.com/enus/magazine/2008.01.securitywatch.aspx
Johnston, AC, Warkentin, M., McBride, M., & Carter, L. (2016). y de disposición
factores de la situación: influencias sobre violaciónes de política de seguridad de la información. Revista Europea de
Sistemas de Información. doi: 10.1057 / ejis.2015.15
KnowBe4 comunicado de prensa. (2015). KnowBe4 Láminas CEO Fraude ataque gracias a la Seguridad
Entrenamiento de conciencia. Retreived 3 de abril de, 2016, frente
https://www.knowbe4.com/press/knowbe4-foils-ceo-fraud-attack-thanks-to-securityawareness-training
Krebs, B. (2013). El incumplimiento Bit9 se inició en julio de 2012. KrebsOnSecurity. Consultado el 12 de abril
2016 de http://krebsonsecurity.com/2013/02/bit9-breach-began-in-july-2012/ Lewis, K. (2014). Cómo
Social Media Networks faciliten el fraude de robo de identidad.
Organización de los empresarios. Consultado el 22 de de marzo de, 2016, frente
https://www.eonetwork.org/octane-magazine/special-features/social-media-networksfacilitate-identity-theft-fraud
Lewis, N. (2010). Correo electrónico, página web y la suplantación de IP: ¿Cómo prevenir un ataque de suplantación.
TechTarget. Consultado el 17 de de abril de, 2016, frente
http://searchsecurity.techtarget.com/tip/Email-website-and-IP-spoofing-How-to-preventa-spoofing-attack

Señor, N. (2015). Los ataques de ingeniería social: técnicas comunes y cómo prevenir un ataque.
Guardián digital. Consultado el 18 de de marzo de, 2016, frente
https://digitalguardian.com/blog/social-engineering-attacks-common-techniques-howprevent-attack
Señor, N. (2016). Expertos en Seguridad de datos revelan la errores más grandes compañías hacen con
Datos y Seguridad de la Información. Guardián digital. Consultado el 3 de abril de, 2016, frente
https://digitalguardian.com/blog/data-security-experts-reveal-biggest-mistakescompanies-make-data-information-security
Mitnick, K. y Simon, WL (2002). El arte del engaño: Controlar el elemento humano de
seguridad. Nueva York: John Wiley & Sons.
Olavsrud, T. (2010). 9 mejores defensas contra ataques de ingeniería social. eSecurity planeta.
Consultado el 12 de marzo de, 2016, frente
http://www.esecurityplanet.com/views/article.php/3908881/9-Best-Defenses-AgainstSocial-Engineering-Attacks.htm
Olavsrud, T. (2014). 11 pasos atacantes salieron a la grieta de destino. CIO. Consultado el 18 de marzo
2016 de
http://www.cio.com/article/2600345/security0/11-steps-attackers-took-tocrack-target.html?nsdr=true
Okenyi, PO y Owens, TJ (2007). En la anatomía humana piratería. Información
Sistemas de seguridad. , 16 (6), 302-314. Consultado el 8 de abril de, 2016, frente base de datos Academic Search Premiere
Paganini, P. (2015). Según la firma Symantec, un número creciente de agentes de amenaza en
la naturaleza se dirige a los profesionales en LinkedIn con perfiles falsos de LinkedIn. Seguridad

Asuntos. Consultado el 2 de abril de, 2016, frente
http://securityaffairs.co/wordpress/42498/cybercrime/fake-linkedin-profiles.html
Pascual, A., Marchini, K., Miller, S. (2016). 2016 Identidad Fraude: Fraude realiza un Inflexión
Punto. Jabalina. Obtenido March22, 2016 de
https://www.javelinstrategy.com/coverage-area/2016-identity-fraud-fraud-hitsinflection-point
Peltier, T. (2006). Ingeniería social: conceptos y soluciones. Sistemas de Información de Seguridad,
15: 5, 13-21, DOI: 10.1201 / 1086.1065898X / 46353.15.4.20060901 / 95427.3 Peters, S. (2015). Los siete
mejores ataques de ingeniería social cada vez. InformationWeek oscuro
Leyendo. Consultado el 10 de marzo de, 2016, frente
http://www.darkreading.com/the-7-best-socialengineering-attacks-ever/d/d-id/1319411?image_number=4
Robinson, R. (2015). La ingeniería social atacantes Implementar falso perfiles en redes sociales
Inteligencia de seguridad. Consultado el 18 de de abril de, 2016, frente
https://securityintelligence.com/social-engineering-attackers-deploy-fake-social-mediaprofiles/
Schwartz, M. (2011). RSA SecurID Incumplimiento Costo $ 66 millones. Information Week Oscuro
Leyendo. Consultado el 11 de abril de, 2016, frente
http://www.darkreading.com/attacks-andbreaches/rsa-securid-breach-cost-$66-million/d/d-id/1099232? Vidalis, S. &
Kazmi, Z. (2007). Seguridad a través del engaño, Sistemas de Información de Seguridad,
16: 1, 34-41, DOI: 10.1080 / 10658980601051458
Whitwam, R. (2015). Google Play Books está plagado de falsos 'guías' que prometen
Agrietado Android APK, las prestaciones deseadas sólo malware y estafas de phishing. Android Police.
Consultado el 14 de abril de, 2016, frente http://www.androidpolice.com/2015/03/03/google-play-

libros-is-arrastraban-con-falsas-guías-que-promesa-agrietada-android-un apk-proporcionar-onlymalware-y-estafas de
phishing-/
Winkler, I. y Manke, S. (2013). 7 razones para la conciencia de seguridad Falure. OSC.
Obtenido March18. 2012 desde
http://www.csoonline.com/article/2133697/metricsbudgets/7-reasons-for-security-awareness-failure.html?nsdr=true
Workman, M. (2007). Obtener acceso a la ingeniería social: un estudio empírico de la
Amenaza. Sistemas de Información de Seguridad, 16: 6, 315-331, DOI:
10.1080 / 10658980701788165
Workman, M. (2008). Wisecrackers: Una teoría - la investigación a tierra de phishing y pretexto
amenazas de ingeniería social para la seguridad de la información. Revista de la Sociedad Americana de Ciencias de la
Información y Tecnología, 59 (4), 662-674. Zhang L. (2006). Estilos de pensamiento y los cinco grandes rasgos de la personalidad
revisitados. Personalidad
y las diferencias individuales. 40: 1177-11187.
Zitter, K. (2105). Hacker Lexicon: ¿Cuáles son phishing y spear phishing ?. Con conexión de cable.
Retreived April17 de 2016 de https://www.wired.com/2015/04/hacker-lexicon-spearphishing/

Última actualización: 10 de de marzo de, 2020
Formación SANS próxima

Haga clic aquí para ver una lista de todos los cursos de SANS
SANS Secure Singapur 2020 Singapore, SG 16 marzo 2020 a 28 marzo 2020 Evento en vivo
SANS Norfolk 2020 Norfolk, VAUS Marzo 16, 2020 a marzo 21, 2020 Evento en vivo
SANS SEC504 Nantes de marzo de 2020 (en francés) Nantes, FR Marzo 16, 2020 a marzo 21, 2020 Evento en vivo
SANS marzo en Londres 2020 Londres, GB Marzo 16, 2020 a marzo 21, 2020 Evento en vivo
SEC588 Beta Uno 2020 Arlington, VAUS Mar 23 de, 2020 - 28 mar, 2020 Evento en vivo
SANS SEC560 Lyon de marzo de 2020 (en francés) Lyon, FR Mar 23 de, 2020 - 28 mar, 2020 Evento en vivo
SANS Oslo de marzo de 2020 Oslo, NO Mar 23 de, 2020 - 28 mar, 2020 Evento en vivo
SANS Madrid de marzo de 2020 Madrid, ES Mar 23 de, 2020 - 28 mar, 2020 Evento en vivo
SANS Secure Canberra 2020 Canberra, AU Mar 23 de, 2020 - 28 mar, 2020 Evento en vivo
SANS Frankfurt de marzo de 2020 Frankfurt, DE 30 de Mar, 2020 - Apr 04, 2020 Evento en vivo
SANS Filadelfia 2020 Filadelfia, PAUS 30 de Mar, 2020 - Apr 04, 2020 Evento en vivo
SANS 2020 Orlando, GRIPES 3 abril 2020 a 10 abril 2020 Evento en vivo
SANS Riad de abril de 2020 Riyadh, SA Abr 04, 2020 - 16 de Abr, 2020 Evento en vivo
SANS Muscat de abril de 2020 Muscat, OM 4 abril 2020 a 9 abril 2020 Evento en vivo
SANS 2020 Minneapolis Minneapolis, MNUS Abr 14, 2020 - 19 abr, 2020 Evento en vivo
SANS Bethesda 2020 Bethesda, de MDUS Abr 14, 2020 - 19 abr, 2020 Evento en vivo
SANS Bruselas de abril de 2020 Bruselas, BE 20 abril 2020 a 25 abril 2020 Evento en vivo
SANS Londres de abril de 2020 Londres, GB 20 abril 2020 a 25 abril 2020 Evento en vivo
SANS Boston Primavera 2020 Boston, MAUS 20 abril 2020 a 25 abril 2020 Evento en vivo
SANS SEC440 Copenhague de abril de 2020 Copenhagen, DK Abr 27 de, 2020 - 28 abr, 2020 Evento en vivo
SANS pluma de la prueba Austin 2020 Austin, Txus Abr 27 de, 2020 - 02 de mayo de, 2020 Evento en vivo
SANS Baltimore Primavera 2020 Baltimore, de MDUS Abr 27 de, 2020 - 02 de mayo de, 2020 Evento en vivo
SANS Bucarest de mayo de 2020 Bucarest, RO 4 mayo 2020 a 9 mayo 2020 Evento en vivo
SANS que Milán no 2020 Milán, IT 4 mayo 2020 a 9 mayo 2020 Evento en vivo
SANS Seguridad West 2020 San Diego, CAUS 6 mayo 2020 a 13 mayo 2020 Evento en vivo
SANS Hong Kong 2020 Hong Kong, Hong Kong 11 mayo 2020 hasta 16 mayo 2020 Evento en vivo
SANS Amsterdam Mayo 2020 Ámsterdam, NL Mayo 11, 2020 a mayo 18, 2020 Evento en vivo
SANS Norte de Virginia-2020 Alejandría Alejandría, VAUS 17 mayo 2020 a 22 mayo 2020 Evento en vivo
SANS San Antonio 2020 San Antonio, Txus 17 mayo 2020 a 22 mayo 2020 Evento en vivo
SANS otoño Sydney 2020 Sydney, AU 18 mayo 2020 a 23 mayo 2020 Evento en vivo
SANS mayo en Londres 2020 Londres, GB 18 mayo 2020 a 23 mayo 2020 Evento en vivo
SANS Estocolmo de mayo de 2020 Estocolmo, SE 25 mayo 2020 a 30 mayo 2020 Evento en vivo
SANS Doha de marzo de 2020 OnlineQA 14 marzo 2020 a 19 marzo 2020 Evento en vivo
SANS OnDemand Libros y MP3 onlyUS En cualquier momento Ritmo propio

Methods Understanding Reducing Social Engineering Attacks 36972.en - Es PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Methods Understanding Reducing Social Engineering Attacks 36972.en - Es PDF

Încărcat de

Drepturi de autor:

Formate disponibile

SANS Institute

Información de la habitación de lectura de Seguridad

Los métodos para comprender y reducir

Los métodos para comprender y reducir Social

GIAC (CGCE) Certificación Oro

Autor: Michael Alexander, michael6933 @ Yaho o.com

el éxito de estos esfuerzos de penetración.

Michael Alexander,• michael6933@yahoo.com•

Michael Alexander,• michael6933@yahoo.com•

seguro como para formar una asociación (Señor,

(Winkler y Manke, 2013).

2. ¿Qué es la Ingeniería Social?

engañar a la gente romper los procedimientos de seguridad normales “.

social, cuándo, dónde y cómo lo ven.

información sensible (Peltier, 2006).

Michael Alexander,• michael6933@yahoo.com•

3. Ejemplos de la práctica de exitosos ataques de ingeniería social

comercial o financiera sensible. Según los informes, RSA ha detectado el

Michael Alexander,• michael6933@yahoo.com•

industrial de defensa que tres eran clientes de Symantec (Peters, 2015).

una organización. Un ejemplo: el gigante minorista Target.

final; los números de tarjetas de crédito de millones de clientes objetivo.

Michael Alexander,• michael6933@yahoo.com•

proveedores presenten las facturas (Olavsrud, 2014).

4.1 Acceso electrónico

dándoles información sensible (Ashford, 2016).

personales cae en la categoría de ingeniería social.

otros, pero estos parecen ser los más comunes.

4.1.1. Suplantación de identidad

Michael Alexander,• michael6933@yahoo.com•

de inicio de sesión de usuario y otra información personal (Trabajador , 2008).

4.1.2. lanza Sitio de caza

general para que revelen información personal o sensible de la organización.

Michael Alexander,• michael6933@yahoo.com•

expertos en las técnicas de phishing de lanza (comunicado de prensa KnowBe4,

prensa KnowBe4, 2015).

Michael Alexander,• michael6933@yahoo.com•

curiosidad humana a través del uso de medios físicos.

Michael Alexander,• michael6933@yahoo.com•

credenciales de acceso de los empleados (Johansson, 2008).

4.2. Acceso físico

de confirmar su identidad (Henry, 2014).

entrar en el edificio (Ashford,

enviarles fotos de desnudos de sí mismos (Workman, 2008).

Michael Alexander,• michael6933@yahoo.com•

4.2.2. chupar rueda

basada en la insignia en su sitio (Peltier, 2006).

4.3.3. Quid pro quo

toma la forma de un servicio, mientras cebo toma frecuentemente la forma de un bien.

bolígrafo barato o incluso una barra de chocolate.

Michael Alexander,• michael6933@yahoo.com•

4.3. Medios de comunicación social

Instagram (Algarni, Xu, Chan, y Tian, ​2014).

• Nombre completo (nombre especialmente en medio)

• lugares y fechas de graduación de la escuela

Michael Alexander,• michael6933@yahoo.com•

• Otras afiliaciones, intereses y aficiones

industrias, incluyendo telecomunicaciones, servicios públicos, defensa y gobierno (Paganini, 2015).

crea los perfiles básicos parecen más legítimo.

posibles ofertas de trabajo eran auténticos.

descripciones de trabajo utilizan el texto de anuncios de trabajo (Robinson, 2015).

5. La psicología de la ingeniería social

esta sección trata de abordar son los siguientes:

Instagram (Algarni, Xu, Chan, y Tian, 2014).