LinkedIn Hedefli Spear Phishing Saldırıları

Suskun' Alıntı:

Eline sağlık kardeşim.

Genişletmek için tıkla ...

TheNeferian' Alıntı:

Ellerinize sağlık hocam

Genişletmek için tıkla ...

By Fezag' Alıntı:

LinkedIn dünyanın en büyük profesyonel ağıdır ve tam da bu nedenle saldırganların en çok beslendiği OSINT kaynağıdır. Bir platformda insanlar iş unvanlarını, çalıştıkları projeleri, kullandıkları teknolojileri, meslektaşlarını ve kariyer hedeflerini açıkça paylaşır. Bu bilgilerin tamamı spear phishing için hammaddedir. LinkedIn hedefli saldırılar hem çok kişiselleştirilmiş hem de çok inandırıcıdır. Düz phishing mailine düşmeyecek deneyimli bir güvenlik uzmanı, LinkedIn'den gelen iş teklifi formatındaki spear phishing mesajına düşebilir. Bu yazımda LinkedIn'in nasıl bir saldırı platformuna dönüştüğünü, OSINT toplama sürecini, saldırı senaryolarını, gerçek vakaları ve savunma yöntemlerini anlatacağım. İyi okumalar.

LinkedIn Neden Bu Kadar Değerli Bir Hedef?

Bir saldırganın ihtiyaç duyduğu bilgiler şunlardır: hedefin adı, unvanı, çalıştığı kurum, kurumda kime bağlı olduğu, hangi projelerde yer aldığı, hangi teknolojileri kullandığı, hangi meslektaşlarıyla çalıştığı ve kariyer geçmişi. Bu bilgilerin tamamı LinkedIn'de açık olarak yer alır.
Normal bir phishing saldırısı toplu gönderilir ve genel bir mesaj taşır. "Hesabınızda şüpheli aktivite tespit edildi" gibi. Bu mesaj hem güvenlik bilinci yüksek hem de düşük kullanıcılara aynı anda gönderilir. Tespit oranı yüksektir.
Spear phishing ise hedefe özeldir. "Merhaba [Ad], [Şirket]'teki [Proje adı] üzerine yaptığınız çalışmayı gördüm. [Ortak meslektaş adı] sizi önermişti, bir görüşme ayarlayabilir miyiz?" Bu mesaj gerçekle neredeyse ayırt edilemez. Çünkü içindeki her bilgi gerçektir, yalnızca gönderen sahtedir.
LinkedIn'in saldırganlar için sunduğu üç kritik avantaj vardır. Birincisi hedef kitleyi hassas biçimde filtrelemek: "X şirketinde CISO unvanına sahip kişiler" gibi bir arama saniyeler içinde sonuç verir. İkincisi organizasyon şemasını ortaya çıkarmak: şirketteki kim kime bağlı, hangi departman hangi yetkiye sahip anlaşılır. Üçüncüsü gerçek zamanlı bilgi akışı: hedef yeni bir proje paylaştı mı, yeni bir pozisyon mu aldı, konferansa mı katıldı, bunların hepsi anlık olarak takip edilir.

OSINT Toplama

Saldırı başlamadan önce kapsamlı bir OSINT aşaması gelir. LinkedIn'den manuel olarak toplanan bilgilerin yanı sıra otomatik araçlar bu süreci çok hızlandırır.

Hedef profil analizi ilk adımdır. Profilden şunlar çıkarılır: mevcut ve geçmiş iş deneyimi, kullandığı teknoloji yığını (skills bölümü), eğitim geçmişi ve mezun olduğu kurumlar, katıldığı gruplar ve takip ettiği şirketler, paylaştığı içerikler ve yorum yaptığı gönderiler, bağlantı listesindeki isimler (kısmi görünse bile değerlidir).
Organizasyon haritalama ikinci adımdır. Şirkette çalışan diğer kişiler aratılır. Kim CEO'ya doğrudan bağlı, kim IT departmanında, kim muhasebede, kim proje yöneticisi? Bu hiyerarşi saldırı senaryosunu şekillendirir. CEO adına CFO'ya mesaj gönderilecekse önce her ikisinin de profilinin incelenmesi gerekir.
Zaman damgası analizi çok sık gözden kaçırılan bir ayrıntıdır. Hedef ne zaman aktif? Sabahları mı gönderiler paylaşır, akşamları mı? Hangi konular ilgisini çeker? Bu bilgi sosyal mühendislik mesajının ne zaman ve nasıl gönderileceğini belirler.
E-posta format tahmini de LinkedIn üzerinden yapılır. Şirketin e-posta formatı genellikle [email protected] veya ilkharfsoyadı@sirket.com gibi tahmin edilebilir bir yapıdadır. LinkedIn profili ismi verir, şirketin web sitesi domain'i verir ve bu ikisi birleştirilerek hedefin e-posta adresi oluşturulur.

Python:

#!/usr/bin/env python3
"""
LinkedIn OSINT Analiz Yardımcısı
Açık kaynaklardan profesyonel profil bilgisi toplar.
(Eğitim ve yetkili pentest amaçlı)
"""

import requests
from bs4 import BeautifulSoup
import re

# E-posta format tahmini
EMAIL_FORMATLARI = [
    "{ad}.{soyad}@{domain}",
    "{ad}{soyad}@{domain}",
    "{ilk}{soyad}@{domain}",
    "{ad}_{soyad}@{domain}",
    "{soyad}.{ad}@{domain}",
    "{ilk}.{soyad}@{domain}",
    "{ad}@{domain}",
]

def email_listesi_uret(ad: str, soyad: str, domain: str) -> list:
    """Yaygın e-posta formatlarını üretir."""
    ad = ad.lower().replace('ı','i').replace('ğ','g').replace('ş','s')
    soyad = soyad.lower().replace('ı','i').replace('ğ','g').replace('ş','s')
    ilk = ad[0]

    return [
        fmt.format(ad=ad, soyad=soyad, ilk=ilk, domain=domain)
        for fmt in EMAIL_FORMATLARI
    ]

def email_dogrula(email_listesi: list) -> list:
    """Hunter.io API ile e-posta doğrulama."""
    # Hunter.io, Clearbit veya EmailHippo API kullanılabilir
    gecerli = []
    for email in email_listesi:
        # SMTP ping veya API kontrolü
        # Bu kısım gerçek implementasyonda API çağrısı içerir
        gecerli.append(email)
    return gecerli

# LinkedIn profilinden teknoloji stack çıkarma
def skills_analiz(profil_url: str) -> dict:
    """
    LinkedIn profil sayfasından beceri listesini çıkarır.
    Not: LinkedIn scraping ToS ihlalidir, yalnızca yetkili test için.
    """
    return {
        "programlama_dilleri": ["Python", "Go", "JavaScript"],
        "platformlar": ["AWS", "Azure", "Kubernetes"],
        "guvenlik_araclari": ["Splunk", "CrowdStrike", "Okta"],
        # Bu bilgiler spear phishing içeriğini kişiselleştirir
        # "AWS ortamınızdaki güvenlik açığı hakkında paylaşmak istiyorum"
    }

# Organizasyon haritası oluşturma
def org_harita(sirket_adi: str) -> dict:
    """
    Şirket çalışanlarını unvana göre kategorize eder.
    LinkedIn Sales Navigator veya manuel aramayla yapılır.
    """
    return {
        "C_suite": ["CEO", "CFO", "CISO", "CTO"],
        "IT_yonetim": ["IT Manager", "Systems Administrator", "Network Engineer"],
        "finans": ["Finance Manager", "Accountant", "AP Specialist"],
        "hedef_deger": {
            "en_yuksek": "CFO — banka transferi yetkisi",
            "IT": "SysAdmin — domain admin erişimi",
            "finans": "AP Specialist — ödeme yapabilir"
        }
    }

# Örnek çıktı:
# Hedef: Ahmet Yılmaz, CISO, TechCorp
# E-posta tahmini: [email protected]
# Teknoloji: Splunk, Azure AD, CrowdStrike Falcon
# Üstü: Mehmet Kaya (CEO) — hesabında 847 bağlantı
# Günlük aktif saat: Sabah 08:00-09:00

Sahte LinkedIn Profil Saldırıları

Saldırı yalnızca LinkedIn'den bilgi toplamakla sınırlı kalmaz. LinkedIn'in kendisi de bir saldırı vektörüdür.

Sahte işe alım uzmanı profili en yaygın yaklaşımdır. Saldırgan gerçek görünen bir profil oluşturur. Profil fotoğrafı yapay zeka ile üretilmiş veya çalınmıştır. Çalışma geçmişi makul görünen şirketlere bağlıdır. Bağlantı sayısı sınırlı ama yeterlidir. Bu profil hedefle bağlantı isteği gönderir. "Profilinizi inceledim, açık bir pozisyon için görüşmek isterim" mesajı gelir.
Neden işe yarar? İş teklifi meşru bir beklentidir. Özellikle pasif olarak iş arayanlarda bu mesaj büyük ilgi görür. Güvenilir görünen bir profil ve meşru iş teklifi formatı savunma mekanizmalarını düşürür.
Lazarus Group bu tekniği devlet hedeflerine karşı sistematik biçimde kullanmıştır. Güvenlik araştırmacılarına sahte iş teklifleri göndererek kötü amaçlı dosyaları görüşme sürecinin parçası olarak sunmuştur. 2020'de Samsung ve savunma şirketleri çalışanları bu yöntemle hedef alınmıştır. Gönderilen "teknik değerlendirme dökümanı" aslında implant içeren bir makro belgesidir.
Meslektaş taklidi ise çok daha sinsi bir versiyondur. Saldırgan kurban kuruluştaki gerçek bir çalışanın profilini neredeyse birebir kopyalar. İsim, fotoğraf ve çalışma geçmişi benzerdir ama hesap farklıdır. "Merhaba, şirket içi bir proje için araştırma yapıyorum, şu dosyayı paylaşabilir misiniz?" mesajı geldiğinde alıcı tanıdık bir isim gördüğünü sanır.

Python:

### Sahte Profil Tespiti — Göstergeler

# Profil fotoğrafı analizi
# Yapay zeka ile üretilmiş fotoğraflar belirli özellikler taşır:
YAPAY_ZEKA_FOTOGRAF_ISARETLERI = [
    "Arka plan tutarsızlığı — saç ile arka planın birleşim noktası",
    "Kulak asimetrisi veya eksik detaylar",
    "Arka planda çevre nesnelerinde bozulma",
    "Gözlerde cam veya yansıma gerçekçi değil",
    "Dişlerde veya saçta olağandışı düzgünlük",
]

# Python ile görsel tersine arama — sahte profil tespiti
def gorsel_tersine_ara(profil_foto_url: str) -> dict:
    """
    Google Lens veya TinEye API ile görsel kaynağını ara.
    Çalınan fotoğraf başka kaynaklarda görünür.
    """
    # Gerçek implementasyonda:
    # - Google Reverse Image Search API
    # - TinEye API
    # - Yandex Görseller (çok etkili)
    return {
        'kaynak_bulundu': True,
        'orijinal_kaynak': 'https://stockphoto.example.com/model/12345',
        'yorum': 'Stok fotoğraf — sahte profil ihtimali yüksek'
    }

# Profil yaşı ve aktivite analizi
SUPHELIPROFIL_KRITERLERI = {
    "profil_yasi": "6 aydan yeni — dikkat",
    "baglanti_sayisi": "50'den az — şüpheli",
    "paylasim_gecmisi": "Hiç paylaşım yok — dikkat",
    "oneri_sayisi": "Sıfır öneri — şüpheli",
    "egitim_dogrulama": "Okul bağlantısı onaylanmamış",
    "sirket_dogrulama": "Şirket e-postası doğrulanmamış",
}

# LinkedIn'in sahte profil bildirme yolu:
# Profil sayfası → ... (Diğer) → Rapor et → Sahte profil

# Kurumsal savunma — LinkedIn Sales Navigator uyarısı:
# Şirket adınızı taklit eden profilleri düzenli olarak arayın:
# Arama: "TechCorp" + "Security" + son 30 gün içinde kayıt
# Şüpheli profilleri LinkedIn Trust & Safety'ye bildirin

İş Teklifi Tuzağı

İş teklifi senaryosu kurulduktan sonra payload iletme aşaması gelir. Bu aşamada saldırgan kötü amaçlı dosyayı meşru bir iş süreci belgesinin içine gömer.

Makro içeren Office belgeleri klasik ama hâlâ etkili bir vektördür. "Teknik değerlendirme soruları.docx" veya "Sözleşme taslağı.xlsx" adıyla gönderilen belge açıldığında makro etkinleştirme ister. Kullanıcı etkinleştirirse payload çalışır.
PDF içine gömülü JavaScript Adobe Reader'ın belirli sürümlerinde çalışır. Zararlı JavaScript kodu PDF'in içine gömülür. Kullanıcı belgeyi açar, JavaScript çalışır.
LNK dosyası ZIP arşivi içinde gönderilir. "Maaş skalaları 2024.zip" açıldığında içinde .lnk uzantılı bir kısayol görünür. Çift tıklanınca PowerShell veya cmd arka planda çalışır.
ISO ve VHD dosyaları 2021 sonrasında yaygınlaşmıştır. Bu dosyalar Windows'ta doğrudan mount edilir ve içindeki çalıştırılabilir dosyalar farklı bir güvenlik bölgesinde çalışır. Mark-of-the-Web korumasını atlatır çünkü mount edilen birim yerel birim sayılır.

Lazarus Group'un 2022 saldırısında bu yöntem kullanılmıştır. Sahte bir Amazon iş teklifi PDF'i ile birlikte gönderilen "Amazon-KiemViet.iso" dosyası içindeki çalıştırılabilir dosya, açıldığında COINBASE implantu kurmuştur.

Python:

### Kötü Amaçlı Dosya Tespiti — Statik ve Dinamik Analiz

# 1. Office makro analizi — olevba ile
# pip install oletools
from oletools.olevba import VBA_Parser, TYPE_OLE, TYPE_OpenXML

def makro_analiz(dosya_yolu: str) -> dict:
    vba_parser = VBA_Parser(dosya_yolu)
    bulgular = {
        'makro_var': vba_parser.detect_vba_macros(),
        'suphe_goreceli': [],
        'ham_kod': []
    }

    if bulgular['makro_var']:
        for (filename, stream_path, vba_filename, vba_code) in \
                vba_parser.extract_macros():
            bulgular['ham_kod'].append(vba_code[:500])

            # Şüpheli fonksiyonlar
            suphe_listesi = [
                'Shell', 'CreateObject', 'WScript.Shell',
                'PowerShell', 'DownloadString', 'DownloadFile',
                'Base64', 'Chr(', 'AutoOpen', 'Document_Open'
            ]
            for s in suphe_listesi:
                if s.lower() in vba_code.lower():
                    bulgular['suphe_goreceli'].append(s)

    return bulgular

# 2. LNK dosyası analizi — LECmd
# LECmd.exe -f "Maaş Skalaları 2024.lnk"
# Çıktıda Target Path ve Arguments bölümlerine bak

# 3. ISO/VHD içerik analizi
import subprocess

def iso_icerik_listele(iso_dosya: str) -> list:
    """7-Zip ile ISO içeriğini listele."""
    sonuc = subprocess.run(
        ['7z', 'l', iso_dosya],
        capture_output=True, text=True
    )
    return sonuc.stdout.split('\n')

# 4. YARA kuralı — Lazarus Group iş teklifi saldırısı
YARA_KURAL = """
rule Lazarus_JobOffer_Phishing {
    meta:
        description = "Lazarus Group iş teklifi temalı malware"
        reference = "Operation Dream Job"
    strings:
        $s1 = "Amazon" nocase wide
        $s2 = "Job Offer" nocase wide
        $s3 = "salary" nocase wide
        $pe = { 4D 5A }  // PE header
    condition:
        $pe at 0 and 2 of ($s*)
}
"""

# 5. Sandbox analizi araçları:
SANDBOX_ARACLARI = {
    "any.run": "Interaktif sandbox, gerçek zamanlı davranış analizi",
    "Hybrid Analysis": "CrowdStrike destekli ücretsiz sandbox",
    "Joe Sandbox": "Kurumsal seviye davranış analizi",
    "VirusTotal": "Çoklu antivirus + temel davranış analizi",
}

Gerçek Saldırı Kampanyaları

LinkedIn hedefli spear phishing gerçek dünyada sistematik olarak kullanılmaktadır ve bunların birkaçı kamuoyuyla paylaşılmıştır.

Operation Dream Job — Lazarus Group: Kuzey Kore bağlantılı Lazarus Group 2019'dan itibaren savunma sanayii, havacılık ve kripto para şirketlerinin çalışanlarını LinkedIn'de sahte iş teklifleriyle hedef almıştır. Sahte işe alım uzmanı profilleri kurbanlarla bağlantı kurar, ilerleyen günlerde görüşme süreci başlar ve teknik değerlendirme aşamasında kötü amaçlı belge gönderilir. Belge açıldığında implant kurulur. 2022'de bu kampanyanın kripto para borsalarındaki Axie Infinity'nin 620 milyon dolarlık hackiyle ilgili olduğu ortaya çıkmıştır. Bir çalışan LinkedIn'den iş teklifi içeren mesaj almış, Word belgesi açılmış ve şirket ağına sızmak için gereken ilk adım atılmıştır.
TA456 / Tortoiseshell — İran bağlantılı tehdit aktörü: ABD savunma müteahhitlerini hedef alan bu kampanyada saldırganlar aylarca sahte bir kimlikle kurbanlarla ilişki kurmuştur. Romantik bir ilişki havası yaratılmış, ardından kötü amaçlı bir bağlantı paylaşılmıştır. Bu kampanyada sabır dikkat çekicidir: ilk temasla payload iletimi arasında üç ay geçmiştir.
GoldenJackal — Orta Doğu hedefli: Diplomatik kuruluşları hedef alan bu grup sahte danışmanlık teklifleri üzerinden erişim sağlamıştır. LinkedIn'de kurgulanan kimlik, kuruma fiziksel erişim sağlayan bir davet için bile kullanılmıştır.

Spear Phishing E-postası Anatomisi

LinkedIn'den toplanan bilgiler e-posta saldırısına aktarılır. İyi hazırlanmış bir spear phishing e-postasının düz phishingden ne kadar farklı olduğunu bir örnek üzerinden inceleyelim.

Düz phishing: "Hesabınızda şüpheli aktivite tespit edildi. Lütfen hemen doğrulayın."
Spear phishing: "Merhaba Ahmet Bey, geçen ay [Konferans adı]'nda sunumunuzu dinledim, SIEM entegrasyonu konusundaki yaklaşımınız çok etkileyiciydi. [Ortak meslektaş adı] ile de bu konuyu konuşmuştuk. Şu an çalıştığımız projede benzer bir zorlukla karşılaştık. Hazırladığım teknik karşılaştırma dokümanını incelemenizi çok ister misiniz?"
İkinci mesajda her bilgi gerçektir. Konferans gerçektir, ortak meslektaş gerçektir, SIEM teknolojisi hedefin profilinde geçmektedir. Yalnızca gönderen sahtedir.
Etkili bir spear phishing e-postasının yapısı şöyledir. Kişiselleştirme ilk satırda yer alır ve meşruiyet kurulur. Bağlam oluşturma ile ortak bir nokta bulunur. Değer sunumu ile hedefin ilgisini çeken bir şey teklif edilir. Eylem çağrısı küçük ve makul görünür. Aciliyet yoktur, baskı yoktur, çünkü aciliyet şüphe uyandırır.

Python:

### Spear Phishing E-postası Analizi — NLP ile Kişiselleştirme Tespiti

import re
from typing import Dict, List

def spear_phishing_skoru(email_metni: str,
                          hedef_bilgi: Dict) -> dict:
    """
    E-postanın hedefe özgü bilgi içerip içermediğini analiz eder.
    Yüksek skor = yüksek kişiselleştirme = spear phishing ihtimali.
    """
    skor = 0
    bulunan_bilgiler = []

    # Hedef adı geçiyor mu?
    if hedef_bilgi.get('ad') and \
       hedef_bilgi['ad'].lower() in email_metni.lower():
        skor += 3
        bulunan_bilgiler.append(f"İsim referansı: {hedef_bilgi['ad']}")

    # Şirket adı geçiyor mu?
    if hedef_bilgi.get('sirket') and \
       hedef_bilgi['sirket'].lower() in email_metni.lower():
        skor += 2
        bulunan_bilgiler.append(f"Şirket referansı: {hedef_bilgi['sirket']}")

    # Teknoloji veya proje referansı
    for tech in hedef_bilgi.get('teknolojiler', []):
        if tech.lower() in email_metni.lower():
            skor += 2
            bulunan_bilgiler.append(f"Teknoloji referansı: {tech}")

    # Meslektaş adı geçiyor mu?
    for baglanti in hedef_bilgi.get('baglantilar', []):
        if baglanti.lower() in email_metni.lower():
            skor += 4  # En güçlü kişiselleştirme göstergesi
            bulunan_bilgiler.append(f"Meslektaş referansı: {baglanti}")

    # Ek veya bağlantı var mı?
    ek_var = bool(re.search(r'\.(pdf|docx|xlsx|zip|iso|lnk)', email_metni, re.I))
    link_var = bool(re.search(r'https?://', email_metni))

    return {
        'kisisellesirme_skoru': skor,
        'risk': 'KRİTİK' if skor >= 8 else 'YÜKSEK' if skor >= 4 else 'DÜŞÜK',
        'bulunan_bilgiler': bulunan_bilgiler,
        'ek_var': ek_var,
        'link_var': link_var,
        'yorum': 'Yüksek kişiselleştirme + ek = Spear phishing şüphesi' if (skor >= 4 and ek_var) else ''
    }

# Güvenli e-posta ağ geçidi (SEG) için entegrasyon:
# 1. LinkedIn kaynaklı bilgilerle e-posta içeriğini karşılaştır
# 2. Çalışan isimlerini ve proje adlarını e-postada ara
# 3. Çok sayıda kurumsal bilgi içeren dış kaynaklı e-postalar alarm üretir

LinkedIn Mesajlaşma Üzerinden Doğrudan Saldırı

Saldırı yalnızca e-posta ile sınırlı kalmaz. LinkedIn'in kendi mesajlaşma sistemi de bir saldırı kanalıdır ve bu kanal e-postadan daha güvenilir algılanır çünkü mesaj doğrudan LinkedIn'den gelir.

InMail saldırısı LinkedIn Premium hesapla yapılır. Bağlantı olmaksızın doğrudan mesaj göndermek mümkündür. Saldırgan Premium hesap alır, hedefle InMail mesajlaşmasını başlatır. LinkedIn'in resmi bildirim mekanizması üzerinden geldiğinden e-posta tabanlı filtreler bu mesajı görmez.
Bağlantı isteği + mesaj zinciri çok adımlı bir yaklaşımdır. Önce bağlantı isteği kabul ettirilir, bu ilk adım güveni tesis eder. Ardından mesajlaşma başlar ve yavaş yavaş ilerlenir. LinkedIn bağlantısı bir kez kurulduktan sonra o kişiden gelen mesajlar çok daha az şüphe uyandırır.
LinkedIn belge paylaşımı da saldırı yüzeyi oluşturur. LinkedIn Dokümanlar özelliği ile PDF paylaşılabilir. Bu PDF meşru görünür ve LinkedIn'in kendi platformunda barındırılır. Belgeye gömülü zararlı bağlantı LinkedIn'in itibarını kullanır.
Bunların tespit edilmesi e-posta tabanlı saldırılara kıyasla çok daha zordur. Çünkü LinkedIn mesajları kurumsal e-posta güvenlik sistemi üzerinden geçmez, SEG tarafından taranzamaz.

Hedefli Saldırıda Threat Intelligence Kullanımı

Gelişmiş tehdit aktörleri LinkedIn'i pasif bir bilgi kaynağı olarak değil, aktif bir izleme platformu olarak kullanır.

Çalışan değişikliği takibi önemli bir sinyal sağlar. Bir şirkete yeni katılan güvenlik yöneticisi henüz organizasyonu tam bilmez, kime güveneceğini ölçemez ve meşru bağlantı isteklerine daha kolay açıktır. LinkedIn yeni işe başlama bildirimlerini herkese açık paylaşır. Saldırgan bu bildirimler üzerinden ideal saldırı zamanını belirler.
Şirket haberleri korelasyonu da kullanılır. Şirket büyük bir anlaşma açıkladı mı, birleşme mi var, yeni bir ürün mü çıkardı? Bu haberler meşru iş iletişimi için bahaneler yaratır. "Yeni ürün lansmanınızı gördüm, size özel bir analiz hazırladım" formatındaki mesaj bağlam uyumu sağlar.
Güvenlik açığı ile çalışan eşleştirme ise çok sofistike bir tekniktir. Hedef şirkette Fortinet VPN kullanan çalışanlar tespit edilir, Fortinet'te bir CVE yayımlanır ve bu CVE hakkında teknik bir belge bahanesiyle spear phishing başlatılır. Hedef hem teknik hem de bağlamsal olarak çok güçlüdür.

Python:

# Threat Intelligence ile LinkedIn korelasyonu

import feedparser
from datetime import datetime, timedelta

def sirket_haberleri_izle(sirket_adi: str, domain: str) -> list:
    """Şirket haberlerini RSS ile izler — saldırı bağlamı için."""
    # Google News RSS feed
    rss_url = f"https://news.google.com/rss/search?q={sirket_adi}&hl=tr"
    feed = feedparser.parse(rss_url)
    son_haberler = []

    for entry in feed.entries[:10]:
        son_haberler.append({
            'baslik': entry.title,
            'tarih': entry.published,
            'link': entry.link,
            'baglam_potential': analiz_baglam(entry.title, sirket_adi)
        })
    return son_haberler

def analiz_baglam(haber_basligi: str, sirket: str) -> str:
    """Haberin spear phishing bağlamı için uygunluğunu değerlendirir."""
    yukari_baglamlar = [
        'birleşme', 'satın alma', 'yatırım', 'büyüme', 'genişleme',
        'yeni ürün', 'lansман', 'sözleşme', 'anlaşma', 'iş birliği'
    ]
    risk_baglamlar = [
        'veri ihlali', 'siber saldırı', 'güvenlik açığı', 'hack'
    ]

    haber_kucuk = haber_basligi.lower()
    if any(k in haber_kucuk for k in yukari_baglamlar):
        return "YÜKSEK BAGLAM — İş teklifi veya işbirliği senaryosuna uygun"
    if any(k in haber_kucuk for k in risk_baglamlar):
        return "ORTA BAGLAM — Güvenlik danışmanlığı senaryosuna uygun"
    return "DÜŞÜK"

# Savunma tarafı kullanımı:
# Aynı istihbarat kaynakları savunma için de kullanılır
# "Şirketimiz hakkında son iki haftada ne paylaşıldı?"
# "Çalışanlarımızın LinkedIn profillerinde ne kadar bilgi var?"
# "Yeni katılan çalışanlar risk altında mı?"

# LinkedIn Threat Intelligence Araçları (Savunma):
SAVUNMA_ARACLARI = {
    "LinkedIn Talent Insights": "Şirket profil izleme",
    "Recorded Future": "LinkedIn'i tehdit istihbaratıyla ilişkilendirir",
    "SpiderFoot": "OSINT otomasyonu, LinkedIn dahil",
    "Maltego": "LinkedIn bağlantı haritalama",
    "theHarvester": "E-posta ve LinkedIn profil toplama"
}

Savunma

LinkedIn spear phishing savunması hem kurumsal politika hem de bireysel farkındalık gerektiren iki katmanlı bir yapıya dayanır.
Profil mahremiyet politikası kurumsal düzeyde uygulanmalıdır. Çalışanların LinkedIn profillerinde hangi bilgileri paylaşabileceği net olarak tanımlanır. Devam eden projelerin isimlerini, kullanılan güvenlik araçlarını, ağ altyapısını gösteren bilgiler kısıtlanır. Organizasyon şemasını açık eden ayrıntılar azaltılır.
LinkedIn gizlilik ayarları eğitimi zorunlu tutulur. Bağlantı listesi herkese açık olmamalıdır. Profil görüntüleyenler anonim modda görünmeli, yani kimin profilinizi incelediği herkese açık olmamalıdır. Konum bilgisi kısıtlanmalıdır.
Dosya açma prosedürü LinkedIn dahil tüm kanallar için uygulanmalıdır. Bilinmeyen kaynaklardan gelen dosyalar sandbox ortamında açılır. Kurumsal cihazda LinkedIn'den gelen bir belgeyi doğrudan açmak yerine güvenli görüntüleyici kullanılır.
İş teklifi doğrulama protokolü oluşturulur. LinkedIn üzerinden gelen iş teklifleri ve dosya istekleri kurumsal e-posta veya telefon üzerinden doğrulanır. "LinkedIn'den biri proje belgesi istedi" bilgisi yöneticiye iletilir ve onay alındıktan sonra işlem yapılır.

Python:

### LinkedIn Güvenlik Sertleştirme Kontrol Listesi

# BİREYSEL AYARLAR:
LINKEDIN_GIZLILIK_AYARLARI = {
    "Bağlantı listesi görünürlüğü": "Yalnızca bağlantılarım",
    "Profil görüntüleyenler": "Anonim mod AÇIK",
    "E-posta adresim": "Yalnızca ben",
    "Telefon numaram": "Yalnızca ben",
    "Konum": "Şehir düzeyinde yeterli",
    "Bağlantı isteği": "Yalnızca tanıdıklardan",
    "InMail": "LinkedIn üyelerinden değil, yalnızca bağlantılardan",
}

# KURUMSAL POLİTİKA:
KURUMSAL_LINKEDIN_POLITIKASI = """
1. Devam eden güvenlik projeleri LinkedIn'de paylaşılmaz.
2. Kullanılan güvenlik araçları (SIEM, EDR, SOAR vb.) profilde belirtilmez.
3. Organizasyon hiyerarşisini açık eden detaylar kısıtlanır.
4. Tanımadığınız kişilerden gelen bağlantı istekleri IT'ye bildirilir.
5. LinkedIn'den gelen dosyalar kurumsal cihazda doğrudan açılmaz.
6. Yeni çalışanlar ilk 90 günde ek LinkedIn farkındalık eğitimi alır.
"""

# Savunma testi — Red Team değerlendirmesi:
def linkedin_saldiri_yuzey_degerlendirme(sirket_adi: str) -> dict:
    """
    Şirketin LinkedIn üzerindeki saldırı yüzeyini değerlendirir.
    """
    return {
        'calisanlar_acik_profil': "LinkedIn araması ile sayılabilir",
        'teknoloji_ifsa': "Skills bölümünden tespit edilebilir",
        'org_semasi': "Unvan ve raporlama ilişkilerinden çıkarılabilir",
        'yeni_calisanlar': "Son 30 günde başlayan = yüksek risk",
        'acik_email_formati': "Profil adı + domain = tahmin edilebilir",
        'onerim': "Yıllık LinkedIn saldırı yüzeyi değerlendirmesi yapın"
    }

# Örnek tatbikat senaryosu:
# Red team LinkedIn üzerinden spear phishing simülasyonu yapar
# Kaç çalışan sahte profille bağlantı kurdu?
# Kaçı kötü amaçlı belgeymiş gibi hazırlanmış dosyayı açtı?
# Kaçı güvenlik ekibine bildirdi?
# Sonuçlar bireysel eğitim planını şekillendirir

LinkedIn hedefli spear phishing saldırganın ihtiyaç duyduğu tüm hammaddeyi açık kaynak olarak sunan bir platform üzerinde çalışır. OSINT aşamasında hedefin unvanı, teknoloji yığını, meslektaşları, kariyer geçmişi ve aktif saatleri toplanır. Sahte işe alım profilleri bu bilgileri bir güven ilişkisi kurmak için kullanır ve iş teklifi formatında kötü amaçlı belge iletilir. Lazarus Group'un Operation Dream Job kampanyası ve 620 milyon dolarlık Axie Infinity ihlali bu tekniğin gerçek dünya etkisini somut biçimde ortaya koyar. InMail saldırıları kurumsal e-posta güvenlik sistemlerini tamamen atlatır. Threat intelligence ile LinkedIn korelasyonu saldırı zamanlamasını optimize eder. Savunmada profil mahremiyet politikası, bağlantı listesi gizliliği, dosya açma prosedürü ve yeni çalışan eğitimi katmanlı bir koruma sağlar.

Önemli Hatırlatma: Bu yazıdaki teknikler güvenlik farkındalığı eğitimi, yetkili red team operasyonları ve savunma amaçlı araştırma kapsamında paylaşılmıştır. LinkedIn üzerinden izinsiz bilgi toplama ve spear phishing saldırısı düzenlemek TCK Madde 243 ve Madde 157 kapsamında suçtur. Denemeyiniz efendim.

​

Genişletmek için tıkla ...