La ingeniería social es una colección de técnicas usadas para manipular a gente en la ejecución de acciones o la divulgación de la información confidencial. Mientras que es similar a un truco de la confianza o al fraude simple, el término se aplica típicamente a la mañosidad para la reunión de la información o el acceso del sistema informático y en la mayoría de los casos el atacante nunca viene cara a cara con la víctima.
Técnicas y términos de la ingeniería social
Todas las técnicas de la ingeniería social se basan en las cualidades específicas de la toma de decisión humana conocidas como diagonales cognoscitivos . Estos diagonales, a veces llamados " insectos en el hardware humano, " se explotan en varias combinaciones para crear las técnicas del ataque, algunas cuyo se enumeran aquí:
El pretextar
El que pretexta es el acto de crear y de usar un panorama inventado (el pretexto) para persuadir una blanco a la información de lanzamiento o para realizar una acción y se hace típicamente sobre el teléfono. Es más que una mentira simple pues implica lo más a menudo posible cierta investigación o disposición anterior y el uso de pedazos de información sabida (e. para la personificación: la fecha de nacimiento, el número de la Seguridad Social, la cantidad pasada de la cuenta) al establecen legitimidad en la mente de la blanco.
Esta técnica es de uso frecuente trampear un negocio en la revelación de la información al cliente, y es utilizada por los investigadores privados para obtener los expedientes del teléfono, expedientes de la utilidad, depositando los expedientes y la otra información directo de los representantes/delegados técnico de la compañía menor. La información se puede entonces utilizar para establecer incluso mayor legitimidad bajo preguntar más resistente con un encargado (e., realizar cambios de la cuenta, conseguir los equilibrios, el etc específicos).
Pues la mayoría de las compañías de los E. todavía authentican a cliente pidiendo solamente un número de la Seguridad Social, la fecha de nacimiento, o el nombre virginal de la madre, el método es eficaz en muchas situaciones y continuará probablemente siendo un problema de seguridad en el futuro.
El pretextar se puede también utilizar para personificar compañeros de trabajo, policía, el banco, autoridades tributarias o el &mdash de los investigadores del seguro; o cualquie otro individuo que habría podido percibir autoridad o derecho a saber en la mente de la blanco. El pretexter debe preparar simplemente respuestas a las preguntas que se pudieron hacer por la blanco. Toda que es necesario es en algunos casos una voz del género correcto, de un tono serio y de una capacidad de pensar en sus pies.
La voz sobre programas del IP está comenzando a convertirse en un estándar en pretextar, como es más duro seguir un IP address que un número de teléfono, haciendo el pretexter menos vulnerable para capturar.
Phishing
considera también: Phishing
Phishing es una técnica fraudulento de obtener la información privada. Típicamente, el phisher envía un email que aparezca venir de un &mdash legítimo del negocio; un banco, o &mdash de la tarjeta de crédito de la compañía; petición del " verification" de la información y de la advertencia de una cierta consecuencia calamitosa si no se hace. La letra contiene generalmente un acoplamiento a un Web page fraudulento que mire el &mdash legítimo; con insignias de la compañía y &mdash contento; y tiene una forma el pedir todo de una dirección de comienzo de la pista en disco PIN de s de la tarjeta atmósfera a un '.
IVR/phone phishing
Esta técnica utiliza un sistema interactivo de la respuesta de voz rogue (IVR) para reconstruir una copia legítima del sonido de un sistema de IVR del banco o de la otra institución. Incitan a la víctima (típicamente vía un email phishing) llamar adentro al " bank" vía (ideal) un número gratis proporcionado y verificar la información. Un sistema típico rechazará continuamente conexiones asegurándose que la víctima incorpora los pernos o los tiempos múltiples de las contraseñas, revelando a menudo varias diversas contraseñas. Sistemas más avanzados incluso transferirán a víctima al atacante que presenta como agente del servicio de atención al cliente para preguntar adicional.Alguien podría incluso registrar los comandos típicos (" Presionar uno para cambiar su contraseña, presionar dos para hablar al services" del cliente; …) y repetirlos manualmente en el tiempo real, dando el aspecto de ser un IVR sin el costo. Por ejemplo, 2003 vieron la proliferación de un timo phishing en el cual los usuarios recibieron email supuesto de eBay demandando que la cuenta de usuario estaba a punto de ser suspendida a menos que él chascara encendido el acoplamiento proporcionado y puso al día la información de la tarjeta de crédito que el eBay genuino tenida ya. Porque es relativamente simple hacer un parecer del Web site un sitio legítimo de las organizaciones mímico el código del HTML, el timo contado en la gente que era en pensamiento trampeado ellos eran entrados en contacto con realmente por eBay e iban posteriormente al sitio de los eBay a poner al día su información de cuenta. Spamming a grupos de personas grandes, el “phisher” contó en el email que era leído por un porcentaje de la gente que había enumerado realmente los números de tarjeta de crédito con eBay legítimo.
Phishing, también designado la marca de fábrica spoofing o que carda, es una variación en " pesca, " la idea que es ese cebo se rechaza con las esperanzas que mientras que la mayoría no harán caso del cebo, tentarán algunos en morder.
Trojan Horse/gimmes
considera también:
l Trojan Horse (computación) Gimmes se aprovecha de la curiosidad o de la avaricia de las víctimas para entregar el Malware . También conocido como Trojan Horse, los gimmes pueden llegar como accesorio del email que promete cualquier cosa de un " cool" o " sexy" ahorrador de pantalla, un antivirus importante o mejora del sistema, o aún el último chisme sobre un empleado. Las víctimas sucumben abriendo el accesorio. Puesto que los usuarios ingenuos chascarán oculto encendido cualquier accesorio que parezca incluso suavemente legítimo, la técnica puede ser absolutamente eficaz.
Manzana del camino
Una manzana del camino es una variación del mundo real de un Trojan Horse que los medios físicos de las aplicaciones y confíen en la curiosidad de la víctima. El atacante deja a infectado de Malware el disco blando, CD-ROM o la impulsión del flash del USB en una localización segura de ser encontrado (cuarto de baño, elevador, acera, estacionamiento), le da una mirada y una etiqueta legítimas de la curiosidad-piquing, y espera simplemente.por ejemplo: un atacante pudo crear un disco que ofrecía una insignia corporativa, fácilmente disponible del Web site de la blanco, y escribe el " Resumen ejecutivo Q1 del sueldo URRENTYEAR " en el frente. El atacante entonces dejaría el disco en el piso de un elevador o en alguna parte en el pasillo de la compañía de blanco.
Un empleado unknowing pudo encontrarlo e insertar posteriormente el disco en una computadora para satisfacer su curiosidad, o un buen samaritano pudo encontrarla y darle vuelta adentro a la compañía.
En cualquier caso como consecuencia simplemente de insertar el disco para ver el contenido, el usuario instalaría unknowingly el Malware en su computadora, probablemente dando a un atacante el acceso sin restricciones a la PC y quizás a la red de ordenadores de la víctima interno de la compañía de blanco.
A menos que otros controles bloqueen la infección, las PC fijan al " autorun" los medios insertados pueden ser comprometidos tan pronto como se inserte un disco rogue.
Nota del que el término “camino Apple” ha estado con referencia a purposed de un abono más viejo del caballo del significado del uso.
Quid pro quo
Algo para algo: un atacante llama números al azar en una compañía que demanda llamar detrás de soporte técnico. Golpearán eventual a alguien con un problema legítimo, agradecido que alguien esté llamando detrás para ayudarles. El atacante " help" solucionar el problema y en el proceso tener el tipo de usuario comandos que da a atacante el acceso y/o pone en marcha el Malware .
en una encuesta sobre 2003 la seguridad de información, el 90% de oficinistas dio a investigadores qué él demandó era su contraseña en contestación a una pregunta del examen a cambio de una pluma barata . Los exámenes similares en años posteriores obtuvieron resultados similares usar los chocolates y otros señuelos baratos, aunque no hicieran ninguna tentativa de validar las contraseñas. Algunos respondedores acaban de componer probablemente contraseñas falsas sobre el terreno para demandar el premio, de tal modo social-ingeniería los topógrafos.
Otros tipos
Incluso si carecen habilidades que se agrietan, los tricksters comunes de la confianza o los impostores podrían también ser considerados los ingenieros sociales en el sentido más amplio en que engañan y manipulan deliberadamente a gente, explotando debilidades humanas para obtener la ventaja personal. Pueden, por ejemplo, utilizar técnicas de la ingeniería social como parte de ÉL fraude.
Ingenieros sociales notables
Kevin Mitnick
El reformado Kevin Mitnick del criminal y del consultor de seguridad de computadora popularizó la ingeniería social del término, precisando que es mucho más fácil trampear a alguien en el donante le de su contraseña para un sistema que pasar el esfuerzo para cortar adentro.
El Gramm-Lixivia-Bliley el acto (GLBA)
Firmado en la ley de los E. en 1999 específicamente pretextar de las direcciones de los expedientes de las actividades bancarias como estatutos federales inferiores castigables de un acto ilegal. Bajo ley común, el pretextar es una violación del agravio de la intimidad de la apropiación; ver la nueva exposición 2.o del § 652C de los agravios.Cuando una entidad de negocio tal como un investigador del investigador privado, del seguro del SIU o un ajustador conduce cualquier tipo de engaño, cae bajo autoridad de la Comisión comercial federal (FTC). Esta agencia federal tiene la obligación y la autoridad de asegurarse de que los consumidores no están conforme a ninguna prácticas empresariales injusta o engañosa.
Acto de la Comisión comercial federal de los E., sección 5 de los estados de FTCA, en parte: " Siempre que la Comisión tenga razón para creer que cualquier persona, sociedad, o corporación ha estado o está utilizando cualquier método injusto de competición o acto o práctica injusto o engañoso adentro o está afectando a comercio, y si aparece a la Comisión que un procedimiento por él en respecto de eso estaría al interés del público, publicará y servirá sobre tal persona, sociedad, o corporación una queja indicando sus cargas en ese respecto…."
El estatuto indica que si usted está asegurando cualquier personal, información privada de una institución financiera o el consumidor, la acción es cubierto por el estatuto. Se relaciona con la relación del consumidor con la institución financiera. Por ejemplo, el pretexter está utilizando fingimientos falsos para conseguir del banco del consumidor la dirección del consumidor, que sería cubierta. O, si el pretexter va al consumidor y está consiguiendo el nombre de su banco con fingimientos falsos, eso sería cubierta. El principio de determinación es que está pretextando solamente si la información se obtiene con fingimientos falsos.
Mientras que la venta de los expedientes del teléfono celular ha ganado la atención significativa de los medios, y los expedientes de las telecomunicaciones son el foco de las dos cuentas actual ante el senado de Estados Unidos, muchos otros tipos de expedientes privados se están comprando y se están vendiendo en el mercado público. Junto a muchos anuncios para los expedientes del teléfono celular, se hacen publicidad los expedientes del cable metálico y los expedientes asociados a las tarjetas de visita. Pues los individuos cambian de puesto a los teléfonos de VoIP, es seguro asumir que esos expedientes serán ofrecidos para la venta también.
Es actual legal vender expedientes del teléfono, pero ilegal obtenerlos. Fred Upton ( Kalamazoo del r, Michigan ), presidente del subcomité de la energía y del comercio en telecomunicaciones y del Internet, preocupación expresada por el de fácil acceso a los expedientes personales del teléfono celular en el Internet durante la audiencia de comité de E&C de miércoles en los “expedientes del teléfono para la venta: Porqué no ser el teléfono registra la caja fuerte de pretextar?”
El Illinois se convirtió en el primer estado para demandar los expedientes en línea broker cuando Procurador General de la República Lisa Madigan demandó 1ra Source Information Specialists, Inc., el el el 20 de enero, una portavoz para la oficina de Madigan dijo. El la Florida - la compañía basada gestiona varios Web site que vendan expedientes del teléfono celular, según una copia del juego.
Los procuradores generales la Florida y del juego del plomo, del archivaje de Missouri Madigan rápidamente seguido el el 24 de enero y el 30 de enero, respectivamente, contra los 1ros especialistas de la información de la fuente y, en el caso de Missouri, un otro registran el corredor - First Data Solutions, Inc.
Varios abastecedores sin hilos, incluyendo T-Mobile, Verizon y Cingular, archivaron pleitos anteriores contra los corredores de los expedientes, con Cingular ganando una prescripción contra las primeras soluciones de los datos y los 1ros especialistas de la información de la fuente el el 13 de enero .
El Charles Schumer ( Nueva York del senador de los E. de la d) introdujo la legislación en febrero de 2006 dirigidos a contener la práctica. El acto de la protección de los expedientes del teléfono del consumidor de 2006 crearía las penas criminales del crimen para robar y vender los expedientes del teléfono móvil, de la línea horizonte, y de la voz sobre suscriptores del Internet Protocol (VoIP).
El presidente anterior de Hewlett Packard, Patricia Dunn, divulgado que el HP sube contrató a compañía privada de la investigación para cavar en quién era responsable de escapes dentro del tablero. Dunn reconoció que esta compañía utilizó la práctica de pretextar para solicitar los expedientes del teléfono de los miembros del Consejo y de los periodistas. El presidente Dunn se disculpó por este acto y ofreció más adelante reducir del tablero si a los miembros del Consejo lo deseó. Desemejante de ley federal, la ley de California prohíbe específicamente tal pretextar, y este caso está siendo investigado por el Procurador General de la República de California.
Ingeniería social en cultura popular
en los piratas informáticos de la película, el protagonista utilizó una forma de ingeniería social, donde el carácter principal tuvo acceso a un sistema de control de la red de la TV telefonando al protector de seguridad para un número del módem, presentando como ejecutivo importante. Aunque la película no sea alto exacta, el método particular demuestra la energía de la ingeniería social.
en el azul de Jeffrey Deaver en ninguna parte, ingeniería social es uno de los métodos usados por el asesino, Phate, para conseguir cerca de sus víctimas.
Ver también
PhishingTruco de la confianza
Salto del contenedor
El certificó a especialista (CSEPS) de la prevención social de la ingeniería
Seguridad de información física
Vishing
.
| Random links: | Relativismo cultural | De Havilland Comet | Banco de Escocia | Gheorghe Ţiţeica | Cárcel de la central de Dacca |