Fundamentos de la ingeniería social para IT

Dominios con errata que engañan al usuario

¡Prueba gratis durante 10 días

nuestros 1152 cursos !

Prueba gratis Mostrar modalidades de suscripción
Esta es una técnica de una simplicidad extrema, pero muy eficiente, para capturar datos. Se basa en la similitud, voluntaria o accidental, del dominio web al que se accede y del dominio al que realmente se pretendía acceder.

Transcripción

Cuando somos niños y aprendemos a leer, primero vemos las letras, las unimos en una sílaba y después las pronunciamos. Con el paso del tiempo y según nos vamos acostumbrando, automatizamos ese proceso hasta tal punto que no lo realizamos según está descrito, sino que identificamos palabras completas. Uno de los ejercicios más comunes para demostrar esta teoría es leer un texto en formato LEED, que simplemente sustituye algunas letras por números que se les parecen. A pesar de que no son letras, nuestro cerebro interpreta el conjunto y lo asocia al resultado más probable que conozcamos. Lo más común es cambiar las letras 'a' por el número cuatro, las 'e' por el tres y las ele o 'i' mayúscula por un uno. Por ejemplo, la frase ESTE CURSO ES MUY INTERESANTE puede escribirse también como 3ST3 CUR50 35 MUY 1NT3R35ANTE y se lee de forma muy intuitiva. Pues lo mismo ocurre con pequeñas erratas, faltas ortográficas y fallos similares. Sobre todo cuando estamos acostumbrados a leer nombres o marcas concretas, patrones que tenemos memorizados y que debemos despiezar conscientemente para poder analizarlos. No solo que cada una de sus partes es correcta, sino que además están en el orden apropiado. Pues este proceso mental de lectura es lo que aprovechan algunos ingenieros sociales para hacernos caer en sus redes. El uso más común de esta treta es la creación de dominios similares a los de una marca concreta, de forma que si se leen sin prestar atención, parecen legítimos. Estos dominios fraudulentos pero parecidos a los reales pueden usarse de varias formas, por ejemplo, construyendo una web de diseño muy similar al de la empresa cuya identidad se pretende suplantar, para que si alguien, por cualquier motivo, escribe mal el nombre del dominio se conecte a esta web fraudulenta. Si intenta registrarse en el servicio con su usuario y contraseña, realmente está proporcionándole esos datos a una web falsa que, tras conseguirlos, puede redirigirle a la auténtica para no levantar sospechas. El otro uso principal de los dominios con errata es mejorar el camuflaje de correos electrónicos fraudulentos en campañas de phising, para que el receptor de los correos, al ver el remitente de pasada y en conjunción con el diseño apropiado del contenido del mensaje, caiga en la trampa de pensar que es lícito. Una alternativa a estos dominios falsos, pero parecidos, que también se usa para tratar de dar veracidad a campañas de phising, es el uso de subdominios. Un dominio sería por ejemplo cursoIS.com, mientras que un subdominio sería empresa.cursoIS.com Algunas campañas de phising emplean este recurso tras adquirir dominios que hagan referencia a soporte técnico, atención al cliente o conceptos similares y luego, como nombre de subdominio, utilizan el de la empresa cuya identidad pretenden suplantar. Así, cuando el receptor del mensaje lo lee, parece tener sentido. Lo que siempre debemos tener en cuenta es que quien quiera que sea el dueño de un dominio, legítimo o con malas intenciones, puede crear los subdominios que quiera, aunque sean marcas registradas. Por eso, lo importante a la hora de verificar la autenticidad de un remitente es el dominio y no lo que le precede, es decir, las dos últimas cadenas de texto que hay a izquierda y derecha del punto que esté más a la derecha de la dirección web o de correo electrónico. Otro entorno en el que podemos encontrarnos nombres que pretenden parecerse a los de una marca o empresa concreta es el de las redes sociales. Aunque los dominios están mínimamente regulados, no ocurre lo mismo con los nombres de usuario en redes sociales como Facebook, Twitter, Instagram y similares. En estos entornos, puedo crear la cuenta cursoIS y otra persona puede crear IScurso para tratar de captar parte de mis potenciales seguidores, lo cual puede ser inocuo o quizás malo para el negocio, por pérdida de contacto con potenciales clientes. Pero en el peor de los casos, el titular de la cuenta fraudulenta puede estar dando información deliberadamente falsa a nuestros clientes, lo cual podrá ser tremendamente perjudicial. Algunas redes sociales disponen de un programa de verificación de identidades para marcas y personas, de forma que presentan al resto de los usuarios un indicador de que esa cuenta es la gestionada por la empresa real detrás de la marca. Fijándonos en ese detalle, podemos evitar ser engañados por cuentas falsas. Si lo que queremos es verificar nuestra titularidad de una cuenta para dar más confianza a nuestros clientes, deberemos seguir las normas que para ello establezca cada red social.

Fundamentos de la ingeniería social para IT

Conoce los fundamentos básicos de la ingeniería social para así poder reducir las posibilidades de éxito de quien trate de sustraerte información mediente este método.

4:11 horas (48 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Fecha de publicación:12/09/2016

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.