Define qué es la ingeniería social y la ingeniería social inversa y
elabora una lista de las técnicas de estas ingenierías que suelen
utilizar los estafadores. Añade algún ejemplo famoso de uso de
esta técnica.
Ingeniería social. Técnica que no explota las vulnerabilidades a nivel tecnológico de un
sistema, sino ciertos comportamientos y conductas de los seres humanos.
-Falsos antivirus y falsos programas
Primero nos hacen creer que tenemos un virus que no existe; después, que tenemos que bajarnos un antivirus capaz de eliminar ese virus. Pero luego resulta que tal antivirus no es tal, sino un adware o un programa malicioso disfrazado de solución informática.
-Falsas páginas de descarga
Aprovechando la confianza de los usuarios de la red en un programa conocido y utilizado por todos, hay ciberdelincuentes que aprovechan esta credibilidad para crear páginas web donde supuestamente se permite descargar este software de forma gratuita.
-Falsas extensiones para el navegador
Las extensiones para Google Chrome y Firefox también son frecuentes. Las extensiones se aprovechan de nuestra confianza y a veces el desconocimiento del usuario para instalar barras que no queremos, espiar nuestra actividad online y otras muchas actividades perversas.
-Falsos comentarios en foros
Detrás de ellos, no siempre hay intención de colarnos algún tipo de malware, sino más bien vendernos algo o llevarnos a descargar el programa equivocado. El asunto es tan sencillo como que un usuario hace una pregunta en un foro y luego llega otro, anónimo, y le da una respuesta donde le indica el programa que tiene que bajarse y el enlace. El usuario acaba picando fácilmente y descargando el programa, cuyo origen puede ser desconocido y por supuesto no ayuda al usuario.
http://www.gadae.com/blog/las-tecnicas-para-propagar-malware-cada-vez-mas-sofisticadas/
Ingeniería social inversa. El usuario es el que se pone en contacto (utilizando cualquiera de los medios que se suelen utilizar en la ingeniería social: de persona a persona, teléfono, sitio web, correo electrónico, red social, etc…), sin saberlo con la persona que desea obtener información de él y una vez establecido el contacto ésta obtiene la información necesaria para realizar el ataque o la intrusión.
– Descubro un sitio web en el que dicen que son expertos en arreglar determinados problemas relacionados con el ordenador. Una vez que me pongo en contacto con ellos a través de uno de los medios indicados anteriormente, obtienen la información que necesitan para un futuro posible ataque.
– Me llega al buzón de correos un anuncio o una tarjeta de una persona que arregla ordenadores. Lo conservo y pasado un tiempo el ordenador se estropea, me pongo en contacto con dicha persona y obtiene la información que precisa.
–Voy a un congreso de seguridad y una persona tiene en la solapa una acreditación de la marca del servidor de aplicaciones de mi organización, me acerco a él para hacerle algunas preguntas y termina siendo él el que obtiene información que puede resultar relevante para un posible ataque.
https://jummp.wordpress.com/2009/10/21/ingenieria-social-inversa
EJEMPLO: Es probable que alguno de tus contactos haya caído en el resonante engaño de que Facebook cambiaría su color a rosa, el cual se propagaba a través de mensajes en las biografías de los usuarios que contenían un enlace. Al hacer clic, se producía una redirección a un sitio infectado. Algo similar sucedía con la supuesta posibilidad de ver quién visitó tu perfil, que a través del clickjacking obtenía al azar los nombres de los contactos de la víctima para publicar automáticamente en su muro y así continuar la propagación de la amenaza.
https://www.welivesecurity.com/la-es/2015/12/01/historias-de-ingenieria-social-ridiculas/
