Ingeniería social

Ingeniería social - en el contexto de la seguridad de la información - la manipulación psicológica de las personas para realizar ciertas acciones o revelar información confidencial. Debe distinguirse del concepto de ingeniería social en las ciencias sociales, que no se refiere a la divulgación de información confidencial. El conjunto de trucos para recopilar información, falsificar o acceder sin autorización se diferencia del "fraude" tradicional en que a menudo es uno de los muchos pasos de un esquema de fraude más complejo [1] .

También se puede definir como "toda acción que incita a una persona a actuar, que puede o no ser de su interés" [2] .

Técnicas

La elección de esta o aquella técnica depende no solo del conocimiento ya conocido sobre el objeto de influencia, sino también de la práctica situacional directa de la interacción con él, ya que la mayoría de las veces un ingeniero social se ocupa de las condiciones y circunstancias existentes que pueden nunca volver a suceder. el futuro (según A V. Veselov) [3] .

Suplantación de identidad

El phishing (phishing inglés, de pesca - pesca, pesca) es un tipo de fraude en Internet , cuyo propósito es obtener acceso a datos confidenciales de usuarios: inicios de sesión y contraseñas . Este es el esquema de ingeniería social más popular hasta la fecha. Ninguna violación importante de datos personales está completa sin una ola de correos electrónicos de phishing que la preceden. El ejemplo más llamativo de un ataque de phishing es un mensaje enviado a la víctima por correo electrónico y falsificado como una carta oficial, de un banco o sistema de pago, que requiere la verificación de cierta información o ciertas acciones. Las razones pueden llamarse las más diversas. Esto puede ser pérdida de datos, falla del sistema, etc. Dichos correos electrónicos generalmente contienen un enlace a una página web falsa que se ve exactamente como la oficial y contiene un formulario que requiere que ingrese información confidencial [4] .

Estafas de phishing populares Enlaces obsoletos

Un ataque que consiste en enviar un correo electrónico con una razón tentadora para visitar un sitio y un enlace directo al mismo que solo se parece al sitio esperado, como www.PayPai.com. Parece que es un enlace a PayPal, pocas personas notarán que la letra "l" ha sido reemplazada por una "i". Así, al hacer clic en el enlace, la víctima verá un sitio lo más idéntico posible al esperado, y al ingresar la información de la tarjeta de crédito, esta información se envía inmediatamente al atacante.

Uno de los ejemplos más notorios de una estafa de phishing global es una estafa de 2003 en la que miles de usuarios de eBay recibieron correos electrónicos que afirmaban que su cuenta había sido suspendida y requerían actualizar la información de su tarjeta de crédito para desbloquearla. Todos estos correos electrónicos contenían un enlace que conducía a una página web falsa que se parecía exactamente a la oficial. Sin embargo, según los expertos, las pérdidas por esta estafa ascendieron a menos de un millón de dólares (varios cientos de miles) [5] .

Fraude de marca corporativa

Estas estafas de phishing utilizan mensajes de correo electrónico falsos o sitios web que contienen los nombres de empresas grandes o conocidas. Los mensajes pueden incluir felicitaciones por ganar un concurso realizado por la empresa, que es urgente cambiar sus credenciales o contraseña. Esquemas fraudulentos similares en nombre del servicio de soporte técnico también pueden llevarse a cabo por teléfono [6] .

Loterías falsas

El usuario puede recibir mensajes indicando que ganó la lotería, la cual fue realizada por alguna empresa conocida. Exteriormente, estos mensajes pueden parecer enviados en nombre de uno de los empleados de alto rango de la corporación [6] .

Software antivirus y de seguridad falso

Dicho software fraudulento , también conocido como " scareware ", son programas que parecen antivirus, aunque en realidad es todo lo contrario. Dichos programas generan notificaciones falsas sobre diversas amenazas y también intentan atraer al usuario a transacciones fraudulentas. El usuario puede encontrarlos en correos electrónicos, anuncios en línea, redes sociales, resultados de motores de búsqueda e incluso ventanas emergentes de computadora que imitan los mensajes del sistema [6] .

IVR o phishing telefónico

Phishing telefónico - Vishing (eng. vishing - pesca de voz) se llama así por analogía con el phishing. Esta técnica se basa en el uso de un sistema de mensajes de voz pregrabados para recrear las "llamadas oficiales" de la banca y otros sistemas IVR . Por lo general, la víctima recibe una solicitud (la mayoría de las veces a través de correo electrónico de phishing) para comunicarse con el banco y confirmar o actualizar cierta información. El sistema requiere la autenticación del usuario ingresando un PIN o contraseña . Por lo tanto, habiendo escrito previamente la frase clave, puede encontrar toda la información necesaria. Por ejemplo, cualquiera puede escribir un comando típico: “Presione uno para cambiar la contraseña. Presione dos para obtener la respuesta del operador "y reproducirlo manualmente en el momento adecuado, dando la impresión de un sistema de mensajes de voz pregrabados actualmente en funcionamiento [7] .

Phreaking telefónico

Phreaking telefónico es un término utilizado para describir la experimentación y la piratería de sistemas telefónicos mediante la manipulación del sonido con marcación por tonos. Esta técnica apareció a finales de los años 50 en Estados Unidos. Bell Telephone Corporation, que entonces cubría casi todo el territorio de los Estados Unidos, utilizó la marcación por tonos para transmitir varias señales de servicio. Los entusiastas que intentaron replicar algunas de estas señales pudieron realizar llamadas gratuitas, organizar conferencias telefónicas y administrar la red telefónica.

Pretextando

Pretexting es un ataque en el que un atacante se hace pasar por una persona diferente y, de acuerdo con un escenario preparado previamente, obtiene información confidencial. Este ataque implica una preparación adecuada, como: cumpleaños, TIN, número de pasaporte o los últimos dígitos de la cuenta, para no despertar sospechas en la víctima. Por lo general, se implementa por teléfono o correo electrónico.

Quid pro quo

Quid pro quo (del latín Quid pro quo - "eso para esto") - en inglés, esta expresión generalmente se usa en el sentido de "quid pro quo". Este tipo de ataque involucra a un atacante que se pone en contacto con la empresa por teléfono corporativo (utilizando la actuación [8] ) o por correo electrónico. A menudo, el atacante se hace pasar por un empleado de soporte técnico que informa problemas técnicos en el lugar de trabajo del empleado y ofrece asistencia para solucionarlos. En el proceso de "resolver" problemas técnicos, el atacante obliga al objetivo del ataque a realizar acciones que le permiten ejecutar comandos o instalar varios programas en la computadora de la víctima [5] .

Un estudio de 2003 del Programa de Seguridad de la Información mostró que el 90% de los trabajadores de oficina están dispuestos a divulgar información confidencial, como sus contraseñas, a cambio de algún tipo de favor o recompensa [9] .

Camino Manzana

Este método de ataque es una adaptación del caballo de Troya y consiste en utilizar medios físicos . El atacante coloca medios de almacenamiento "infectados" en lugares públicos donde estos medios se pueden encontrar fácilmente, como baños, estacionamientos, comedores o en el lugar de trabajo del empleado atacado [5] . El medio se envasa como oficial de la empresa atacada, o se acompaña de una firma destinada a despertar la curiosidad. Por ejemplo, un atacante puede lanzar un CD con un logotipo corporativo y un enlace al sitio web oficial de la empresa, proporcionándole la inscripción "Salario del equipo directivo". El disco se puede dejar en el piso del ascensor o en el vestíbulo. Un empleado puede, sin saberlo, tomar un disco e insertarlo en una computadora para satisfacer su curiosidad.

Recopilación de información de fuentes abiertas

El uso de técnicas de ingeniería social requiere no solo conocimientos de psicología , sino también la capacidad de recopilar la información necesaria sobre una persona. Una forma relativamente nueva de obtener dicha información se ha convertido en su recopilación de fuentes abiertas, principalmente de las redes sociales . Por ejemplo, sitios como livejournal , Odnoklassniki , VKontakte contienen una gran cantidad de datos que las personas ni siquiera intentan ocultar. Por regla general, los usuarios no prestan la debida atención a las cuestiones de seguridad, dejando a libre disposición datos e información que pueden ser utilizados por un atacante. (en el caso de Vkontakte, dirección, número de teléfono, fecha de nacimiento, fotos, amigos, etc.)

Un ejemplo ilustrativo es la historia del secuestro del hijo de Eugene Kaspersky. Durante la investigación se constató que los delincuentes conocieron el horario del día y las rutas del adolescente a partir de sus registros en la página en la red social [10] .

Incluso restringiendo el acceso a la información de su página en una red social, el usuario no puede estar seguro de que nunca caerá en manos de estafadores. Por ejemplo, un investigador de seguridad informática brasileño demostró que es posible convertirse en amigo de cualquier usuario de Facebook en 24 horas utilizando técnicas de ingeniería social. Durante el experimento, el investigador Nelson Novaes Neto [11] eligió una víctima y creó una cuenta falsa de una persona de su entorno: su jefe. Primero, Neto enviaba solicitudes de amistad a los amigos de los amigos del jefe de la víctima y luego directamente a sus amigos. Después de 7,5 horas, el investigador logró la adición de un amigo de la víctima. Así, el investigador obtuvo acceso a la información personal del usuario, la cual compartió solo con sus amigos.

Hombro surf

Shoulder surfing (eng. shoulder surfing ) consiste en observar la información personal de la víctima por encima del hombro. Este tipo de ataque es común en lugares públicos como cafeterías, centros comerciales, aeropuertos, estaciones de tren y transporte público.

Una encuesta de profesionales de TI en un libro blanco [12] sobre seguridad mostró que:

El 85% de los encuestados admitió que vio información confidencial que se suponía que no debía saber;
El 82% admitió que la información que se muestra en su pantalla puede ser vista por personas no autorizadas;
El 82% tiene poca confianza en que alguien en su organización protegerá su pantalla de extraños.

Ingeniería social inversa

Se habla de ingeniería social inversa cuando la propia víctima ofrece al atacante la información que necesita. Puede parecer absurdo, pero de hecho, las autoridades técnicas o sociales a menudo obtienen ID de usuario y contraseñas y otra información personal confidencial simplemente porque nadie duda de su integridad. Por ejemplo, los empleados de la mesa de ayuda nunca piden a los usuarios una identificación o contraseña; no necesitan esta información para resolver problemas. Sin embargo, muchos usuarios comparten voluntariamente esta información confidencial para resolver los problemas lo antes posible. Resulta que el atacante ni siquiera necesita preguntar al respecto. .

Un ejemplo de ingeniería social inversa es el siguiente escenario simple. El atacante, trabajando junto con la víctima, cambia el nombre del archivo en su computadora o lo mueve a otro directorio. Cuando la víctima nota que falta el archivo, el atacante afirma que puede arreglarlo. Queriendo completar el trabajo más rápido o evitar el castigo por la pérdida de información, la víctima acepta esta propuesta. El atacante afirma que la única forma de solucionar el problema es iniciando sesión con las credenciales de la víctima. Ahora la víctima le pide al atacante que inicie sesión con su nombre para intentar restaurar el archivo. El atacante acepta a regañadientes y recupera el archivo, robando la identificación y la contraseña de la víctima en el camino. Habiendo llevado a cabo con éxito el ataque, incluso mejoró su reputación, y es muy posible que otros colegas recurran a él en busca de ayuda después de eso. Este enfoque no interfiere con los procedimientos normales del servicio de soporte y hace que sea más difícil atrapar al atacante. [13]

Ingenieros sociales notables

Kevin Mitnick

Uno de los ingenieros sociales más famosos de la historia es Kevin Mitnick. Como pirata informático y consultor de seguridad de renombre mundial , Mitnick también es autor de numerosos libros sobre seguridad informática, centrándose principalmente en la ingeniería social y las técnicas de manipulación psicológica. En 2001, se publicó el libro " El Arte del Engaño" bajo su autoría [5] , que narra historias reales del uso de la ingeniería social [14] . Kevin Mitnick argumenta que es mucho más fácil obtener una contraseña haciendo trampa que tratando de entrar en un sistema de seguridad [15] .

Los hermanos Badir

Aunque los hermanos Badir, Mushid y Shadi Badir eran ciegos de nacimiento, lograron llevar a cabo varios esquemas de fraude importantes en Israel en la década de 1990 utilizando ingeniería social y falsificación de voz. En una entrevista televisiva, dijeron: "Solo aquellos que no usan el teléfono, la electricidad y la computadora portátil están completamente asegurados contra ataques a la red". Los hermanos ya han estado en prisión por escuchar las señales de servicio en la línea telefónica. Hicieron largas llamadas al extranjero a expensas de otra persona, simulando la señalización entre estaciones en el canal .

Arcángel

Un conocido hacker informático y consultor de seguridad de Phrack Magazine , una conocida revista en línea en inglés , Archangel demostró el poder de las técnicas de ingeniería social al obtener contraseñas de una gran cantidad de sistemas diferentes en poco tiempo, engañando a varios cientos de víctimas. .

Otros

Los ingenieros sociales menos conocidos son Frank Abagnale , David Bannon , Peter Foster y Stephen Jay Russell .

Formas de protegerse contra la ingeniería social

Para llevar a cabo sus ataques, los atacantes de ingeniería social suelen explotar la credulidad, la pereza, la cortesía e incluso el entusiasmo de los usuarios y empleados de las organizaciones. Defenderse de este tipo de ataques no es fácil, porque sus víctimas pueden no sospechar que han sido engañadas. Los atacantes de ingeniería social tienen básicamente los mismos objetivos que cualquier otro atacante: necesitan dinero, información o recursos de TI de la empresa víctima. Para protegerse contra tales ataques, debe estudiar sus tipos, comprender qué necesita el atacante y evaluar el daño que puede causar a la organización. Con toda esta información se pueden integrar en la política de seguridad las medidas de protección necesarias.

Cómo detectar un ataque de ingeniero social

Los siguientes son los métodos de actuación de los ingenieros sociales:

presentarse como un amigo-empleado o un nuevo empleado que pide ayuda;
presentarse como empleado de un proveedor, de una empresa colaboradora, de un representante de la ley;
representarse a sí mismo como alguien de la gerencia;
hacerse pasar por un proveedor o fabricante de un sistema operativo que llama para ofrecer una actualización o parche a la víctima para su instalación;
ofrecer ayuda cuando surge un problema y luego provocar un problema que lleve a la víctima a pedir ayuda;
uso de jerga y terminología internas para generar confianza;
enviar un virus o caballo de Troya como archivo adjunto de correo electrónico;
usar una ventana emergente falsa que le pide que se autentique nuevamente o ingrese una contraseña;
ofrecer un premio por registrarse en el sitio con un nombre de usuario y contraseña;
grabar las claves que la víctima ingresa en su computadora o en su programa ( keylogging );
arrojar varios soportes de datos (tarjetas flash, discos, etc.) con malware en la mesa de la víctima;
enviar un documento o carpeta al departamento postal de la empresa para su entrega interna;
modificar las letras del fax para que parezca que proviene de una empresa;
la solicitud de la secretaria para aceptar y luego enviar el fax;
una solicitud para enviar el documento a un lugar que parece ser local (es decir, ubicado en el territorio de la organización);
ajustar el correo de voz para que los empleados que decidan devolver la llamada piensen que el atacante es su empleado;

Clasificación de las amenazas

Amenazas telefónicas

El teléfono sigue siendo uno de los medios de comunicación más populares dentro y entre organizaciones, por lo que sigue siendo una herramienta eficaz para la ingeniería social. Cuando se habla por teléfono, es imposible ver la cara del interlocutor para confirmar su identidad, lo que brinda a los atacantes la oportunidad de hacerse pasar por un empleado, jefe o cualquier otra persona a la que se le pueda confiar información confidencial o aparentemente sin importancia. El atacante a menudo organiza la conversación de tal manera que la víctima no tiene más remedio que ayudar, especialmente cuando la solicitud parece una nimiedad.

También son populares varias estafas destinadas a robar dinero a los usuarios de teléfonos móviles. Estos pueden ser tanto llamadas como mensajes SMS sobre ganancias en loterías, concursos, solicitudes de devolución de fondos adeudados por error o mensajes de que los familiares cercanos de la víctima están en problemas y necesitan urgentemente transferir una cierta cantidad de fondos.

Las medidas de seguridad sugieren una actitud escéptica hacia dichos mensajes y algunos principios de seguridad:

Comprobación de la identidad de la persona que llama;
Uso del servicio de identificación de números;
Ignorar enlaces desconocidos en mensajes SMS;

Amenazas de correo electrónico

Muchos empleados reciben docenas e incluso cientos de correos electrónicos diariamente a través de sistemas de correo privados y corporativos. Por supuesto, con tal flujo de correspondencia, es imposible prestar la debida atención a cada carta. Esto hace que sea mucho más fácil llevar a cabo ataques. La mayoría de los usuarios de los sistemas de correo electrónico están tranquilos sobre el procesamiento de tales mensajes, percibiendo este trabajo como un análogo electrónico de pasar papeles de una carpeta a otra. Cuando un atacante envía una solicitud simple por correo, la víctima a menudo hace lo que se le pide sin pensar en sus acciones. Los correos electrónicos pueden contener hipervínculos que alientan a los empleados a violar la seguridad del entorno corporativo. Dichos enlaces no siempre conducen a las páginas reclamadas.

La mayoría de las medidas de seguridad están dirigidas a evitar que usuarios no autorizados accedan a los recursos corporativos. Si, al hacer clic en un hipervínculo enviado por un atacante, un usuario descarga un troyano o un virus en la red corporativa, esto evitará fácilmente muchos tipos de protección. El hipervínculo también puede apuntar a un sitio con aplicaciones emergentes que solicitan información u ofrecen ayuda. Al igual que con otros tipos de estafas, la forma más efectiva de protegerse contra ataques maliciosos es ser escéptico ante cualquier correo electrónico entrante inesperado. Para extender este enfoque a toda la organización, se deben incluir pautas específicas de uso de correo electrónico en la política de seguridad, que cubran los elementos que se enumeran a continuación. [dieciséis]

Adjuntos a documentos.
Hipervínculos en documentos.
Solicitudes de información personal o corporativa desde dentro de la empresa.
Solicitudes de información personal o corporativa desde fuera de la empresa.

Amenazas asociadas al uso del servicio de mensajería instantánea

La mensajería instantánea es una forma relativamente nueva de transferir datos, pero ya ha ganado gran popularidad entre los usuarios corporativos. Debido a la velocidad y facilidad de uso, este método de comunicación abre amplias oportunidades para varios ataques: los usuarios lo tratan como una conexión telefónica y no lo asocian con amenazas de software potenciales. Los dos principales tipos de ataques basados en el uso del servicio de mensajería instantánea son la referencia al malware en el cuerpo del mensaje y la entrega del propio programa. Por supuesto, la mensajería instantánea también es una forma de solicitar información. Una de las características de los servicios de mensajería instantánea es la naturaleza informal de la comunicación. Combinado con la capacidad de asignarse cualquier nombre a uno mismo, este factor hace que sea mucho más fácil para un atacante hacerse pasar por otra persona y aumenta en gran medida sus posibilidades de llevar a cabo un ataque con éxito. Si una empresa tiene la intención de aprovechar los ahorros de costos y otros beneficios que brinda la mensajería instantánea, las políticas de seguridad corporativa deben abordar estas amenazas. Hay varios requisitos que se deben cumplir para tener un control confiable sobre la mensajería instantánea en un entorno corporativo. [17]

Elija una plataforma para la mensajería instantánea.
Determine la configuración de seguridad que se establece al implementar el servicio de mensajería instantánea.
Definir principios para establecer nuevos contactos.
Establecer estándares para elegir contraseñas
Hacer recomendaciones para el uso del servicio de mensajería instantánea.

Métodos defensivos básicos

Los especialistas en ingeniería social identifican los siguientes métodos principales de protección para las organizaciones:

desarrollar una política de clasificación de datos bien pensada que tenga en cuenta esos tipos de datos aparentemente inofensivos que pueden conducir a información importante;
garantizar la protección de la información del cliente cifrando los datos o utilizando el control de acceso;
capacitar a los empleados en las habilidades para reconocer a un ingeniero social, mostrar sospecha al tratar con personas que no conocen personalmente;
prohibir al personal intercambiar contraseñas o usar una compartida;
la prohibición de proporcionar información del departamento con secretos a alguien que no se conozca tan personalmente o que no esté confirmado de ninguna manera;
el uso de procedimientos especiales de confirmación para todos los que solicitan acceso a información confidencial;

Modelo de seguridad en capas

Para proteger a las grandes empresas y a sus empleados de los estafadores que utilizan técnicas de ingeniería social, a menudo se utilizan complejos sistemas de seguridad de varios niveles. Algunas de las características y responsabilidades de dichos sistemas se enumeran a continuación.

Seguridad física. Barreras que restringen el acceso a los edificios de la empresa y los recursos corporativos. No olvide que los recursos de la empresa, como los contenedores de basura ubicados fuera de las instalaciones de la empresa, no están protegidos físicamente.
Datos. Información comercial: cuentas, correo, etc. Al analizar amenazas y planificar medidas para la protección de datos, es necesario determinar los principios para el manejo de soportes de datos en papel y electrónicos.
Aplicaciones. Programas ejecutados por los usuarios. Para proteger su entorno, debe considerar cómo los atacantes pueden explotar los programas de correo electrónico, los servicios de mensajería instantánea y otras aplicaciones.
Ordenadores. Servidores y sistemas cliente utilizados en la organización. Proteger a los usuarios de ataques directos a sus equipos mediante la definición de pautas estrictas sobre qué programas se pueden usar en los equipos corporativos.
Red interna. Una red a través de la cual interactúan los sistemas corporativos. Puede ser local, global o inalámbrica. En los últimos años, debido a la creciente popularidad de los métodos de trabajo remotos, los límites de las redes internas se han vuelto en gran medida arbitrarios. Es necesario explicar a los empleados de la empresa qué deben hacer para organizar un trabajo seguro en cualquier entorno de red.
perímetro de la red. El límite entre las redes internas de una empresa y las redes externas, como Internet o las redes de organizaciones asociadas.

Responsabilidad

Pretextar y grabar conversaciones telefónicas

En el código legal de los EE. UU., el pretexting, es decir, hacerse pasar por otra persona para obtener información que se le puede proporcionar a esa persona, se equipara con una invasión de la privacidad [18] . En diciembre de 2006, el Congreso de los Estados Unidos aprobó un proyecto de ley que sancionaría el pretexto y la grabación de conversaciones telefónicas con una multa de hasta 250.000 dólares o prisión de hasta 10 años para las personas físicas (o una multa de 500.000 dólares para las personas jurídicas). El decreto correspondiente fue firmado por el presidente George W. Bush el 12 de enero de 2007 [19] .

Hewlett Packard

Patricia Dunn, presidenta de Hewlett Packard Corporation, dijo que HP contrató a una empresa privada para identificar a los empleados de la empresa responsables de filtrar información confidencial. Posteriormente, el titular de la corporación admitió que en el proceso de investigación se utilizó la práctica del pretexto y otras técnicas de ingeniería social [20] .

Notas

↑ Ross J. Anderson. Ingeniería de seguridad: una guía para construir sistemas distribuidos confiables . — John Wiley & Sons, 2008-04-14. — 1080 s. - ISBN 978-0-470-06852-6 .
↑ Ingeniería social definida . Seguridad a través de la educación . Consultado el 21 de agosto de 2020. Archivado desde el original el 3 de octubre de 2018.
↑ Veselov A. V. El tema de la ingeniería social: concepto, tipos, formación // Filosofía y cultura: Revista. - 2011. - 8 de agosto ( N° 8 ). - S. 17 . (Ruso)
↑ Suplantación de identidad . Archivado desde el original el 10 de noviembre de 2012. Consultado el 6 de noviembre de 2012.
↑ 1 2 3 4 Kevin D. Mitnick; Guillermo L. Simón. El arte del engaño. - TI, 2004. - ISBN 5-98453-011-2 .
↑ 1 2 3 Cómo proteger su red interna de ataques , Microsoft TechNet. Archivado desde el original el 27 de septiembre de 2018. Consultado el 1 de octubre de 2017.
↑ Ross, David . Cómo funciona la respuesta de voz interactiva (IVR) . Archivado desde el original el 14 de agosto de 2020. Consultado el 22 de agosto de 2020.
↑ Qui pro quo
↑ Leyden, John Los trabajadores de oficina regalan contraseñas . Theregister.co.uk (18 de abril de 2003). Consultado el 1 de octubre de 2017. Archivado desde el original el 20 de noviembre de 2012. (indefinido)
↑ Goodchild, L!FENEWS . El hijo de Kaspersky fue secuestrado en Moscú (21 de abril de 2011). Archivado desde el original el 4 de noviembre de 2012. Consultado el 6 de noviembre de 2012.
↑ Nelson Novaes Neto . Archivado desde el original el 20 de febrero de 2010. Consultado el 6 de noviembre de 2012.
↑ Seguridad de datos visuales europea. "Libro blanco de seguridad de datos visuales" (enlace no disponible) (2014). Consultado el 19 de diciembre de 2014. Archivado desde el original el 13 de mayo de 2014. (indefinido)
↑ Cómo proteger su red interna y a los empleados de la empresa de los ataques , Microsoft TechNet. Archivado desde el original el 27 de septiembre de 2018. Consultado el 1 de octubre de 2017.
^ Ingeniería social (ruso) . Archivado desde el original el 21 de abril de 2014. Consultado el 6 de noviembre de 2012.
↑ Mitnick, K. Introducción // Libro de trabajo del curso CSEPS. - Mitnick Security Publishing, 2004. - Pág. 4.
↑ Uso del correo electrónico , CITForum. Archivado desde el original el 2 de noviembre de 2012. Consultado el 6 de noviembre de 2012.
↑ Directrices para operaciones de Internet más seguras , KasperskyLab. Archivado desde el original el 29 de marzo de 2013. Consultado el 6 de noviembre de 2012.
↑ Replanteamiento 2d de Torts § 652C
↑ Eric Bangeman. El Congreso prohíbe los pretextos . Ars Technica (12 de noviembre de 2006). Consultado el 1 de octubre de 2017. Archivado desde el original el 17 de enero de 2017.
↑ Stephen Shankland. Presidente de HP: Uso de pretextos 'vergonzoso ' . CNET News.com (8 de septiembre de 2006).

Enlaces

Ingeniería Social: Fundamentos. Parte I: Tácticas de Hackers
Protección contra phishing
"Protección de los registros telefónicos de los consumidores" , Centro de información de privacidad electrónica Comité de comercio, ciencia y transporte de EE. UU.
Plotkin, Hal . Memorando a la prensa: Pretextar ya es ilegal
social-ingeniero.org - social-ingeniero.org _
Descripción general de las amenazas de ingeniería social - Presentado para padres y maestros
Tailor Jerry: recurso en ruso sobre ingeniería social

diccionarios y enciclopedias	gran chino