우리 모두는 기술적 전문성을 활용하여 보호 된 컴퓨터 시스템에 침투하고 중요한 데이터를 손상시키는 공격자의 유형에 대해 알고 있습니다. 이 유형의 악의적 인 공격자는 항상 뉴스를 만들고 네트워크 방어를 강화할 새로운 기술에 투자하여 악용에 대응하도록 유도합니다.
그러나 다른 전술을 사용하여 공격하는 또 다른 유형의 공격자가 있습니다. 우리의 도구와 솔루션. 그들은 모든 조직에서 발견되는 한 가지 약점 인 인간 심리학을 악용하기 때문에 “소셜 엔지니어”라고 불립니다. 이러한 공격자는 전화 통화 및 기타 미디어를 사용하여 사람들을 속여 조직의 민감한 정보에 대한 액세스 권한을 넘겨줍니다.
소셜 엔지니어링은 광범위한 악의적 활동을 포괄하는 용어입니다.이 기사에서는 소셜 엔지니어가 피해자를 표적으로 삼기 위해 사용하는 가장 일반적인 5 가지 공격 유형에 중점을 두도록하겠습니다. 피싱, 구실, 미끼, 퀴드 프로입니다. quo 및 tailgating.
피싱
피싱은 오늘날 발생하는 가장 일반적인 유형의 사회 공학 공격입니다. 그러나 정확히 무엇입니까? 높은 수준에서 대부분의 피싱 사기는 세 가지 :
- 이름, 주소 및 주민등록번호와 같은 개인 정보를 얻습니다.
- 피싱 방문 페이지를 호스팅하는 의심스러운 웹 사이트로 사용자를 리디렉션하는 단축되거나 오해의 소지가있는 링크를 사용합니다.
- t 통합 신속하게 응답하도록 사용자를 조작하려는 시도에 대한 비판, 두려움 및 긴박감.
두 개의 피싱 이메일이 동일하지 않습니다. 실제로 피싱 공격에는 6 개 이상의 하위 범주가 있습니다. 또한 일부 메시지가 철자 및 문법 오류로 인해 어려움을 겪을 정도로 잘못 제작 된 것도 알고 있습니다. 그럼에도 불구하고 이러한 이메일은 일반적으로 가짜 웹 사이트 나 양식을 사용하여 사용자 로그인 자격 증명 및 기타 개인 데이터를 훔치는 동일한 목표를 가지고 있습니다.
최근 피싱 캠페인은 손상된 이메일 계정을 사용하여 공격 이메일을 발송했습니다. 이 메시지는 수신자에게 포함 된 URL을 클릭하여 제안 된 문서를 검토하도록 요청했습니다. 시만텍의 클릭 타임 URL 보호 기능이 적용된이 악성 URL은 수신자를 OneNote 문서에 포함 된 두 번째 악성 URL을 전달하는 손상된 SharePoint 계정으로 리디렉션했습니다. 이 URL은 사용자를 Microsoft Office 365 로그인 포털을 가장하는 피싱 페이지로 리디렉션했습니다.
프리 텍스트
프리 텍스트는 공격자가 좋은 구실을 만드는 데 집중하는 또 다른 형태의 사회 공학입니다. 또는 피해자의 개인 정보를 도용하기 위해 사용하는 조작 된 시나리오입니다. 이러한 유형의 공격에서 사기꾼은 일반적으로 자신의 신원을 확인하기 위해 표적의 특정 정보가 필요하다고 말합니다. 실제로 그들은 해당 데이터를 훔쳐서 신원 도용을 저 지르거나 2 차 공격을 준비하는 데 사용합니다.
더 많은 지능형 공격은 때때로 조직의 디지털 및 / 또는 물리적 약점을 악용하는 작업을 수행하도록 표적을 속이려고합니다. 예를 들어 공격자는 외부 IT 서비스 감사인을 사칭하여 대상 회사의 물리적 보안 팀과 대화하여 건물 안으로 들어 오도록 할 수 있습니다.
피싱 공격은 주로 두려움과 긴급 성을 유리하게 사용하지만 구실을합니다. 공격은 피해자에 대한 잘못된 신뢰감을 구축하는 데 의존합니다. 이를 위해서는 공격자가 대상 측에서 의심의 여지가 거의없는 신뢰할 수있는 스토리를 구축해야합니다.
프리텍 스팅은 다양한 형태를 취할 수 있습니다. 그럼에도 불구하고 이러한 공격 유형을 포용하는 많은 위협 행위자들은 재무 개발 분야에서 HR 직원 또는 직원으로 가장하기로 결정합니다. Verizon이 2019 년 DBIR (Data Breach Investigations Report)에서 발견 한 것처럼 이러한 위장을 통해 최고 경영진을 표적으로 삼을 수 있습니다.
베이 팅
베이 팅은 여러면에서 피싱 공격과 유사합니다. 그러나 다른 유형의 사회 공학과 구별되는 점은 악의적 인 행위자가 피해자를 유인하기 위해 사용하는 항목 또는 재화에 대한 약속입니다. 예를 들어, Baiters는 무료 음악 또는 영화 다운로드 제공을 활용하여 사용자가 로그인 자격 증명을 제공하도록 속일 수 있습니다.
베이터 공격은 온라인 사기에만 국한되지 않습니다. 공격자는 물리적 미디어를 사용하여 인간의 호기심을 악용하는 데 집중할 수도 있습니다.
예를 들어 2018 년 7 월 KrebsOnSecurity는 미국의 주 및 지방 정부 기관을 대상으로 한 공격 캠페인에 대해보고했습니다. 작전은 콤팩트 디스크 (CD)와 함께 혼란스러운 편지가 포함 된 중국 소인 봉투를 보냈습니다. 요점은 수신자의 호기심을 불러 일으켜 CD를로드하여 실수로 컴퓨터에 악성 코드를 감염 시키도록하는 것이 었습니다.
Quid Pro Quo
미끼와 유사한, quid pro quo 공격이 약속합니다. 정보에 대한 대가로 혜택. 이 혜택은 일반적으로 서비스의 형태를 취하지 만 미끼는 일반적으로 재화의 형태를 취합니다.
최근 몇 년간 발생한 가장 일반적인 유형의 퀴드 프로 쿼 공격 중 하나는 사기꾼이 미국 사회 보장국 (SSA)을 사칭하는 것입니다. 이러한 가짜 SSA 직원은 임의의 개인에게 연락하여 컴퓨터 문제가 있음을 알리고 해당 개인이 신원 도용을 목적으로 사회 보장 번호를 확인하도록 요청합니다. FTC (Federal Trade Commission)에서 탐지 한 다른 경우에는 악의적 인 공격자가 사용자가 새 사회 보장 카드를 신청하는 데 도움을 줄 수 있지만 대신 단순히 개인 정보를 훔치는 가짜 SSA 웹 사이트를 설정합니다.
중요합니다. 그러나 공격자는 SSA 테마 rus보다 훨씬 덜 정교한 quid pro quo 제안을 사용할 수 있습니다. 이전 공격에서 알 수 있듯이 직장인은 값싼 펜이나 초콜릿 바를 위해 암호를 기꺼이 제공합니다.
테일 게이트
우리의 마지막 사회 공학 공격 유형은 다음과 같습니다. 이 날은 테일 게이트 또는 “피기 백”이라고합니다. 이러한 유형의 공격에서 적절한 인증이없는 사람은 인증 된 직원을 따라 제한 구역으로 이동합니다. 공격자는 배달 기사를 가장하여 건물 밖에서 작업을 시작하기를 기다릴 수 있습니다. 직원이 보안의 승인을 받고 문을 열면 공격자는 직원에게 문을 열어 건물에 접근 할 수 있도록 요청합니다.
키 카드를 사용해야하는 입구가있는 대기업과 같은 모든 기업 환경에서는 테일 게이팅이 작동하지 않습니다. 그러나 중견 기업에서는 , 공격자는 직원과의 대화를 시작하고이 친숙 함을 사용하여 프런트 데스크를 통과 할 수 있습니다.
사실 Siemens Enterprise Communications의 보안 컨설턴트 인 Colin Greenless는 이러한 전술을 사용하여 여러 서비스에 액세스 할 수 있습니다. FTSE에 등재 된 금융 회사의 플로어와 데이터 룸. 그는 3 층 회의실에 매장을 차리고 며칠 동안 그곳에서 일할 수있었습니다.
사회 공학 권장 사항
M 사회 공학 공격에 관여하는 악의적 인 행위자는 대상의 정보를 손상시키기 위해 인간의 심리와 호기심을 노립니다. 이러한 인간 중심의 초점을 염두에두고 직원들이 이러한 유형의 공격에 대응할 수 있도록 돕는 것은 조직의 몫입니다.
다음은 조직이 사용자를 도울 수있는 보안 인식 교육 프로그램에 통합 할 수있는 몇 가지 팁입니다. 사회 공학 계획을 피하려면 :
- 신뢰할 수없는 출처에서 온 이메일을 열지 마십시오. 의심스러운 이메일 메시지를 받으면 친구 나 가족에게 직접 연락하거나 전화로 연락하십시오.
- 낯선 사람의 제안을 의심의 여지가없이 제공하지 마십시오. 너무 좋아서 사실이라고 생각하지 않는다면 아마도 그럴 것입니다.
- 워크 스테이션에서 떨어져있을 때 랩톱을 잠급니다.
- 바이러스 백신 소프트웨어를 구입하십시오. AV 솔루션은 사용자의 정보를 위험에 빠뜨리려는 모든 위협을 방어 할 수 없지만 일부 위협으로부터 보호 할 수는 있습니다.
- 회사의 개인 정보 보호 정책을 읽고 어떤 상황에서 낯선 사람이 침입하도록 허용해야하는지 이해하십시오. 건물.