사회 공학 정의
사회 공학은 건물에 접근하기 위해 기술적 해킹 기술이 아닌 인간 심리학을 이용하는 기술입니다. , 시스템 또는 데이터.
예를 들어, 소셜 엔지니어는 소프트웨어 취약점을 찾는 대신 직원에게 전화를 걸어 IT 지원 담당자로 가장하여 직원이 자신의 암호를 누설하도록 속일 수 있습니다.
유명한 해커 인 Kevin Mitnick은 “90 년대에”사회 공학 “이라는 용어를 대중화하는 데 도움을주었습니다.하지만 사기꾼이있는 한 아이디어와 많은 기술이 주변에 있었지만 말입니다.
데이터 센터, 클라우드 배포, 건물의 물리적 보안과 관련하여 “모든 종소리와 휘파람”을 알고 있고 방어 기술에 투자 한 경우에도 권리가 있습니다. 보안 정책 및 프로세스를 마련하고 그 효과를 측정하고 지속적으로 즉흥적으로 e, 여전히 교활한 사회 공학자는 자신의 길을 통과 할 수 있습니다.
사회 공학 기술
사회 공학은 범죄자가 조직에 “들어가는”매우 성공적인 방법임이 입증되었습니다. 소셜 엔지니어가 신뢰할 수있는 직원의 비밀번호를 갖게되면 로그인하고 민감한 데이터를 스누핑 할 수 있습니다. 액세스 카드 나 코드를 사용하여 시설에 물리적으로 들어가기 위해 범죄자는 데이터에 액세스하고 자산을 훔치거나 피해를 입힐 수 있습니다.
해부학 기사에서 침투 테스터가 시사, 소셜 네트워크 사이트에서 제공되는 공개 정보 및 구입 한 $ 4 Cisco 셔츠를 어떻게 사용했는지 설명합니다. 불법 입국에 대비하기위한 중고품 가게. 셔츠는 그가 건물 리셉션과 다른 직원들에게 그가 기술 지원 방문에서 시스코 직원이라는 것을 설득하는 데 도움이되었고, 안으로 들어 오자 다른 팀원들도 불법 입국을 할 수있었습니다. 또한 다른 직원이 볼 수있는 범위 내에서 맬웨어가 많은 USB를 여러 개 떨어 뜨리고 회사 네트워크를 해킹했습니다.
하지만 사회 공학 공격을 시도하기 위해 중고품 매장 쇼핑을 할 필요는 없습니다. 전자 메일, 전화 또는 소셜 미디어를 통해서도 잘 작동합니다. 모든 공격이 가지고있는 것 공통점은 우리의 탐욕, 두려움, 호기심, 심지어는 다른 사람을 돕고 자하는 열망까지도 잡아 먹고 인간의 본성을 유리하게 활용한다는 것입니다.
사회 공학 사례
범죄자들은 종종 집에 들어 오거나 전화를 걸기 전에 몇 주 및 몇 달 동안 장소를 파악합니다. 준비에는 회사 전화 목록 또는 조직도를 찾고 LinkedIn 또는 Facebook과 같은 소셜 네트워킹 사이트에서 직원을 조사하는 것이 포함될 수 있습니다.
1. 전화로
사회 엔지니어가 동료 직원이나 신뢰할 수있는 외부 기관 (예 : 법 집행 기관 또는 감사관) 인 것처럼 가장하여 전화를 걸 수 있습니다.
2. 사무실에서
“문 좀 잡아 줄래요? “키 / 액세스 카드가 없습니다.” 건물에서 얼마나 자주 들었습니까? 질문하는 사람이 의심스럽지 않은 것 같지만 이는 소셜 엔지니어가 사용하는 매우 일반적인 전략입니다.
3. 온라인
소셜 네트워킹 사이트는 사회 공학 공격을보다 쉽게 수행 할 수 있도록합니다. 오늘날의 공격자는 LinkedIn과 같은 사이트로 이동하여 회사에서 일하는 모든 사용자를 찾고 공격을 추가하는 데 사용할 수있는 많은 세부 정보를 수집 할 수 있습니다.
소셜 엔지니어도 침입을 활용합니다. 뉴스 이벤트, 휴일, 대중 문화 및 기타 장치로 피해자를 유인합니다. In Woman은 BestMark, Inc.로 위장한 미스터리 쇼핑 사기로 1,825 달러를 잃었습니다. 범죄자들이 알려진 미스터리 쇼핑 회사의 이름을 활용하여 사기를 저지른 방법을 알 수 있습니다. 사기꾼은 종종 사용합니다. 연말에 범죄 목표를 달성하기 위해 가짜 자선 단체를 만듭니다.
공격자들은 또한 사용자가 멀웨어로 연결된 첨부 파일을 클릭하십시오.
유명한 사회 공학 공격
주의해야 할 사회 공학 전술을 파악하는 좋은 방법은 과거에 무엇이 사용되었는지 알 수 있습니다. 우리는이 주제에 대한 광범위한 기사를 통해 모든 세부 정보를 얻었지만 지금은 사기꾼에게 큰 성공을 거둔 세 가지 사회 공학 기술 (기술 플랫폼과는 별개)에 초점을 맞추겠습니다.
달콤한 것을 제안하십시오. 사기꾼이 말 하겠지만, 표를 사기하는 가장 쉬운 방법은 자신의 탐욕을 이용하는 것입니다. 이것은 고전적인 나이지리아 419 사기의 기초로, 사기꾼은 피해자가 자신의 나라에서 잘못 훔친 현금을 안전한 은행으로 가져 가도록 돕고 자금의 일부를 대가로 제공하도록 설득하려고합니다.이러한 “나이지리아 왕자”이메일은 수십 년 동안 농담 이었지만 여전히 사람들이 선호하는 효과적인 사회 공학 기술입니다. 2007 년 인구가 희박한 미시간 카운티의 재무는 공공 자금으로 120 만 달러를 해당 사기꾼에게 기부했습니다. 또 다른 일반적인 유혹은 새롭고 더 나은 직업에 대한 전망입니다. 이는 분명히 우리 중 너무 많은 사람들이 원하는 것입니다. 2011 년에 엄청나게 당황한 위반 사건에서 보안 회사 RSA는 최소 2 개의 낮은 레벨 직원이 “2011 채용 계획 .xls”라는 파일 이름으로 피싱 이메일에 첨부 된 멀웨어 파일을 열었습니다.
당신이 만들 때까지 가짜입니다. 가장 단순하고 놀랍게도 가장 성공적인 사회 공학 기술 중 하나입니다. 단순히 피해자 인 척하는 것입니다. Kevin Mitnick의 전설적인 초기 사기 중 하나에서 그는 단순히 회사에 전화를 걸어 주요 개발자 중 한 명이라고 주장하여 Digital Equipment Corporation의 OS 개발 서버에 액세스 할 수있었습니다. 로그인하는 데 문제가있었습니다. 그는 즉시 새로운 로그인과 비밀번호를 받았습니다. 이 모든 일은 1979 년에 일어 났고 그 이후로 상황이 개선 될 것이라고 생각했지만 틀렸을 것입니다. 2016 년에 해커가 미국 법무부 이메일 주소를 제어하고이를 직원으로 가장하는 데 사용했습니다. 헬프 데스크에서 DoJ 인트라넷에 대한 액세스 토큰을 전달하기 위해 근무 첫 주 였고 그는 “무엇이 작동했는지 몰랐습니다.
많은 조직이 이러한 종류를 방지하기위한 장벽을 가지고 있습니다. 뻔뻔스러운 명의 도용의 경우가 많지만 종종 상당히 쉽게 우회 할 수 있습니다. Hewlett-Packard가 2005 년에 어떤 HP 이사회 구성원이 언론에 정보를 유출했는지 알아 내기 위해 민간 조사관을 고용했을 때, 그들은 PI에게 목표의 마지막 4 자리 숫자 인 사회 보장 번호 (AT & T “의 기술 지원은 자세한 통화 기록을 전달하기 전에 ID 증명으로 허용됩니다.
당신처럼 행동하십시오. 권위를 존중하거나, 자신이하는 일을 할 권한이있는 것처럼 행동하는 사람들을 존중할 준비가되어 있습니다. 회사의 내부 프로세스에 대한 다양한 수준의 지식을 활용하여 사람들에게 자신이 장소가 될 권리가 있거나,하지 말아야 할 일을 볼 권리가 있거나, 자신이 보내는 커뮤니케이션이 실제로 그들이 존경하는 사람으로부터 오는 것임을 확신시킬 수 있습니다. 예를 들어, 2015 년 Ubiquiti Networks의 재무 직원은 이메일 주소에 유사 URL을 사용하여 회사 임원을 가장 한 사기꾼에게 회사 자금으로 수백만 달러를 송금했습니다. 낮은 기술 측면에서, “00 년대 후반과”10 년대 초반에 영국 타블로이드를 위해 일하는 수사관은 깎아 지른듯한 허세를 통해 전화 회사의 다른 직원 인 것처럼 가장하여 피해자에게 접근 할 수있는 방법을 종종 찾았습니다. Vodafone에게 전화를 걸어 “신용 관리에서 John”이라고 주장하여 여배우 Sienna Miller의 음성 메일 PIN을 재설정하도록 설득했습니다.
때로는 별다른 생각없이 우리가 요구하는 외부 기관입니다. Hillary Clinton 캠페인 honcho John Podesta는 2016 년 러시아 스파이가 자신의 이메일을 해킹하여 Google에서 비밀번호 재설정을 요청하는 쪽지로 위장한 피싱 이메일을 보냈습니다. 그는 자신의 계정을 보호 할 것이라고 생각한 조치를 취하여 실제로 로그인 자격 증명을 제공했습니다.
사회 공학 예방
보안 인식 교육은 사회 공학을 예방하는 가장 좋은 방법입니다. 직원들은 사회 공학이 존재한다는 사실을 인식하고 가장 많은 사람들에게 익숙해 져야합니다. mm 만 전술을 사용했습니다.
다행히도 사회 공학 인식은 스토리 텔링에 도움이됩니다. 그리고 이야기는 기술적 결함에 대한 설명보다 훨씬 이해하기 쉽고 훨씬 흥미 롭습니다. 퀴즈와 시선을 사로 잡는 유머러스 한 포스터는 모든 사람이 자신이 말하는 사람이라고 가정하지 않는다는 사실을 상기시키는 효과적인 방법입니다.
하지만 평범한 직원 만이 아닙니다. 사회 공학에 대해 알고 있습니다. 고위 경영진과 경영진이 주요 기업 대상입니다.
사회 공학 방어를위한 5 가지 팁
CSO 기여자 인 Dan Lohrmann은 다음과 같은 조언을 제공합니다.
1. 보안 인식과 관련하여 다시 교육하고 교육하십시오.
일반 피싱 위협과 새로운 표적 사이버 위협을 모두 해결하기 위해 정기적으로 업데이트되는 포괄적 인 보안 인식 교육 프로그램이 마련되어 있는지 확인하십시오. 단순히 링크를 클릭하는 것이 아닙니다.
2. 주요 직원에게 최신 온라인 사기 기술에 대한 자세한 브리핑 “로드쇼”를 제공합니다.
예, 고위 간부도 포함되지만 은행 송금 또는 기타 금융 거래 권한이있는 사람을 잊지 마십시오.사기와 관련된 많은 실화는 임원이 긴급한 조치를 취하라고 속이는 낮은 수준의 직원에게서 발생합니다. 일반적으로 정상적인 절차 및 / 또는 통제를 우회합니다.
3. 금융 이체 및 기타 중요한 거래에 대한 기존 프로세스, 절차 및 업무 분리를 검토합니다.
필요한 경우 추가 제어 기능을 추가합니다. 업무 분리 및 기타 보호 조치는 내부 위협에 의해 어느 시점에서 손상 될 수 있으므로 위협이 증가함에 따라 위험 검토를 재분석해야 할 수 있습니다.
4. “대역 외”거래 또는 긴급한 경영진 요청과 관련된 새로운 정책을 고려하십시오.
CEO의 Gmail 계정에서 보낸 이메일은 자동으로 직원에게 위험 신호를 보내야하지만, 그들은 어두운면에서 배포되는 최신 기술을 이해해야합니다. 모두가 잘 이해할 수있는 승인 된 비상 절차가 필요합니다.
5. 사고 관리 및 피싱보고 시스템을 검토, 개선 및 테스트합니다.
관리자 및 주요 직원과 함께 테스트 제어 및 잠재적 취약 영역 리버스 엔지니어링
소셜 엔지니어링 툴킷
많은 공급 업체가 소셜 엔지니어링 실습을 수행하고 /하거나 포스터 및 뉴스 레터와 같은 수단을 통해 직원 인지도를 구축하십시오.
또한 무료로 다운로드 할 수있는 social-engineer.org의 Social Engineering Toolkit도 확인해 볼 가치가 있습니다. 이 툴킷은 스피어 피싱 공격, 합법적으로 보이는 웹 사이트 생성, USB 드라이브 기반 공격 등을 포함한 사회 공학을 통한 침투 테스트를 자동화하는 데 도움이됩니다.
또 다른 좋은 리소스는 사회 공학 프레임 워크입니다.