(Social Engineering, Dumpster Diving Yoon Young by A.K.A Coderant No Tech Hacking (Social Engineering, Dumpster Diving and Shoulder Surfing) 2008. 12 Yoon Young by A.K.A Coderant
2. 전혀 새로운 해킹 영역 개척자 – Johnny Long - 구글 해킹의 저자, Non-IT 해킹의 위험 I hack Stuff 1. What is “No Tech Hacking”? 2007년 Defcon 15, “No Tech Hacking” 주제 발표 Think simply, be aware, travel eyes open, head up Dumpster diving, People watching, Shoulder Surfing 2. 전혀 새로운 해킹 영역 개척자 – Johnny Long - 구글 해킹의 저자, Non-IT 해킹의 위험 - 자선기부 사업가 http://johnny.ihackstuff.com
I hack Stuff 1. Dumpster Diving 휴지통에 버려지는 쓰레기에서 가치가 될 한 정보를 찾는 것 실제 사례
메모지에 네트워크 구성도 및 암호 패스워드를 발견 I hack Stuff 1시간 정도만 투자하면 해킹이나 내부로 침투하지 않아도 원하는 정보를 얻을 수 있다. (추적 불가능) 메모지에 네트워크 구성도 및 암호 패스워드를 발견 For Internal Use Only
I hack Stuff 해결책
I hack Stuff 2. Shoulder Surfing 아주 고전적인 No-tech hacking 방법
미육군 시스템 관리자 콘솔화면을 Shoulder Surfing 화면 I hack Stuff 실제 사례 미육군 시스템 관리자 콘솔화면을 Shoulder Surfing 화면
I hack Stuff 3. Electronic Deduction 일종의 footprinting 기법으로 컴퓨터 화면에 보이는 스크린 화면에 Task 바 메뉴 아이콘을 보고 컴퓨터 Owner의 다양한 형태의 정보 패턴을 수집하는 행위(일종의 사용자 Profiling 패턴수집) Define: “Preponderance of evidence”
I hack Stuff 4. 프리텍스팅(Pretexting) 5. 미끼(Baiting) 6. Tailgating 타인의 통화기록과 같은 사적인 정보를 회사 등이 본인을 사칭해 입수하는 것을 말함. 휴렛패커드가 자사 정보가 계속 언론에 유출되자 내부자 소행으로 보고 외부업체를 고용해 조사하면서 프리텍스팅 수법을 사용한 것으로 드러나면서 세간에 이슈가 됨. 5. 미끼(Baiting) 일종의 Trojan Horse 기법으로 Malware 를 숨긴 플로피디스크, CDROM, USB flash 메모리를 일부러 다른 사람이 발견하기 쉽게 미끼로 이용하여 개인 정보를 빼내는 기법 6. Tailgating 인가자의 출입시 뒤따라 들어가는 것
I hack Stuff 7. CC-TV 무력화 값싼 레이저 포인터를 이용하여 카메라 화면 녹화를 차단
I hack Stuff 8. 출입통제 무력화 키 패드형태의 출입통제 장치 우회는 적외선을 이용하여 사용자 지문에 남겨진 열을 감지하면 쉽게 패스워드 추출 가능
결론. 새로운 Social Engineering 위협 인식과 이를 컨설팅 비즈니스로 활용 방안 적극검토 I hack Stuff 결론. 새로운 Social Engineering 위협 인식과 이를 컨설팅 비즈니스로 활용 방안 적극검토 “Social engineering would never work against our company” Social engineering에 의한 다양한 고객정보 노출 위험성을 인식 내부통제, 개인정보 유출 방지를 하기 위해서는 IT 기술적 접근점 이외에도 Non-IT 적 접근방법도 필요하다. Countering Social Engineering Attack - Security Awareness Training