사회 공학? 주의해야 할 11가지 예
차례
어쨌든 사회 공학은 정확히 무엇입니까?
사회 공학은 사람들을 조작하여 기밀 정보를 추출하는 행위를 말합니다. 범죄자들이 찾는 정보의 종류는 다를 수 있습니다. 일반적으로 개인은 은행 세부 정보 또는 계정 비밀번호를 대상으로 합니다. 또한 범죄자는 악성 소프트웨어를 설치하기 위해 피해자의 컴퓨터에 액세스하려고 시도합니다. 그런 다음 이 소프트웨어는 필요한 정보를 추출하는 데 도움이 됩니다.
범죄자들은 신뢰를 얻고 개인 정보를 포기하도록 설득하여 사람을 착취하기 쉽기 때문에 사회 공학 전술을 사용합니다. 자신도 모르는 사이에 누군가의 컴퓨터를 직접 해킹하는 것보다 편리한 방법입니다.
사회 공학 예
사회 공학이 수행되는 다양한 방법에 대해 알면 자신을 더 잘 보호할 수 있습니다.
1. 프리텍스팅
프리텍스팅은 범죄자가 중요한 작업을 수행하기 위해 피해자의 민감한 정보에 액세스하려고 할 때 사용됩니다. 공격자는 신중하게 조작된 몇 가지 거짓말을 통해 정보를 얻으려고 합니다.
범죄자는 피해자와 신뢰를 구축하는 것부터 시작합니다. 이러한 민감한 정보를 요청할 수 있는 친구, 동료, 은행 직원, 경찰 또는 기타 당국을 사칭하여 이를 수행할 수 있습니다. 공격자는 신원 확인을 구실로 일련의 질문을 하고 이 과정에서 개인 데이터를 수집합니다.
이 방법은 사람으로부터 모든 종류의 개인 및 공식 세부 정보를 추출하는 데 사용됩니다. 이러한 정보에는 개인 주소, 주민등록번호, 전화번호, 전화 기록, 은행 세부 정보, 직원 휴가 날짜, 비즈니스 관련 보안 정보 등이 포함될 수 있습니다.
2. 전환 절도
이것은 일반적으로 택배 및 운송 회사를 대상으로 하는 사기 유형입니다. 범죄자는 대상 회사가 원래 의도한 위치가 아닌 다른 배달 위치로 배달 패키지를 제공하도록 하여 대상 회사를 속이려고 합니다. 우체국을 통해 배송되는 귀중품을 훔치는 수법입니다.
이 사기는 오프라인과 온라인 모두에서 수행될 수 있습니다. 패키지를 운반하는 직원에게 다가가 다른 위치에 배달을 맡기도록 설득할 수 있습니다. 공격자는 온라인 전달 시스템에 대한 액세스 권한을 얻을 수도 있습니다. 그런 다음 배달 일정을 가로채서 변경할 수 있습니다.
3. 피싱
피싱은 사회 공학의 가장 인기 있는 형태 중 하나입니다. 피싱 사기에는 피해자에게 호기심, 두려움 또는 긴박감을 조성할 수 있는 이메일 및 문자 메시지가 포함됩니다. 텍스트 또는 이메일은 장치에 맬웨어를 설치하는 악성 웹 사이트 또는 첨부 파일로 연결되는 링크를 클릭하도록 유도합니다.
예를 들어 온라인 서비스 사용자는 암호를 즉시 변경하도록 요구하는 정책 변경이 있었다고 주장하는 이메일을 받을 수 있습니다. 메일에는 원래 웹사이트와 동일한 불법 웹사이트 링크가 포함됩니다. 그런 다음 사용자는 합법적인 것으로 간주하여 해당 웹사이트에 자신의 계정 자격 증명을 입력합니다. 세부 정보를 제출하면 범죄자가 해당 정보에 액세스할 수 있습니다.
4. 스피어 피싱
특정 개인이나 조직을 대상으로 하는 피싱 사기의 일종입니다. 공격자는 피해자와 관련된 직책, 특성 및 계약을 기반으로 메시지를 사용자 정의하여 더 진실되게 보일 수 있습니다. 스피어 피싱은 범죄자 측에서 더 많은 노력이 필요하며 일반 피싱보다 훨씬 더 많은 시간이 소요될 수 있습니다. 그러나 식별하기가 더 어렵고 성공률이 더 높습니다.
예를 들어 조직에서 스피어 피싱을 시도하는 공격자는 회사의 IT 컨설턴트를 사칭하는 직원에게 이메일을 보냅니다. 이메일은 컨설턴트가 수행하는 방식과 정확히 유사한 방식으로 구성됩니다. 받는 사람을 속일 만큼 진정성 있게 보일 것입니다. 이메일은 정보를 기록하고 공격자에게 보낼 악의적인 웹 페이지에 대한 링크를 제공하여 직원에게 비밀번호를 변경하라는 메시지를 표시합니다.
5. 워터 홀링
워터홀링 사기는 많은 사람들이 정기적으로 방문하는 신뢰할 수 있는 웹사이트를 이용합니다. 범죄자는 대상 그룹에 대한 정보를 수집하여 자주 방문하는 웹 사이트를 확인합니다. 그런 다음 이러한 웹 사이트에 대한 취약성 테스트가 수행됩니다. 시간이 지남에 따라 이 그룹의 한 명 이상의 구성원이 감염됩니다. 그런 다음 공격자는 이러한 감염된 사용자의 보안 시스템에 액세스할 수 있습니다.
동물들이 목이 마르면 믿을 만한 곳으로 모여 물을 마신다고 하여 붙여진 이름입니다. 그들은 예방 조치에 대해 두 번 생각하지 않습니다. 포식자들은 이것을 알고 있으므로 근처에서 기다리며 경계가 풀렸을 때 공격할 준비를 합니다. 디지털 환경에서 워터홀링은 취약한 사용자 그룹에 대한 가장 파괴적인 공격을 동시에 수행하는 데 사용될 수 있습니다.
6. 미끼
미끼는 이름에서 알 수 있듯이 거짓 약속을 통해 피해자의 호기심이나 탐욕을 유발하는 행위입니다. 피해자는 범죄자가 개인 정보를 훔치거나 시스템에 맬웨어를 설치하는 데 도움이 되는 디지털 함정에 유인됩니다.
미끼는 온라인과 오프라인 매체를 통해 발생할 수 있습니다. 오프라인의 예로, 범죄자는 눈에 잘 띄는 위치에 맬웨어에 감염된 플래시 드라이브 형태로 미끼를 남길 수 있습니다. 대상 기업의 엘리베이터, 화장실, 주차장 등일 수 있습니다. 플래시 드라이브는 피해자가 그것을 가져가서 직장이나 집 컴퓨터에 삽입하게 만드는 진짜 모양을 갖게 될 것입니다. 그러면 플래시 드라이브가 자동으로 맬웨어를 시스템으로 내보냅니다.
온라인 형태의 미끼는 피해자가 클릭하도록 유도하는 매력적이고 유혹적인 광고의 형태일 수 있습니다. 이 링크는 악성 프로그램을 다운로드할 수 있으며 이 프로그램은 컴퓨터를 맬웨어로 감염시킵니다.
7. 퀴드 프로 쿼
quid pro quo 공격은 "무언가를 위한" 공격을 의미합니다. 미끼 기술의 변형입니다. 이익을 약속하면서 피해자를 유인하는 대신 대가성 공격은 특정 조치가 실행된 경우 서비스를 약속합니다. 공격자는 액세스 또는 정보에 대한 대가로 피해자에게 가짜 혜택을 제공합니다.
이 공격의 가장 일반적인 형태는 범죄자가 회사의 IT 직원을 사칭하는 경우입니다. 그런 다음 범죄자는 회사 직원에게 연락하여 새 소프트웨어나 시스템 업그레이드를 제안합니다. 그런 다음 직원은 업그레이드를 원하는 경우 바이러스 백신 소프트웨어를 비활성화하거나 악성 소프트웨어를 설치하라는 요청을 받습니다.
8. 뒤쫓기
테일게이팅 공격은 피기백(piggybacking)이라고도 합니다. 적절한 인증 수단이 없는 제한된 장소에 들어가려는 범죄자와 관련이 있습니다. 범죄자는 해당 지역에 들어갈 수 있는 권한이 있는 다른 사람의 뒤를 따라 걸어 들어가 접근할 수 있습니다.
예를 들어, 범죄자는 양손에 짐을 가득 실은 배달 기사로 가장할 수 있습니다. 그는 권한이 있는 직원이 문에 들어올 때까지 기다립니다. 그런 다음 사기 배달원은 직원에게 문을 잡아달라고 요청하여 승인 없이 출입할 수 있도록 합니다.
9. 허니트랩
이 속임수는 범죄자가 온라인에서 매력적인 사람인 척하는 것과 관련이 있습니다. 그 사람은 대상과 친구가 되고 그들과 온라인 관계를 가장합니다. 그런 다음 범죄자는 이 관계를 이용하여 피해자의 개인 정보를 추출하거나 돈을 빌리거나 컴퓨터에 맬웨어를 설치하도록 합니다.
'허니트랩'이라는 이름은 여성이 남성을 표적으로 삼았던 옛 스파이 전술에서 유래되었습니다.
10. 도적
악성 소프트웨어는 악성 안티 멀웨어, 악성 스캐너, 악성 스케어웨어, 안티 스파이웨어 등의 형태로 나타날 수 있습니다. 이러한 유형의 컴퓨터 맬웨어는 맬웨어 제거를 약속하는 시뮬레이션 또는 가짜 소프트웨어에 대한 비용을 지불하도록 사용자를 오도합니다. 악성 보안 소프트웨어는 최근 몇 년 동안 점점 더 큰 관심사가 되었습니다. 순진한 사용자는 쉽게 구할 수 있는 그러한 소프트웨어의 희생양이 될 수 있습니다.
11. 멀웨어
맬웨어 공격의 목적은 피해자가 자신의 시스템에 맬웨어를 설치하도록 하는 것입니다. 공격자는 인간의 감정을 조작하여 피해자가 자신의 컴퓨터에 맬웨어를 허용하도록 합니다. 이 기술에는 인스턴트 메시지, 문자 메시지, 소셜 미디어, 이메일 등을 사용하여 피싱 메시지를 보내는 것이 포함됩니다. 이러한 메시지는 피해자가 멀웨어가 포함된 웹사이트를 여는 링크를 클릭하도록 속입니다.
겁주는 전술은 종종 메시지에 사용됩니다. 그들은 귀하의 계정에 문제가 있으며 제공된 링크를 즉시 클릭하여 귀하의 계정에 로그인해야 한다고 말할 수 있습니다. 그러면 링크를 통해 컴퓨터에 맬웨어가 설치될 파일을 다운로드할 수 있습니다.
주의, 안전 유지
자신에게 정보를 제공하는 것이 자신을 보호하기 위한 첫 번째 단계입니다. 사회 공학 공격. 기본 팁은 암호나 금융 정보를 묻는 메시지를 무시하는 것입니다. 이메일 서비스와 함께 제공되는 스팸 필터를 사용하여 이러한 이메일에 플래그를 지정할 수 있습니다. 신뢰할 수 있는 바이러스 백신 소프트웨어를 사용하면 시스템을 더욱 안전하게 보호할 수 있습니다.
