Upload
prathan-phongthiproek
View
692
Download
5
Embed Size (px)
DESCRIPTION
Social Networking Security Workshop (Facebook and Twitter)
Citation preview
www.acisonline.net/snscon2010
A. Prathan Phongthiproek A. Sharkrit Piyavanich
SNS M3-0
www.acisonline.net/snscon2010 2
ACIS Professional
Ce
Aug-18-10
RSS feed
Example of Social Network
www.acisonline.net/snscon2010
เว็บไซต ์Social Network ที่ได้รับความนิยมสูงสุด 10 อันดับ
3
Social Networking Security Conference 2010
www.acisonline.net/snscon2010
Social Network Phishing Attack Statistic
ACIS Professional Center
www.acisonline.net/snscon2010
Hi5 Phishing Attack
ACIS Professional Center
http://www.hi5.vs
www.acisonline.net/snscon2010
Facebook Phishing Attack ACIS Professional Center
www.acisonline.net/snscon2010
Social Network Worm (Koobface)
ACIS Professional Center
Effect various social network site: Facebook Hi5 MySpace Bebo Tagged Friendster Fubar LiveJournal myYearbook Netlog
www.acisonline.net/snscon2010
Koobface Attack Step: 1
ACIS Professional Center
www.acisonline.net/snscon2010
Koobface Attack Step: 2
ACIS Professional Center
เว็บไซต์ที่แฮกเกอร์เตรียมไว้ เพื่อหลอกล่อให้เหยื่อติดตั้ง Adobe Flash Player
www.acisonline.net/snscon2010
Koobface Attack Step: 3
ACIS Professional Center
ตัวอย่างข้อความที่ส่งออกไปยังสมาชิกคนอื่นๆ หลังจากที่เหยื่อติด Worm Koobface
See The Others in “Social Networking Security Live Show”
www.acisonline.net/snscon2010
Short Descriptions To Gen-Y
11
Social Networking Security Conference 2010
Pop Culture Own All Gadgets
Working with PC Eminem/ Britney Fans
Harry Potter Series Social Networking
www.acisonline.net/snscon2010
Gen-Y Behaviors
Continually connected
Speak their own language
Skeptical of authority
Influenced by peers
Seek recognition and fame
Enjoy absurdity and off humor
Embrace subcultures
Skim text and information quickly
Easily bored
Expressive and digitally creative
www.acisonline.net/snscon2010
Percentage of staff using their PC for personal reasons
0 10 20 30 40 50 60 70 80 90
Email Websites Banking/ Personal Finance
Social Networking
Percentage
Social Networking Security Conference 2010
13
www.acisonline.net/snscon2010
How do the Gen Y bypass enterprise control to visit social networking?
Social Networking Security Conference 2010
14
See Full Version in “Social Networking Security Live Show”
Hack Tools Gen Y
www.acisonline.net/snscon2010
SNS M7-3
www.acisonline.net/snscon2010
What is "Good Sites Gone Bad"?
The web’s greatest accomplishments have become its biggest threats. Compromised sites, user-generated content and social networks challenge traditional domain-based trust mechanisms.
The growth of the web has outpaced traditional URL filters.
Web applications bypass legacy file-based anti-virus engines.
Search engine optimization and trending topics are used by attackers to increase their attack performance.
Social Networking Security Conference 2010
16
www.acisonline.net/snscon2010
Facebook Clickjacking
Social Networking Security Conference 2010
17
www.acisonline.net/snscon2010
Facebook Clickjacking
Social Networking Security Conference 2010
18
www.acisonline.net/snscon2010
Twitter Clickjacking
Social Networking Security Conference 2010
19
www.acisonline.net/snscon2010
Cross Site Scripting Attack on Twitter
Social Networking Security Conference 2010
20
www.acisonline.net/snscon2010
Cross Site Scripting Attack on Facebook
Social Networking Security Conference 2010
21
www.acisonline.net/snscon2010
Cross Site Scripting Attack on Hi5
Social Networking Security Conference 2010
22
www.acisonline.net/snscon2010
Cross Site Scripting Attack on YouTube
Social Networking Security Conference 2010
23
www.acisonline.net/snscon2010
Twitter Phishing – www.tvvitter.com
Social Networking Security Conference 2010
24
www.acisonline.net/snscon2010
Website URL Shortener
Social Networking Security Conference 2010
25
www.acisonline.net/snscon2010
Simple URL Shortener – bit.ly
Social Networking Security Conference 2010
26
www.acisonline.net/snscon2010
Simple URL Shorten on Twitter
Social Networking Security Conference 2010
27
www.acisonline.net/snscon2010
Twitter Attack via URL Shortener
Social Networking Security Conference 2010
28
www.acisonline.net/snscon2010
Twitter Attack with Drive-By-Download
Social Networking Security Conference 2010
29
www.acisonline.net/snscon2010
Drive by Download – Java Applet
Social Networking Security Conference 2010
30
www.acisonline.net/snscon2010
Drive by download-attack
Social Networking Security Conference 2010
31
Victim
(4) Download exploit
(1) Client visit the landing page
(2) Redirect to get exploit
(3) Redirect to get exploit
www.acisonline.net/snscon2010
Threats from Bad sites
Social Networking Security Conference 2010
32
Spyware
Viruses
Worms
Trojans
Potentially unwanted applications
Adware
Unwanted/offensive content
Phishing
www.acisonline.net/snscon2010
How to Protect yourself from Bad sites
Windows Patch, Browser, Macromedia, Acrobat Update
Use a desktop browser that includes anti-phishing and
anti-malware blockers. Microsoft’s Internet Explorer,
Mozilla Firefox, and Opera all provide security features to block
malicious sites.
Enable a firewall and apply all Microsoft operating system
updates. Avoid using pirated software
Social Networking Security Conference 2010
33
www.acisonline.net/snscon2010
SNS M8-1
www.acisonline.net/snscon2010
Cross Site Scripting (XSS) Attack
Social Networking Security Conference 2010
35
www.acisonline.net/snscon2010
Firefox – Noscript Add-ons
Social Networking Security Conference 2010
36
www.acisonline.net/snscon2010
Noscript-Prevent XSS and Malicious web
Social Networking Security Conference 2010
37
www.acisonline.net/snscon2010
Facebook Account Setting
Social Networking Security Conference 2010
38
www.acisonline.net/snscon2010
Facebook Account Security
Social Networking Security Conference 2010
39
www.acisonline.net/snscon2010
Notify Facebook Account Login
Social Networking Security Conference 2010
40
www.acisonline.net/snscon2010
Twitter Verify Account
Social Networking Security Conference 2010
41
www.acisonline.net/snscon2010
Twitter Verify Account
Social Networking Security Conference 2010
42
www.acisonline.net/snscon2010
Twitter Verify Account
Social Networking Security Conference 2010
43
www.acisonline.net/snscon2010
SNS M7-5
www.acisonline.net/snscon2010
Reconnaissance personal information
Social Networking Security Conference 2010
45
www.acisonline.net/snscon2010
Reconnaissance personal information
Social Networking Security Conference 2010
46
www.acisonline.net/snscon2010
Visualization Tools
Social Networking Security Conference 2010
47
www.acisonline.net/snscon2010
Reconnaissance personal information
Social Networking Security Conference 2010
48
www.acisonline.net/snscon2010
Facesaerch
Social Networking Security Conference 2010
49
www.acisonline.net/snscon2010
Results from tools (Maltego)
Social Networking Security Conference 2010
50
www.acisonline.net/snscon2010
Open Source Intelligence for Information Gathering
Social Networking Security Conference 2010
51
Ref: http://www.onstrat.com/osint/
www.acisonline.net/snscon2010
SNS M7-5
www.acisonline.net/snscon2010
เพื่อนจริงไม่จริง อย่างนี้ต้องจัดการ Social Networking Security Conference 2010
53
www.acisonline.net/snscon2010
เพื่อนจริงไม่จริง อย่างนี้ต้องจัดการ Social Networking Security Conference 2010
54
www.acisonline.net/snscon2010
เพื่อนจริงไม่จริง อย่างนี้ต้องจัดการ Social Networking Security Conference 2010
55
www.acisonline.net/snscon2010
เทคนิคการซ่อนตัวจากการค้นหาข้อมูลส่วนตัว Social Networking Security Conference 2010
56
www.acisonline.net/snscon2010
เทคนิคการซ่อนตัวจากการค้นหาข้อมูลส่วนตัว Social Networking Security Conference 2010
57
www.acisonline.net/snscon2010
เทคนิคการซ่อนตัวจากการค้นหาข้อมูลส่วนตัว Social Networking Security Conference 2010
58
Ref: http://www.onstrat.com/osint/
Default Setting – Can search
www.acisonline.net/snscon2010
เทคนิคการซ่อนตัวจากการค้นหาข้อมูลส่วนตัว Social Networking Security Conference 2010
59
www.acisonline.net/snscon2010
เทคนิคการซ่อนตัวจากการค้นหาข้อมูลส่วนตัว Social Networking Security Conference 2010
60
www.acisonline.net/snscon2010
เทคนิคการป้องกันการใช้ Application เสริม
Social Networking Security Conference 2010
61
www.acisonline.net/snscon2010
เทคนิคการป้องกันการใช้ Application เสริม
Social Networking Security Conference 2010
62
www.acisonline.net/snscon2010
เทคนิคการป้องกันการใช้ Application เสริม
Social Networking Security Conference 2010
63
www.acisonline.net/snscon2010
เทคนิคการป้องกันการใช้ Application เสริม
Social Networking Security Conference 2010
64
www.acisonline.net/snscon2010
เทคนิคการป้องกันการใช้ Application เสริม
Social Networking Security Conference 2010
65
www.acisonline.net/snscon2010
เทคนิคการระวัง Wall Post จากเพื่อนๆ และ การป้องกันเรื่องราวของฉัน
Social Networking Security Conference 2010
66
Ref: http://www.onstrat.com/osint/
www.acisonline.net/snscon2010
เทคนิคการระวัง Wall Post จากเพื่อนๆ และ การป้องกันเรื่องราวของฉัน
Social Networking Security Conference 2010
67
www.acisonline.net/snscon2010
เทคนิคการระวัง Wall Post จากเพื่อนๆ และ การป้องกันเรื่องราวของฉัน
Social Networking Security Conference 2010
68
www.acisonline.net/snscon2010
เทคนิคการระวัง Wall Post จากเพื่อนๆ และ การป้องกันเรื่องราวของฉัน
Social Networking Security Conference 2010
69
www.acisonline.net/snscon2010
เทคนิคการระวัง Wall Post จากเพื่อนๆ และ การป้องกันเรื่องราวของฉัน
Social Networking Security Conference 2010
70
www.acisonline.net/snscon2010
เทคนิคการระวัง Wall Post จากเพื่อนๆ และ การป้องกันเรื่องราวของฉัน
Social Networking Security Conference 2010
71
www.acisonline.net/snscon2010
ฉันเป็นเพื่อนกับใคร ไม่อยากให้ใครรู้ และ อัลบั้มของฉันเพื่อนดูได้เท่านั้น
Social Networking Security Conference 2010
72
www.acisonline.net/snscon2010
ฉันเป็นเพื่อนกับใคร ไม่อยากให้ใครรู้ และ อัลบั้มของฉันเพื่อนดูได้เท่านั้น
Social Networking Security Conference 2010
73
www.acisonline.net/snscon2010
ฉันเป็นเพื่อนกับใคร ไม่อยากให้ใครรู้ และ อัลบั้มของฉันเพื่อนดูได้เท่านั้น
Social Networking Security Conference 2010
74
www.acisonline.net/snscon2010
ฉันเป็นเพื่อนกับใคร ไม่อยากให้ใครรู้ และ อัลบั้มของฉันเพื่อนดูได้เท่านั้น
Social Networking Security Conference 2010
75
www.acisonline.net/snscon2010
ฉันเป็นเพื่อนกับใคร ไม่อยากให้ใครรู้ และ อัลบั้มของฉันเพื่อนดูได้เท่านั้น
Social Networking Security Conference 2010
76
www.acisonline.net/snscon2010
ข้อมูลการติดต่อที่ไม่อยากให้ใครติดต่อ (เทคนิคการซ่อนข้อมูล)
Social Networking Security Conference 2010
77
www.acisonline.net/snscon2010
ข้อมูลการติดต่อที่ไม่อยากให้ใครติดต่อ (เทคนิคการซ่อนข้อมูล)
Social Networking Security Conference 2010
78
www.acisonline.net/snscon2010
ข้อมูลการติดต่อที่ไม่อยากให้ใครติดต่อ (เทคนิคการซ่อนข้อมูล)
Social Networking Security Conference 2010
79
www.acisonline.net/snscon2010
ข้อมูลการติดต่อที่ไม่อยากให้ใครติดต่อ (เทคนิคการซ่อนข้อมูล)
Social Networking Security Conference 2010
80
www.acisonline.net/snscon2010
ข้อมูลการติดต่อที่ไม่อยากให้ใครติดต่อ (เทคนิคการซ่อนข้อมูล)
Social Networking Security Conference 2010
81
www.acisonline.net/snscon2010
ข้อมูลการติดต่อที่ไม่อยากให้ใครติดต่อ (เทคนิคการซ่อนข้อมูล)
Social Networking Security Conference 2010
82
Set Privacy to Friend Only
www.acisonline.net/snscon2010
เทคนิคการเลิกใช้แบบถาวรทําอย่างไร Social Networking Security Conference 2010
83
www.acisonline.net/snscon2010
เทคนิคการเลิกใช้แบบถาวรทําอย่างไร Social Networking Security Conference 2010
84
www.acisonline.net/snscon2010
เทคนิคการใช้ Twitter และ Facebook สําหรับการทํางานเพื่อให้เกิดประโยชน์แก่องค์กร
Social Networking Security Conference 2010
85
www.acisonline.net/snscon2010
เทคนิคการใช้ Tweetdeck, Twhirl, Echofon และ Yoono
Social Networking Security Conference 2010
86
www.acisonline.net/snscon2010
TweetDeck http://www.tweetdeck.com/desktop/
Social Networking Security Conference 2010
87
www.acisonline.net/snscon2010
TweetDeck Social Networking Security Conference 2010
88
www.acisonline.net/snscon2010
twhirl http://twhirl.org
Social Networking Security Conference 2010
89
www.acisonline.net/snscon2010
echofon http://www.echofon.com
Social Networking Security Conference 2010
90
www.acisonline.net/snscon2010
Yoono http://yoono.com
Social Networking Security Conference 2010
91
www.acisonline.net/snscon2010
รวมกลเม็ด และ เทคนิคการรักษาความปลอดภัยที่ควรรู้สําหรับการใช้ Facebook Twitter, Linkedin, Google,
Hi5 และ YouTube
Social Networking Security Conference 2010
92
Don’t click on links or open attachments in suspicious emails.
Be wary of where you enter your password.
Be suspicious of emails or messages that contain misspellings or use bad grammar, especially if they’re from someone who is usually a good writer.
Make sure you have an up-to-date web browser equipped with an anti-phishing blacklist.
Make sure you have up-to-date comprehensive security software on your computer that includes anti-virus, anti-spyware, anti-phishing, and a firewall.
Make sure you've set your operating system to update automatically.
Make sure you’ve listed a security question and answer for your online accounts
Don’t share your passwords with anyone.
Use different passwords for your various online accounts.
Use a complex password that can’t be easily guessed.
Remember that you choose what you share and with whom you share it.
www.acisonline.net/snscon2010
รวมกลเม็ด และ เทคนิคการรักษาความปลอดภัยที่ควรรู้สําหรับการใช้ Facebook Twitter, Linkedin, Google,
Hi5 และ YouTube
Social Networking Security Conference 2010
93
www.acisonline.net/snscon2010
รวมกลเม็ด และ เทคนิคการรักษาความปลอดภัยที่ควรรู้สําหรับการใช้ Facebook Twitter, Linkedin, Google,
Hi5 และ YouTube
Social Networking Security Conference 2010
94