최근 뉴스에서 인간의 감정과 생각이 어떻게 다른 사람의 이익을 위해 사용될 수 있는지(또는, 사용되는지) 깨닫게 되었습니다. 거의 모든 사람이 NSA^(NSA) 의 내부 고발자 에드워드 스노든( Edward Snowden ) 을 알고 있습니다. 로이터는 그가 나중에 유출한 일부 데이터를 복구하기 위해 약 20-25 명의 NSA 직원에게 비밀번호를 넘겨주었다고 보고했습니다[1]. 가장 강력하고 최고의 보안 소프트웨어를 사용하더라도 기업 네트워크가 얼마나 취약할 수 있는지 상상해 보십시오 !^(Imagine)

사회 공학이란

인간의^(Human) 약점, 호기심, 감정 및 기타 특성은 어떤 산업이든 불법적으로 데이터를 추출하는 데 자주 사용되었습니다. 그러나 IT 업계^{(IT Industry)} 에서는 사회 공학이라는 이름을 붙였습니다. 나는 사회 공학을 다음과 같이 정의합니다.

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

다음은 동일한 뉴스 기사 [1]에서 인용하고 싶은 또 다른 대사 입니다^{(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable)} . 여기 컨텍스트에 맞게 문을 약간 수정했습니다. 참조^(References) 섹션 의 링크를 사용하여 전체 뉴스를 읽을 수 있습니다 .

다시 말해, 사회 공학이 대처하는 기술보다 훨씬 빠르게 진화하는 조직의 보안을 완벽하게 제어할 수 없습니다. 사회^(Social) 공학은 기술 지원이라고 말하는 사람에게 전화를 걸어 로그인 자격 증명을 요청하는 것과 같을 수 있습니다. 복권에 대한 피싱 이메일, 비즈니스 파트너를 원하는 중동^{(Mid East)} 및 아프리카^(Africa) 의 부자 , 세부 정보를 묻는 구인 제안을 받았을 것 입니다.

피싱 공격과 달리 사회 공학은 대부분의 직접적인 사람 대 사람 상호 작용입니다. 전자(피싱)는 미끼를 사용합니다. 즉, "낚시"하는 사람들은 당신이 그것에 빠지기를 바라는 당신에게 무언가를 제공합니다. 사회^(Social) 공학은 내부 직원의 신뢰를 얻어 필요한 회사 세부 정보를 공개하는 것보다 더 중요합니다.

읽기: ^(Read:) 인기 있는 사회 공학 방법 .

알려진 사회 공학 기술

많은 것들이 있고 그들 모두는 어떤 조직의 데이터베이스에 들어가기 위해 기본적인 인간 경향을 사용합니다. 가장 많이 사용되는(아마도 오래된) 사회 공학 기술은 사람들에게 전화를 걸어 만나 컴퓨터를 점검해야 하는 기술 지원 담당자라고 믿게 만드는 것입니다. 그들은 또한 신뢰를 구축하기 위해 가짜 ID 카드를 만들 수 있습니다. 어떤 경우에는 범인이 공무원으로 가장하기도 합니다.

또 다른 유명한 기술은 대상 조직의 직원으로 귀하의 사람을 고용하는 것입니다. 자, 이 사기꾼은 당신의 동료이기 때문에, 당신은 그를 회사 세부 사항으로 신뢰할 수 있습니다. 외부 직원이 당신을 도울 수 있으므로 의무감을 느끼며 그 때 최대치를 낼 수 있습니다.

전자 선물을 사용하는 사람들에 대한 보고서도 읽었습니다. 회사 주소로 배달되는 멋진 USB 스틱이나 차에 있는 펜 드라이브는 재앙을 증명할 수 있습니다. ^(USB)어떤 경우에는 일부 USB^(USB) 드라이브를 주차장에 고의로 미끼로 남겨 놓은 경우가 있습니다[2].

회사 네트워크의 각 노드에 우수한 보안 조치가 있다면 축복을 받은 것입니다. 그렇지 않으면 이러한 노드는 맬웨어가 중앙 시스템으로 쉽게 이동할 수 있도록 합니다.

따라서 우리는 사회 공학 방법의 포괄적인 목록을 제공할 수 없습니다. 핵심은 과학이고 상단은 예술과 결합됩니다. 그리고 어느 쪽에도 경계가 없다는 것을 알고 있습니다. 사회 공학 전문가들은 회사 ^(Social)Wi-Fi 에 액세스할 수 있는 무선 장치를 오용할 수 있는 소프트웨어를 개발하면서 계속 창의력을 발휘합니다 .

읽기: ^(Read:) 사회 공학 맬웨어란 무엇입니까 ?

사회 공학 방지

개인적으로 관리자가 소셜 엔지니어링 해킹을 방지하기 위해 사용할 수 있는 정리는 없다고 생각합니다. 사회 공학 기술은 계속 변경되므로 IT 관리자가 무슨 일이 일어나는지 추적하기 어려워집니다.

물론 적절한 보안 조치를 취하기에 충분한 정보를 얻을 수 있도록 사회 공학 뉴스에 대한 탭을 유지해야 합니다. 예를 들어 USB 장치의 경우 관리자는 개별 노드에서 ^(USB)USB 드라이브를 차단 하여 더 나은 보안 시스템이 있는 서버에서만 허용할 수 있습니다. 마찬가지로 ^(Likewise)Wi-Fi 는 대부분의 로컬 ISP^(ISPs) 가 제공 하는 것보다 더 나은 암호화가 필요 합니다.

직원을 교육하고 다양한 직원 그룹에 대해 무작위 테스트를 수행하면 조직의 약점을 식별하는 데 도움이 될 수 있습니다. 약한 사람들을 훈련시키고 주의시키는 것은 쉬울 것입니다. 경계^(Alertness) 는 최고의 방어입니다. 스트레스와 상관없이 로그인 정보는 팀 리더와도 공유해서는 안 된다는 점입니다. 팀장이 구성원의 로그인에 액세스해야 하는 경우 마스터 비밀번호를 사용할 수 있습니다. 이는 안전을 유지하고 사회 공학 해킹을 피하기 위한 한 가지 제안일 뿐입니다.

결론은 맬웨어와 온라인 해커를 제외하고 IT 인력도 사회 공학을 처리해야 한다는 것입니다. 데이터 유출 방법(예: 비밀번호 기록)을 식별하는 동안 관리자는 직원이 이를 완전히 방지할 수 있는 사회 공학 기술을 식별할 수 있을 만큼 똑똑한지도 확인해야 합니다. 사회공학을 예방하기 위한 최선의 방법은 무엇이라고 생각하십니까? 흥미로운 사례를 발견했다면 공유해 주세요.

Microsoft에서 발표한 사회 공학 공격 에 대한 이 전자책을 다운로드 하고 조직에서 이러한 공격을 감지하고 방지하는 방법을 알아보십시오.^{(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)}

참고문헌^(References)

[1] 로이터^(Reuters) , Snowden , NSA 직원^{(NSA Employees Into)} 설득 하여 로그인 정보^(Info) 획득

[2] Boing Net , 악성코드 유포 에 사용되는 ^{(Spread Malware)}펜^(Pen) 드라이브 .

Understand Social Engineering - Protection against Human Hacking

A рiece of recent news made me realize how humаn emotіons and thoughts can be (or, arе) used for others’ benefit. Almost everу one of you knows Edward Snоwden, the whistleblowеr of NSA snooping the world over. Reuters reported that hе got around 20-25 NSΑ people to hand over thеir passwords to him for recovering some dаta he leaked later [1]. Imagine how fragile your corрorate network can be, even with the strongest and best of security software!

What is Social Engineering

Human weakness, curiosity, emotions, and other characteristics have often been used in extracting data illegally – be it any industry. The IT Industry has, however, given it the name of social engineering. I define social engineering as:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Here is another line from the same news story [1] that I want to quote – “Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable“. I modified the statement a bit to fit it into the context here. You can read the full news piece using the link in the References section.

In other words, you do not have complete control over the security of your organizations with social engineering evolving much faster than techniques to cope with it. Social engineering can be anything like calling up someone saying you are tech support and ask them for their login credentials. You must have been receiving phishing emails about lotteries, rich people in Mid East and Africa wanting business partners, and job offers to ask you your details.

Unlike phishing attacks, social engineering is much of direct person-to-person interaction. The former (phishing) employs a bait – that is, the people “fishing” is offering you something hoping that you will fall for it. Social engineering is more about winning the confidence of internal employees so that they divulge the company details you need.

Read: Popular methods of Social Engineering.

Known Social Engineering Techniques

There are many, and all of them use basic human tendencies for getting into the database of any organization. The most used (probably outdated) social engineering technique is to call and meet people and making them believe they are from technical support who need to check your computer. They can also create fake ID cards to establish confidence. In some cases, the culprits pose as state officials.

Another famous technique is to employ your person as an employee in the target organization. Now, since this con is your colleague, you might trust him with company details. The external employee might help you with something, so you feel obliged, and that is when they can make out the maximum.

I also read some reports about people using electronic gifts. A fancy USB stick delivered to you at your company address or a pen drive lying in your car can prove disasters. In a case, someone left some USB drives deliberately in the parking lot as baits [2].

If your company network has good security measures at each node, you are blessed. Otherwise, these nodes provide an easy passage for malware – in that gift or “forgotten” pen drives – to the central systems.

As such we cannot provide a comprehensive list of social engineering methods. It is a science at the core, combined with art on the top. And you know that neither of them has any boundaries. Social engineering guys keep on getting creative while developing software that can also misuse wireless devices gaining access to company Wi-Fi.

Read: What is Socially Engineered Malware.

Prevent Social Engineering

Personally, I do not think there is any theorem that admins can use to prevent social engineering hacks. The social engineering techniques keep on changing, and hence it becomes difficult for IT admins to keep track on what is happens.

Of course, there is a need to keep a tab on social engineering news so that one is informed enough to take appropriate security measures. For example, in the case of USB devices, admins can block USB drives on individual nodes allowing them only on the server that has a better security system. Likewise, Wi-Fi would need better encryption than most of the local ISPs provide.

Training employees and conducting random tests on different employee groups can help identify weak points in the organization. It would be easy to train and caution the weaker individuals. Alertness is the best defense. The stress should be that login information should not be shared even with the team leaders – irrespective of the pressure. If a team leader needs to access a member’s login, s/he can use a master password. That is just one suggestion to stay safe and avoid social engineering hacks.

The bottom line is, apart from the malware and online hackers, the IT people need to take care of social engineering too. While identifying methods of a data breach (like writing down passwords etc.), the admins should also ensure their staff is smart enough to identify a social engineering technique to avoid it altogether. What do you think are the best methods to prevent social engineering? If you have come across any interesting case, please share with us.

Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.

References

[1] Reuters, Snowden Persuaded NSA Employees Into Obtaining Their Login Info

[2] Boing Net, Pen Drives Used to Spread Malware.

Related posts

• Internet and Social Networking Sites addiction

• Fake News 웹 사이트 : 성장하는 문제 및 오늘날의 세계에서 무엇을 의미하는지

• 설정, 기록, 편집, 게시 Instagram Reels

• Reddit account에 대한 2 요소 인증을 활성화하는 방법

• Windows Club와 연결하십시오

• Windows 10 PC에서 Instagram or Snapchat을 얻는 방법

• 체크 아웃하려는 5 개의 Best Facebook 대안

• LinkedIn influencer가되는 방법

• Instagram에 Influencer가되는 방법

• Cold Turkey Distraction Blocker 블록 Online Distractions

• Yammer Features & Where 당신은 그것을 사용할 수 있습니다

• 10 Reddit Tips and Tricks master Redditor이 될 수 있도록 도와줍니다

• Instagram에서 메시지를 어떻게 검색합니까?

• Facebook을 사용하여 소셜 Media Influencer이되는 방법

• Instagram and WhatsApp Facebook Page에 연결하는 방법

• Windows 10 Microsoft Store에서 사용할 수있는 5 Best Social Media apps

• UniShare Facebook, Twitter 및 LinkedIn를 한 번에 공유 할 수 있습니다

• Social Media에서 과발의 위험과 결과

• Twitter에서 Influencer이되는 방법

• 당신이 죽을 때 Online Accounts에 어떤 일이 일어나는 일 : Digital Assets Management