차례:
- Google 또는 기타 검색 엔진에서 회사 이름이나 특정 직원의 이름과 같은 간단한 키워드를 사용하여 검색하면 수시로 많은 정보가 생성됩니다. 후버 (Hoover) 및 야후 파이낸스 (Yahoo Finance)와 같은 사이트에서 SEC 기록에 더 많은 정보를 찾을 수 있습니다. 이 검색 엔진 정보를 사용하고 회사의 웹 사이트를 탐색함으로써 침입자는 종종 사회 공학 공격을 시작하기에 충분한 정보를 얻습니다.
- 쓰레기 수거 다이빙은 좀 더 위험합니다. 그러나 이것은 정보를 얻는 매우 효과적인 방법입니다. 이 방법은 말 그대로 쓰레기통을 뒤적 거리며 회사에 대한 정보를 얻는 것과 관련이 있습니다.
- 가정용 전화
- 피싱 연습을 직접 수행 할 수 있습니다. 기본적인 방법은 가짜 전자 메일 계정을 설정하여 정보를 요청하거나 악의적 인 사이트에 연결하거나 테스트하려는 직원이나 다른 사용자에게 전자 메일을 보내고 어떻게되는지 확인하는 것입니다. 정말 간단합니다.
비디오: 테크비디오 | 소셜 엔지니어링이란 무엇인가? 2024
소셜 엔지니어가 목표를 염두에두면 일반적으로 피해자에 대한 공개 정보를 수집하여 공격을 시작합니다. 많은 사회 공학자들은 시간이 지남에 따라 정보를 천천히 습득하므로 의심을 불러 일으키지 않습니다. 사회 공학을 방어 할 때 명백한 정보 수집은 팁입니다. 초기 연구 방법에 관계없이 모든 해커는 직원 목록, 주요 내부 전화 번호, 소셜 미디어 웹 사이트의 최신 뉴스 또는 회사 달력 등의 조직에 침투해야 할 수 있습니다.
인터넷 사용Google 또는 기타 검색 엔진에서 회사 이름이나 특정 직원의 이름과 같은 간단한 키워드를 사용하여 검색하면 수시로 많은 정보가 생성됩니다. 후버 (Hoover) 및 야후 파이낸스 (Yahoo Finance)와 같은 사이트에서 SEC 기록에 더 많은 정보를 찾을 수 있습니다. 이 검색 엔진 정보를 사용하고 회사의 웹 사이트를 탐색함으로써 침입자는 종종 사회 공학 공격을 시작하기에 충분한 정보를 얻습니다.
쓰레기 수거 다이버
쓰레기 수거 다이빙은 좀 더 위험합니다. 그러나 이것은 정보를 얻는 매우 효과적인 방법입니다. 이 방법은 말 그대로 쓰레기통을 뒤적 거리며 회사에 대한 정보를 얻는 것과 관련이 있습니다.
내부 전화 목록
조직도
-
보안 정책이있는 직원 핸드북
-
네트워크 다이어그램
-
암호 목록
-
모임 노트 > 스프레드 시트 및 보고서
-
기밀 정보가 포함 된 전자 메일 인쇄
-
문서 파쇄는 종이가 작은 색종이 조각으로
-
교차 분쇄 된
-
경우에만 효과적입니다. 긴 띠로 만 문서를 파쇄 한 저렴한 파쇄기는 기본적으로 결정된 사회 공학자에게는 가치가 없습니다. 약간의 시간과 테이프로 소셜 엔지니어는 자신이해야 할 일이 있다면 다시 문서를 작성할 수 있습니다.
악의적 인 사람들은 CD-ROM 및 DVD, 오래된 컴퓨터 케이스 (특히 하드 드라이브가 손상되지 않은 케이스) 및 백업 테이프를 쓰레기 더미에서도 조사합니다. 전화 시스템 공격자는 대부분의 음성 메일 시스템에 내장 된 전화 걸기 기능을 사용하여 정보를 얻을 수 있습니다. 이 기능에 액세스하려면 대개 회사의 기본 번호로 전화를 건 후 또는 다른 사람의 음성 사서함을 입력 한 후에 0을 누르십시오. 이 트릭은 시간이 지나면 아무도 응답하지 않도록 최선을 다합니다.
공격자는 어디에서 전화를 숨길 수 있는지 자신의 신원을 보호 할 수 있습니다. 위치를 숨길 수있는 방법은 다음과 같습니다.
가정용 전화
는 전화 번호 앞에 * 67을 다이얼하여 발신자 번호로 전화 번호를 숨길 수 있습니다.
이 기능은 무료 전화 (800, 888, 877, 866) 또는 911로 전화를 걸 때 효과가 없습니다. 전화 스위치를 사용하는 사무실에서
-
사업용 전화 는 스푸핑하기가 더 어렵습니다. 그러나 일반적으로 공격자는 전화 스위치 소프트웨어의 사용자 가이드와 관리자 암호가 필요합니다. 많은 스위치에서 공격자는 피해자의 집 전화 번호와 같은 허위 번호를 포함하여 소스 번호를 입력 할 수 있습니다. 그러나 VoIP (Voice over Internet Protocol) 전화 시스템을 사용하면이 문제를 해결할 수 있습니다.
VoIP 서버
-
(예: 오픈 소스 별표 (Asterisk))는 원하는 번호를 보내도록 사용 및 구성 할 수 있습니다. 피싱 전자 메일
-
최신 범죄 해킹 열풍은 피싱 (999)입니다. 범죄자는 잠재적 인 희생자에게 중요한 정보를 누설하거나 악성 링크를 클릭하도록 가짜 전자 메일을 보냅니다. 피싱은 실제로 수년간 지속되어 왔지만, 겉보기에 뚫을 수없는 조직에 대한 주목도가 높은 일부 악용 사례를 보면 최근에 더 많은 가시성을 확보했습니다. 피싱의 효과는 놀랍습니다. 그 결과는 종종 추악합니다. 범죄자가 암호를 수집하거나 중요한 정보를 도용하거나 악성 코드를 대상 컴퓨터에 주입하는 데는 잘 배치 된 전자 메일이 있습니다.
피싱 연습을 직접 수행 할 수 있습니다. 기본적인 방법은 가짜 전자 메일 계정을 설정하여 정보를 요청하거나 악의적 인 사이트에 연결하거나 테스트하려는 직원이나 다른 사용자에게 전자 메일을 보내고 어떻게되는지 확인하는 것입니다. 정말 간단합니다.
사용자가이 트릭에 실제로 얼마나 취약한 지에 놀랄 것입니다. 대부분의 피싱 테스트는 10-15 %의 성공률을 보입니다. 80 %까지 높을 수 있습니다. 그 요금은 보안이나 비즈니스에 좋지 않습니다! 피싱 테스트를 실행하기위한보다 공식적인 방법은 해당 작업을 위해 특별히 제작 된 도구를 사용하는 것입니다. 상업용 공급 업체와 좋은 경험을 쌓았음에도 불구하고 직접 또는 실수로 외부로 전송 될 수있는 민감한 정보를 포기하는 방법에 대해 오랫동안 고민하고 다시 통제 할 필요가 없습니다. 이러한 경로를 따르는 경우 클라우드 서비스 제공 업체와 마찬가지로 이러한 타사 피싱 벤더에게 누설 된 내용을 완전히 이해했는지 확인하십시오. 신뢰하지만 확인하십시오.
상용 피싱 도구의 대안으로는 spt라고도 알려진 Simple Phishing Toolkit이 있습니다.spt 프로젝트 환경을 설정하는 것은 반드시 간단한 것은 아니지만, 적절한 위치에 놓은 후에는 피싱 이니셔티브에 놀라운 일을 할 수 있습니다.
전자 메일 템플릿이 사전 설치되어 있고 라이브 웹 사이트를 스크래핑 (960 페이지)하여 자신의 캠페인을 사용자 정의 할 수있는 기능과 다양한보고 기능을 제공하므로 어떤 전자 메일을 추적 할 수 있습니다 -mail 사용자는 테스트를 거치지 않고 미끼를 가지고 있습니다.
소셜 엔지니어는 희생자가 바깥에있을 때, 음성 메일 메시지를 듣는 것처럼 재미있는 정보를 쉽게 찾을 수 있습니다. 또한 음성 메일 메시지, 팟 캐스트 또는 웹 캐스트를 듣고 피해자의 목소리를 연구 할 수 있으므로 해당 사람들을 가장하는 법을 배울 수 있습니다.
