nektarios leontiadis cmu epp cylab leontiadis cmu edu
play

Nektarios Leontiadis (CMU/EPP/CyLab) leontiadis@cmu.edu - PowerPoint PPT Presentation

May 15, 2023 •374 likes •625 views

Nektarios Leontiadis (CMU/EPP/CyLab) leontiadis@cmu.edu Joint work with Nicolas Christin (CMU) and Tyler Moore (Harvard) Online crime Emergence of complex

  1. Nektarios ¡Leontiadis ¡(CMU/EPP/CyLab) ¡ ¡leontiadis@cmu.edu ¡ ¡ Joint ¡work ¡with ¡Nicolas ¡Christin ¡(CMU) ¡and ¡Tyler ¡Moore ¡(Harvard) ¡

  2.  Online ¡crime ¡  Emergence ¡of ¡complex ¡supply ¡chains ¡  Understanding ¡economics ¡is ¡key ¡to ¡combat ¡it ¡  Why ¡focus ¡on ¡drugs? ¡  What ¡about ¡counterfeit ¡software, ¡fake ¡watches…? ¡  Most ¡dangerous ¡form ¡of ¡online ¡crime ¡ ▪ Wrong ¡dosage ¡can ¡kill, ¡cf. ¡Ryan ¡Haight ¡  Method ¡of ¡exposure ¡  Revealing ¡interesting ¡insights ¡about ¡the ¡mechanics ¡of ¡ the ¡illicit ¡trade ¡ 2 ¡

  3. Email ¡spamming ¡has ¡been ¡the ¡key ¡tool ¡for ¡a ¡long ¡time ¡ More ¡recently: ¡social ¡network ¡spam ¡(e.g. ¡Twitter) ¡and ¡blog ¡spam ¡ Very ¡low ¡conversion ¡rate* ¡ (about ¡1 ¡purchase ¡every ¡10 ¡ Search ¡engine ¡manipulation ¡ million ¡emails ¡sent) ¡ Better ¡conversion ¡rate* ¡ (0.13%) ¡ Unsolicited ¡ ¡ Targeted ¡to ¡users ¡looking ¡for ¡a ¡ Posting ¡malicious ¡links ¡via ¡ product ¡ compromised ¡accounts ¡ Probably ¡better ¡conversion ¡ Exploiting ¡trust ¡we ¡have ¡to ¡our ¡ rates ¡ online ¡friends ¡ *Ratio ¡of ¡realized ¡sales ¡over ¡the ¡ number ¡of ¡emails/clicks ¡ 3 ¡

  4. 4 ¡

  5. Bob ¡runs ¡a ¡query ¡on ¡Google ¡ (e.g. ¡no ¡prescription ¡cialis) ¡ Results ¡will ¡include ¡infected ¡ websites ¡ Clicking ¡on ¡an ¡infected ¡ result ¡triggers ¡injected ¡ code ¡at ¡the ¡infected ¡ web ¡server ¡ One ¡or ¡more ¡HTTP ¡ 302 ¡redirections ¡occur ¡ Bob ¡lands ¡on ¡an ¡online ¡pharmacy ¡ store ¡ 5 ¡

  6. Code ¡is ¡injected ¡which ¡alters ¡ Exploitation ¡of ¡popular ¡ the ¡behavior ¡of ¡the ¡web ¡ Web ¡applications’ ¡ vulnerabilities ¡and ¡ server ¡based ¡on ¡the ¡ hosting ¡platforms ¡ parameters ¡of ¡the ¡request: ¡ Bluehost ¡ Generic ¡traffic ¡ Requests ¡from ¡ search ¡engine ¡ WordPress ¡ crawlers ¡(User-­‑ Agent) ¡ Requests ¡coming ¡ from ¡a ¡search ¡ … ¡ engine ¡results ¡ page ¡(referrer) ¡ 6 ¡

  7. Query ¡ Source ¡ Online ¡ Redirector(s) ¡ executed ¡ infection(s) ¡ pharmacies ¡ securetabsonline.com ¡ 302 ! best-­‑online-­‑cialis-­‑ 302 ! store.com ¡ cs. umass .edu ¡ stat-­‑center.com ¡ generictab.com ¡ no ¡prescription ¡cialis ¡ sylvan.k12.ca.us ¡ genericrxpharma.com ¡ … ¡ 7 ¡

  8. 1. Experimental ¡methodology ¡ 2. Effect ¡of ¡search-­‑redirection ¡attacks ¡on ¡ search ¡results ¡ 3. Delving ¡into ¡the ¡RX ¡network ¡ 4. Sketching ¡conversion ¡rates ¡ 8 ¡

  9. Identify ¡all ¡results ¡that ¡ Run ¡218 ¡drug ¡related ¡ Collect ¡top ¡64 ¡search ¡ Follow ¡all ¡infected ¡ perform ¡automated ¡ queries ¡daily. ¡ results ¡from ¡Google ¡ results ¡ redirection ¡ • Daily ¡collection ¡from ¡ • The ¡limit ¡is ¡defined ¡by ¡ • A ¡search ¡result ¡defines ¡ • Follow ¡each ¡result ¡ 4/12/2010. ¡ Google ¡Search ¡API ¡ the ¡website ¡that ¡a ¡user ¡ identified ¡as ¡infected ¡ will ¡be ¡redirected ¡to ¡when ¡ from ¡previous ¡step ¡ • Using ¡data ¡until ¡ • Storing ¡all ¡results ¡ ¡for ¡ clicking ¡on ¡the ¡link ¡ 10/21/2010. ¡ later ¡processing ¡ • Follow ¡all ¡redirections ¡ • If ¡the ¡browser ¡is ¡ that ¡might ¡occur ¡ • Complemented ¡by ¡a ¡ • Will ¡also ¡examine ¡position ¡ redirected ¡instead ¡to ¡a ¡ second ¡10-­‑week ¡dataset ¡ information ¡ • Record ¡all ¡the ¡redirection ¡ different ¡website ¡ information ¡ • Collection ¡process ¡is ¡still ¡ (domain), ¡the ¡result ¡is ¡ running. ¡ infected. ¡ 9 ¡

  10. vicodin ¡no ¡prescription ¡ vicodin ¡without ¡prescription ¡ cheap ¡valium ¡non ¡prescription ¡ generic ¡cialis ¡free ¡sample ¡ buy ¡ativan ¡online ¡injecting ¡pills ¡ cheap ¡tadalafil ¡ buy ¡xanax ¡valium ¡online ¡florida ¡ 20 ¡mg ¡ambien ¡overdose ¡ order ¡vicodin ¡si ¡levitra ¡online ¡ prozac ¡side ¡effects ¡ buy ¡xanax ¡valium ¡online ¡florida ¡ ambien ¡buy ¡online ¡ color ¡of ¡adipex ¡pills ¡safest ¡place ¡to ¡buy ¡online ¡ alprazolam ¡online ¡without ¡prescription ¡buy ¡cheap ¡ 10 ¡

  11. URI ¡(number) ! URI ¡(%) ! Domains ¡(#) ! Domains ¡(%) ! ! ! ! ! Source ¡ 73909 ! 53.8 ! 4652 ! 20.2 ! infections ! ¡ ¡ ¡ ¡ ¡ ¡ ¡Active ! 44503 ! 32.4 ! 2907 ! 12.6 ! ¡ ¡ ¡ ¡ ¡ ¡ ¡Inactive ! 29406 ! 21.4 ! 1745 ! 7.6 ! Health ¡ 1817 ! 1.3 ! 422 ! 1.8 ! resources ! Pharmacies ! 4348 ! 3.2 ! 2138 ! 9.3 ! ¡ ¡ ¡ ¡ ¡Legitimate ! 12 ! 0.01 ! 9 ! 0.04 ! ¡ ¡ ¡ ¡ ¡Illicit ! 4336 ! 3.2 ! 2129 ! 9.2 ! Blog/forum ¡ 41335 ! 30.1 ! 8064 ! 34.9 ! spam ! Uncategorized ! 15945 ! 11.6 ! 7766 ! 33.7 ! Total ! 137354 ! 100 ! 23042 ! 100 ! ! ! ! ! ! 11 ¡

  12. Classification by position in search results 1 2 3 search − redirection position in search results 4 attack (active) search − redirection 5 attack (inactive) 6 blog/forum spam 7 illicit pharmacies 8 9 health resources 10 other 1 − 10 11 − 32 33 − 64 0 20 40 60 80 100 % results with classification at position y 12 ¡

  13. Avg. daily domains in search results 1400 infections blog/forum spam illicit pharmacies 1200 health resources Search ¡ redirection ¡ 1000 attack ¡is ¡rising ! # Domains 800 Blog ¡spam ¡is ¡ 600 declining ! 400 200 0 May Jun Jul Aug Sep Oct Nov Dec Jan Date 13 ¡

  14. Survival function for search results (PageRank) Survival function for search results (TLD) 1.0 1.0 all all 95% CI 95% CI PR>=7 .COM 0<PR<7 .ORG 0.8 0.8 PR=0 .EDU .NET other 0.6 0.6 S(t) S(t) 0.4 0.4 0.2 0.2 0 50 100 150 200 0 50 100 150 200 t days source infection remains in search results t days source infection remains in search results .edu ¡sites ¡particularly ¡attractive, ¡as ¡well ¡as ¡high ¡PageRank ¡sites ¡(often ¡sites ¡fall ¡in ¡ both ¡categories) ! 14 ¡

  15. Pharmacy ¡ Redirector ¡ Search ¡ (freerx.com) ! (attacker.com) ! result ¡ (hacked.edu) ! Other ¡ Search ¡ pharmacy ¡ Redirector ¡ result ¡ (cheaprx.com) ! (1337.com) ! (pwned.com) ! Connected ¡components ¡in ¡the ¡graph ¡evidence ¡“some” ¡level ¡of ¡business ¡relationships ¡ between ¡the ¡nodes ¡they ¡connect ¡ ¡ 15 ¡

  16.  34 ¡connected ¡components ¡  One ¡connected ¡component ¡ ¡ ¡ ¡ ¡ ¡ ¡contains ¡ ¡  96% ¡of ¡all ¡infected ¡domains ¡  90% ¡of ¡all ¡redirection ¡domains ¡  92% ¡of ¡all ¡pharmacies ¡  Is ¡one ¡person ¡responsible ¡for ¡all ¡of ¡this?! ¡  Not ¡necessarily, ¡but ¡evidence ¡of ¡partner ¡relationships ! 16 ¡

Recommend

A scientific approach to fighting web-based cybercrime Tyler Moore Tandy School of Computer

A scientific approach to fighting web-based cybercrime Tyler Moore Tandy School of Computer

A scientific approach to fighting web-based cybercrime Tyler Moore Tandy School of Computer Science University of Tulsa Based on joint work with Nicolas Christin, Nektarios Leontiadis (Carnegie Mellon), John Wadleigh (SMU) and Marie Vasek (TU)

542 views • 35 slides
The Web Centipede: Understanding How Web Communities Influence Each Other Through the Lens of

The Web Centipede: Understanding How Web Communities Influence Each Other Through the Lens of

The Web Centipede: Understanding How Web Communities Influence Each Other Through the Lens of Mainstream and Alternative News Sources Savvas Zannettou , Tristan Caulfield, Emiliano De Cristofaro, Nicolas Kourtellis, Ilias Leontiadis, Michael

670 views • 29 slides
On the Usability of Firewall Configuration Tina Wong July 27 2006 CyLab IACBP 1 Firewalls

On the Usability of Firewall Configuration Tina Wong July 27 2006 CyLab IACBP 1 Firewalls

Carnegie Mellon CyLab 4720 FORBES AVENUE CIC BUILDING PITTSBURGH, PA 15213 PH: 412.268.1870 FX: 412.268.7675 www.cylab.cmu.edu On the Usability of Firewall Configuration Tina Wong July 27 2006 CyLab IACBP 1 Firewalls Firewalls are

890 views • 20 slides
USING GAIA ROLES MODELS Nektarios Mitakidis, Pavlos Delias, Nikolaos Spanoudakis Technical

USING GAIA ROLES MODELS Nektarios Mitakidis, Pavlos Delias, Nikolaos Spanoudakis Technical

VALIDATING REQUIREMENTS USING GAIA ROLES MODELS Nektarios Mitakidis, Pavlos Delias, Nikolaos Spanoudakis Technical University of Crete Outline 2 Motivation Underlying technology The contribution A real world case study

469 views • 32 slides
NEW LES CAPABILITY OF ADREA-HF Mr. Nektarios Koutsourakis 1 Dr. Alexander Venetsanos 2 Prof. John

NEW LES CAPABILITY OF ADREA-HF Mr. Nektarios Koutsourakis 1 Dr. Alexander Venetsanos 2 Prof. John

NEW LES CAPABILITY OF ADREA-HF Mr. Nektarios Koutsourakis 1 Dr. Alexander Venetsanos 2 Prof. John G. Bartzis 1 Mr. Ilias Tolias 2 1 University of West Macedonia Greece 2 NCSR Demokritos Greece Harmo 13 LES of ADREA-HF ADREA-HF CFD CODE

1.57k views • 20 slides
Nektarios Georgios Tsoutsos HOST HOST DATA PROG data(23:0) we ready_int almost_full Host IF

Nektarios Georgios Tsoutsos HOST HOST DATA PROG data(23:0) we ready_int almost_full Host IF

Alex Glass Albert Jimenez Nektarios Georgios Tsoutsos HOST HOST DATA PROG data(23:0) we ready_int almost_full Host IF sof size_x size_y almost_full BUF_FIFO Pipeline Controller JFIF GEN receiver m u x RGB DCT ZIG Huffman

292 views • 14 slides
Alessandro Acq isti and Ralph Gross Alessandro Acquisti and Ralph Gross Heinz College/CyLab C

Alessandro Acq isti and Ralph Gross Alessandro Acquisti and Ralph Gross Heinz College/CyLab C

Alessandro Acq isti and Ralph Gross Alessandro Acquisti and Ralph Gross Heinz College/CyLab C Carnegie Mellon University i M ll U i it Research support from National Science Foundation, U.S. Army R Research Office (through CyLab), Carnegie

302 views • 26 slides
Alessandro Acq isti and Ralph Gross Alessandro Acquisti and Ralph Gross Heinz College/CyLab C

Alessandro Acq isti and Ralph Gross Alessandro Acquisti and Ralph Gross Heinz College/CyLab C

Alessandro Acq isti and Ralph Gross Alessandro Acquisti and Ralph Gross Heinz College/CyLab C Carnegie Mellon University i M ll U i it Research support from National Science Foundation, U.S. Army R Research Office (through CyLab), Carnegie

553 views • 27 slides
A Survey of Current Android ABacks Timothy Vidas Daniel

A Survey of Current Android ABacks Timothy Vidas Daniel

A Survey of Current Android ABacks Timothy Vidas Daniel Vo*pka Nicolas Chris=n ECE/CyLab INI/CyLab INI/CyLab Carnegie Mellon Carnegie Mellon Carnegie

540 views • 40 slides
The Privacy and CyLab Security Behaviors of Smartphone Engineering &amp; App Developers

The Privacy and CyLab Security Behaviors of Smartphone Engineering &amp; App Developers

The Privacy and CyLab Security Behaviors of Smartphone Engineering &amp; App Developers Public Policy Rebecca Balebako, Abigail Marsh, Jialiu Lin, Jason Hong, Lorrie Faith y &amp; c S a e v c i u r P r i t e y l b L a

646 views • 26 slides
The Crossfire Attack Min Suk Kang Soo Bum Lee Virgil D. Gligor ECE Department and CyLab,

The Crossfire Attack Min Suk Kang Soo Bum Lee Virgil D. Gligor ECE Department and CyLab,

The Crossfire Attack Min Suk Kang Soo Bum Lee Virgil D. Gligor ECE Department and CyLab, Carnegie Mellon University May 20 2013 Old: DDoS Attacks against Single Servers typical attack : floods server with HTTP, UDP, SYN, ICMP packets

613 views • 28 slides
Whats Necessary to Establish Malware Freedom Unconditionally? Virgil D. Gligor ECE and CyLab

Whats Necessary to Establish Malware Freedom Unconditionally? Virgil D. Gligor ECE and CyLab

Whats Necessary to Establish Malware Freedom Unconditionally? Virgil D. Gligor ECE and CyLab Carnegie Mellon University Pittsburgh, PA 15213 FCS Workshop Boston June 22, 2020 06/22/2020 1 Outline I. Background - adversary: persistent

397 views • 21 slides
Privacy economics, Privacy economics, CyLab attitudes, and attitudes, and behavior behavior

Privacy economics, Privacy economics, CyLab attitudes, and attitudes, and behavior behavior

Privacy economics, Privacy economics, CyLab attitudes, and attitudes, and behavior behavior Engineering &amp; Public Policy Lorrie Faith Cranor September 5, 2013 y &amp; c S a e v c i u r P r i t e y l b L a a s b

845 views • 26 slides
CyLab A Case Study on the Role of Usability Studies in Developing Public Engineering

CyLab A Case Study on the Role of Usability Studies in Developing Public Engineering

CyLab A Case Study on the Role of Usability Studies in Developing Public Engineering &amp; Policy Public Policy Rebecca Balebako, Richard Shay, Lorrie Faith Cranor y &amp; c S a e v c i u r P r i t e y l b L a a s

708 views • 37 slides
Privacy engineering, CyLab privacy by design, privacy impact assessments, and privacy governance

Privacy engineering, CyLab privacy by design, privacy impact assessments, and privacy governance

Privacy engineering, CyLab privacy by design, privacy impact assessments, and privacy governance Engineering &amp; Public Policy Lorrie Faith Cranor October 29, 2013 y &amp; c S a e v c i u r P r i t e y l b L a a s

245 views • 20 slides
Privacy engineering, CyLab privacy by design, privacy impact assessments, and privacy governance

Privacy engineering, CyLab privacy by design, privacy impact assessments, and privacy governance

Privacy engineering, CyLab privacy by design, privacy impact assessments, and privacy governance Engineering &amp; Public Policy Lorrie Faith Cranor November 11, 2014 y &amp; c S a e v c i u r P r i t e y l b L a a s

555 views • 21 slides
Online Behavioral CyLab Advertising User Studies y &amp; c S a e v c i u r P r i

Online Behavioral CyLab Advertising User Studies y &amp; c S a e v c i u r P r i

Online Behavioral CyLab Advertising User Studies y &amp; c S a e v c i u r P r i t e y l b L Pedr Pedro Giovanni Leon and o Giovanni Leon and Blase Blase Ur Ur a a s b U o b r a a t W3C DNT and Beyond

358 views • 25 slides
Fair information Fair information CyLab practices and privacy practices and privacy principles

Fair information Fair information CyLab practices and privacy practices and privacy principles

Fair information Fair information CyLab practices and privacy practices and privacy principles principles Engineering &amp; Public Policy Lorrie Faith Cranor &amp; Rebecca Balebako y &amp; c S a e v c i u r P r i t e

823 views • 24 slides
Fair information Fair information CyLab practices and privacy practices and privacy principles

Fair information Fair information CyLab practices and privacy practices and privacy principles

Fair information Fair information CyLab practices and privacy practices and privacy principles principles Engineering &amp; Public Policy Lorrie Faith Cranor September 11, 2014 y &amp; c S a e v c i u r P r i t e y l b

815 views • 28 slides
Measuring the Longitudinal Evolution of the Online Anonymous Marketplace Ecosystem Kyle Soska

Measuring the Longitudinal Evolution of the Online Anonymous Marketplace Ecosystem Kyle Soska

Measuring the Longitudinal Evolution of the Online Anonymous Marketplace Ecosystem Kyle Soska Nicolas Christin Carnegie Mellon University Carnegie Mellon University ECE / Cylab ECE / Cylab ksoska@cmu.edu nicolasc@cmu.edu 1 Conventional

650 views • 47 slides
Automatically Detecting Vulnerable Sites Before They Turn Malicious Kyle Soska Nicolas

Automatically Detecting Vulnerable Sites Before They Turn Malicious Kyle Soska Nicolas

Automatically Detecting Vulnerable Sites Before They Turn Malicious Kyle Soska Nicolas Chris&gt;n Carnegie Mellon University Carnegie Mellon University ECE / Cylab ECE / Cylab

491 views • 28 slides
Design &amp; Implementation of a Portable File Synchronisation Mechanism for a Cloud Storage

Design &amp; Implementation of a Portable File Synchronisation Mechanism for a Cloud Storage

National Technical University of Athens Design &amp; Implementation of a Portable File Synchronisation Mechanism for a Cloud Storage Environment Supervisor Prof. Nektarios Koziris Assistant Supervisor Dr. Vangelis Koukis Candidate Vasilis

764 views • 40 slides
Parents, teenagers, and student privacy issues Engineering &amp; Public

Parents, teenagers, and student privacy issues Engineering &amp; Public

CyLab Parents, teenagers, and student privacy issues Engineering &amp; Public Policy Abby Marsh With thanks to Rebecca Balebako and Manya Sleeper y &amp; c S a e v c i u

485 views • 20 slides
Routing Bottlenecks in the Internet: Causes, Exploits, and Countermeasures Min Suk Kang Virgil

Routing Bottlenecks in the Internet: Causes, Exploits, and Countermeasures Min Suk Kang Virgil

Routing Bottlenecks in the Internet: Causes, Exploits, and Countermeasures Min Suk Kang Virgil D. Gligor ECE Department and CyLab, Carnegie Mellon University Nov 4, 2014 Route Diversity is Critical to Resiliency of Internet Connectivity

387 views • 22 slides

More recommend