사회공학(보안)

Social engineering (security)
Definition of Social Engineering in Layman's Terms
OSEC 경보

정보 보안의 맥락에서 사회 공학은 사람들이 행동을 수행하거나 기밀 정보를 누설하도록 심리적으로 조작하는 것입니다. 정보 수집, 사기 또는 시스템 액세스를 목적으로 하는 일종의 신뢰 트릭으로, 종종 더 복잡한 사기 계획의 많은 단계 중 하나라는 점에서 전통적인 "사기"와 다릅니다.[1] 그것은 또한 "사람이 그들의 최선의 이익에 부합할 수도 있고 그렇지 않을 수도 있는 행동을 취하도록 영향을 미치는 모든 행위"로 정의되었습니다.[2]

2020년에 수행된 연구에 따르면 사회 공학은 향후 10년 동안 가장 중요한 과제 중 하나가 될 것입니다. 지정학에 대한 영향으로 인해 사회 공학의 숙련도는 조직과 국가에서 점점 더 중요해질 것입니다. 사회 공학은 우리의 주요 정보가 공학적이고 편향적이라면 우리의 결정이 정확하게 알려질지 의문을 제기합니다.[3]

사회공학적 공격은 강도와 숫자가 증가하면서 새로운 탐지 기술과 사이버 보안 교육 프로그램의 필요성이 강화되고 있습니다.[4]

기법 및 용어

모든 사회 공학 기술은 인지 편향으로 알려진 인간 의사 결정의 속성에 기초합니다.[5][6]

사회공학의 한 예는 건물에 들어가서 헬프데스크 번호가 바뀌었다는 공식적인 공고를 회사 게시판에 올리는 개인입니다. 따라서 직원이 도움을 요청할 때 개인은 비밀번호와 ID를 요청하여 회사의 개인 정보에 액세스할 수 있는 능력을 얻습니다. 소셜 엔지니어링의 또 다른 예는 해커가 소셜 네트워킹 사이트의 대상에 연락하여 대상과 대화를 시작하는 것입니다. 점차 해커는 대상의 신뢰를 얻은 다음 해당 신뢰를 사용하여 암호나 은행 계좌 정보와 같은 중요한 정보에 액세스합니다.[7]

기타개념

빌미

빌미(adj. expositive)란 피해자가 일상적인 상황에서 발생할 수 없는 정보를 누설하거나 행동할 가능성을 높이는 방법으로 대상 피해자를 끌어들이기 위해 고안된 시나리오(expositive)를 작성하여 사용하는 행위를 말합니다.[8] 정교한 거짓말은 대부분 사전 조사 또는 설정과 이 정보를 사칭(예: 생년월일, 사회보장번호, 마지막 청구서 금액)에 사용하여 대상자의 마음속에 합법성을 확립하는 것을 포함합니다.[9]

워터홀링

워터 홀링은 사용자가 정기적으로 방문하는 사이트에서 신뢰하는 것을 활용하는 표적 사회 공학 전략입니다. 피해자는 다른 상황에서 하지 않을 일들을 안전하다고 느낍니다. 예를 들어, 경계하는 사람은 요청하지 않은 전자 메일에서 링크를 클릭하는 것을 의도적으로 피할 수 있지만, 동일한 사람은 자신이 자주 방문하는 웹 사이트에서 링크를 팔로우하는 것을 주저하지 않습니다. 그래서 공격자는 선호하는 물웅덩이에 부주의한 먹이를 위한 덫을 준비합니다. 이 전략은 매우 안전한 일부 시스템에 액세스하는 데 성공적으로 사용되었습니다.[10]

미끼

미끼는 물리적 미디어를 사용하고 피해자의 호기심이나 욕심에 의존하는 실제 트로이 목마와 같습니다.[11]공격에서 공격자는 악성 프로그램에 감염된 플로피 디스크, CD-ROM 또는 USB 플래시 드라이브를 사람들이 발견하는 장소(화장실, 엘리베이터, 인도, 주차장 등)에 두고 합법적이고 호기심을 유발하는 라벨을 붙이고 피해자를 기다립니다.

컴퓨터가 감염을 차단하지 않는 한 삽입은 PC "자동 실행" 매체를 손상시킵니다. 적대적인 장치도 사용할 수 있습니다.[12] 예를 들어, "행운의 우승자"는 무료 디지털 오디오 플레이어로 전송되어 컴퓨터에 연결된 컴퓨터를 손상시킵니다. "로드 애플"(의 거름을 뜻하는 구어로 기기의 바람직하지 않은 특성을 암시함)은 기회주의적이거나 눈에 띄는 곳에 악성 소프트웨어가 남아 있는 이동식 미디어입니다. 다른 미디어 중에서도 CD, DVD 또는 USB 플래시 드라이브일 수 있습니다. 호기심이 많은 사람들은 그것을 컴퓨터에 연결하여 호스트와 연결된 네트워크를 감염시킵니다. 다시 말하지만, 해커들은 그들에게 "직원 급여" 또는 "기밀"과 같은 유혹적인 라벨을 줄 수 있습니다.[13]

2016년에 발표된 한 연구에 따르면 연구원들은 297개의 USB 드라이브를 일리노이 대학교 캠퍼스 주변에 떨어뜨렸습니다. 드라이브에는 연구원이 소유한 웹 페이지와 연결된 파일이 포함되어 있었습니다. 연구원들은 몇 개의 드라이브가 열렸는지 알 수 있었지만, 몇 개의 드라이브가 파일을 열지 않고 컴퓨터에 삽입되었는지는 알 수 없었습니다. 폐기된 드라이브 297개 중 290개(98%)가 픽업됐고 135개(45%)가 '집으로 전화'했습니다.[14]

사회공학자의 예

수잔 헤들리

수잔 헤들리로스앤젤레스에서 케빈 미트닉, 루이스 드 페인과 전화 통화에 관여했지만, 나중에 탈락한 후 US 리스에서 시스템 파일을 삭제한 것에 대해 누명을 씌워 미트닉의 첫 번째 유죄 판결을 이끌어냈습니다. 그녀는 프로 포커 선수로 은퇴했습니다.[15]

마이크 리드패스

Mike Ridpath Security 컨설턴트, 출판 저자 및 연사. w00w00의 이전 멤버. 소셜 엔지니어링 콜드콜에 대한 기술과 전술을 강조합니다. 녹음된 통화를 재생하고 전화를 통해 비밀번호를 얻기 위해 무엇을 하고 있는지에 대한 생각 과정과 라이브 시연을 설명하는 그의 강연 이후 주목을 받게 되었습니다.[16][17][18][19][20] 어린 시절 Ridpath는 Badir Brothers와 연결되었으며, Oki 900s 수정, 블루복싱, 위성 해킹 및 RCMAC에 대한 Phrack, B4B0 및 9x와 같은 인기 있는 언더그라운드 엔진과 관련된 기사로 인해 사기 및 해킹 커뮤니티 내에서 널리 알려졌습니다.[21][22]

바디르 브라더스

태어날 때부터 눈이 멀었던 라미, 무저, 샤드 드 바디르 형제는 1990년대 이스라엘에서 소셜 엔지니어링, 음성 사칭 및 점자 디스플레이 컴퓨터를 사용하여 광범위한 전화 및 컴퓨터 사기 계획을 세웠습니다.[23][24]

크리스토퍼 해다지

Christopher J. Hadagy는 미국의 사회 공학자이자 정보 기술 보안 컨설턴트입니다. 그는 사회공학 및 사이버 보안에[25][26][27][28] 관한 4권의 책의 저자이자, 정보 보안 전문가의 도움을 구하고, 오픈 소스 인텔리전스(OSINT)의 데이터를 사용하고, 법 집행과 협력함으로써 아동 밀매를 추적하고 식별하는 것을 돕는 단체인 이노센트 라이브스 재단의 설립자로 가장 잘 알려져 있습니다.[29][30]

보통법에서 빌미는 사생활 침해의 전유성 침해입니다.[31]

통화기록의 빌미

2006년 12월, 미국 의회는 전화 기록을 빌미로 하여 개인에게 최고 25만 달러의 벌금과 10년의 징역(또는 회사에 최고 50만 달러의 벌금)을 부과하는 연방 중범죄로 만드는 상원 후원 법안을 승인했습니다. 2007년 1월 12일 조지 W 부시 대통령이 서명했습니다.[32]

연방 법률

1999년 Gram-Leech-Biley Act(GLBA)는 연방 법률에 따라 처벌 가능한 불법 행위로서 은행 기록을 구실로 하는 것을 특별히 다루는 미국 연방 법률입니다. 개인 조사원, SIU 보험 조사원 또는 조정인과 같은 사업체가 어떤 유형의 속임수를 행하면 연방거래위원회(FTC)의 권한에 속합니다. 이 연방 기관은 소비자가 불공정하거나 기만적인 비즈니스 관행을 당하지 않도록 보장할 의무와 권한이 있습니다. 미국 연방거래위원회법 제5조(FTCA Section 5)는 "위원회는 그러한 사람, 파트너십 또는 법인이 불공정한 경쟁 방법 또는 불공정하거나 기만적인 행위 또는 관행을 사용했거나 사용하고 있거나 상업에 영향을 미치고 있다고 믿을 만한 이유가 있어야 합니다. 그리고 이와 관련하여 위원회에 의해 진행되는 절차가 대중의 이익에 부합하는 것으로 나타날 경우, 위원회는 그러한 사람, 파트너십 또는 법인에 그러한 점에 대한 혐의를 명시한 불만을 제기하고 이를 처리해야 합니다."

법령은 누군가가 금융 기관이나 소비자로부터 개인적이고 공개되지 않은 정보를 얻었을 때, 그들의 행동은 법령의 적용을 받는다는 것을 명시하고 있습니다. 이는 소비자와 금융 기관의 관계에 관한 것입니다. 예를 들어, 소비자의 은행에서 소비자의 주소를 얻거나 소비자가 은행 이름을 공개하도록 하기 위해 허위 위장을 사용하는 사전 입력자가 대상이 됩니다. 위장전입은 허위로 정보를 취득한 경우에만 발생한다는 것이 판단 원칙입니다.

휴대전화 기록의 판매가 언론의 주목을 받고 있고, 통신 기록이 현재 미국 상원에 계류 중인 두 법안의 초점이 되고 있지만, 다른 많은 종류의 개인 기록들이 공공 시장에서 사고 팔리고 있습니다. 휴대폰 기록에 대한 많은 광고와 함께 유선 기록 및 전화 카드와 관련된 기록이 광고됩니다. 개인이 VoIP 전화로 이동함에 따라 해당 레코드도 판매될 것이라고 가정해도 무방합니다. 현재 전화 기록을 판매하는 것은 합법이지만, 입수하는 것은 불법입니다.[33]

제1원 정보 전문가

전기통신 및 인터넷 에너지 및 상업 분과위원회 위원장인 미국 의원 프레드 업튼(R-Kalamazoo, 미시간)은 하원 에너지 및 상업 위원회 청문회에서 "판매용 전화 기록: 전화 기록은 왜 빌미로부터 안전하지 않습니까?" 일리노이주는 리사 매디건 법무장관이 제1 소스 정보 전문가 주식회사를 고소하면서 온라인 음반 중개인을 고소한 최초의 주가 되었습니다. 매디건의 사무실 대변인은 말했습니다. 소송 사본에 따르면 플로리다에 본사를 둔 이 회사는 휴대전화 기록을 판매하는 여러 웹사이트를 운영하고 있습니다. 플로리다와 미주리의 법무장관은 Madigan의 선례를 따라 빠르게 소송을 제기했고, 1st Source Information Specialists와 미주리의 경우 다른 한 기록 브로커인 First Data Solutions, Inc.를 상대로 소송을 제기했습니다.

T-Mobile, Verizon 및 Cingular를 포함한 여러 무선 제공업체는 이전에 레코드 브로커를 상대로 소송을 제기했으며, Cingular는 First Data Solutions와 First Source Information Specialists를 상대로 한 소송에서 승소했습니다. 2006년 2월 미국 상원의원 Charles Schumer (D-New York)는 이러한 관행을 억제하기 위한 법안을 발의했습니다. 2006년의 소비자 전화 기록 보호법은 휴대 전화, 유선 전화 및 VoIP(Voice over Internet Protocol) 가입자의 기록을 훔치고 판매한 것에 대해 중죄 형사 처벌을 내릴 것입니다.

휴렛 패커드

Hewlett Packard의 전 회장인 Patricia Dunn은 HP 이사회가 이사회 내 유출의 책임이 누구인지를 조사하기 위해 민간 조사 회사를 고용했다고 보도했습니다. Dunn은 회사가 이사진과 기자들의 전화 기록을 요구하기 위해 핑계를 대는 관행을 이용했다는 것을 인정했습니다. 던 회장은 이후 이런 행위에 대해 사과하고 이사진이 원하는 경우 이사직에서 물러나겠다고 제안했습니다.[34] 연방법과 달리 캘리포니아 법은 특별히 그러한 구실을 하는 것을 금지하고 있습니다. 던에게 제기된 4건의 중죄 혐의는 기각되었습니다.[35]

참고문헌

  1. ^ Anderson, Ross J. (2008). Security engineering: a guide to building dependable distributed systems (2 ed.). Indianapolis, IN: Wiley. p. 1040. ISBN 978-0-470-06852-6. 2장 17페이지
  2. ^ "Social Engineering Defined". Security Through Education. Retrieved 3 October 2021.
  3. ^ Guitton, Matthieu J. (1 June 2020). "Cybersecurity, social engineering, artificial intelligence, technological addictions: Societal challenges for the coming decade". Computers in Human Behavior. 107: 106307. doi:10.1016/j.chb.2020.106307. ISSN 0747-5632.
  4. ^ Salahdine, Fatima (2019). "Social Engineering Attacks: A Survey". School of Electrical Engineering and Computer Science, University of North Dakota. 11 (4): 89.
  5. ^ Jaco, K: "CSEPS 과정 워크북" (2004), 3단원 Jaco Security Publishing.
  6. ^ Kirdemir, Baris (2019). "HOSTILE INFLUENCE AND EMERGING COGNITIVE THREATS IN CYBERSPACE". Centre for Economics and Foreign Policy Studies.
  7. ^ Hatfield, Joseph M (June 2019). "Virtuous human hacking: The ethics of social engineering in penetration-testing". Computers & Security. 83: 354–366. doi:10.1016/j.cose.2019.02.012. S2CID 86565713.
  8. ^ HP가 스캔들을 빌미로 토론을 벌인 사연은 다음 웹사이트에서 확인할 수 있습니다.
  9. ^ "문자 보내기: 귀하의 개인 정보가 공개되었습니다", 연방 무역 위원회
  10. ^ "Chinese Espionage Campaign Compromises Forbes.com to Target US Defense, Financial Services Companies in Watering Hole Style Attack". invincea.com. 10 February 2015. Retrieved 23 February 2017.
  11. ^ "Social Engineering, the USB Way". Light Reading Inc. 7 June 2006. Archived from the original on 13 July 2006. Retrieved 23 April 2014.
  12. ^ "Archived copy" (PDF). Archived from the original (PDF) on 11 October 2007. Retrieved 2 March 2012.{{cite web}}: CS1 유지관리: 제목으로 보관된 복사본(링크)
  13. ^ Conklin, Wm. Arthur; White, Greg; Cothren, Chuck; Davis, Roger; Williams, Dwayne (2015). Principles of Computer Security, Fourth Edition (Official Comptia Guide). New York: McGraw-Hill Education. pp. 193–194. ISBN 978-0071835978.
  14. ^ Raywood, Dan (4 August 2016). "#BHUSA Dropped USB Experiment Detailed". info security. Retrieved 28 July 2017.
  15. ^ Hafner, Katie (August 1995). "Kevin Mitnick, unplugged". Esquire. 124 (2): 80(9).
  16. ^ Social Engineering: Manipulating the human. Scorpio Net Security Services. 16 May 2013. ISBN 9789351261827. Retrieved 11 April 2012.
  17. ^ Niekerk, Brett van. "Mobile Devices and the Military: useful Tool or Significant Threat". Proceedings of the 4Th Workshop on Ict Uses in Warfare and the Safeguarding of Peace 2012 (Iwsp 2012) and Journal of Information Warfare. academia.edu. Retrieved 11 May 2013.
  18. ^ "Social Engineering: Manipulating the human". YouTube. Retrieved 11 April 2012.
  19. ^ "BsidesPDX Track 1 10/07/11 02:52PM, BsidesPDX Track 1 10/07/11 02:52PM BsidesPDX on USTREAM. Conference". Ustream.tv. 7 October 2011. Archived from the original on 4 August 2012. Retrieved 11 April 2012.
  20. ^ "Automated Social Engineering". BrightTALK. 29 September 2011. Retrieved 11 April 2012.
  21. ^ "Social Engineering a General Approach" (PDF). Informatica Economica journal. Retrieved 11 January 2015.
  22. ^ "Cyber Crime". Hays. 7 November 2018. ISBN 9781839473036. Retrieved 11 January 2020.
  23. ^ "Wired 12.02: Three Blind Phreaks". Wired. 14 June 1999. Retrieved 11 April 2012.
  24. ^ "Social Engineering A Young Hacker's Tale" (PDF). 15 February 2013. Retrieved 13 January 2020. {{cite journal}}: 저널 인용 요구사항 journal= (도와주세요)
  25. ^ "43 Best Social Engineering Books of All Time". BookAuthority. Retrieved 22 January 2020.
  26. ^ "Bens Book of the Month Review of Social Engineering The Science of Human Hacking". RSA Conference. 31 August 2018. Retrieved 22 January 2020.
  27. ^ "Book Review: Social Engineering: The Science of Human Hacking". The Ethical Hacker Network. 26 July 2018. Retrieved 22 January 2020.
  28. ^ Hadnagy, Christopher; Fincher, Michele (22 January 2020). "Phishing Dark Waters: The Offensive and Defensive Sides of Malicious E-mails". ISACA. Retrieved 22 January 2020.
  29. ^ "WTVR: "온라인 위협으로부터 자녀 보호"
  30. ^ Larson, Selena (14 August 2017). "Hacker creates organization to unmask child predators". CNN. Retrieved 14 November 2019.
  31. ^ Restatement 2d of Torts § 652C.
  32. ^ "Congress outlaws pretexting". 109th Congress (2005–2006) H.R.4709 – Telephone Records and Privacy Protection Act of 2006. 2007.
  33. ^ 미트닉, K(2002): "기만의 기술", p. 103 Wiley 출판사: Indianapolis, Indiana; United States of America. ISBN 0-471-23712-4
  34. ^ HP 회장: embarrass링' 스티븐 생클랜드(Stephen Shankland) 구실 사용 2006년 9월 8일 오후 1:08 PDT CNET News.com
  35. ^ "Calif. court drops charges against Dunn". CNET. 14 March 2007. Retrieved 11 April 2012.

더보기

외부 링크