İnsanlar, şimdiye kadarki en iyi güvenlik açıkları kaynağı ve son noktasıdır. Sosyal Mühendislik, banka hesabı, sosyal medya, e-posta, hatta hedef bilgisayara erişim gibi gizli bilgileri elde etmek amacıyla insanların güvenlerini manipüle ederek ve oynayarak insan davranışlarını hedef alan bir saldırı türüdür. Hiçbir sistem güvenli değildir, çünkü sistem insanlar tarafından yapılır. Sosyal mühendislik saldırılarını kullanan en yaygın saldırı vektörü, e-posta spam yoluyla yayılan kimlik avıdır. Banka veya kredi kartı bilgileri gibi bir finansal hesabı olan bir kurbanı hedef alıyorlar.
Sosyal mühendislik saldırıları bir sisteme doğrudan girmez, bunun yerine insan sosyal etkileşimini kullanır ve saldırgan doğrudan kurbanla ilgilenir.
Hatırlıyor musun Kevin Mitnick ? Eski çağın Sosyal Mühendislik efsanesi. Saldırı yöntemlerinin çoğunda, kurbanları sistem yetkisine sahip olduğuna inandırmak için kandırırdı. Sosyal Mühendislik Saldırısı demo videosunu YouTube'da görmüş olabilirsiniz. Ona bak!
Bu yazıda size Sosyal Mühendislik Saldırısının günlük hayatta nasıl uygulanacağının basit senaryosunu göstereceğim. Çok kolay, sadece öğreticiyi dikkatlice takip edin. Senaryoyu net bir şekilde açıklayacağım.
E-posta erişimi elde etmek için Sosyal Mühendislik Saldırısı
Hedef : E-posta kimlik bilgileri hesap bilgilerinin alınması
saldırgan : BEN
Hedef : Arkadaşım. (Gerçekten evet)
Cihaz : Kali Linux çalıştıran bilgisayar veya dizüstü bilgisayar. Ve cep telefonum!
Çevre : Ofis (iş yerinde)
Alet : Sosyal Mühendislik Araç Seti (SET)
Yani, yukarıdaki senaryoya göre, kurbanın cihazına bile ihtiyacımız olmadığını hayal edebilirsiniz, dizüstü bilgisayarımı ve telefonumu kullandım. Sadece kafasına, güvenine ve aptallığına ihtiyacım var! Çünkü bilirsiniz, insan aptallığı düzeltilemez, cidden!
Bu durumda, önce Kali Linux'umda kimlik avı Gmail Hesabı giriş sayfası ayarlayacağız ve telefonumu bir tetik cihazı olarak kullanacağız. Neden telefonumu kullandım? Aşağıda, daha sonra açıklayacağım.
Neyse ki herhangi bir araç yüklemeyeceğiz, Kali Linux makinemizde önceden yüklenmiş SET (Sosyal Mühendislik Araç Seti) var, tek ihtiyacımız olan bu. Ah evet, SET'in ne olduğunu bilmiyorsanız, size bu araç setinin arka planını vereceğim.
Sosyal Mühendislik Araç Takımı, insan tarafı sızma testi yapmak için tasarlanmıştır. AYARLAMAK ( kısaca ) TrustedSec'in kurucusu tarafından geliştirilmiştir. ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) Python ile yazılmış ve açık kaynak kodludur.
Pekala, bu kadarı yeterdi, hadi pratik yapalım. Sosyal mühendislik saldırısını gerçekleştirmeden önce, önce kimlik avı sayfamızı kurmamız gerekiyor. Burada masamda oturuyorum, bilgisayarım (Kali Linux çalıştıran) internete cep telefonumla aynı Wi-Fi ağına bağlı (android kullanıyorum).
ADIM 1. PHISING SAYFASI KURULUMU
Setoolkit, Komut Satırı arayüzünü kullanıyor, bu yüzden burada 'tıklama' beklemeyin. Terminali açın ve şunu yazın:
~# araç setiÜstte karşılama sayfasını ve altta saldırı seçeneklerini göreceksiniz, bunun gibi bir şey görmelisiniz.
Evet, elbette, gerçekleştireceğiz Sosyal Mühendislik Saldırıları , bu yüzden numarayı seç 1 ve ENTER'a basın.
Ve sonra bir sonraki seçenekler gösterilecek ve numarayı seçeceksiniz. 2. Web Sitesi Saldırı Vektörleri. Vurmak GİRMEK.
Daha sonra numarayı seçiyoruz 3. Kimlik Bilgileri Harvester Saldırı Yöntemi . Vurmak Girmek.
Diğer seçenekler daha dardır, SET, Google, Yahoo, Twitter ve Facebook gibi popüler web sitelerinin önceden biçimlendirilmiş kimlik avı sayfasına sahiptir. Şimdi numarayı seç 1. Web Şablonları .
Çünkü Kali Linux bilgisayarım ve cep telefonum aynı Wi-Fi ağındaydı, bu yüzden sadece saldırganı girin ( benim bilgisayarım ) yerel IP adresi. ve vur GİRMEK.
Not: Cihazınızın IP adresini kontrol etmek için şunu yazın: 'ifconfig'
Buraya kadar yöntemimizi ve dinleyici IP adresini belirledik. Bu seçeneklerde yukarıda bahsettiğim gibi önceden tanımlanmış web kimlik avı şablonları listelenmiştir. Google hesap sayfasını hedeflediğimiz için numarayı seçiyoruz 2. Google . Vurmak GİRMEK .
NSŞimdi, SET, Kali Linux Web sunucumu 80 numaralı bağlantı noktasında, sahte Google hesabı giriş sayfasıyla başlatıyor. Kurulumumuz tamamlandı. Artık cep telefonumu kullanarak bu kimlik avı sayfasına giriş yapmak için arkadaşlarımın odasına girmeye hazırım.
ADIM 2. AV MAĞDURLARI
Cep telefonu (android) kullanmamın nedeni? Yerleşik android tarayıcımda sayfanın nasıl görüntülendiğini görelim. Kali Linux web sunucuma şuradan erişiyorum: 192.168.43.99 tarayıcıda. Ve işte sayfa:
Görmek? O kadar gerçek görünüyor ki, üzerinde görüntülenen herhangi bir güvenlik sorunu yok. URL'nin kendisi yerine başlığı gösteren URL çubuğu. Aptalın bunu orijinal Google sayfası olarak tanıyacağını biliyoruz.
Bu yüzden, cep telefonumu getirdim ve arkadaşımın içine girdim ve onunla sanki Google'a giriş yapmamış gibi konuşuyorum ve Google'ın çöktü mü yoksa hata mı yaptığını merak ediyormuşum gibi davranıyorum. Telefonumu veriyorum ve hesabını kullanarak giriş yapmayı denemesini rica ediyorum. Sözlerime inanmıyor ve sanki burada kötü bir şey olmayacakmış gibi hemen hesap bilgilerini yazmaya başlıyor. Haha.
Gerekli tüm formları zaten yazdı ve tıklamama izin verdi. Kayıt olmak buton. Butona tıklıyorum… Şimdi yükleniyor… Ardından Google arama motoru ana sayfasını bu şekilde elde ettik.
Not: Kurban tıkladığında Kayıt olmak butonuna tıkladığınızda, kimlik doğrulama bilgilerini dinleyici makinemize gönderecek ve günlüğe kaydedilecektir.
Hiçbir şey olmuyor, ona söylüyorum, Kayıt olmak düğmesi hala orada, yine de giriş yapamadınız. Ve sonra bu aptalın başka bir arkadaşı bize gelirken kimlik avı sayfasını tekrar açıyorum. Hayır, başka bir kurbanımız var.
Konuşmayı kesene kadar masama dönüp SET'imin günlüğünü kontrol ediyorum. Ve işte buradayız,
Goccha… Seni mahvederim!!!
Sonuç olarak
Hikaye anlatmakta iyi değilim ( mesele bu ), şimdiye kadarki saldırıyı özetlemek için adımlar:
- Açık 'ayar seti'
- Seçmek 1) Sosyal Mühendislik Saldırıları
- Seçmek 2) Web Sitesi Saldırı Vektörleri
- Seçmek 3) Kimlik Bilgileri Harvester Saldırı Yöntemi
- Seçmek 1) Web Şablonları
- Girin IP adresi
- Seçmek Google
- Mutlu avlar ^_^