핑계

Pretexting

핑계는 공격자가 피해자를 취약한 상황으로 유인하고 피해자가 일반적으로 [1]핑계의 맥락 밖에서 제공하지 않는 개인 정보, 특히 개인 정보를 제공하도록 속이기 위해 만든 상황 또는 핑계를 포함하는 사회 공학적 공격의 한 종류입니다.그 역사에서 핑계는 사회공학의 첫 단계로 묘사되어 왔고 FBI에 의해 [2]수사에 도움을 주기 위해 사용되어 왔다.핑계의 구체적인 예는 리버스 소셜 엔지니어링입니다.이 경우 공격자는 피해자를 속여 먼저 공격자에게 연락하도록 합니다.

사회공학적 공격이 만연하다는 핑계는 공격자가 원하는 정보에 접근하기 위해 인간의 마음을 조작하는 데 의존하기 때문이지 기술 시스템을 해킹해야 하는 것은 아니다.공격자는 피해자를 찾을 때 신뢰 능력, 낮은 위협 인식, 권위에 대한 반응, 다양한 [3][4]상황에서 두려움이나 흥분으로 반응하는 민감성 등 다양한 특성을 주의 깊게 관찰할 수 있습니다.역사를 통틀어, 핑계 공격은 1900년대 전화 교환원을 조종하는 것에서 2000년대 사회 보장 번호, 전화, [5]은행과 관련된 휴렛 팩커드 스캔들로 발전하면서 복잡성이 증가해왔다.현재 사회 공학에 관한 교육 프레임워크는 조직에서 사용되고 있지만, 학계의 연구자들은 이러한 [6]프레임워크에 대한 가능한 개선 가능성을 제시했습니다.

배경

사회공학

사회 공학은 대상/[7]피해자의 의도하지 않거나 모르는 반응을 유도하는 심리 조작 전술이다.이는 현대 세계에서 가장 중요한 정보 보안 위협 중 하나로, 조직, 비즈니스 관리 및 [7]업계에 영향을 미칩니다.사회공학적 공격은 심리조작에 [8]뿌리를 두고 있어 예방이 어려운 것으로 평가된다.이러한 공격은 더 큰 규모로 진행될 수도 있습니다.다른 보안 공격에서는 고객 데이터를 보유한 회사가 침해될 수 있습니다.소셜 엔지니어링 공격의 경우, 기업(특히 사내의 종업원)과 고객이 직접 공격 [8]대상이 되기 쉽습니다.

예를 들어 은행 직원뿐만 아니라 고객도 공격받을 수 있는 은행업계가 있습니다.사회공학적 범죄자는 고객 및/또는 직원을 대상으로 순수하게 기술적인 시스템을 해킹하고 인간의 [8]취약성을 이용하려고 합니다.

사이버 보안에 관한 정의는 서로 다른 문헌에 걸쳐 왜곡되어 있지만, 공통의 주제는 사회공학(사이버 보안)이 컴퓨터나 [2]정보기술과 같은 실체를 침해하기 위해 인간의 취약성을 이용한다는 것이다.

사회공학은 현재 그것에 대한 문헌과 연구가 거의 없다.그러나 사회공학을 연구할 때 방법론의 주요 부분은 꾸며낸 핑계를 세우는 것이다.어떤 사회공학 공격이 가장 위험하거나 해로운지 평가할 때(, 피싱, 비싱, 워터홀링) 핑계 유형은 여러 가지 핑계를 가질 수 있기 때문에 대체로 중요하지 않습니다.그러므로 핑계 자체가 자신의 공격뿐만 아니라 다른 사람의 [9]구성 요소로서 널리 사용되고 있다.

사회공학의 연대표를 빌미로 삼다.

사이버 보안에서 핑계는 사회 공학에서 진화의 초기 단계 중 하나로 여겨질 수 있다.예를 들어, 피싱으로 알려진 사회 공학 공격은 신용카드와 같은 현대적인 물품에 의존하며 주로 전자 공간에서 발생하는 반면, 빌미는 과거에도 있었고 [10]기술 없이도 구현될 수 있습니다.

핑계는 사회공학의 첫 사례 중 하나였다.1974년 FBI에 의해 만들어진 핑계라는 개념은 종종 수사에 도움을 주기 위해 사용되었다.이 단계에서, 구실은 단순히 [2]정보를 요구하는 공격자로 구성되었다.핑계 공격은 대개 설득 전술로 구성됩니다.사회공학의 이 발전의 시작 단계(1974-1983) 이후, 핑계는 설득 전술뿐만 아니라 속임수 전술에서도 바뀌었다.기술이 발전함에 따라, 핑계 수법도 함께 발전했다.곧, 해커들은 소셜 미디어의 [2]발명으로 더 많은 피해자들을 접할 수 있게 되었다.

리버스 소셜 엔지니어링

역사회공학은 [11]핑계의 더 구체적인 예이다.이는 사회공학의 비전자적 형태이며, 공격자가 사용자가 먼저 공격자에게 연락하도록 조작되는 핑계를 만들어 내고, 반대로 공격자에게 먼저 연락하도록 합니다.

일반적으로 리버스 엔지니어링 공격은 공격자가 서비스를 일종의 기술 지원으로 광고하여 신뢰성을 확립하는 것을 포함합니다.그 후, 피해자는 광고를 보고, 공격자에게 직접 연락하지 않고, 속아서 공격자에게 연락을 취한다.공격자가 리버스 소셜 엔지니어링 공격에 성공하면 공격자와 피해자 간의 거짓된 신뢰에 의해 광범위한 소셜 엔지니어링 공격이 확립될 수 있습니다(예를 들어 공격자는 공격 대상자에게 유해한 링크를 주고 이것이 피해자의 문제에 대한 해결책이라고 말할 수 있습니다).공격자와 피해자 사이의 연결로 인해 피해자는 공격자를 믿고 유해 [12]링크를 클릭하는 경향이 있습니다).

사회적 측면

핑계는 사회 공학 공격에 유용한 전술로 여겨졌었고 지금도 여전히 보여지고 있다.연구원들에 따르면, 이것은 그들이 기술에 의존하지 않기 때문이다(컴퓨터 시스템을 해킹하거나 기술을 침해하는 것과 같은).핑계는 온라인에서 발생할 수 있지만, 이는 사용자와 공격자가 자신에게 [13]유리하게 활용할 수 있는 성격의 측면에 더 의존합니다.소셜 엔지니어링 공격과 핑계 공격에 대한 대응이 각각 다르기 때문에 사용자에 대한 의존도가 높은 공격은 추적 및 제어하기가 어렵습니다.그러나 컴퓨터를 직접 공격하는 것은 컴퓨터가 상대적으로 비슷한 방식으로 [13]작동하기 때문에 해결하는 데 더 적은 노력을 들일 수 있습니다.공격자가 특정하고 목표로 하는 사용자의 특성이 있습니다.학계에서 일반적인 특징은[14] 다음과 같습니다.

소중하다

피해자가 "중요한" 경우, 사회공학자가 [3]원하는 종류의 정보를 가지고 있다는 것을 의미합니다.

신뢰할 수 있는 능력

신뢰성은 호감도와 함께 따르는데, 일반적으로 누군가를 더 많이 좋아할수록 더 많이 [14]신뢰되기 때문이다.마찬가지로 사회공학자(공격자)와 피해자 사이에 신뢰가 확립되면 신뢰도 확립된다.따라서 피해자가 보다 쉽게 [4]신뢰할 수 있는 경우 공격자에게 개인 정보를 누설하는 것이 더 쉽습니다.

반응의 민감성

사람이 사건에 얼마나 쉽게 반응하고 사회 공학자에게 유리하게 사용될 수 있는지.특히, 흥분과 공포와 같은 감정은 종종 사람들이 정보를 누설하도록 설득하는데 사용된다.예를 들어, 사회 엔지니어가 사회 엔지니어에게 은행 정보를 제공하는 것에 동의하면 피해자를 위해 흥미로운 상을 주는 구실을 만들 수 있다.흥분감은 피해자를 구실로 유인하고 공격자에게 [14]원하는 정보를 제공하도록 설득하는 데 사용될 수 있습니다.

위협에 대한 인식이 낮다

온라인에서 어떤 일을 할 때 위협이 존재함을 이해함에도 불구하고, 대부분의 사람들은 무작위 링크를 클릭하거나 알 수 없는 [14]친구 요청을 받아들이는 것과 같이 이에 반하는 행동을 할 것입니다.이는 어떤 사람이 그 행동이 낮은 위협이나 부정적인 결과를 가지고 있다고 인식하기 때문입니다.이러한 두려움과 위협의 부족은 존재에 대한 인식에도 불구하고 사회공학적 공격, 특히 핑계가 널리 [15]퍼지는 또 다른 이유입니다.

권한에 대한 대응

피해자가 순종적이고 순종적인 경우, 피해자가 공격자가 권위 있는 [14]인물이라고 생각하는 핑계를 대면 공격자가 공격에 성공할 가능성이 높아집니다.

초기 핑계(1970~80년대)

1984년 10월 <센터와 운영자 전환> 기사에는 당시 일반적인 핑계 공격이 자세히 나와 있습니다.공격자는 종종 텔레타이프라이터를 사용하여 청각장애인을 위해 특별히 작업하는 운영자에게 연락을 취하곤 했다.이러한 연산자는 일반 연산자보다 인내심이 강한 경우가 많기 때문에 공격자가 [2]원하는 정보를 조작하고 설득하는 것이 더 쉬웠다는 논리다.

최근의 예

주목할 만한 것은 휴렛 팩커드 사건이다.Hewlett Packard라는 회사는 누가 기자들에게 정보를 흘리는지 알고 싶어했다.이를 위해 민간 조사관에게 직원들의 개인정보(사회보장번호 등)를 제공하고 민간 조사관은 통화기록을 입수하기 위해 이들을 사칭한 전화회사에 전화를 걸었다.그 추문이 발각되자 사장은 [16]사임했다.

일반적으로 소셜봇은 소셜 엔지니어링 공격자에 의해 사용되는 기계 작동 가짜 소셜 미디어 프로필입니다.페이스북과 같은 소셜 미디어 사이트에서 소셜봇은 가능한 [5]많은 잠재적 희생자를 찾기 위해 대량 친구 요청을 보내는 데 사용될 수 있다.공격자는 리버스 소셜 엔지니어링 기술을 사용하여 소셜봇을 사용하여 많은 소셜 미디어 사용자에 [17]대한 방대한 양의 개인 정보를 얻을 수 있습니다.

현재의 교육 프레임워크

사회공학을 주제로 한 현재의 교육 프레임워크는 인식과 훈련의 두 가지 범주로 분류된다.인식이란 사회공학과 관련된 정보를 상대방에게 제시하여 주제에 대해 알리는 것입니다.트레이닝이란, 사회공학적 공격을 당했을 경우, 또는 [6]공격을 받을 가능성이 있는 경우에 학습해 사용하는 필요한 스킬을 구체적으로 가르치는 것입니다.교육 프레임워크를 구축할 때 인식과 훈련을 하나의 집중적인 프로세스로 통합할 수 있습니다.

사이버 보안 [18]교육의 맥락에서 교육 프로그램의 성공과 필요성에 대한 연구는 이루어졌지만, 사회 공학 [19]교육에 관한 정보는 70%까지 손실될 수 있습니다.아시아 태평양 지역 은행의 사회공학 교육에 관한 연구 결과, 대부분의 프레임워크가 인식과 훈련 중 하나만을 다루고 있는 것으로 나타났습니다.또한 사회공학적 공격의 유일한 유형은 피싱이었습니다.이들 은행의 웹 사이트에서 보안 정책을 확인하고 비교하는 것으로, 정책에는 「말웨어」나 「스캠」등의 범용 언어가 포함되어 있습니다만, 다양한 종류의 사회 공학 공격의 배후에 있는 상세나 각각의 [6]예도 누락되어 있습니다.

위의 예시와 같이 넓은 용어로만 교육을 받을 경우 상당한 깊이가 누락되기 때문에 이러한 프레임워크에 의해 교육을 받는 사용자에게 이러한 일반화는 도움이 되지 않는다.또한, 사회 공학에 대항하고 방화벽이나 바이러스 대책과 같은 공격을 핑계로 하는 순수하게 기술적인 방법은 효과적이지 않습니다.이는 사회공학적 공격이 전형적으로 인간 본성의 사회적 특성을 이용하는 것을 수반하기 때문에 순수하게 기술에 대항하는 것은 [20]효과적이지 않기 때문이다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ Greitzer, F. L.; Strozer, J. R.; Cohen, S.; Moore, A. P.; Mundie, D.; Cowley, J. (May 2014). "Analysis of Unintentional Insider Threats Deriving from Social Engineering Exploits". 2014 IEEE Security and Privacy Workshops: 236–250. doi:10.1109/SPW.2014.39. ISBN 978-1-4799-5103-1. S2CID 15493684.
  2. ^ a b c d e Wang, Zuoguang; Sun, Limin; Zhu, Hongsong (2020). "Defining Social Engineering in Cybersecurity". IEEE Access. 8: 85094–85115. doi:10.1109/ACCESS.2020.2992807. ISSN 2169-3536. S2CID 218676466.
  3. ^ a b Steinmetz, Kevin F. (2020-09-07). "The Identification of a Model Victim for Social Engineering: A Qualitative Analysis". Victims & Offenders. 16 (4): 540–564. doi:10.1080/15564886.2020.1818658. ISSN 1556-4886. S2CID 225195664.
  4. ^ a b Algarni, Abdullah (June 2019). "What Message Characteristics Make Social Engineering Successful on Facebook: The Role of Central Route, Peripheral Route, and Perceived Risk". Information. 10 (6): 211. doi:10.3390/info10060211.
  5. ^ a b Paradise, Abigail; Shabtai, Asaf; Puzis, Rami (2019-09-01). "Detecting Organization-Targeted Socialbots by Monitoring Social Network Profiles". Networks and Spatial Economics. 19 (3): 731–761. doi:10.1007/s11067-018-9406-1. ISSN 1572-9427. S2CID 158163902.
  6. ^ a b c Ivaturi, Koteswara; Janczewski, Lech (2013-10-01). "Social Engineering Preparedness of Online Banks: An Asia-Pacific Perspective". Journal of Global Information Technology Management. 16 (4): 21–46. doi:10.1080/1097198X.2013.10845647. ISSN 1097-198X. S2CID 154032226.
  7. ^ a b Ghafir, Ibrahim; Saleem, Jibran; Hammoudeh, Mohammad; Faour, Hanan; Prenosil, Vaclav; Jaf, Sardar; Jabbar, Sohail; Baker, Thar (October 2018). "Security threats to critical infrastructure: the human factor". The Journal of Supercomputing. 74 (10): 4986–5002. doi:10.1007/s11227-018-2337-2. ISSN 0920-8542. S2CID 4336550.
  8. ^ a b c Airehrour, David; Nair, Nisha Vasudevan; Madanian, Samaneh (2018-05-03). "Social Engineering Attacks and Countermeasures in the New Zealand Banking System: Advancing a User-Reflective Mitigation Model". Information. 9 (5): 110. doi:10.3390/info9050110. ISSN 2078-2489.
  9. ^ Bleiman, Rachel (2020). An Examination in Social Engineering: The Susceptibility of Disclosing Private Security Information in College Students (Thesis). doi:10.34944/dspace/365.
  10. ^ Chin, Tommy; Xiong, Kaiqi; Hu, Chengbin (2018). "Phishlimiter: A Phishing Detection and Mitigation Approach Using Software-Defined Networking". IEEE Access. 6: 42516–42531. doi:10.1109/ACCESS.2018.2837889. ISSN 2169-3536. S2CID 52048062.
  11. ^ Greitzer, Frank L.; Strozer, Jeremy R.; Cohen, Sholom; Moore, Andrew P.; Mundie, David; Cowley, Jennifer (May 2014). "Analysis of Unintentional Insider Threats Deriving from Social Engineering Exploits". 2014 IEEE Security and Privacy Workshops. San Jose, CA: IEEE: 236–250. doi:10.1109/SPW.2014.39. ISBN 978-1-4799-5103-1. S2CID 15493684.
  12. ^ Irani, Danesh; Balduzzi, Marco; Balzarotti, Davide; Kirda, Engin; Pu, Calton (2011). Holz, Thorsten; Bos, Herbert (eds.). "Reverse Social Engineering Attacks in Online Social Networks". Detection of Intrusions and Malware, and Vulnerability Assessment. Lecture Notes in Computer Science. Berlin, Heidelberg: Springer. 6739: 55–74. doi:10.1007/978-3-642-22424-9_4. ISBN 978-3-642-22424-9.
  13. ^ a b Heartfield, Ryan; Loukas, George (2018), Conti, Mauro; Somani, Gaurav; Poovendran, Radha (eds.), "Protection Against Semantic Social Engineering Attacks", Versatile Cybersecurity, Cham: Springer International Publishing, vol. 72, pp. 99–140, doi:10.1007/978-3-319-97643-3_4, ISBN 978-3-319-97642-6, retrieved 2020-10-29
  14. ^ a b c d e Workman, Michael (2007-12-13). "Gaining Access with Social Engineering: An Empirical Study of the Threat". Information Systems Security. 16 (6): 315–331. doi:10.1080/10658980701788165. ISSN 1065-898X. S2CID 205732672.
  15. ^ Krombholz, Katharina; Merkl, Dieter; Weippl, Edgar (December 2012). "Fake identities in social media: A case study on the sustainability of the Facebook business model". Journal of Service Science Research. 4 (2): 175–212. doi:10.1007/s12927-012-0008-z. ISSN 2093-0720. S2CID 6082130.
  16. ^ Workman, Michael (2008). "Wisecrackers: A theory-grounded investigation of phishing and pretext social engineering threats to information security". Journal of the American Society for Information Science and Technology. 59 (4): 662–674. doi:10.1002/asi.20779. ISSN 1532-2882.
  17. ^ Boshmaf, Yazan; Muslukhov, Ildar; Beznosov, Konstantin; Ripeanu, Matei (2013-02-04). "Design and analysis of a social botnet". Computer Networks. Botnet Activity: Analysis, Detection and Shutdown. 57 (2): 556–578. doi:10.1016/j.comnet.2012.06.006. ISSN 1389-1286.
  18. ^ McCrohan, Kevin F.; Engel, Kathryn; Harvey, James W. (2010-06-14). "Influence of Awareness and Training on Cyber Security". Journal of Internet Commerce. 9 (1): 23–41. doi:10.1080/15332861.2010.487415. ISSN 1533-2861. S2CID 154281581.
  19. ^ Ghafir, Ibrahim; Saleem, Jibran; Hammoudeh, Mohammad; Faour, Hanan; Prenosil, Vaclav; Jaf, Sardar; Jabbar, Sohail; Baker, Thar (2018-10-01). "Security threats to critical infrastructure: the human factor". The Journal of Supercomputing. 74 (10): 4986–5002. doi:10.1007/s11227-018-2337-2. ISSN 1573-0484. S2CID 4336550.
  20. ^ Heartfield, Ryan; Loukas, George; Gan, Diane (2016). "You Are Probably Not the Weakest Link: Towards Practical Prediction of Susceptibility to Semantic Social Engineering Attacks". IEEE Access. 4: 6910–6928. doi:10.1109/ACCESS.2016.2616285. ISSN 2169-3536. S2CID 29598707.