Attacks exploiting users’ common-interests on social network systems

Abstract

Ο σκοπός αυτής της διπλωματικής είναι να εκτελεστεί μια επίθεση ηλεκτρονικού «ψαρέματος» σε χρήστες του Twitter χρησιμοποιώντας την επιρροή συγκεκριμένων χρηστών. Για να επιτευχθεί αυτό το διαφορετικό είδος της επίθεσης, συλλέχθηκαν προσωπικά δεδομένα ανυποψίαστων χρηστών. Στη συνέχεια, υπολογίζεται η επίδραση όλων των χρηστών και αποστέλλεται ένα μήνυμα «ψαρέματος» στους χρήστες με τη μεγαλύτερη επίδραση. Είναι απαραίτητο να δημιουργηθεί ένα αληθοφανές μήνυμα αλλά και μια αληθοφανής σελίδα «ψαρέματος». Μέσα από αυτή τη μελέτη, αντιλαμβανόμαστε πόσο ισχυρά είναι τα μέτρα ασφαλείας του Twitter. Δεν είναι εύκολο να συγκεντρωθούν πληροφορίες για ένα χρήστη, αλλά ούτε και ανέφικτο. Υπάρχουν ισχυρά μέτρα που λαμβάνονται από το Twitter για να εμποδίσει κακόβουλους χρήστες να συγκεντρώνουν αδιαλείπτως προσωπικά δεδομένα. Αυτή η διπλωματική, ωστόσο, αποδεικνύει ότι η συλλογή δεδομένων στο Twitter είναι εφικτή και οι χρήστες του, δεν προστατεύονται στο βαθμό που θα έπρεπε. Αποδεικνύει επίσης ότι ένας εισβολέας είναι σε θέση να στείλει κακόβουλα μηνύματα χωρίς αυτά να ανιχνεύονται.

The purpose of this thesis is to detail on a social phishing attack on Twitter users by using the influence of specific users. In order to achieve this different kind of attack, personal information of unsuspicious users were crawled. After that, the influence of all users is calculated and a phishing message is sent to the most influenced users. Also, it is necessary to create not only a believable phishing message but also a believable phishing page. Through this study, we realize how strong the security measures of Twitter are. As explained, it is not easy to gather user information but it is not infeasible either. There are strong measures taken by Twitter to prevent malicious users to gather data nonstop. This thesis, however, proves that crawling in Twitter is feasible and its users are not so much protected as they should be. It also demonstrates that an attacker is able to send malicious messages without Twitter detecting it.