1577, 74/79 회원가입  로그인  
   idl0521
   http://
   사회공학[2](목표와 공격, 전화를 이용한 사회공학 공격)

http://www.hackerschool.org/HS_Boards/zboard.php?id=Free_Lectures&no=323 [복사]


-목표와 공격-
사회공학의 목표는 일반적인 크래킹과비슷하다고 할수 있습니다.
:시스템 또는 정보에 대해 허가 받지 않은 접속을 통하여 정보를 바꾸거나, 빼내거나, 장애를 일으키는 것
목표로는 전화통신 관련 회사, 유명 대기업의 자금 기관, 군대 및 정부 부서 그리고 마지막으로 병원등을 말할 수 있다.

실제 예시로 쓸 좋은 예의 사회공학 공격은 찾아보기 힘들다. 왜냐하면 목표로 설정되었던 단체들은 자신들이 피해를 입었다는 것을 인정하기 싫어하기 때문이다(당연히 자신의 보안이 뚫렸다고 밝히는 것은 매우 부끄러운 일일 뿐만 아니라, 그 단체의 이미지에 큰영향을 준다). 또한 이러한 공격들은 문서로 작성되거나 기록이 남지 않기 때문에 그것이 진짜로 사회공학적 공격인지는 알기가 힘들다.

그럼 왜 유명 기업 및 단체들이 사회공학 공격의 타겟이 되는지 살펴보면- 딱 까놓고 볼경우 일반적인 테크니컬한 해킹에 비해서 접속 허가권을 따내는 것이 쉽기 때문이다. 어떤 사람에게 물어보더라도 컴퓨터와 씨름하며 비밀번호를 알아내는 것보다는 전화로 직점 대놓고 물어보는 것이 더 간단하다고 할 것이기 때문이다. 그리고 대부분의 사회공학을 이용하는 해커들이 쓰는 것이 바로 이거다.

사회공학적 공격은 두가지의 방식으로 나누어 줄수 있을 것이다. 신체적인 것과 심리적인 것이다. 우선 신체적인 것들에 초점을 맞춰보면: 근무장소, 전화, 쓰레기통, 그리고 네트워크 상에서도 해커들은 매우 자연스럽게 정문으로 들어가서 마치 영화처럼 그 회사의 직원이나 감독하는 사람처럼 행동을 할 것이다. 그러고나선 이리저리 돌아다니면서 주위의 직원들의 비밀번호 몇개를 캐낸다. 쓰레기 줍듯 쉽게 알아낼 수 있을 것이다.

예로 지금 막 들어온 직원이 있다고 한다. 그 사람이 네트워크에 로그인을 하려고 할때 뒤에서 헛기침을 한번하고 자기소개를 대충 꾸며서한다. "직업환경 관리부에서나온 XXX 부장이라고 합니다." 하면서 "우리 회사는 대기업인 만큼 보안이 철저해야 하고 어쩌고 저저고.."한뒤 비밀번호를 칠때는 만약을 모르니 최대한 가림 상태에서 발리 입력하는 것이 좋다고 한다. 그러고나서는 시범을 보인다고 하면서 비밀번호를 아주 당연하다는 듯 물어본다. 그리고나서 그걸 쳐주는 시범을 하는 것이다. 해커라면 빨리치는 것은 간단하게 할 수 있을 것이다. 그런뒤 몇가지 담소를 나누뒤 자연스럽게 수고하라고 하면서 다른 곳으로 자리를 옮기면 된다.

아니면 이런 방법도 있다.. 그냥 뒤에서 비밀번호 치는 것을 그냥 보는 것이다. 믿기 어렵지만 이런 방법들이 아주 쉽게 먹힌다는 사실이다.(필자도 학교에서 선생님이 초기화면 비밀번호치는 것을 뒤에서 그냥 본적이 있다. 그 선생님은 보고도 아무 것도 못 느낀 듯 하였다.. 내가 아무리 컴퓨터 부장이라도 그렇지...)

이런 식으로 얻은 정보들을 갖고 해커들은 집에가서 자신이 필요한 권한을 얻는데 쓸 수 있을 것이다.


-전화를 이용한 사회공학적 공격-( 솔직히 말해 수준있는 장난전화가 맞는 말입니다... 물론 장난인지는 아무도 모르죠^^)

가장 많이 쓰이는 사회공학 공격 방법중 하나는 전화를 이용한 것이다. 한 해커는 전화를 걸어서 자신이 관리의 위치에 있는 사람처럼 사기를 쳐서 받는 사람으로 하여금 자연스레 정보를 전해주게 하는 것이다. 안내 데스크가 이러한 공격이 가장 잘먹힌다.해커들은 회사내에서 전화하는 듯이 사기를 쳐서 PBX또는 회사 교환원에게 거짓말을 한다.

예로 하나의 유명한 PBX트릭 방법이다.
해커 "Hi i'm your AT&T rep, I'm stuck in a poll i need you to punch a bunch of numbers for me"(여기 계신분들은 영어를 잘하실테니.. )

다른 좋은 방법도 더있다.
밤중에 전화를 한다: "have you been calling egypt for the last six hours?"
상대는     "no"     라고 할것이다.
그럼 해커는 "well we have a call that's actually active right now it's on your calling card and it's to egypt and as a matter of fact you've got about $2000worth of charges from somebody using your card. you're responsible for that $2000, you have to pay that"
상대는 무지하게 당황하고 자기는 아니라고 할것이다.이천달라는 큰돈이니
그때 해커는 "i'm putting my job on the line by getting rid of this $2000 charge for you. But you need to read off that AT&T card number and PIN and then i'll get rid of the charge for you"
모두 속는다.

안내데스크가 이런 공격에 취약한 이유는 그들은 안내 즉 도움을 주기 위해서 그곳에 있기 때문이다. 그들은 친절하게 대해주고 필요한 정보를 주도록 교육을 받았고 훈련이 되어있다.. 즉 사회공학을 이용하는 해커들에게는 노다지인 것이다. 또한 대부분의 안내데스크 직원들은 보안에 대해서는 아는 것이 거의 없고 월급도 조금 받기 때문에 그들은 생각을 안하고 빨리 정보를 제공해 준 다음 다음 전호를 받으려고 한다. 이것은 매우 큰 보안구멍이다.

안내 데스크를 이용하는 예중한나이다.
전화국을 이용하여서 여기 저기를 걸쳐서 안내 데스크와 연결한다.
"어쩌구 저쩌구 어떻게 도와드릴까요?"
해커 "오늘 수퍼바이져로 있는 사람이 누구이죠?"
안내원 "길동인데요"
해커"연결시켜 주실레요?"
연결된다.
해커 (이제 이름을 안다) "안녕 길동 별로 안좋은 하루지?"
길동 "아니, 왜?" (의심안한다)
해커 "너의 컴퓨터가 현재 다운되어있잖아"
길동 "아닌데.. 모든게 다 정상인데.."
해커 "아니야 로그아웃해봐"
길동"했어"
해커 "다시 로그인해봐"
길동 "했어"
해커 "아니야 넌 현재 다운되어 있어"
길동 "아닌데... 다시 해볼께...............지금은?"
해커 "전혀........... 아무래도 뭔가 이상이 있는 것 같아 내가 한번 알아봐야겠다 너 회사 아이디랑 비밀번호좀 불러줘봐 내가 알아봐서 연락 줄께"
길동 불러준다

-------------------------------------------------------------------------------

무지하게 힘드네요..
처음으로 직접 다 쓴 건데..
한글이랑 워드에다가도 저장을 해야 할 것같네요...
악플 달지 말아주세요...ㅜㅜ

출처
제머리, 백과사전, 영어사전, 외국문서(보안 관련 문서네요... 몇가지 좋은 사회공학적 예가 나와있네요..)

  Hit : 8003     Date : 2005/10/06 02:17



    
소유 너무 기네요.. 2005/10/06  
소유 문단을 더 자세히 나누어 주시면 읽기 편할것 같군요 2005/10/06  
골드 사회공학? 음... 2005/10/06  
idl0521 힘들어요ㅜㅜ 2005/10/06  
idl0521 다음 것은 덤스터 다이빙(진짜로 추한 방법), 온라인 사회공학 등에 대해서 쓰겠습니다. 2005/10/06  
ehdduq1 웃끼다 ㅎ_ㅎ 2005/11/09  
wkrkup 음.. 이렇게 알고보면 멍청한짓인대 .. 모른경우에는 난감이네 ㅋ 2006/03/18  
  사회공학[2](목표와 공격, 전화를 이용한 사회공학 공격)[7]     idl0521
10/06 8002
116   사회공학[3]덤스터 다이빙[8]     idl0521
10/06 8290
115   사회공학[4]온라인상에서의 사회공학[8]     idl0521
10/07 7813
114   사설네트워크의 주소[7]     kaca2100
10/20 6174
113   새로운 인터넷 보안법 VPN!![6]     6Moderato
09/06 8710
112   상속, 오버라이딩, 다중상속     tmdrbs9021
10/13 8304
111   셧다운 프로그램 (제가 만들었습니다 ㅋㅋㅋ)[9]     benkim
04/16 8022
110   소켓 프로그래밍[5]     소유
09/11 15444
109   소수 구하는 프로그램[2]     0226daniel
10/26 9059
108   소스코드를 올릴 때     solver
10/22 7066
107   소스값과 극한을 이용한 확률 lim x가 극한으로 가는 사건의 필연성     jjang2437
06/14 7400
106   서버관리시 중요한 kill 명령어[2]     rootguy
12/10 10307
105   서버용량이 부족할때 파일용량 큰 순위 100위 찾아서 파일로 만들기     rootguy
12/28 7729
104   서비스 거부 공격     Nuker
12/28 6060
103   서울 , 경기 지역에서 해킹 스터디 같이 하실분 모집합니다~[1]     loveaaav
03/24 7527
102   서울, 경기 해킹 스터디원 모집합니다.[5]     Angeldust12
11/19 8218
101   시작했습니다.[1]     dhuh
03/02 7017
100   시스템 해킹[2]     phan_tom0
12/02 9411
99   시스템 해킹 + 리버싱 공부 가이드[1]     libera826
12/25 6071
98   시스템 해킹 공부방법이 궁금합니다.[1]     39ghwjd
09/12 5588
[1]..[71][72][73] 74 [75][76][77][78][79]

Copyright 1999-2022 Zeroboard / skin by Hackerschool.org / Secure Patch by Hackerschool.org & Wowhacker.com