Social-Engineer, LLC (SECOM) trabaja activamente con instituciones financieras para probar y desear orientación sobre la resiliencia de sus empleados contra ataques de phishing o vishing telefónicos. Estos son compromisos extremadamente exitosos en todos los sentidos. Discutiremos dos instituciones principales. Uno ha optado por utilizar el software vishing nivelado de SECOM. La estructura de este software pone a prueba a los empleados en varios niveles de sofisticación en función de su desempeño. Cuando una persona se defiende de una prueba en un nivel, la ascendemos al sucesivo nivel, más difícil, en las próximas semanas. La otra institución solicitó que las llamadas fueran a un centro de llamadas y usaran las habilidades de los analistas de SECOM para convencer al empleado de que la señal era legítima.
Pretextos y Banderas
Cuando SECOM trabaja con un cliente, aprendemos cuáles son las mayores amenazas del cliente y discutimos cómo podemos replicarlas de guisa responsable. Asimismo queremos retener cuáles son los datos confidenciales que nuestros clientes buscan proteger. A veces, estos datos vienen en piezas individuales, aparentemente inofensivas, pero cuando se juntan pueden crear una imagen mucho más débil. Otras veces, los datos pueden ser una solicitud holgado y directa, como una contraseña. Nos referimos a los datos como banderas.
Usamos las amenazas descritas para construir una historia, asimismo conocida como pretexto, que usaremos al gustar a los empleados. SECOM se asegura de que estos pretextos funcionen a la perfección con los datos confidenciales, por lo que las solicitudes no parecerán estar fuera de ocupación.
Objetivos
Las dos instituciones tienen objetivos similares que incluyen educar mejor a los empleados contra este tipo de actores maliciosos y ayudar seguros sus datos confidenciales. Los métodos por los que llegamos allí asimismo son similares. Las instituciones nos dan una serie de nombres y números de teléfono o, en el caso del centro de llamadas, solo un número de teléfono.
Institución llamante 1
La primera institución le dio a la SECOM nombres, números de teléfono y cargos. Asimismo es el que utiliza vishing nivelado. Todos los empleados comienzan en el Nivel 1, el nivel más simple. SECOM utiliza una serie de pretextos acordados y los analistas trabajan para asegurar que los utilicemos por igual. El cliente elige los pretextos y los datos para mostrarle sus vulnerabilidades y peligro. Durante la campaña, SECOM vehemencia a miles de empleados, asegurando un conjunto de datos adecuado.
Banderas que intentamos obtener
Algunas de las banderas que SECOM intenta obtener pueden incluir un nombre de adjudicatario y una contraseña. Si perfectamente la mayoría de las personas comprende el peligro de decirle a la persona que vehemencia estos avisos, SECOM todavía tiene éxito en obtener estos datos en gran medida confidenciales de los empleados. Aquí es donde entra en maniobra el pretexto y la diplomacia del analista. Un ejemplo podría ser que el analista llame como empleado interno de TI, buscando realizar algunas comprobaciones simples antiguamente de una próxima modernización de la periodo de trabajo. El analista puede solicitar la confirmación del nombre de adjudicatario y luego solicitar al empleado que “confirme” dos preguntas de seguridad. El analista no tiene comunicación a las preguntas, por lo que la confianza y las habilidades de afirmación positiva entrarán en maniobra para obtener esta información. Por postrero, el analista puede ofrecer completar la modernización para el empleado fuera del horario profesional para no causar interrupciones.
En este punto de la conversación, el analista de SECOM ha creado una buena relación y confianza con el empleado. Como resultado, el empleado no se muestra escéptico en presencia de la solicitud. El empleado cree genuinamente que está hablando con uno de los miembros del personal de TI de su propia empresa y seguramente quiere que la modernización se realice sin problemas y no tenga ningún impacto en su trayecto profesional. Una vez que se proporcione la contraseña, el analista de SECOM dará un refuerzo positivo adicional, agradecerá al empleado por su ayuda y amablemente finalizará la señal.
Institución llamante 2
Esta institución le dio a la SECOM un número de teléfono único en un centro de llamadas. El número es similar a lo que un cliente de polímero de crédito o sotabanco puede ver en el reverso de su polímero. Cada vez, el empleado quería validar al analista SECOM como cliente de la institución, y dependía de la diplomacia del analista para acontecer al pretexto. El pretexto se referiría nuevamente a una próxima modernización de TI y la falta de realizar algunas comprobaciones de firmeza del equipo, incluida la periodo de trabajo y el sistema telefónico. Esta institución permitió a SECOM armarse con un pertrechos adicional, un sitio web de marca con una pantalla de inicio de sesión de aspecto sencillo. La superioridad de usar un sitio web es que, si perfectamente la institución financiera puede no ser propietaria de la URL, el empleado a menudo se sentirá más cómodo ingresando información en el sitio que hablando por teléfono.
Cambiar de dirección y ofrecer tranquilidad
La dirección que se da siempre incluye “Nunca le des tu contraseña a nadie por teléfono”, lo que hace que el pretexto de pedir una contraseña sea más difícil a veces. Cuando se enfrenta a esta problema de un empleado, el analista de SECOM puede cambiar de dirección y asegurarle al empleado que se proxenetismo de una solicitud segura de un amigo de confianza y que una alternativa es ir a un sitio web que le resulte sencillo. SECOM le dirá al empleado que luego de iniciar sesión, el sitio web puede hacer todas las comprobaciones necesarias sin compartir información por teléfono.
Algunos empleados verán esto como una alternativa segura, ya que todavía siguen la dirección de nunca dar información confidencial por teléfono. Sin retención, transmitido que el sitio web es propiedad y está controlado por SECOM, todos los datos asimismo podrían ser capturados por SECOM. Si los datos se capturan o no, siempre se incluye en el envergadura del trabajo entre la institución y la SECOM.
Defenderse contra SECOM
La mejor guisa de defenderse de los ataques descritos aquí es a través de la demostración. Ambas instituciones tienen sus propios métodos internos de demostración y ofrecen capacitación y actualizaciones frecuentes para que todos los empleados les recuerden estos métodos. Una de las instituciones cuenta con un sistema PIN al que tienen comunicación todos los empleados. Un empleado genera un PIN y el otro puede verificarlo. Si fallan dos intentos de esta demostración, se indica a los empleados que finalicen la señal educadamente.
La segunda institución se basamento en la demostración del nombre de la persona que vehemencia y el número de identificación interno, al que tienen comunicación todos los empleados. Si no se puede realizar el número de identificación de la persona que vehemencia, se indica a los empleados que finalicen la señal. Pero, ¿qué pasaría si el malintencionado obtuviera un nombre de empleado y un número de identificación válidos? Ese es un peligro que este cliente ha predilecto aceptar como parte del envergadura del compromiso.
Trabajando contigo
Este artículo ha descrito las similitudes y diferencias entre dos de las instituciones financieras clientes de SECOM. SECOM puede hacer cosas similares para mejorar su defensa contra este tipo de ataques de ingeniería social y personalizará los pretextos, las banderas y el envergadura para satisfacer sus evacuación.
patricio laverty
En Social-Engineer LLC, nuestro propósito es desear educación y conciencia a todos los usuarios de la tecnología. Para obtener una serie detallada de nuestros servicios y cómo podemos ayudarlo a ganar sus objetivos de información/seguridad cibernética, visite:
https://www.Social-Engineer.com/Managed-Services/