컴퓨터 보안에서는 사용자의 최선의 노력에도 불구하고 많은 문제가 발생합니다. 예를 들어 맬버타이징으로 인해 언제든지 맬웨어에 걸릴 수 있습니다. 실제로 운이 좋지 않습니다. 광고 차단기 사용과 같이 위험을 최소화하기 위해 취할 수 있는 조치가 있습니다. 하지만 이렇게 맞은 것은 유저의 잘못이 아니다. 다른 공격은 사용자가 무언가를 하도록 속이는 데 중점을 둡니다. 이러한 유형의 공격은 광범위한 사회 공학적 공격에 속합니다.
사회 공학에는 사람들이 특정 상황을 처리하는 방법에 대한 분석 및 이해를 사용하여 결과를 조작하는 것이 포함됩니다. 대규모 그룹의 사람들을 대상으로 사회 공학을 수행할 수 있습니다. 그러나 컴퓨터 보안 측면에서 볼 때 일반적으로 개인에 대해 사용되지만 잠재적으로 대규모 캠페인의 일부가 될 수도 있습니다.
한 그룹의 사람들에 대한 사회 공학의 예는 주의를 산만하게 하기 위해 공황 상태를 유발하려는 시도일 수 있습니다. 예를 들어, 위장 작전을 수행하는 군대, 분주한 장소에서 "발포"를 외치고 혼돈 속에서 도둑질을 하는 사람이 있습니다. 단순한 선전, 도박, 광고도 어느 정도는 사회공학적 수법입니다.
그러나 컴퓨터 보안에서는 작업이 보다 개별적인 경향이 있습니다. 피싱은 사용자가 클릭하여 연결하고 세부 정보를 입력하도록 유도합니다. 많은 사기는 두려움이나 탐욕을 바탕으로 조작하려고 시도합니다. 컴퓨터 보안의 사회 공학 공격은 서버 룸에 대한 무단 액세스 시도와 같은 실제 세계로의 모험을 시도할 수도 있습니다. 흥미롭게도 사이버 보안의 세계에서 이 마지막 시나리오 및 이와 유사한 시나리오는 일반적으로 사회 공학 공격에 대해 이야기할 때 의미하는 바입니다.
광범위한 사회 공학 – 온라인
피싱은 공격자에게 세부 정보를 제공하도록 피해자를 사회 공학적으로 시도하는 공격 유형입니다. 피싱 공격은 일반적으로 이메일과 같은 외부 시스템에서 전달되므로 두 가지 별개의 사회 공학 포인트가 있습니다. 첫째, 피해자에게 메시지가 합법적임을 확신시키고 링크를 클릭하도록 해야 합니다. 그러면 피싱 페이지가 로드되고 사용자에게 세부 정보를 입력하라는 메시지가 표시됩니다. 일반적으로 이것은 사용자 이름과 암호입니다. 이것은 초기 이메일과 피싱 페이지 모두 사용자가 신뢰하도록 사회 공학적으로 충분히 설득력이 있는 것으로 보입니다.
많은 사기는 피해자가 돈을 넘겨주도록 사회적 공학을 시도합니다. 고전적인 "나이지리아 왕자" 사기는 피해자가 약간의 선불 수수료를 지불할 수 있는 경우 큰 금액을 지불할 것을 약속합니다. 물론 피해자가 "수수료"를 지불하면 지불금을 받지 못합니다. 다른 유형의 사기 공격도 유사한 원칙에 따라 작동합니다. 피해자가 무언가를 하도록 설득합니다. 일반적으로 돈을 넘겨주거나 맬웨어를 설치합니다. 랜섬웨어도 이에 대한 예입니다. 피해자는 돈을 넘겨야 합니다. 그렇지 않으면 암호화된 데이터에 대한 액세스 권한을 잃을 위험이 있습니다.
대면 사회 공학
사이버 보안의 세계에서 사회 공학을 언급할 때 일반적으로 실제 세계에서의 작업을 나타냅니다. 많은 예제 시나리오가 있습니다. 가장 기본적인 것 중 하나는 테일 게이팅입니다. 이것은 당신이 통과할 수 있도록 접근이 통제된 문을 열어둔 채 누군가 뒤에 충분히 가까이 있습니다. 희생자가 당신을 도울 수 있는 시나리오를 설정함으로써 테일 게이팅을 향상시킬 수 있습니다. 한 가지 방법은 밖에서 흡연자들과 담배를 피우며 시간을 보낸 다음 그룹과 함께 실내로 돌아가는 것입니다. 또 다른 방법은 뭔가 어색한 것을 들고 있는 것으로 보여지는 것입니다. 이 기술은 당신이 들고 있는 것이 다른 사람을 위한 것일 수 있다면 훨씬 더 성공할 가능성이 높습니다. 예를 들어, "당신의 팀"을 위한 커피 머그 쟁반이 있다면 누군가가 당신을 위해 문을 열어주어야 한다는 사회적 압력이 있습니다.
대부분의 대면 사회 공학은 시나리오를 설정한 다음 시나리오 내에서 자신감을 갖는 데 의존합니다. 예를 들어, 사회 공학자는 일반적으로 간과될 수 있는 일종의 건설 노동자 또는 청소부 역할을 할 수 있습니다. 선량한 사마리아인으로 위장하여 "분실된" USB 썸 드라이브를 건네면 직원이 USB 드라이브를 꽂을 수 있습니다. 그 의도는 그것이 누구에게 속해 있는지 확인하는 것이지만, 그런 다음 맬웨어로 시스템을 감염시킬 수 있습니다.
이러한 유형의 대면 사회 공학적 공격은 아무도 그렇게 속을 것이라고 정말로 기대하지 않기 때문에 매우 성공적일 수 있습니다. 그러나 적발될 가능성이 매우 높은 공격자에게는 상당한 위험을 수반합니다.
결론
사회 공학은 목표를 달성하기 위해 사람을 조작하는 개념입니다. 한 가지 방법은 실제처럼 보이는 상황을 만들어 피해자가 믿도록 속이는 것입니다. 피해자가 표준 보안 조언에 반하는 행동을 하도록 사회적 압력이나 기대가 있는 시나리오를 만들 수도 있습니다. 그러나 모든 사회 공학 공격은 공격자가 원하는 작업을 수행하도록 한 명 이상의 피해자를 속이는 데 의존합니다.