걱정해야 할 온라인 위협은 멀웨어뿐이 아닙니다. 사회 공학은 큰 위협이며 모든 운영 체제에서 타격을 입을 수 있습니다. 실제로 사회 공학은 전화를 통해 또는 대면 상황에서도 발생할 수 있습니다.
사회 공학을 인식하고 경계를 지키는 것이 중요합니다. 보안 프로그램은 대부분의 사회 공학적 위협으로부터 사용자를 보호하지 못하므로 스스로를 보호해야합니다.
사회 공학 설명
기존의 컴퓨터 기반 공격은 종종 컴퓨터 코드의 취약점을 찾는 데 의존합니다. 예를 들어 이전 버전의 Adobe Flash를 사용 중이거나 금지되어있는 경우 자바 , Cisco에 따르면 2013 년 공격의 91 %의 원인이되었습니다. 악성 웹 사이트를 방문하면 해당 웹 사이트가 소프트웨어의 취약점을 악용하여 컴퓨터에 액세스 할 수 있습니다. 공격자는 소프트웨어의 버그를 조작하여 액세스 권한을 얻고 개인 정보를 수집합니다.
사회 공학 트릭은 대신 심리적 조작을 포함하기 때문에 다릅니다. 즉, 소프트웨어가 아니라 사람을 착취합니다.
이미 들어 보셨을 것입니다. 피싱 , 사회 공학의 한 형태입니다. 은행, 신용 카드 회사 또는 다른 신뢰할 수있는 업체에서 보낸 것으로 주장하는 이메일을받을 수 있습니다. 실제 웹 사이트처럼 위장한 가짜 웹 사이트로 안내하거나 악성 프로그램을 다운로드하여 설치하도록 요청할 수 있습니다. 그러나 그러한 사회 공학적 트릭은 가짜 웹 사이트 나 악성 코드를 포함 할 필요가 없습니다. 피싱 이메일은 단순히 개인 정보가 포함 된 이메일 답장을 보내도록 요청할 수 있습니다. 소프트웨어의 버그를 악용하기보다는 정상적인 인간 상호 작용을 악용하려고합니다. 스피어 피싱 특정 개인을 대상으로하는 피싱의 한 형태이므로 훨씬 더 위험 할 수 있습니다.
사회 공학의 예
채팅 서비스 및 온라인 게임에서 인기있는 트릭 중 하나는 "관리자"와 같은 이름으로 계정을 등록하고 사람들에게 "경고 : 누군가가 귀하의 계정을 해킹하는 것을 감지했습니다. 귀하의 비밀번호로 응답하여 자신을 인증 할 수 있습니다."와 같은 무서운 메시지를 보내는 것입니다. 대상이 암호로 응답하면 속임수에 빠진 것이며 공격자는 이제 계정 암호를 갖게됩니다.
누군가 귀하에 대한 개인 정보가있는 경우이를 사용하여 귀하의 계정에 액세스 할 수 있습니다. 예를 들어, 생년월일, 주민등록번호, 신용 카드 번호와 같은 정보는 종종 귀하를 식별하는 데 사용됩니다. 누군가이 정보를 가지고 있다면, 그들은 업체에 연락하여 당신 인 척 할 수 있습니다. 이 트릭은 공격자가 Sarah Palin의 Yahoo! 2008 년 메일 계정으로 Yahoo!의 비밀번호 복구 양식을 통해 계정에 액세스 할 수있는 충분한 개인 정보를 제출했습니다. 비즈니스에서 귀하를 인증하는 데 필요한 개인 정보가있는 경우 전화를 통해 동일한 방법을 사용할 수 있습니다. 표적에 대한 정보가있는 공격자는 자신을 가장하여 더 많은 정보에 액세스 할 수 있습니다.
사회 공학도 직접 사용할 수 있습니다. 공격자는 사업장에 들어 와서 비서에게 자신이 권위 있고 설득력있는 어조로 수리 담당자, 신입 사원 또는 화재 검사관임을 알리고 복도를 돌아 다니며 잠재적으로 기밀 데이터를 훔치거나 버그를 심어 기업 스파이를 수행 할 수 있습니다. 이 트릭은 공격자가 자신이 아닌 사람으로 자신을 표현하는 방식에 따라 다릅니다. 비서, 도어맨 또는 책임자가 너무 많은 질문을하거나 너무 자세히 보지 않으면 트릭이 성공할 것입니다.
관련 : 공격자가 실제로 온라인에서 "계정을 해킹"하는 방법과 자신을 보호하는 방법
소셜 엔지니어링 공격은 가짜 웹 사이트, 사기성 이메일, 악의적 인 채팅 메시지의 범위에서 전화로 또는 대면으로 누군가를 사칭합니다. 이러한 공격은 다양한 형태로 제공되지만 모두 한 가지 공통점이 있습니다. 심리적 속임수에 의존합니다. 사회 공학은 심리 조작의 예술이라고 불려 왔습니다. 다음 중 하나입니다. "해커"가 실제로 온라인에서 계정을 "해킹"하는 주요 방법 .
사회 공학을 피하는 방법
사회 공학이 존재한다는 것을 아는 것은 그것을 극복하는 데 도움이 될 수 있습니다. 개인 정보를 요구하는 원치 않는 이메일, 채팅 메시지 및 전화 통화를 의심하십시오. 재무 정보 나 중요한 개인 정보를 이메일로 절대 공개하지 마십시오. 이메일에서 중요하다고 주장하더라도 잠재적으로 위험한 이메일 첨부 파일을 다운로드하여 실행하지 마세요.
또한 민감한 웹 사이트로 연결되는 이메일의 링크를 따라 가서는 안됩니다. 예를 들어 은행에서 보낸 것처럼 보이는 이메일의 링크를 클릭하여 로그인하지 마세요. 은행 사이트로 위장했지만 URL이 미묘하게 다른 가짜 피싱 사이트로 연결될 수 있습니다. 대신 웹 사이트를 직접 방문하십시오.
은행에서 전화로 개인 정보를 요청하는 등 의심스러운 요청을 받으면 요청 출처에 직접 연락하여 확인을 요청하십시오. 이 예에서는 은행이라고 주장하는 사람에게 정보를 누설하는 대신 은행에 전화하여 원하는 것이 무엇인지 물어 봅니다.
이메일 프로그램, 웹 브라우저 및 보안 제품군에는 일반적으로 알려진 피싱 사이트를 방문 할 때 경고하는 피싱 필터가 있습니다. 그들이 할 수있는 일은 여러분이 알려진 피싱 사이트를 방문하거나 알려진 피싱 이메일을 받았을 때 경고하는 것뿐입니다. 그들은 모든 피싱 사이트 나 이메일에 대해 알지 못합니다. 대부분의 경우 자신을 보호하는 것은 사용자의 몫입니다. 보안 프로그램은 약간만 도움이 될 수 있습니다.
비공개 데이터 및 기타 사회 공학적 공격이 될 수있는 모든 요청을 처리 할 때 건전한 의심을 행사하는 것이 좋습니다. 의심과주의는 온라인과 오프라인 모두에서 사용자를 보호하는 데 도움이됩니다.
이미지 크레딧 : Flickr의 Jeff Turnet
