Turkhackteam.net/org - Turkish Hacking & Security Platform  
Geri git   Turkhackteam.net/org - Turkish Hacking & Security Platform >
Turkhackteam Under Ground
> Sosyal Mühendislik

Sosyal Mühendislik Sosyal Mühendislik Saldırıları ve Siber İstihbarat hakkında birçok bilgiye bu bölümden ulaşabilirsiniz.




Sosyal Mühendislik | Nedir? Genel Bilgiler - Teknik Detaylar! ~ Rainshy

Sosyal Mühendislik

Yeni Konu aç Konu Kapatılmıştır
 
Seçenekler
Alt 4 Hafta önce   #1
  • Siber Güvenlik Ekibi
  • Üye Bilgileri
Üyelik tarihi
07/2013
Nereden
Mercurius
Mesajlar
Konular

Teşekkür (Etti): 490
Teşekkür (Aldı): 480


Sosyal Mühendislik | Nedir? Genel Bilgiler - Teknik Detaylar! ~ Rainshy





Merhaba, ben "Rainshy" size bu konu da, sosyal mühendislik açısından tüm bilinen ince ayrıntıları ile dev bir konu ile karşınızdayım bazı noktalarda öğrendiğim teknikler ve bilgiler de kitap ve blogarşivleri'dir. Başlayalım öyleyse.


Sosyal Mühendislik Terimi (Nedir?)

Sosyal mühendislik yani ingilizce tanımı “Social Engineering” olarak isimlendirilen en temel hacking yöntemlerinden biridir.
Sosyal mühendislik temel olarak insan ilişkilerini
veya insanların zaafiyetlerini kullanarak zaafiyetlerini kullanarak
hedef kişi yada kurum hakkında bilgi toplamak ve gereken yönergelerle kullanmak
olarak tanımlanabilir.
Bu olayda amaç hedef kurum veya kişi yapısı, kurumsal ağın yapısı, çalışanların/yöneticilerin
kişisel bilgileri , şifreler ve saldırıda kullanılabilecek her türlü materyalin toplanmasıdır.
Kısaca, İnsanları, fark ettirmeden, açık açık, aldatma ve hacklemektir. İnsan hacklemek için belirli programlara veya çeşitli donanımlara ihtiyaç yoktur.
* Bilgi
* Özgüven
* Soğuk kanlılık
* Sabır

bir kaç temel etkenimizdir.
Beyin hacklemek bilgisayar hacklemekten kolaydır,
bilgisayar için belirli bir bilgi gereklidir değil mi kod bilmeniz gerekir mesela, ama beyin hackinde bilgi gerekmez, zeka seviyenizin üstün olması da gerekmez,kendinizi kurbanınıza ondan daha zekiymiş gibi göstermeniz yeterlidir.



Sosyal Mühendislik Kimlik Avı
Kimlik avı internet üzerinde işlemlerinizi yaparken (alışveriş, havale, fatura ödeme vs) kimlik bilgilerinizin üçüncü şahıs veya şahıslar tarafından çalınmasıdır. Kredi kartı bilgileriniz, hesap şifrelerinizi elde etmek amacıyla aldatma yöntemleri kullanılmaktadır. Bunu yaparken genellikle tanınmış bir firma, banka, alışveriş sitesi taklit edilir ve bilgileriniz çalınmaya çalışılır. Kimlik avcısı sosyal mühendis rasgele yüzlerce maile sahte bir email gönderir. Bu emailde tanındık bir sayfayı, bankayı referans göstererek sizi sahte bir bağlantıya yönlendirir. Bu bağlantıdan tanıdık bir firmanın, bankanın sitesinin kopyası karşınıza çıkar ve sizden bilgilerinizi girerek işlem yapmanızı ister. Bu aşama avcının kurbanı ağa düşürdüm dediği ve avuçlarını ovduğu aşamadır. Siz bilgilerinizi girdiğinizde ( kimlik numarası, kredi kartı bilgileri, hesap şifreniz vs ) avcı bu bilgileri otomatik olarak bir email yoluyla elde edecektir.

Sahte E-Posta Nasıl Anlaşılır?
1. Gönderen Adresi : Kimden satırına çok fazla güvenmeyin. E-Posta adreslerini taklit etmek yetkiliymiş gibi görünen eposta adresleri almak zor değil.

2.Türkçe Kullanımı : Gelen maildeki dil kullanımına kesinlikle dikkat etmelisiniz. Sıradan biri dil kullanımında hatalar yapabilir. Ancak bir banka veya şirket eposta atarken bu konuda özen gösterir.

3.Bilgilerinizi güncellemelisiniz : Bunu yapın diye yazmadım.Sahte epostaların ortak bir özelliği acil bir durum varmış gibi yazılması ve sizden bilgilerinizi güncellemenizi isteyerek sizi yönlendireceği adres ile bilgilerinizi çalmak istemeleridir.

4.Bağlantılar : Bağlantılara tıklamadan önce üzerine gelerek tarayıcınızın durum çubuğundan sizi orjinal url ‘ye götürüp götürmeğini kontrol etmelisiniz.

5. Ekler : Bir banka alışveriş sitesi gibi yerlerden gelen epostalarda kesinlikle ek bir yazılım bulunmaz. Size posta ile bir exe dosyası vs göndermezler. Bu konuda da dikkatli olun. Gelen epostadaki yazılımı bilgisayarınıza yüklemeniz geri dönüşü olmayan kayıplara yol açabilir.

Ayrıca sahte bir Alışveriş, Banka veya parasal işlemlerin yapıldığı sitenin sahte olup olmadığını anlamak için siteye girdiğinizde tarayıcının en alt sağ köşesinde bir kilit simgesi bulunmalıdır veya bu kilit adres çubuğunda da görülebilir. Ancak kesinlikle dikkat etmelisiniz ki kilit web sitesinin içinde değil tarayıcının adres çubuğunda veya en altta durum çubuğunda görünmelidir.

Size gelen epostalar ile eriştiğiniz formları doldurmakta acele etmeyin. Bulunduğunuz bağlantıyı iyice inceleyin. O formu bir kez doldurmanız sonucunda eğer arada bir üçüncü şahıs varsa tüm bilgileriniz ve bunların kullanımı bu üçüncü şahsın eline geçmiş olacak.


Twitter,İnstagram Kimlik Avı! (Sosyal Medya)
Ülkemizde ve dünyada İnstagram ‘dan sonra en çok kullanılan Twitter üzerinde de kimlik avı dolandırıcılığı ortaya çıktı. Twitter ‘ın Direct Message (DM) özelliğini kullanarak kullanıcılara özel mesajlar gönderiliyor. Gelen özel mesaj içinde ” Bu profil senin mi ?” şuradaki “Linke tıkla” giriş yap gibi bağlantılar bulunuyor. Bu bağlantılara tıkladığınızda arayüzü twitter.com ile aynı olan başka bir sayfaya yönlendiriliyorsunuz. Burada giriş yaptığınız anda kullanıcı bilgileriniz korsanın eline geçiyor ve kısa bir süre sonra hesabınıza erişemediğinizi farkediyorsunuz. Twitter kullanırken özel mesajlarda dikkatli olunuz.

Ayrıca eğer twitter hesabınız çalındı veya erişemiyorsanız bu bağlantıyı tıklayınız. Twitterda da tıpkı facebook ta olduğu gibi hesabınıza eklentiler, uygulamalar entegre olabiliyor. Bunlardan zararlı olanlar yada farkında olmadan bilgilerinize erişmesine izin verdiğiniz uygulamalar olabilir. Bu uygulamaları görmek ve istemediklerinizi kaldırmak için Twitter Applications ayarlarınızı kontrol ediniz.

“Sosyal medyada kişisel verileri çalmayı amaçlayan “kimlik avı” saldırılarının yaklaşık %60'ı sahte İnstagram sayfalarıyla düzenleniyor…”
Örnek 1: Alan adı www.instagram.xxx ile başlayıp başka birşey ile devam eden, tıpkı İnstagram gibi görünen sahte site. Eğer alan adını kontrol etmeden tıklayıp, girerseniz tüm İnstagram bilgileriniz ellerinde.

Örnek 2: İnstagram’da takip ettiğiniz/edeceğiniz bir kişisel/kurumsal sayfadan “bir hediye kazandınız, tıklayın”. En çok kullanılan yöntemlerden biri, uçak bileti kazandığımızı içeren paylaşımlar olmuş. Biletler görsellerinin üstüne inandırıcılığı olması için isimler, hatta koltuk numaraları bile yazılmış. Bitmedi, paylaşımın altında kullanıcı yorumları (“teşekkürler, kazandım” gibi.) eklenmiş. Tam bir sosyal mühendislik!


Örnek 3: Sevdiğiniz futbolcunun resmi İnstagram sayfasına üye olun, imzalı forma kazanın. Tıklamanız yeter.

Örnek 4: Sadece İnstagram değil örneğin Twitter’da kimlik avı için kullanılıyor. En kolay yöntem DM’den gelen mesajlar; “Linke tıkla, şifreni değiştir.” veya “Üzgünüz, hesabınız kitlendi. Linke tıklayın” gibi. Bu mesajlardaki linklere tıkladığınızda hesabınız karşı tarafa geçmiş oluyor.

Sosyal ağlarda kimlik avı örnekleri çoğaltılabilir. Raporda geniş geniş yer vermiş.
Peki neler yapabiliriz?
~ Tıkladığınız siteye, alan adına, bağlantılara ve izin isteyen uygulamalara dikkat edin. Ama gerçek hayattaki gibi bir dikkat, pürdikkat!
~ Özellikle kişisel verileri isteyen her türlü sayfa ve uygulamayı silin.
~ Sosyal medya sayfalarınızda “mümkün oldukça” kişisel verilerinizi paylaşmayın. (Cinsiyetiniz bile kişisel veridir.)
~ Sosyal ağ taraması da yapabilen davranış temelli kimlik avı önleme yazılımları kullanın. (Norton, Kaspersky)
~ Sosyal mühendisliğin zirve yaptığı bu çağda en önemlisi okuyun, araştırın ve anlayın!
Telefon Aracılığı ile Kimlik Avı!
Telefon kullanılarak yapılan kimlik avı dolandırıcılığı genelde banka hesap bilgilerinizi veya kredi kartı bilgilerinizi el etmek amacıyla yapılmakta. Telefon ile dolandırıcılık yapmak isteyen kişi eğer kullandığınız banka ve kredi kartınızın ne olduğunu biliyorsa korsanlığa başlayabilir. Özel bir numara ile sizi cep telefonunuzdan arayarak ” Kredi kartınızın korsanların eline geçmesinden şüphelenildiğinden sizinle bir mülakat yapmak isteyecektir.” Bu mulakat bahanesi ile kredi kartınızı korumaya almanız ve asıl sahibi olduğunuzu kanıtlamanız gerekçesiyle size yavaş yavaş sorular yöneltecektir. İlk önce adınız, soyadınız, annenizin kızlık soyadının 1. ve 4. hanesi vs derken bu sorular kredi kartı güvenlik anahtarınıza kadar ilerleyebilir.

Telefon ile kimlik avı kurbanı olmak istemiyorsanız sizi arayıp “bilgilerinizi güncellemelisiniz” diyen banka görevlisinden isim soyisim, banka kartı personel numarasını isteyiniz. Eğer bir sosyal mühendislik olayından şüphe ettiyseniz o sırada yanınızda olan birine hemen ilgili banka veya kurumu arayarak personel kimlik numarasını sorgulatmasını sağlayınız. Bu sayede karşınızdaki kişinin gerçek bir görevli olup olmadığını anlayabilirsiniz.



Sosyal Mühendislik Güven Kazanma!

Sosyal Mühendislik yapan kişiler daha doğrusu bu işi bilinçli olarak yapanlar gayet iyi bilirki SM ‘de en önemli şey kurbanın güvenini kazanmaktır.Kurban değilde ” hedefin ” desem daha iyi olacak.

Tabi hedefimizin ne olduğu ve bu doğrultuda kimin üzerinden yola çıkacağımızı düşünüp bir strateji belirlemeliyiz.Şimdi biraz güven kazanmak için yapılabileceklerden bahsedeyim sizlere.

İlk olarak her zaman bir SM ‘in yapacağı işi yapacağız.Bilgi toplamak.Hedefimizle tanışmadan ve ona yaklaşmadan önce onunla ilgi edinebileceğimiz maksimum bilgiyi edinmeliyiz.Bunu yaparsak eğer tanıştığımızda sözleri karşısında daha temkinli olabilir daha çabuk yakınlık kurabiliriz.
Ortak beğeniler ve zevkler
Hedefinizin ilgi alanlarını, hobilerini, sevdiği dizi,film vs öğrenip sizde bunları kendi ilgi alanınızmış gibi gösterebilirsiniz.İnsanlar kendileriyle ortak ilgi alanına sahip birine karşı daha hızlı güven duygusu sağlar.Bu şekilde hefefinizle aranızdaki mesafeyi kısaltabilirsiniz.
İş konuları , ciddi mevzular
Hedefinizin çalıştığı iş yeri hakkında bilgi toplamak istiyor olabilirsiniz.Bu yüzden bu şirkey ve iş dalı hakkında bazı teknik terimleri bilmeli ve hedefinizle iletişimizde bunları kullanmalısınız.Bu şekilde şüphe çekmemiş ve muhabbeti arttırmış olursunuz. “Sonra akşam içirip sarhoş edip konuşturabilirsiniz, dediysem yapmayın tabi.
Referans bir kişiyi gösterme (ortak tanıdık)
Hem sizin hemde hedefinizdeki kişinin tanıdığı ortak biri olabilir. Hedefinize bunu söyleyerek onun size daha çabuk güven kazanmasını sağlayabilirsiniz. Biliyoruzki insanlar arasında kefil olma veya referans konusu önemlidir.
Bir yerlere davet etmek
Hedefimizle sosyal etkinlikler açısından bir arada olmakda güveni geliştirecektir. Örneğin : hedefinizdeki kişiyi bir arkadaş ortamına davet edebilir veya bir halı saha maçına çağırabilirsiniz kanka hesabı yani. Bu şekilde size karşı ister istemez bir yakınlaşma olacaktır.
Görünümüze dikkat
İnsanlar karşılarındakinin giyimlerine her zaman dikkat ederler. Bu yüzden eğer hedefinizle yüz yüze iletişim kuruyorsanız şık görünmeniz artı puan olarak dönecektir.
Siz değil o yapsın
Hedefinizi size yarım etmek zorunda bırabilirsiniz. Bunu bir çeşit oyunla yapabilirsiniz. Bir probleminizi ancak onun söyledikleri ile çözebilecekmiş havası vermelisiniz. Bu şekilde vereceği bilgilerden şüphe etmeyecektir.

Sosyal Mühendislik Saldırıları ve Korunma Yolları!
Günümüzde siber güvenlik/saldırı kavramları sıkça duyduğumuz kavramlar olma yolunda ilerlemektedir. Siber saldırı denildiği zaman genellike bilgisayar kaynaklı saldırı türleri düşünülür, lakin siber saldırıların içinde doğrudan insana karşı yapılan saldrılar da mevcuttur ve bu tip saldrılara sosyal mühendislik saldırıları denilmektedir. Sosyal mühendislik, bir diğer adıyla toplum mühendisliği olan bu kavramı özetle “insan hacklemek” olarak tanımlayan kaynaklar mevcut. Ortak bir tanım çerçevesinde açıklayacak olursak; herhangi bir durum üzerinde manipülasyon yaparak insanların psikoloji, duygu, düşünce ve zaafiyetlerinden faydalanmaya, bu kavramları kullanarak insanları herhangi bir şey için ikna etmeye sosyal mühendislik diyebiiriz. Sosyal mühendislik, siber güvenlik alanında basitmiş gibi görünen ama bir okadar da tehikeli olan saldırı türlerinden biridir. Bunun sebebi; insanoğlunun güvenlik zincirinin en zayıf hakası olmasıdır. Bu zayıflığın temeli; insanoğlunun davranışlarını her koşul altında kontrol altında tutmasının ve sürekli olarak bütün prosedürleri eksiksiz olarak tamalamlasının güçlüğüne dayanmaktadır. Bu zayıflığı herhangi bir dijital veya mekanik sistem ile tamamiyle tolere etmek imkansıza yakındır, buna dayanarak her insanın eşsiz bir yapıya sahip olduğunu düşünürsek insanoğlunun sosuz bir zafiyet kaynağı olduğu ortaya çıkacaktır. Sosyal mühendislik günlk hayatımızda farkında olmadan kullandığımız veyahut karşılaştığımız bir olgudur, örnek verecek olursak; küçüğünden büyüğüne hergün karşılaştığımız hemen tüm işyerindeki personeller farkında olmadan müşterlerine sosyal mühendislik saldırsı uygulamaktadır.

Sosyal mühendislik saldırıları genelde hedef kişiden gizili sayılan bilgileri almaya yada hedef kişinin/sistemin zaafiyetlerini ve rutinlerini öğrenmeye odaklıdır, bazı vakalarda sosyal mühendsilik yöntemleri ile hedef kişi ve kurumlardan maddi varlıklar istenmiş olsada sosyal mühendsilik birçok saldırının ilk aşaması olarak ortaya çıkmabilmektedir. Sosyal mühendislik saldırılarının genel bir şablonu olmasına rağmen hedef kişiye göre birden fazla yöntemin farklı kulanılması sonucunda saldırının beklenmedik bir noktadan gerçekleşmesi mümkündür, bu durumda sosyal mühendislik saldırılarının sadece bilinen kalıplaşmış senaryolardan gelmediği, saldırıların saldırganın elinde bulunan bilgilere ve hayal gücüne göre şekillendiği ortaya çıkmaktadır.
Sosyal mühendislik saldırıları insan ve bilgisayar tabanlı olmak üzere ikiye ayrılmaktadır, buna rağmen saldırılar temelde aynı şablon üzerinden ilerler. Sosyal Mühendisliğin uygulanma sürecine ait genel şablonu sırası ile incelenecek olunursa,
1.Genel Hedef Kitle Belirlenmesi;
2.Bilgi Toplama;
3.Algı Zaafiyeti Oluşturma;
1. Genel Hedef Kitle Belirlenmesi
Sosyal Mühendisler aşağıda açıklanan kagetorilerden bir hedef seçip seçilen hedefe göre saldırı senaryosu hazırlamaktadırlar.
- Ulaşılması Kolay Personel
Bu kategorideki kişiler işleri gereği ulaşılması ve iletişim kurulması kolay kişilerdir, bu kategorideki iş türlerinine örnek olarak güvenlik görevlilerini ve danışma personelini örnek gösterebiliriz.
- Yönetici ve Önemli Personel
Bu kategorideki insanlar işleri gereği diğer personellere nazaran daha yoğun tempoda çalışmaktadırlar, bu yoğunluktan ötürü bir dikkatsizlik oluşabilmekte veyahut ilgili kişilerin yokluğunda bu sözkonusu kişilerin adı ve mevkisi kullanılarak birçok bilgiye erişim sağlanılması mümkün olabilmektedir.
- Zaafiyeti olan ve Sadakat Seviyesi Ortalama Olmayan Personel
Sosyal mühendisler genelde iyi gözlem yeteneğine sahip kişilerdir, herhangi bir zaafiyeti olan personel her daim sosyal mühendislerin dikkatini çekecektir. Öte yandan sadakat seviyesi düşük olan personellerin potansiyel güvenlik açıkları sadakat seviyesi çok yüksek olan kulanıcılar içinde geçerlidir.
- Yardımsever Personel
Yardımsever personeller her daim sosyal mühendislik saldırılarına maruz kalma ihtimallerine sahiptierler, bir personelin yardımsever olduğunu farkeden sosyal mühendis, oluşturacağı herhangi bir sahte senaryo ile hedefi normalden daha kısa sürede ikna edebilir.
2. Bilgi Toplama
Sosyal mühendis seçilen hedef kitlesine göre bilgi toplar ve sahte senaryolar üretir. Hedefe kitlye ve/veya kişiye ait bilgi toplama sürecinde Facebook, Twitter, Instagram, Google ve Maltego başta olmak üzere birçok sosyal medya ve açık kaynak istihbarat sistemleri kullanılır.
3. Algı Zaafiyeti Oluşturma
- İstek Arttırma ve Azaltma
Sosyal mühendis hedef ile temasa geçtikten sonra, güven oluşturarak hedeften yapılması basit şeyler talep eder, hedef istekleri yapmaya başladığında ise oluşan güveni kullanarak saldırgan isteklerin büyüklüğünü arttırır. Bir diğer yöntem ise bunun tam tersi olan istek azaltma yöntemidir, saldırgan ilk olarak hedeften yapamayacağı taleplerde bulunur ve taleplerin zorluk derecesini yavaş yavaş azaltıp bir baskı oluşturarak hedefin ufak isteği kabul etmesi sağlar.
- Seçim Yapmaya Zorlama
Saldırgan hedef ile temasa geçtikten sonra oluşturduğu güvene bağlı olarak hedefe soru ile birlikte iki cevap seçeneği söyleyerek hedefi birini seçmek mecburiyetinde bırakır. Örneğin hedefteki kişiye “Kahve içer misin?” demek yerine “Kahveniz şekerli mi olsun yoksa şekersiz mi?” demek karşımızdaki kişiyi kahve içmeye zorlayacaktır.
Soruya Soru İle Cevap Verme
Hedef kişiyi sahte senaryolar ile ikna etmek kolay bir yetenek değildir, farkındalık seviyesi yüksek bir hedef ile karşı karşıya kalındığı zaman hedef, sosyal mühendise bazı sorular yönelterek onu zorda bırakabilir, bu durumda sosyal mühendisler çoğu zaman çıkış yolu bulmak için soruya soru ile cevap verme tekniğini kullanırlar örneğin “Kim olduğumu hatırlatmama gerek var mı?”, “Bu konuyu çözmek için bir yönetici ile görüşmek zorunda mı kalacağım?” gibi sorular sosyal mühendislerin sıklıkla kullandıkları sorulara örnektir.
- Borçlu Bırakma
Hedefi ikna etmek için kullanılan bir diğer yöntem borçlu bırakmaktır. İnsan doğası gereği borçlu olduğu vakit ödeşmiş olmak için hemen her yolu dener, bu süreç içinde sağlık düşünme konusunda problemler yaşar. Sosyal mühendisler insanolunun bu zaafını kullanmak amacıyla hedef kişiye talep edilmediği halde herhangi bir yardım sağlar ve hedefin ödeşmiş olma çabasını kötüye kullanarak hedef kişiye istediklerini yaptırmaya çalışırlar.
Ödüllendirme ve Korkutma
Hedefe ödül vererek isteklerini yaptırmak veya hedefi onun için değerli olan bir unsur ile korkutarak/tehdit ederek iseklerini yaptırma, sosyal mühensilerin yakın zamanda sıklıkla kullandıkları yöntemlerdendir.
Sosyal Medya (Social Media)
Sosyal medya saldırganlar için bir bilgi kaynağından fazlasını sunmaktadır. Saldırgan sosyal medya üzerinden hedef ile ilgili birçok bilgiye ulaşabilmekte ve aynı zamanda sahte profil oluşturarak hedef ile temase geçerek güven oluşturma şansına sahip olabilmektedir.
Sosyal Mühendislik Saldırılarına Karşı Alınması Gereken Önlemler
Sosyal mühendislik saldırılarının temeli insan psikolojisini alt etmektir. Buna bağlı olarak eğitim ve belli periyotlarda düzenlenecek tatbikatlar siber bilincin ve farkındalığın artmasını sağlayacaktır. Kullanıcıların gelen e-mail’in yada linkin nereden gelip neredye gideceğine dair bir fikir sahibi olması gereklidir, bu farkındalığın oluşturulabilinmesi güvenliği bir üst seviyeye taşıayacaktır. Bunun yanında kullanıcıların şifre belirleme politikalarını yenilemesi ve güçlü şifreler oluşturarak belli periyotlarda yenilemesi gerekmektedir, şifrelerin herhangi bir yere not edilmesinin önüne geçilmeli ve eski kullanılan şifrelerin tekrar kulanılmaması gerekmektedir. Bilgi erişim hiyerarşisi oluşturulmalı ve hassas bilgilere erişecek kullancılar özenle beilrlenmelidir. Dijital ve bireysel önlemlerin yanısıra fiziksel önlemlere de önem gösterilmeli, güvenlik kamaeraları sürekli takip edilmeli ve bilgisayarlar dışardan gözlenemeyecek bir konumda olmalıdır. Bahsedilen önlemler hem bireysel hem de kurumsal kullanıclar için uyarlanabilir niteliktedir ve sosyal mühendislik saldırıları karşısında daha güçlü durabilmeyi sağlayacaktır.
Bu makalede sosyal mühendislik saldırılarınn genel hedef kitlesi, türleri ve yaklaşım biçimleri sınıflandırılarak açıklanmıştır. Bir sosyal mühendisin izlediği adımlar sırası ile açıklanmış ve toplum bilincinin artması maksadı ile burada sunulmuştur. Yapılan analizin sonucuna göre elde edilen çıkarımlar; sosyal mühendislik saldırılarının tek bir çözümü olmadığı ve toplumun bilinçlenmesinin en önemli adım olduğudur. Yapılacak yatırmlara siber güvenlik ve siber farkındalık reklamları ve eğitimleri eklenmesi gerekli bilincin artaması için yapılması gereken önemli adımlardan biridir. Siber güvenlik kavramında sosyal mühendislik konusu önemsiz görülmemeli ve saldırganın sıradan bir kullanıcıdan bütün sisteme erişme riskinin olduğu her daim hatırlanmalıdır. İnsanoğlu her daim hata payının vazgeçilmez unsurudur ve bundan ötürü her daim sonsuz bir zafiyet kaynağı olarak görülmekte olup bunu tamamen engellemek mümkün değildir. Ancak oluşabilecek zafiyetlerin azaltılması ve bilinen saldırı yöntemlerine karşı yapılacakların öğrenilmesi ile birlikte güncel bir siber güvenlik çizgisinde ilerlemek mümkündür. Siber dünyada %100 siber güvenliğin imkansız olduğu göz önünde bulundurulduğunda, siber güvenliğe ait ilgi, bilinç ve yatkınlığın arttırılmasının birçok siber tehdidin önüne geçeceği gerçeği ortaya çıkmaktadır.


RAT & Keylogger Server Yayma Yolları (Sosyal Mühendislik)
Online oyunlara yönelik yayma ;

Öncelikle yöntemsiz bir şekilde 3 kişiye zor bir şekilde yedirdim 2 haftada ardından o 3 kişinin loglarından toplam 5 facebook hesabı şifresi gördüm girdim facebook hesaplarına hepsinde aynı şeyi yaptım.

Öncelikle kişilerin online olup olmadığını kontrol ettim online olmadığı zamanlarda girdim facebook hesaplarına linki durum olarak paylaştım "arkadaşlar ben yaptım indirin vs" kişinin tüm mesajlarını inceleyip onun konuşma tarzını öğrendim ve samimi oldukları kişilerle aynen onun konuşa tarzı ile konuşarak onlarada yedirdim serverimi sonra o kişi online olduğunda durumları silip mesajları temizleyerek çıkış yaptım ruhumu bile hissettirmedim sürekli böyle devam ederek oyun sayfalarına "ölümsüzlük hilesi , eşya çalma hilesi v.s" linki paylaşarak kurban sayım 200'ü buldu sonra oyun için linki indirenlerin facebook hesabına giriş yapıp oyundaki arkadaş ortamına linki yayarak çok büyük bir fırsat yakaladım ondan ona ondan ona linkleri yayarak örneğin "Metin2" adlı oyunda yüzlerce hesap ele geçirdim bu gidişle arkadaşlar iş ciddi boyutlara ulaştı ve bugün 4.000'i geçkin kurbanım var öyle hesaplar varki elimde al parayla sat zengin ol dersiniz o derece ancak emeğe göz dikmeyeceğim işte böyle birşey yapmam.

Anlatım bu kadar yöntem sağlam.

Yöntemi açıklayan söz : "Plastiğe elektrik verirseniz olduğu yerde kalır ancak suya elektrik verirseniz gittikçe yayılır"
Bireysel yayma ;

Bireysel server yayımı yaparken en büyük yöntem telepatidir , kendinizi karşı tarafın yerine koyun ve kendinize şu soruyu sorun : "Neyi görürsem çok şaşırırım ?".
Örneğin sevgilinize bir server göndereceksiniz kendinizi onun yerine koyun ve örneğin şunu sorun kendinize "Birbirimize sarılıp çekildiğimiz bir fotoğrafı birisi facebookta paylaşsa babam beni öldürürdü !" evet bu örnek ile bir yöntem çıkarmış oldunuz sevgilinize fotoğraf formatında veya direkt exe formatında serveri yollayın ve ona diyinki "İkimizin fotoğrafını paylaşmışlar bizi tehdit ediyor ailelerinize göndeririz diye bende mesajların fotoğrafını çektim bak" bu mesaj ile serveri yollayın açma ihtimali çok büyük bir ihtimal çünkü o anki korku virüs ihtimalini düşündüremez.

Sevgili konusunu geçelim sıradan bir arkadaşa nasıl göndeririz ? Yine kendinizi arkadaşınızın yerine koyun diyelim ondan çok nefret ediyorsunuz ve onun bilgisayar yönetimini ele geçirmek istiyorsunuz kendinizi onun yerine koyun ve şunu düşünün "Neyi görürsem çok şaşırırım" bu düşünceden yola çıkarak bir örnek verelim mesela "Babanın kötü bir videosunu buldum internette haberin olsun istedim" mesajı ile serveri ona gönderim böyle bir durumdaki heyecan ve korku ile o serveri açmama ihtimali sizce varmıdır ? Bence çok az.
Site içi yayma ;

Örneğin bir müzik içerikli forumda tüm siteye server yaymak istiyorsunuz bunu şu şekilde kullanabilirsiniz sevilen bir sanatçının çıkmak üzere olan bir şarkısının çıkış haberini vermek çok iyi olurdu değilmi ? bence büyük ilgi toplardı "Şok ! Örnek şarkıcının örnek şarkısı çıktı !" başlığıyla serverinizi bir müzik olarak tanıtırsanız meraklılar , sanatçının hayranları , koleksiyoncular akın edip serveri indirecektir emin olun.
Bir başka örnek ise bir program forumu , yeni çıkmış bir programın tam sürüm crack'i gerçekten çok aranır değilmi ? google v.b. platformlarda. Program forumunda "Örnek program 10.0 yeni sürüm crack !" başlığıyla serveri paylaşırsanız akın edeceklerdir ve o program gerçekten yeni ise mutlaka google'de konunuz yerini alacaktır ama server olduğunu kimse anlamayacaktır.


Sosyal Mühendislik Saldırı Türleri
Aslına bakarsanız çok fazla sayıda Sosyal Mühendislik saldırı türü bulunmaktadır. Bu kadar fazla olmasının nedeni ise Sosyal Mühendislik sadece sizin hayal gücünüze bağlı olmasıdır. Hayal edebildiğiniz, senaryo sayısı kadar Sosyal Mühendislik saldırı türü vardır.

Anahtar olarak kullanılacak kişinin bağlantılarını, ilgi alanlarını ve zaaflarını araştırarak senaryo hazırlanır. Sosyal mühendislikte tıpkı bir senarist gibi çalışırlar anahtar kişiye özgü senaryo üretirler. Üretilecek bu senaryonun tek bir amacı vardır; o da sisteme giriş yapabilmek için gerekli bilgileri ele geçirebilmektir. Sosyal mühendislik saldırılarında genellikle insanların zaafları, korkuları ve dikkatsizlikleri en büyük silah olarak kullanılır. İstenen bilgiye ulaşabilmek için size ulaşır, güveninizi kazanmaya çalışır hatta arkadaş bile olabilir.
1. Güven Uyandırırlar
Sosyal mühendislerin başarılarının sırrı insanların aldatılmaya fazlasıyla açık olmasıdır. Çünkü insanlar belli şekillerde yönlendirildiklerinde yanlış şeylere güven duyabilirler. Sizlerin hemen “Ben günlük hayatta bile kimseye güvenmem sanal ortamda mı güveneceğim.” dediğinizi duyar gibiyim. Sizi yardıma muhtaç bir hale getirir getirme size yardım etmek isteyen iyi gönüllü birisi olarak karşınıza çıkabilir. Sizden yardım isteyen çaresiz birisi olarak da karşınıza çıkabilir. Ya da bunu sizin karşınıza sanki sürekli mail aldığınız bir siteymiş gibi gösterip sizin güveninizi sağlayıp maile girmenizi sağlayarak sosyal mühendisin mailin açıldığında yönlendirmiş olduğu siteye, zararlı yazılıma ya da sisteminize sızma girişiminde bulunabilir.
2. Sizi Telefon ile Ararlar
En etkili sosyal mühendislik ataklarından birdir. Siber suçlular sizi arayabilir ve yetkili biri gibi davranabilir. Bu sırada yavaş yavaş kullanıcı bilgilerinizi öğrenebilir. Özellikle yardım masaları bu tarz ataklara yatkındırlar. Çünkü yardım masaları yardım için ordalar, gerçekte yasal olmayan bilgileri öğrenmeye çalışan kişiler tarafından istismara açıktırlar.
3. Çöplerinizi Karıştırabilirler!
Çöpleri kurcalamak, her çöpü temizlemek olarak da bilinen başka bir sosyal mühendislik metodudur. İstihbarat toplarken bilgilerin büyük bir çoğunluğu çöplerden bulabilirler. Şirketin çöplerinde; şirket telefon rehberi, kısa notlar, şirketin idari politika bilgileri, olaylar ve tatil izinleri, sistem işleyiş şekilleri, hassas veriler ya da giriş isim ve şifreleri çıktıları, kaynak kod çıktıları, diskler ve bantlar, şirket mektupları ve kısa formlar ve eskimiş donanımlar bulunabilmektedir. Telefon rehberlerinizle senaryoda canlandırılacak kişi bilgisini ya da hedef kişi adı ve telefon numarasını vermiş olursunuz. Organizasyon grafikleri kurumdaki yetkili kişiler hakkında bilgiler içerir. Küçük notlarınız parola algoritmanız gibi ilginç ufak bilgiler içerir. Takvimlerden hangi görevlinin ne zaman işyeri dışında olacağını ve saldırı için doğru zamanı planlama konusunda fikir verebilir.
Paylaşımları ile İlginizi Çekerler
Daha önce de dediğim gibi onlar insanları iyi analiz ederler. Bu sayede zaaflarını ilgili alanlarını tek tek belirlerler. Kimi zaman yalnızca bir kişi ya da geniş bir grup için çalışmalar yaparlar. İşte tam bu noktada en iyi silahlardan birisi de Sosyal Medya ve yaptıkları paylaşımlar oluyor. Uzun süredir beklediğiniz bir ürünün fotoğrafıyla “İlk görüntüler basına sızdı” şeklindeki bir paylaşıma tıklamamanız çok zor. Hayranı olduğunuz sanatçının sansasyonel bir haberi yada en kolayı ölüm haberi sizi o linke tıklamaya itecektir. Sevdiklerinizin ve ailenizin yaşadığı şehirle ilgili büyük bir doğal afet haberi görebilirsiniz. Merak insanın en büyük zaaflarından birisi olduğu unutulmamalı ve bu tür kaynağından emin olmadığınız paylaşımlara tıklarken dikkatli olmalısınız. Genellikle kötü amaçlı yazılımlarla dolu bu sitelere, reklam sitelerine ve anket sitelerine yönlendirilebilirsiniz. Bunlardan bazıları sisteminize otomatik olarak büyük zararlar verebilir.


Sosyal Mühendisliğin Detayları!
Sosyal Mühendislik Saldırı Aşamaları
Hedef Şirket Araştırması;
Dumpster Diving (Çöp Karıştırma), web siteleri, çalışanlar, şirket turu gibi yöntemlerle şirketlerin iç işlerini, organizasyonlarını, kritik noktalarını belirleme aşamasıdır.
Kurban Seçimi:
Hedef şirketteki hakkı yenmiş veya zafiyetleri kolay ele geçirilecek olan çalışanlar belirlenir.
İlişki Geliştirme:
Seçilen çalışanlarla ilişkiler geliştirilir. Sosyal mühendislikte en gelişmiş silah olan “güven” tesis etmesi sağlanır.
İlişkiden Faydalanma:
Kritik hesap ve finansal bilgi, mevcut teknolojiler öğrenilir. Dostça sohbetler sırasında konuşulacak olan konular, sosyal mühendislik saldırısını başarıya ulaştıracak bir çok bilgiyi elde ettirebilir.
Sosyal Mühendislik Teknikleri
Çeşitleri;
Impersonation (Taklit Etme):Saldırgan yasal veya yetkili biri gibi davranır. En sık karşılaşılan insan tabanlı sosyal mühendisliktir. Saldırganlar telefon, e-posta vb. iletişim ortamını kullanarak ya da kendileri bunu yapabilirler. Kritik bilgiyi ortaya çıkarması için hedefi tetikler. Bir uç kullanıcı gibi davranıp kimliğini verip kritik bilgi isteyebilirler. Önemli bir kullanıcı gibi davranabilirler. Teknik destek yetkilisi gibi davranıp veri almak için parolaları ve IDleri talep edebilirler.
Yardım Masasının (Help Desk) Aşırı Yardımseverliği: Yardım masaları bariz şekilde yardım etme yerleriyken çoğunlukla sosyal mühendislik zafiyetidirler. Saldırgan bir şirketin yardım masasını arayıp yetkili pozisyondaki veya ilgili biri gibi davranıp kritik bilgiyi almaya çalışır.
Üçüncü Parti Yetkisi;Saldırgan istenen bilgiye erişimi olan hedef organizasyondaki yetkili çalışanının ismini öğrenir. Sonra da saklı bilginin olduğu hedef organizasyonu arar ve belirli çalışanın bilgi sağlanılmasını talep ettiğini iddia eder.
Teknik Destek; Saldırgan hedef organizasyonundaki yazılım tedarikçisinin (vendor) teknik destek personeliymiş gibi davranır. Sonra da organizasyondaki problemi çözmek için kullanıcı ID ve parolasını talep edebilir.
İç Çalışan/Müşteri/Tedarikçi (Vendor):Şirket kıyafeti veya uygun bir üniforma giyen saldırgan, tedarikçi, müşteri veya teknik servis elemanı olduğunu iddia ederek hedef binaya girer. Sonra da terminallere bağlı parolaları arar, gizli sohbetleri dinler vea masadaki dokümanları ve bilgiyi araştırır.
Tamirci;Saldırgan telefon tamircisi veya bilgisayar teknisyeni gibi davranarak hedef organizasyona girebilir. Sonra da izleme cihazı (snooping) yerleştirebilir veya göreviyle ilişkili eylemler sırasında gizli parolaları elde edebilir. Güvenilir Yetkili Kişi.
Gizlice Dinleme (Eavesdropping):Mesajlar okunur, sohbetler yetkisizce dinlenir, gizlice dinleme yapılır. Ses, video, yazılı iletişim ele geçirilir. Telefon hatları, e-posta, anlık mesajlaşma vb. gibi iletişim kanalları kullanılarak yapılabilir.
Sinsice Gözetleme (Shoulder Surfing): Parolalar, PINler, hesap numaraları vb. bilgiyi almak için birinin omzunun üzerinden bakmak gibi doğrudan gözetleme teknikleridir. Kritik bilgiyi elde etmek için dürbün gibi görüş arttırıcı cihazların yardımıyla uzak mesafeden de yapılabilir.
Çöp Karıştırma (Dumpster Diving):Başkasının çöpünde değerli bir şeyi aramaktır.
Ters (Reverse) Sosyal Mühendislik:Saldırganın kendini yetkili olarak tanıtır ve hedef saldırganın ihtiyaç duyduğu bilgiyi sunduğu tavsiyesine başvurur. Sabotaj, pazarlama ve teknik destek içerir.
Kaçak Girme (Piggybacking):Yetkili birinin kasıtlı olarak/bilmeden yetkisiz birinin güvenlik kapısından geçmesine izin vermesidir.
Yakından Takip Etme (Tailgating):Sahte kimlik kartı takan yetkisiz birinin erişim anahtarı (key access) gerektiren bir kapıdan geçen yetkili birini yakından takip ederek güvenli bölgeye girmesidir.
İçeriden Saldırı (Insider Attack)
Casusluk (Spying): Birini rakip şirkete sokmak.
İntikam (Revenge): Şikâyetçi (Disgruntled) birini bulup şirketi ifşa ettirmek. Bir iç saldırı başlatmak kolaydır. Önlemek zordur. İç saldırgan kolaylıkla başarabilir.
İçeriden Tehditleri Önleme:Görev rotasyonları ve ayrımları, Loglama ve denetim, Mümkün olduğunca az hak verme, Resmi politikalar, Denetimli erişim, Kritik veri arşivi.


Phishing (Oltalama) Nedir?
Phishing saldırılarına bu ismin verilme sebebi, aslında balıkçının balık tutmasından bir farkının olmamasından kaynaklanmaktadır. Nasıl ki bir balıkçı oltanın ucuna yem koyup, binlerce balığın olduğu denize atıp, birisinin gelmesini bekliyorsa, hacker’lar da binlerce e-posta gönderip, sonucunda birilerinin o linklere tıklamasını beklerler.

Bu saldırıları şu şekilde açıklayabiliriz. Genelde e-posta üzerinden gelerek, size bir linki tıklatıp, sizden veri çalmayı hedefleyen saldırılardır.

Örneğin, hacker sizin a bankası kullandığınızı biliyor. Ve size “A Bankası” olarak bir e-posta gönderiyor. İçeriğinde ise, bankada 1 saatlik bi kampanya olduğunu ve girdiğinizde bir şeyler kazanacağınızı söylüyor. Siz de hemen tıklayarak bankaya giriş yapmak istiyorsunuz. abankasi.com.tr olarak açılması gereken web adresi, abankasi.org olarak açılıyor ve web sitesi sizin bankanızın değil tamamiyle hacker tarafından yönetilen bir arayüz olarak görüyorsunuz. Siz bankanıza girer gibi müşteri numaranızı ve şifrenizi giriyorsunuz, giriş yapmaya çalışıyorsunuz. Siz giriş yap dediğinizde girmiş olduğunuz kullanıcı adı ve şifre çoktan hackerların eline geçmiş oluyor ve onlar sizin asıl hesabınıza girip paralarınızı aktarmakla meşgul oluyor.

Bu tarz saldırılardan korunmak için, gelen maillere eğer güvenmiyorsanız tıklamamalısınız. Meraklı olmaya gerek yok. Hiç bir kurum, kuruluş sizden e-posta ile bilgi istemez, kritik konuları e-posta üzerinden haber vermez. Dolayısıyla siz, bu tarz e-postaları gördüğünüzde direkt olarak silerek, kendinizi koruma altına almış olabilirsiniz.


Sosyal Mühendislik Yöntemleri
Watering hole (sulama deliği):
Saldırganların hedefinde bulunan kişi veya kurumun sık sık ziyaret ettiği web sayfalarına zararlı kod yerleştirilmesi ve hedef kişi sayfayı ziyaret ettiğinde zararlı kodun bulaştırılmasıdır.
Baiting (cezbetme):
Bu yöntem phishing’e benzer, ancak merak uyandıran bilgiler içerdiği veya ücretsiz müzik, program indirme gibi menfaat sağlanacağı belirtilerek, zararlı yazılım içeren dosyaları bilgisayara indirdiğimizde gizli bilgilerimiz elde edilir. Bazen de mobil bellekler (USB), üzerinde; ücret, performans bilgisi gibi notlarla etrafımızda göreceğimiz yerlere bırakılır ve merak vb duygularla bu bellekleri alarak kullandığımızda, şifre kırıcı programlar çalıştırılarak, gizli bilgilerimize ulaşılmaya çalışılır.
Pretexting (sahte senorya):
IT personeli, polis, üst yönetici, bankacı, denetçi, araştırmacı gibi kişileri taklit ederek, sahte senaryolarla, genellikle telefonla arayarak, gizli bilgilerimizin öğrenilmeye çalışılmasıdır. Daha inandırıcı olabilmek ve güven duymamızı sağlayabilmek için, sosyal medya kanalları, internet vb kanallardan bizimle ilgili topladıkları bilgileri görüşme sırasında kullanmaktadırlar. Ayrıca telefon ettikleri numarayı, kullanılan bazı tekniklerle, olduğundan farklı göstererek bizleri yanıltmaya çalışabilmektedirler.
Tailgating, Piggybacking (yanına takılma):

Kötü niyetli kişilerin, kimliğini unuttuğu, yardım isteme vb gerekçelerle; bizimle birlikte veya bizim yardımımızla, kapı veya bariyerleri aşarak yetkisiz olarak kurumlarımıza girmesidir.
Quid Pro Quo (bir şey için bir şey) :
Bu yöntem karşılıklı faydaya dayanır. Örneğin teknik destek vermeye çalışan kişi veya bir araştırmacı gibi bize yaklaşarak yardım etme, para, çikolata, kalem vb menfaatler karşılığında hassas bilgilerimiz elde edilmeye çalışılır. Bating’de karşımızda bir insan bulunmazken, bu yöntemde karşımızda bir insan vardır.
Sosyal Medya:
Bu kanallar üzerinde, insan kaynakları yetkilisi, IT güvenlik firması personeli gibi sahte profiller oluşturulup, bizlerle iletişim kurularak, hassas bilgilerimizin ele geçirilmeye çalışılmasıdır. Sosyal medya kanallarında paylaştığımız kişisel bilgiler (nerede, ne yapıyor, doğum tarihi, sevdiği hayvan ismi, doğum yeri, hobileri ve mezuniyet tarihi gibi) toplanarak ataklar tasarlanabilmektedir.




___________________________________________

Нация, которая может позволить себе умереть за свою жизнь и свободу, никогда не бывает Не сдастся.
 Offline  
 
Teşekkür

The CrueL, WhiteRed, Kill4Dead, yusasatr, Kiril Teşekkür etti.
Konu Kapatılmıştır

Bookmarks

Seçenekler


Bilgilendirme Turkhackteam.net/org
Sitemizde yer alan konular üyelerimiz tarafından paylaşılmaktadır.
Bu konular yasalara uygunluk ve telif hakkı konusunda yönetimimiz tarafından kontrol edilse de, gözden kaçabilen içerikler yer alabilmektedir.
Bu tür konuları turkhackteamiletisim [at] gmail.com mail adresimize bildirebilirsiniz, konular hakkında en kısa sürede gerekli işlemler yapılacaktır.
Please Report Abuse, DMCA, Harassment, Scamming, Warez, Crack, Divx, Mp3 or any Illegal Activity to turkhackteamiletisim [at] gmail.com

Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz.
Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.



         

Powered by vBulletin® Copyright ©2000 - 2019

TSK Mehmetçik Vakfı

Türk Polis Teşkilatını Güçlendirme Vakfı

Google+
Pomeranian Boo
instagram takipci hilesi

wau