Subject
Socail Engineering
응?사회공학?사회 연구법 중 하나인가
- 처음 들었을때 들었던 생각은 위와 같았다.
사회 문화를 선택 과목으로 공부했던 나로선
무의식중에 졸업하고 나서 교육과정이 또 많이 바뀌어서
사회 연구법이 추가되었으려나 정도의 추측뿐
해킹 방법
-
해킹 용어 중 하나 입니다.
-
Interactive Trust 를 기반으로, 특히 "사람" 관계성의 취약점을 노린 기법입니다.
-
신뢰를 기반으로 이루어진 공격입니다.
- 이를 원천적으로 막는게 ZEROTRUST!
"신뢰하지 말고 항상 검증하라"
- 이를 원천적으로 막는게 ZEROTRUST!
-
참고로 ZEROTRUST 특징에 아래와 같은게 있습니다
- 다중 요소 인증(MFA)
- 최소 권한 원칙
- 지속적인 인증
- 행동 분석
- 세분화된 네트워크 분리
- 교육과 인식 제고
Process
사회 공학 기법의 해킹 종류에는 이미 듣고 겪어본(?) 많은 해킹이 있다.
총 5단계
Information Gathering
- 설명
- 정보 수집 ( 다음 단계인 관계 형성을 위한 첫번째 단계 )
방식 (주로 물리적인 수단)
- 쓰레기를 뒤지거나?
- 어깨너머로 보거나/배우거나
- 설문 조사 등...
그 외에는
- 포렌식 Forensic(시스템 분석)
- Internet 등이 있습니다
Developing Relatioship
- 설명
- Human Based or Computer Based
- 적절한 수단을 활용해서 접근합니다.
- Masquerade (가상의 자격/지위/인물)이 발생한다고 합니다.
방식
지위(?)적으로 중요한 인물
도움(?)이 필요한 인물
지원을 해주는 인물
그 외에는
- Reverse socal Engineering 이 있겠습니다
역방향 사회 공학 공격에서 해커는 일반적으로 대상이 자신에게 접근하도록 합니다.- 소셜 엔지니어링이 malware가 있는것처럼 시작은 비슷합니다.
- 다만 Target(피해자)가 도움을 청해야 할 입장됩니다. 즉 해커가 도움을 줄 수있는 입장이 됩니다.
- 해커는 도움을 핑계로 비용을 요구하거나, 계정 탈취, 데이터 탈취를 합니다.
Exploit
- 설명
- Target이 의심이 사라졌을 때 공격을 시도
- 충분한 신뢰감을 형성했을 때.
방식
- 감정에 호소하거나
- 사소한 요청에서 큰요청으로 발전하거나
- 의견 대립을 회피하거나
- 신속한 결정을 내리게 합니다.
Execution
- 설명
- 실제로 피해가 발생하는 단계
- 해커는 유형/무형 자산을 획득
방식
- 책임 회피 하거나
- 인간의 보상 심리를 이용하거나
- 도덕적 의무감을 지게 하거나
- 사소한 문제로 취급합니다
사회공학적 attack 영향력
- 생각보다 피해량이 꽤 큽니다.
주변에 스미싱 당하셨다는 얘기 종종 들리잖아요?
SLASHNEXT
- 2017년 설립된 신생회사, 주로 phising Defense 서비스를 제공함.
- 매해 The-state-of-phising-report 를 발행함
- 보안 프로젝트 기획을 준비 하며 참조한 자료들 입니다.
- 현재 2024년 보고서도 발행된 것을 보이나 일단 2023년 리포트를 분석했습니다.
The state of phising 2023 리포트에 따르면
2022년 openai의 발생, 2023년 생산형 ai이 대두와 더불어
phising 공격 또한 고도화 되어왔습니다.
특히 2022년 11월 chat GPT가 출시된 이후 phising 메시지는
4151% 증가했습니다.
더욱 정교화된 비즈니스 전자메일 침해 (BEC) 공격은 더욱 악성화 되었습니다,
특히 보안이 취약한 SNS 채널
(email, 모바일등)로 공격하는
Malicious phiging emails의 공격은
2022년 4사분기에서 2023년 3사분기까지 총 1265% 증가했습니다.
매일 31000개의 phising 공격을 받고있다고 추산됩니다. 특히, 전체 메일중 68%가 텍스트기반 BEC (비즈니스 전자메일 침해 ) 유형입니다
FBI - IC3
FBI IC3 보고서(2023) 에 따르면
첫번째 큰 경제적 손실 유형은, 투자 사기로 , 손실액은 2022년 33억 1천만 달러에서 2023년 45억 7천만 달러로 증가해 38%의 상승률을 보였습니다.
두 번째로 큰 경제적 손실을 초래한 범죄 유형은 비즈니스 이메일 침해(BEC)로, 21,489건의 신고가 접수되어 총 29억 달러의 손실이 보고되었습니다`
- 여기서 IC3는 Internet Crime Complaint Center로 FBI가 운영하는 사이버 범죄센터 입니다
- 30~49세 사이가 투자 사기를 많이 당하네요? 노인분들은 기술지원 사기를 잘 당하시구요.
비교
Ransomware, Scam, SpearPhising, BEC
- 저희 보안 솔루션은 SpearPhising에 특화된 모의 피싱메일 훈련솔루션인데, 각 사회적 공학 공격 특징이 겹치는 듯 보여서 비교하게 되었습니다.
Scam:
- 주로 금전적 이득 때로는 개인정보 탈취
- 가장 광범위한 개념으로, 다양한 형태와 방법을 포함
- spearphing, BEC 도 Scam의 일종
- 다양한 channel로 불특정 다수/그룹을 노립니다
스피어피싱:
- 정보 탈취, 시스템 접근, 때로는 금전적 이득
- 대상에 대한 상세한 정보를 활용하여 신뢰성 있는 이메일이나 메시지를 보냅니다.
- 소규모부터 대규모까지 다양할 수 있습니다.
- 개인의 관심사, 업무 등을 활용한 맞춤형 내용을 사용합니다.
- 직원 교육, 이메일 필터링, 다중 인증 으로 예방
BEC:
- 금전적 이득
- 기업 임원의 이메일 계정을 해킹하거나 유사한 도메인을 사용하여 위조된 이메일을 보냅니다.
- 주로 대규모 금액을 노리는 경우가 많습니다.
- 기업 문화, 내부 프로세스, 비즈니스 관계 등을 활용합니다.
- 직원 교육, 이메일 필터링, 다중 인증, 자금 이체 프로토콜, 이메일 인증 시스템
Ransomware:
- 금전 갈취
- 데이터 암호화해서 복호화 대가성 금전 요구
- 악성소프트웨어나 데이터 암호화 시키는 방법.
- 개인 ,기업등 다양하게 노리며 협박성이 짙습니다.
내부자 유출도 사회공학적인(?) 이슈가 아닐까요?
좀 찾아봤습니다
- 일반인이 보안을 신경안쓰는이유?
" 귀차느니까?...."
한국은 역시 전쟁 국가!
- APJ 에서 한국이 탱커 1위를 차지하고 있는게 보이는데, 막상 대가지불은 안하는..?
😂 대한민국은 APJ의 랜섬웨어 공격 성공률은 72%로 아태지역에서 가장 높지만, 위협 공격자가 빈손으로 돌아가는 경우가 더 많습니다.
2023년 대한민국 조직 중 42%만이 대가를 지불했습니다(전 세계 평균 54% 대비).
Ref
- 2023_IC3Report.pdf
- splunk- wineloader
- [Prrofpoint] 24 State of the Phish: APJ
🏠TECH & GOSSIP