사회 공학이란 무엇이며 2019년에 이것이 위협으로 된 이유는 무엇입니까?

사회 공학이란 무엇이며 2019년에 이것이 위협으로 된 이유는 무엇입니까?
앤드류 샌더스
게시 날짜: 2019년 3월 26일

만일 시스템 관리자자면 보안을 보안 도구를 설치하고, 최신 위협을 보호하도록 구성하고, 서버 및 앤드포인트를 패치하고, 바이러스가 발생하면 시스템을 다시 이미징하는 작업으로 생각할 수 있습니다. 그것은 간단한 작업이 아니지만 그 매개 변수는 적어도 간단합니다.

그러나 당신이 이 모든 것을 하고 있다해도, 아직도 작업의 절반 만 일하고 있습니다. 가장 효과적인 사이버 공격 중 일부는 하드웨어 또는 소프트웨어를 대상으로 하지 않고 사람들을 대상으로 합니다. 사회 공학 공격은 종종 전화나 이메일 계정 정도입니다.

사회 공학 공격은 다음과 같이 진행됩니다: 먼저, 공격자는 지원 센터에 전화를 하거나 이메일을 보내고 그의 대상으로 가장합니다. 그들은 암호를 잊어버렸다고 말하며 대개 이 문제에 관한 믿을 수 있는 이야기를 만듭니다. 그들은 고객 서비스 담당자에게 목표의 등록된 이메일 주소를 침입자가 가진 주소로 바꾸도록 설득한 다음 그 주소로 비밀번호 재설정 토큰을 보내게 합니다. 그러면 공격자는 대상의 계정을 소유하게 됩니다.

사회 공학 공격에 대한 귀하의 노출은 어떤 상태입니까?

사회 공학 공격은 안정적으로 작동하며 특별한 프로그래밍 기술이 필요하지 않습니다. VoIP 스푸핑으로 알려진 기술은 공격자가 하는 전화가 대상 전화에서 오는 것처럼 보이게 할 수 있습니다.이 기술은 널리 사용 가능하며 특별한 기술이 필요하지 않습니다. 따라서 이러한 유형의 공격이 널리 퍼지고 증가하는 것은 놀라운 일이 아닙니다. 2017 년에 정보 보안 전문가의 76%가 이메일을 기본 벡터로 사용하여 전화 또는 이메일을 통해 사회 공학 공격을 탐지했습니다. 2018 년에는 83%로 올리 뛰었습니다.

이러한 사회 공학 및 이메일 피싱 공격의 증가로 인해 다음과 같은, 피해자에 대한 비상한 사건들이 주목을 끌었습니다:

  • 블랙록
    세계 최대의 자산 운용사는 파이낸셜 타임즈와 CNBC를 속인 환경 운동가의 공격에 의해 희생물이 되었습니다. 활동가들은 이 회사가 환경 문제 전문가의 포트폴리오에 중점을 둠으로서 격분를 일으킨다고 말하는 매우 설득력있는 가짜 보도 자료를 보냈습니다.
  • 암호 화폐
    이더리움으로 알려진 암호 화폐 용 디지털 지갑 사용자는 가짜 오류 메시지로 위장한 피싱 공격을 받았습니다. 이 공격은 사용자에게 패치를 설치하라고 알려주는 이메일의 형태를 취했습니다. 대신, 첨부된 링크는 실제로 공격자가 디지털 수입을 얻을 수 있게 해주는 지갑 소프트웨어의 손상된 버전으로 안내합니다.
  • 정보 기관
    2015 년에 10 대의 해커가 Verizon에 전화를 걸어 John Brennan (당시 CIA 과장)의 개인 정보를 찾아 그의 AOL 이메일 주소에 액세스하였습니다. 이 주소에는 보안 허가 신청서의 세부 정보를 포함하여 중요한 정보가 포함되어있었습니다. 해커는 심지어 Brennan 과장과 전화 통화도 했습니다. 침입자를 발견하고 체포하기까지 2 년이 걸렸습니다.

이런 사건들은 상상할 수있는 가장 단순한 도구를 사용하여 혼란을 일으키는 것이 얼마나 쉬운지를 보여줍니다. 해커는 돈을 훔쳐내고 미디어를 놀릴 수 있으며 전화 및 이메일 주소를 사용하여 지구상에서 가장 강력한 인사들의 비밀로 장난칠 수 있습니다.

사회 공학 공격으로부터 자신을 방어하기

사회 공학 공격으로부터 자신을 방어하는 방법에는 두 가지가 있습니다.

우선, 기술이 있습니다. DMARC(도메인을 기본으로 하는 메세지 인증, 레포팅, 적합성)로 알려진 솔루션은 스푸핑된 이메일 즉 즉, 받는 사람에게 명백하게 나타나는 주소가 실제로 이메일을 보낸 주소가 아닌 이메일을 검색하고 격리하도록 설계되었습니다. 이 기술이 이메일을 사용한 유해한 영향을 미치지 않도록 함으로써 브랜드 소비자를 보호하지만 채택률은 매우 낮습니다 – 모든 업계에서 50% 미만입니다.

기술 외에도 정책이 있으며 이 경우 보안 인식 교육입니다. 여기에서 보안 관리자는 위조 된 이메일의 예를 테스트하여 직원들을 교육합니다. 목표는 직원이 가짜 이메일 또는 진정한 이메일의 차이점을 알릴 수있게 하는 것입니다. 보안 인식 교육은 보안 인식 교육 이후 피싱 이메일의 개방률이 75% 나 낮아졌지만 공격자는 한 명을 속여서 위반을 유발할 수 있습니다.

결국, 피해 감소 및 신속한 사고 대응은 피싱 및 사회 공학 공격에 대해 가장 잘 수행 할 것입니다. 결심한 공격자는 가짜 이메일이나 스푸핑 전화로 직원을 속일 수 있는 좋은 기회를 가지지 만 좋은 관리자는 계정 탈취가 발생했을 때 이를 탐지할 수 있습니다. 공격자가 사용자 계정을 도용하기는 쉽지만 피해의 정도를 제한하는 것은 가능합니다.

저자에 대한 정보

앤드류 샌더스
앤드류 샌더스

앤드류는 기술, 정보 보안, 통신 및 기타 분야의 저술가입니다