차례:
비디오: ë´ì ë ì¸ë¯¸ì»¨ëí¸, ì ê³ ìµì´ ê³ ì ì°ì AD컨ë²í° ê°ë°ãìë£Â·ì°ì ì© ì¥ë¹, ë°°í°ë¦¬ ìëª ëë ¸ë¤ã (십월 2024)
2000 년에 처음 피싱 전자 메일을 보았을 때 PCMag의 비즈니스 편집자 인 Oliver Rist와의 테스트 프로젝트를 진행하고 있다고 생각합니다. 어느 날 아침 우리는 제목이 "사랑해"라는 제목의 이메일을 받았는데, 이는 이메일 본문이기도하고 첨부 파일이있었습니다. 잡지 편집자로서 아무도 우리를 사랑하지 않는다는 것을 알았 기 때문에 우리는 이메일이 가짜 여야한다는 것을 즉시 알고있었습니다. 첨부 파일을 클릭하지 않았습니다. 사실상 우리는 인간 방화벽 역할을하고있었습니다. 우리는 가짜 전자 메일을 보았으며 컴퓨터와 네트워크의 나머지 부분으로 내용을 퍼 뜨리지 않고 삭제했습니다.
인간: 여전히 최고의 공격 벡터
피싱 이메일이 널리 알려진 이유는 매우 일반적이기 때문입니다. 이제는 전자 메일 계정을 가진 사람은 어느 시점에서 피싱 전자 메일을 받았다고 말할 수 있습니다. 이메일은 종종 은행, 신용 카드 회사 또는 자주 방문하는 다른 회사에서 온 것으로 가장합니다. 그러나 공격자가 직원을 대신하여 피싱 이메일을 사용하면 조직에 위협이 될 수 있습니다. 이 공격의 또 다른 초기 버전은 공격자가 바쁜 경영진이 단순히 지불을 위해 제출하기를 희망하기 때문에 공격자가 대기업에 제공되지 않은 서비스에 대한 송장을 팩스로 보낼 때 팩스의 황금기 시대에 발생했습니다.
피싱은 놀랍도록 효과적입니다. 작년에 560 건의 데이터 유출을 조사한 BakerHostetler 법률 회사의 연구에 따르면 피싱은 오늘날 데이터 보안 사고의 주요 원인입니다.
안타깝게도 기술은 피싱 공격을 따라 가지 못했습니다. 악의적 인 이메일을 걸러 내기 위해 고안된 많은 보안 장치와 소프트웨어 패키지가 있지만 피싱 이메일을 제작하는 악의적 인 사람들은 공격이 크랙을 통과 할 수 있도록 열심히 노력하고 있습니다. Cyren의 연구에 따르면 이메일 검사에서 악성 이메일을 찾는 데 실패율이 10.5 % 인 것으로 나타났습니다. 중소기업 (SMB)에서도 많은 전자 메일을 추가 할 수 있으며 사회 공학 공격이 포함 된 전자 메일은 조직에 위협이 될 수 있습니다. 그리고 엔드 포인트 보호 조치로 몰래 침입 한 대부분의 맬웨어가 겪는 일반적인 위협이 아니라 가장 귀중한 데이터 및 디지털 리소스를 대상으로하는 더 불길한 종류입니다.
인사 전문가 (HR) 전문가가 보안 인식을 가르치는 데 도움을 줄 수있는 KnowBe4의 설립자이자 CEO 인 Stu Sjouwerman과의 대화 중에 Cyren 보고서에 경고를 받았습니다. "인간 방화벽"이라는 용어를 사용하고 "인간 해킹"에 대해서도 논의한 것은 Sjouwerman이었습니다. 그의 제안은 조직이 문제 해결에 직원을 참여시키는 일관된 교육을 통해 사회 공학 공격의 효과를 예방하거나 줄일 수 있다는 것입니다.
물론 많은 조직에 보안 인식 교육 세션이 있습니다. HR이 고용 한 계약자가 15 분 동안 피싱 이메일에 빠지지 말라고 실제로 몇 번의 회의에 있었을 것입니다. 당신은 당신이 하나를 발견했다고 생각합니다. 예, 그 회의.
Sjouwerman이 더 잘 제안한 것은 실제 피싱 이메일에 액세스 할 수있는 대화 형 교육 환경을 만드는 것입니다. 어쩌면 모든 사람이 철자가 잘못되거나 거의 실제처럼 보이는 주소 또는 검사 중 이해가되지 않는 요청 (예: 알 수없는 수취인에게의 회사 자금).
사회 공학에 대한 방어
그러나 Sjouwerman은 또한 여러 유형의 사회 공학이 있다고 지적했다. 그는 KnowBe4 웹 사이트에서 회사가 직원의 학습을 돕기 위해 사용할 수있는 무료 도구 세트를 제공합니다. 또한 기업이 사회 공학 공격에 대처하기 위해 취할 수있는 다음 9 가지 단계를 제안했습니다.
- 직원이 사회 공학 공격을 볼 때이를 인식하도록 훈련시켜 사람 방화벽을 만듭니다.
- 직원들의 발끝을 지키기 위해 자주 시뮬레이션 된 사회 공학 테스트를 수행하십시오.
- 피싱 보안 테스트를 수행합니다. Knowbe4는 무료입니다.
- CEO 사기를 경계하십시오. 이러한 공격은 공격자가 CEO 또는 다른 고위 임원이 보낸 것처럼 보이는 스푸핑 된 전자 메일을 만들어 급격한 송금과 같은 작업을 지시하는 공격입니다. KnowBe4의 무료 도구를 사용하여 도메인을 스푸핑 할 수 있는지 확인할 수 있습니다.
- 직원에게 시뮬레이션 된 피싱 이메일을 보내고 해당 링크를 클릭하면 알려주는 링크를 포함시킵니다. 어떤 직원이 넘어 지는지 추적하고 한 번 이상 떨어지는 직원에 대한 교육에 중점을 둡니다.
- 직원들로부터 행동을 취하려고하는 메시지가 남는 음성 메일 사회 공학 유형 인 "흥분"에 대비하십시오. 법 집행 기관, IRS (Internal Revenue Service) 또는 심지어 Microsoft 기술 지원부에서 전화 한 것 같습니다. 직원이 해당 전화를받지 않도록하십시오.
- 직원에게 "텍스트 피싱"또는 "SMiShing (SMS 피싱)"을 알려주십시오. 이는 이메일 피싱과 유사하지만 문자 메시지가 포함되어 있습니다. 이 경우 링크는 연락처 목록과 같은 민감한 정보를 휴대폰에서 가져 오도록 설계 될 수 있습니다. 친구가 보낸 것처럼 보이더라도 문자 메시지의 링크를 건드리지 않도록 교육해야합니다.
- USB (Universal Serial Bus) 공격은 놀랍도록 효과적이며 에어 갭 네트워크에 침투하는 신뢰할 수있는 방법입니다. 작동 방식은 누군가가 USB 메모리 스틱을 화장실, 주차장 또는 직원들이 자주 이용하는 다른 장소에 두는 것입니다. 스틱에는 매력적인 로고나 라벨이 붙어있을 수 있습니다. 직원이 편리한 컴퓨터를 찾아서 삽입하면 (다른 방법으로 배우지 않은 경우) 악성 코드가 네트워크에 유입됩니다. 이것이 Stuxnet 맬웨어가이란 핵 프로그램에 침투 한 방법입니다. Knowbe4에는이를 테스트 할 수있는 무료 도구도 있습니다.
- 패키지 공격도 놀라 울 정도로 효과적입니다. 이것은 누군가가 상자 (또는 때로는 피자)의 짐을 가지고 나타나서 배달 할 수 있도록 요청하는 곳입니다. 보이지 않는 동안 USB 장치를 근처 컴퓨터에 밀어 넣습니다. 시뮬레이션 공격을 수행하여 직원을 교육해야합니다. 당신은 이것을 훈련시키고 피자가 제대로된다면 피자를 공유함으로써 그들을 격려 할 수 있습니다.
보시다시피, 사회 공학은 실제 도전이 될 수 있으며 원하는 것보다 훨씬 효과적 일 수 있습니다. 싸울 수있는 유일한 방법은 직원들에게 적극적으로 그러한 공격을 발견하고 불러내는 것입니다. 직원들이 실제로 그 과정을 즐기게 될 것입니다. 어쩌면 무료 피자도 얻을 수있을 것입니다.
