Pruebas de Ingeniería Social

La Ingeniería Social se basa en la interacción humana y está impulsada por personas que usan el engaño con el fin de violar los procedimientos de seguridad que normalmente deberían haber seguido.

Beneficios

  • Evaluar el nivel de concienciación sobre seguridad de los empleados
  • Evaluar el nivel de riesgo frente a este tipo de ataques

Tipos de Pruebas de Ingeniería Social

La forma más habitual de realizar un ataque de ingeniería social es la recepción de correos electrónicos, en las que el usuario abre el correo y en ocasiones interactúa con el mismo, pinchando en los iconos, enlaces incluidos en el correo o descargándose algún fichero. Cualquier correo abierto queda registrado en el sistema, así como la acción de pinchar  sobre la imagen “gancho” o descarga incluida en él.  La información que puede ser registrada es:

  • Campaña
  • Fecha y hora
  • Email atacado/IP usuario

Esta prueba consiste en la clonación de la una web a la que el empleado accede habitualmente y donde se suelen pedir credenciales. Cuando el empleado se registra, se guardan las credenciales como evidencia de cuantos usuarios son vulnerables. La información que puede ser registrada es:

  • Campaña
  • Fecha y hora
  • Credenciales

 

 

 

 

 

 

Es posible realizar un ataque de ingeniería social mediante el abandono  intencionado   de un dispositivo de almacenamiento USB con un fichero diseñado para la recolección de los datos del usuario en lugares fáciles de encontrar para la víctima. Este  método utiliza dos de  las mayores debilidades de ser humano: la curiosidad y la codicia. Por dicho motivo, suelen usarse etiquetas llamativas con palabras como “Confidencial” o  “Información secreta”. Una vez que el usuario abre el fichero contenido en el dispositivo se recogerán diversos datos del usuario para la elaboración del entregable. La información que puede ser registrada es:

  • Campaña
  • Fecha y hora
  • Datos usuario

 

En este tipo de pruebas de ingeniería social, se distribuye por la compañía códigos QR impresos en un folio con algún mensaje utilizado de gancho y comprobar una vez finalizada la prueba la cantidad de usuarios que han escaneado dicho código.

 

 

 

 

 

 

 

 

 

 

Otro tipo de prueba para ataques de ingeniería social consiste en suplantación (o creación de uno nuevo) del punto de acceso WIFI de la compañía. La idea de esta técnica de ataque es conseguir que la víctima se conecte al punto de acceso Wifi y así obtener diversa información del usuario.

Es posible instalar puntos de acceso wifi en las instalaciones durante el horario de oficina para comprobar qué usuarios se conectan a la misma.

 

 

Aunque  el  método  más  utilizado  para  redirigir  al  usuario  a  páginas  webs  fraudulentas  o mandar   archivos   infectados   con   virus   siga   siendo   el   correo   electrónico,   la   mensajería instantánea está   cobrando   cada   vez   más   relevancia   debido   a   la popularización de este tipo de comunicaciones. Los cibercriminales han decidido adaptar los métodos utilizados en los emails mandando direcciones URL acortadas a través de aplicaciones de mensajería instantánea como WhatsApp o Skype entre otros. La información que puede ser registrada es:

  • Campaña
  • Fecha y hora
  • Número del  usuario

 

 

Otra táctica a la cual pueden ser vulnerables es la llamada telefónica que se dependiendo del tipo de puesto que ocupe en la compañía se utilizaría un guion distinto. Los puestos a atacar podrían ser:

  • Secretarios/as
  • Servicio de información al cliente
  • Departamento de recursos humanos

 

 

 

 

 

 

 

 

 

Esta prueba consiste en intentar acceder a una zona restringida mediante distintas técnicas como por ejemplo, aprovecharse de la cortesía de la mayoría de las personas pidiendo que se le sujete la puerta. En caso de que se le pregunte la autorización, el criminal puede argumentar ser un visitante o empleado que ha olvidado o perdido su identificador.

El objetivo es el acceso físico al edificio. El resultado puede ser conocer el edificio (donde está cada sala o cada empleado) y observar detalles como post-it con contraseñas que los empleados suelen tener en los monitores. Toda la información que se puede recopilar con esta técnica ayuda a fortalecer la seguridad física de las instalaciones.

 

 

¿Por qué contratar este servicio?

El usuario, es eslabón más débil de la cadena de seguridad de una empresa. 

Los ataques de Ingeniería Social comunes incluyen correos electrónicos de phishing, o vishing (llamadas telefónicas de personas que se hacen pasar por una organización respetada por poner unos ejemplos).

Los ejercicios se realizarán de manera aleatoria y se lanzarán a los distintos usuarios identificando distintos perfiles objetivo y los resultados de los diferentes vectores de ataque se detallarán en informes para cada vector utilizando. Se proponen distintas técnicas de ingeniería social para comprobar el nivel de concienciación de los empleados de la compañía.

Solicita presupuesto

Acepto la Claúsula de Privacidad.

captcha

 

Si lo prefieres

llámanos

91 745 11 57

o envíanos un email

info@audea.com