Ingeniería social (seguridad)

En el contexto de la seguridad de la información , la ingeniería social es la manipulación psicológica de las personas para que realicen acciones o divulguen información confidencial . Esto se diferencia de la ingeniería social dentro de las ciencias sociales, que no se refiere a la divulgación de información confidencial. Un tipo de truco de confianza con el propósito de recopilar información, fraude o acceso al sistema, se diferencia de una "estafa" tradicional en que a menudo es uno de los muchos pasos en un esquema de fraude más complejo. ^[1]

También se ha definido como "cualquier acto que influya en una persona para que emprenda una acción que puede ser en su mejor interés o no". ^[2]

Un ejemplo de ingeniería social es el uso de la función "contraseña olvidada" en la mayoría de los sitios web que requieren inicio de sesión. Se puede utilizar un sistema de recuperación de contraseñas incorrectamente protegido para otorgar a un atacante malintencionado acceso completo a la cuenta de un usuario, mientras que el usuario original perderá el acceso a la cuenta.

Cultura de seguridad de la información [ editar ]

El comportamiento de los empleados puede tener un gran impacto en la seguridad de la información en las organizaciones. Los conceptos culturales pueden ayudar a diferentes segmentos de la organización a trabajar de manera efectiva o contrarrestar la efectividad hacia la seguridad de la información dentro de una organización. "Explorando la relación entre la cultura organizacional y la cultura de seguridad de la información" proporciona la siguiente definición de cultura de seguridad de la información: "ISC es la totalidad de patrones de comportamiento en una organización que contribuyen a la protección de información de todo tipo". ^[3]

Andersson y Reimers (2014) encontraron que los empleados a menudo no se ven a sí mismos como parte del "esfuerzo" de seguridad de la información de la organización y, a menudo, toman acciones que ignoran los mejores intereses de seguridad de la información de la organización. ^{[4] La} investigación muestra que la cultura de la seguridad de la información debe mejorarse continuamente. En "Cultura de seguridad de la información desde el análisis hasta el cambio", los autores comentaron que "es un proceso sin fin, un ciclo de evaluación y cambio o mantenimiento". Sugieren que para gestionar la cultura de seguridad de la información se deben dar cinco pasos: Pre-evaluación, planificación estratégica, planificación operativa, implementación y post-evaluación. ^[5]

Evaluación previa: para identificar la conciencia de la seguridad de la información entre los empleados y analizar la política de seguridad actual.
Planificación estratégica: para elaborar un mejor programa de sensibilización, debemos establecer objetivos claros. Agrupar personas es útil para lograrlo.
Planificación operativa: establezca una buena cultura de seguridad basada en la comunicación interna, la participación de la gerencia y el programa de capacitación y concienciación sobre seguridad. ^[5]
Implementación: se deben utilizar cuatro etapas para implementar la cultura de seguridad de la información. Son compromiso de la gestión, comunicación con los miembros de la organización, cursos para todos los miembros de la organización y compromiso de los empleados. ^[5]

Técnicas y términos [ editar ]

Todas las técnicas de ingeniería social se basan en atributos específicos de la toma de decisiones humana conocidos como sesgos cognitivos . ^[6]^[7] Estos sesgos, a veces denominados "errores en el hardware humano", se explotan en varias combinaciones para crear técnicas de ataque, algunas de las cuales se enumeran a continuación. Los ataques utilizados en ingeniería social se pueden utilizar para robar información confidencial de los empleados. información. El tipo más común de ingeniería social ocurre por teléfono. Otros ejemplos de ataques de ingeniería social son los delincuentes que se hacen pasar por exterminadores, bomberos y técnicos para pasar desapercibidos mientras roban secretos de la empresa.

Un ejemplo de ingeniería social es una persona que entra a un edificio y publica un anuncio de aspecto oficial en el boletín de la empresa que dice que el número de la mesa de ayuda ha cambiado. Por lo tanto, cuando los empleados piden ayuda, el individuo les pide sus contraseñas e identificaciones, lo que les permite acceder a la información privada de la empresa. Otro ejemplo de ingeniería social sería que el pirata informático contacta al objetivo en un sitio de redes sociales e inicia una conversación con el objetivo. Poco a poco, el pirata informático gana la confianza del objetivo y luego usa esa confianza para obtener acceso a información confidencial como la contraseña o los detalles de la cuenta bancaria. ^[8]

La ingeniería social se basa en gran medida en los seis principios de influencia establecidos por Robert Cialdini . La teoría de la influencia de Cialdini se basa en seis principios clave: reciprocidad, compromiso y coherencia, prueba social, autoridad, agrado, escasez.

Siete principios clave [ editar ]

Autoridad [ editar ]

Las personas tenderán a obedecer a las figuras de autoridad, incluso si se les pide que realicen actos objetables. Cialdini cita incidentes como los experimentos de Milgram a principios de la década de 1960 y la masacre de My Lai .

Intimidación [ editar ]

El atacante (potencialmente disfrazado) informa o insinúa que habrá consecuencias negativas si no se realizan determinadas acciones. Las consecuencias podrían incluir frases sutiles de intimidación como "Le diré a su gerente" o cosas mucho peores.

Consenso / Prueba social [ editar ]

La gente hará cosas que ve que están haciendo otras personas. Por ejemplo, en un experimento, uno o más confederados mirarían hacia el cielo; los transeúntes luego mirarían hacia el cielo para ver lo que se estaban perdiendo. En un momento, este experimento fue abortado, ya que tantas personas miraban hacia arriba que detuvieron el tráfico. Ver conformidad y los experimentos de conformidad de Asch .

Escasez [ editar ]

La escasez percibida generará demanda . Por ejemplo, decir que las ofertas están disponibles por "tiempo limitado" fomenta las ventas.

Urgencia [ editar ]

Vinculado a la escasez, los atacantes utilizan la urgencia como un principio psicológico basado en el tiempo de la ingeniería social.

Familiaridad / agrado [ editar ]

Las personas son fácilmente persuadidas por otras personas que les agradan. Cialdini cita el marketing de Tupperware en lo que ahora podría llamarse marketing viral . Era más probable que las personas compraran si les gustaba la persona que se los vendía. Se discuten algunos de los muchos sesgos que favorecen a las personas más atractivas. Ver estereotipo de atractivo físico .

Confiar [ editar ]

Los atacantes adoptan la máscara de una fuente de confianza, como un ataque en persona en el que el ingeniero social finge "ser de TI", o un ataque basado en correo electrónico, como fingir ser una fuente de confianza, por ejemplo, Microsoft, que envía el correo electrónico. etc.

Cuatro vectores de ingeniería social [ editar ]

Vishing [ editar ]

Vishing, también conocido como " phishing de voz ", es la práctica criminal de usar ingeniería social en un sistema telefónico para obtener acceso a información privada personal y financiera del público con el propósito de obtener una recompensa financiera. Los atacantes también lo emplean con fines de reconocimiento para recopilar inteligencia más detallada sobre una organización objetivo.

Phishing [ editar ]

El phishing es una técnica de obtención fraudulenta de información privada. Por lo general, el phisher envía un correo electrónico que parece provenir de una empresa legítima, un banco o una compañía de tarjetas de crédito, solicitando "verificación" de la información y advirtiendo de alguna consecuencia nefasta si no se proporciona. El correo electrónico generalmente contiene un enlace a una página web fraudulenta que parece legítima (con logotipos y contenido de la empresa) y tiene un formulario que solicita todo, desde la dirección de una casa hasta el PIN de una tarjeta de cajero automático o un número de tarjeta de crédito . Por ejemplo, en 2003, hubo una estafa de phishing en la que los usuarios recibieron correos electrónicos supuestamente de eBay.alegando que la cuenta del usuario estaba a punto de suspenderse a menos que se hiciera clic en un enlace proporcionado para actualizar una tarjeta de crédito (información que el eBay genuino ya tenía). ^[9] Al imitar el código HTML y los logotipos de una organización legítima, es relativamente sencillo hacer que un sitio web falso parezca auténtico. La estafa engañó a algunas personas para que pensaran que eBay les exigía que actualizaran la información de su cuenta haciendo clic en el enlace proporcionado. Al enviar spam indiscriminadamente a grupos extremadamente grandes de personas, el "phisher" contaba con obtener información financiera confidencial del pequeño porcentaje (pero gran número) de destinatarios que ya tienen cuentas en eBay y que también son víctimas de la estafa.

Smishing [ editar ]

El acto de utilizar mensajes de texto SMS para atraer a las víctimas a un curso de acción específico. Al igual que el phishing , puede hacer clic en un enlace malicioso o divulgar información. Algunos ejemplos son los mensajes de texto que afirman ser de un transportista común (como FedEx) que indican que un paquete está en tránsito, con un enlace proporcionado.

Suplantación de identidad [ editar ]

Fingir o pretextar ser otra persona con el objetivo de acceder físicamente a un sistema o edificio. La suplantación de identidad se utiliza en el fraude " estafa de intercambio de SIM ".

Otros conceptos [ editar ]

Pretextando [ editar ]

Pretextar (adj. Pretexto ) es el acto de crear y usar un escenario inventado (el pretexto ) para involucrar a una víctima objetivo de una manera que aumente la posibilidad de que la víctima divulgue información o realice acciones que serían poco probables en circunstancias normales. ^[10] Una mentira elaborada , la mayoría de las veces implica una investigación o configuración previa y el uso de esta información para la suplantación de identidad ( por ejemplo , fecha de nacimiento, número de seguro social , último monto de la factura) para establecer legitimidad en la mente del objetivo. ^[11]Como antecedente, los pretextos pueden interpretarse como la primera evolución de la ingeniería social, y continuó desarrollándose a medida que la ingeniería social incorporó las tecnologías actuales. Los ejemplos actuales y pasados de pretextos demuestran este desarrollo.

Esta técnica se puede utilizar para engañar a una empresa para que revele información del cliente, así como para que los investigadores privados obtengan registros telefónicos, registros de servicios públicos, registros bancarios y otra información directamente de los representantes de servicios de la compañía. ^[12] La información se puede utilizar para establecer una legitimidad aún mayor ante un interrogatorio más duro con un gerente, por ejemplo , para realizar cambios en la cuenta, obtener saldos específicos, etc.

Los pretextos también se pueden utilizar para hacerse pasar por compañeros de trabajo, policía, banco, autoridades fiscales, clérigos, investigadores de seguros, o cualquier otra persona que pudiera haber percibido autoridad o derecho a saber en la mente de la víctima objetivo. El pretextor debe simplemente preparar respuestas a las preguntas que pueda hacer la víctima. En algunos casos, todo lo que se necesita es una voz que suene autoritaria, un tono serio y la capacidad de pensar en los pies para crear un escenario pretexto.

Vishing [ editar ]

El phishing telefónico (o " vishing ") utiliza un sistema de respuesta de voz interactiva (IVR) fraudulento para recrear una copia que suena legítima del sistema IVR de un banco o de otra institución. Se solicita a la víctima (normalmente a través de un correo electrónico de phishing) que llame al "banco" a través de un número (idealmente gratuito) proporcionado para "verificar" la información. Un sistema típico de "vishing" rechazará los inicios de sesión continuamente, asegurando que la víctima ingrese PIN o contraseñas varias veces, a menudo revelando varias contraseñas diferentes. Los sistemas más avanzados transfieren a la víctima al atacante / defraudador, que se hace pasar por un agente de servicio al cliente o un experto en seguridad para interrogar más a la víctima.

Spear phishing [ editar ]

Aunque es similar al "phishing", el spear phishing es una técnica que obtiene información privada de manera fraudulenta mediante el envío de correos electrónicos altamente personalizados a pocos usuarios finales. Es la principal diferencia entre los ataques de phishing porque las campañas de phishing se centran en enviar grandes volúmenes de correos electrónicos generalizados con la expectativa de que solo unas pocas personas respondan. Por otro lado, los correos electrónicos de spear-phishing requieren que el atacante realice una investigación adicional sobre sus objetivos con el fin de "engañar" a los usuarios finales para que realicen las actividades solicitadas. La tasa de éxito de los ataques de phishing es considerablemente más alta que la de los ataques de phishing, ya que las personas abren aproximadamente el 3% de los correos electrónicos de phishing en comparación con aproximadamente el 70% de los intentos potenciales.Cuando los usuarios realmente abren los correos electrónicos, los correos electrónicos de phishing tienen una tasa de éxito relativamente modesta del 5% para hacer clic en el enlace o el archivo adjunto en comparación con la tasa de éxito del 50% de un ataque de phishing.^[13]

El éxito del spear-phishing depende en gran medida de la cantidad y la calidad de OSINT (inteligencia de código abierto) que el atacante pueda obtener. La actividad de la cuenta de las redes sociales es un ejemplo de una fuente de OSINT.

Agujeros de agua [ editar ]

Water holing es una estrategia de ingeniería social dirigida que capitaliza la confianza que los usuarios tienen en los sitios web que visitan con regularidad. La víctima se siente segura de hacer cosas que no haría en una situación diferente. Una persona cautelosa podría, por ejemplo, evitar deliberadamente hacer clic en un enlace en un correo electrónico no solicitado, pero la misma persona no dudaría en seguir un enlace en un sitio web que visita con frecuencia. Entonces, el atacante prepara una trampa para la presa desprevenida en un abrevadero favorito. Esta estrategia se ha utilizado con éxito para obtener acceso a algunos sistemas (supuestamente) muy seguros. ^[14]

El atacante puede comenzar identificando a un grupo o individuos a los que atacar. La preparación implica recopilar información sobre los sitios web que los objetivos visitan a menudo desde el sistema seguro. La recopilación de información confirma que los objetivos visitan los sitios web y que el sistema permite tales visitas. Luego, el atacante prueba estos sitios web en busca de vulnerabilidades para inyectar código que pueda infectar el sistema de un visitante con malware . La trampa de código inyectado y el malware pueden adaptarse al grupo objetivo específico y los sistemas específicos que utilizan. Con el tiempo, uno o más miembros del grupo objetivo se infectarán y el atacante podrá acceder al sistema seguro.

Cebo [ editar ]

El cebo es como el caballo de Troya del mundo real que utiliza medios físicos y se basa en la curiosidad o la codicia de la víctima. ^[15] En este ataque , los atacantes dejan disquetes , CD-ROM o unidades flash USB infectadas con malware en lugares donde las personas los encontrarán (baños, ascensores, aceras, estacionamientos, etc.), les darán legitimidad y curiosidad. etiquetas y esperar a las víctimas.

Por ejemplo, un atacante puede crear un disco con un logotipo corporativo, disponible en el sitio web del objetivo, y etiquetarlo como "Resumen de sueldos ejecutivos del segundo trimestre de 2012". Luego, el atacante deja el disco en el piso de un ascensor o en algún lugar del vestíbulo de la empresa objetivo. Un empleado que no lo sepa puede encontrarlo e insertar el disco en una computadora para satisfacer su curiosidad, o un buen samaritano puede encontrarlo y devolverlo a la empresa. En cualquier caso, con solo insertar el disco en una computadora se instala malware, lo que permite a los atacantes acceder a la PC de la víctima y, quizás, a la red informática interna de la empresa objetivo .

A menos que los controles de la computadora bloqueen las infecciones, la inserción compromete los medios de "ejecución automática" de las PC. También se pueden utilizar dispositivos hostiles. ^[16] Por ejemplo, a un "afortunado ganador" se le envía un reproductor de audio digital gratuito que compromete cualquier computadora a la que esté conectado. Una " manzana de la carretera " (término coloquial para estiércol de caballo , que sugiere la naturaleza indeseable del dispositivo) es cualquier medio extraíble con software malicioso dejado en lugares oportunistas o conspicuos. Puede ser un CD, DVD o una unidad flash USB , entre otros medios. La gente curiosa lo toma y lo conecta a una computadora, infectando el host y las redes conectadas. Una vez más, los piratas informáticos pueden ponerles etiquetas atractivas, como "Salarios de los empleados" o "Confidencial".^[17]

Un estudio realizado en 2016 hizo que los investigadores dejaran 297 unidades USB en el campus de la Universidad de Illinois. Las unidades contenían archivos vinculados a páginas web propiedad de los investigadores. Los investigadores pudieron ver cuántas de las unidades tenían archivos abiertos, pero no cuántas se insertaron en una computadora sin tener un archivo abierto. De las 297 unidades que se retiraron, 290 (98%) de ellas fueron recogidas y 135 (45%) de ellas "llamaron a casa". ^[18]

Quid pro quo [ editar ]

Quid pro quo significa algo por algo :

Un atacante llama a números aleatorios en una empresa, alegando estar llamando desde el soporte técnico. Eventualmente, esta persona golpeará a alguien con un problema legítimo, agradecida de que alguien le llame para ayudarlo. El atacante "ayudará" a resolver el problema y, en el proceso, hará que el usuario escriba comandos que le dan acceso al atacante o lancen malware .
En una encuesta de seguridad de la información de 2003 , el 91% de los trabajadores de oficina les dio a los investigadores lo que dijeron que era su contraseña en respuesta a una pregunta de la encuesta a cambio de un bolígrafo barato . ^[19] Encuestas similares en años posteriores obtuvieron resultados similares utilizando chocolates y otros señuelos baratos, aunque no intentaron validar las contraseñas. ^[20]

Tailgating [ editar ]

Un atacante, que busca ingresar a un área restringida asegurada por un control de acceso electrónico desatendido, por ejemplo, mediante una tarjeta RFID , simplemente camina detrás de una persona que tiene acceso legítimo. Siguiendo la cortesía común, la persona legítima generalmente mantendrá la puerta abierta para el atacante o los atacantes mismos pueden pedirle al empleado que la mantenga abierta para ellos. La persona legítima puede no pedir identificación por varias razones, o puede aceptar una afirmación de que el atacante ha olvidado o perdido el token de identidad apropiado. El atacante también puede simular la acción de presentar un token de identidad.

Otros tipos [ editar ]

Los estafadores o estafadores de confianza comunes también podrían considerarse "ingenieros sociales" en el sentido más amplio, en el sentido de que engañan y manipulan deliberadamente a las personas, explotando las debilidades humanas para obtener un beneficio personal. Pueden, por ejemplo, utilizar técnicas de ingeniería social como parte de un fraude de TI.

Un muy reciente ^{[ ¿cuándo? ] El} tipo de técnica de ingeniería social incluye la suplantación o piratería de ID de personas que tienen ID de correo electrónico populares, como Yahoo! , Gmail , Hotmail , etc. Entre las muchas motivaciones para el engaño se encuentran:

Phishing números de cuenta de tarjetas de crédito y sus contraseñas.
Descifrar correos electrónicos privados e historiales de chat, y manipularlos mediante el uso de técnicas de edición comunes antes de usarlos para extorsionar y generar desconfianza entre las personas.
Rompiendo sitios web de empresas u organizaciones y destruyendo su reputación.
Engaños de virus informáticos
Convencer a los usuarios de que ejecuten código malicioso dentro del navegador web mediante un autoataque XSS para permitir el acceso a su cuenta web.

Contramedidas [ editar ]

Las organizaciones reducen sus riesgos de seguridad al:

Capacitación a empleados : Capacitar a los empleados en protocolos de seguridad relevantes para su puesto. (p. ej., en situaciones como el tráfico de vehículos, si no se puede verificar la identidad de una persona, los empleados deben estar capacitados para negarse cortésmente).

Marco estándar : Establecer marcos de confianza a nivel de empleado / personal (es decir, especificar y capacitar al personal cuándo / dónde / por qué / cómo se debe manejar la información confidencial)

Examinar la información : identificar qué información es sensible y evaluar su exposición a la ingeniería social y las fallas en los sistemas de seguridad (edificio, sistema informático, etc.)

Protocolos de seguridad : establecimiento de protocolos, políticas y procedimientos de seguridad para el manejo de información confidencial.

Prueba de eventos : realización de pruebas periódicas sin previo aviso del marco de seguridad.

Inoculación : Prevención de la ingeniería social y otros trucos o trampas fraudulentas al inculcar una resistencia a los intentos de persuasión a través de la exposición a intentos similares o relacionados. ^[21]

Revisión : Revisar los pasos anteriores con regularidad: ninguna solución para la integridad de la información es perfecta. ^[22]

Gestión de residuos : Utilización de un servicio de gestión de residuos que tiene contenedores de basura con candados, con llaves limitadas solo para la empresa de gestión de residuos y el personal de limpieza. Ubicar el contenedor de basura ya sea a la vista de los empleados para que intentar acceder a él conlleve el riesgo de ser visto o atrapado, o detrás de una puerta o cerca cerrada por donde la persona debe traspasar antes de que pueda intentar acceder al contenedor de basura. ^[23]

El ciclo de vida de la ingeniería social [ editar ]

Recopilación de información : la recopilación de información es el primer y más importante paso del ciclo de vida. Requiere mucha paciencia y hábitos de observación atenta de la víctima. Este paso recopila datos sobre los intereses de la víctima, información personal . Determina la tasa de éxito del ataque general.
Compromiso con la víctima : después de recopilar la cantidad de información requerida, el atacante inicia una conversación con la víctima sin problemas sin que la víctima encuentre nada inapropiado.
Atacar : este paso generalmente ocurre después de un largo período de interacción con el objetivo y durante esta información del objetivo se recupera mediante el uso de ingeniería social. En fase, el atacante obtiene los resultados del objetivo.
Interacción de cierre : este es el último paso que incluye cerrar lentamente la comunicación por parte del atacante sin que surja ninguna sospecha en la víctima. De esta manera, el motivo se cumple y la víctima rara vez llega a saber que el ataque ocurrió. ^[24]

Ingenieros sociales notables [ editar ]

Frank Abagnale Jr. [ editar ]

Frank Abagnale Jr. es un consultor de seguridad estadounidense conocido por su experiencia como ex estafador, falsificador de cheques e impostor cuando tenía entre 15 y 21 años. Se convirtió en uno de los impostores más notorios, ^[25] afirmando haber asumió no menos de ocho identidades, incluido un piloto de línea aérea, un médico, un agente de la Oficina de Prisiones de EE. UU. y un abogado. Abagnale escapó de la custodia policial dos veces (una de un avión de pasajeros en rodaje y otra de una penitenciaría federal de EE. UU.) Antes de cumplir 22 años. ^[26] La popular película de Steven Spielberg Atrápame si puedes está basada en su vida.

Kevin Mitnick [ editar ]

Kevin Mitnick es un consultor de seguridad informática estadounidense , autor y pirata informático , mejor conocido por su arresto de alto perfil en 1995 y su posterior condena de cinco años por varios delitos relacionados con la informática y las comunicaciones. ^[27]

Susan Headley [ editar ]

Susan Headley fue una hacker estadounidense activa durante finales de la década de 1970 y principios de la de 1980 ampliamente respetada por su experiencia en ingeniería social, pretextos y subversión psicológica . ^[28] Era conocida por su especialidad en irrumpir en los sistemas informáticos militares, que a menudo implicaba ir a la cama con el personal militar y revisar su ropa en busca de nombres de usuario y contraseñas mientras dormían. ^[29] Se involucró mucho en phreaking con Kevin Mitnick y Lewis de Payne en Los Ángeles., pero luego los incriminó por borrar los archivos del sistema en US Leasing después de una pelea, lo que llevó a la primera condena de Mitnick. Se retiró al póquer profesional. ^[30]

James Linton [ editar ]

James Linton es un hacker e ingeniero social británico que en 2017 utilizó OSINT y técnicas de spear phishing para engañar a una variedad de objetivos por correo electrónico, incluidos los directores ejecutivos de los principales bancos y miembros de la Administración de la Casa Blanca. Luego pasó a trabajar en la seguridad del correo electrónico, donde diseñó socialmente a los actores de amenazas BEC (Business Email Compromise) para recopilar inteligencia de amenazas específica.

Hermanos Badir [ editar ]

Los hermanos Ramy, Muzher y Shadde Badir, todos ciegos de nacimiento, lograron establecer un extenso plan de fraude telefónico y informático en Israel en la década de 1990 utilizando ingeniería social, suplantación de voz y computadoras con pantalla Braille . ^[31] ^[32]

Christopher J. Hadnagy [ editar ]

Christopher J. Hadnagy es un ingeniero social estadounidense y consultor de seguridad en tecnología de la información. Es mejor conocido como autor de 4 libros sobre ingeniería social y seguridad cibernética ^[33]^[34]^[35]^[36] y fundador de Innocent Lives Foundation, una organización que ayuda a rastrear e identificar la trata de niños utilizando diversas técnicas de seguridad como buscando la ayuda de especialistas en seguridad de la información, utilizando datos de inteligencia de código abierto (OSINT) y colaborando con las fuerzas del orden. ^[37]^[38]

Ley [ editar ]

En el derecho consuetudinario , pretextar es una invasión de la privacidad agravio de apropiación. ^[39]

Pretextos de registros telefónicos [ editar ]

En diciembre de 2006, el Congreso de los Estados Unidos aprobó un proyecto de ley patrocinado por el Senado que convertía el pretexto de los registros telefónicos en un delito federal con multas de hasta 250.000 dólares y diez años de prisión para las personas (o multas de hasta 500.000 dólares para las empresas). Fue firmado por el presidente George W. Bush el 12 de enero de 2007. ^[40]

Legislación federal [ editar ]

La "GLBA" de 1999 es una ley federal de los EE. UU . Que aborda específicamente el pretexto de los registros bancarios como un acto ilegal punible según los estatutos federales. Cuando una entidad comercial, como un investigador privado, un investigador de seguros de la SIU o un ajustador, realiza cualquier tipo de engaño, cae bajo la autoridad de la Comisión Federal de Comercio (FTC). Esta agencia federal tiene la obligación y la autoridad de garantizar que los consumidores no estén sujetos a prácticas comerciales injustas o engañosas. Ley de la Comisión Federal de Comercio de EE. UU., Sección 5 de la FTCAdeclara, en parte: "Siempre que la Comisión tenga motivos para creer que dicha persona, sociedad o corporación ha estado o está utilizando un método de competencia desleal o un acto o práctica desleal o engañosa en el comercio o que lo afecte, y si aparece a la Comisión de que un procedimiento por ella con respecto al mismo sería de interés público, emitirá y notificará a dicha persona, sociedad o corporación una queja en la que exponga sus cargos al respecto ".

El estatuto establece que cuando alguien obtiene información personal no pública de una institución financiera o del consumidor, su acción está sujeta al estatuto. Se relaciona con la relación del consumidor con la institución financiera. Por ejemplo, un pretexto que utilice falsos pretextos para obtener la dirección de un consumidor del banco del consumidor o para que un consumidor revele el nombre de su banco, estaría cubierto. El principio determinante es que los pretextos solo se dan cuando la información se obtiene mediante falsos pretextos.

Si bien la venta de registros de teléfonos celulares ha ganado una gran atención de los medios, y los registros de telecomunicaciones son el foco de los dos proyectos de ley que actualmente se encuentran ante el Senado de los Estados Unidos , se están comprando y vendiendo muchos otros tipos de registros privados en el mercado público. Junto con muchos anuncios de registros de teléfonos celulares, se anuncian registros de telefonía fija y los registros asociados con tarjetas telefónicas. A medida que las personas cambian a teléfonos VoIP, es seguro asumir que esos registros también se ofrecerán a la venta. Actualmente, es legal vender registros telefónicos, pero es ilegal obtenerlos. ^[41]

Especialistas en primera fuente de información [ editar ]

El representante estadounidense Fred Upton ( republicano por Kalamazoo , Michigan), presidente del Subcomité de Energía y Comercio de Telecomunicaciones e Internet, expresó su preocupación por el fácil acceso a los registros personales de teléfonos móviles en Internet durante una audiencia del Comité de Energía y Comercio de la Cámara de Representantes el " Registros telefónicos a la venta: ¿Por qué los registros telefónicos no están a salvo de pretextos? ” Illinois se convirtió en el primer estado en demandar a un corredor de registros en línea cuando la procuradora general Lisa Madigan demandó a 1st Source Information Specialists, Inc., dijo una portavoz de la oficina de Madigan. La empresa con sede en Florida opera varios sitios web que venden registros de teléfonos móviles, según una copia de la demanda. Los fiscales generales de Florida y Missouri rápidamente siguió el ejemplo de Madigan, presentando demandas respectivamente, contra los especialistas en información de 1st Source y, en el caso de Missouri, otro corredor de registros: First Data Solutions, Inc.

Varios proveedores de servicios inalámbricos, incluidos T-Mobile, Verizon y Cingular, presentaron demandas anteriores contra corredores de registros, y Cingular ganó una orden judicial contra First Data Solutions y 1st Source Information Specialists. El senador estadounidense Charles Schumer ( demócrata por Nueva York) presentó una legislación en febrero de 2006 destinada a frenar la práctica. La Ley de Protección al Consumidor Teléfono Records de 2006 crearía delitos mayores criminales sanciones por robo y venta de los registros de teléfono móvil, teléfono fijo , y la Voz sobre Protocolo de Internet suscriptores (VoIP).

HP [ editar ]

Patricia Dunn , ex presidenta de Hewlett Packard, informó que la junta de HP contrató a una empresa de investigación privada para investigar quién era responsable de las filtraciones dentro de la junta. Dunn reconoció que la empresa utilizó la práctica de pretextar para solicitar registros telefónicos de miembros de la junta y periodistas. El presidente Dunn luego se disculpó por este acto y se ofreció a renunciar a la junta si así lo deseaban los miembros de la junta. ^[42] A diferencia de la ley federal, la ley de California prohíbe específicamente tales pretextos. Los cuatro cargos por delitos graves presentados contra Dunn fueron desestimados. ^[43]

Medidas preventivas [ editar ]

Tomar algunas precauciones reduce el riesgo de ser víctima de fraudes de ingeniería social. Las precauciones que se pueden tomar son las siguientes: -

Tenga en cuenta las ofertas que parecen "demasiado buenas para ser verdad".
Utilice la autenticación multifactor.
Evite hacer clic en archivos adjuntos de fuentes desconocidas.
No dar información personal a nadie por correo electrónico, teléfono o mensajes de texto.
Uso de software de filtrado de spam .
Evite entablar amistad con personas que no conoce en la vida real.
Enséñeles a los niños a ponerse en contacto con un adulto de confianza en caso de que estén siendo acosados a través de Internet ( ciberacoso ) o se sientan amenazados por algo en línea. ^[44]

En la cultura popular [ editar ]

Este artículo parece contener referencias triviales, menores o no relacionadas a la cultura popular . Reorganice este contenido para explicar el impacto del tema en la cultura popular, proporcionando citas de fuentes secundarias confiables , en lugar de simplemente enumerar las apariencias. El material no obtenido puede ser cuestionado y eliminado. ( Enero de 2018 )

Si bien la ingeniería social no tiene una receta establecida para el éxito y puede ser difícil de plasmar por escrito, los conceptos y la práctica de la ingeniería social se han adaptado a escenas de televisión y películas. Estos ejemplos indican cómo podría llevarse a cabo un ataque de este tipo.

En la película Ocean's Eleven (1960/2001), el equipo utiliza la ingeniería social para robar un casino.
La película Mars Needs Women (1967) contiene ejemplos de ingeniería social llevada a cabo por extraterrestres que se muestran participando y utilizando estas técnicas para lograr su objetivo: la captura de cinco mujeres terrestres con fines reproductivos para volver a infundir la hembra a macho de su planeta. proporción.
En la película de James Bond , Diamonds Are Forever (1971), se ve a Bond ingresando al laboratorio de Whyte con un sistema de bloqueo de acceso con tarjeta de última generación al " seguir adelante ". Simplemente espera a que un empleado venga a abrir la puerta, luego se hace pasar por un novato en el laboratorio, falsifica insertar una tarjeta inexistente mientras el empleado abre la puerta para él.
En el programa de televisión Rockford Files (1974), el personaje de Jim Rockford utiliza a menudo pretextos en su trabajo de investigación privada .
En la película Sneakers (1992), uno de los personajes se hace pasar por el superior de un guardia de seguridad de bajo nivel para convencerlo de que una brecha de seguridad es solo una falsa alarma .
En la película Hackers (1995), el protagonista usa el pretexto cuando le pide a un guardia de seguridad el número de teléfono del módem de una estación de televisión mientras se hace pasar por un importante ejecutivo de la empresa.
En la película The Thomas Crown Affair (1999), uno de los personajes posa por teléfono como el superior de un guardia de museo para alejar al guardia de su puesto.
En la película Atrápame si puedes (2002), el personaje principal utiliza una amplia variedad de tácticas de ingeniería social, basadas en una historia real.
En el libro de Jeffrey Deaver The Blue Nowhere (2002), la ingeniería social para obtener información confidencial es uno de los métodos utilizados por el asesino, Phate, para acercarse a sus víctimas.
En el programa de televisión Psych (2006), el protagonista Shawn Spencer a menudo usa pretextos para obtener acceso a lugares a los que de otro modo no se le permitiría sin las credenciales de la policía.
En la película Live Free or Die Hard (2007), se ve a Justin Long pretextando que su padre se está muriendo de un ataque cardíaco para que un representante de On-Star Assist inicie lo que se convertirá en un automóvil robado .
En el programa de televisión Burn Notice (2007), se ve a muchos personajes usando ingeniería social; El perfil psicológico de Michael Westen indica que es muy hábil en ingeniería social.
En el programa de televisión The Mentalist (2008), el protagonista Patrick Jane a menudo usa pretextos para engañar a los criminales para que confiesen los crímenes que cometieron.
En el programa de televisión Leverage (serie de televisión) (2008), se ve a muchos personajes utilizando la ingeniería social.
En el programa de televisión White Collar (2009), Matt Bomer interpretó a un estafador muy inteligente y con múltiples talentos que trabajaba como informante criminal del FBI.
En las novelas francesas de Maxime Frantini [ Journal d'un hacker , L'ombre et la lumière , La cavale , La détermination du fennec ] (2012), el héroe hacker Ylian Estevez utiliza principalmente la ingeniería social para sus ataques. ^[45]
En la película Identity Thief (2013), Melissa McCarthy interpretó a una estafadora que usa pretextos para obtener el nombre, número de tarjeta de crédito y número de Seguro Social de un ejecutivo (Jason Bateman), lo que le permite robar su identidad y cometer fraude con tarjetas de crédito .
En el videojuego Watch Dogs (2014), el protagonista Aiden Pearce afirma que estudió ingeniería social cuando creció en una vida de crimen y usa tácticas de ingeniería social para manipular a otros personajes a lo largo del juego para obtener la información que quiere.
En la película Who Am I (2014), se ve a los personajes principales utilizando diversas técnicas de ingeniería social.
En el programa de televisión Mr.Robot (2015), Darlene esparce unidades flash USB (que contienen malware) fuera de la entrada de una prisión, lo que provoca que un guardia curioso comprometa la red interna de la prisión cuando conecta una de las unidades a la estación de trabajo de su computadora.
En la película Focus (2015), el personaje Nicky Spurgeon y su equipo utilizan una variedad de métodos de ingeniería social para llevar a cabo esquemas de confianza para robar dinero.
En la película La chica de la telaraña (2018), el personaje Lisbeth Salander utiliza la ingeniería social en varias situaciones. ^[46]

Ver también [ editar ]

Especialista certificado en prevención de ingeniería social (CSEPS)
Code Shikara - Gusano informático
Truco de la confianza : intenta defraudar a una persona o grupo después de ganar su confianza por primera vez
Contramedida (computadora)
Cyber-HUMINT
Ciberheísta
Teoría de la inoculación : explicación de cómo una actitud o creencia puede protegerse contra la influencia de la misma manera que un cuerpo puede protegerse contra la enfermedad.
Capacitación en concientización sobre seguridad en Internet
Riesgo de TI : cualquier riesgo relacionado con la tecnología de la información, que puede ser la base de los procesos comerciales de una organización en diversos grados.
Bromas mediáticas , que a menudo usan tácticas similares (aunque generalmente no con fines criminales)
Prueba de penetración : método para evaluar la seguridad de la red y la computadora mediante la simulación de un ciberataque
Phishing : acto de intentar adquirir información confidencial haciéndose pasar por una entidad confiable
Seguridad de la información física
Piggybacking (seguridad)
Phishing por SMS
Amenaza (computadora)
Phishing de voz : el uso de ingeniería social sobre telefonía de voz por parte de delincuentes para convencer a las víctimas de que divulguen información confidencial.
Vulnerabilidad (informática) : debilidad explotable en un sistema informático

Referencias [ editar ]

^ Anderson, Ross J. (2008). Ingeniería de seguridad: una guía para construir sistemas distribuidos confiables (2a ed.). Indianápolis, IN: Wiley. pag. 1040. ISBN 978-0-470-06852-6. Capítulo 2, página 17
^ "Definición de ingeniería social" . Seguridad a través de la educación . Consultado el 3 de octubre de 2018 .
^ Lim, Joo S., et al. " Explorando la relación entre la cultura organizacional y la cultura de seguridad de la información ". Conferencia Australiana de Gestión de la Seguridad de la Información.
^ Andersson, D., Reimers, K. y Barretto, C. (marzo de 2014). Seguridad de la red de educación postsecundaria : Resultados de abordar el desafío del usuario final Fecha de publicación 11 de marzo de 2014 descripción de la publicación INTED2014 (Conferencia internacional sobre tecnología, educación y desarrollo)
↑ a b c Schlienger, Thomas; Teufel, Stephanie (2003). "Cultura de seguridad de la información-del análisis al cambio" . Revista informática sudafricana . 31 : 46–52.
^ Jaco, K: "Libro de trabajo del curso CSEPS" (2004), unidad 3, Jaco Security Publishing.
^ Kirdemir, Baris (2019). "INFLUENCIA HOSTIL Y AMENAZAS COGNITIVAS EMERGENTES EN EL CIBERESPACIO" . Cite journal requiere |journal=( ayuda )
^ Hatfield, Joseph M (junio de 2019). "Hacking humano virtuoso: la ética de la ingeniería social en las pruebas de penetración". Computadoras y seguridad . 83 : 354–366. doi : 10.1016 / j.cose.2019.02.012 .
^ Austen, Ian (7 de marzo de 2005). "En EBay, los phishers de correo electrónico encuentran un estanque bien abastecido" . The New York Times . ISSN 0362-4331 . Consultado el 1 de mayo de 2021 .
^ La historia del escándalo de pretextos de HP con discusión está disponible en Davani, Faraz (14 de agosto de 2011). "HP Pretexting Scandal por Faraz Davani" . Consultado el 15 de agosto de 2011 , a través de Scribd.
^ " Pretextos: su información personal revelada ", Comisión Federal de Comercio
^ Fagone, Jason (24 de noviembre de 2015). "El matamoscas en serie" . The New York Times . Consultado el 25 de noviembre de 2015 .
^ "Los verdaderos peligros de los ataques de spear-phishing" . FireEye. 2016 . Consultado el 9 de octubre de 2016 .
^ "La campaña de espionaje chino compromete a Forbes.com para apuntar a la defensa de Estados Unidos, empresas de servicios financieros en un ataque de estilo Watering Hole" . invincea.com. 10 de febrero de 2015 . Consultado el 23 de febrero de 2017 .
^ "Ingeniería social, la forma USB" . Light Reading Inc. 7 de junio de 2006. Archivado desde el original el 13 de julio de 2006 . Consultado el 23 de abril de 2014 .
^ "Copia archivada" (PDF) . Archivado desde el original (PDF) el 11 de octubre de 2007 . Consultado el 2 de marzo de 2012 . Mantenimiento de CS1: copia archivada como título ( enlace )
^ Conklin, Wm. Arturo; White, Greg; Cothren, Chuck; Davis, Roger; Williams, Dwayne (2015). Principios de seguridad informática, cuarta edición (Guía oficial de Comptia) . Nueva York: McGraw-Hill Education. págs. 193-194. ISBN 978-0071835978.
^ Raywood, Dan (4 de agosto de 2016). "Experimento USB eliminado #BHUSA detallado" . seguridad de la información . Consultado el 28 de julio de 2017 .
^ Leyden, John (18 de abril de 2003). "Los oficinistas regalan contraseñas" . El registro . Consultado el 11 de abril de 2012 .
^ "Contraseñas reveladas por trato dulce" . BBC News . 20 de abril de 2004 . Consultado el 11 de abril de 2012 .
^ Treglia, J. y Delia, M. (2017). Inoculación de seguridad cibernética . Presentado en la Conferencia de Seguridad Cibernética del Estado de Nueva York, Centro de Convenciones Empire State Plaza, Albany, Nueva York, del 3 al 4 de junio.
^ Mitnick, K. y Simon, W. (2005). "El arte de la intrusión". Indianápolis, IN: Wiley Publishing.
^ Allsopp, William. Acceso no autorizado: pruebas de penetración física para los equipos de seguridad de TI. Hoboken, Nueva Jersey: Wiley, 2009. 240–241.
^ "Ingeniería social - Blog de seguridad de la información de GW" . blogs.gwu.edu . Consultado el 18 de febrero de 2020 .
^ Salinger, Lawrence M. (2005). Enciclopedia de delitos de cuello blanco y corporativos . SABIO. ISBN 978-0-7619-3004-4.
^ "Cómo Frank Abagnale le estafaría" . Noticias de EE . UU . 17 de diciembre de 2019. Archivado desde el original el 28 de abril de 2013 . Consultado el 17 de diciembre de 2019 .
^ "Kevin Mitnick condenado a casi cuatro años de prisión; pirata informático ordenado a pagar restitución a las empresas víctimas cuyos sistemas se vieron comprometidos" (Comunicado de prensa). Oficina del Fiscal de los Estados Unidos , Distrito Central de California. 9 de agosto de 1999. Archivado desde el original el 13 de junio de 2013.
^ "Archivos DEF CON III - Susan Thunder Keynote" . DEF CON . Consultado el 12 de agosto de 2017 .
^ "Copia archivada" . Archivado desde el original el 17 de abril de 2001 . Consultado el 6 de enero de 2007 .Mantenimiento de CS1: copia archivada como título ( enlace )
^ Hafner, Katie (agosto de 1995). "Kevin Mitnick, desenchufado" . Esquire . 124 (2): 80 (9).
^ "Wired 12.02: Three Blind Phreaks" . Cableado . 14 de junio de 1999 . Consultado el 11 de abril de 2012 .
^ "Ingeniería social El cuento de un joven hacker" (PDF) . 15 de febrero de 2013 . Consultado el 13 de enero de 2020 . Cite journal requiere |journal=( ayuda )
^ "43 mejores libros de ingeniería social de todos los tiempos" . BookAuthority . Consultado el 22 de enero de 2020 .
^ \ (31 de agosto de 2018). "Libro de Bens de la revisión del mes de ingeniería social la ciencia de la piratería humana" . Conferencia RSA . Consultado el 22 de enero de 2020 .CS1 maint: nombres numéricos: lista de autores ( enlace )
^ "Reseña del libro: ingeniería social: la ciencia de la piratería humana" . La red de hackers éticos . 26 de julio de 2018 . Consultado el 22 de enero de 2020 .
^ Hadnagy, Christopher; Fincher, Michele (22 de enero de 2020). "Phishing Dark Waters: los lados ofensivo y defensivo de los correos electrónicos maliciosos" . ISACA . Consultado el 22 de enero de 2020 .
^ "WTVR:" Proteja a sus hijos de las amenazas en línea "
^ Larson, Selena (14 de agosto de 2017). "Hacker crea una organización para desenmascarar a los depredadores de niños" . CNN . Consultado el 14 de noviembre de 2019 .
^ Reformulación 2d de agravios § 652C.
^ "Congreso proscribe pretextos" . 109º Congreso (2005–2006) HR4709 - Ley de protección de la privacidad y registros telefónicos de 2006 . 2007.
^ Mitnick, K (2002): "El arte del engaño", p. 103 Wiley Publishing Ltd: Indianápolis, Indiana; Estados Unidos de América. ISBN 0-471-23712-4
^ Presidente de HP: Uso de pretextos 'vergonzoso' Stephen Shankland, 8 de septiembre de 2006 1:08 PM PDT CNET News.com
^ "Tribunal de California retira los cargos contra Dunn" . CNET. 14 de marzo de 2007 . Consultado el 11 de abril de 2012 .
^ "Qué es la ingeniería social | Técnicas de ataque y métodos de prevención | Imperva" . Centro de aprendizaje . Consultado el 18 de febrero de 2020 .
^ "Amazon.fr: Maxime Frantini: Livres, Biographie, écrits, livres audio, Kindle" . Consultado el 30 de noviembre de 2016 .
^ "Analizando los trucos: Explicación de la chica de la telaraña" . WonderHowTo . Consultado el 13 de diciembre de 2019 .

Lectura adicional [ editar ]

Boyington, Gregory. (1990). 'Baa Baa Black Sheep' Publicado por Gregory Boyington ISBN 0-553-26350-1
Harley, David. 1998 Re-flotando el Titanic: Enfrentando los ataques de ingeniería social Conferencia EICAR.
Laribee, Lena. Junio de 2006 Desarrollo de proyecto de taxonomía metódica de ingeniería social . Tesis de Maestría, Escuela de Posgrado Naval.
Leyden, John. 18 de abril de 2003. Los trabajadores de oficina regalan contraseñas por un bolígrafo barato . El registro . Consultado el 9 de septiembre de 2004.
Largo, Johnny . (2008). Sin piratería tecnológica: una guía para la ingeniería social, el buceo en contenedores y el surf de hombro Publicado por Syngress Publishing Inc. ISBN 978-1-59749-215-7
Mann, Ian. (2008). Hackear al ser humano: técnicas de ingeniería social y contramedidas de seguridad Publicado por Gower Publishing Ltd. ISBN 0-566-08773-1 o ISBN 978-0-566-08773-8
Mitnick, Kevin , Kasperavičius, Alexis . (2004). Cuaderno de trabajo del curso CSEPS . Publicaciones de seguridad de Mitnick.
Mitnick, Kevin , Simon, William L., Wozniak, Steve ,. (2002). El arte del engaño: controlar el elemento humano de la seguridad Publicado por Wiley. ISBN 0-471-23712-4 o ISBN 0-7645-4280-X
Hadnagy, Christopher, (2011) Ingeniería social: el arte de la piratería humana Publicado por Wiley. ISBN 0-470-63953-9
NJ Evans. (2009). "Ingeniería social de tecnología de la información: una definición académica y un estudio de la ingeniería social: análisis del cortafuegos humano". Tesis y Disertaciones de Postgrado. 10709. https://lib.dr.iastate.edu/etd/10709
Z. Wang, L. Sun y H. Zhu. (2020) "Definición de ingeniería social en ciberseguridad", en IEEE Access, vol. 8, págs. 85094-85115, doi: 10.1109 / ACCESS.2020.2992807 .

Enlaces externos [ editar ]

Wikimedia Commons tiene medios relacionados con la ingeniería social (seguridad informática) .

Fundamentos de la ingeniería social - Securityfocus.com . Consultado el 3 de agosto de 2009.
"Ingeniería social, a la manera del USB" . Light Reading Inc. 7 de junio de 2006. Archivado desde el original el 13 de julio de 2006 . Consultado el 23 de abril de 2014 .
¿Debería la ingeniería social ser parte de las pruebas de penetración? - Darknet.org.uk . Consultado el 3 de agosto de 2009.
"Protección de los registros telefónicos de los consumidores" , Centro de información sobre privacidad electrónica Comité de Comercio, Ciencia y Transporte de los EE. UU . Consultado el 8 de febrero de 2006.
Plotkin, Hal. Nota a la prensa: Pretextar ya es ilegal . Consultado el 9 de septiembre de 2006.

[1] Anderson, Ross J. (2008). Ingeniería de seguridad: una guía para construir sistemas distribuidos confiables (2a ed.). Indianápolis, IN: Wiley. pag. 1040. ISBN 978-0-470-06852-6. Capítulo 2, página 17

[2] "Definición de ingeniería social" . Seguridad a través de la educación . Consultado el 3 de octubre de 2018 .

[3] Lim, Joo S., et al. " Explorando la relación entre la cultura organizacional y la cultura de seguridad de la información ". Conferencia Australiana de Gestión de la Seguridad de la Información.

[Andersson_&_Reimers_2014-4] Andersson, D., Reimers, K. y Barretto, C. (marzo de 2014). Seguridad de la red de educación postsecundaria : Resultados de abordar el desafío del usuario final Fecha de publicación 11 de marzo de 2014 descripción de la publicación INTED2014 (Conferencia internacional sobre tecnología, educación y desarrollo)

[Schlienger,_Thomas_2003-5] Schlienger, Thomas; Teufel, Stephanie (2003). "Cultura de seguridad de la información-del análisis al cambio" . Revista informática sudafricana . 31 : 46–52.

[6] Jaco, K: "Libro de trabajo del curso CSEPS" (2004), unidad 3, Jaco Security Publishing.

[7] Kirdemir, Baris (2019). "INFLUENCIA HOSTIL Y AMENAZAS COGNITIVAS EMERGENTES EN EL CIBERESPACIO" . Cite journal requiere |journal=( ayuda )

[8] Hatfield, Joseph M (junio de 2019). "Hacking humano virtuoso: la ética de la ingeniería social en las pruebas de penetración". Computadoras y seguridad . 83 : 354–366. doi : 10.1016 / j.cose.2019.02.012 .

[9] Austen, Ian (7 de marzo de 2005). "En EBay, los phishers de correo electrónico encuentran un estanque bien abastecido" . The New York Times . ISSN 0362-4331 . Consultado el 1 de mayo de 2021 .

[10] La historia del escándalo de pretextos de HP con discusión está disponible en Davani, Faraz (14 de agosto de 2011). "HP Pretexting Scandal por Faraz Davani" . Consultado el 15 de agosto de 2011 , a través de Scribd.

[11] " Pretextos: su información personal revelada ", Comisión Federal de Comercio

[The_Serial_Swatter-12] Fagone, Jason (24 de noviembre de 2015). "El matamoscas en serie" . The New York Times . Consultado el 25 de noviembre de 2015 .

[The_Real_Dangers_of_Spear-Phishing_Attacks-13] "Los verdaderos peligros de los ataques de spear-phishing" . FireEye. 2016 . Consultado el 9 de octubre de 2016 .

[Forbes.com_watering_hole_attack-14] "La campaña de espionaje chino compromete a Forbes.com para apuntar a la defensa de Estados Unidos, empresas de servicios financieros en un ataque de estilo Watering Hole" . invincea.com. 10 de febrero de 2015 . Consultado el 23 de febrero de 2017 .

[Social_Engineering,_the_USB_Way-15] "Ingeniería social, la forma USB" . Light Reading Inc. 7 de junio de 2006. Archivado desde el original el 13 de julio de 2006 . Consultado el 23 de abril de 2014 .

[16] "Copia archivada" (PDF) . Archivado desde el original (PDF) el 11 de octubre de 2007 . Consultado el 2 de marzo de 2012 . Mantenimiento de CS1: copia archivada como título ( enlace )

[17] Conklin, Wm. Arturo; White, Greg; Cothren, Chuck; Davis, Roger; Williams, Dwayne (2015). Principios de seguridad informática, cuarta edición (Guía oficial de Comptia) . Nueva York: McGraw-Hill Education. págs. 193-194. ISBN 978-0071835978.

[18] Raywood, Dan (4 de agosto de 2016). "Experimento USB eliminado #BHUSA detallado" . seguridad de la información . Consultado el 28 de julio de 2017 .

[19] Leyden, John (18 de abril de 2003). "Los oficinistas regalan contraseñas" . El registro . Consultado el 11 de abril de 2012 .

[20] "Contraseñas reveladas por trato dulce" . BBC News . 20 de abril de 2004 . Consultado el 11 de abril de 2012 .

[21] Treglia, J. y Delia, M. (2017). Inoculación de seguridad cibernética . Presentado en la Conferencia de Seguridad Cibernética del Estado de Nueva York, Centro de Convenciones Empire State Plaza, Albany, Nueva York, del 3 al 4 de junio.

[22] Mitnick, K. y Simon, W. (2005). "El arte de la intrusión". Indianápolis, IN: Wiley Publishing.

[23] Allsopp, William. Acceso no autorizado: pruebas de penetración física para los equipos de seguridad de TI. Hoboken, Nueva Jersey: Wiley, 2009. 240–241.

[24] "Ingeniería social - Blog de seguridad de la información de GW" . blogs.gwu.edu . Consultado el 18 de febrero de 2020 .

[25] Salinger, Lawrence M. (2005). Enciclopedia de delitos de cuello blanco y corporativos . SABIO. ISBN 978-0-7619-3004-4.

[26] "Cómo Frank Abagnale le estafaría" . Noticias de EE . UU . 17 de diciembre de 2019. Archivado desde el original el 28 de abril de 2013 . Consultado el 17 de diciembre de 2019 .

[27] "Kevin Mitnick condenado a casi cuatro años de prisión; pirata informático ordenado a pagar restitución a las empresas víctimas cuyos sistemas se vieron comprometidos" (Comunicado de prensa). Oficina del Fiscal de los Estados Unidos , Distrito Central de California. 9 de agosto de 1999. Archivado desde el original el 13 de junio de 2013.

[28] "Archivos DEF CON III - Susan Thunder Keynote" . DEF CON . Consultado el 12 de agosto de 2017 .

[cdne-29] "Copia archivada" . Archivado desde el original el 17 de abril de 2001 . Consultado el 6 de enero de 2007 .Mantenimiento de CS1: copia archivada como título ( enlace )

[30] Hafner, Katie (agosto de 1995). "Kevin Mitnick, desenchufado" . Esquire . 124 (2): 80 (9).

[31] "Wired 12.02: Three Blind Phreaks" . Cableado . 14 de junio de 1999 . Consultado el 11 de abril de 2012 .

[32] "Ingeniería social El cuento de un joven hacker" (PDF) . 15 de febrero de 2013 . Consultado el 13 de enero de 2020 . Cite journal requiere |journal=( ayuda )

[BookAuthority-33] "43 mejores libros de ingeniería social de todos los tiempos" . BookAuthority . Consultado el 22 de enero de 2020 .

[rsa-34] \ (31 de agosto de 2018). "Libro de Bens de la revisión del mes de ingeniería social la ciencia de la piratería humana" . Conferencia RSA . Consultado el 22 de enero de 2020 .CS1 maint: nombres numéricos: lista de autores ( enlace )

[ethical-35] "Reseña del libro: ingeniería social: la ciencia de la piratería humana" . La red de hackers éticos . 26 de julio de 2018 . Consultado el 22 de enero de 2020 .

[Isaca-36] Hadnagy, Christopher; Fincher, Michele (22 de enero de 2020). "Phishing Dark Waters: los lados ofensivo y defensivo de los correos electrónicos maliciosos" . ISACA . Consultado el 22 de enero de 2020 .

[37] "WTVR:" Proteja a sus hijos de las amenazas en línea "

[CNN-38] Larson, Selena (14 de agosto de 2017). "Hacker crea una organización para desenmascarar a los depredadores de niños" . CNN . Consultado el 14 de noviembre de 2019 .

[39] Reformulación 2d de agravios § 652C.

[40] "Congreso proscribe pretextos" . 109º Congreso (2005–2006) HR4709 - Ley de protección de la privacidad y registros telefónicos de 2006 . 2007.

[41] Mitnick, K (2002): "El arte del engaño", p. 103 Wiley Publishing Ltd: Indianápolis, Indiana; Estados Unidos de América. ISBN 0-471-23712-4

[com-42] Presidente de HP: Uso de pretextos 'vergonzoso' Stephen Shankland, 8 de septiembre de 2006 1:08 PM PDT CNET News.com

[43] "Tribunal de California retira los cargos contra Dunn" . CNET. 14 de marzo de 2007 . Consultado el 11 de abril de 2012 .

[44] "Qué es la ingeniería social | Técnicas de ataque y métodos de prevención | Imperva" . Centro de aprendizaje . Consultado el 18 de febrero de 2020 .

[45] "Amazon.fr: Maxime Frantini: Livres, Biographie, écrits, livres audio, Kindle" . Consultado el 30 de noviembre de 2016 .

[46] "Analizando los trucos: Explicación de la chica de la telaraña" . WonderHowTo . Consultado el 13 de diciembre de 2019 .

[1]

vtmiManipulación psicológica
Recompensa : agradable ( refuerzo positivo )	Atención Soborno Aseo infantil Adulación Regalos Congratiation Bombardeo de amor Empujar Felicitar Seducción Sonriente Encanto superficial Simpatía superficial
Aversivo : desagradable ( castigo positivo )	Ira Difamación Llanto Chantaje emocional Infundir temor Ceñudo Deslumbrador Sentimiento de culpa Inatención Intimidación Persistente Críticas picantes Agresión pasiva Agresión relacional Sadismo Gritando Avergonzar Trato silencioso Rechazo social Jurar Amenazas Culpar a la víctima Víctima jugando
Refuerzo negativo parcial o intermitente	Clima de miedo Vinculación traumática
Otras tecnicas	Cebo y cambio Engaño Negación Desplazamiento Desprogramación Desinformación Distorsión Distracción Divide y vencerás Doble vínculo Atrapamiento Evasión Exageración Gaslighting Buen poli / mal poli Adoctrinamiento Low-balling Mintiendo Minimización Mover los postes de la portería Orgullo y ego abajo Racionalización Técnica de reid Preparándose para fallar Triangulación caballo de Troya O estás con nosotros o contra nosotros
Contextos	Abuso Poder y control abusivos Publicidad Lavado del cerebro Intimidación Culpa católica Truco de confianza El espectro de culturas de la culpa, la vergüenza y el miedo Interrogatorio Estereotipo de madre judía Manipulación de medios Juegos mentales Mobbing Pánico moral Propaganda Arte de vender Chivo expiatorio Campaña de desprestigio Ingeniería social (blagging) Girar Sugestibilidad Campaña de susurros
Temas relacionados	Desorden de personalidad antisocial Asertividad Culpar Trastorno límite de la personalidad Zanahoria y palo Embrutecimiento Habilitar Falacia Femme Fatale Jugar el sistema Candidez Trastorno de personalidad histriónica Gestión de impresión Maquiavelismo Narcisismo Trastorno de personalidad narcisista Límites personales Persuasión Popularidad Proyección Psicopatía