1. 사회공학기법 유형
| 분류 | 명칭 | 설명 |
| 인간 기반 (Human Based) |
직접 접근 | - 권력, 동정심, 가장으로 대상에 접근하여 정보 획득 |
| 도청/훔쳐보기 | - 도청 및 어깨넘어로 훔쳐보아 정보획득 | |
| 휴지통 뒤지기 | - 공격 대상과 관련된 문서들을 휴지통에서 수거하여 유용한 정보들을 수집 | |
| 프리텍스팅 (Pretexting) |
- 가장 많이 이용하는 공격 유형 중 하나 - 신분을 조작하거나 적당한 시나리오를 꾸며내 피해자가 스스로 가해자가 원하는 행동을 하게 만듦 |
|
| 테일 게이트, 피기배킹 (Taligating), (Piggybacking) |
- 제한된 구역에 대한 출입 권한이 없는 사람이 앞사람을 따라 진입하는 것 | |
| 쿼드 프로 쿼 (quid pro quo) |
- ‘무엇을 위한 무엇’이라는 뜻으로, 대상, 보상 또는 보복의 의미로 사용 - (…에 대한) 보상으로 주는 것 '네가 이걸 해주면 나는 저걸 줄게' 라는 식의 물건 혹은 서비스의 교환 |
|
| 컴퓨터 기반 (Computer Based) |
- 피싱 (Phishing) |
- 피싱 사이트를 통해 정보 획득 |
| - 파밍 (Pharming) |
- DNS를 속여 사용자가 진짜 사이트로 오인하도록 유도하여 정보 획득 | |
| - 스미싱 (Smishing) |
- 악성 URL이나 앱이 포함된 문자를 보내 설치 및 클릭 유도 | |
| - 악성 소프트웨어 (Malware) |
- 메일, 감염된 프로그램 등을 전송하여 악성 소프트웨어 설치 유도 | |
| - 포렌식 (Forensic) |
- 대상의 PC, 노트북 등 분석 | |
| 물리적 수법 | - 베이팅 (Baiting) |
- 피해자를 특정해 놓지 않고 누군가는 걸리라는 방식 - 해킹 수법이라는 생각이 들지 않는 방법으로 미끼를 여기저기 뿌리는 방식 |
2. 사회공학기법 대응
| 구분 | 설명 |
| 조직적 | - 주기적 보안 교육 |
| 기술적 | - 보안솔루션 적용(DLP, DRM 등) - 접근제어(MAC,DAC,RBAC,NAC) - 2 Factor 인증 |
'취약점 > Social Engineering' 카테고리의 다른 글
| Browser in the Browser (BitB) (0) | 2023.04.20 |
|---|---|
| 랜섬웨어 그룹 사칭 피싱메일 (0) | 2023.04.03 |
| 심 스와핑 (SIM Swapping) (0) | 2023.02.21 |
| BEC 공격과 EAC 공격 (0) | 2023.02.04 |
| 사회공학기법 #1 개요 (0) | 2022.08.24 |