소셜 해킹

Social hacking

소셜 해킹은 조정된 행동을 통해 사회적 행동의 결과를 조작하려는 행위를 묘사하고 있다.소셜 해킹의 일반적인 기능은 제한된 정보나 물리적 공간에 적절한 허가 없이 접근하는 것이다.가장 흔히 사회적 해킹 공격은 피해자에게 직간접적으로 알려진 개인이나 집단을 사칭하거나 권위의 위치에 있는 개인이나 집단을 대표해 이뤄진다.[1]이는 피해자의 신뢰를 얻기 위해 사전에 계획된 연구와 계획을 통해 이루어진다.소셜 해커들은 기밀 정보나 개인 정보를 끌어내기 위해 친숙함과 신뢰성의 오버톤을 제시하기 위해 큰 조치를 취한다.[2]사회적 해킹은 "사회공학"의 구성요소로서 가장 흔히 연관된다.

비록 이 관행은 컴퓨터보다는 인간의 행동에 대한 통제권을 행사하는 것을 포함하지만, "사회적 해킹"이라는 용어는 온라인 행동과 점점 더 소셜 미디어 활동과 관련하여 쓰이기도 한다.이 기술은 대중의 인식에 영향을 미치는 다방면으로 사용될 수 있으며 반대로 사회적 해킹 활동에 대한 대중의 인식을 높일 수 있다.그러나, 인식은 해킹의 양을 줄이는 데 도움이 되지만, 기술은 공격 도구가 더 정교해질 수 있도록 허용했다.

사회 해킹 기법

사회적 해킹 공격을 수행하는 것은 겉으로 보기에 합법적인 수단을 통해 이용될 수 있는 사용자 행동의 약점을 찾는 것을 포함한다.[3]세 가지 인기 있는 공격 방법으로는 덤프스터 다이빙, 역할 놀이, 창 피싱 등이 있다.

덤프스터 다이빙

쓰레기를 뒤지는 것은 사회 해커들이 조직과 개인의 습관, 활동, 상호작용에 대한 정보를 복구하기 위한 인기 있는 전술이다.버려진 재산에서 검색된 정보는 소셜 해커들이 그들의 목표물에 대한 효과적인 프로파일을 만들 수 있게 해준다.직원명, 전화번호 등 개인 연락처 정보는 폐기된 전화번호부나 전화번호부에서 전용할 수 있으며 로그인 데이터나 보안 비밀번호와 같은 추가 기술 정보를 얻는 데 사용된다.소셜 해커에게 유리한 또 다른 발견은 버려진 하드웨어, 특히 하드 드라이브는 깨끗이 닦지 않고 여전히 기업이나 개인에 대한 개인적이고 정확한 정보를 포함하고 있다.[1]사람들의 연석 쓰레기통 속을 서핑하는 것은 형사범죄가 아니며 영장도 필요 없기 때문에 소셜 해커들에게는 법률적으로 접근이 가능한 자원일 뿐만 아니라 풍부한 자원이다.덤프스터 다이빙은 개인 수사관, 스토커, 참견하기 좋아하는 이웃, 그리고 경찰과 같은 정보 수집가들에게 냄새는 나지만 보람 있는 결과를 가져다 줄 수 있다.

역할극

거짓 인물의 정당성을 믿도록 사람들을 속여 신뢰를 쌓는 것이 사회 해킹의 주요 교칙 중 하나이다.거짓된 성격을 채택하거나 알려진 인물을 사칭해 피해자를 속여 사적인 내용을 공유하게 하는 행위는 직접 하거나 전화 통화를 통해 할 수 있다.

직접

사무소 건물에서 제3자의 정비사 행세를 하거나, 병원의 의료 종사자 또는 다른 많은 형태들 중 하나로서, 소셜 해커들은 보안 요원이나 다른 직원들을 들키지 않고 지나칠 수 있다.두 가지 사례 모두 유니폼은 특정 직무 기능과 연관되어 있어 사람들이 가장을 믿을 수 있는 이유를 제공한다.더 복잡한 매니버는 공격의 대상이 되는 조직 내에서 고용을 차지하는 것과 같은 더 긴 계획 주기를 수반할 것이다.

영화 '오션스 일레븐'에서는 정교한 사기꾼들이 카지노 운영의 일상 활동에 자신을 동화시킴으로써 세 개의 인기 있는 라스베이거스 카지노를 강탈하기 위한 정교한 강탈을 모의하고 있다.비록 헤이스터는 하루도 안되어 실행되지만, 계획 주기는 길고 특히 까다롭다.공격의 필수적인 기능은 사칭되는 역할에 대한 신뢰성을 제시하는 것이며, 이에 따라 세부 사항에 대한 주의가 불가피하다.

미행

미행은 사무실 건물이나 학원과 같은 제한된 공간으로 사람을 따라 들어가는 행위다.제3자 정비 종사자, 즉 위에서 언급한 바와 같이 의료인은 외관상으로는 자신의 신뢰성을 정당화할 명분이 한정되어 있는 경우가 많다.역할극과 유사하게, 친숙함과 신뢰의 가정과 관련된 기능들을 미행한다.[4]사람들은 주변 환경에 들어맞는 것으로 보이는 사람에게는 의심스러운 반응을 보일 가능성이 적으며, 자신에게 주의를 환기시키지 않는 개인에게 질문하는 일도 훨씬 덜할 것이다.겸손한 태도로 누군가를 따라가는 것은 심지어 공인된 직원들과 친분을 쌓을 필요조차 없앨 수 있다.

스피어 피싱

온라인 소셜 해킹에는 해커들이 피해자를 속여 자신이나 조직에 대한 민감한 정보를 공개하는 '스피어 피싱'이 포함돼 있다.해커들은 조직 내 권위 있는 고위 관리들을 포함한 신뢰할 수 있는 출처에서 온 것으로 보이는 이메일을 보내 특정 조직 내의 개인들을 타깃으로 삼을 것이다.설득력 있게 보이려면, 소셜 해커의 이메일 메시지는 수신자 측의 의심을 잠재우는 친숙한 분위기를 조성해야 한다.이메일은 정보를 보내는 사람과 논리적으로 연계된 정보를 요청하기 위해 고안되었다.[5]종종 회사 직원들은 정보 전송이 안전한 환경에서 이루어지고 있다고 생각하며 이러한 이메일의 희생양이 되어 전화번호나 비밀번호와 같은 개인정보를 공유하게 된다.더 불길한 시나리오에서는 해커들이 보낸 이메일에 자신도 모르는 사이에 피해자의 컴퓨터를 감염시키고 비밀리에 개인 데이터를 해커들에게 직접 전송하는 악성코드가 박혀 있을 수 있다.[6]2013년 10월부터 2016년 12월까지 FBI는 미국 기업과 관련된 22,000건이 조금 넘는 사건들을 조사했다.모두 합쳐서 16억 달러에 가까운 손실을 보았다.[7]

스피어피싱 성공 사례는 2014년 1월 미국 유통업체인 타겟이 해커가 고객의 신용카드개인정보를 도용할 수 있는 보안침해를 겪으면서 뉴스 매체에 크게 알려졌다.[8]이후 사이버 범죄자들이 타겟의 네트워크 자격증을 취득한 제3의 기계 회사를 대상으로 타겟의 금융 및 개인 데이터 파일에 접근할 수 있었던 사실이 밝혀졌다.이처럼 세간의 이목을 끄는 소셜 해킹의 사회적 함의는 소매업체로서의 타겟의 인기는 물론 브랜드에 대한 소비자들의 신뢰와 충성도에 영향을 미친다.

스피어 피싱의 또 다른 예는 2015년 6월 미국에 본사를 둔 네트워크 기술 회사인 유비쿼티 네트워크사에 발생했다.스피어 피싱 유비퀴티 네트워크는 이 과정에서 4670만 달러 이상의 손실을 입었다고 한다.해킹그룹은 재무부 직원들에게 스피어 피싱 이메일을 보냈다.이들 해커들은 회사 임원 행세를 하는 재무부 직원들에게 직접 스피어피싱 이메일을 보냈다.해커들은 직원들을 속여 바다를 건너 제3자 단체로 자금을 송금하도록 했다.[9]다행히 유비쿼터스 네트워크에서는 810만 달러가 해커들로부터 회수되었다.[10]

보안

타겟의 보안이 느슨해지지 않았을 수도 있지만, 해커들은 타겟의 자격 증명에 접근하여 타겟의 네트워크에 간접적으로 침투할 수 있었다.소셜 해킹은 민감한 정보를 누설하기 위해 제3자의 직원들을 사취하는 데 있었고, 사이버 범죄는 악성코드에 감염된 이메일 피싱 공격을 통해 행해졌다.[11]타겟과 같은 기업뿐만 아니라 다른 글로벌 기업과 트래픽이 많은 웹사이트에 대한 사이버 공격으로 경계하는 온라인 보안의 필요성이 부각되고 있다.심지어 소규모 웹사이트도 공격에 취약한데, 특히 보안이 낮은 것으로 추정되기 때문이다.[12]타겟의 경우, 제3의 기계회사가 보안 소프트웨어가 불충분하여 악성코드 공격에 무방비로 노출되어 있었다.[11]

이와 비슷한 사건으로 야후 메일도 2014년 1월 자사의 시스템이 해킹당했고 다수의 사용자 이메일 계정에 접속했다고 발표했다.[13]원인의 출처가 분명치 않은 반면, 허술한 보안이 다시 문제의 중심에 섰다.두 경우 모두 보안 정책에 대한 이해가 가정한 대기업이 타협했다.또한 두 경우 모두 소비자 데이터가 도용되었다.[14]

Orgill 등의 연구에서 "컴퓨터 보안을 책임지는 각자가 자신의 시스템이 사회공학자의 공격에 취약한지, 그렇다면 어떻게 사회공학 공격의 효과를 완화시킬 수 있는지 물어보는 것이 중요하다"는 관찰이 나온다.[15] 강력한 암호를[16] 사용하는 것은 신뢰할 수 있고 효과적인 안티바이러스 소프트웨어를 사용하는 것과 같이 그러한 완화를 지원하는 간단하고 쉬운 방법이다.다른 예방 조치로는 사용되는 서비스에 대해 다른 로그인을 사용하고, 계정과 개인 데이터를 자주 모니터링하며, 낯선 사람의 도움 요청과 피싱 시도 간의 차이점에 대해 주의를 기울이는 것이 있다.[17]

윤리 해킹

기술 해커뿐만 아니라 소셜 해커의 손에 의한 보안 침해에 대응하기 위해 기업들은 윤리 해커로 알려진 보안 전문가 또는 더 일반적으로 화이트 모자 해커를 고용하여 소셜 해커가 고용하는 것과 같은 방식으로 시스템에 침입하려고 시도한다.윤리 해커들은 범죄 의도가 있지만 합법적인 목적을 가진 해커들과 같은 도구 방법을 이용할 것이다.윤리 해커는 보안의 장단점을 평가하고 시정 옵션을 제공한다.윤리적인 해킹은 침투 테스트, 침입 테스트, 레드 팀워크로도 알려져 있다.[18]

소셜 미디어에 미치는 영향

인터넷은 소셜 해커들에게 의심스러운 행동을 감지하지 않고 콘텐츠 공간을 채울 수 있는 능력을 제공한다.소셜 해킹은 사용자 생성 콘텐츠가 성행하는 환경에서도 발생할 수 있다.여기에는 여론조사에 영향을 미치고 심지어 유효점을 넘어 데이터를 왜곡할 기회도 포함된다.소셜 해킹은 예를 들어 제품 웹사이트에서 호의적인 리뷰를 제공하는 데 사용될 수 있다.또한 블로그 또는 뉴스 기사 댓글 섹션과 같은 긍정적인 반응(예: "버튼처럼")이 유입되어 부정적인 피드백에 대응하는 데 사용될 수 있다.소셜 해킹은 소셜미디어 채널을 통해 공공연하게 이용할 수 있는 정보에 접근하는 단순한 행동으로 개인이나 브랜드의 온라인 프로필에 피해를 줄 수 있다.[19]

테크놀로지 세출

기술 전용은 기술의 사회적 조작을 수반한다는 점에서 사회적 해킹의 한 유형으로 인식될 수 있다.그것은 의도된 용도를 채택하는 것을 넘어 자신의 맥락 안에서 기술을 이해하려는 사용자의 노력을 설명한다.이렇게 되면 기술의 이용이 바뀔 수 있다.기술의 적응은 기술 자체가 새로운 역할을 맡을 수 있는 효과에 그 기능과 의미를 재해석할 수 있다.전용은 사용자가 자신의 최선의 관행을 위해 기술을 조정한다는 점을 강조하지만, 적응은 사용이 일반적으로 변경될 때도 있다고 조언한다.예를 들어, 오늘날의 기술의 발전은 다른 사람을 묘사하는 것을 그 어느 때보다도 쉽게 만든다.이 방법은 "딥페이크"를 만드는 것으로 알려져 있다.깊은 가짜는 컴퓨터 프로그램으로 다른 사람의 얼굴과 목소리를 재현할 수 있는 곳이다.그것은 전에 하지도, 말하지도 않은 것을 말하고 행하는 사람들을 속이는 데 사용된다.[20]"공인은 민간보다 이런 방법을 통해 더 '가짜'가 될 수 있다.기자 회견처럼 시각적으로 일상적인 상황은 완전히 새로운 상황보다 꾸며질 가능성이 더 높다고 말했다.[21]딥페이크는 대통령이나 정치인처럼 권위가 높은 사람들이 한 말을 속이는 데 사용될 수 있다는 점에서 매우 위험할 수 있다.유튜버 셰인 도슨의 딥페이크의 음모, 오늘날 세계에 무엇을 의미할 수 있는지에 대해 이야기하는 동영상 '셰인 도슨과의 음모론'[22] 등 딥페이크의 새로운 발견에 대한 기사와 논의가 많았다.

사회적 해킹도 사회적기업과 연계돼 있다.사회적 기업은 장기적인 환경 및 인간 복지를 위한 사회적 책임 사업 전략을 장려하는 영리 또는 비영리 단체 형태로 대표될 수 있다.기존의 자본주의 구조 내에서 새로운 기업을 사회적으로 해킹한다는 개념은 우리가 익숙해 있는 사회 시스템을 재평가하도록 유도하는 인간의 노력이다.[23]이어 지속가능성과 재생성장을 강화하는 제도로 구(舊)를 대체하는 새로운 기업이 탄생할 수 있다.[citation needed]

참고 항목

참조

독싱

  1. ^ a b "Archived copy" (PDF). Archived from the original (PDF) on April 14, 2014. Retrieved April 3, 2014.{{cite web}}: CS1 maint: 타이틀로 보관된 사본(링크)
  2. ^ Hodson, Steve (August 13, 2008). "Never Mind Social Media, How About Social Hacking?". Mashable.
  3. ^ Peter Wood. "Social hacking: The easy way to breach network security". Computerweekly.com. Retrieved 2016-07-05.
  4. ^ Heary, Jamey. "Top 5 Social Engineering Exploit Techniques". PCWorld. Retrieved 2016-07-05.
  5. ^ Kalwa, Jason (18 February 2014). "Phishing just got personal – avoiding the social media trap". TechRadar. Retrieved 2016-07-05.
  6. ^ Rouse, Margaret. "What is spear phishing? - Definition from WhatIs.com". Searchsecurity.techtarget.com. Retrieved 2016-07-05.
  7. ^ Mathews, Lee. "Phishing Scams Cost American Businesses Half A Billion Dollars A Year". Forbes. Retrieved 2019-03-25.
  8. ^ "Massive Target Hack Traced Back To Phishing Email". Huffingtonpost.com. 2014-02-12. Retrieved 2016-07-05.
  9. ^ Honan, Brian (2015-08-06). "Ubiquiti Networks victim of $39 million social engineering attack". CSO Online. Retrieved 2019-03-25.
  10. ^ White, Mr. "Tech Firm Ubiquiti Suffers $46M Cyberheist — Krebs on Security". Retrieved 2019-03-25.
  11. ^ a b "Email Attack on Vendor Set Up Breach at Target — Krebs on Security". Krebsonsecurity.com. 2014-02-12. Retrieved 2016-07-05.
  12. ^ Mackensie Graham (2014-04-02). "How to Stop Social Hackers Before they Attack". Thenextweb.com. Retrieved 2016-07-05.
  13. ^ "Yahoo Hacked And How To Protect Your Passwords". Forbes.com. Retrieved 2016-07-05.
  14. ^ Ribeiro, Ricky (2014-01-07). "Snapchat's Data Breach Should Be a Wake-Up Call for Startups — BizTech". Biztechmagazine.com. Retrieved 2016-07-05.
  15. ^ + flyoverContents[0] + (2004-10-28). "The urgency for effective user privacy-education to counter social engineering attacks on secure computer systems". Proceedings of the 5th conference on Information technology education - CITC5 '04. Dl.acm.org. p. 177. doi:10.1145/1029533.1029577. ISBN 978-1581139365. S2CID 7239602. Retrieved 2016-07-05.
  16. ^ "Analysis of a social site hack: Do feds need a 'higher standard' for social networking?". GCN. 2012-05-23. Retrieved 2016-07-05.
  17. ^ Melanie Pinola. "How Can I Protect Against Social Engineering Hacks?". Lifehacker.com. Retrieved 2016-07-05.
  18. ^ Farsole, Ajinkya A.; Kashikar, Amruta G.; Zunzunwala, Apurva (2010). "Ethical Hacking". International Journal of Computer Applications. 1 (10): 14–20. Bibcode:2010IJCA....1j..14F. doi:10.5120/229-380.
  19. ^ John Shinal, Special for USA TODAY (2014-01-03). "Snapchat hack should be wake-up call". Usatoday.com. Retrieved 2016-07-05.
  20. ^ "The future of the deepfake — and what it means for fact-checkers". Poynter. 2018-12-17. Retrieved 2019-03-25.
  21. ^ "The future of the deepfake — and what it means for fact-checkers". 17 December 2018.
  22. ^ shane (2019-01-30), Conspiracy Theories with Shane Dawson, retrieved 2019-03-25
  23. ^ Claudia Cahalane (21 February 2014). "Simple ideas, big impact – in pictures Social Enterprise Network". The Guardian. Retrieved 2016-07-05.