사회 공학이란 무엇이며 2019년에 이것이 위협으로 된 이유는 무엇입니까?

사회 공학이란 무엇이며 2019년에 이것이 위협으로 된 이유는 무엇입니까?
앤드류 샌더스
게시 날짜: 2019년 3월 26일

만일 시스템 관리자자면 보안을 보안 도구를 설치하고, 최신 위협을 보호하도록 구성하고, 서버 및 앤드포인트를 패치하고, 바이러스가 발생하면 시스템을 다시 이미징하는 작업으로 생각할 수 있습니다. 그것은 간단한 작업이 아니지만 그 매개 변수는 적어도 간단합니다.

그러나 당신이 이 모든 것을 하고 있다해도, 아직도 작업의 절반 만 일하고 있습니다. 가장 효과적인 사이버 공격 중 일부는 하드웨어 또는 소프트웨어를 대상으로 하지 않고 사람들을 대상으로 합니다. 사회 공학 공격은 종종 전화나 이메일 계정 정도입니다.

사회 공학 공격은 다음과 같이 진행됩니다: 먼저, 공격자는 지원 센터에 전화를 하거나 이메일을 보내고 그의 대상으로 가장합니다. 그들은 암호를 잊어버렸다고 말하며 대개 이 문제에 관한 믿을 수 있는 이야기를 만듭니다. 그들은 고객 서비스 담당자에게 목표의 등록된 이메일 주소를 침입자가 가진 주소로 바꾸도록 설득한 다음 그 주소로 비밀번호 재설정 토큰을 보내게 합니다. 그러면 공격자는 대상의 계정을 소유하게 됩니다.

사회 공학 공격에 대한 귀하의 노출은 어떤 상태입니까?

사회 공학이란 무엇이며 2019년에 이것이 위협으로 된 이유는 무엇입니까?

사회 공학 공격은 안정적으로 작동하며 특별한 프로그래밍 기술이 필요하지 않습니다. VoIP 스푸핑으로 알려진 기술은 공격자가 하는 전화가 대상 전화에서 오는 것처럼 보이게 할 수 있습니다.이 기술은 널리 사용 가능하며 특별한 기술이 필요하지 않습니다. 따라서 이러한 유형의 공격이 널리 퍼지고 증가하는 것은 놀라운 일이 아닙니다. 2017 년에 정보 보안 전문가의 76%가 이메일을 기본 벡터로 사용하여 전화 또는 이메일을 통해 사회 공학 공격을 탐지했습니다. 2018 년에는 83%로 올리 뛰었습니다.

이러한 사회 공학 및 이메일 피싱 공격의 증가로 인해 다음과 같은, 피해자에 대한 비상한 사건들이 주목을 끌었습니다:

  • 블랙록
    세계 최대의 자산 운용사는 파이낸셜 타임즈와 CNBC를 속인 환경 운동가의 공격에 의해 희생물이 되었습니다. 활동가들은 이 회사가 환경 문제 전문가의 포트폴리오에 중점을 둠으로서 격분를 일으킨다고 말하는 매우 설득력있는 가짜 보도 자료를 보냈습니다.
  • 암호 화폐
    이더리움으로 알려진 암호 화폐 용 디지털 지갑 사용자는 가짜 오류 메시지로 위장한 피싱 공격을 받았습니다. 이 공격은 사용자에게 패치를 설치하라고 알려주는 이메일의 형태를 취했습니다. 대신, 첨부된 링크는 실제로 공격자가 디지털 수입을 얻을 수 있게 해주는 지갑 소프트웨어의 손상된 버전으로 안내합니다.
  • 정보 기관
    2015 년에 10 대의 해커가 Verizon에 전화를 걸어 John Brennan (당시 CIA 과장)의 개인 정보를 찾아 그의 AOL 이메일 주소에 액세스하였습니다. 이 주소에는 보안 허가 신청서의 세부 정보를 포함하여 중요한 정보가 포함되어있었습니다. 해커는 심지어 Brennan 과장과 전화 통화도 했습니다. 침입자를 발견하고 체포하기까지 2 년이 걸렸습니다.

이런 사건들은 상상할 수있는 가장 단순한 도구를 사용하여 혼란을 일으키는 것이 얼마나 쉬운지를 보여줍니다. 해커는 돈을 훔쳐내고 미디어를 놀릴 수 있으며 전화 및 이메일 주소를 사용하여 지구상에서 가장 강력한 인사들의 비밀로 장난칠 수 있습니다.

사회 공학 공격으로부터 자신을 방어하기

사회 공학 공격으로부터 자신을 방어하는 방법에는 두 가지가 있습니다.

우선, 기술이 있습니다. DMARC(도메인을 기본으로 하는 메세지 인증, 레포팅, 적합성)로 알려진 솔루션은 스푸핑된 이메일 즉 즉, 받는 사람에게 명백하게 나타나는 주소가 실제로 이메일을 보낸 주소가 아닌 이메일을 검색하고 격리하도록 설계되었습니다. 이 기술이 이메일을 사용한 유해한 영향을 미치지 않도록 함으로써 브랜드 소비자를 보호하지만 채택률은 매우 낮습니다 – 모든 업계에서 50% 미만입니다.

기술 외에도 정책이 있으며 이 경우 보안 인식 교육입니다. 여기에서 보안 관리자는 위조 된 이메일의 예를 테스트하여 직원들을 교육합니다. 목표는 직원이 가짜 이메일 또는 진정한 이메일의 차이점을 알릴 수있게 하는 것입니다. 보안 인식 교육은 보안 인식 교육 이후 피싱 이메일의 개방률이 75% 나 낮아졌지만 공격자는 한 명을 속여서 위반을 유발할 수 있습니다.

결국, 피해 감소 및 신속한 사고 대응은 피싱 및 사회 공학 공격에 대해 가장 잘 수행 할 것입니다. 결심한 공격자는 가짜 이메일이나 스푸핑 전화로 직원을 속일 수 있는 좋은 기회를 가지지 만 좋은 관리자는 계정 탈취가 발생했을 때 이를 탐지할 수 있습니다. 공격자가 사용자 계정을 도용하기는 쉽지만 피해의 정도를 제한하는 것은 가능합니다.