정보 수집은 몇 년 전 목표물로부터 직접 또는 주변에 묻는 것만으로 대상에 대한 세부 정보 만 얻을 때 예전처럼 어려운 일이 아닙니다. 인터넷,더 구체적으로 소셜 미디어의 사용은 더 새롭고 빠른 데이터 수집 기술로이 단계를 단순화했습니다. 데이터 수집 과정에서 데이터의 어떤 부분도 관련이 없다고 합니다. 타겟이 가장 좋아하는 조인트와 같은 작은 정보만으로도 소셜 엔지니어가 타겟을 특정 방식으로 행동하도록 설득하는 데 성공할 수 있습니다. 사회 엔지니어가 어떤 종류의 정보를 찾아야하는지 아는 것이 중요합니다. 정보 과부하가 있으며 많은 관련없는 정보가 수집 될 수 있습니다. 이 유형의 정보를 찾을 수있는 출처를 아는 것도 좋습니다. 정보 수집은 기술적 방법과 비기술적 방법의 두 가지 범주에서 이루어질 수 있다. 이름에서 알 수 있듯이 기술적 방법은 정보를 수집하는 컴퓨터 지원 기술에 의존합니다. 그러나 특정 도구 또는 전자 장비가 대상에 대한 충분한 정보를 얻을 것이라는 보장은 없습니다. 따라서 다음 도구와 장치를 혼합하여 대상에 대한 정보를 수집하는 데 사용할 수 있습니다. 사회 엔지니어는 여러 정보 수집 도구/기술을 사용하고 목표에 대한 프로필을 구축하기 위해 얻은 정보를 병합합니다.

기술 정보 수집 방법

오늘날 사회 공학 공격 중에 정보 수집을 위해 의도적으로 많은 도구가 개발되고 있습니다. 틀림없이 이것에 대한 가장 성공적인 도구는 칼리 라는 리눅스 배포판 입니다. 대상에 대한 정보를 수집하도록 특별히 설계된 300 개 이상의 도구 모음이 포함되어 있습니다. 300 에서 데이터를 수집하지 않지만 저장 및 검색에 도움이된다는 점에서 목록에서 눈에 띄는 가장 인기있는 두 가지 도구로 범위를 좁힐 수 있습니다. 다음과 같습니다.

www.kali.org 당신은 칼리 리눅스를 다운로드하고 다음과 같은 도구를 사용할 수 있습니다 웹 사이트:

아 alt 제공하는 텍스트 이미지

바구니가 무료 open-source Linux 프로그램을 작동하는 더 고급 데이터 저장 도움이 소셜 엔지니어에서 데이터 수집 과정입니다. 그것은 메모장의 익숙한 모양을 가지고 있지만,기능을 많이 함께 제공됩니다. 소셜 엔지니어가 특정 대상에 대해 수집하는 텍스트 및 그래픽 정보의 저장소 역할을합니다. 그것은 사회 공학 공격 중에 간단하거나 불필요한 나타날 수 있지만,실제로 마이크로 소프트 워드와 같은 워드 프로세서에서 복제하기 어려운 목적을 제공합니다. 바구니는 탭 모양의 레이아웃을 사용하여 소셜 엔지니어가 대상에 대한 각 유형의 정보를 읽기 쉽거나 검색하기 쉬운 방식으로 배치 할 수 있도록합니다. 예를 들어,사진은 한 탭에,다른 탭에 연락처 정보,세 번째 탭에 소셜 미디어 정보,별도의 탭에 물리적 위치 세부 정보가있을 수 있습니다. 그들은 더 많은 정보를 건너 때마다 사회 엔지니어는 이러한 탭을 계속 업데이트됩니다. 모든 정보를 함께 압축하여 더 휴대 가능하고,접근 가능하며,공유할 수 있게 합니다.

드라디스

드라디스(https://dradisframework.com/ce/)는 정보의 저장에 사용되는 무료 오픈 소스 리눅스,윈도우 및 마 코스 응용 프로그램입니다. 그것은 모양과 같은 바구니의 메모장을 가지고 더 고급 모양을 가지고있다. 드라 디스는 또한 중앙 집중식 저장소 역할을하며 웹 기반 사용자 인터페이스를 사용하여 사용자가 상호 작용할 수 있다는 점에서 그 기능이 더욱 발전했습니다. 대신 탭(예:바구니 등)의,드라 디스는 사용자가 함께 정보의 다른 유형을 추가 할 수 있도록 분기를 사용합니다. 드라 디스는 그렇지 않으면 바구니에 문제가 될 엄청난 양의 데이터를 처리 할 수 있습니다. 따라서 대상별로 정렬해야 할 많은 정보가 있을 때 일반적으로 사용됩니다.

두 가지 주요 데이터 저장 도구를 사용하여 수행 한 지금 사회 엔지니어가 정보를 수집하는 방법을 살펴 볼 때입니다. 다음은 이에 대한 논의입니다:

웹 사이트

대상에 대한 정보가 포함된 하이브 중 하나는 기업 및 개인 웹 사이트입니다. 기업 웹 사이트에는 직원 및 고객에 대한 정보가 포함될 수 있습니다. 반면에 개인 웹 사이트에는 순전히 개인에 대한 정보가 포함되어 있습니다. 주변에 충분히 파고와 함께,웹 사이트는 많은 정보를 공개 할 수 있습니다. 개인 웹 사이트는 작업,물리적 위치,연락처 정보 및 암호 프로파일링에 사용될 수있는 일부 특수 단어 측면에서 개인의 참여를 알 수 있습니다.

마지막 요점과 관련하여 친숙 함을 위해 사람들은 생년월일,파트너의 이름,애완 동물의 이름 또는 자신의 이름과 같이 익숙한 일부 구 또는 단어를 포함하는 경향이 있습니다. 그들의 직원의 전기를 제공하 법인 웹사이트는,특별하게 고위 그들 및 그들의 일 교신 정보. 악의적인 이메일 첨부 파일을 사용하여 조직을 타겟팅하려는 경우 회사 웹 사이트에 제공된 이메일 주소로 전송하면 조직 내부에 직접 페이로드를 전달할 가능성이 높아집니다.

검색 엔진

인터넷은 결코 잊을 수 없다고합니다. 당신이 뭔가를 알고 싶은 경우에,물어 올바른 방법을 아는 것은 당신에게 당신이 원하는 거의 모든 정보를 얻을 수 있습니다. 구글,지배적인 검색 엔진,인터넷에서 대상에 대 한 정보를 발굴 하는 데 사용 되는 사회 엔지니어에 대 한 핵심 도구입니다. 우리는 사회 엔지니어가 구글을 사용하여 대상에 대한 정보를 사냥하는 데 사용하는 검색 문구의 일부를 통해 갈 것입니다:

  1. 회사 사이트와 같은 특정 도메인 내에서 대상 정보를 검색하려면 다음 쿼리를 사용할 수 있습니다:
Site: www.websitename.com "John Doe"

신원 미상에 대해 아무것도 웹 사이트에 포함 된 경우,구글은 쿼리의 검색 결과에 색인을 생성합니다.

  1. 구글에 의해 색인이 생성 된 웹 사이트의 제목에서 대상의 정보를 검색하려면 다음 쿼리가 사용됩니다
Intitle:John Doe

이 두 단어 사이의 간격은 존이 있고 단어 미상을 포함하는 텍스트 뒤에 제목을 검색하기 위해 구글을 지시 것을 이해하는 것이 중요합니다. 이 여러 웹 사이트의 제목에 포함 된 대상의 정보를 캡처하기 때문에 이것은 매우 유용한 쿼리입니다. 이 쿼리는 종종 일부 페이지에서 사람의 이름을 제목으로 사용하기 때문에 회사 사이트에서 소셜 미디어 플랫폼으로 정보를 제공합니다.

  1. 웹 사이트의 웹 사이트에서 대상의 정보를 검색하려면 다음 쿼리를 구글에 제공 할 수 있습니다:
Inurl:john doe

많은 조직에서 검색 엔진 최적화 목적을 위해 웹 제목에 단어를 사용 하는 것이 일반적입니다. 이 쿼리는 구글에서 색인을 생성 한 사람의 이름을 식별합니다. 이 쿼리는 앞에서 설명한 것과 비슷한 방식으로 검색됩니다. 소셜 엔지니어가 모든 대상 이름을 검색하려는 경우 다음 쿼리를 사용할 수 있습니다:

Allinurl:John Doe

이 쿼리는 검색 결과를 존과 도라는 이름이 모두 포함된 검색 결과로 제한합니다.

  1. 보다 더 많은 경우에,대상은 작업 보드를 사용하여 작업에 적용 할 것이다. 일부 작업 보드는 자신의 웹 사이트에 대상의 이력서 유지. 또한 일부 조직은 구직자의 이력서를 자신의 사이트에 보관합니다. 이력서에는 사람에 대한 매우 민감한 세부 정보가 포함되어 있습니다. 그것은 사람의 실제 이름,실제 전화 번호,실제 이메일 주소,학력 및 작업 기록이 포함되어 있습니다. 그것은 사회 공학 공격에 매우 유용한 풍부한 정보를 가지고 있습니다. 소셜 엔지니어는 대상의 개인 정보를 검색하기 위해 다음 쿼리를 사용할 수 있습니다:
"John Doe" intitle:"curriculum vitae" "phone" "address" "email"

그것은 교육 과정 이력서,전화 번호,이메일,우편 주소 등의 정보와 제목이 신원 미상에 대한 자세한 내용은 전체 인터넷을 샅 샅히 뒤져 것입니다 매우 강력한 쿼리입니다.

  1. 다음 쿼리는 특정 사람에 대한 정보가 아니라 조직에 대한 정보를 수집하는 데 사용됩니다. 이 웹 사이트에 게시 될 수있는 조직 내에서 정보의 기밀 릴리스를 대상으로:
intitle:"not for distribution" "confidential" site:websitename.com

쿼리는 제목이 아닌 배포 또는 웹 사이트에서 기밀로 게시 아무것도 검색합니다. 이 검색은 조직의 일부 직원이 인식하지 못할 수도 있는 정보를 발굴할 수 있습니다. 소셜 엔지니어가 조직의 내부 문제에 대한 정보를 특정 대상에 표시하려고 할 때 소셜 엔지니어링 공격에서 매우 유용한 쿼리입니다.

  1. 보호 구역에 들어가기 위해 일반적으로 사용되는 구실 중 하나는 회사가 긴급하게 연락 한 네트워크 수리 담당자의 구실입니다. 경비원은 그러한 사람을 들여 보낼 준비가 될 것이며 경보를 울리지 않고 다른 직원들 가운데서 공격을 수행 할 수있을 것입니다. 이러한 구실을 할 수 있으려면 사회 엔지니어가 조직의 내부 네트워크 또는 인프라에 대해 잘 알고 있어야합니다. 다음은 소셜 엔지니어에게 이 정보를 제공할 수 있는 검색 쿼리 그룹입니다:
Intitle:"Network Vulnerability Assessment Report"Intitle:"Host Vulnerability summary report"

이 정보는 또한 대상 네트워크 또는 네트워크에 연결된 호스트에서 악용 될 수있는 약점을 나타 내기 때문에 공격의 특정 부분에서도 사용할 수 있습니다.

  1. 조직 네트워크에서 사용자가 사용하는 암호를 검색하려면 이러한 암호의 백업이 검색을 시작하는 데 유용한 장소가 될 수 있습니다. 따라서 다음 쿼리가 유용할 수 있습니다:
Site:websitename.com filetype:SQL ("password values" || "passwd" || "old passwords" || "passwords" "user password")

이 쿼리는 이름 암호 값,암호,이전 암호,암호 또는 사용자 암호가 있는 웹 사이트 도메인에 저장된 파일을 찾습니다. 이러한 파일은 사용자의 현재 암호가 없더라도 공격자에게 사용자의 현재 암호를 프로파일링할 수 있는 충분한 정보를 제공할 수 있습니다. 예를 들어 직원의 이전 이메일 비밀번호가 새 비밀번호로 변경될 가능성이 높습니다.

구글과 다른 검색 엔진에서 사용할 수있는 다른 많은 데이터 사냥 쿼리가 있습니다. 논의 된 것들은 가장 일반적으로 사용되는 것입니다. 주의의 낱말은 인터넷이 결코 잊지 않으며 몇몇 정보가 삭제될 때라도,웹사이트에 캐시된 파일을 저장하는 다른 위치가 있다 이다. 따라서 조직이 민감한 정보를 공개적으로 게시하지 않는 것이 가장 좋습니다.

파이프라인

대상에 대한 정보를 수집하기 위해 일반적으로 사용되는 또 다른 도구는 파이프라인(https://pipl.com)입니다. 개인 정보 보호 정책:개인 정보 보호 정책:개인 정보 보호 정책:개인 정보 보호 정책:개인 정보 보호 정책:개인 정보 보호 정책:개인 정보 보호 정책:개인 정보 보호 정책 사람의 실제 이름,이메일 주소,전화 번호,실제 주소 및 소셜 미디어 계정과 같은 정보를 저장합니다. 이 외에도 형제 자매 및 부모로 시작하는 사람의 친척에 대한 정보를 수집 할 수있는 유료 옵션을 제공합니다. 그것은 아주 작은 노력으로 이후 사회 엔지니어에 대 한 금광,그들은 그들의 목표에 대 한 정보의 톤에 액세스할 수 있습니다. 우리가 많은 결과를 가질 수있다 일반적으로 사용되는 신원 미상의 대신 실제 예를 보자. 우리가 같은 에르 달 오즈 카야로 드문 하나를 사용하자:

이 이미지에 대한 대체 텍스트가 제공되지 않음

이 사이트 인덱스 우리가 검색 한 이름에 대한 결과의 수는,우리가 첫 번째 결과를 살펴 보자. 호주 시드니에서 온 40 세 남성 에르달 오즈카야입니다. 이 사이트는 우리에게 중요한 기록을 찾을 수있는 스폰서 링크를 제공합니다,연락처,사용자 이름 보고서. 우리가 가서 이름을 클릭하고 사이트가 무료로 사용할 수 있습니다 에르 달 오즈 카야에 대해 무엇을 보자:

이 이미지에 대한 대체 텍스트가 제공되지 않음

이 사이트는이 이름에 대한 자세한 정보를 가져올 수 있습니다. 우리는 지금 그가(이 경우 나)마이크로 소프트에서 사이버 보안 설계자로 일하고 있다는 것을 알고,그는 사이버 보안 박사 학위를 가지고 있으며,찰스 스터 트 대학에서 보안 석사 학위와 그는 관련 또는 어떤 사람들과 관련이있다,이는 내가 개인 정보 보호를 위해 밖으로 흐리게,누가 그의 부모와 형제 자매 수 있습니다. 낯선 사람으로부터,우리는 이제 그에 대해 많이 알고 있으며 그에 대해 더 많이 수집하는 데 사용할 수있는 정보를 가지고 있습니다.

여기에서,우리가 이전에 논의 된 특별한 구글 쿼리를 사용하여 더 많은 정보를 사냥하기 쉽다. 당신은 더 많은 연락처 정보가 포함됩니다 자신의 이력서를 찾기 위해 앞서 갈 수 있습니다.

이 예에서 우리는 표적에 대한 정보를 찾기 위해 피플의 기능 중 일부를 탐구했습니다. 누구나 사용할 수 같은 사이트,그것은 개인 정보 보호는 환상 보다 더 아무것도 분명 하다. 이와 같은 사이트는 소셜 미디어 플랫폼,기업 웹 사이트,제 3 자가 판매 한 데이터,해커가 발표 한 데이터,다른 웹 사이트에서 도난당한 데이터 및 정부 기관이 보유한 데이터까지 정보를 얻습니다. 이 특정 사이트는 대상에 대한 범죄 기록을 얻을 수 있습니다,이는 일부 중죄 기록에 액세스 할 수 있습니다 의미. 걱정되는 것은 이러한 사이트가 불법이 아니며 오랫동안 사람들에 대한 데이터를 계속 추가 할 것입니다. 사회 엔지니어에게는 좋은 소식이지만 다른 사람에게는 나쁜 소식이 될 수 있습니다. 사이트 소유자는 포함 된 데이터를 제거하도록 강요 할 수 없으므로 데이터가 도착하면 숨길 수있는 방법이 없습니다. 이 사이트는 더 많은 정보와 강한 얻을 수 있습니다.

후이즈.인터넷

여전히 정보를 보관하는 사이트에 있습니다.Whois.net 또 다른 하나는 파이프와 거의 같은 목적을 수행하는 것입니다. Whois.net 정보를 검색하는 대상의 이메일 주소,전화 번호 및 아이피 주소와 같은 정보를 나열합니다. Whois.net 또한 도메인에 대한 정보에 액세스 할 수 있습니다. 타겟이 개인 웹사이트를 가지고 있다면,Whois.net 도메인 이름의 등록자 및 등록 기관,등록 및 만료 날짜 및 사이트 소유자의 연락처 정보에 대한 세부 정보를 찾을 수 있습니다. 파이플과 마찬가지로 여기에서 얻은 정보를 사용하여 대상에 대한 자세한 정보를 얻을 수 있으므로 성공적인 공격을 시작할 수 있습니다.

소셜 미디어

지금까지 수십억 명의 사람들이 소셜 미디어를 받아 들였습니다. 이러한 플랫폼을 사용하여 사회 엔지니어는 대부분의 목표에 대한 수많은 정보를 찾을 수 있습니다. 대부분의 대상은 페이스 북,트위터,인스 타 그램,또는 링크드 인 계정이있을 것이다.. 소셜 미디어의 아름다움은 사용자가 인터넷에서 자신의 삶의 개인 정보를 공유하도록 장려한다는 것입니다. 소셜 미디어 사용자는 편리하게 부주의하고 결과에 대해 생각하지 않고 전 세계에 정보도 민감한 조각을주고 결국. 그것은 소셜 미디어가 문제를 합성보다 더 아무것도하지 않고있다 이러한 진술에서 분명하다. 그것은 사회 엔지니어가 의심을 불러 일으키지 않고 목표에 대한 세부 사항을 낚시질 할 수있는 풍부한 정보 풀을 만들고 있습니다.

다음은 많은 정보를 공개적으로 제공하는 페이스 북의 스크린 샷입니다 a:

이 이미지에 대한 대체 텍스트가 제공되지 않음

여러 소셜 미디어 플랫폼에서 검색의 몇 분 이내에,사회 엔지니어는 대상의 취미를 수집 할 수 있습니다,작업 장소,좋아하는 것과 싫어하는,친척,더 많은 개인 정보. 소셜 미디어 사용자는 휴일을 위해 떨어져 있다는 것을 자랑 할 준비가되어 있습니다,그들은 특정 장소에서 작동,그들은 자신의 직장에서 특정 작업을 수행,새 차,그들은 그들의 아이를 취할 수있는 학교. 그들은 이러한 소셜 미디어 사이트에 자신의 작업 배지를 보여주는 무서워하지 않습니다,사회 엔지니어 복제 및 조직에 들어갈 사용할 수있는 배지. 소셜 미디어 사용자는 친구가 또는 그들이 취미와 관심사를 일치 제공 낯선 사람을 따를 것이다. 이 사이트는 사람들이 인터넷에서 낯선 사람에게 개방하도록 설계 되었기 때문에 잠재적 인 목표를 불이익을주는 미친 세상입니다. 전통적으로 대면 대화를 위해 저장된 정보는 이제 세계가 볼 수 있도록 공개되고 있습니다. 나쁜 점은 잘 동기 부여 된 사람들이 모두 그것에 접근하고 있다는 것입니다.

이 정보는 소셜 엔지니어가 대상을 프로파일링하는 데 사용할 수 있습니다. 이 정보는 타겟이 어떤 행동을 취하거나 어떤 정보를 누설하도록 설득 할 때 유용 할 수 있습니다. 우리가 사회 엔지니어이며,우리가 그들의 장비를 손상하는 방법을 배울 수 있도록 미국 군사 계약자로부터 일급 비밀 설계 및 사양을 얻고 싶은 가상의 예를 보자. 우리는 링크드 인과 같은 소셜 미디어 플랫폼으로 가서 그 회사의 이름을 검색하여 시작할 수 있습니다. 이 회사는 링크드 인에있는 경우,우리는 회사 프로필과 그들이 거기 작동 링크드 인에 나와있는 사람들의 목록이 표시됩니다. 다음으로,우리는 연구 및 디자인 부서 또는 마케팅 부서에서 일하는 직원을 식별합니다. 우리는 그들이 우리가 찾고 있는 은밀한 정보를 누설할 수 있는 위치안에 그들을 두기안에 우리들을 돕 이 표적에 관하여 정보를 얻기에 그때 집중한다. 우리는 취미를 찾기 위해 직원의 페이스 북 프로필을 검색하여 시작,interests,및 기타 개인 정보. 우리는 인스 타 그램으로 진행하고 사진 직원이 게시물의 유형을 살펴.. 우리는 우리가 그의 이름으로 모든 소셜 미디어 계정에 얻을 수있는 정보를 연결,대상을 위치 정보를 시작합니다. 우리는 우리가 그의 실제 주소와 그가 시간을 보내고 좋아하는 장소를 찾을 지점에 도착. 우리는 그 시점에서 그를 접근 하 고 마음 트릭과 설득 장에서 배운 전술 중 하나를 사용 하 여 그의 컴퓨터에 악성 코드 로드 된 드라이브를 삽입 하는 그를 얻을. 거기에서,악성 코드는 우리를 위해 우리가 원하는 정보를 수확 시작합니다. 그것은 그렇게 쉽습니다.

다음은 링크드 인에서 자신에 대한 몇 가지 공개 정보입니다:

이 이미지에 대한 대체 텍스트가 제공되지 않음

조직은 비슷한 방식으로 타겟팅되고 있습니다. 2017 년 초,10,000 명의 미국 직원이 소셜 미디어 게시물과 메시지에 악성 코드를 심은 러시아 해커들에 의해 소셜 미디어를 사용하여 스피어 피싱을했습니다. 2017 년 중반,미아 애쉬라는 이름의 소녀의 가짜 인물이 만들어졌고 조직의 광범위한 권리를 가진 남성 직원을 대상으로 네트워킹 회사를 공격하는 데 사용되었습니다. 이 공격은 조직이 맬웨어로부터 자신을 보호 할 수있는 강력한 제어 기능을 갖추고 있었기 때문에 좌절되었습니다. 남성 직원은 이미 소녀의 가짜 페이스 북 계정을 사용하여 착수 한 사기꾼에 빠져 had

2016 년 8 월,소셜 미디어에서 특정 은행을 따랐던 고객을 대상으로 한 대규모 금융 사기가 발견되었습니다. 그것은 공격자가 은행의 소셜 미디어 계정을 제어 할 만 돈을 잃고 결국 추종자들에게 사기 제안을 보낼 수 있었다 것으로 생각된다. 일어난 많은 다른 소셜 미디어 중재 사회 공학 공격이 있습니다. 비난 할 것은 소셜 미디어에 대한 개인 정보의 빠른 가용성입니다.

상위 10 최악의 소셜 미디어 사이버 공격,에스 울프에 의해,정보 보안 잡지,2017 에서 사용할 수https://www.infosecurity-magazine.com/blogs/top-10-worst-social-media-cyber/. .

이 이미지에 대한 대체 텍스트가 제공되지 않음

이 문서는 내 학습 사회 공학 책에서 촬영되었습니다. 사회 공학에 대한 자세한 내용은 내 수상 경력을 읽을 수 있습니다 사회 공학 책을 알아보기

당신은

아마존을 통해 얻을 수 있습니다: https://www.amazon.com/Learn-Social-Engineering-internationally-renowned-ebook/dp/B079HYPC27

팩트: https://www.packtpub.com/networking-and-servers/learn-social-engineering

구글: https://play.google.com/store/books/details/Erdal_Ozkaya_Learn_Social_Engineering?id=e_RZDwAAQBAJ

오라일리: https://www.oreilly.com/library/view/learn-social-engineering/9781788837927/

당신은 또한 내 다른 책을 얻을 수 있습니다:)사회 공학에 더 많은 지식이 필요하지 않다고 생각한다면

이 이미지에 제공된 대체 텍스트가 없습니다