이메일은 사기범과 컴퓨터 범죄자가 사용하는 일반적인 공격 벡터입니다. 그러나 악성 코드, 피싱 및 나이지리아 선불 요금 사기를 퍼뜨리는 데만 사용되었다고 생각했다면 다시 생각하십시오. 공격자가 상사로 가장하여 수천 달러의 회사 자금을 그들이 제어하는 은행 계좌로 이체하도록 하는 새로운 이메일 기반 사기가 있습니다.
CEO 사기 또는 "내부자 스푸핑"이라고 합니다.
공격 이해
그렇다면 공격은 어떻게 작동합니까? 공격자가 공격을 성공적으로 수행하려면 공격 대상 회사에 대한 많은 정보를 알아야 합니다.
이 정보의 대부분은 대상으로 하는 회사 또는 기관의 계층 구조에 관한 것입니다. 그들은 누구를 알아야 합니다. 그들은 가장할 것입니다. 이러한 유형의 사기는 "CEO 사기"로 알려져 있지만 실제로는 누구나를 대상으로 합니다. 고위직 - 지불을 시작할 수 있는 모든 사람. 그들은 자신의 이름과 이메일 주소를 알아야 합니다. 또한 일정과 여행 또는 휴가를 알면 도움이 됩니다.
마지막으로 회계사 또는 재무 부서 직원과 같이 조직에서 누가 송금을 발행할 수 있는지 알아야 합니다.
이 정보의 대부분은 해당 회사의 웹사이트에서 자유롭게 찾을 수 있습니다. 많은 중소기업에는 직원, 역할 및 책임, 연락처 정보를 나열하는 "회사 소개" 페이지가 있습니다.
누군가의 일정을 찾는 것은 조금 어려울 수 있습니다. 대다수의 사람들은 자신의 캘린더를 온라인에 공개하지 않습니다. 그러나 많은 사람들이 Twitter, Facebook 및 Swarm(이전의 Foursquare)과 같은 소셜 미디어 사이트에서 자신의 움직임을 홍보합니다. 공격자는 사무실을 떠날 때까지 기다리기만 하면 공격할 수 있습니다.
공격자가 공격을 수행하는 데 필요한 모든 퍼즐 조각을 찾은 다음 CEO로 사칭하여 재무 직원에게 이메일을 보내 그들이 제어하는 은행 계좌로 송금을 시작하도록 요청합니다.
작동하려면 이메일이 진짜처럼 보여야 합니다. 그들은 '합법적'으로 보이거나 그럴듯해 보이는 이메일 계정을 사용합니다(예:[email protected] ) 또는 CEO의 진짜 이메일을 '스푸핑'합니다. 이것은 수정된 헤더와 함께 이메일이 전송되는 곳이므로 "보낸사람:" 필드에는 CEO의 진짜 이메일이 포함됩니다. 일부 동기가 부여된 공격자는 CEO가 이메일을 보내도록 하여 이메일의 스타일과 미학을 복제할 수 있습니다.
공격자는 재무 직원이 대상 경영진과 먼저 확인하지 않고 이전을 시작하도록 압력을 받기를 바랍니다. 이 내기는 종종 성과를 거두며 일부 회사는 무의식적으로 수십만 달러를 지불했습니다. BBC에 의해 프로파일링된 프랑스의 한 회사는 100,000유로를 잃었습니다. 공격자들은 500,000을 얻으려고 시도했지만 결제 중 하나를 제외한 모든 결제가 사기를 의심한 은행에 의해 차단되었습니다.
사회 공학 공격의 작동 원리
전통적인 컴퓨터 보안 위협은 본질적으로 기술적인 경향이 있습니다. 결과적으로 이러한 공격을 물리치기 위해 기술적 조치를 취할 수 있습니다. 악성코드에 감염되면 바이러스 백신 프로그램을 설치할 수 있습니다. 누군가가 귀하의 웹 서버를 해킹하려고 시도했다면 누군가를 고용하여 침투 테스트를 수행하고 다른 공격에 대해 시스템을 '강화'할 수 있는 방법에 대해 조언할 수 있습니다.
CEO 사기가 그 예인 사회 공학 공격은 시스템이나 하드웨어를 공격하지 않기 때문에 완화하기가 훨씬 더 어렵습니다. 사람들을 공격하고 있습니다. 코드의 취약점을 악용하는 대신 인간의 본성과 다른 사람을 신뢰해야 하는 본능적인 생물학적 명령을 이용합니다. 이 공격에 대한 가장 흥미로운 설명 중 하나는 2013년 DEFCON 컨퍼런스에서 했습니다.
가장 입이 떡 벌어질 정도로 대담한 해킹 중 일부는 사회 공학의 산물이었습니다.
2012년, Wired 저널리스트였던 Mat Honan은 자신의 온라인 생활을 해체하기로 결정한 사이버 범죄자들의 단호한 공격을 받았습니다. 그들은 사회 공학 전술을 사용하여 Amazon과 Apple이 자신의 MacBook Air와 iPhone을 원격으로 지우고, 이메일 계정을 삭제하고, 인종 및 동성애 혐오 표현을 게시하기 위해 영향력 있는 트위터 계정을 탈취하는 데 필요한 정보를 제공하도록 설득할 수 있었습니다. . 여기에서 소름 끼치는 이야기를 읽을 수 있습니다.
사회 공학 공격은 새로운 혁신이 아닙니다. 해커는 수십 년 동안 시스템, 건물 및 정보에 액세스하기 위해 수십 년 동안 이를 사용해 왔습니다. 가장 악명 높은 사회 공학자 중 한 명인 Kevin Mitnick은 90년대 중반에 일련의 컴퓨터 범죄를 저지른 후 경찰을 피해 숨어 지냈습니다. 그는 5년 동안 투옥되었고 2003년까지 컴퓨터 사용이 금지되었습니다. 해커가 가자 Mitnick은 록스타 자격을 얻을 수 있을 만큼 가까워졌습니다. 그가 마침내 인터넷을 사용할 수 있게 되었을 때, 그것은 Leo Laporte의 The Screen Savers에서 방송되었습니다. .
그는 결국 합법적으로 갔다. 그는 현재 자신의 컴퓨터 보안 컨설팅 회사를 운영하고 있으며 사회 공학 및 해킹에 관한 여러 권의 책을 저술했습니다. 아마도 가장 잘 알려진 것은 "기만의 기술"일 것입니다. 이것은 본질적으로 사회 공학 공격을 차단할 수 있는 방법과 공격으로부터 자신을 보호하는 방법을 살펴보는 단편 소설로, Amazon에서 구매할 수 있습니다.
기만의 기술:보안의 인적 요소 제어 지금 Amazon에서 구매 CEO 사기에 대해 할 수 있는 일은 무엇입니까?
요약하자면 우리는 CEO 사기가 끔찍하다는 것을 압니다. 우리는 그것이 많은 회사들에게 많은 비용이 든다는 것을 압니다. 컴퓨터가 아니라 인간에 대한 공격이기 때문에 완화하기가 매우 어렵다는 것을 알고 있습니다. 마지막으로 다룰 것은 우리가 이에 맞서 싸우는 방법입니다.
이것은 말보다 쉽습니다. 귀하가 직원이고 고용주나 상사로부터 의심스러운 지불 요청을 받은 경우 이메일이 아닌 다른 방법을 사용하여 해당 요청이 진짜인지 확인하는 것이 좋습니다. 그들은 당신을 귀찮게 하는 것에 대해 약간 짜증을 낼 수도 있지만, 아마도 더할 것입니다. $100,000 회사 자금을 외국 은행 계좌로 보내면 짜증이 납니다.
사용할 수 있는 기술 솔루션도 있습니다. Office 365에 대한 Microsoft의 향후 업데이트에는 신뢰할 수 있는 연락처에서 온 것인지 확인하기 위해 각 이메일의 출처를 확인하여 이러한 유형의 공격에 대한 몇 가지 보호 기능이 포함될 것입니다. Microsoft는 Office 365가 위조 또는 스푸핑된 전자 메일을 식별하는 방식이 500% 향상되었다고 생각합니다.
쏘지 마세요
이러한 공격으로부터 보호하는 가장 신뢰할 수 있는 방법은 회의적인 태도를 취하는 것입니다. 거액의 송금을 요청하는 이메일을 받을 때마다 상사에게 전화하여 그것이 합법적인지 확인하십시오. IT 부서와 의견이 분분한 경우 CEO 사기 퇴치에 있어 선두를 달리고 있는 Office 365로 이전하도록 요청하는 것이 좋습니다.
그렇지 않기를 바랍니다. 하지만 금전적 동기가 있는 이메일 사기의 피해자가 된 적이 있습니까? 그렇다면 그것에 대해 듣고 싶습니다. 아래에 댓글을 남기고 무슨 일이 있었는지 알려주세요.
사진 제공:AnonDollar(Your Anon), Miguel The Entertainment CEO(Jorge)