Por ejemplo, si alguien llamara a un proveedor de telefonía celular como T-Mobile, simulando ser otra persona para obtener información, ¿cómo puede verificar T-Mobile si es la persona real? Supongo que si alguien está planeando un ataque y está utilizando ingeniería social, entonces no conoce el nombre de usuario / contraseña de la víctima. Entonces, cuando el representante de servicio al cliente solicita una contraseña o pin, el atacante no lo sabe.
Hay "libros de guiones" para esto, ya sea utilizados en la capacitación del operador o incluso guardados en el escritorio del operador cuando responden. Detalla lo que puede decir, lo que debe proporcionar y lo que el operador puede hacer en cualquier circunstancia imaginable.
En este caso, el operador de T-Mobile solicitaría algún tipo de prueba entre las que figuran en su libro de guiones. El atacante puede suministrarlo o no puede. He visto un libro de guiones de este tipo para uno de los proveedores de mi país, y si usted solicita, por ejemplo, un restablecimiento de PIN o una nueva SIM, se lo enviará a un punto de venta donde le pedirán su identificación o lo solicitará Para enviarlos por fax o correo electrónico.
Como precaución de rutina, a intervalos semi-regulares ( No soy consciente de que los proveedores de telecomunicaciones hagan esto, pero lo vi en contextos más delicados de atención al cliente) que un cliente falso llamaría con una historia de dos pañuelos y sollozos, haciendo todo lo posible para convencer al operador de que lo ayude. Si tuvo éxito, al día siguiente la gerencia habría llamado al operador para una discusión incómoda sobre las reglas de seguridad.
Esto tenía dos propósitos: asegurarse de que los operadores estuvieran a prueba contra al menos algunos ataques; y para endurecerlos contra dichos ataques, porque incluso si no sospecharan que fue un ataque de ingeniería social, todavía sospecharían que fue la administración quien los probó.
Historia personal: Tenía la costumbre, en aquellos días, de enviar correos electrónicos a los empleados con archivos adjuntos ejecutables que sonaban como un megáfono WAV, que mostraba "¡SUCKER!" en la pantalla, y me envió la confirmación de un "golpe". Un día, escuché a un colega que le preguntaba: "Acabo de recibir un archivo adjunto llamado QJWFWKEK.EXE, ¿qué hago?" - y mientras pensaba "¡Oh, no, obtuvo uno real! ¡Y qué imbécil para preguntar qué hacer!", escuché a su compañero llorar, "¡Por el amor de Pete, no hagas clic en él! Bórralo de inmediato! Seguramente es uno de ¡Esas malditas trampas que Serni sigue enviándonos! "
Bueno, se trata de las preguntas de desafío que LSemi ha mencionado para los libros de guiones, libros de ejecución, etc. También podría tener tokens de desafío a través de la autenticación de múltiples factores que los operadores pueden enviar. Si está buscando capacitación formal contra ataques de ingeniería social de seguridad y posiblemente algunos casos de uso de fraude, SANS tiene un programa de capacitación sobre conciencia de seguridad . Y al ser SANS, no es gratis.
Hay formas de identificar si alguien es quien dice ser sin usar pines y contraseñas. Compañías como esa tienen credenciales de algunos usuarios como número de identificación nacional, número de impuestos, número de seguridad social. Números únicos que las personas suelen mantener "a salvo". Luego, los empleados de la compañía deben atenerse al libro de jugadas y seguir todos los pasos de identificación que la compañía aplica. La mayoría de los ataques de ingeniería social a través de tener éxito por eso Las personas están tratando de ser útiles y causan el menor problema posible para los clientes y algunas veces eso lleva a un ataque exitoso.
Lea otras preguntas en las etiquetas social-engineering