사회 공학 공격에 대한 완전한 가이드.

작가: 트릭스 사이러스

Waymap 침투 테스트 도구: 여기를 클릭하세요
TrixSec Github: 여기를 클릭하세요

소셜엔지니어링이란 무엇인가요?
사회 공학은 개인을 속여 비밀번호, 은행 정보, 보안 시스템 액세스 등의 기밀 정보를 제공하도록 하는 데 사용되는 심리적 조작의 한 형태입니다. 소셜 엔지니어는 소프트웨어 취약점을 악용하는 대신 신뢰, 두려움, 무지와 같은 인간의 취약점을 악용합니다.

기술적 사이버 공격과 달리 사회 공학은 일반적으로 네트워크나 시스템 침입을 수반하지 않습니다. 대신 공격자는 조직 내 누군가를 조작하여 자발적으로 접근 권한이나 기밀 정보를 제공합니다.

사회 공학 공격의 일반적인 유형
사회공학 공격은 다양한 형태로 나타나며, 디지털 공격과 물리적 공격이 모두 가능합니다. 가장 일반적인 유형은 다음과 같습니다.

1. 피싱

피싱은 가장 잘 알려진 사회 공학 형태 중 하나입니다. 피싱 공격에서 공격자는 은행, 동료 또는 유명 웹사이트와 같이 신뢰할 수 있는 소스에서 보낸 것처럼 보이는 사기성 이메일이나 메시지를 보냅니다. 목표는 피해자를 속여 악성 링크를 클릭하거나 악성 코드를 다운로드하거나 로그인 자격 증명과 같은 민감한 정보를 제공하도록 하는 것입니다.

예:
은행에서 보낸 것처럼 보이는 이메일을 받았는데, 링크를 클릭하여 계좌를 '확인'하라는 내용입니다. 링크를 클릭하면 귀하의 자격 증명을 도용하도록 설계된 가짜 웹사이트로 연결됩니다.

2. 스피어피싱

스피어 피싱은 일반적인 피싱 공격과 달리 표적을 더욱 공격합니다. 공격자는 훨씬 더 설득력 있는 개인화된 이메일이나 메시지를 만들기 위해 피해자를 조사합니다. 이렇게 하면 대상이 해당 메시지가 사기인지 감지하기가 더 어려워집니다.

예:
한 직원이 회사의 CEO로 가장한 사람으로부터 중요한 회사 문서에 대한 긴급 액세스를 요청하는 이메일을 받았습니다. 개인화되고 고위직 인물이기 때문에 직원이 준수할 가능성이 더 높습니다.

3. 프리텍스팅

프리텍스팅에서는 공격자가 피해자의 신뢰를 얻기 위해 조작된 시나리오, 즉 '프리텍스트'를 만듭니다. 여기에는 동료, 기술 지원 담당자, 정부 공무원 등 적법한 권한을 가진 사람인 것처럼 가장하는 경우가 많습니다. 공격자는 신뢰를 구축하여 피해자가 개인 정보를 공유하도록 유도합니다.

예:
공격자는 IT 부서 직원인 척 직원에게 전화를 걸어 직원의 컴퓨터 문제를 "수정"하기 위해 로그인 자격 증명을 요청합니다.

4. 미끼

미끼는 유혹적인 것을 약속하여 피해자를 함정에 빠뜨리는 전술입니다. 이는 맬웨어가 포함된 무료 소프트웨어를 온라인으로 제공하는 것일 수도 있고, 심지어 공격자가 감염된 USB 드라이브를 공공 장소에 두고 누군가가 이를 자신의 컴퓨터에 연결하기를 바라는 물리적인 방법일 수도 있습니다.

예:
사용자가 주차장에서 '급여 정보'라고 표시된 USB 드라이브를 발견했습니다. 호기심에 컴퓨터에 연결하고 자신도 모르게 악성 코드를 설치합니다.

5. 대가

대보 공격에서는 공격자가 정보를 대가로 서비스나 호의를 제공합니다. 이는 피해자의 로그인 정보를 대가로 문제를 해결하기 위한 기술 지원을 제공하는 것처럼 가장할 수 있습니다.

예:

공격자는 조직 내 다양한 ​​사람에게 전화를 걸어 컴퓨터나 자격 증명에 액세스하는 대가로 무료 문제 해결을 제안합니다.

6. 뒤따라가기/피기백하기

사회 공학의 물리적 형태에서 테일게이팅은 공격자가 적절한 접근 권한 없이 누군가를 안전한 건물로 따라가는 것을 의미합니다. 이는 누군가 자격 증명을 확인하지 않고 합법적인 것처럼 보이는 사람을 위해 문을 열어 두는 경우 발생할 수 있습니다.

예:
공격자는 보급품 상자를 들고 안전한 사무실 건물 밖에서 기다렸다가 직원이 키 카드를 사용한 후 키 카드를 잊어버린 척하며 안으로 따라갑니다.

소셜 엔지니어링이 효과적인 이유

사회 공학 공격은 다음과 같은 기본적인 인간 특성을 악용하기 때문에 효과적입니다.

신뢰: 사람들은 권위 있는 인물이나 친숙한 브랜드를 신뢰하는 경향이 있습니다.
두려움: 긴급 상황(예: 계정 잠김)은 패닉을 유발하여 사람들이 생각 없이 행동하게 만듭니다.
호기심: 무료 소프트웨어나 발견한 USB 드라이브와 같은 유혹적인 제안이 호기심을 촉발합니다.
도움이 되는 성격: 사람들은 종종 다른 사람, 특히 정당한 도움이 필요한 사람들을 돕고 싶어합니다.

如何保護自己免受社會工程

好消息是，您可以採取措施保護自己和您的組織免受社會工程攻擊。方法如下：

1。持懷疑態度

請務必警惕未經請求的電子郵件、電話或要求提供個人資訊或登入憑證的訊息。即使訊息看起來合法，請在回覆之前驗證來源。

2。教育自己和你的團隊

培訓和意識是關鍵。員工應該了解常見的社會工程策略以及如何識別它們。定期向他們更新新的詐騙和網路釣魚方法。

3。驗證敏感資訊請求

如果您收到可疑的敏感資訊請求，請透過官方管道聯絡寄件者來驗證該請求。切勿向未經請求的電子郵件或電話提供敏感詳細資訊。

4。實施雙重認證 (2FA)

使用 2FA 增加了額外的安全層。即使有人遭受社交工程攻擊並洩露了密碼，2FA 也可以防止未經授權的存取。

5。定期測試社會工程

許多組織都會進行內部網路釣魚模擬，以測試員工容易受到社會工程攻擊的程度。這些測試有助於識別弱點並培訓員工發現網路釣魚嘗試。

1. 保護個人資訊 限制您在社群媒體或公共論壇上分享的個人資訊量。社會工程師經常在發動攻擊之前在線上研究他們的目標。

~Trixsec

위 내용은 사회 공학 공격에 대한 완전한 가이드.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!