온라인 위협 만 걱정하는 것은 악성 코드가 아닙니다. 사회 공학은 큰 위협이며 모든 운영 체제에서 타격을 줄 수 있습니다. 실제로 사회 공학은 전화를 통해 또는 대면 상황에서도 발생할 수 있습니다.
사회 공학을 인식하고 경계하는 것이 중요합니다. 보안 프로그램은 대부분의 사회 공학 위협으로부터 사용자를 보호하지 않으므로 자신을 보호해야합니다.
사회 공학 설명
전통적인 컴퓨터 기반 공격은 종종 컴퓨터 코드의 취약점을 찾는 데 의존합니다. 예를 들어, 시스코에 따르면 2013 년에 91 %의 공격의 원인 인 오래된 버전의 Adobe Flash 또는 Java를 사용하지 않는 Java를 사용하는 경우 악성 웹 사이트 및 해당 웹 사이트를 방문 할 수 있습니다. 소프트웨어의 취약점을 악용하여 컴퓨터에 액세스 할 수 있습니다. 공격자는 소프트웨어의 버그를 조작하여 설치 한 키로거를 사용하여 개인 정보에 액세스하고 개인 정보를 수집합니다.
사회 공학 기법은 심리적 조작을 포함하기 때문에 다릅니다. 다시 말해, 그들은 소프트웨어가 아닌 사람들을 이용합니다.
관련 : 온라인 보안 : 피싱 전자 메일 분석 분석
이미 사회 공학의 한 형태 인 피싱에 대해 들어 보셨을 것입니다. 은행, 신용 카드 회사 또는 다른 신뢰할 수있는 업체로부터 온다고 주장하는 이메일을받을 수 있습니다. 실제 웹 사이트처럼 보이도록 위장한 가짜 웹 사이트로 이동하거나 악성 프로그램을 다운로드하여 설치하도록 요청할 수 있습니다. 그러나 이러한 사회 공학적 트릭에는 가짜 웹 사이트 나 맬웨어가 필요하지 않습니다. 피싱 이메일은 단순히 개인 정보가 포함 된 이메일 회신을 보내도록 요청할 수 있습니다. 소프트웨어의 버그를 악용하려는 것이 아니라 정상적인 인간 상호 작용을 악용하려고합니다. 스피어 피싱은 특정 개인을 대상으로하는 피싱 형식이므로 훨씬 더 위험 할 수 있습니다.
사회 공학의 예
채팅 서비스 및 온라인 게임에서 가장 인기있는 트릭은“관리자”와 같은 이름으로 계정을 등록하고“경고 : 누군가가 귀하의 계정을 해킹하고 비밀번호로 응답하여 본인을 인증하는 것”과 같은 무서운 메시지를 사람들에게 보내는 것입니다. 대상이 자신의 암호로 응답하면 트릭에 빠지고 공격자는 이제 자신의 계정 암호를 갖게됩니다.
누군가 귀하에 대한 개인 정보를 가지고 있다면, 귀하의 계정에 액세스하기 위해이를 사용할 수 있습니다. 예를 들어 생년월일, 주민등록번호 및 신용 카드 번호와 같은 정보가 종종 귀하를 식별하는 데 사용됩니다. 누군가이 정보를 가지고 있다면 비즈니스에 연락하여 당신 인 것처럼 가장 할 수 있습니다. 이 기법은 공격자가 Sarah Palin의 Yahoo! Yahoo!의 비밀번호 복구 양식을 통해 계정에 액세스하기에 충분한 개인 정보를 제출 한 2008 년 메일 계정. 회사에서 인증하는 데 필요한 개인 정보가있는 경우 전화를 통해 동일한 방법을 사용할 수 있습니다. 대상에 대한 정보가 일부있는 공격자는 척하고 더 많은 정보에 액세스 할 수 있습니다.
사회 공학도 직접 사용할 수 있습니다. 공격자는 비즈니스에 들어가서 비서에게 자신이 정직하고 설득력있는 톤으로 수리 담당자, 신입 사원 또는 소방관임을 알리고 복도를 배회하고 기밀 정보 또는 식물 버그를 훔쳐서 회사 스파이 활동을 수행 할 수 있습니다. 이 속임수는 공격자가 자신이 아닌 사람으로 자신을 나타내는 데 달려 있습니다. 비서, 도어맨 또는 담당자가 너무 많은 질문을하거나 너무 세 심하게 살펴 보지 않으면 트릭이 성공합니다.
관련 : 공격자가 실제로 “계정을 해킹”하는 방법과 자신을 보호하는 방법
소셜 엔지니어링 공격은 전화 또는 직접 대면하는 사람을 사칭 할 때까지 다양한 가짜 웹 사이트, 사기성 전자 메일 및 악의적 인 채팅 메시지에 걸쳐 있습니다. 이러한 공격은 다양한 형태로 이루어 지지만 모두 공통점이 있습니다. 심리적 속임수에 달려 있습니다. 사회 공학은 심리 조작 기술이라고합니다. “해커”가 실제로 온라인으로 계정을 “해킹”하는 주요 방법 중 하나입니다.
사회 공학을 피하는 방법
사회 공학이 존재한다는 사실을 아는 것이 사회와 싸우는 데 도움이 될 수 있습니다. 개인 정보를 요구하는 원치 않는 이메일, 채팅 메시지 및 전화를 의심하십시오. 이메일을 통해 재무 정보 나 중요한 개인 정보를 공개하지 마십시오. 이메일에서 중요하다고 주장하더라도 잠재적으로 위험한 이메일 첨부 파일을 다운로드하여 실행하지 마십시오.
또한 이메일에서 민감한 웹 사이트로 연결되는 링크를 따라 가지 않아야합니다. 예를 들어, 은행에서 온 것으로 보이는 이메일의 링크를 클릭하고 로그인하지 마십시오. 은행 사이트처럼 보이도록 위장 된 가짜 피싱 사이트로 연결되지만 URL이 미묘하게 다릅니다. 대신 웹 사이트를 직접 방문하십시오.
의심스러운 요청 (예 : 은행으로부터의 전화 통화가 개인 정보를 요청하는 경우)을 받으면 요청 소스에 직접 연락하여 확인을 요청하십시오. 이 예에서는 은행에 전화를 걸어 자신의 은행이라고 주장하는 사람에게 정보를 공개하는 대신 원하는 것을 묻습니다.
전자 메일 프로그램, 웹 브라우저 및 보안 제품군에는 일반적으로 알려진 피싱 사이트를 방문 할 때 경고하는 피싱 필터가 있습니다. 알려진 피싱 사이트를 방문하거나 알려진 피싱 전자 메일을받을 때 경고 만하면 모든 피싱 사이트 나 전자 메일에 대해 알지 못합니다. 보안 프로그램은 약간만 도움이 될 수 있습니다.
개인 정보 요청 및 사회 공학적 공격이 될 수있는 기타 사항을 처리 할 때는 건전한 의심을하는 것이 좋습니다. 의심과주의는 온라인과 오프라인 모두에서 귀하를 보호하는 데 도움이됩니다.
이미지 크레디트 : Flickr의 Jeff Turnet
