Romagnacamp13 socialmediaengineering

4,374 views
4,490 views

Published on

La presentazione sulla Social Media Engineering fatta al Romagnacamp 2013

Published in: Education

Romagnacamp13 socialmediaengineering

  1. 1. Social (Media) Engineering QUANDO IL MARKETING INCONTRA LA SICUREZZA #smengineering
  2. 2. DISCLAIMER
  3. 3. DISCLAIMER • Alcune cose che racconterò saranno anonimizzate per rispettare la stupidità privacy degli utenti
  4. 4. DISCLAIMER • Alcune cose che racconterò saranno anonimizzate per rispettare la stupidità privacy degli utenti • Altre le dirò a metà (per alcuni NDA)
  5. 5. DISCLAIMER • Alcune cose che racconterò saranno anonimizzate per rispettare la stupidità privacy degli utenti • Altre le dirò a metà (per alcuni NDA) • Altre mi sono state raccontate da amici (e in ogni caso non potete provare che sia stato io a farle)
  6. 6. I SOCIAL MEDIA? Qualche esempio: le nuove generazioni considerano l’email passata -> phishing si sposta insieme allo spam
  7. 7. I SOCIAL MEDIA? Qualche esempio: le nuove generazioni considerano l’email passata -> phishing si sposta insieme allo spam
  8. 8. 2011-2013
  9. 9. SOCIAL MEDIA 2011-2013 Strategie, Tattiche, Governance, Formazione, Social Business
  10. 10. SOCIAL MEDIA BIOLOGIA 2011-2013 Sociobiologia, Information Foraging, Behaviour analysis
  11. 11. SOCIAL MEDIA BIOLOGIA SICUREZZA INFORMATICA 2011-2013 Social Business Security, Social Engineering, Formazione, Policy
  12. 12. Sicurezza? TU? L'Impero colpisce ancora (1980) "Star Wars: Episode V - The Empire Strikes Back" (original title) Il pianeta delle scimmie (1968) "Planet of the Apes"
  13. 13. Sicurezza? TU? Papà: Sicurezza Informatica L'Impero colpisce ancora (1980) "Star Wars: Episode V - The Empire Strikes Back" (original title) Il pianeta delle scimmie (1968) "Planet of the Apes"
  14. 14. Sicurezza? TU? IO L'Impero colpisce ancora (1980) "Star Wars: Episode V - The Empire Strikes Back" (original title) Il pianeta delle scimmie (1968) "Planet of the Apes"
  15. 15. Sicurezza? TU? Ecco un master in Security Specialist L'Impero colpisce ancora (1980) "Star Wars: Episode V - The Empire Strikes Back" (original title) Il pianeta delle scimmie (1968) "Planet of the Apes"
  16. 16. Sicurezza? TU? Ecco un master in Security SpecialistKARMA IS A BITCH L'Impero colpisce ancora (1980) "Star Wars: Episode V - The Empire Strikes Back" (original title) Il pianeta delle scimmie (1968) "Planet of the Apes"
  17. 17. BRIGHT SIDE Brian di Nazareth (1979) "Life of Brian" (original title)
  18. 18. BRIGHT SIDE Cosa fai di lavoro? Brian di Nazareth (1979) "Life of Brian" (original title)
  19. 19. BRIGHT SIDE Faccio fare cose stupide alle persone con i Social Media Brian di Nazareth (1979) "Life of Brian" (original title)
  20. 20. MKTG = SE? Photo by rage_krisnha - http://flic.kr/p/7yqHcF
  21. 21. Cerchiamo di persuadere le persone a fare qualcosa MKTG = SE? Photo by rage_krisnha - http://flic.kr/p/7yqHcF
  22. 22. MKTG = SE? Photo by rage_krisnha - http://flic.kr/p/7yqHcF
  23. 23. PROFILAZIONE PROVA SOCIALE FIDUCIA RELAZIONE SCARSITÀURGENZA DESIGN COERENZAAUTORITÀ RECIPROCITÀ MKTG = SE? Photo by rage_krisnha - http://flic.kr/p/7yqHcF
  24. 24. MA VA LA http://www.qwertee.com
  25. 25. MA VA LA http://www.qwertee.com
  26. 26. MA VA LA URGENZA E SCARSITÀ http://www.qwertee.com
  27. 27. MA VA LA URGENZA E SCARSITÀ PROVA SOCIALE http://www.qwertee.com
  28. 28. MA VA LA URGENZA E SCARSITÀ PROVA SOCIALE RECIPROCITÀ http://www.qwertee.com
  29. 29. ATTACCHI RSA Photo by Nina Matthews Photography - http://flic.kr/p/fH3jh7
  30. 30. ATTACCHI 1) identifica i pirla i dipendenti più esposti RSA Photo by Nina Matthews Photography - http://flic.kr/p/fH3jh7
  31. 31. ATTACCHI 1) identifica i pirla i dipendenti più esposti 2) scopri tutti gli account RSA Photo by Nina Matthews Photography - http://flic.kr/p/fH3jh7
  32. 32. ATTACCHI 1) identifica i pirla i dipendenti più esposti 2) scopri tutti gli account 3) profilali bene (amicizie, interessi) RSA Photo by Nina Matthews Photography - http://flic.kr/p/fH3jh7
  33. 33. ATTACCHI 1) identifica i pirla i dipendenti più esposti 2) scopri tutti gli account 3) profilali bene (amicizie, interessi) 4a) manda una mail di phishing contestualizzata RSA Photo by Nina Matthews Photography - http://flic.kr/p/fH3jh7
  34. 34. ATTACCHI 1) identifica i pirla i dipendenti più esposti 2) scopri tutti gli account 3) profilali bene (amicizie, interessi) 4a) manda una mail di phishing contestualizzata 4b) crea un profilo RSA Photo by Nina Matthews Photography - http://flic.kr/p/fH3jh7
  35. 35. ATTACCHI 1) identifica i pirla i dipendenti più esposti 2) scopri tutti gli account 3) profilali bene (amicizie, interessi) 4a) manda una mail di phishing contestualizzata 4b) crea un profilo 5b) fatti amici i suoi amici RSA Photo by Nina Matthews Photography - http://flic.kr/p/fH3jh7
  36. 36. ATTACCHI 1) identifica i pirla i dipendenti più esposti 2) scopri tutti gli account 3) profilali bene (amicizie, interessi) 4a) manda una mail di phishing contestualizzata 4b) crea un profilo 5b) fatti amici i suoi amici 6b) mandagli una richiesta di amicizia RSA Photo by Nina Matthews Photography - http://flic.kr/p/fH3jh7
  37. 37. NON È ROBA NUOVA 2002 the art of deception, kevin mitnick, il condor
  38. 38. NON È ROBA NUOVA 2002 the art of deception, kevin mitnick, il condor
  39. 39. NON È ROBA NUOVACiao Arianna, Seguiamo da tempo il tuo “royal blog” sulle tue avventure culinarie e abbiamo pensato a te per l’inaugurazione di un nuovo menù a base di maialino dei Nebrodi. Sperando di non disturbarti troppo abbiamo preparato un una cena speciale: per confermare accedi con le tue credenziali Facebook. Insieme a te ci saranno altri foodblogger d’eccezione. Sarai dei nostri? Speriamo di vederti presto 2002 the art of deception, kevin mitnick, il condor
  40. 40. NON È ROBA NUOVACiao Arianna, Seguiamo da tempo il tuo “royal blog” sulle tue avventure culinarie e abbiamo pensato a te per l’inaugurazione di un nuovo menù a base di maialino dei Nebrodi. Sperando di non disturbarti troppo abbiamo preparato un una cena speciale: per confermare accedi con le tue credenziali Facebook. Insieme a te ci saranno altri foodblogger d’eccezione. Sarai dei nostri? Speriamo di vederti presto 2002 the art of deception, kevin mitnick, il condor
  41. 41. APT http://intelreport.mandiant.com
  42. 42. APT http://intelreport.mandiant.com
  43. 43. APT Raccogliere informazioni Scegliere i target Conquistare la fiducia Rendere l’attacco efficace http://intelreport.mandiant.com
  44. 44. In quale luogo le persone: Condividono informazioni con cani e porci? Non impostano livelli di privacy? Accettano richieste di vario tipo? Si fidano praticamente di tutti? Cliccano su “guarda le scene censurate del film di Belen?” ?
  45. 45. In quale luogo le persone: Condividono informazioni con cani e porci? Non impostano livelli di privacy? Accettano richieste di vario tipo? Si fidano praticamente di tutti? Cliccano su “guarda le scene censurate del film di Belen?” ? MARTE DA UBRIACHI AL BAR NON SUCCEDE SUI SOCIAL MEDIA
  46. 46. AD ESEMPIO Blade Runner (1982)
  47. 47. AD ESEMPIO Blade Runner (1982)
  48. 48. PERIMETRO?
  49. 49. PERIMETRO?
  50. 50. PERIMETRO? INTRANET MAIL COMPUTER
  51. 51. PERIMETRO? INTRANET MAIL SOCIAL MEDIA DIGITAL PR AGENCY COMPUTER TELEFONO PERSONAL COMPUTER
  52. 52. PERIMETRO? INTRANET MAIL SOCIAL MEDIA DIGITAL PR AGENCY COMPUTER TELEFONO PERSONAL COMPUTER
  53. 53. KALI GIOCATTOLI PRONTI ALL’USO consumerizzazione dell’ICT e degli attacchi vale anche per la sicurezza http://www.kali.org
  54. 54. KALI GIOCATTOLI PRONTI ALL’USO consumerizzazione dell’ICT e degli attacchi vale anche per la sicurezza http://www.kali.org
  55. 55. FACEBOOK https://www.facebook.com
  56. 56. FACEBOOK https://www.facebook.com
  57. 57. MALTEGO http://www.paterva.com/web6/
  58. 58. MALTEGO • Company Stalker • Trova utente • Nome - Cognome • Mail http://www.paterva.com/web6/
  59. 59. NETVIZZ https://apps.facebook.com/netvizz/
  60. 60. NETVIZZ • Chi sono gli utenti più attivi? • Su cosa commentano? • Cosa gli interessa? • I dipendenti partecipano? https://apps.facebook.com/netvizz/
  61. 61. TOOL AUTOMATICI http://code.google.com/p/fbpwn/
  62. 62. TOOL AUTOMATICI •Aggiungi amici •Copia profili •Invia richieste di amicizia •Scarica foto •Scarica album •Scarica info •Scarica post •Notifica quando finito http://code.google.com/p/fbpwn/
  63. 63. GIOCARE https://code.google.com/p/theharvester/
  64. 64. GIOCARE https://code.google.com/p/theharvester/
  65. 65. GIOCARE https://code.google.com/p/theharvester/
  66. 66. GIOCARE https://code.google.com/p/theharvester/
  67. 67. ESEMPIO 1
  68. 68. ESEMPIO 1 BUONGIORNO! Qui centralino azienda dei Puffi
  69. 69. ESEMPIO 1 BUONGIORNO! Qui centralino azienda dei Puffi NOME COGNOME RELAZIONI INTERESSI NOME COGNOME RELAZIONI INTERESSI OGGI INIZIO A LAVORARE IN AZIENDA ** FACEBOOK LINKEDIN TWITTER
  70. 70. ESEMPIO 1 BUONGIORNO! Qui centralino azienda dei Puffi Aspetti che provo a passarglielo..4SQUARE “Oggi fritto misto al bar qui dietro”
  71. 71. ESEMPIO 1 BUONGIORNO! Qui centralino azienda dei Puffi Aspetti che provo a passarglielo.. Non c’è, vuole riprovare più tardi? 4SQUARE “Oggi fritto misto al bar qui dietro”
  72. 72. ESEMPIO 1 BUONGIORNO! Qui centralino azienda dei Puffi Aspetti che provo a passarglielo.. Non c’è, vuole riprovare più tardi? Va bene, il suo interno è il 437 4SQUARE “Oggi fritto misto al bar qui dietro”
  73. 73. ESEMPIO 1
  74. 74. ESEMPIO 1 Pronto?
  75. 75. ESEMPIO 1 Pronto? LINKEDIN NOME COGNOME DEL RESPONSABILE IT
  76. 76. ESEMPIO 1 Pronto? Eh no, sono appena arrivatoLINKEDIN NOME COGNOME DEL RESPONSABILE IT
  77. 77. ESEMPIO 1 Pronto? Eh no, sono appena arrivato puffo.tontolone03 LINKEDIN NOME COGNOME DEL RESPONSABILE IT
  78. 78. ESEMPIO 1 Pronto? Eh no, sono appena arrivato puffo.tontolone03 Grazie e a presto! LINKEDIN NOME COGNOME DEL RESPONSABILE IT
  79. 79. È TUTTO BELLISSIMO Photo by Meathead Movers - http://flic.kr/p/99utdQ
  80. 80. È TUTTO BELLISSIMO Ciao, il mio sogno è diventare un community manager come te: puoi darmi qualche consiglio? Photo by Meathead Movers - http://flic.kr/p/99utdQ
  81. 81. È TUTTO BELLISSIMO Ciao, il mio sogno è diventare un community manager come te: puoi darmi qualche consiglio? Ciao, studio architettura e per la tesi devo fare delle foto all’interno del palazzo, mi aiuteresti? Photo by Meathead Movers - http://flic.kr/p/99utdQ
  82. 82. È TUTTO BELLISSIMO Ciao, il mio sogno è diventare un community manager come te: puoi darmi qualche consiglio? Ciao, studio architettura e per la tesi devo fare delle foto all’interno del palazzo, mi aiuteresti? Ciao, ci siamo visti ieri sera e mi sono dimenticata di chiederti il numero... Photo by Meathead Movers - http://flic.kr/p/99utdQ
  83. 83. NON SOLO food: cosa succede se esce un messaggio “ cosa succede se non hai una pagina e qualcuno fa squatting?
  84. 84. NON SOLO food: cosa succede se esce un messaggio “ cosa succede se non hai una pagina e qualcuno fa squatting?
  85. 85. NON SOLO Grande Azienda Attenzione: abbiamo trovato tracce d’arsenico nel lotto di cioccolato 335252. Siete pregati di non mangiarlo e riportarlo in negozio. Altre info bit.ly/ malevolo food: cosa succede se esce un messaggio “ cosa succede se non hai una pagina e qualcuno fa squatting?
  86. 86. NON SOLO Compromettere i clienti Grande Azienda Attenzione: abbiamo trovato tracce d’arsenico nel lotto di cioccolato 335252. Siete pregati di non mangiarlo e riportarlo in negozio. Altre info bit.ly/ malevolo food: cosa succede se esce un messaggio “ cosa succede se non hai una pagina e qualcuno fa squatting?
  87. 87. QUINDI? Consapevoli e Attenti Gif animata http://img3.joyreactor.com/pics/post/gay-soap-men-shower-388933.gif

×