Quan parlem de la seguretat de la informació, encara que cap sistema està a resguard d’un atac, les persones resulten més fàcils d’enganyar que les màquines. Com que els atacants busquen aconseguir vulnerar la seguretat d’una empresa de la manera més senzilla i amb menor cost, les persones solen ser el seu objectiu favorit. Aquest tipus d’atacs s’engloben dins de l’enginyeria social.
Com funciona?
L’enginyeria social se serveix de tècniques de manipulació psicològica per a obtenir informació confidencial de persones i empreses. Els ciberdelincuentes recopilen la informació que compartim en Internet, com són les nostres dades personals, l’empresa per a la qual treballem o els nostres costums, per a poder guanyar-se la nostra confiança i obtenir el que busquen.
Amb aquesta informació, podran accedir a la infraestructura d’una empresa i així comprometre la confidencialitat, integritat i disponibilitat de les dades d’aquesta. En la majoria dels casos, el seu objectiu és obtenir un benefici econòmic.
Aquests atacs són difícils de detectar perquè utilitzen la suplantació d’identitat de persones o organitzacions legítimes per a establir contacte amb l’usuari i guanyar-se la seva confiança.
Depenent del tipus d’interacció que es requereix per part del ciberatacante, es distingeixen dues branques:
– Hunting: Es tracta d’aconseguir la informació que es busca contactant una única vegada amb l’usuari. L’exposició per part del ciberdelincuent és menor.
– Farming: L’engany és mantingut al llarg del temps per a aconseguir tota la informació que sigui possible. La comunicació amb l’usuari és major i més freqüent. Imagina que portes un temps coneixent per xat a una persona i et demana fer-te soci del seu nou negoci. Fuig! És possible que aquesta persona estigui intentant robar-te informació.
Entre les tècniques d’enginyeria social de les quals es valen els ciberdelincuents es troba l’anomenat Phishing. Aquest tipus d’atac se serveix del correu electrònic i està dissenyat per a aconseguir dades personals i financeres de l’usuari o infectar els seus ordinadors amb algun programa maliciós. Altres vectors d’atac molt comuns són els missatges de text, trucades telefòniques o, fins i tot, les xarxes socials.
El més preocupant és que pots no adonar-te que has estat enganyat, no hi ha un advertiment clar i immediat. En la majoria d’atacs, el ciberdelincuent aconsegueix les dades contactant amb la persona una única vegada i desapareix.
S’ha convertit en una amenaça tan real que es calcula que en 2020 els atacs d’aquest tipus van augmentar un 34% respecte a l’any anterior. I adverteixen que els mètodes d’engany utilitzats són cada vegada més sofisticats.
Com podem prevenir aquests atacs?
Reconèixer un intent d’atac no sempre és senzill, però es poden prendre mesures per a prevenir-los:
– Executa un sistema de protecció. Pot semblar evident, però el primer pas és tenir un bon sistema de protecció. I, per descomptat, recorda mantenir-ho actualitzat.
– La conscienciació dels empleats en matèria de ciberseguretat és essencial. Si compten amb els coneixements necessaris sobre aquests atacs, estaran preparats per a prevenir-los i seran menys susceptibles a caure en ells.
– En cas de dubte, no es facis el pas. Si no s’està segur que la persona o entitat que sol·licita les nostres dades és legítima o no, no les facilitis. Consulta el remitent dels correus electrònics o missatges que reps i confirma amb la teva empresa o amb l’entitat la petició.
– Elabora un pla de recuperació. Inclou mesures preventives i de detecció d’amenaces. Així com un pla per a restaurar les dades que hagin estat robades.
En pròxims articles podràs conèixer els tipus d’atacs d’enginyeria social més comunes que reben les empreses i com evitar-los.
El nostre equip especialitzat en ciberseguretat, a través d’una auditoria tècnica, pot ajudar-te a detectar possibles vulnerabilitats en el teu entorn. Amb el nostre servei de monitoratge de xarxa i infraestructura aconseguiràs neutralitzar qualsevol amenaça, protegint les teves dades i el teu negoci. No dubtis a contactar-nos!