yeni nesil sosyal mühendislik saldırıları ve siber İstihbarat
DESCRIPTION
Next Generation Social Engineering and Cyber Intelligence Explanatory Video: https://www.youtube.com/watch?v=8DiQROTYSDATRANSCRIPT
YENİ NESİL
SOSYAL MÜHENDİSLİK SALDIRILARI
ve SİBER İSTİHBARAT
OWASP-Turkey
Seyfullah KILIÇ
Ben Kimim ?
Web Uygulamaları Güvenliği Uzmanı
SwordSec.com Kurucusu
Uygulama Geliştiricisi
Google Hall of Famer
KodHatasi.com Kurucusu
Öğrenci :(
Starcraft 2 ve Team Fortress 2 Oyuncusu ;)
Index
1. Siber İstihbarat Nedir ?
2. Hedef Belirleme
3. OsInt / Bilgi Toplama Araçları
4. Yeni Nesil Sosyal Mühendislik
5. Vakalar
6. Korunma Yolları
Siber İstihbarat Nedir ?
Elektronik ortamlardan bilgi
toplama
OsInt motorlarından /
araçlarından bilgi toplama
Toplanılan bilgiyi analiz
etme/kullanma
Siber İstihbarat’ın Önemi
Devlet’lerin Siber Terörizm Korkusu
Ticari Şirket Bilgilerinin Deşifresi (Mali bilgi, rakip
vs.)
Kişisel Bilgiler
Hacker
Mahremiyet
Hedef
Belirleme
Kim veya Ne Hedeftedir ?
Devlet Kurumu
Kurum’daki personel (Sosyal Mühendislik)
Yazılım / Ürün (Yazılım hırsızlığı)
Veri (Veri hırsızlığı)
Prestij (İstihbarat örgütleri)
Bankalar / E-ticaret Sistemleri
Kişisel
Veriler (Resim, Video, mahremiyet, şantaj)
Sosyal Medya Hesapları (Merak, hırs vs.)
Mail (Bilgi alma, merak vs.)
OsInt
Open Source Intelligence
Public Data
OsInt, İlk 2005 yılında ABD Savunma Bakanlığı
tarafından tanımlandı
Bilgi Toplama
Teknikleri
&
Araçları
Gizlilik ?
Bitcoin
Tor Browser Bundle
Cryptocat
DoNotTrackMe
Enigmail
Fake Name Generator
Ghostery
HTTPS Everywhere
Hushmail alternative
Burn Note
Arama Motorları
Google Dorks
Baidu
binsearch.info
Bing
Duck Duck Go
PunkSpider
Shodan
Google Hacking
Lulzsec ve Anonymous gibi hacker gruplarının
öncelikli kullandığı teknik
Hızlı ve çoklu sonuçlar
Gelişmiş operatörler ile spesifik sonuçlar
Google Hacking
Google Hacking
Google Hacking
Google Hacking
Google Hacking
Google Hacking
Google Hacking
filetype:x
Google Hacking
Google Alert
Pastebin
Pastebin
Pastebin
Twitter - Pastebin
Açık Kaynak ?
Açık Kaynak ?
Açık Kaynak ?
Diğer kaynaklar
Shodan ?
TheHarvester ?
Metagoofil ?
SpiderFoot
DomainTools.com
Reverse IP, NS, MX kayıt arama
Detaylı Whois bilgileri
Whois Geçmişi
Maltego
Favori OsInt araçlarından
Kişiler, gruplar, websiteler, domainler ve
sunucular hakkında bilgi toplama
Tüm platformlarda çalışır (Linux, Mac OS X,
Windows)
Hızlı ve kolay kurulum
Grafiksel kullanıcı arabirimi
Sosyal Medya İstihbaratı
En sık görüştüğü kişiler
Kullandığı hashtag’ler
Paylaştığı websiteler
Beğendiği linkler, içerikler
mentionmapp.com
Twitter Favorileri
Yeni Nesil Sosyal
Mühendislik
Sosyal Mühendislik ?
Aldatma Sanatı
İnsan donanımındaki hatalar
Beyni Exploit etme :)
Kimler Kullanır ?
Hackerlar
Penetrasyon Testerlar
Ajanlar
Kimlik Hırsızları
Devletler
İş verenler
Pazarlamacılar
Herkes :)
Metodlar
Bilgisayar Tabanlı
Oltalama Saldırısı
Online dolandırıcılık
İnsan Tabanlı
Kimliğe bürünme
Omuz Sörfü
Çöplüğe dalma
Örnek ?
SET ?
The Social-Engineer Toolkit (SET)
Açık Kaynak Kodlu
Multi Phishing ve Browser Exploit
Phishing ?
Phishing ?
Phishing ?
Phishing ?
Shellshock
+
Phishing
Flash Disk ?
Örnek Vakalar
Hedefe Yönelik Saldırı
Mat Honan ?
Nasıl Hacklendi ?
1. Twitter > @mat
2. > honan.net
3. > [email protected]
4. Şifremi unuttum > m••••[email protected]
5. Apple Şifremi unuttum >
1. Fatura adresleri
2. Kredi kartlarının son dört rakamı
Nasıl Hacklendi ?
6. Google’da adres arama
7. K.K Son 4 Rakam ?
1. Amazon müşteri hizmetleri > yeni k.k ekleme
2. İsim + Sisteme kayıtlı e-posta adresi + Fatura
adresi
3. Sahte k.k ekletilir.
8. Tekrar Amazon
Nasıl Hacklendi ?
9. Yeni bir e-posta adresi tanımlama
1. İsim + Fatura adresi + K.k numarası
10. Amazon şifremi unuttum > yeni eklenilen e-
posta adresi :)
11. Diğer K.K son 4 rakam
12. Mat Hacked !
Hedefe Yönelik Saldırı 2
Bilgi Toplama
Korunma
Yolları
Korunma Yolları
Korunma Yolları
1. Her servis/website için farklı şifreler
2. 2 adımlı doğrulama servisini kullanın
3. “Güvenlik sorularınızı ?” saçmalayın
Korunma Yolları
4. Sanal kredi kartı kullanımı
5. Kişisel bilgilerinizi ve hesaplarınızı
sıkça inceleyin
6. Açık bilgi veritabanlarından
bilgilerinizi kaldırın.
Sorular ?
Teşekkürler
@s3yfullah
http://seyfullahkilic.com
Kaynakça
http://www.bishopfox.com/resources/tools/google-hacking-
diggity/presentation-slides/
http://www.securitysift.com/phishing-for-shellshock/
http://www.social-engineer.org/framework/general-
discussion/social-engineering-defined/
http://www.net-security.org/secworld.php?id=15805
http://resources.infosecinstitute.com/social-engineering-a-
hacking-story/
http://magazine.thehackernews.com/article-1.html
Sponsorlar