소셜 엔지니어링 공격의 11가지 유형

속임수와 조작을 사용하여 소셜 엔지니어링 공격은 공격자가 원하는 것을 하도록 대상을 유도합니다. 사회 공학자는 속임수, 강압 또는 기타 수단을 사용하여 대상에 영향을 미칠 수 있습니다.

eBook 읽기 데모 요청하기

소셜 엔지니어링 위협

사이버 공격에 대한 일반적인 개념은 해커가 조직 시스템의 취약성을 식별하고 악용하는 것과 관련이 있다는 것입니다. 이를 통해 민감한 데이터에 액세스하거나, 멀웨어를 심거나, 기타 악의적인 조치를 취할 수 있습니다. 이러한 유형의 공격은 빈번하지만 더 일반적인 위협은 소셜 엔지니어링입니다. 일반적으로 다른 수단을 통해 동일한 목표를 달성하는 것보다 피싱 페이지에 로그인 자격 증명을 입력하는 것과 같은 특정 작업을 수행하도록 사람을 속이는 것이 더 쉽습니다.

소셜 엔지니어링 공격의 11가지 유형

사이버 위협 행위자는 목표를 달성하기 위해 다양한 방식으로 사회 공학 기술을 사용할 수 있습니다. 일반적인 소셜 엔지니어링 공격의 몇 가지 예는 다음과 같습니다.

  1. 피싱에 추가합니다. 피싱은 대상을 속이거나 강요하여 특정 작업을 수행하도록 설계된 메시지를 보내는 것을 포함합니다. 예를 들어 피싱 이메일에는 피싱 웹 페이지에 대한 링크나 사용자의 컴퓨터를 멀웨어로 감염시키는 첨부 파일이 포함되는 경우가 많습니다. 스피어 피싱 공격은 개인 또는 소규모 그룹을 대상으로 하는 피싱의 한 유형입니다.
  2. 비즈니스 이메일 침해 (베씨): BEC 공격에서 공격자는 조직 내 임원으로 가장합니다. 그런 다음 공격자는 직원에게 전신 송금을 수행하도록 지시하여 공격자에게 돈을 보냅니다.
  3. 인보이스 사기: 경우에 따라 사이버 범죄자는 공급업체나 공급업체를 가장하여 조직에서 돈을 훔칠 수 있습니다. 공격자는 가짜 송장을 보내고, 이 송장이 지불되면 공격자에게 돈을 보냅니다.
  4. 브랜드 명의 도용: 브랜드 사칭은 소셜 엔지니어링 공격에서 흔히 사용되는 기법입니다. 예를 들어, 피싱 공격자는 주요 브랜드(DHL, LinkedIn 등)를 사칭하고 피싱 페이지에서 자신의 계정에 로그인하도록 대상을 속여 공격자에게 사용자의 자격 증명을 제공할 수 있습니다.
  5. 고래잡이에 추가합니다. 웨일링 공격은 기본적으로 조직 내 고위 직원을 대상으로 하는 스피어 피싱 공격입니다. 경영진과 고위 경영진은 공격자에게 이익이 되는 작업을 승인할 수 있는 권한이 있습니다.
  6. 탄압: 미끼 공격은 자유롭거나 바람직한 구실을 사용하여 대상의 관심을 끌고 로그인 자격 증명을 넘겨주거나 다른 조치를 취하도록 유도합니다. 예를 들어, 무료 음악이나 프리미엄 소프트웨어 할인으로 대상을 유혹합니다.
  7. 비싱에 추가합니다. 비싱 또는 "보이스 피싱"은 전화를 통해 수행되는 소셜 엔지니어링의 한 형태입니다. 피싱과 유사한 트릭과 기술을 사용하지만 매체는 다릅니다.
  8. 스미싱에 추가합니다. 스미싱은 SMS 문자 메시지를 통해 수행되는 피싱입니다. 스마트폰 사용과 링크 단축 서비스의 사용이 증가함에 따라 스미싱이 더욱 일반적인 위협이 되고 있습니다.
  9. 프리텍스팅: 프리텍스팅은 공격자가 표적이 공격자에게 돈을 보내거나 중요한 정보를 넘겨주는 것이 논리적인 가짜 시나리오를 만드는 것을 포함합니다. 예를 들어 공격자는 피해자의 신원을 확인하기 위해 정보가 필요한 신뢰할 수 있는 당사자라고 주장할 수 있습니다.
  10. Quid Pro Quo 크랙: quid pro quo 공격에서 공격자는 중요한 정보를 대가로 대상에게 돈이나 서비스와 같은 것을 제공합니다.
  11. 테일게이팅/피기백: 테일게이팅(Tailgating)과 피기백(Piggybacking)은 보안 영역에 접근하는 데 사용되는 사회 공학 기술입니다. 소셜 엔지니어는 누군가의 인지 여부에 관계없이 문을 통해 누군가를 따라갑니다. 예를 들어, 직원은 무거운 소포로 어려움을 겪는 사람을 위해 문을 잡아줄 수 있습니다.

소셜 엔지니어링 공격을 방지하는 방법

소셜 엔지니어링은 시스템의 약점이 아닌 조직의 직원을 대상으로 합니다. 조직이 소셜 엔지니어링 공격으로부터 보호할 수 있는 몇 가지 방법은 다음과 같습니다.

  • 직원 교육: 소셜 엔지니어링 공격은 의도한 대상을 속이도록 설계되었습니다. 일반적인 소셜 엔지니어링 기법을 식별하고 적절하게 대응하도록 직원을 교육하면 해당 기법에 속아 넘어갈 위험을 줄이는 데 도움이 됩니다.
  • 최소 권한(Least Privilege)에 추가합니다. 소셜 엔지니어링 공격은 일반적으로 후속 공격에 사용할 수 있는 사용자 자격 증명을 대상으로 합니다. 사용자의 액세스를 제한하면 이러한 자격 증명으로 발생할 수 있는 손상이 제한됩니다.
  • 직무 분리: 전신 송금과 같은 중요한 프로세스에 대한 책임은 여러 당사자가 분담해야 합니다. 이렇게 하면 공격자가 단일 직원을 속이거나 강요하여 이러한 작업을 수행할 수 없습니다.
  • 안티피싱(Anti-Phishing) 솔루션에 추가합니다. 피싱은 소셜 엔지니어링의 가장 일반적인 형태입니다. 이메일 검사와 같은 안티피싱(Anti-Phishing) 솔루션은 악성 이메일이 사용자의 받은 편지함에 도달하는 것을 식별하고 차단하는 데 도움이 될 수 있습니다.
  • 다중 인증(MFA): MFA를 사용하면 공격자가 소셜 엔지니어링에 의해 손상된 자격 증명을 사용하기가 더 어려워집니다. 공격자는 암호 외에도 다른 MFA 요소에 대한 액세스 권한도 요구합니다.
  • 엔드포인트 보안: 소셜 엔지니어링은 일반적으로 대상 시스템에 멀웨어를 전달하는 데 사용됩니다. 엔드포인트 보안 솔루션은 멀웨어 감염을 식별하고 치료하여 성공적인 피싱 공격의 부정적인 영향을 제한할 수 있습니다.

체크 포인트로 소셜 엔지니어링 공격 방지

소셜 엔지니어링은 기업 사이버 보안에 심각한 위협이 됩니다. 소셜 엔지니어링의 역사, 진화 및 미래 eBook에서 소셜 엔지니어링 위협에 대해 자세히 알아보십시오.

체크 포인트 Harmony Email and Office 는 기업이 직면한 주요 소셜 엔지니어링 위협인 피싱에 대한 강력한 보호 기능을 제공합니다. 지금 무료 데모에 등록 하여 소셜 엔지니어링에 대한 조직의 노출을 관리하는 방법에 대해 자세히 알아보세요.

×
  피드백
본 웹 사이트에서는 기능과 분석 및 마케팅 목적으로 쿠키를 사용합니다. 웹 사이트를 계속 이용하면 쿠키 사용에 동의하시게 됩니다. 자세한 내용은 쿠키 공지를 읽어 주십시오.