ATTACKS ON SOCIAL NETWORKS Ονομα/νυμο: Ραφαέλα Σοφοκλέους Ημερομηνία: 07/03/2019
2 Περιεχόμενα Βασική Ιδέα 2 είδη επιθέσεων Αρχιτεκτονική icloner Υλοποίηση Σύνοψη 2 ειδών επιθέσεων Εκτίμηση Επίλογος
1 st paper: All Your Contacts Are Belong To 3 Us: Automated Identity Theft Attacks On Social Networks (Leyla Bilge, Thorsten Strufe, Davide Balzarotti, Engin Kirda EURECOM Sophia Antipolis, France 2009)
4 Βασική Ιδέα Ένας potential attacker μπορεί να ξεκινήσει αυτοματοποιημένες επιθέσεις ανίχνευσης και ταυτοποίησης Να αποκτήσει πρόσβαση σε μεγάλο όγκο προσωπικών πληροφορίων 1 ο είδος επίθεσης, ΑΥΤΟΜΑΤΟΠΟΙΗΜΕΝΗ ΚΛΟΠΗ ΤΑΥΤΟΤΗΤΑΣ ΑΥΤΟΜΑΤΟΠΟΙΗΜΕΝΗ ΠΛΑΣΤΟΠΡΟΣΩΠΙΑ 2 ο είδος επίθεσης, ΑΥΤΟΜΑΤΟΠΟΙΗΜΕΝΗ ΚΛΩΝΟΠΟΙΗΣΗ ΠΡΟΦΙΛ
5 ΑΥΤΟΜΑΤΟΠΟΙΗΜΕΝΗ ΠΛΑΣΤΟΠΡΟΣΩΠΙΑ Profile Cloning Κλωνοποιεί ένα ήδη υπάρχον προφίλ του θύματος σε ένα κοινωνικό δίκτυο και στέλνει αιτήματα φιλίας στις επαφές του θύματος. Ένα ακριβώς ίδιο προφίλ στο ίδιο κοινωνικό δίκτυο Αποτέλεσμα: Πρόσβαση στις ευαίσθητες προσωπικές πληροφορίες που παρέχονται από αυτές τις επαφές
6 ΑΥΤΟΜΑΤΟΠΟΙΗΜΕΝΗ ΚΛΩΝΟΠΟΙΗΣΗ ΠΡΟΦΙΛ Cross Site Profile Cloning Αυτόματος προσδιορισμός χρηστών που είναι εγγεγραμμένοι σε ένα δίκτυο αλλά ΌΧΙ σε άλλο. Κλωνοποίηση ταυτότητας. Ο attacker μπορεί αυτόματα να χτίσει το προφίλ του θύματος σε αυτό το κοινωνικό δίκτυο. Αποτέλεσμα: τ α α ι τ ή μ α τ α φ ι λ ί α ς π ο υ σ τ έ λ ν ε ι φ α ί ν ο ν τ α ι α π ο λ ύ τ ω ς ν ό μ ι μ α.
7 Εισαγωγή icloner Πρωτότυπο σύστημα Ανιχνεύει δημοφιλείς κοινωνικά δίκτυα Συλλέγει πληροφορίες από τους χρήστες. Δημιουργεί αυτόματα προφίλ Στέλνει αιτήματα φιλίας και προσωπικά μηνύματα Ανάλυση CAPTCHA
8 Αρχιτεκτονική icloner
9 Σύνοψη Profile Cloning Oι χρήστες δεν είναι γενικά προσεκτικοί όταν δέχονται αιτήματα φιλίας Παράδειγμα «Αγαπητοί φίλοι, ο υπολογιστής μου έσπασε και ανακατασκευάζω τη λίστα φίλων μου. Παρακαλώ προσθέστε με πάλι!». Δημιουργία ενός νέου λογαριασμού με το πραγματικό όνομα και φωτογραφία του θύματος μέσα στο ίδιο κοινωνικό δίκτυο
10 Cross site Profile Cloning (1) Θύματα τα οποία είναι εγγεγραμμένα σε ένα κοινωνικό δίκτυο αλλά όχι σε άλλο Από την πλευρά του attacker ο βασικός στόχος είναι να κλέψουν την ταυτότητα του θύματος Δημιουργία λογαριασμού για το θύμα σε κοινωνικό δίκτυο που δεν έχει εγγραφεί Εντοπισμός φίλων του θύματος στο αρχικό δίκτυο και να έλεγχος ποιοι από αυτούς είναι καταχωρημένοι στο άλλο κοινωνικό δίκτυο
11 Προσδιορισμός πληροφοριών για Cross Site Profile Cloning (2)
12 Εκτίμηση (1) Για cross-site profile cloning attacks χρησιμοποίησαν 78 χρήστες Για το profile cloning πραγματοποίησαν πείραμα στο Facebook για 5 χρήστες
13 Εκτίμηση (2) Παράδειγμα: Γεια σου, έβαλα κάποιες περισσότερες φωτογραφίες online. Ελέγξτε τα εδώ!: http://193.55.112.123/userspace/pix?user= <account> & guest = <contact> & cred = 3252kj5kj25kjk325hk} Ciao, <όνομα του λογαριασμού>
Εκτίμηση (3) 14 Συνάρτηση αθροιστικής πυκνότητας για τα κλικ σε συνδέσμους που αποστέλλονται από πλασματικά προφίλ και από άγνωστους χρήστες
15 Εκτίμηση (4) Cross Site Profile Cloning
16 Επίλογος Δεν είναι όλες οι ιστοσελίδες κοινωνικής δικτύωσης καλά προστατευμένες από την αυτοματοποιημένη ανίχνευση και πρόσβαση Οι περισσότεροι χρήστες σε ιστότοπους κοινωνικής δικτύωσης δεν είναι προσεκτικοί κατά την αποδοχή αιτημάτων φιλίας ή κάνουν κλικ σε συνδέσμους που τους αποστέλλονται χωρίς να είναι καχύποπτοι.
2 nd paper: COMPA: Detecting Compromised 17 Accounts on Social Networks (Manuel Egele, Gianluca Stringhini, Christopher Kruegel, and Giovanni Vigna )
18 Βασική Ιδέα (1) Μια νέα προσέγγιση για την ανίχνευση compromised accounts σε δύο πολύ δημοφιλείς κοινωνικά δίκτυα το Twitter και το Facebook Εργαλείο COMPA για την ανίχνευση τέτοιων λογαριασμών Compromised account νόμιμος λογαριασμός αλλά έχει περάσει στα χέρια ενός attacker.
19 Βασική Ιδέα (2) Δεν εξαρτάται από την παρουσία URL στα μηνύματα Το συγκεκριμένο σύστημα είναι ακριβής και εντοπίζει τα compromised accounts Εστιάζουν στην εξεύρεση compromised accounts και όχι τον πλαστών λογαριασμών. Προφίλ Συμπεριφοράς Ελέγχει ένα σύνολο παρόμοιων μηνυμάτων
20 Προφίλ Συμπεριφοράς (1) Αξιοποιεί το ιστορικό των δραστηριοτήτων ενός χρήστη για να καταγράψει τη αναμενόμενη (κανονική) συμπεριφορά του Επικεντρώνεται στη ροή των μηνυμάτων που δημοσιεύει ένας χρήστης στο κοινωνικό δίκτυο Ροή μηνυμάτων είναι μια λίστα με όλα τα μηνύματα που έχει δημοσιεύσει ο χρήστης στο κοινωνικό δίκτυο με χρονολογική σειρά
21 Προφίλ Συμπεριφοράς (2) Anomaly Score Το 0 υποδηλώνει απόλυτα φυσιολογικό (για το υπό εξέταση χαρακτηριστικό) Το 1 δείχνει ότι το χαρακτηριστικό είναι εξαιρετικά «ανώμαλο»
22 Μοντελοποίηση χαρακτηριστικών μηνυμάτων Εκπαίδευση στατιστικών μοντέλων 1. Ώρα της ημέρας 2. Πηγή μηνύματος 3. Γλώσσα μηνύματος 4. Θέμα μηνύματος 5. Σύνδεσμοι μέσα στα μηνύματα 6. Απευθείας αλληλεπίδραση χρηστών 7. Εγγύηση
23 Εκπαίδευση στατιστικών μοντέλων (1) Κάθε μοντέλο χαρακτηριστικών αναπαρίσταται από ένα σύνολο Μ. Κάθε στοιχείο Μ είναι μια πλειάδα <fv, c>, όπου fv είναι η τιμή ενός χαρακτηριστικού c υποδηλώνει τον αριθμό των μηνυμάτων στα οποία υπήρχε η συγκεκριμένη τιμή χαρακτηριστικού fv. Υποχρεωτικά μοντέλα Προαιρετικά μοντέλα
24 Εκπαίδευση στατιστικών μοντέλων (2) Υποχρεωτικά μοντέλα Υπάρχει πλειάδα τότε εξάγεται από το Μ Αλλιώς θεωρείται «ανώμαλο» και επιστρέφει βαθμολογία 1. Προαιρετικά μοντέλα Υπάρχει πλειάδα τότε βαθμολογία 0 Αλλιώς το μήνυμα θεωρείται «ανώμαλο»
25 Εκπαίδευση στατιστικών μοντέλων - Παράδειγμα Το Μ μοιάζει ως εξής: (<English,12>,<German,9>) 1. Το νέο μήνυμα είναι στα αγγλικά. Οπόταν έχουμε <English,12> από M, και συγκρίνει με c = 12 και M = 10.5. Αφού το c είναι μεγαλύτερο από το M τότε το μήνυμα έχει βαθμολογία 0. 2. Το νέο μήνυμα είναι στα ρωσικά. Οπόταν ο χρήστης δεν χρησιμοποίησε αυτή την γλώσσα πριν έτσι το μήνυμα θεωρείται κακόβουλο και παίρνει βαθμολογία 1. 3. Το νέο μήνυμα είναι στα Γερμανικά. Οπόταν έχουμε <German, 9> από M, και συγκρίνει με c = 9 και M = 10.5. Αφού το c είναι μικρότερο από το M τότε το μήνυμα θεωρείται ελαφρώς κακόβουλο και η συχνότητα να είναι στα γερμανικά τα μηνύματα του χρήστη είναι f =c/n = 0.42 και παίρνει βαθμολογία 1 f = 0.58.
26 Τρόποι Σύγκρισης Ομοιότητας 1. Ομοιότητα περιεχομένου: Τα μηνύματα που περιέχουν παρόμοιο κείμενο. 2. Ομοιότητα διεύθυνσης URL
27 Εύρεση Compromised Account Aν ο αριθμός των μηνυμάτων που παραβιάζουν τα προφίλ συμπεριφοράς υπερβαίνει ένα κατώτατο όριο. Το όριο αυτό εξαρτάται από το μέγεθος της ομάδας λογαριασμών.
28 Εκτίμηση Εντοπίζει ομάδες compromised accounts που χρησιμοποιούνται για τη διανομή κακόβουλων μηνυμάτων στα κοινωνικά δίκτυα Ακριβής στα αποτελέσματα Ανιχνεύει αριθμούς τηλεφώνου που χρησιμοποιούνταν για απάτες.
29 Επίλογος Νέα προσέγγιση για ανίχνευση compromised accounts Στατιστικά μοντέλα για να χαρακτηρίσουμε την συμπεριφορά των χρηστών Χρησιμοποιήσαν τεχνικές ανίχνευσης ανωμαλιών για να εντοπίσουν ξαφνικές αλλαγές στην συμπεριφορά των χρηστών Ανάπτυξαν το σύστημα COMPA που εφαρμόζει αυτή την προσέγγιση σε μια μεγάλη ροή μηνυμάτων Τα αποτελέσματα δείχνουν ότι η προσέγγισή αυτή εντοπίζει αξιόπιστα τους συμβιβασμούς λογαριασμών.
30