WhoYayınlayan :

Sosyal mühendislik, penetrasyon testlerinde çoğu zaman teknik sınırlamaların ötesine geçerek insan faktörünü hedef alan bir yaklaşımdır. Bu bölümde, sosyal mühendislik testlerinin temel prensipleri, yaygın yöntemleri ve uygulamalı bir çalışma ele alınacaktır.

Sahte E-posta ve Phishing Sayfaları Hazırlama

Sahte E-postaların Etkisi

Sahte e-postalar (örneğin, phishing) bir kullanıcının hassas bilgilerini çalmak veya zararlı yazılım bulaştırmak için yaygın olarak kullanılan bir tekniktir. Bu e-postalar genellikle gerçek görünmesi için dikkatle tasarlanır ve kullanıcıyı belirli bir eylemi (linke tıklamak, ek açmak vb.) yapmaya ikna etmeye çalışr.

Teknikler

  • Kopya Tasarımlar: Hedef kurumun veya şirketin marka renkleri, logoları ve yazı tiplerini kullanarak e-postaların orijinal görünmesi sağlanır.
  • Aciliyet Yaratma: “Hesabınız kilitlendi”, “ödeme sorunu” gibi mesajlarla kullanıcılar panik yaptırılır.
  • Alan Adı Manipülasyonu: E-posta gönderen adresi hedef kurumun alan adına benzer yapılır (e.g., “support@paypa1.com”).

Araçlar

  • Phishing E-mail Generator: Hedefe yönelik sahte e-postalar oluşturur.
  • Gophish: Phishing kampanyalarını kolayca yönetmek için kullanılır.

Phishing Sayfaları

Bu sayfalar genellikle şirketlerin oturum açma ekranlarını taklit eder. Hedef kullanıcı bilgilerini girdikten sonra, bilgiler siber saldırgan tarafından kaydedilir.

Nasıl Hazırlanır?

  1. Orijinal Sayfanın Kopyalanması: Şirketin orijinal web sayfasını HTML olarak kaydedin ve düzenleyin.
  2. Veri Toplama Mekanizması: Form alanlarına girilen bilgileri backend sistemde saklayacak bir PHP veya Python scripti yazın.
  3. Barındırma: Bu sayfayı hosting platformlarında veya yerel sunucularda yayınlın.

Güvenlik Testleri Sırasında Dikkat Edilmesi Gerekenler

  • Hedef sistemi izinsiz olarak manipüle etmek yasal sorunlara neden olabilir. Yalnızca hedef organizasyonun izni ile çalışılmalıdır.
  • Gerçek zarara neden olmaktan kaçınılmalı ve hassas bilgiler korunmalıdır.

Sosyal Mühendislik Araçlarının Kullanımı

SEToolkit (Social-Engineer Toolkit)

SEToolkit, sosyal mühendislik süreçlerini kolaylaştırmak için kullanılan bir çok yönlülü araçtır.

Özellikler

  • Phishing Sayfaları: Kolayca phishing sayfaları oluşturur.
  • E-posta Spoofing: Hedefe sahte e-posta gönderir.
  • Zararlı Kod Enjeksiyonu: Özel kodların bir web sitesi veya sistem üzerinde çalışmasını sağlar.

Kullanım Adımları

  1. SEToolkit Kurulumu: Linux sistemlerde apt veya git ile kurulum.
   git clone https://github.com/trustedsec/social-engineer-toolkit.git
   cd social-engineer-toolkit
   python setup.py install
  1. Modül Seçimi: “Social-Engineering Attacks” modülünü seçin.
  2. Phishing Sayfası Oluşturma: “Website Attack Vectors” ı seçerek hedef URL’nin kopyasını yapın.

Diğer Araçlar

  • Evilginx: Oturum bilgilerini ele geçirmek için çok etkili bir araç.
  • King Phisher: Detaylı phishing kampanyaları yürütmek için profesyonel bir platform.

Örnek Uygulama: SEToolkit ile Phishing Saldırısı

Bu bölümde, SEToolkit kullanarak sahte bir oturum açma ekranı ile kimlik bilgisi yakalama örneğini inceleyeceğiz.

Adım 1: SEToolkit Kurulumu

  1. Terminal üzerinden SEToolkit’i kurun:
   sudo apt-get install git
   git clone https://github.com/trustedsec/social-engineer-toolkit.git
   cd social-engineer-toolkit
   python3 setup.py install
  1. Kurulum tamamlandıktan sonra aşağıdaki komutla arayüzü başlatın:
   sudo setoolkit

Adım 2: Phishing Sayfası Oluşturma

  1. Main Menu üzerinden “Social-Engineering Attacks” i seçin.
  2. “Website Attack Vectors” ı seçin.
  3. “Credential Harvester Attack Method” ı seçerek hedef web sayfasını klonlayın.
  4. Hedef URL’yi girin (örneğin, https://mail.example.com).
  5. SEToolkit, sayfayı klonlar ve bu sayfa üzerinden oturum bilgilerini toplamaya başlar.

Adım 3: Test ve Sonuç

  • Hedefe phishing linkini gönderin.
  • Hedef linke tıkladığında oturum bilgilerini SEToolkit konsolunda izleyin.
  • Toplanan bilgileri raporlayarak test süreci tamamlanır.

Önlemler

Bu test sırasında etik kurallara dikkat edilmelidir.

  • Test öncesi izin alınmalı.
  • Gerçek veriler zarara uğratılmamalı.
  • Tüm test verileri test sonrasında silinmelidir.

Sosyal mühendislik testleri, penetrasyon testlerinin en yaratıcı bölümlerinden biri olarak, teknik ve insani faktörlerin çarpışmasını ortaya koyar. Bu bölümde anlatılan yöntemler ve örnekler, bu testleri yürütmek isteyen uzmanlara rehber niteliğindedir.

Tepkiniz ne oldu ?

Heyecanlı
0
Mutlu
0
Aşık
0
Emin değilim
0
Şapşal
0
Önceki
Sonraki

İlginizi Çekebilir

Bir cevap bırakın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Daha fazlası:Sızma Testleri