THE DIFFERENCE BETWEEN A KILLER DEAL AND A DEAL KILLER MARKUS - - PowerPoint PPT Presentation

THE DIFFERENCE BETWEEN A KILLER DEAL AND A DEAL KILLER

MARKUS JAKOBSSON PAYPAL

Confidential and Proprietary 2

THAT DIFFERENCE IS OFTEN SMALL

Confidential and Proprietary 3

PART 1/3: DEALING WITH WEB SPOOFING

JOINT WORK WITH HOSSEIN SIADATI

Theory ¡of ¡When ¡Spoofing ¡Works ¡

¡An ¡a3acker ¡is ¡successful ¡if ¡

¡ ¡

• 1. The ¡vic;m ¡is ¡tricked, ¡and ¡as ¡a ¡result ¡
• 2. The ¡vic;m ¡acts, ¡benefiBng ¡the ¡a3acker ¡

Theory ¡of ¡When ¡Spoofing ¡Works ¡

¡An ¡a3acker ¡is ¡successful ¡if ¡

¡ ¡

• 1. The ¡vic;m ¡is ¡tricked, ¡and ¡as ¡a ¡result ¡
• 2. The ¡vic;m ¡acts, ¡benefiBng ¡the ¡a3acker ¡

Tradi;onal ¡countermeasures ¡address ¡this ¡part ¡ ¡ ¡(locks, ¡colors, ¡warnings ¡– ¡a ¡user ¡communica;on ¡problem) ¡

Theory ¡of ¡When ¡Spoofing ¡Works ¡

¡An ¡a3acker ¡is ¡successful ¡if ¡

¡ ¡

• 1. The ¡vic;m ¡is ¡tricked, ¡and ¡as ¡a ¡result ¡
• 2. The ¡vic;m ¡acts, ¡benefiBng ¡the ¡a3acker ¡

Can ¡we ¡address ¡this ¡instead? ¡

Imagine ¡a ¡World ¡Where… ¡

GOOD ¡SITE ¡

+ ¡

NAÏVE ¡USER ¡

= ¡

SUCCESS ¡ SPOOF ¡SITE ¡

+ ¡

¡ ¡NAÏVE ¡USER ¡ (SAME ¡ACTION) ¡

= ¡

ABORT ¡

¡Here ¡is ¡How ¡to ¡Do ¡It! ¡

On ¡ white-­‑ list? ¡

LOG ¡IN ¡NOW ¡ ABORT ¡

Y ¡ N ¡

Enter ¡Password: ¡

Feedback ¡– ¡but ¡no ¡instruc;ons ¡

Performance ¡

75% ¡ 15% ¡ 10% ¡

Confidential and Proprietary 11

PART 2/3: DISCOURAGING LYING

Confidential and Proprietary 12

HOW LIES “SOLIDIFY”…

Confidential and Proprietary 13

… AND HOW TO AVOID IT!

……

Confidential and Proprietary 14

EXPERIMENT DESIGN

MOTIVE CRIME REACTION VARI ABLE

Confidential and Proprietary 15

EXPERIMENT DESIGN

MOTIVE CRIME REACTION VARI ABLE

Affiliate sends you a broken item.

Confidential and Proprietary 16

EXPERIMENT DESIGN

MOTIVE CRIME REACTION VARI ABLE

Affiliate sends you a broken item. You decide to order “and never receive”.

Confidential and Proprietary 17

EXPERIMENT DESIGN

MOTIVE CRIME REACTION VARI ABLE

Affiliate sends you a broken item. You decide to order “and never receive”. You select item, see photo/name

• f delivery.

You select item.

Confidential and Proprietary 18

AN EXPERIMENT - REACTION

Confidential and Proprietary 19

AN EXPERIMENT – RESULTS

Test: 304 Control: 318

TEST TREATMENT REDUCES LIES BY ~60%

Confidential and Proprietary 20

HOW TO AVOID LIES

• Confront the user before he has committed to his lie
• Provide him with an “easy out” at the tipping point

Confidential and Proprietary 21

EXPERIMENT NUMBER 2

MOTIVE CRIME REACTION VARI ABLE

Affiliate sends you a broken item. You decide to order “and never receive”. You select item, told “was your computer”. You select item.

Confidential and Proprietary 22

EXPERIMENT NUMBER 2

MOTIVE CRIME REACTION VARI ABLE

Affiliate sends you a broken item. You decide to order “and never receive”. You select item, told “was your computer”. You select item.

TEST TREATMENT REDUCES LIES BY ~30%

Confidential and Proprietary 23

HOW TO AVOID LIES

• Order matters: evidence first, decision second
• Always build an emergency exit
• Concrete evidence is more helpful
• Some confrontation hurts the honest – other does not

Confidential and Proprietary 24

PART 3/3: DERIVED PINS JOINT WORK WITH DEBIN LIU

Confidential and Proprietary

SOME BAD PINS

1234 2580 Your spouse’s birthday PINs you forget

Confidential and Proprietary

CORPORATE FOUR-LETTER WORD

“Friction”

Confidential and Proprietary

WHAT WILL USERS SEE

Confidential and Proprietary

EXAMPLE USER MAPPING

“Blu2thRules” “2582”

Confidential and Proprietary

OPPORTUNISTIC DERIVATION

Access; Truncate; Map; Store

Confidential and Proprietary

PASSWORD CHANGE?

Dual Universes

Confidential and Proprietary

IMAGINE PIN THEFT

2 4 6 8 10 12 14 16 18 20

Password Entropy Entropy of Derived PINs Conditional Password Entropy

Confidential and Proprietary 32

MORE DETAILS

www.spoofkiller.com www.derivedPIN.com … or email me at majakobsson@paypal.com …