암호는 사이버 보안의 핵심입니다
Stewart의 최고 정보 보안 책임자인 Genady Vishnevetsky는 사이버 보안 전문가입니다. 이 블로그 시리즈에서 그는 소비자와 부동산 전문가가 거래(및 자신의 개인 정보)를 안전하게 유지할 수 있는 방법에 대해 공유합니다. 이 시리즈의 첫 번째와 두 번째 부분에서 지나디는 해커가 공격을 시작하는 방법과 사용하는 기법에 대한 예를 공유했습니다. 아래에서 그의 지속적인 통찰력을 읽으십시오.
사이버 보안 시리즈
파트 3: 암호 보안
처음 두 부분에서는 해커가 피싱 공격에 사용하는 기본 전술과 기술을 다루었지만 암호 위생의 중요성을 충분히 강조할 수는 없습니다. 현대 세계의 현실은 영향을 받은 대부분의 보안 사고와 침해가 공개되지 않는다는 것입니다. 따라서 여러 서비스와 동일한 또는 가까운 암호 변형을 사용하는 경우, 결국 다크 웹에서 새어나가고 판매될 것입니다. 귀하는 (불필요한) 위험에 처하게 됩니다. 비밀번호를 안전하게 보관하는 방법은 다음과 같습니다.
암호 관리자
복잡한 암호를 찾기는 어려울 수 있습니다. 암호 관리자는 이 지루한 작업에 대해 신뢰할 수 있고 도움이 됩니다. 비교적 저렴하며 사용하는 모든 웹사이트/서비스에 대해 고유한 암호를 사용하도록 보장합니다.
다단계 인증
암호와 정보를 안전하게 보관하는 두 번째로 중요한 항목은 다중 인증(MFA)입니다. 이는 귀하가 알고 있는 것(즉, 사용자 이름 및 암호) 및 귀하가 가지고 있는 것(즉, 키폽, 휴대폰) 및/또는 귀하가 가지고 있는 것(즉, 생체 인식 - 손가락 또는 망막 스캔)입니다. 많은 서비스에서 MFA를 설정하도록 요청하지 않습니다. 계정을 등록하고 휴대폰 번호를 입력하면 로그인할 때마다 휴대폰으로 코드를 전송합니다. MFA의 가장 약한 유형일지라도, 공격자가 귀하만이 가지고 있는 해당 코드를 필요로 하기 때문에, 텍스트 코드 검증은 계정 자격 증명이 도난당하거나 침해당하는 경우에 대비하여 여전히 보호 수준을 제공합니다.
인증자 앱
다음으로 권장되는 MFA 수준은 전화기에 설치하는 애플리케이션입니다. Google과 Microsoft 모두 앱 버전을 가지고 있습니다. 시중에서 가장 인기 있는 벤더에 구애받지 않는 앱은 Authy입니다. 이 모든 앱은 문자보다 SIM 스왑 및 기타 공격에 더 강합니다.
FIDO2 보안 키
MFA의 마지막이자 가장 안전한 유형은 패스트 아이덴티티 온라인(FIDO) 2 보안 키로, 피싱이 불가능한 표준 기반의 암호 없는 인증 방법입니다.
시스템 업데이트
시스템을 최신 상태로 유지하는 것도 매우 중요합니다. 대부분의 악성 첨부 파일과 웹사이트는 패치되지 않은 운영 체제와 보조 도구에서 알려진 취약점을 찾습니다. Adobe Acrobat과 Java는 해커들이 널리 이용하고 있습니다. 패치할 때 브라우저와 추가 기능을 기억하십시오. 운영 체제와 함께 제공된 기본 브라우저를 사용하는 경우 대부분의 경우 OS를 업데이트할 때 패치가 적용됩니다. 귀하는 다른 모든 브라우저를 패치할 책임이 있습니다.
브라우저 애드온 앱 제한
브라우저 애드온을 드물게 사용합니다. 방문하는 URL과 웹사이트의 양식 또는 필드에 입력하는 데이터를 읽고 가로챌 수 있습니다. 애드온을 사용할 것이라는 확신이 들지 않고 평판이 좋은 출처에서 온 것이 아니라면 애드온을 설치하지 마십시오. 일부 애드온은 컨텍스트를 들려 사용자를 유인하도록 설계되었지만, 장면 뒤에서 멀웨어를 스파이 또는 전달하는 데 사용합니다.
모바일 장치 보호
휴대폰이나 태블릿의 위생을 유지하는 것도 중요합니다. 모바일 장치는 공격의 주요 표적이 되고 있습니다. 피싱 이메일의 발신자 주소 스푸핑과 전신 사기 및 MFA 공격의 발신자 ID 스푸핑으로 쉽게 우회할 수 있습니다. URL을 보면 목적지를 모르는 URL 쇼트너도 위험합니다.
이제 전신 사기에 사용되는 몇 가지 전술과 기술에 대해 배웠습니다. Stewart가 보낸 이메일이라고 묘사하는 이메일을 받으면 성실히 하십시오. 발신자의 이메일 주소는 쉽게 스푸핑 또는 대체될 수 있으며, 이메일의 서명과 컨텍스트는 사진과 진짜 출처에 대한 링크를 포함하여 쉽게 복제될 수 있다는 점을 기억하십시오. 우리는 심지어 에스크로 요원이 자신의 서명을 하여 도용한 전신 사기가 대체된 배선 지침으로 사기성 거래에 추가되는 것을 볼 수 있습니다.
이 이메일을 기대하지 않거나, 특정 거래와 상관시킬 수 없거나, Stewart와 거래하지 않는 경우 삭제하십시오.
안전하게 지내십시오.
이 세부 내역을 공유해 주셔서 감사합니다. 도움이 되셨기를 바라며 항상 주의를 기울이십시오. 더 많은 사이버 보안 팁을 보려면 소셜 미디어에서 당사를 팔로우하십시오.
이 사이버 보안 블로그 시리즈의 첫 번째와 두 번째 부분을 읽어보십시오.
사이버 공격자가 부동산 거래를 표적으로 삼는 이유
?해커가 유사 이메일 도메인으로 거래를 어떻게 디레일링하는가? ?
더 많은 것을 원하십니까? 다음 관련 문서를 확인하십시오.