비디오: [페이스북 해커양성소] 챕터3 사회공학기법 (피싱을 예로듬) 2024
소셜 엔지니어링 은 모든 조직의 정보 보안 방어에서 가장 약한 링크 인 인력을 활용합니다. 사회 공학은 "사람들 해킹"이며 개인 이익을 위해 사용될 수있는 정보를 얻기 위해 악의적으로 인간의 신뢰하는 성격을 이용합니다.
사회 공학은 허풍과 기술이 낯선 사람에게 신뢰할 수있는 것으로 여겨지므로 가장 힘든 해킹 중 하나입니다. 또한 자체 보안 결정을 내리는 사람들이 관련되어 있기 때문에 보호해야 할 가장 힘든 일입니다.
사회 공학 시나리오에서, 의도가없는 사람들은 다른 사람이 다른 방법으로 액세스 할 수없는 정보를 얻기 위해 포즈를 취합니다. 그런 다음 피해자로부터 얻은 정보를 가져 와서 네트워크 리소스를 파괴하고 파일을 도용하거나 삭제하며 기업 스파이 또는 공격하는 조직에 대한 다른 형태의 사기를 범합니다. 사회 공학은 숄더 서핑 및 쓰레기 수거와 같은 물리적 보안 악용과는 다르지만 두 가지 유형의 해킹이 관련되어 있으며 종종 탠덤으로 사용됩니다.
"-
지원 담당자 "는 사용자의 컴퓨터에 패치 나 새로운 버전의 소프트웨어를 설치해야한다고 주장하면서 사용자가 소프트웨어를 다운로드하고 시스템을 원격 제어 할 수 있습니다. 조직의 회계 패키지 또는 전화 시스템을 업데이트하고, 관리자 암호를 묻고, 전체 액세스 권한을 얻으려고한다고 주장하는 "
-
공급 업체 " "보안 데스크에 데이터 센터에 대한 액세스 배지를 분실했다는 사실을 보안 팀에 통보하고, 보안을 통해 일련의 키를 받고, 물리적 및 전자적으로 무단 액세스를 얻습니다 정보.
-
피싱 전자 메일 은 수신자의 사용자 ID와 암호를 수집하기 위해 누구로부터 발송됩니다. 이러한 공격은 본질적으로 일반적 일 수 있으며 스피어 피싱 (spear-phishing)
-
공격이라고 할 수 있습니다. 그러면 범죄자는 이러한 암호를 사용하여 악성 코드를 설치하고, 네트워크에 액세스하고, 지적 재산을 캡처하는 등의 작업을 수행합니다. 때때로 소셜 엔지니어는 자신감 있고 지식이 풍부한 관리자 또는 임원으로 활동합니다. 다른시기에는 극단적으로 정보가 없거나 순진한 직원의 역할을 수행 할 수도 있습니다. 또한 IT 컨설턴트 또는 유지 보수 직원과 같은 외부인으로 위장 할 수도 있습니다. 소셜 엔지니어는 잠재 고객에 잘 적응합니다. 이 문제를 풀기 위해 특별한 유형의 성격이 필요하며 종종 사교계와 유사합니다. 효과적인 정보 보안, 특히 사회 공학과의 싸움에 필요한 보안은 종종 사용자들에게 시작되고 끝납니다. 기본적인 인간 커뮤니케이션과 상호 작용이 주어진 시간에 조직의 보안 수준에 지대한 영향을 미친다는 것을 잊지 마십시오.
사탕 경비
경구는 "딱딱하고 바삭 바삭한 외부; 부드럽고 쫄깃한. "외부의
바삭하고 바삭 바삭한 조직은 방화벽, 침입 방지 시스템 및 컨텐츠 필터링과 같은 메커니즘의 계층으로, 조직에서 일반적으로 정보를 보호하기 위해 의존합니다. 부드럽고 질긴 내부 는 조직 내부의 사람과 프로세스입니다. 나쁜 놈들이 두꺼운 바깥 레이어를 지나칠 수 있다면 (대부분) 무방비의 내부 레이어를 손상시킬 수 있습니다.
