Cualquiera puede ser engañado por un blagger. Esto es lo que implica y cómo puedes defenderte.
Blagging puede parecer una técnica de piratería complicada, pero es mucho más simple que eso. Pero si bien no es tan "de alta tecnología" como otros delitos cibernéticos, el blagging aún puede causar daños graves si las empresas no están preparadas.
Entonces, ¿qué es blagging y cómo funciona?
¿Qué es Blagging y cómo funciona?
Blagging es cuando los estafadores astutos intentan engañar o manipular a las personas para que entreguen información confidencial a la que no deberían tener acceso.
Estos malhechores inventarán cualquier historia que necesiten para convencer a su objetivo de divulgar datos que podrían usarse para fines turbios, como el robo de identidad, el espionaje de empresas o el chantaje a la gente.
Entonces, ¿cómo funciona exactamente? Aquí hay algunas técnicas comunes de blagging:
- Interpretación: El estafador se hace pasar por otra persona, como un compañero de trabajo, un representante bancario o un oficial de policía. Esto genera confianza y hace que sea más probable que el objetivo comparta información confidencial. Por ejemplo, pueden llamar haciéndose pasar por un técnico de TI que necesita una contraseña para solucionar un problema informático.
- Creando un falso sentido de urgencia: El estafador presiona al objetivo haciendo que la solicitud parezca urgente. Las amenazas de cerrar una cuenta o acciones legales se utilizan para obtener información rápidamente antes de que el objetivo tenga tiempo de verificar la validez de la solicitud.
- Suplantación de identidad: Blaggers lo hará usar correos electrónicos de phishing o enlaces que contengan malware para infectar los sistemas de destino y robar datos. Los correos electrónicos están diseñados para parecer que provienen de una fuente confiable para atraer a la víctima a hacer clic o descargar.
- Ataque de caída USB: Esta táctica deja infectados dispositivos cargados de malware como unidades USB en lugares públicos donde es probable que los objetivos los encuentren y los conecten, permitiendo el acceso del blagger. Los estacionamientos y los ascensores son lugares populares para atraer a personas desprevenidas.
- Mencionar nombres importantes: el estafador mencionará nombres de gerentes, ejecutivos o contactos legítimos para que parezca que están autorizados a tener información confidencial. Esto le da credibilidad a su sombría solicitud.
- súplicas de simpatía: El estafador apelará a la compasión del objetivo, inventando historias tristes para manipularlo. Decir cosas como que son padres solteros que necesitan dinero en una cuenta para alimentar a su familia puede funcionar.
- Quid pro quo: El estafador promete algo a cambio de información, como una bonificación, tiempo libre o dinero en efectivo. Por supuesto, esas son promesas vacías utilizadas para obtener lo que quieren.
- Seguir de cerca: El blagger sigue físicamente a un empleado a un edificio o área restringida para obtener acceso. Cuentan con personas que mantienen las puertas abiertas para los demás o que no cuestionan su presencia.
- Sonsacamiento: Los blaggers intentarán participar en charlas amistosas para obtener objetivos que revelen información sobre sistemas, procesos o vulnerabilidades sin darse cuenta. Es peligroso porque parece tan inofensivo.
La clave para recordar es que estos atacantes son maestros del engaño y dirán o harán lo que sea necesario para obtener lo que buscan.
Cómo defenderse de los ataques de Blagging
Con los blaggers que utilizan tantas tácticas astutas, ¿cómo puede protegerse a sí mismo y a su empresa de sus estafas? Aquí hay algunas formas clave de defenderse contra los ataques de blagging.
Verificar reclamos
No tome a nadie al pie de la letra, siempre corrobore su historia.
Si alguien llama y dice ser soporte técnico que necesita acceso o un compañero de trabajo que necesita información, cuelgue y vuelva a llamar usando un número oficial para confirmar que es legítimo.
Verifique detenidamente las direcciones de correo electrónico, los nombres y la información de contacto para asegurarse de que coincidan también.
Validar solicitudes
Como empleado que trabaja para una empresa, analice cualquier solicitud inusual, incluso si parece urgente o la historia es creíble. Digamos que necesita derivarlo a un supervisor o enviar un ticket a través de los canales adecuados.
Reduzca la velocidad de la interacción, para que pueda investigar más a fondo antes de entregar datos confidenciales.
Limitar el acceso a la cuenta
Los dueños de negocios deben proporcionar el acceso mínimo que los empleados necesitan para hacer su trabajo y nada más. Por ejemplo, es probable que los representantes de servicio al cliente no necesiten acceso a los sistemas financieros. Esto contiene cualquier daño en caso de que una cuenta se vea comprometida.
Implementando el principio de privilegio mínimo puede evitar que un blagger gane demasiado si engaña a una persona.
Reportar sospechas
No dude en hablar si una solicitud parece extraña o si la historia no cuadra. Notifique a la seguridad o a la gerencia de inmediato si sospecha que una interacción es un intento de blagging.
Además, controle de cerca los sistemas y el comportamiento de los usuarios para detectar cualquier actividad inusual que pueda indicar un intento de blagging. Busque cosas como:
- Intentos de acceder a sistemas no autorizados o datos confidenciales.
- Inicios de sesión remotos desde direcciones IP o ubicaciones desconocidas.
- Grandes volúmenes de datos que se transfieren externamente.
- Anomalías en los patrones típicos de los usuarios, como la ejecución de nuevos procesos o las horas de trabajo anormales.
- Herramientas de seguridad deshabilitadas como conjuntos de antivirus o avisos de inicio de sesión.
Cuanto antes se marque el comportamiento anómalo, más rápido podrán los expertos investigar y mitigar un posible ataque de blagging.
Capacitación de concientización sobre seguridad
Los empleados bien capacitados son mucho más difíciles de engañar para los blaggers. La educación continua fortalece el cortafuegos humano y empodera a las personas para detener la ingeniería social en seco con confianza.
Cuando los empleados saben burlar las tácticas de blagging, las empresas obtienen una gran ventaja. La capacitación debe incluir ejemplos y escenarios del mundo real para que los empleados puedan practicar cómo responder adecuadamente. Pruébelos con correos electrónicos de phishing simulados y visitantes inesperados para ver sus reacciones. También debe explicar común técnicas de blagging como pretextar, phishing y ofertas quid pro quo. Cuanto más comprendan los empleados las tácticas, mejor podrán reconocerlas.
Enseñe a los empleados cómo validar correctamente las solicitudes, verificar identidades, informar incidentes y manejar datos confidenciales según la política. Dar una guía clara sobre las acciones esperadas. Manténgalo interesante usando videos atractivos, módulos interactivos y concursos para mantener el enfoque en la seguridad. Actualizar el entrenamiento con frecuencia.
Y asegúrese de que los líderes sénior participen para demostrar el compromiso organizacional con la concientización.
Usar seguridad en capas
Confíe en múltiples controles de seguridad superpuestos en lugar de un único punto de falla.
Algunas capas que puede implementar incluyen:
- Controles de seguridad física como tarjetas de identificación, instalaciones seguras y monitoreo de CCTV para evitar seguimientos y accesos no autorizados.
- Defensas perimetrales como firewalls, IPS y filtros web para bloquear amenazas conocidas y sitios riesgosos para que no ingresen a su red.
- Seguridad de punto final con antivirus, detección y respuesta de punto finaly encriptación para evitar infracciones y dificultar el robo de datos.
- Seguridad de correo electrónico con puertas de enlace para filtrar correos electrónicos maliciosos y sandboxing para aislar amenazas.
- Controles de acceso como autenticación multifactor y permisos basados en roles para limitar el uso indebido de la cuenta, incluso si las credenciales se ven comprometidas.
- Herramientas de prevención de pérdida de datos para detener grandes transferencias de datos confidenciales.
Cuantos más obstáculos para los blaggers, más probable será que los detecten.
Manténgase en guardia contra el blagging
Si bien el blagging a menudo se dirige a las empresas, todos son vulnerables. Cualquiera de nosotros podría ser engañado por una llamada o correo electrónico aparentemente inocente de un estafador que se hace pasar por soporte técnico, un representante bancario o incluso un miembro de la familia que necesita ayuda. Es por eso que todos necesitamos aprender técnicas de blagging y saber cómo detectar señales de alerta.
Y si es dueño de un negocio o dirige una empresa, no debe subestimar esta amenaza. Con una capacitación integral de concienciación sobre seguridad y defensas técnicas en capas, puede frustrar a estos estafadores en su camino.
Con las medidas de seguridad adecuadas, los blaggers no tienen ninguna posibilidad.