사회 공학은 피해자가 조작되어 정보를 공유하고, 악성 코드를 다운로드하고, 범죄자에게 돈을 보내는 방식을 설명합니다. 악성 소프트웨어 패키지와 달리 인간의 두뇌는 패치할 수 없습니다. 기본적으로 모든 사람이 사회 공학에 똑같이 취약합니다. 나이지리아 왕자 사기 사건 이후 사회 공학에 대한 대중의 인식은 크게 발전하지 않았지만, 공격자들은 지금까지 가장 사악하고 조작적인 기술 중 일부를 스트레스 테스트하기 위해 엄청난 수준의 데이터 유출을 통해 이익을 얻을 수 있었습니다.
사회공학은 어떻게 작동하나요?
사회 공학은 공격자의 접근 방식에 따라 다양한 형태를 취할 수 있습니다. 조직에 대한 공격의 경우 신뢰할 수 있는 브랜드나 파트너로 가장하는 것이 가장 수익성이 높은 방법 중 하나입니다. 2019년 사이버범죄자들은 최고경영자의 목소리를 사칭하기 위해 AI 기반 소프트웨어를 부과했다.
영국에 본사를 둔 한 에너지 기업의 CEO는 상사로부터 긴급하게 총액을 이체해 달라고 요청하는 전화를 받았습니다. € 220,000 ($ 243,000) 헝가리 공급업체로 건너가세요. 이는 공격자가 AI를 활용하는 드문 사례이지만, 대부분의 소셜 엔지니어는 여전히 신뢰할 수 있는 조직으로 위장하는 것의 힘을 알고 있습니다. 같은 맥락에서 정부 및 권위 인사를 모방하는 것을 목표로 하는 공격도 있습니다. 정부 기관에 부여된 신뢰는 공격자가 남용할 수 있는 유익한 기회를 제공합니다. IRS를 가장하여 사회 공학 공격에 시간 제한이 있거나 징벌적인 이점을 제공하여 피해자가 적절한 생각 없이 행동하도록 유도할 수도 있습니다.
사회 공학적 방법은 크게 두 가지 감정 그룹을 잡아먹습니다. 첫 번째는 두려움과 긴급함을 수반합니다. 수십 년간의 진화를 통해 사이버 범죄자들은 공포를 유발하는 기술을 정교하게 연마했습니다. 예를 들어, 최근 신용 카드 거래가 승인되지 않았다는 예상치 못한 이메일은 피해자가 자신의 카드가 부정하게 사용되었다고 가정하기 때문에 두뇌에 더 큰 스트레스를 줍니다. 이 패닉은 그들이 관련 링크를 클릭하고 설득력 있는 은행 로그인 페이지에 자격 증명을 입력한 후 합법적인 페이지로 리디렉션되는 것을 봅니다. 더 현명하지는 않지만 피해자는 은행 자격 증명을 사기꾼에게 넘겼습니다. 공격자에게는 이익이 되지만 재정이 패닉을 조장하는 유일한 방법은 아닙니다. 소규모 웹사이트 및 사업체 소유자는 자신의 사이트에 있는 이미지가 저작권법을 위반한다고 허위로 주장하는 메시지를 받을 수 있으며, 이를 통해 개인 정보 또는 심지어 금전을 넘겨줄 수도 있습니다. 벌금. 일부 긴급 기반 공격은 피해자가 최대한 빨리 클릭하도록 압력을 가하기 위해 기간 한정 거래의 외관을 사용하기도 합니다.
또 다른 형태의 사회 공학 공격은 탐욕을 자극합니다. 나이지리아 왕자 공격이 이에 대한 전통적인 예입니다. 여기에서 피해자는 나이지리아 왕실의 도망자라고 주장하는 사람으로부터 이메일을 받습니다. 송금인이 수백만 달러를 송금하려면 누군가의 은행 계좌가 필요하지만 먼저 피해자의 은행 정보가 필요합니다. 예금할 수백만 달러를 이용하기를 원하는 피해자는 상대적으로 적은 선불 수수료나 세부 사항을 보내도록 설득될 수 있습니다. 사이버 범죄 업계에서 이러한 공격은 아주 오래된 공격입니다. 하지만 2018년에는 여전히 수십만 달러의 수익을 올렸습니다.
사회 공학 공격 유형
사회 공학은 광범위한 공격 패턴을 포괄하며, 각 패턴은 피해자를 조작하기 위해 고유한 접근 방식을 취합니다.
피싱 공격
피싱은 가장 악명 높은 유형의 사회 공학 공격 중 하나를 포함합니다. 이러한 공격을 통해 피해자는 민감한 정보를 공유하거나 악성 파일을 다운로드하도록 조작하려는 목적의 메시지를 받게 됩니다. 사기꾼은 받은 편지함이 모든 조직에서 가장 취약한 영역임을 인식하고 메시지는 알려진 조직, 수신자의 친구 또는 신뢰할 수 있는 고객을 모방하여 합법성을 높여 작성됩니다.
피싱 공격에는 5가지 주요 형태가 있습니다. 그 중 가장 위험한 것은 스피어피싱(Spear Phishing) 기술이다. 이 전술은 특정 개인, 즉 일반적으로 민감한 정보 및 네트워크에 대한 액세스 권한이 부여된 개인을 대상으로 합니다. 공격자는 표적 개인에 대해 장기간의 조사를 수행하며 종종 소셜 미디어를 사용하여 그들의 행동과 움직임을 추적합니다. 목표는 대상이 알고 신뢰하는 사람이 보낸 것처럼 믿을만한 메시지를 작성하거나 대상이 익숙한 상황을 언급하는 메시지를 만드는 것입니다. 웨일링은 CEO와 같은 유명 인사를 대상으로 이러한 프로세스를 활용하는 것을 의미합니다. 스피어 피싱은 BEC(Business Email Compromise)를 통해 무오류에 가깝게 강화될 수 있습니다. 이를 통해 권위자의 실제 이메일 계정에서 악성 이메일을 보낼 수 있습니다.
다음 두 가지 유형의 피싱은 피해자에게 연락한 매체를 나타냅니다. 피싱은 일반적으로 이메일을 떠올리게 하지만, 공격자는 피해자와의 모든 형태의 잠재적인 접촉을 기꺼이 활용합니다. 여기에는 앞서 언급한 CEO의 속이는 CEO와 같은 비싱이 포함될 수 있으며, 전화의 반대편에 (명백한) 사람을 포함시키면 피해자들에게 긴박감을 더욱 심어줄 수 있습니다.
IBM이 공개한 데이터 Vishing이 캠페인에 포함된 것을 보여준 결과 성공 확률이 최대 300% 증가했습니다. 반면 Smishing은 공격자가 동일한 목표를 달성하기 위해 문자 메시지를 사용하는 것을 확인했습니다.. 이러한 다양한 메시지와 이메일이 피해자에게 도달하는 방식은 공격자만큼이나 다양합니다. 가장 기본적인 형태는 대량 피싱입니다. 일반적으로 템플릿에 포함되지 않은 매우 유사한 이메일이 수백만 명의 수신자에게 동시에 전송됩니다. 대량 공격자는 피싱이 단지 숫자 게임일 뿐이라는 것을 알고 있습니다. 피싱을 충분한 사람에게 보내면 결국 누군가가 피해자가 될 것입니다. 이러한 이메일은 최대한 일반적이며 글로벌 은행 및 대규모 온라인 회사에서 보낸 것으로 보입니다. 일반적인 주제는 가짜 비밀번호 재설정 이메일과 신용 관리 업데이트 요청입니다. 반면, 검색 엔진 피싱은 '유기적' 피해자를 생성하려고 시도합니다. 공격자는 피해자가 합법적이라고 생각할 정도로 Google 검색 결과에서 높은 순위를 차지하는 악성 웹사이트를 구축합니다. 낚시꾼 피셔는 소셜 미디어 플랫폼에서 신뢰할 수 있는 회사의 공식 계정으로 가장하여 피해자를 골라냅니다. 고객이 연락하면 이러한 가짜 계정은 고객의 문의 사항과 우려 사항을 이용하여 개인 정보와 신용 카드 정보를 수집합니다.
미끼 공격
피싱은 종종 매우 긴급한 전술을 사용하는 반면, 미끼 공격은 피해자가 자신의 최선의 이익에 반하는 행동을 하도록 유인합니다. FBI는 2020년에 경고를 내렸다. 미국 기반 조직에 악명 높은 사이버 범죄 그룹 FIN7이 악성 USB 드라이브를 사용하여 여러 조직에 랜섬웨어를 전달한 것으로 밝혀졌습니다. 이 USB는 홍보 및 공공 안전 공지 패키지로 발송되었습니다. 압수된 패키지 중 하나는 코로나19 지침을 참조하여 미국 보건부를 모방한 것으로 발견되었으며, 다른 하나는 가짜 기프트 카드와 악성 USB로 가득 찬 Amazon 선물 패키지를 모방하려고 시도한 것으로 나타났습니다.
테일게이팅 공격
뒤따르거나 피기백하는 것은 물리적 경계 보안에 대한 아이디어에서 비롯됩니다. 여기에서 공격자는 귀중한 자산이 포함된 영역으로 합법적이고 승인된 사람을 밀접하게 추적합니다. 디지털 테일게이팅은 직원의 부주의에 크게 의존하는 가장 간단한 형태의 사이버 공격 중 하나입니다. 이는 직원이 지역 도서관의 화장실에 가는 동안 기기를 방치한 것처럼 보일 수 있습니다. FBI는 로스 울브리히트(Ross Ulbricht)를 체포했습니다., 2013년 마약 판매 웹사이트 실크로드의 소유자.
프리텍스팅 공격
프리텍스팅 공격은 공격자가 피해자에게 그럴듯하면서도 가짜인 상황을 만드는 것과 관련이 있습니다. 일단 거짓말을 받아들이면 피해자는 훨씬 더 조종하기 쉬워집니다. 예를 들어, 많은 사전 문자 메시지 공격은 보안 침해로 인해 영향을 받는 피해자를 중심으로 이루어지며, 'IT 지원팀'이 피해자의 장치를 원격으로 제어하거나 민감한 계정 정보를 도용하여 문제를 해결하겠다고 제안합니다. 기술적으로 거의 모든 사회 공학 시도에는 피해자를 더 쉽게 만들 수 있는 능력 덕분에 어느 정도의 프리텍스팅이 포함됩니다.
대가성 공격
보상 공격은 피해자의 얼굴 앞에 원하는 상품이나 서비스를 매달아 두는 미끼 방법을 사용하지만, 피해자가 그 대가로 개인 정보를 제공하는 경우에만 가능합니다. 가짜 콘테스트 우승이든 '당신은 어느 디즈니 공주입니까?' 퀴즈이든, 이러한 공격을 통해 전달된 정보는 향후 더 심각한 공격에 기여할 수 있습니다.
스케어웨어 공격
Scareware는 피해자에게 겁을 주어 정보를 공유하거나 추가 악성 코드를 다운로드하도록 하는 모든 형태의 악성 코드를 말합니다. 가짜 기술 지원 메시지가 전통적인 예이지만 새로운 공격은 두려움과 수치심을 최대한 활용합니다. 최근 한 채용 웹사이트에서 이메일 주소가 도난당해 각 주소로 가짜 구인 제안이 발송되었습니다. 첨부된 문서를 클릭하면 트로이 목마 바이러스 다운로드가 시작됩니다. 공격은 특히 기업 이메일 주소를 표적으로 삼았습니다. 피해를 입은 직원은 대체 일자리를 찾는 동안 고용주에게 감염 사실을 알리기를 주저할 것이라는 점을 알고 있었습니다.
워터링 홀 공격
마지막으로, 워터링 홀 공격에서는 공격자가 유명하고 합법적인 웹 페이지를 표적으로 삼는 것을 볼 수 있습니다. 공격자는 일반적으로 대상이 자주 방문하는 사이트에 악성 코드를 삽입함으로써 드라이브 바이 다운로드 및 자격 증명 도용으로 피해자를 간접적으로 잡을 수 있습니다.
사회 공학 공격을 식별하는 방법
사회 공학 공격은 눈에 띄지 않게 되는 능력 덕분에 매우 성공적입니다. 따라서 공격에 걸리기 전에 공격을 인식하는 것이 공격 예방의 핵심 부분입니다. 사회 공학 공격 시도를 식별하는 6가지 주요 식별자는 다음과 같습니다.
의심스러운 발신자
합법적인 업체를 사칭하는 가장 쉬운 방법 중 하나는 이메일 스푸핑입니다. 여기에서 공격자의 주소는 실제 조직의 주소와 거의 동일하지만 완전히 똑같지는 않습니다. 일부 문자는 약간 변경되거나 완전히 생략될 수 있습니다. 이는 대문자 'I'를 소문자 'l'로 바꾸는 것과 같이 매우 교묘해질 수 있습니다.
일반적인 인사말 및 승인
대량 피싱 이메일은 거의 항상 sir 또는 ma'am과 같은 일반적인 인사말을 사용합니다. 그러나 Genuine 마케팅 자료는 일반적으로 이름으로 시작합니다. 신뢰할 수 있는 조직은 일반적으로 데이터베이스에 포함된 연락처 정보를 활용하기 때문입니다. 보낸 사람의 서명에 연락처 정보가 포함되는 경우가 많기 때문에 신뢰할 수 있는 조직의 이러한 연락 형태는 이메일 끝까지 확장됩니다. 일반적인 인사말과 연락처 정보 부족의 조합은 피싱의 강력한 지표입니다.
스푸핑된 하이퍼링크 및 웹사이트
장치를 손상시키는 가장 쉬운 방법 중 하나는 악성 코드가 로드된 웹사이트를 이용하는 것입니다. 최신 장치의 하이퍼링크 형식 덕분에 모든 텍스트가 모든 URL에 연결될 수 있습니다. 링크 위로 마우스를 가져가서 유효성을 평가하면 PC에서 이를 확인할 수 있지만 모바일 및 태블릿 사용자는 무의식적으로 클릭할 위험이 더 큽니다. 스푸핑된 하이퍼링크의 성급함을 더욱 악화시키는 것은 공격자가 합법적인 웹 사이트를 매우 유사하게 모방하여 공격에 신뢰성을 더할 수 있다는 점입니다. 스푸핑된 URL은 스푸핑된 이메일 주소와 동일한 패턴을 따릅니다. 즉, .gov를 .net으로 변경하는 등 철자나 도메인을 변형하는 것이 가장 성공적인 기술 중 일부입니다.
보조 목적지
마케팅 자료 및 기타 메시지에 첨부 문서가 포함되는 것은 매우 일반적입니다. 공격자는 이를 이용하여 피해자를 진짜 문서 또는 호스팅 사이트로 연결하고, 이는 다시 피해자를 악성 페이지로 연결합니다. 이 기술은 일반적으로 업무에 정기적으로 협력하는 직원 팀에 부과됩니다. 합법적인 문서에 악성 파일에 대한 링크가 포함되어 있으면 피해자의 신뢰도가 높아질 뿐만 아니라 기본적인 받은 편지함 보안 메커니즘도 회피하게 됩니다.
철자 및 레이아웃
피싱 공격의 가장 확실한 징후는 잘못된 문법과 철자법입니다. 평판이 좋은 조직은 거의 항상 고객 서신을 확인하고 교정하는 데 시간을 할애합니다. 동시에, 인간 해킹 공격이라는 사회 공학 기술과 관련된 빈약한 문법은 고유한 필터링 메커니즘으로 작용합니다. 공격자는 의심스러운 사람들을 상대하는 데 시간을 낭비하고 싶어하지 않습니다. 잘못된 문법과 철자법에 빠지는 사람들은 쉬운 먹잇감이 될 만큼 취약합니다.
의심스러운 첨부 파일
사용자에게 첨부 파일을 다운로드하고 열도록 요청하는 원치 않는 이메일에는 알람 벨이 울리도록 설정해야 합니다. 긴급한 분위기와 결합되면 이러한 공황 상태를 조심성으로 전환하는 것이 중요합니다. 비즈니스 이메일 손상의 경우 믿을 수 없을 정도로 짧은 메시지라도 광범위한 대혼란을 촉발할 수 있습니다. 고위 간부로부터 '이 문서를 인쇄해야 합니다. 10분 안에 내 책상에 놓아야 합니다.'라고 선언하는 이메일을 받으면 인턴이 해당 문제를 간과하도록 속일 수 있습니다. 두려움으로 인한 문법 오류.
사회 공학 공격을 방지하는 방법
피싱 공격을 순전히 개인의 문제로 보는 것이 일반적이지만 사회 공학적 예방을 집단적 노력으로 보아야 한다는 요구가 늘어나고 있습니다. 결국 공격자는 두려움과 공포에 대한 사용자의 자연스러운 반응을 무기화하고 있을 뿐입니다. 조직과 사용자를 보호하는 것은 세 가지 주요 영역으로 이루어집니다.
#1. 보안 인식 교육
무엇보다도 직원들에게 자신을 방어할 수 있는 도구를 제공합니다. 보안 인식 교육은 사용자와 관련이 있어야 하며 몇 가지 일방적인 규칙을 강조해야 합니다. 직원들은 이메일과 메시지에 포함된 링크를 클릭하지 말아야 함을 이해해야 합니다. 대신, 단순히 합법적인 버전을 찾는 습관을 키워야 합니다. 최신 인터넷 속도로 인해 이 문제를 쉽게 해결할 수 있습니다.
이 시점에서 비밀번호 위생은 모든 직원이 수천 번 이상 들어봤음을 상기시켜 줍니다. 현재 모든 사람이 보유하고 있는 수십 개의 온라인 계정을 고려할 때 고유하고 복잡한 비밀번호는 비밀번호 관리자를 통해서만 실현 가능합니다. 이러한 방식으로 직원을 지원하면 성공적인 공격의 폭발 반경을 제한하는 데 큰 도움이 될 수 있습니다.
마지막으로 직원들은 모든 사람이 취약하다는 점을 이해해야 합니다. 소셜 미디어를 통한 개인 정보 유출은 고래 피싱 산업을 크게 성공시키는 원동력입니다. 학교, 애완동물, 출생지는 대중의 눈에 띄지 않아야 한다는 점을 명심하는 것이 좋지만 일부 직원은 기억하기 쉽지만 기술적으로는 사실이 아닌 보안 질문을 설정하는 것이 더 쉽다고 생각할 수도 있습니다. 예를 들어 '학교는 어디 다녔나요?'라는 보안 질문을 설정하는 것입니다. '호그와트'를 사용하면 어떤 공격자들도 완전히 쫓아낼 수 있습니다.
#2. 액세스 제어 정책
각 엔드포인트에 대한 액세스를 제어하는 것은 소셜 엔지니어링 예방의 중요한 부분입니다. 사용자부터 인증 프로세스까지 누가 무엇에 액세스하는지 엄격하게 제어해야 합니다. 최종 사용자는 자리를 비울 때마다 컴퓨터와 장치를 잠가야 합니다. 이는 짧은 절전 타이머를 통해 강화되고 자동화되어야 합니다. 공공 장소에서 장치를 사용할 때는 항상 직원이 소유해야 합니다. 모든 인증은 MFA를 통해 강화되어야 합니다. 이를 통해 BEC 및 로그인 자격 증명 도용의 위협을 완전히 무효화할 수 있습니다.
궁극적으로 단순히 지문이나 전화로 신원을 확인하는 것만으로도 스푸핑된 이메일을 포착하거나 수백만 달러의 피해를 입히는 BEC 공격을 구분할 수 있습니다.
#삼. 보안 기술
직원들은 포괄적인 보안 기술 제품군으로 철저한 지원을 받아야 합니다. 예를 들어, 이메일 프로그램의 스팸 필터링으로 인해 여전히 의심스러운 이메일이 받은 편지함으로 들어오는 것을 허용하는 경우 타사 필터를 사용하면 URL 블랙리스트 접근 방식을 통해 사회 공학 공격을 모니터링하고 예방할 수 있습니다. 받은 편지함 기반 예방도 중요하지만 아마도 더 중요한 것은 다음을 구현하는 것입니다. 고품질 브라우저 보안. 이는 루트킷, 트로이 목마 및 자격 증명 도용 스푸핑을 이상적으로 방지하여 부분적인 URL 인식보다 훨씬 더 심층적인 보호 기능을 제공합니다.
LayerX 솔루션
LayerX의 사용자 우선 브라우저 확장은 사회 공학 공격에 맞서기 위한 포괄적인 단일 접근 방식을 제공합니다. 브라우저 세션은 애플리케이션 계층에서 모니터링되어 모든 탐색 이벤트에 대한 완전한 가시성을 제공합니다. 모든 웹페이지는 실시간 위협 무력화가 가능한 심층 분석을 통해 '차단 또는 거부' 프로세스를 한 단계 더 발전시킬 수 있습니다. 이러한 방식으로 세분화된 적용을 통해 고도로 발전된 BEC 공격도 페이로드 전달을 방지할 수 있습니다. DNS 차단 목록을 통한 단계별 접근 방식에 의존하는 대신 LayerX의 미래 지향적 접근 방식은 최첨단 위협 인텔리전스와 모든 엔드포인트에서 심층적인 시행을 결합합니다.