The document discusses security issues related to social networking sites. It provides examples of common social networking attacks like phishing, worms, and clickjacking on sites like Facebook and Twitter. It also discusses techniques that bad actors use to gather personal information from social networks and how users can better protect their privacy and secure their accounts. The document is presented as a conference paper on social networking security issues.

1. SNS M3-0
A. Prathan Phongthiproek
A. Sharkrit Piyavanich
www.acisonline.net/snscon2010

2. Aug-18-10
Example of Social Network
RSS feed
A
CI
S
Pr
of
es
sio
www.acisonline.net/snscon2010
na
l 2

3. Social Networking Security Conference 2010
เว็บไซต์ Social Network ที่ได้รับความนิยมสูงสุด 10 อันดับ
3
www.acisonline.net/snscon2010

4. ACIS Professional Center
Social Network Phishing Attack Statistic
www.acisonline.net/snscon2010

5. ACIS Professional Center
Hi5 Phishing Attack
http://www.hi5.vs
www.acisonline.net/snscon2010

6. ACIS Professional Center
Facebook Phishing Attack
www.acisonline.net/snscon2010

7. ACIS Professional Center
Social Network Worm (Koobface)
Effect various social network site:
 Facebook
 Hi5
 MySpace
 Bebo
 Tagged
 Friendster
 Fubar
 LiveJournal
 myYearbook
 Netlog
www.acisonline.net/snscon2010

8. ACIS Professional Center
Koobface Attack Step: 1
www.acisonline.net/snscon2010

9. ACIS Professional Center
Koobface Attack Step: 2
เว็บไซต์ที่แฮกเกอร์เตรียมไว้ เพื่อหลอกล่อให้เหยื่อติดตั้ง Adobe Flash Player
www.acisonline.net/snscon2010

10. ACIS Professional Center
Koobface Attack Step: 3
ตัวอย่างข้อความที่ส่งออกไปยังสมาชิกคนอื่นๆ หลังจากที่เหยื่อติด Worm Koobface
See The Others in “Social Networking Security Live Show”
www.acisonline.net/snscon2010

11. Social Networking Security Conference 2010
Short Descriptions To Gen-Y
Pop Culture Own All Gadgets
Working with PC Eminem/ Britney Fans
Harry Potter Series
Social Networking
11
www.acisonline.net/snscon2010

12. Gen-Y Behaviors
 Continually connected
 Speak their own language
 Skeptical of authority
 Influenced by peers
 Seek recognition and fame
 Enjoy absurdity and off humor
 Embrace subcultures
 Skim text and information quickly
 Easily bored
 Expressive and digitally creative
www.acisonline.net/snscon2010

13. Social Networking Security Conference 2010
Percentage of staff using their PC for personal reasons
Percentage
90
80
70
60
50
40
30
20
10
0
Email Websites Banking/ Social
Personal Networking
Finance
13 www.acisonline.net/snscon2010

14. Social Networking Security Conference 2010
How do the Gen Y bypass enterprise control to visit
social networking?
Gen Y Hack Tools
See Full Version in “Social Networking Security Live Show”
14 www.acisonline.net/snscon2010

15. SNS M7-3
www.acisonline.net/snscon2010

16. Social Networking Security Conference 2010
What is "Good Sites Gone Bad"?
 The web’s greatest accomplishments have become its
biggest threats. Compromised sites, user-generated content
and social networks challenge traditional domain-based trust
mechanisms.
 The growth of the web has outpaced traditional URL filters.
 Web applications bypass legacy file-based anti-virus
engines.
 Search engine optimization and trending topics are used by
attackers to increase their attack performance.
16 www.acisonline.net/snscon2010

17. Social Networking Security Conference 2010
Facebook Clickjacking
17 www.acisonline.net/snscon2010

18. Social Networking Security Conference 2010
Facebook Clickjacking
18 www.acisonline.net/snscon2010

19. Social Networking Security Conference 2010
Twitter Clickjacking
19 www.acisonline.net/snscon2010

20. Social Networking Security Conference 2010
Cross Site Scripting Attack on Twitter
20 www.acisonline.net/snscon2010

21. Social Networking Security Conference 2010
Cross Site Scripting Attack on Facebook
21 www.acisonline.net/snscon2010

22. Social Networking Security Conference 2010
Cross Site Scripting Attack on Hi5
22 www.acisonline.net/snscon2010

23. Social Networking Security Conference 2010
Cross Site Scripting Attack on YouTube
23 www.acisonline.net/snscon2010

24. Social Networking Security Conference 2010
Twitter Phishing – www.tvvitter.com
24 www.acisonline.net/snscon2010

25. Social Networking Security Conference 2010
Website URL Shortener
25 www.acisonline.net/snscon2010

26. Social Networking Security Conference 2010
Simple URL Shortener – bit.ly
26 www.acisonline.net/snscon2010

27. Social Networking Security Conference 2010
Simple URL Shorten on Twitter
27 www.acisonline.net/snscon2010

28. Social Networking Security Conference 2010
Twitter Attack via URL Shortener
28 www.acisonline.net/snscon2010

29. Social Networking Security Conference 2010
Twitter Attack with Drive-By-Download
29 www.acisonline.net/snscon2010

30. Social Networking Security Conference 2010
Drive by Download – Java Applet
30 www.acisonline.net/snscon2010

31. Social Networking Security Conference 2010
Drive by download-attack
(1) Client visit the landing page
(2) Redirect to get exploit
(3) Redirect to get exploit
Victim
(4) Download exploit
31 www.acisonline.net/snscon2010

32. Social Networking Security Conference 2010
Threats from Bad sites
Spyware
Adware Viruses
Unwanted/
offensive Trojans
content
Potentially
unwanted Worms
applications
Phishing
32 www.acisonline.net/snscon2010

33. Social Networking Security Conference 2010
How to Protect yourself from Bad sites
 Windows Patch, Browser, Macromedia, Acrobat Update
 Use a desktop browser that includes anti-phishing and
anti-malware blockers. Microsoft’s Internet Explorer,
Mozilla Firefox, and Opera all provide security features to block
malicious sites.
 Enable a firewall and apply all Microsoft operating system
updates. Avoid using pirated software
33 www.acisonline.net/snscon2010

34. SNS M8-1
www.acisonline.net/snscon2010

35. Social Networking Security Conference 2010
Cross Site Scripting (XSS) Attack
35 www.acisonline.net/snscon2010

36. Social Networking Security Conference 2010
Firefox – Noscript Add-ons
36 www.acisonline.net/snscon2010

37. Social Networking Security Conference 2010
Noscript-Prevent XSS and Malicious web
37 www.acisonline.net/snscon2010

38. Social Networking Security Conference 2010
Facebook Account Setting
38 www.acisonline.net/snscon2010

39. Social Networking Security Conference 2010
Facebook Account Security
39 www.acisonline.net/snscon2010

40. Social Networking Security Conference 2010
Notify Facebook Account Login
40 www.acisonline.net/snscon2010

41. Social Networking Security Conference 2010
Twitter Verify Account
41 www.acisonline.net/snscon2010

42. Social Networking Security Conference 2010
Twitter Verify Account
42 www.acisonline.net/snscon2010

43. Social Networking Security Conference 2010
Twitter Verify Account
43 www.acisonline.net/snscon2010

44. SNS M7-5
www.acisonline.net/snscon2010

45. Social Networking Security Conference 2010
Reconnaissance personal information
45 www.acisonline.net/snscon2010

46. Social Networking Security Conference 2010
Reconnaissance personal information
46 www.acisonline.net/snscon2010

47. Social Networking Security Conference 2010
Visualization Tools
47 www.acisonline.net/snscon2010

48. Social Networking Security Conference 2010
Reconnaissance personal information
48 www.acisonline.net/snscon2010

49. Social Networking Security Conference 2010
Facesaerch
49 www.acisonline.net/snscon2010

50. Social Networking Security Conference 2010
Results from tools (Maltego)
50 www.acisonline.net/snscon2010

51. Social Networking Security Conference 2010
Open Source Intelligence for Information Gathering
Ref: http://www.onstrat.com/osint/
51 www.acisonline.net/snscon2010

52. SNS M7-5
www.acisonline.net/snscon2010

53. Social Networking Security Conference 2010
เพื่อนจริงไม่จริง อย่างนี้ต้องจัดการ
53 www.acisonline.net/snscon2010

54. Social Networking Security Conference 2010
เพื่อนจริงไม่จริง อย่างนี้ต้องจัดการ
54 www.acisonline.net/snscon2010

55. Social Networking Security Conference 2010
เพื่อนจริงไม่จริง อย่างนี้ต้องจัดการ
55 www.acisonline.net/snscon2010

56. Social Networking Security Conference 2010
เทคนิคการซ่อนตัวจากการค้นหาข้อมูลส่วนตัว
56 www.acisonline.net/snscon2010

57. Social Networking Security Conference 2010
เทคนิคการซ่อนตัวจากการค้นหาข้อมูลส่วนตัว
57 www.acisonline.net/snscon2010

58. Social Networking Security Conference 2010
เทคนิคการซ่อนตัวจากการค้นหาข้อมูลส่วนตัว
Default Setting – Can search
Ref: http://www.onstrat.com/osint/
58 www.acisonline.net/snscon2010

59. Social Networking Security Conference 2010
เทคนิคการซ่อนตัวจากการค้นหาข้อมูลส่วนตัว
59 www.acisonline.net/snscon2010

60. Social Networking Security Conference 2010
เทคนิคการซ่อนตัวจากการค้นหาข้อมูลส่วนตัว
60 www.acisonline.net/snscon2010

61. Social Networking Security Conference 2010
เทคนิคการป้องกันการใช้ Application เสริม
61 www.acisonline.net/snscon2010

62. Social Networking Security Conference 2010
เทคนิคการป้องกันการใช้ Application เสริม
62 www.acisonline.net/snscon2010

63. Social Networking Security Conference 2010
เทคนิคการป้องกันการใช้ Application เสริม
63 www.acisonline.net/snscon2010

64. Social Networking Security Conference 2010
เทคนิคการป้องกันการใช้ Application เสริม
64 www.acisonline.net/snscon2010

65. Social Networking Security Conference 2010
เทคนิคการป้องกันการใช้ Application เสริม
65 www.acisonline.net/snscon2010

66. Social Networking Security Conference 2010
เทคนิคการระวัง Wall Post จากเพื่อนๆ และ การป้องกันเรื่อง
ราวของฉัน
Ref: http://www.onstrat.com/osint/
66 www.acisonline.net/snscon2010

67. Social Networking Security Conference 2010
เทคนิคการระวัง Wall Post จากเพื่อนๆ และ การป้องกันเรื่อง
ราวของฉัน
67 www.acisonline.net/snscon2010

68. Social Networking Security Conference 2010
เทคนิคการระวัง Wall Post จากเพื่อนๆ และ การป้องกันเรื่อง
ราวของฉัน
68 www.acisonline.net/snscon2010

69. Social Networking Security Conference 2010
เทคนิคการระวัง Wall Post จากเพื่อนๆ และ การป้องกันเรื่อง
ราวของฉัน
69 www.acisonline.net/snscon2010

70. Social Networking Security Conference 2010
เทคนิคการระวัง Wall Post จากเพื่อนๆ และ การป้องกันเรื่อง
ราวของฉัน
70 www.acisonline.net/snscon2010

71. Social Networking Security Conference 2010
เทคนิคการระวัง Wall Post จากเพื่อนๆ และ การป้องกันเรื่อง
ราวของฉัน
71 www.acisonline.net/snscon2010

72. Social Networking Security Conference 2010
ฉันเป็นเพื่อนกับใคร ไม่อยากให้ใครรู้ และ อัลบั้มของฉันเพื่อน
ดูได้เท่านั้น
72 www.acisonline.net/snscon2010

73. Social Networking Security Conference 2010
ฉันเป็นเพื่อนกับใคร ไม่อยากให้ใครรู้ และ อัลบั้มของฉันเพื่อน
ดูได้เท่านั้น
73 www.acisonline.net/snscon2010

74. Social Networking Security Conference 2010
ฉันเป็นเพื่อนกับใคร ไม่อยากให้ใครรู้ และ อัลบั้มของฉันเพื่อน
ดูได้เท่านั้น
74 www.acisonline.net/snscon2010

75. Social Networking Security Conference 2010
ฉันเป็นเพื่อนกับใคร ไม่อยากให้ใครรู้ และ อัลบั้มของ
ฉันเพื่อนดูได้เท่านั้น
75 www.acisonline.net/snscon2010

76. Social Networking Security Conference 2010
ฉันเป็นเพื่อนกับใคร ไม่อยากให้ใครรู้ และ อัลบั้มของ
ฉันเพื่อนดูได้เท่านั้น
76 www.acisonline.net/snscon2010

77. Social Networking Security Conference 2010
ข้อมูลการติดต่อที่ไม่อยากให้ใครติดต่อ (เทคนิคการซ่อน
ข้อมูล)
77 www.acisonline.net/snscon2010

78. Social Networking Security Conference 2010
ข้อมูลการติดต่อที่ไม่อยากให้ใครติดต่อ (เทคนิคการซ่อน
ข้อมูล)
78 www.acisonline.net/snscon2010

79. Social Networking Security Conference 2010
ข้อมูลการติดต่อที่ไม่อยากให้ใครติดต่อ (เทคนิคการซ่อน
ข้อมูล)
79 www.acisonline.net/snscon2010

80. Social Networking Security Conference 2010
ข้อมูลการติดต่อที่ไม่อยากให้ใครติดต่อ (เทคนิคการซ่อน
ข้อมูล)
80 www.acisonline.net/snscon2010

81. Social Networking Security Conference 2010
ข้อมูลการติดต่อที่ไม่อยากให้ใครติดต่อ (เทคนิคการซ่อน
ข้อมูล)
81 www.acisonline.net/snscon2010

82. Social Networking Security Conference 2010
ข้อมูลการติดต่อที่ไม่อยากให้ใครติดต่อ (เทคนิคการซ่อน
ข้อมูล)
Set Privacy to Friend Only
82 www.acisonline.net/snscon2010

83. Social Networking Security Conference 2010
เทคนิคการเลิกใช้แบบถาวรทําอย่างไร
83 www.acisonline.net/snscon2010

84. Social Networking Security Conference 2010
เทคนิคการเลิกใช้แบบถาวรทําอย่างไร
84 www.acisonline.net/snscon2010

85. Social Networking Security Conference 2010
เทคนิคการใช้ Twitter และ Facebook สําหรับการทํางาน
เพื่อให้เกิดประโยชน์แก่องค์กร
85 www.acisonline.net/snscon2010

86. Social Networking Security Conference 2010
เทคนิคการใช้ Tweetdeck, Twhirl, Echofon
และ Yoono
86 www.acisonline.net/snscon2010

87. Social Networking Security Conference 2010
TweetDeck
 http://www.tweetdeck.com/desktop/
87 www.acisonline.net/snscon2010

88. Social Networking Security Conference 2010
TweetDeck
88 www.acisonline.net/snscon2010

89. Social Networking Security Conference 2010
twhirl
 http://twhirl.org
89 www.acisonline.net/snscon2010

90. Social Networking Security Conference 2010
echofon
 http://www.echofon.com
90 www.acisonline.net/snscon2010

91. Social Networking Security Conference 2010
Yoono
 http://yoono.com
91 www.acisonline.net/snscon2010

92. Social Networking Security Conference 2010
รวมกลเม็ด และ เทคนิคการรักษาความปลอดภัยที่ควรรู้
สําหรับการใช้ Facebook Twitter, Linkedin, Google,
Hi5 และ YouTube
 Don’t click on links or open attachments in suspicious emails.
 Be wary of where you enter your password.
 Be suspicious of emails or messages that contain misspellings or use bad grammar, especially if they’re
from someone who is usually a good writer.
 Make sure you have an up-to-date web browser equipped with an anti-phishing blacklist.
 Make sure you have up-to-date comprehensive security software on your computer that includes anti-
virus, anti-spyware, anti-phishing, and a firewall.
 Make sure you've set your operating system to update automatically.
 Make sure you’ve listed a security question and answer for your online accounts
 Don’t share your passwords with anyone.
 Use different passwords for your various online accounts.
 Use a complex password that can’t be easily guessed.
 Remember that you choose what you share and with whom you share it.
92 www.acisonline.net/snscon2010

93. Social Networking Security Conference 2010
รวมกลเม็ด และ เทคนิคการรักษาความปลอดภัยที่ควรรู้
สําหรับการใช้ Facebook Twitter, Linkedin, Google,
Hi5 และ YouTube
93 www.acisonline.net/snscon2010

94. Social Networking Security Conference 2010
รวมกลเม็ด และ เทคนิคการรักษาความปลอดภัยที่ควรรู้
สําหรับการใช้ Facebook Twitter, Linkedin, Google,
Hi5 และ YouTube
94 www.acisonline.net/snscon2010