phıshıng ile hackleme

Phishing Nasıl Yapılır, Yöntemleri​

Teknoloji geliştikçe, siber korsanların da kullandıkları teknikler de gelişmektedir. Kimlik avını önlemek için, kullanıcılar saldırganların bunu nasıl yaptığını bilmeli ve mağdur olmaktan korunmak için oltalama tekniklerinin farkında olmalıdır.

• Spear Phishing (Yemleme Kancası); Saldırıyı daha kişisel hale getirmek ve hedefin tuzaklarına düşme olasılığını artırmak için hedef üzerinde araştırma yaparlar. Çok değerli bir saldırı türüdür.
• Session Hijacking (Oturum Çalma); Kullanıcıdan bilgi çalmak için web oturumu kontrol mekanizmasını kullanır. Oturum koklama olarak bilinen basit bir oturum korsanlığı yordamında, kimlik avcısı, web sunucusuna yasadışı olarak erişebilmesi için ilgili bilgileri yakalamak için bir sniffer (ağ dinleyici) kullanabilir.
• Spam E-Posta; En yaygın phishing tekniğini kullanarak, milyonlarca kullanıcıya kişisel bilgileri doldurma isteği e-posta ile gönderilir. Mesajların çoğunda, kullanıcının hesap bilgilerini güncellemek, ayrıntıları değiştirmek veya hesaplarını doğrulamak için kimlik bilgilerini girmesini gerektiren acil bir not bulunur. Bazen, e-postada sağlanan bağlantı aracılığıyla yeni bir hizmete erişmek için bir form doldurmaları da istenebilir.
• Content Injection (İçerik Enjeksiyonu); saldırganın güvenilir bir web sitesi sayfasındaki içeriğin bir bölümünü değiştirdiği tekniktir. Sonrasında kişisel bilgilerinizi girmeniz istenir yasal web sitesi dışında bir sayfaya gitmek için kullanıcıyı yanıltmak için yapılır.
• Arama Motorlarıyla kimlik avı; Bazı kimlik avı dolandırıcılıkları, kullanıcının düşük maliyetli ürünler veya hizmetler sunabilecek ürün sitelerine yönlendirildiği arama motorlarını içerir. Kullanıcı kredi kartı bilgilerini girerek ürünü satın almaya çalıştığında, hassas bilgiler phishing sitesi tarafından toplanır.
• Web tabanlı dağıtım; en gelişmiş kimlik avı tekniklerinden biridir. “ortadaki adam (man in the middle)” olarak da bilinen bilgisayar korsanı, orijinal web sitesi ile kimlik avı sistemi arasında yer alır. Kimlik avı, yasal web sitesi ile kullanıcı arasındaki bir işlem sırasında ayrıntıları izler. Kullanıcı bilgi aktarmaya devam ettikçe, saldırganlar tarafından toplanır.
• Telefonla Kimlik Avı (Vishing); bu oltamala saldırısında, kimlik avcısı kullanıcıya telefon araması yapar ve kullanıcıdan bir numara çevirmesini ister. Amaç, banka hesabının kişisel bilgilerini telefonla ele geçirmektir. Telefon kimlik avı çoğunlukla sahte arayan kimliğiyle yapılır.
• SMS Kimlik Avı (Smishing); telefon tabanlı bir kısa mesaj servisi (SMS) aracılığıyla gerçekleştirilir. Örneğin bir kısa mesaj metni, bir kurbanı kimlik avı web sitesine yönlendiren bir bağlantı yoluyla kişisel bilgileri açığa çıkarmaya çalışır.
• Bağlantı manipülasyonu; kimlik avcısının kötü amaçlı bir web sitesine bağlantı gönderme tekniğidir. Kullanıcı aldatıcı bağlantıyı tıkladığında, bağlantıda belirtilen web sitesi yerine saldırganın web sitesini açar. Gerçek adresi görüntülemek için fareyi bağlantının üzerine getirmek kullanıcıların bu tarz oltalama saldırısına düşmelerini engeller.
• KeyLogger (tuş kaydediciler); klavyeden girişleri tanımlamak için kullanılan kötü amaçlı yazılımlardır. Klavyeden girilen bilgileri ve şifreler bilgisayar korsanlarına gönderilir. Tuş kaydedicilerin kişisel bilgilere erişmesini önlemek için güvenli web siteleri, sanal klavyeden giriş yapmak için fare tıklamalarını kullanma gibi seçenekleri sunarlar.
• Malware; Kötü amaçlı yazılım içeren kimlik avı dolandırıcılıkları, kullanıcının bilgisayarında çalıştırılmasını gerektirir. Zararlı yazılım genellikle kimlik avcıları tarafından kullanıcıya gönderilen e-postaya eklenir. Bağlantıyı tıkladığınızda kötü amaçlı yazılım çalışmaya başlayabilir, bazen, kötü amaçlı yazılım indirilebilir dosyalara da eklenebilir.
• Truva atı; kullanıcıyı meşru görünen bir eylemle yanıltmak için tasarlanmış, ancak yerel makineden kimlik bilgileri toplamak için kullanıcı hesabına yetkisiz erişime izin veren bir tür kötü amaçlı yazılım türüdür.
• Ransomware; fidye ödenene kadar bir cihaza veya dosyalara erişimi engeller. Kullanıcının bir bağlantıyı tıklamak, bir eki açmak veya kötü amaçlı bir reklamı tıklamak için kandırıldığı bir sosyal mühendislik saldırısı kullanarak bir kullanıcının iş istasyonuna yüklenen kötü amaçlı bir yazılımdır.
• Kötü Amaçlı Reklam (Malvertising); kötü amaçlı yazılımı indirmek veya istenmeyen içeriği bilgisayarınıza zorlamak için tasarlanmış, etkin komut dosyaları içeren kötü amaçlı reklamcılıktır. Adobe PDF ve Flash’taki istismarlar, reklamlarda kullanılan en yaygın yöntemlerdir.

Oltalama E-postalarının Ortak Özellikleri​

• Gerçek olamayacak kadar iyi – kazançlı teklifler, dikkat çekici ve göz alıcı ifadeler ile kişilerin dikkatlerini hemen çekmek üzere tasarlanırlar. Örnek olarak, çoğunluğu bir iPhone, piyango ya da başka bir büyük ödül kazandığınızı iddia eder.
• Aciliyet Duygusu – Siber suçlular arasında kullanılan en iyi taktiklerden biridir. Hızlı davranmanızı ister, çünkü büyük fırsatlar sadece sınırlı bir süre içindir. Bazıları size cevap vermek için sadece birkaç dakikanız olduğunu bile söylenebilir.
• Linkler (Bağlantılar) – Eposta ile gönderilen bağlantılar göründüğü gibi olmayabilir. Bir bağlantı üzerine fare ile gezinip gelirseniz size gerçek URL’i gösterecektir. Bu linklere dikkatli bakmak gerekmektedir. Burada aol.com yerine aoI.com şeklinde L harfi yerine büyük I harfini koyarak bu tarz şaşırtmalar yapılabilmektedir
• Ekler – Beklemediğinizi birinden veya mantıklı olmayan bir e-postada bir ek görürseniz bunlar genellikle fidye yazılımı ya da diğer bir takım virüsleri içerebilirler. Tıklamak için en güvenilir dosya türü text (.txt) dosyalarıdır.
• Olağandışı Gönderen – Tanımadığınız birisinden veya tanımadığınız birinden geliyor gibi görünen, sıradan, beklenmedik, olağan dışında veya genel olarak şüpheli bir şey varsa, üzerine kesinlikle tıklamayın!

Whoıam06' Alıntı:

Abilerim kardeşlerim visualstudio ile phıshıng yapmak için site oluşturabilir miyim?

bu videoda adam program oluşturmuş ben site oluşturmak istiyorum mail ile almak istiyorum sebebi phıshıng toollarında verdiği linklerin resmen ben virüsüm demesi yani random link istemiyorum kendi domainimle bir site oluşturmak ve bununla phıshıng yapmak istiyorum yardımcı olabilir misiniz domain için gerekli ücreti ödemeye hazırım çünkü hesabını alacagım kişi eski kız arkadaşım onun şimdi ki sevgilisi onu aldatıyor ancak bana inanmayacagını bildiğim için kızın hesabından yollayacagım linki ve kanıtlayacagım. özel hayatımı karıştırdığım içn üzgünüm konunun önemini belirtmek için anlattım. saygılarıma THT.

Genişletmek için tıkla ...

Özelden yazarsan yardımcı olabilirim

Darknight2005' Alıntı:

Özelden yazarsan yardımcı olabilirim

Genişletmek için tıkla ...

yazdım hocam

Merhaba değerli üye;

İnstagram için soruyor iseniz hazır scriptler mevcut.



Merhaba değerli üye,



İki Adet İnstagram Fake Login Sayfası War Elimde Sizlerle Paylasmak İstedım.

Birincisi Biraz amatör, Mail Adresıne Gönderıyor Bilgileri



İkincisi Biraz Daha Orjınal Ama ingiliççe

Bunun Logları Sunucuda Bulundugu Dizıne Gelİyor logger.txt Metin Belgesine



Script Dowloand: İnstagram Phishing









Ayriyeten aşağıdaki tool işine yarayabilir.



script kullanımı basit olup at çalıştır sistemdir. login.php de chmod 777 olmalıdır. veriler hesaplar.txt ye aktarılır. hesaplar.txt çalınmaya karşın chmod 200 olmalıdır.



github GitHub - karazafer/fake-instagram-script: fake instagram login page