Common Attacks (1)

Social Engineering

social engineering :: 사회공학기법이라 하는 용어의 그 "사회 공학"이다.

그렇다면 사회 공학이란 무엇일까??

 

 

What is Social Engineering

computer보다 사람을 대상으로 하는 사이버 공격을 뜻하는 용어이다. 뜻이 이렇다 보니

"People Hacking"이라고도 칭한다. 

 

공격자가 피해자의 패스워드를 얻고자 할 때, 공격자는 단순히 추측하는 비밀번호를 대입해볼 수도 있고

brute-force 공격을 실행할 수도 있지만 제일 간단하게는 직접 비밀번호를 물어볼 수도 있을 것이다. 

 

그게 어떻게 가능하냐 할 수도 있지만,

폰 수리점처럼 phone 관련 업체에서 필요하지도 않은 비밀번호를 작성해서 제출하도록 하기도 한다. 

 

사회 공학 기법은 사람 간의 신뢰 관계, 심리적인 요인을 이용하기 때문에

사용자 자신이 중요한 정보를 직접 제공하게 된다는 것이 정말 불가능한 얘기는 아니다. 

 

인스타 아이디나 이름같이 비교적 공개적으로 접근 가능한 정보를 기반으로 공격자는 또 다른 정보를 모은다.

모은 정보를 가지고 또 다른 정보를 모으고, 모으고, 모으고... 하면서

결과적으로 중요한 개인정보(ex.은행 계좌)를 입수하게 되는 것이다. 

 

 

 

Other forms of Social Engineering

사회 공학 기법은 기술적인 공격을 직접적으로 실행하기보다 사람을 속여 접근 권한을 얻는 것에 기여하는 모든 것을

포함하기 때문에 굉장히 광범위한 주제이다. 

 

그렇다보니 패기 있는 해커는 피해자의 폰 대리점이나 관련 회사에 직접 전화해 계정에 대한 정보를 더 캐낼 수도 있고,

누군가가 자신의 역할을 대신 해주길 바라면 일부러 USB를 바닥에 떨어트려 놓을 수도 있으며,

keylogger와 같은 악성 프로그램을 포함하는 케이블을 공공장소 소켓에 연결해 둘 수도 있다. 

 

 

 

Staying Safe from Social Engineering Attacks

여러 면에서 공격자가 소통하는 사람이 피해자의 정보를 제공하는 사람(지인, 친구, 가족, 대리점 직원..)일 수 있기

때문에 사회 공학 기법으로부터 피해를 예방하는 것은 까다로울 수 있다.

 

그래도 주의할 만한 부분을 살펴보면,

:: 중요한 pc에 USB 같은 외부 디바이스를 함부로 연결하지 않는다.

:: 보안 질문에 대한 답을 의도적으로 틀리게 설정하거나 추측하기 어려운 값으로 설정한다. 

:: 서비스를 제공하는 회사의 직원이라는 식으로 연락이 오는 경우,

신원 증명을 요구하고 직접 해당 회사에 확인하는 식으로 신뢰할 만한 사람인지 확인한다.