비디오: KTìì´ë¸ë¡, CJì¼ì´ë¸ë· ë± ì´íë¡ì§ ì¤í ë¦¬ì§ ì±ê³µ êµ¬ì¶ ì¬ë¡ (십월 2024)
사회 공학은 피싱 전자 메일 및 안전하고 인기있는 웹 사이트처럼 보이도록 꾸며진 악성 웹 사이트를 강화합니다. Social-Engineer Inc.의 Human Human Hacker 인 Chris Hadnagy와의 토론에서 이러한 사기를 어떻게 찾아 낼 수 있는지 물었습니다. 그의 조언은 우리가 독자들에게 자주 말한 내용을 반영합니다. 항상 의심하십시오.
사기꾼 이상
Hadnagy와의 논의에서 우리가 사회 공학이라고 부르는 것은 사람들이 수년 동안 영향력 결정에 사용한 것과 동일한 속임수라는 것이 분명합니다. 예를 들어, 패스트 푸드 산업은 사람들이 더 빨리 먹을 수있는 색이 무엇인지 탐구했습니다. 19 세기 (가족 구성원 포함)의 가짜 정신 주의자들과 오늘날에는 "콜드 리딩 (cold reading)"이라는 전술을 사용하여 피해자들이 자신에 대한 정보를 공개하도록 속입니다.
그러나 사회 공학은 데프콘에서 개최 된 사회 공학 캡처 깃발 경쟁에 의해 입증 된 것처럼 저렴한 트릭보다 더 많은 것이 있습니다. 여기서 참가자는 연구 회사와 해당 회사에 직접 연락하여 수집 한 정보에 대해 포인트를 얻습니다. Hadnagy는 최고 점수를받은 참가자들도 가장 많은 연구를 수행했으며, 이는 귀하의 목표를 아는 것이 얼마나 유용한지를 보여줍니다.
불행히도 지금은 리서치 나 오픈 소스 정보 수집을하는 사회 엔지니어가되기에 좋은시기입니다. Hadnagy는 회사와 개인이 소셜 미디어에 많은 정보를 게시하며 그 중 상당수가 소셜 엔지니어링 공격에 사용될 수 있다고 설명했습니다. 이전에는 사기꾼이 Facebook에서 수집 한 정보를 사용하여 사기가 더 매력적으로 보이도록하는 방법을 살펴 보았습니다.
타겟팅 감정
최고의 사회 공학 전략 중 하나는 일반적으로 감정을 목표로하여 비판적으로 사고하는 것을 방지하는 것입니다. Hadnagy는 자신을 속이는 공격 하나가 아마존 배송 이메일이라고 주장했다. "개인적인 것, 내 삶에 영향을 준 것, 그리고 나에게 중요한 것"이라고 그는 말했다.
이 특별한 공격에서 Hadnagy는 신용 카드 번호가 감소하여 아마존의 중요한 주문 중 하나가 지연되었다는 이메일을 받았습니다. 주요 회의가 열렸을 때, Hadnagy는 아마존을 직접 방문하는 대신 과로하여 이메일의 링크를 클릭했다고 말했습니다. 그가 가져간 페이지는 잘 만들어졌지만 고맙게도 개인 정보를 입력하기 전에 ".ru"도메인을 발견했습니다.
간단하지만이 전략은 매우 효과적이었습니다. Hadnagy는 자신의 컨설팅 업무를 언급하면서 "내가하는 일 때문에 지난 몇 개월 동안 190, 000 명이 넘는 사람들을 피싱했다"고 말했다. "이 공격에 거의 빠졌다."
감정에 호소하는 또 다른 장점은 최고의 사회 공학자들이 사용한 종류의 연구가 필요하지 않다는 것입니다. "우리가 보게 될 것은 대중에게 중요한 것들을 고르는 것입니다." Hadnagy는 여기에 UPS 배송, 아마존 주문 및 PayPal 전송이 포함된다고 설명했습니다.
대량 항소는 또 하나의 빈번한 전술 인 en-masse를 방송하는 데에도 효과적입니다. Hadnagy는“이들은 한 번에 수백만 명의 사람들에게이 메시지를 보내므로 100 %를 얻더라도 신경 쓰지 않습니다. "10 %는 여전히 수천 개의 손상된 계정입니다."
안전 유지
피싱 이메일을 탐지하는 데 사용되는 많은 전술은 사회 공학에도 적용됩니다. 진실하기에는 너무 좋거나 진실하기에는 너무 나쁘게 들리는 것은 아마도 사실이 아닙니다. 전체 URL을보기 위해 링크 위로 마우스를 가져 가거나, 웹 주소를 수동으로 입력하고, 파란색에서 도착하는 링크를 피하는 것과 같은 전술은 모두 올바른 전술입니다.
그러나 Capture the Flag 경쟁의 라이브 콜 부분은 사회 공학의 또 다른 측면, 즉 제도적 신뢰를 강조합니다. 올해 많은 참가자들은 동료 또는 벤더로 참여하여 대상 회사의 직원에게 즉시 신뢰할 수있는 이유를 제공했습니다. 때로는 회사의 CEO라고 주장하는 사람이 개인적으로 전화를 걸 때 질문을하기도합니다.
Hadnagy는 사회 공학을 설명하면서 경력을 쌓았지만 공격자가 자신의 트릭을 선택하고 있는지 걱정하지 않습니다. "나쁜 사람들은이 작업을 수행하는 방법에 대한 데이터를 찾지 않고있다"고 SecurityWatch에 말했다. "그들은 이미 방법을 알고있다. 문제는 좋은 사람들은 그렇지 않다는 것이다." Hadnagy는 자신의 작업을 통해 기업 미국 및 일반 사람들에게 일상적인 상호 작용에 대해 비판적으로 생각하는 방법과 최악의 시나리오에 대응하는 방법을 가르 칠 수 있다고 생각합니다. Hadnagy는 다음과 같이 설명했습니다. "나쁜 사람들을 무장시키는 대신 좋은 사람들을 무장시킵니다."
Flickr 사용자 Travis V를 통한 이미지
