Tersine Sosyal Mühendislik #2

[7as]

Herkese Selamlar Değerli THT Ailesi Sosyal Mühendislik Serimizde Bugün Tersine Sosyal Mühendislik Konusunu Ele Alacağız

Tersine Sosyal Mühendislik Nedir?
Tersine sosyal mühendislik, kişinin kandırılarak değil, kendi isteğiyle saldırgana başvurmasını sağlamaktır.
Normal Sosyal Mühendislikte saldırgan kendine kurban bulurken, Tersine Sosyal Mühendislikte kurban kendi probleminden dolayı saldırgana yöneliyor.
Normal Sosyal Mühendisliğe Göre Daha Fazla Kurban Düşürme Oranına Sahiptir.
Mesela İnstagram Hesabını Kaybeden Kişilerin Geri Almak İçin Birisini Araması, Bulduktan Sonra Belirli Ücret Verip Yaptırmaya Çalışması.

Aşağıda Gördüğümüz Resimde Çeşitli Forumlarda Bulunan İnstagram Hizmet Kısımları Güvenilir Olmayan Yerlerden Hizmet Almayınız


(Tersine Sosyal Mühendisliği Sadece Sosyal Medya Hizmet Olarak Düşünmeyin Aklınıza Gelebilecek Neredeyse Her şeyde Yapılabilir)



Süreci Nasıl İşler?
Süreç Öncelikle Saldırganın Güncel Olan Bir Problemi Analiz Etmesi İle Başlar
Sonrasında İse O Problemin Çözümü Bulmak İle Gelir Devamı
Sonrasında Saldırganın Sahte Bir Hizmet Websitesi/Sosyal Medya Hesabı vb. Açması Ve Düzenlemesi İle Gelir
Özellikle Kurumsal Bir Görünüm Verip Kurban Düşme Oranını Arttırmak İstenir
Arama Motorunda Kurbanın Aradığı Hizmeti Yazdığında Saldırganın Sitesinin Öne Çıkması İçin Google ADS veya Google Business Profile Kullanılır (Genellikle)
Bunun Sonucunda Kurban Websiteye Giriş Yaptığında Eğer Güvenirse Tuzağa Düşer
Ve İşte Karşınızda Örnek Bir Senaryo, Daha Çok Çeşitlenebilir.
(Ayrıca Forumlarda Açılan Konularda Daha Çok Etkileşim Olduğu İçin Anahtar Cümle Aratıldığında Üste Çıkma İhtimali Artar)

Aşağıda Gördüğümüz Resimde Kurbanın Spesifik Bir Arama Yapması Sonucu Çıkan Muhtemel Olarak "Dolandırıcı" Bir Site


(Siber Güvenlik ve Öğrenim Amaçlıdır Sorumluluk Kabul Edilmez)
(Temel Bilgi İçerir)

Devamı Gelecek
“En büyük oyun, insanın kendi isteğiyle tuzağa yürümesidir.”
“En kolay kırılan kilit, insan kafasıdır.”


​

 

[DarkNode]

Herkese Selamlar Değerli THT Ailesi Sosyal Mühendislik Serimizde Bugün Tersine Sosyal Mühendislik Konusunu Ele Alacağız

Tersine Sosyal Mühendislik Nedir?
Tersine sosyal mühendislik, kişinin kandırılarak değil, kendi isteğiyle saldırgana başvurmasını sağlamaktır.
Normal Sosyal Mühendislikte saldırgan kendine kurban bulurken, Tersine Sosyal Mühendislikte kurban kendi probleminden dolayı saldırgana yöneliyor.
Normal Sosyal Mühendisliğe Göre Daha Fazla Kurban Düşürme Oranına Sahiptir.
Mesela İnstagram Hesabını Kaybeden Kişilerin Geri Almak İçin Birisini Araması, Bulduktan Sonra Belirli Ücret Verip Yaptırmaya Çalışması.

Aşağıda Gördüğümüz Resimde Çeşitli Forumlarda Bulunan İnstagram Hizmet Kısımları Güvenilir Olmayan Yerlerden Hizmet Almayınız


(Tersine Sosyal Mühendisliği Sadece Sosyal Medya Hizmet Olarak Düşünmeyin Aklınıza Gelebilecek Neredeyse Her şeyde Yapılabilir)



Süreci Nasıl İşler?
Süreç Öncelikle Saldırganın Güncel Olan Bir Problemi Analiz Etmesi İle Başlar
Sonrasında İse O Problemin Çözümü Bulmak İle Gelir Devamı
Sonrasında Saldırganın Sahte Bir Hizmet Websitesi/Sosyal Medya Hesabı vb. Açması Ve Düzenlemesi İle Gelir
Özellikle Kurumsal Bir Görünüm Verip Kurban Düşme Oranını Arttırmak İstenir
Arama Motorunda Kurbanın Aradığı Hizmeti Yazdığında Saldırganın Sitesinin Öne Çıkması İçin Google ADS veya Google Business Profile Kullanılır (Genellikle)
Bunun Sonucunda Kurban Websiteye Giriş Yaptığında Eğer Güvenirse Tuzağa Düşer
Ve İşte Karşınızda Örnek Bir Senaryo, Daha Çok Çeşitlenebilir.
(Ayrıca Forumlarda Açılan Konularda Daha Çok Etkileşim Olduğu İçin Anahtar Cümle Aratıldığında Üste Çıkma İhtimali Artar)

Aşağıda Gördüğümüz Resimde Kurbanın Spesifik Bir Arama Yapması Sonucu Çıkan Muhtemel Olarak "Dolandırıcı" Bir Site


(Siber Güvenlik ve Öğrenim Amaçlıdır Sorumluluk Kabul Edilmez)
(Temel Bilgi İçerir)

Devamı Gelecek
“En büyük oyun, insanın kendi isteğiyle tuzağa yürümesidir.”
“En kolay kırılan kilit, insan kafasıdır.”


​

elinize sağlık

 

[sametghack]

Eline saglik

 

[BlackPion]

Biraz bakındım da tersine sosyal mühendislik adı altında bir kavram bulamadım, kendiniz mi mantık yürüterek bunu ortaya attınız?

Çünkü okuduğum zaman mantık yolu ile düşünülüp geliştirilmiş bir şeye benziyor ve sadece SM yok, işin içerisinde iş analitiği, iş zekası, analiz, veriden anlam çıkartma gibi şeylerde var. Marketing & Ad & USP gibi uzmanlık alanlarınıda kapsıyor. İşin içinde biraz psikoloji ve sosyoloji de bulunuyor. Uzar gider : )

 

['Bögü]

Biraz bakındım da tersine sosyal mühendislik adı altında bir kavram bulamadım, kendiniz mi mantık yürüterek bunu ortaya attınız?

Çünkü okuduğum zaman mantık yolu ile düşünülüp geliştirilmiş bir şeye benziyor ve sadece SM yok, işin içerisinde iş analitiği, iş zekası, analiz, veriden anlam çıkartma gibi şeylerde var. Marketing & Ad & USP gibi uzmanlık alanlarınıda kapsıyor. İşin içinde biraz psikoloji ve sosyoloji de bulunuyor. Uzar gider : )

"Tersine sosyal mühendislik" diye bir oluşum yok zaten. Arkadaş oltayı atıp balık bekleme durumunu deredeki aç balıkların sırf acıktıkları için hazır olan oltaya doğru yüzmelerini "tersine" diye anlamlandırmış ve bunun üzerine bu konuyu açmış.
Olay her zaman aynıdır, biz ona farklı adlar koysak bile. Hep bir oltacı ve o oltaya gelecek balıklar vardır.

 

[fazeL]

Merhabalar, başarılı bir giriş ve net anlatım olmuş. Tersine sosyal mühendislik konusunu hem tanımlamışsınız hem de sahadaki örneklerle güzel bağlamışsınız. İçerik eğitim amaçlı çok uygun; şimdi naçizane bu seriyi daha etkili, belki sonraki konunuzda detaylı işleyebileceğiniz, şahsen görmek isteyeceğim, güvenli ve uygulanabilir hale getirecek birkaç öneri, savunma/tespit yöntemleri ve gelecek bölümler için fikirler paylaşayım.

Tersine sosyal mühendislikte fail, kurbanın kendi isteğiyle yaklaşmasını sağlar ve bunun için problem analizi, güvenilir görünüm, arama sonuçlarında görünürlük ve sonunda kurbanın “yardım istemesi” hedeflenir. Bu model kullanıcı hatasını tetiklediği için verimlidir ve savunması farklıdır.

Eğitim / Farkındalık içeriği
Arama sonuçlarına karşı korunma
Site & hesap doğrulama kontrol listesi (kullanıcıya verilecek kısa checklist)
URL’yı domain bazında kontrol etme (benzer yazım, ekstra kelime, TLD farklılığı).
HTTPS var mı? TLS hatası veriyor mu? (TLS hatası gördüğünde ilerleme)
İletişim bilgileri ve açık şirket bilgisi var mı? (telefon, resmi adres, vergi numarası vs.)
Kullanıcı yorumları/bağımsız incelemeler var mı? (tek bir forum gönderisine değil)
Ödeme olarak ön ödemeye (özellikle kripto) zorlanıyor muyum? Şüphe varsa dur.
Teknik tespit/uygulama tarafı (savunma, izleme, adli)
Sistemsel/kurumsal önlemler
Sosyal/psikolojik savunma
Raporlama ve hukuki adımlar

İyi forumlar, iyi çalışmalar.

 

[cakirbeyli]

eline sağlık

 

[7as]

Biraz bakındım da tersine sosyal mühendislik adı altında bir kavram bulamadım, kendiniz mi mantık yürüterek bunu ortaya attınız?

Çünkü okuduğum zaman mantık yolu ile düşünülüp geliştirilmiş bir şeye benziyor ve sadece SM yok, işin içerisinde iş analitiği, iş zekası, analiz, veriden anlam çıkartma gibi şeylerde var. Marketing & Ad & USP gibi uzmanlık alanlarınıda kapsıyor. İşin içinde biraz psikoloji ve sosyoloji de bulunuyor. Uzar gider : )

Yol aynı mantık aynı isim farklı dostum
her yiğidin yoğurt yiyişi farklıdır

 

[7as]

Merhabalar, başarılı bir giriş ve net anlatım olmuş. Tersine sosyal mühendislik konusunu hem tanımlamışsınız hem de sahadaki örneklerle güzel bağlamışsınız. İçerik eğitim amaçlı çok uygun; şimdi naçizane bu seriyi daha etkili, belki sonraki konunuzda detaylı işleyebileceğiniz, şahsen görmek isteyeceğim, güvenli ve uygulanabilir hale getirecek birkaç öneri, savunma/tespit yöntemleri ve gelecek bölümler için fikirler paylaşayım.

Tersine sosyal mühendislikte fail, kurbanın kendi isteğiyle yaklaşmasını sağlar ve bunun için problem analizi, güvenilir görünüm, arama sonuçlarında görünürlük ve sonunda kurbanın “yardım istemesi” hedeflenir. Bu model kullanıcı hatasını tetiklediği için verimlidir ve savunması farklıdır.

Eğitim / Farkındalık içeriği
Arama sonuçlarına karşı korunma
Site & hesap doğrulama kontrol listesi (kullanıcıya verilecek kısa checklist)
URL’yı domain bazında kontrol etme (benzer yazım, ekstra kelime, TLD farklılığı).
HTTPS var mı? TLS hatası veriyor mu? (TLS hatası gördüğünde ilerleme)
İletişim bilgileri ve açık şirket bilgisi var mı? (telefon, resmi adres, vergi numarası vs.)
Kullanıcı yorumları/bağımsız incelemeler var mı? (tek bir forum gönderisine değil)
Ödeme olarak ön ödemeye (özellikle kripto) zorlanıyor muyum? Şüphe varsa dur.
Teknik tespit/uygulama tarafı (savunma, izleme, adli)
Sistemsel/kurumsal önlemler
Sosyal/psikolojik savunma
Raporlama ve hukuki adımlar

İyi forumlar, iyi çalışmalar.

temel vermek istedim

 

[BlackPion]

"Tersine sosyal mühendislik" diye bir oluşum yok zaten. Arkadaş oltayı atıp balık bekleme durumunu deredeki aç balıkların sırf acıktıkları için hazır olan oltaya doğru yüzmelerini "tersine" diye anlamlandırmış ve bunun üzerine bu konuyu açmış.
Olay her zaman aynıdır, biz ona farklı adlar koysak bile. Hep bir oltacı ve o oltaya gelecek balıklar vardır.

tersine sosyal mühendislik kavramı yabancı gelmişti zaten, KS: "tersine" mantığını alıp sosyal mühendisliğe implemente etmiş. Yeni kavramlar, yöntemler vs böyle böyle türetiliyor, geliştiriliyor.

Ama bu konuda anlatılan şey sadece sosyal mühendislik değil, farklı farklı şeyleri de kapsıyor. Mavi tikin yeni çıktığını var sayalım ve bunu elde ettiğin zaman bir kazancının da olduğunu biliyorsun. Kolay yoldan kazanç elde etmek isteyen bir insan topluluğu olacaktır.

Neden elde etmek istiyorlar, hangi kesim elde etmek istiyor, hangi kesimin verdiği paranın gerçekten ihtiyacı var, hangisinin yok gibi gibi verileri toplarsın, analiz edersin, görselleştirirsin, belki istatistiksel bir model kurarsın. Elinde var olan veriden anlam çıkarttığın zaman saldırı olanakları çoğalıyor, biraz daha genişliyor, başarı oranı artıyor.

Veri bilimi, veri analizi, toplum psikolojisi gibi farklı etkenlerde var, ama bu yöntem düz bir çizgiden, ezberden çok mantık üzerine kurulu olduğu için farklı farklı yöntemler saldırıya implemente edip yapılabilir.

 

[ATK]

Ellerinize Sağlık