Reverse SE: ¿Tecnología o base humana?

Navega tus respuestas
1

En Ingeniería social inversa , el pirata informático sabotea deliberadamente una red, lo que provoca que surja un problema. El pirata informático luego anuncia que él es el contacto adecuado para solucionar el problema, y cuando trata de solucionar el problema de la red, el pirata informático solicita cierta información de los empleados o personal y adquiere la información que buscaba para.

Yo categorizaría RSE bajo tecnología , porque parece que no puedo encontrar un ejemplo que no esté basado en tecnología.

¿Se puede crear un escenario RSE que no implique tecnología?

  • ¿Qué podría ser saboteado?
  • ¿Cómo justificará su solicitud de información de seguridad?
pregunta David 15.06.2014 - 14:48
fuente

2 respuestas

1

La ingeniería social y la ingeniería social inversa se utilizan principalmente en seguridad informática, sin embargo, también pueden aplicarse fuera de este campo.

Tanto la ingeniería social como la inversa explotan la no técnica debilidad humana en seguridad, por lo que la explotación real ocurre fuera de la computadora.

Un ejemplo de ingeniería social está generando desconfianza, que de hecho puede usarse también en ingeniería social inversa. Después de crear desconfianza entre dos partes objetivo (posiblemente falsificando o alterando la información), puede presentarse como un "mediador" para solucionar el conflicto. El mediador puede entonces obtener información de seguridad de ambas partes.

Otro ejemplo está causando un problema de mantenimiento en un edificio (apagón) y luego llega disfrazado de reparador para reparar el problema y, al hacerlo, acceder a El edificio y tal vez los sistemas sensibles dentro.

Las razones principales que hacen que los ataques de ingeniería social sean exitosos son:

  • Conciencia de seguridad deficiente : extremadamente grande El porcentaje de usuarios no entiende la importancia de una contraseña para la autenticación y Acceso a un sistema informático. No se dan cuenta de que se puede acceder a su cuenta desde En cualquier parte del mundo, dado el punto de acceso adecuado. Los usuarios tampoco entienden la longitud que las personas van a obtener para obtener la información. que los usuarios tienen acceso a diario. Tampoco se dan cuenta de que tirar. algo en la basura no significa que la información sea destruida. Que es la basura para un usuario puede ser extremadamente valioso para un hacker.
  • Debilidades humanas : la gente da información por muchas razones. En la mayoría de los casos, solo quieren ser Útil, porque ese es su trabajo y / o naturaleza. Las personas también pueden ser intimidadas para liberarlas. información, ya sea haciendo creer que un superior desea la información o simplemente tratando de hacer que una persona molesta se vaya.
  • Planes y procedimientos no probados : los procedimientos organizativos que requieren un mecanismo de autenticación deben cumplir con Procedimientos adicionales que protegen el mecanismo. Aquí es donde un gran número de Los planes de seguridad fallan. Muchas organizaciones prueban una parte específica de un plan o procedimiento de seguridad, pero estos planes y procedimientos deben probarse como un todo.

Sobre la base de lo anterior, la mayoría de los escenarios de ingeniería social inversa y social se basan en la tecnología porque el público en general no es consciente de la importancia para la seguridad de cierta información. Pero la ingeniería social se utilizó mucho antes de que nacieran las computadoras (las palabras "con" y "estafa" se refieren a una forma de tecnología social no tecnológica más general). Sin embargo, con la evolución de la tecnología ha habido formas nuevas e intuitivas de llevar a cabo este procedimiento.

    
respondido por el Abbas Javan Jafari 15.06.2014 - 14:59
fuente
0

El fontanero ... él no es un fontanero.

Este es un clásico punto de trama en las películas. Por ejemplo, el atacante (que puede ser el "chico bueno" en la configuración de una película) crea un fuego más o menos falso, y cuando aparece el humo, aparece vestido como un bombero. Los guardias de seguridad, todos en pánico por el fuego, lo dejaron pasar.

Si quieres algo más relacionado con la computadora, entonces considera el muy común "hola, esto es Microsoft", un ataque basado en el teléfono. Contexto: estás en tu casa, bañándote cómodamente en la ociosidad, y luego suena el teléfono. Un tipo en el otro extremo (generalmente con un fuerte acento) afirma que es "de Microsoft" y que hay un problema de seguridad con su computadora. Si acepta tragar esto, entonces él lo guiará a través de algunas acciones en su computadora que culminan en su instalación en su propia máquina, lo que es, en realidad, una pieza de malware que otorga el control remoto de su computadora por parte del malo. En ese momento, se promulgan varios daños, entre ellos el uso de contraseñas y demás.

(Recibí más de 20 veces esa llamada telefónica falsa. Se envejece rápidamente.)

Esto ilustra cómo operan tales ataques: el primer paso es empujar a la víctima fuera de su zona de confort, porque las personas en pánico tienden a ignorar los procedimientos de seguridad. El fuego es muy bueno para eso: todos creen firmemente que un incendio en curso es un tipo de problema que triunfa sobre cualquier tipo de seguridad. Como lo muestra el ejemplo de "llamada telefónica", los "problemas de seguridad" vagos también pueden servir para desencadenar una vulnerabilidad inducida por la preocupación y, lo que es crucial, el peligro inicial no tiene por qué ser real . En el ejemplo del fuego, no necesitas llamas reales, solo humo.

No veo el punto de inventar un acrónimo de tres letras para algo que es una estafa muy clásica. Es más una biología que una tecnología: la vulnerabilidad no está en la computadora, sino en el operador humano.

    
respondido por el Tom Leek 15.06.2014 - 15:06
fuente

Lea otras preguntas en las etiquetas

Paypal Vault - ¿Es realmente seguro? ¿Puedo guardar y almacenar los datos de un usuario de manera que demuestre que la información no se ha alterado y que la marca de tiempo es precisa?