TV에서 해커를 보면 항상 디지털 전문가입니다. 그들은 어두운 방에서 공격적으로 키보드를 두드리고 컴퓨터 코드를 해독하고 보안 프로토콜을 깨뜨려 방화벽을 무너뜨리고 네트워크에 침투합니다. 짐작하시겠지만, 이것은 성공한 실제 해커가 하는 일과 거의 관련이 없습니다. 많은 현대 해커는 주로 컴퓨터를 공격하지 않습니다. 대신 사회 공학적 공격 기법을 통해 보안 장애물을 극복하고 사람을 공격합니다.
사회 공학은 사기꾼이 사용자의 신뢰를 얻기 위해 사용하는 사악한 기술입니다. 해커는 신뢰할 수 있는 출처를 모방하고 인간의 심리를 이용하여 기밀 정보를 자유롭게 누설하도록 사용자를 조종합니다. 몇 가지 일반적인 사회 공학적 공격과 이를 방지하는 방법을 배우면 피해자가 되지 않도록 할 수 있습니다.
피싱 공격
피싱 공격은 단연코 가장 흔한 형태의 사회 공학 공격입니다. 가장 일반적으로 공격자는 사용자가 신뢰하는 당사자의 이메일을 모방합니다. 예를 들어 은행에서 보낸 메시지를 모방한 이메일을 만들 수 있습니다. 해당 이메일은 은행의 이메일과 똑같이 보일 수 있으며 은행 소유의 이메일 주소에서 온 것처럼 보일 수 있습니다. 그러나 계정 잠금 해제를 위해 이메일에서 요구하는 조치를 취하면 공격자의 손아귀에 바로 들어가게 됩니다. 또한 Google 드라이브 링크 방문을 요청하는 개인 연락처에서 보낸 것처럼 가장하는 가짜 이메일도 볼 수 있습니다.
피싱 공격에 대처하려면 별도의 통신 채널을 통해 의심스러운 이메일을 다시 확인하십시오. 은행에서 연락을 요청하는 이메일을 받은 경우 이메일에 포함된 정보를 사용하지 마십시오. 대신 공식 웹사이트에서 은행 전화번호를 찾아 전화를 걸어 의사소통의 진실성을 확인하십시오. 친구나 동료로부터 비정상적인 이메일을 받은 경우 별도의 이메일을 보내거나 전화를 걸어 해당 이메일이 맞는지 확인하세요.
워터링 홀 공격
워터링 홀 공격은 피싱 공격보다 더 교묘합니다. 그들은 타겟이 이미 방문하는 신뢰할 수 있는 웹사이트에 악성코드를 삽입하는 데 의존합니다. 이것은 웹사이트 코드의 기술적 악용으로 시작하지만 피해자가 중독된 링크를 클릭할 때만 성공합니다. 자신을 보호하기 힘든 공격이지만 신뢰할 수 있는 사이트에 표시되는 의심스러운 정보를 신뢰하는 사용자의 경향에 달려 있습니다. 어디에서 보든 수상한 콘텐츠를 인식하는 데 도움이 됩니다.
사색
사전 텍스트 공격에서 공격자는 대상을 조작하여 정보를 포기하도록 설계된 잘못된 시나리오를 만듭니다. 한 가지 일반적인 기술은 공격자가 귀하의 신원을 확인하기 위해 정보를 요청하는 것과 관련됩니다. 이 공격의 고급 버전은 해커가 보안 네트워크에 액세스할 수 있는 조치를 취하도록 피해자를 설득할 수도 있습니다.
원칙적으로 예기치 않게 전화나 이메일을 보내는 사람에게 민감한 정보를 제공해서는 안 되며 낯선 사람에게는 정중한 주의를 기울여야 합니다. 업무에 민감한 정보를 보내는 것이 포함되는 경우 편지에 대한 회사 프로토콜을 따르십시오. 일반적으로 이러한 시나리오로부터 보호하도록 설계되었습니다. 공격자는 규칙을 어긴 당신에게 의존합니다.
테일게이팅
테일게이팅 공격은 대부분의 사람들이 물리적 위치에 대한 액세스 권한을 얻기 위해 얼마나 빨리 신뢰를 구축하는지에 달려 있습니다. 공격자는 친근한 대화를 시작하고 속해 있는 것처럼 행동하여 보안 영역으로 이동할 수 있습니다. 일반적인 이야기에는 키 카드 분실 또는 상위 경영진이 요청한 기술 지원이 포함됩니다. 이름은 공격자가 승인된 사람의 뒤를 밀접하게 따라가 제한된 위치를 침입하는 기술의 가장 기본적인 형태에서 따왔습니다.
모든 낯선 사람의 신원에 대해 정중하게 주의를 기울이고, 합법적인 것처럼 보이더라도 낯선 사람이 안전한 장소에 접근하도록 돕지 마십시오. 이는 예상치 못한 수리공이나 유틸리티 작업자의 경우 두 배로 적용됩니다.
미끼
공격자는 때때로 원하는 것을 제공하여 개인을 "미끼"합니다. 예를 들어 공격자는 무료 음악, 영화 또는 음란물 다운로드를 제공할 수 있습니다. 물론 이러한 다운로드에는 악성 프로그램이 포함되어 있습니다. 불법 토렌트나 기타 저작권 침해 다운로드에서 자주 발견할 수 있습니다. 표적은 미끼를 원하기 때문에 명백히 악성 프로그램이라도 의심하지 않을 것입니다. 공격자는 또한 호기심 많은 사람이 컴퓨터에 USB 드라이브를 연결하고 자동 실행 맬웨어가 페이로드를 덤프하도록 허용하기 위해 신비한 USB 드라이브를 방치할 수 있습니다.
사실이라고 하기에는 너무 좋아 보이는 거래에 항상 의문을 제기하십시오. 무료 음악이나 영화를 다운로드하지 말고 평판 좋은 출처에서 성인용 자료를 얻으십시오. 그리고 컴퓨터에 미스터리 장치를 연결하면 무엇이든 받을 자격이 있습니다.
결론
행동하기 전에 속도를 늦추고 생각함으로써 대부분의 사회 공학 공격으로부터 자신을 예방할 수 있습니다. 무해한 정보라도 요구하는 낯선 사람에게는 친절하되 조심스럽게 대하고 일반적인 의심 수준을 높이십시오. 단지 좋게 들리거나 출처가 믿을만해 보인다고 해서 이야기를 믿지 마십시오. 물론 기밀 정보나 해당 정보에 대한 액세스 권한을 알 수 없는 당사자에게 제공하지 마십시오.