Phishing Saldırısı Yöntemleri

Phishing Saldırısı Nedir?

Oltalama olarak da isimlendirilen bu yöntem ile kullanıcıları yanıltarak kötüye kullanım amaçlı kişisel veya kurumsal bilgilerin ele geçirilmesi yöntemine denir. Birçok saldırı çeşidinde de olduğu gibi en büyük faktör insandır.

Bu makalemde Phishing üzerine alışılmış yöntemlerin dışında kendimce geliştirdiğim, farklı şekilde düşünerek hazırladığım birkaç tane Phishing yönteminden bahsedeceğim.

Genelde phishing saldırısı yapacak olan kişi, varsa hazır tooları yoksa daha önceden hazırlanmış scriptleri kullanarak phishing saldırısı yapıyorlar. Tek seferlik olarak gerçekleştirilen bu phishing saldırısı amacın gerçekleşip gerçekleşmemesi gibi sonuçlarda tekrarlanıyor veya sıkılıp vazgeçme gibi durumlara gidiyor.

Sosyal medya hesapları yada kişisel/kurumsal bilgilerin olduğu web siteleri üzerinden genellikle mail yoluyla, atılan bu mailleri ciddiye alınması gereken bir mailmiş gibi gösterip aslında insanların bilgilerini kopyalamayı hedef alan bir saldırı metodudur.

Bende, insanların bu phishing metoduyla nasıl hacklendiği üzerine merak edip bazı testler yaptım. Bu testlere siz farklı bir phishing yöntemi de diyebilirsiniz fakat ben insanların kullanıcı bilgilerini alıp, kötüye kullanım gibi şeylerde bulunmadım. Ailem ve arkadaşlarım üzerinde yaptığım bir testtir.

Ben Nasıl Phishing Yaptım?

Öncelikle piyasada olan phishing toollarını ve scriptlerini analiz ettim, hangi amaçlarla ve nerelerde kullanılıyor, kullanılan bu araçlarla kullanıcıların ne gibi verileri ele geçirilebiliyor bunları deneyimledim.

Şunu belirtmeliyim ki başka platformlar üzerinden yapılan phishing saldırılarını ben biraz komik buluyorum. Çünkü siz phishing yapacaksanız bile sizden önce bu verileri üzerinden phishing yaptığınız platformun kayıt altına alması pek samimi gelmedi :)

Açıkça phishing üzerine düşünülünce etkileyecek olduğunuz faktör insan olunca phishing’de bir sınır göremedim. Ne yapılırsa yapılsın gerek sosyal medya, gerek mail hesapları, gerekse şirket bilgilerinin bu yöntemle ele geçirilmeyecek bir yanı olmadığını gördüm.

Sonuçta phishing yapılacak unsur insan olduğu için, insanın yanıltılması istenen sonucu getirecektir. Bende bu yoldan çıkarap büyük bir web sitesi üzerinden phishing saldırı yapma kararı aldım. Nasıl yaptım sorusuna gelince de, hemen anlatıma geçeyim.

Milyonlarca ziyaret alan bu site üzerinden sanki bu sitenin geliştiricileri tarafından hazırlanmış bir chrome extensions aracılığıyla kullanıcıya, bu eklentiyi kullanması durumunda şöyle şöyle avantajları olacağını güzelce açıklayıp, siteye dair 3 5 logo ve resim koyduktan sonra piyasaya saldım.

Daha açıklayıcı olması için; örneğin x haber sitesinden geceleri mail gelmesin, beni rahatsız etmesin gibi bir asparagas atıp, buna inanıp oltama takılacak kişileri bekledim (ailem ve arkadaşlarım arasından tabiki). Bu durumdan bahsettim herkes “aaa ne kadar güzelmiş” deyip çaat diye kurdu. E tabi kurulan bu extensions üzerinden login olması gerekiyordu ki güya sistem onu tanısın :) evet hiç düşünmeden çatır çutur girişler yapıldı. Sonrasında arka planda gelen istekleri dinlediğim bir sunucumda gelen istekleri json halinde tuttum :)

Aradan birkaç gün geçtikten sonra bu kişilere parolasını söylediğimde çok şaşırdıklarını gördüm ve nasıl öğrendiğim konusundaki şaşkınlarını gözlerinden okudum :D Hemen o noktada birkaç gün öncesinde kurdukları uzantının aslında bilgi çalmak üzerine hazırlanmış bir uzantı olduğunu söyleyip bu konu hakkında dikkatli olmaları konusunda uyardım.

Phishing Saldırısından Nasıl Yırtarız?

Kural 1: Kesinlikle herkesin her dediğine inanıp her linke tıklamayın Kural 2: Güvenliği kanıtlanmamış sitelere kayıt olmayın Kural 3: Gereksiz yere bilgisayarınıza program indirmeyin Kural 4: Kişisel bilgilerinizi veya parolalarınızı babanızla bile paylaşmayın :) Kural 5: “yaa benim ne bilgim/özelim var ki” demeyin, ipin ucunu sağlam tutun Kural 6: Kayıt olduğunu sitelere yada uygulamaların yorumlarını mutlaka okuyun


Yapılan Yorumlar
Erdem OFLAZ

Bir mum, diğer mumu tutuşturmakla ışığından bir şey kaybetmez.
 Kategoriler
 Popüler yazılar