Root     Cyber Navigation Organizasyon   Member Navigation
Forum Root Portal Root
Dökümanlar Döküman Ekle Download/Dosya Arsivi IBlock E-Kitap IBlock Mp-3 Basinda Cyber-Warrior Banner
Cyber-Academy
TIM Görev Organizasyonu Neler Yaptik? Bize Özel Küçük Seyler? Operasyon Yönetim Sistemi Görev Org. Basvuru Yönetici Basvuru Formu Karaliste Ihbar Organizasyon Semasi Misyon Kurallar
CW Explorer Kefalet Kefil Havuzu
Yeni Üye Basvuru Yazdigim Mesajlar Arkadas Listem Sifremi Unuttum Özel Mesajlarim Onay E-Mail Gönder
  • Portal Root
  • VMWare Memory Analizi ile Şifre Tespiti
  • SSD Diskler Üzerindeki Hash Problemi
  • Facebook eserleri ne kadar önemli?
  • Adli Bilişime Giriş
  • Android işletim sistemi Nedir ?
  • Bilgisayarda Virüs Olduğunu Nasıl Anlarız
  • Hard Disk Teknolojisi
  • Adli Bilişim Yönünden MFT
  • Biri Master Boot Recordu Bozmuş
  • File Slack Nedir?
  • Spool Nedir Spool ile Delile Ulaşma(Veri Kurtarma)
  • S Voice Ve Özellikleri
  • TrueCrypt İle Veri Gizliliği
  • .NET Gadgeteer
  • Yeni Nesil Güvenlik Tehdidi : KAREKODLAR
  • Beyin Kontrollü Araçlar
  • MCT Nedir? Nasıl Olunur?
  • BackTrack- 5 R3 MD5 Kırmak
  • Kali Linux Mail Bomber Resimli Anlatım Bug Res.
  • BT-5 r3 İle Site Güvenlik Açıklarını Taramak
  • Kali Linux İle Hedefe Ddos Saldırısı Resimli An.
  • BT - 5 R3 ile Sql İnjection ve Hedef Hacked...CH-2
  • Flash Bellek Virüsü ve Temizlenmesi
  • Açık Portlar ve Kapatma
  • Virüsler
  • Mac Adresi Değiştirme
  • Ubuntu Güvenlik Duvarı Konfigürasyonu
  • BLAKE 2 ile Şifreleme
  • VPN Bağlantısı Oluşturma | Windows 7 ve 8
  • BIOS ve Güncelleme


  •   Sayfa: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24


    S.M. ile Mail Şifresi Alma
    Detaylı Ara

    Ekleyen: taçam


    S.A.,
    Size yaptığım basit bir sosyal mühendislik uygulamasını anlatarak konuya gireyim. Malum son zamanlarda hotmail şifre çalma olaylarınında yeni bir teknikten bahsediliyor. Eskiden beri bu konuda kafa yorar dururum. 1999 da bu işler çok daha kolay oluyordu. Daha sonra cookies çalma, xss açıkları vb.yöntemlerle teknik olarak yapılmaya başlanıldı. Hala işe yarayan teknik bir yol daha var.
    Her neyse bir ay önce acaba bunu SM uygulayarak nasıl yapabilirim diye düşünmeye başladım. Tabiki amacım birilerine zarar vermek değil bir istatistik çıkarmak içindi.

    Önce bir site ve blog açtım. Hotmail şifre çalma teknikleri üzerine bazı yazılar ve teknikler paylaştım daha sonra flash bir açıktan bahsettim ve 1 gün sonra bu yöntemi kısaca açıkladım. Windows Live’ın deneme bir uygulama ile kayıp şifreleri daha hızlı ve otomatik olarak sıfırlama yöntemi üzerinde çalıştığını ve bu sistemin bir XSRF ve clickjacking açığı olduğunu, bunun nasıl kullanılabileceğini bahseden bir yazı hazırladım. 

    Yazı içeriğinde windowslive ın şifre sıfırlama için bir mail adresi kullandığı (passwordreset@windowslive.com ), bu adrese password reset konulu bir mail atarak  karşılığında 24 saat içinde bir yönerge geldiğini ve bu yönergeyi takip ederek istediğiniz mail adresinin şifresini istediğiniz gibi değiştirebileceğinizi yazdım. (Kulladığım kodları burada yazmaya gerek duymuyorum) Tabi size gelecek olan ikinci maile cevap olarak göndereceğiniz kod blokunda değiştirmek istediğiniz mail adresi ve yeni şifresi ile kendi mail adresiniz ve mevcut şifrenizin url ve base64 ile birlikte encode edilmiş halini yazmanız gereken yerler bıraktım. Tüm bunları yaparken neyi nereden yapabileceğinizi gösteren linkler koymayı unutmadım.
    Her şeyi o kadar teknik hale getirdim ki daha inandırıcı olsun. Zaten yapmanız gerekenleri okuduğunuzda bir çok şey hep duyduğunuz ama nasıl uygulandığı konusunda emin olmadığınız şeylerden oluşuyordu.

    Bu makalenin altına bu sistemin daha deneme aşamasında olduğu ve istenilen herşeyin eksiksiz bir şekilde yapılması gerektiğininde altını çizdim.

    Daha sonra beklemeye başladım. bir iki gün hiç mail gelmedi. Birkaç sitede açtığım sitenin linkini paylaşarak böyle bir şeyin mümkün olup olmadığını sordum. Birden mailler gelmeye başladı. tabi akabinden mail adresleri ve şifreler geliyordu.
    Gelen bazı mailler sadece deneme amaçlı açılmış adreslerden gelirken bazıları gerçekten kullanılan kişisel mail adreslerinden gelmeye başladı. Bu yolla yaklaşık 300 üzerinde mail adresi ve şifresi ( şahıslar tarafından sürekli kullanılanlar) ile 100 civarında deneme amaçlı açılmış mail adresi şifresi geldi.

    Yaptığım şey sadece insanları heyecanlandırarak tuzağa çekmekti. Birçok kişi o heyecanla düşünmeden doğrudan harekete geçmişti.

    2 maille şifrelerini encode ederek yollayanlara böyle tuzaklara düşememelerini hatırlacak birer uyarı mesajı yolladım.

    Mail şifrelerinizin güvenliğini nasıl sağlayacağınızı forumda diğer arkadaşlarımız anlatmıştı. Benim size SM kurbanı olmamanız için tavsiyelerim ise;
    -Bilmediğiniz bir şeylere girişmeyin. Her ne kadar gerçeğe uygun olsada.
    -Siz siz olun her gördüğünüze duyduğunuza inanmayın.
    -Sizi heyecanlandırsa bile önce biraz düşünün.Mantıklı mı?
    -Hiçbir mail hizmeti veren firma şifrenizi sizden istemez.
      

    Konumuzla alakalı değil ama ;
    Ben bu yöntemi uygularken şu gördüm;
    - Gelen çalınmak istenen maillerin çoğu kızlara ait.
    - Mail çalmak için mail atanların çoğu 18 yaş altında.
    - 1. maillerine cevap gönderikten sonra gelen cevapların çoğu yarım saat içerisinde geldi.
    Bu da  gösteriyor ki insanları etkilemek için duygusal yöneleri kullanmak sizi daha kolay sonuca götürebilir.

    Bunu sadece sizlere nasıl kandırılabileceğinizi göstererek aynı hataya düşmemeniz için hazırladım.
    S.M. ile Mail Şifresi Alma / Cyber-Warrior