phishing etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
phishing etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

3 Aralık 2013 Salı

Sosyal Mühendislik Saldırılarında Sahte Mail Kullanımı

Merhaba arkadaşlar. Sosyal mühendislik saldırılarında en çok kullanılan yöntemlerden biri olan Fake (Sahte) Mail ve buna karşı nasıl tedbirler alınabilir bu konulara değineceğim. Sosyal mühendislikte Fake Mail kullanarak hedefli saldırı gerçekleştirmek için bir senaryo ve varolan senaryonun alternatifi şeklinde konuyu anlatmak istiyorum.
Senaryo
Amaç: Hedefteki şirkete/kuruma ait e-mail adreslerinin toplanıp, bu e-mail adreslerine zayıf parola saldırısı yaparak bir e-mail hesabı ele geçirmek ve ele geçirilen e-mail hesabıyla hedefteki şirket için tespit edilen diğer e-mail adreslerine zararlı dosya (trojan) gönderip şirketi içerden fethetmek.
NOT: Şirket Microsoft Exchange mail servisini kullanıyorsa OWA'ya yönelik zayıf şifre saldırısını Eyüp Çelik'in hOWAttacker yazılımını  veya Metasploit'teki owa_login exploitinin kullanımını öneririm.

Alternatif Senaryo
Hedefteki şirkete ait tespit edilen e-mail adreslerine yapılan zayıf parola saldırısı ile bir sonuç alınmadıysa devreye Fake (Sahte) Mail kullanma girecektir. Ve biz alternatif senaryoyu kullanacağız.

İlk olarak theHarvester veya Maltego araçlarına kullanarak hedef şirkete ait e-mail adreslerini toplayabiliriz.

theHarvester Örneği


Maltego Örneği


Alternatif senaryoyu kullanacağımıza göre şuan ihtiyacımız olan şey fake mail servisidir, 4 adet fake mail servisi hazırladım buradan indirebilirsiniz >>> İndir / Download