많은 웹사이트와 앱에서 처음 등록할 때 보안 질문을 합니다. 그런 다음 분실한 비밀번호 변경을 요청할 때마다 귀하가 제공한 답변을 사용하여 귀하의 신원을 확인합니다. 그러나 사이버 공격자들은 종종 보안 질문을 우회하는 방법을 찾습니다.
그들은 어떻게 귀하의 비밀 답변을 풀고 귀하의 계정에 액세스합니까? 프로필을 해킹하기 위해 이러한 질문을 어떻게 우회합니까?
1. 소셜 미디어 사기
소셜 미디어의 한 가지 부정적인 측면은 누가 진짜인지 구별하기 어렵다는 것입니다. 사이버 범죄자들이 피해자를 속여 보안 질문에 대한 답변을 공개하도록 하는 것은 일반적인 일이 아닙니다.
해커가 이를 달성하는 일반적인 방법은 Facebook, LinkedIn, Instagram 또는 Twitter와 같은 소셜 미디어 플랫폼에서 피해자의 친구나 팔로워로 나타나는 것입니다. 심리 사회적 조작의 형태를 사용하여 피해자가 자신을 믿도록 속입니다. 이것은 또 다른 수준의 사회 공학입니다.
사이버 공격자가 소셜 미디어에서 표적과 친구가 되면 피해자와 채팅을 하고 신뢰할 수 있는 것처럼 보이기 위해 먼저 자신에 대한 가짜 정보를 퍼뜨립니다. 데이트 앱 사기와 비슷해 보이는 방식으로 그들은 피해자의 관심사와 좋아하는 것에 대한 대화에 참여합니다.
때때로 공격자는 피해자와 동일한 관심사, 취미 및 좋아하는 것을 공유하는 척할 수 있으며, 피해자는 결국 자신도 모르게 비밀 정보를 공유할 수 있습니다. 물론 여기에는 보안 질문에 대한 답변도 포함될 수 있습니다. 이는 직장 리소스에 액세스하는 데 사용하는 것부터 온라인 쇼핑 또는 기타 민감한 온라인 거래에 사용되는 것까지 다양할 수 있습니다.
2. 피싱
피싱과 소셜 엔지니어링은 서로 밀접하게 연관되어 있습니다. 피싱은 해커가 자신을 다른 사람, 즉 거짓 페르소나로 나타낼 때 발생합니다. 예를 들어 공격자는 전화, SMS 또는 이메일을 통해 자신이 귀하의 프로필 중 하나를 보유하고 있는 회사를 대표한다고 말할 수 있습니다.
보안을 강화하기 위해 특정 시간 내에 몇 가지 질문에 답하도록 요청할 수 있습니다. 또는 온라인 양식에 대한 링크를 보낼 수도 있습니다. 대부분 프로필이 있는 원본 웹사이트의 가짜 복제본입니다. 해커가 조사를 수행한다는 명목으로 피해자에게 Google 양식이나 온라인 설문지를 작성하도록 요청하는 경우도 있습니다.
해커는 종종 이 기술을 사용하여 보안에 익숙하지 않은 개인을 악용합니다. 물론 필요한 정보를 얻으면 보안 질문을 우회하고 대상 계정에 대한 무제한 제어 권한을 얻기가 쉬워집니다.
3. 온라인 프로필의 정보
보안 질문은 비공개로 되어 있고 본인만 알 수 있지만 인터넷을 통해 답변에 대한 단서를 많이 남겼을 것입니다. 소셜 미디어 프로필에 자신에 대한 민감한 정보를 자주 남길 경우 해커가 보안 질문에 대한 답변을 쉽게 해독할 수 있습니다.
이 기술은 일반적으로 해커가 온라인에서 귀하의 세부 정보에 대한 집중적인 조사를 수행하는 것을 포함합니다. 이를 달성하기 위해 그들은 Google과 같은 검색 엔진에서 귀하를 검색하고 LinkedIn, Facebook, Twitter, Instagram 등을 포함한 소셜 미디어 핸들을 확인하여 최대한 많은 힌트를 얻습니다.
그 때 Facebook에서 어머니의 결혼 전 이름과 첫 번째 애완 동물의 이름을 짝지어 놓은 농담 질문에 대답했습니까? 사이버 범죄자들에게 정말 유용합니다.
이 시점에서 공격자는 보안 질문으로 돌아가 공개 프로필에서 수집한 정보를 기반으로 답변합니다.
4. 무차별 대입
해커는 일반적으로 무차별 대입 공격을 사용하여 암호를 해독하지만 보안 질문에 대해 동일한 작업을 수행하는 것을 막을 수 있는 방법은 거의 없습니다. 수동 brute-forcing을 달성하려면 시간과 인내가 필요하지만 최신 brute-forcing 알고리즘은 프로세스를 단순화합니다.
더욱이 사이버 공격자는 보안 질문을 크래킹하는 동안 암호와 같이 문자 조작보다는 단어 조합에만 집중하면 됩니다. 이렇게 하면 서로 다른 단어를 결합하여 의미 있는 항목을 만들기 쉽기 때문에 보안 질문을 푸는 데 어려움이 줄어듭니다.
게다가 해커가 웹사이트에서 묻는 질문을 알게 되면 피해자에 대한 가능한 모든 답변을 무차별 대입하기만 하면 됩니다. 웹 사이트에서 사용자가 질문을 생성할 수만 있다면 해커에게는 이것이 더 어렵다고 생각할 수 있습니다. 불행히도 사용자 생성 질문은 종종 덜 안전하기 때문에 이는 사실과 다릅니다. 따라서 답을 추측하기가 더 쉬울 것입니다.
안전을 유지하는 방법
사이버 공격자가 보안 질문을 우회하고 계정에 액세스하는 방법을 살펴보았습니다. 하지만 어떻게 온라인에서 안전하게 지낼 수 있습니까? 다음은 도움이 될 수 있는 몇 가지 사항입니다.
1. 이중 인증 사용
해커는 이중 인증을 우회할 수 있지만 보안 질문보다 크래킹하는 것이 더 기술적인 경우가 많습니다. 또한 보안 질문과 결합하면 계정이 더욱 강화됩니다. 이러한 보안 프로토콜 병합으로 인해 공격자는 해결해야 할 더 까다로운 퍼즐이 생깁니다. 그런 경우, 그들은 머지 않아 포기하는 경향이 있습니다.
서비스 제공업체가 두 가지 방법을 모두 지원한다면 운이 좋은 것입니다. 그러나 그렇지 않은 경우 타사 2단계 인증 제공업체가 많이 있습니다.
2. 일반적인 질문과 답변을 사용하지 마십시오.
많은 보안 질문은 피해자가 일반적인 답변을 제공하는 경우가 많기 때문에 추측하기 쉽습니다. 웹사이트나 앱에서 사용자가 자신만의 보안 질문을 생성하도록 허용하면 상황은 더욱 악화됩니다.
취미, 좋아하는 색, 애완 동물, 영화, 음악 또는 음식과 같은 질문에 대한 답변은 비교적 추측하기 쉽습니다. 그래서 당신은 그들을 피하고 싶을 수도 있습니다. 그리고 어머니의 결혼 전 이름과 같은 보다 구체적인 질문에 대해서는 보다 독특한 답변을 제공할 수도 있습니다. 예를 들어, 이것들은 정확한 것일 필요는 없지만 대신 연관시키는 것입니다.
특정 질문에 대해 제공한 답변이 고유해서 잊어버릴 가능성이 있는 경우 암호화된 메모 앱에 요약하여 필요할 때마다 찾아볼 수 있습니다.
3. 프로필에서 민감한 정보 제거
소셜 미디어 및 기타 온라인 프로필의 개인 정보는 보안 답변에 대한 단서를 제공할 수 있습니다. 보안 질문 위반을 확인하기 위해 프로필에서 그러한 중요한 세부 정보를 제거하는 것이 가장 좋은 경우가 많습니다. 궁극적으로 Facebook, Twitter 및 ilk에서 농담 라운드 로빈에 답하면 무슨 소용이 있습니까?
온라인에서 귀하의 정보 보호
이중 인증과 마찬가지로 보안 질문은 온라인 프로필에 또 다른 보호 계층을 추가합니다. 일부 서비스는 비밀번호 재설정 링크를 제공하기 전에 보안 질문이 필요합니다. 그리고 일부의 경우 비밀번호를 재설정한 후에 그렇게 합니다. 이 모든 것은 귀하의 계정을 더욱 안전하게 보호하기 위한 것입니다.
어떤 경우이든 보안 질문과 같은 두 번째 레이어 보호막은 해커가 계정에 액세스하려고 할 때 자주 직면하는 것입니다. 게다가, 우리가 인터넷을 어떻게 사용하느냐가 보안 질문의 위력에 영향을 미칩니다.