HACKER - Sosyal Mühendislik ve Senaryolar
  Ana Sayfa
  Ziyaretçi defteri
  HACKER OLAMAK İSTİYENLER
  Başkaların Bilgisayarını Haclemek istiyenler
  Hackerlerin Kullandığı Programlar
  HABERLER
  Hack-Güvenlik
  => Kişisel Güvenlik ve Korunma Yöntemleri
  => Wireless Şifresi Kırma
  => Domain Adınızı Güncellemeyi Unutursanız...
  => Bir Rootkit Hikayesi...
  => RootKit Nedir ve Sistemden Nasıl Temizlenir?
  => Bruteforce Yöntemi İle Şifre Kırma Hesaplaması
  => Sosyal Mühendislik ve Senaryolar
  => Detaylarıyla Denial Of Service
  => N-Keylogger v1.3 ve Kullanımı
  => Access, Mssql ve Mysql ile Sql Injection
  => Soru-Cevap ile Hack Nedir, Nasıl Yapılır?
  => CSRF nedir, Nasıl yapılır?
  => Sql Server Şifreleri Nasıl Saklar?
  => PGP ye Pratik Giriş, PGP Kullanımı ve E-mail Güvenliği
  => Sanal Mağazacılık Ve Sanal Alışveriş
  => Veritabanı Saldırıları
  => Reverse Engineering - Visual Basic P-Code
  => Efkan Forum 2 - Database Yolu ile Hackleme Yöntemi 2
  => Efkan Forum - Database Yolu ile Hackleme Yöntemi
  => Kredi Kartları Güvenliği ve Carding Hakkında
  => Sosyal Mühendislik Hakkında
  => İnternet Bankacılığı ve Güvenliği
  => Reverse Engineering - Self Modifying
  => Reverse Engineering - Hedef Bölge
  => Reverse Engineering - Keygenler
  => Reverse Engineering - .Net Programları
  => Reverse Engineering - DeDe & VBDecompiler
  => Telnet ile Mailbox Temizlemek
  => Port Listesi
  => Virüs Çeşitleri
  => Proxy, Firewall ve kurulumu
  => Kredi Kartlarının Onaylanması ve Check Digit Algoritması
  => Exploit Nedir, Sistemlere Sızma Yolları
  => Exploitler Nedir, Nereden Bulunur ve Nasıl Kullanılır?
  => Advanced Coding / Buffer Overflow Exploit -3
  => Advanced Coding / Buffer Overflow Exploit -2
  => Advanced Coding / Buffer Overflow Exploit -1
  Windows Püfleri
  Arşiv
  İletişim

Sosyal Mühendislik ve Senaryolar

 

Bu dökümanda sosyal mühendisliğin kısa bir tanıtımını yapıp,web saldırılarında nasıl kullanabiliriz ona değineceğim. İlk önce tanıma geçelim.

Ama tanım nerede Sosyal mühendislik için kesin bir tanım var diyemeyiz.Eğer açıklamaya çalışırsak hedefe ikna,kişisel iletişim,taklit vb yollardan ki bunların öncesinde bir bilgi toplama süreci var ulaşmaktır.

Sosyal mühendislik son çare olarak görülür aslında,örnek vermem gerekirse bir hedefimiz var diyelim,hedefimiz.com olsun,siteyle ilgili her türlü server tabanlı script tabanlı açığı denedik ama başarılı olamadık bu durumda en zayıf halkaya bana kalırsa,yani insan faktörüne yönelmemiz gerekecektir.

Sosyal mühendislik göründüğü kadar basit değildir,amacımız msn'den kız taklidi yapıp şifre almak değil sonuçta.Sosyal mühendisliğin çeşitli bölümleri vardır bilgi toplama bunlardan en önemlisidir.Belirtmeden geçemeyeceğim,kimi insanlarda ki iletişim becerisi yüksektir,bu kişilerde sosyal mühendislik doğuştan bir yetenektir diyebiliriz,belirttiğim gibi iletişim kurmak,yalan söylemek bir beceridir,bu becerilerin sizde olmadığını düşünüyorsanız yapabileceğiniz birkaç şey var.Bu konularla ilgili çeşitli kitaplar var bunları okuyup kendinizi geliştirebilirsiniz,aynanın karşısına geçip konuşup daha seri daha inandırıcı olup,ikna kabiliyetinizi arttırabilirsiniz

Konu biraz dağıldı farkındayım Ama sosyal mühendisliğin tanımını böylece yapmış olduk,kabaca oldu belki de ama oldu.
Nerde kamıştım,istihbaratta.Her şeyi örneklerle açıklayalım derim,yukarıda hedefim.com demiştim sitemiz hedefim.com olsun teknik saldırılarımız bir işe yaramadı ve sosyal mühendisliği düşünüyoruz.İlk önce bu siteyle ilgili bilgi şart,neler lazım olabilir...

-Site sahibinin adı soyadı
-Site sahibinin telefon numarası
-Siteye web hosting hizmeti veren firma ve firma bilgileri(telefon nosu,fax,mail aklınız ne gelirse)
-Domainin kayıt edildiği firma ve firma bilgileri(telefon nosu,fax,mail aklınız ne gelirse)
-Site sahibinin kimi özel bilgileri,ne olabilir?
Yaşı,yaşadığı yeri(adres),kişiliğine kadar.Evet doğru okudunuz kişiliğine kadar.Böyle bir saldırı planlamadan önce site sahibini arayıp biraz konuşmayı deneyin,hem kişinin ses tonunu kulağınıza alın hem de konuşma tarzını kullandığı cümleleri vs.

Şimdi istihbarat topladık diyelim,gelelim siteye nasıl bir sosyal mühendislik saldırısı yapabileceğimize.Yukarıda verdiğim bazı bilgileri içine alan bir saldırı senaryosu olacak.

İlk önce site sahibinin bilgilerini elde ediyoruz,zor bir şey değil hatta çoğu sitede ben kimim diye bölümler görebilirsiniz.Domaine whois çekip çeşitli bilgileri de elde etmeniz mümkün,telefon numarasına kadar.
Özellikle de hedefimiz bir foruma sahip bir siteyse bu çok daha kolay,bu tür sitelerde aktiflik gösterip sivrilebilir ve site sahibiyle daha yakın bir ilişki kurabilirsiniz.

 

Daha sonra adminle telefonda görüşün bir şekilde,isterseniz yanlışlıkla oldu deyin isterseniz ben bu bu üyeyim sizi çok merak ettim deyin(dereyi geçene kadar ayıya dayı diyeceksiniz,yalakalık ta olsa ucunda başarı istiyorsunuz) aklınıza ne gelirse.Sosyal mühendislikte her şey sizin aklınız yani hayal gücünüzle sınırlı.Bu telefon görüşmesi çok faydalı olacak adamın ses tonundan,konuşma tarzına öğrenebileceğiz. Ayrıca mümkünse bu kişiyi msninize ekleyiniz,bunun nasıl faydası olur?Şöyle olur.MSN de yazışırken yazı tipinden rengine,avatarına,yazarken kullandığı kelimelere,kişisel iletilere dinlediği müziklere kadar bilgi toplarsınız,ne zaman mı işe yarayacak?anlatacağım...

Sosyal Mühendislik ve Senaryolar



Şunu söylemeliyim,burada vereceğim bir kaç yol etkili yollardır ama tek yol değildir.Yollar sınırsız hepsini yazamayız ilk önce ne yapacağız,bunu bir vurgundan öte normal web siteleri üzerinde örneklendireceğim ki kavramanız kolay olsun.Başlıyoruz...

 

Hosting firmasını arayacağız, hosting firmasının telefon numarasını öğrenmiştik küçük haber alma çalışmamızla.MSNden iletişim kurmamak hosting ve domain firmaları üzerinden sos.müh girişiminde daha önemli,resmiyet bazen iyidir.
Örnek bir konuşma yapıyorum,biraz yapay kaçabilir.

Not:Hatırlarsanız admini aramıştık,sesimizi değiştirerek ve bu adamın konuşma şeklini yaparsak eğer dhaa önce hosting firması admala telde görüştüyse etkili olabilir,tam tersi de tabi.

S: Saldırgan H: Hostçu

S:İyi günler
H:iyi günler

 

S:(Adınızı,soyadınızı ve diğer kimlik bililerinizi söylüyorsunuz)Ya benim bir problemim var,hedefim.com sitesinin sahibiyim ben,hostu da sizden alıyorum,mail adresim hacklendi ve şu an siteme giremiyorum bilgilerim değiştirilmiş bilgilerimi benim isteklerim doğrultusundaş u iekilde değiştirebilir misiniz(veya) bilgilerimi bana yollar mısınız,bir de benim kayıt sırasında verdiğim mail adresini ciddiye almazsanız çok iyi olur.

 

H(eğer amatörse hemen dediğinizi yapacaktır inanın ,ama değilse ve problem bi tipse şöyle bile diyebilir).. bize verdiğiniiz telefon numarasından ulaşmanız gerekli
S:Bakın şu an şehir dışındayım,ve telefonum yanımda yok sizi bir bayiiden arıyorum

 

****

 

Belirtmek isterim ki karşınızdaki adam size güvenmeyip telefonu arayabilir,bu durumda işler boksa sarar.Böyle birşeyin olmasını istemiyorsak ne yapabiliriz,sürekli herifi takip edebilirsiniz,takip derken ne zaman cep telefonundan cevap veremez,ne zaman teli kapalıdır vs.Bu tespit ettiğimiz zamanlarda bu çalışmayı yaparsak inandırıcı da olacaktır,cevap veremeyecek durumdayken telefonum evde kaldı veya kapalıyken şarjım bitik demeniz adamı oltaya getirecektir.

 

Tabi bu işe bu kadar takmayın akıl sağlığınız bizim için önemlidir Unutmayın herşey hayal gücünüzle sınırlı.

Bu seferde domain firmasına ulaşalım,bunu diyalog şeklinde yazamayacağım yine benzer bir senaryonun değiştirilmiş hali

Sosyal Mühendislik ve Senaryolar

 

 

FAX çekin!Domain firmasına fax çekin,bunu çok uzatmak istemiyorum ilk önce knedinizi tanıtarak kişisel bilgilerinizi söyleyerek daha sonra mailim hacklendi şu adrese domain bilgilerimi yollar mısınız diye bir mail atabilirsiniz,bu yöntemle inanın Türkiye'nin çok büyük hack siteleri bile hacklendi.Ki domain hack en prestijli yöntemdir.

Son taktiğimize gelelim (son dediğime bakmayın,benim bu dökümanda anlatacağım son teknik bu,unutmayın sos.mühlkte çareler tükenmez). Belirtmiştim site sahibini msnimize eklemiş,yazı tipinden,kullandığı avatara,yazı rengine,nickine vs herşeyi öğrenmiştik.Forum sitesi gibi sitelerde özellikle bir sitede birden çok yönetici bulunur.Bunu kullanacağız.Ne mi yapacağız?taklit hepsi bu
3 admin var diyelim biz bunlardan birini taklit edeceğiz....Site adminin maili naber_kamil@hotmail.com olsun,2 seçeneğimiz var.Ama bunlardna önce şunu yapmalıyız,bir admini taklit ederek diğerlerinden bilgi istemeden önce taklit edeceğimiz yöneticinin msnden çıkmasını bekleyeceğiz.

 

Şimdi çıktı diyelim,msn adresi naber_kamil@hotmail.com du değil mi?biz diğer adminleri naber-kamil@hotmail.com la ekleyebilir daha sonra,beyler çıkmadan söylemeyi unuttum bu adresi de kullanacağımla bir diyalog başlatabiliriz bu diyalog sırasında unutmamanız gereken taklit ettiğimiz kişi gibi davranmamız yazmamız.

 

Yazı renginden fontuna kadar,hatta ne dinliyorum özelliğini açıp çok dinlediği bir şarkıyı bile koyabiliriz.

 

Ya da böyle bir mail almayız başka bir maille ekleriz normal bir mail,işte ben siteye üyeyim sizle tanışmak istedim dersiniz diğer adminlere,2-3 gün ses etmeyin ama muhabbeti de pek koparmayın.
Sonraki gün kişisel iletinize şunu yazın

 

< > dahil olacak.
Ve şöyle görünecek (kendi msn imde örneklendirdim )

http://img172.imageshack.us/my.php?image=sosmuhki4.jpg

Konuşma sırasında da kişinin mail adresi gibi duracak,kanmak için güzel ha?

İletimize bu şekilde yazdığımızda ve yazı tipi,avatar vs herşeyi benzettiğimizde karşımızdak ikişinin bu taktiği yemesi mümkün.Yemekle kalmıycaz ama,iletimizi bu şekil yaptıktan sonra ve diğer kamuflajları(!) hallettikten sonra diğer adminlere

 

-Siteye giremiyorum şifremi değiştirsene bir
-FTPye bağlanacam neydi unuttum
gibi cümlelerle sokulabilir istediğinizi elde edebilirsiniz.
Bu yöntemle de deface edilen hack siteleri var,bizzat yaşadığım olaylar da var,asla küçümsemeyin hele de normal güvenlik-hack konusunda zayıf bilgisi olan kişilerin sitelerine katlı çok etkilidir.

 

Tabii ki sosyal mühendislikle yalnızca site hacklenmez,büyük vurgunlar da yapılabilir maddi anlamda ama sizin böyle bi r hedefiniz yoktur umarım Mantığını da kavramış oldunuz böylece ve çok etkili yollar öğrendiniz bana kalırsa.

 

Bu doküman antioksidan tarafından Tahribat.Com için özel olarak yazılmıştır.
Bugün 44 ziyaretçi (46 klik) kişi burdaydı!
Bu web sitesi ücretsiz olarak Bedava-Sitem.com ile oluşturulmuştur. Siz de kendi web sitenizi kurmak ister misiniz?
Ücretsiz kaydol