Romagnacamp13 socialmediaengineering

  • 2,561 views
Uploaded on

La presentazione sulla Social Media Engineering fatta al Romagnacamp 2013

La presentazione sulla Social Media Engineering fatta al Romagnacamp 2013

More in: Education
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
2,561
On Slideshare
0
From Embeds
0
Number of Embeds
23

Actions

Shares
Downloads
13
Comments
0
Likes
8

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Social (Media) Engineering QUANDO IL MARKETING INCONTRA LA SICUREZZA #smengineering
  • 2. DISCLAIMER
  • 3. DISCLAIMER • Alcune cose che racconterò saranno anonimizzate per rispettare la stupidità privacy degli utenti
  • 4. DISCLAIMER • Alcune cose che racconterò saranno anonimizzate per rispettare la stupidità privacy degli utenti • Altre le dirò a metà (per alcuni NDA)
  • 5. DISCLAIMER • Alcune cose che racconterò saranno anonimizzate per rispettare la stupidità privacy degli utenti • Altre le dirò a metà (per alcuni NDA) • Altre mi sono state raccontate da amici (e in ogni caso non potete provare che sia stato io a farle)
  • 6. I SOCIAL MEDIA? Qualche esempio: le nuove generazioni considerano l’email passata -> phishing si sposta insieme allo spam
  • 7. I SOCIAL MEDIA? Qualche esempio: le nuove generazioni considerano l’email passata -> phishing si sposta insieme allo spam
  • 8. 2011-2013
  • 9. SOCIAL MEDIA 2011-2013 Strategie, Tattiche, Governance, Formazione, Social Business
  • 10. SOCIAL MEDIA BIOLOGIA 2011-2013 Sociobiologia, Information Foraging, Behaviour analysis
  • 11. SOCIAL MEDIA BIOLOGIA SICUREZZA INFORMATICA 2011-2013 Social Business Security, Social Engineering, Formazione, Policy
  • 12. Sicurezza? TU? L'Impero colpisce ancora (1980) "Star Wars: Episode V - The Empire Strikes Back" (original title) Il pianeta delle scimmie (1968) "Planet of the Apes"
  • 13. Sicurezza? TU? Papà: Sicurezza Informatica L'Impero colpisce ancora (1980) "Star Wars: Episode V - The Empire Strikes Back" (original title) Il pianeta delle scimmie (1968) "Planet of the Apes"
  • 14. Sicurezza? TU? IO L'Impero colpisce ancora (1980) "Star Wars: Episode V - The Empire Strikes Back" (original title) Il pianeta delle scimmie (1968) "Planet of the Apes"
  • 15. Sicurezza? TU? Ecco un master in Security Specialist L'Impero colpisce ancora (1980) "Star Wars: Episode V - The Empire Strikes Back" (original title) Il pianeta delle scimmie (1968) "Planet of the Apes"
  • 16. Sicurezza? TU? Ecco un master in Security SpecialistKARMA IS A BITCH L'Impero colpisce ancora (1980) "Star Wars: Episode V - The Empire Strikes Back" (original title) Il pianeta delle scimmie (1968) "Planet of the Apes"
  • 17. BRIGHT SIDE Brian di Nazareth (1979) "Life of Brian" (original title)
  • 18. BRIGHT SIDE Cosa fai di lavoro? Brian di Nazareth (1979) "Life of Brian" (original title)
  • 19. BRIGHT SIDE Faccio fare cose stupide alle persone con i Social Media Brian di Nazareth (1979) "Life of Brian" (original title)
  • 20. MKTG = SE? Photo by rage_krisnha - http://flic.kr/p/7yqHcF
  • 21. Cerchiamo di persuadere le persone a fare qualcosa MKTG = SE? Photo by rage_krisnha - http://flic.kr/p/7yqHcF
  • 22. MKTG = SE? Photo by rage_krisnha - http://flic.kr/p/7yqHcF
  • 23. PROFILAZIONE PROVA SOCIALE FIDUCIA RELAZIONE SCARSITÀURGENZA DESIGN COERENZAAUTORITÀ RECIPROCITÀ MKTG = SE? Photo by rage_krisnha - http://flic.kr/p/7yqHcF
  • 24. MA VA LA http://www.qwertee.com
  • 25. MA VA LA http://www.qwertee.com
  • 26. MA VA LA URGENZA E SCARSITÀ http://www.qwertee.com
  • 27. MA VA LA URGENZA E SCARSITÀ PROVA SOCIALE http://www.qwertee.com
  • 28. MA VA LA URGENZA E SCARSITÀ PROVA SOCIALE RECIPROCITÀ http://www.qwertee.com
  • 29. ATTACCHI RSA Photo by Nina Matthews Photography - http://flic.kr/p/fH3jh7
  • 30. ATTACCHI 1) identifica i pirla i dipendenti più esposti RSA Photo by Nina Matthews Photography - http://flic.kr/p/fH3jh7
  • 31. ATTACCHI 1) identifica i pirla i dipendenti più esposti 2) scopri tutti gli account RSA Photo by Nina Matthews Photography - http://flic.kr/p/fH3jh7
  • 32. ATTACCHI 1) identifica i pirla i dipendenti più esposti 2) scopri tutti gli account 3) profilali bene (amicizie, interessi) RSA Photo by Nina Matthews Photography - http://flic.kr/p/fH3jh7
  • 33. ATTACCHI 1) identifica i pirla i dipendenti più esposti 2) scopri tutti gli account 3) profilali bene (amicizie, interessi) 4a) manda una mail di phishing contestualizzata RSA Photo by Nina Matthews Photography - http://flic.kr/p/fH3jh7
  • 34. ATTACCHI 1) identifica i pirla i dipendenti più esposti 2) scopri tutti gli account 3) profilali bene (amicizie, interessi) 4a) manda una mail di phishing contestualizzata 4b) crea un profilo RSA Photo by Nina Matthews Photography - http://flic.kr/p/fH3jh7
  • 35. ATTACCHI 1) identifica i pirla i dipendenti più esposti 2) scopri tutti gli account 3) profilali bene (amicizie, interessi) 4a) manda una mail di phishing contestualizzata 4b) crea un profilo 5b) fatti amici i suoi amici RSA Photo by Nina Matthews Photography - http://flic.kr/p/fH3jh7
  • 36. ATTACCHI 1) identifica i pirla i dipendenti più esposti 2) scopri tutti gli account 3) profilali bene (amicizie, interessi) 4a) manda una mail di phishing contestualizzata 4b) crea un profilo 5b) fatti amici i suoi amici 6b) mandagli una richiesta di amicizia RSA Photo by Nina Matthews Photography - http://flic.kr/p/fH3jh7
  • 37. NON È ROBA NUOVA 2002 the art of deception, kevin mitnick, il condor
  • 38. NON È ROBA NUOVA 2002 the art of deception, kevin mitnick, il condor
  • 39. NON È ROBA NUOVACiao Arianna, Seguiamo da tempo il tuo “royal blog” sulle tue avventure culinarie e abbiamo pensato a te per l’inaugurazione di un nuovo menù a base di maialino dei Nebrodi. Sperando di non disturbarti troppo abbiamo preparato un una cena speciale: per confermare accedi con le tue credenziali Facebook. Insieme a te ci saranno altri foodblogger d’eccezione. Sarai dei nostri? Speriamo di vederti presto 2002 the art of deception, kevin mitnick, il condor
  • 40. NON È ROBA NUOVACiao Arianna, Seguiamo da tempo il tuo “royal blog” sulle tue avventure culinarie e abbiamo pensato a te per l’inaugurazione di un nuovo menù a base di maialino dei Nebrodi. Sperando di non disturbarti troppo abbiamo preparato un una cena speciale: per confermare accedi con le tue credenziali Facebook. Insieme a te ci saranno altri foodblogger d’eccezione. Sarai dei nostri? Speriamo di vederti presto 2002 the art of deception, kevin mitnick, il condor
  • 41. APT http://intelreport.mandiant.com
  • 42. APT http://intelreport.mandiant.com
  • 43. APT Raccogliere informazioni Scegliere i target Conquistare la fiducia Rendere l’attacco efficace http://intelreport.mandiant.com
  • 44. In quale luogo le persone: Condividono informazioni con cani e porci? Non impostano livelli di privacy? Accettano richieste di vario tipo? Si fidano praticamente di tutti? Cliccano su “guarda le scene censurate del film di Belen?” ?
  • 45. In quale luogo le persone: Condividono informazioni con cani e porci? Non impostano livelli di privacy? Accettano richieste di vario tipo? Si fidano praticamente di tutti? Cliccano su “guarda le scene censurate del film di Belen?” ? MARTE DA UBRIACHI AL BAR NON SUCCEDE SUI SOCIAL MEDIA
  • 46. AD ESEMPIO Blade Runner (1982)
  • 47. AD ESEMPIO Blade Runner (1982)
  • 48. PERIMETRO?
  • 49. PERIMETRO?
  • 50. PERIMETRO? INTRANET MAIL COMPUTER
  • 51. PERIMETRO? INTRANET MAIL SOCIAL MEDIA DIGITAL PR AGENCY COMPUTER TELEFONO PERSONAL COMPUTER
  • 52. PERIMETRO? INTRANET MAIL SOCIAL MEDIA DIGITAL PR AGENCY COMPUTER TELEFONO PERSONAL COMPUTER
  • 53. KALI GIOCATTOLI PRONTI ALL’USO consumerizzazione dell’ICT e degli attacchi vale anche per la sicurezza http://www.kali.org
  • 54. KALI GIOCATTOLI PRONTI ALL’USO consumerizzazione dell’ICT e degli attacchi vale anche per la sicurezza http://www.kali.org
  • 55. FACEBOOK https://www.facebook.com
  • 56. FACEBOOK https://www.facebook.com
  • 57. MALTEGO http://www.paterva.com/web6/
  • 58. MALTEGO • Company Stalker • Trova utente • Nome - Cognome • Mail http://www.paterva.com/web6/
  • 59. NETVIZZ https://apps.facebook.com/netvizz/
  • 60. NETVIZZ • Chi sono gli utenti più attivi? • Su cosa commentano? • Cosa gli interessa? • I dipendenti partecipano? https://apps.facebook.com/netvizz/
  • 61. TOOL AUTOMATICI http://code.google.com/p/fbpwn/
  • 62. TOOL AUTOMATICI •Aggiungi amici •Copia profili •Invia richieste di amicizia •Scarica foto •Scarica album •Scarica info •Scarica post •Notifica quando finito http://code.google.com/p/fbpwn/
  • 63. GIOCARE https://code.google.com/p/theharvester/
  • 64. GIOCARE https://code.google.com/p/theharvester/
  • 65. GIOCARE https://code.google.com/p/theharvester/
  • 66. GIOCARE https://code.google.com/p/theharvester/
  • 67. ESEMPIO 1
  • 68. ESEMPIO 1 BUONGIORNO! Qui centralino azienda dei Puffi
  • 69. ESEMPIO 1 BUONGIORNO! Qui centralino azienda dei Puffi NOME COGNOME RELAZIONI INTERESSI NOME COGNOME RELAZIONI INTERESSI OGGI INIZIO A LAVORARE IN AZIENDA ** FACEBOOK LINKEDIN TWITTER
  • 70. ESEMPIO 1 BUONGIORNO! Qui centralino azienda dei Puffi Aspetti che provo a passarglielo..4SQUARE “Oggi fritto misto al bar qui dietro”
  • 71. ESEMPIO 1 BUONGIORNO! Qui centralino azienda dei Puffi Aspetti che provo a passarglielo.. Non c’è, vuole riprovare più tardi? 4SQUARE “Oggi fritto misto al bar qui dietro”
  • 72. ESEMPIO 1 BUONGIORNO! Qui centralino azienda dei Puffi Aspetti che provo a passarglielo.. Non c’è, vuole riprovare più tardi? Va bene, il suo interno è il 437 4SQUARE “Oggi fritto misto al bar qui dietro”
  • 73. ESEMPIO 1
  • 74. ESEMPIO 1 Pronto?
  • 75. ESEMPIO 1 Pronto? LINKEDIN NOME COGNOME DEL RESPONSABILE IT
  • 76. ESEMPIO 1 Pronto? Eh no, sono appena arrivatoLINKEDIN NOME COGNOME DEL RESPONSABILE IT
  • 77. ESEMPIO 1 Pronto? Eh no, sono appena arrivato puffo.tontolone03 LINKEDIN NOME COGNOME DEL RESPONSABILE IT
  • 78. ESEMPIO 1 Pronto? Eh no, sono appena arrivato puffo.tontolone03 Grazie e a presto! LINKEDIN NOME COGNOME DEL RESPONSABILE IT
  • 79. È TUTTO BELLISSIMO Photo by Meathead Movers - http://flic.kr/p/99utdQ
  • 80. È TUTTO BELLISSIMO Ciao, il mio sogno è diventare un community manager come te: puoi darmi qualche consiglio? Photo by Meathead Movers - http://flic.kr/p/99utdQ
  • 81. È TUTTO BELLISSIMO Ciao, il mio sogno è diventare un community manager come te: puoi darmi qualche consiglio? Ciao, studio architettura e per la tesi devo fare delle foto all’interno del palazzo, mi aiuteresti? Photo by Meathead Movers - http://flic.kr/p/99utdQ
  • 82. È TUTTO BELLISSIMO Ciao, il mio sogno è diventare un community manager come te: puoi darmi qualche consiglio? Ciao, studio architettura e per la tesi devo fare delle foto all’interno del palazzo, mi aiuteresti? Ciao, ci siamo visti ieri sera e mi sono dimenticata di chiederti il numero... Photo by Meathead Movers - http://flic.kr/p/99utdQ
  • 83. NON SOLO food: cosa succede se esce un messaggio “ cosa succede se non hai una pagina e qualcuno fa squatting?
  • 84. NON SOLO food: cosa succede se esce un messaggio “ cosa succede se non hai una pagina e qualcuno fa squatting?
  • 85. NON SOLO Grande Azienda Attenzione: abbiamo trovato tracce d’arsenico nel lotto di cioccolato 335252. Siete pregati di non mangiarlo e riportarlo in negozio. Altre info bit.ly/ malevolo food: cosa succede se esce un messaggio “ cosa succede se non hai una pagina e qualcuno fa squatting?
  • 86. NON SOLO Compromettere i clienti Grande Azienda Attenzione: abbiamo trovato tracce d’arsenico nel lotto di cioccolato 335252. Siete pregati di non mangiarlo e riportarlo in negozio. Altre info bit.ly/ malevolo food: cosa succede se esce un messaggio “ cosa succede se non hai una pagina e qualcuno fa squatting?
  • 87. QUINDI? Consapevoli e Attenti Gif animata http://img3.joyreactor.com/pics/post/gay-soap-men-shower-388933.gif