• Portal Root
  • Dinamik Derleme | AR-GE Grup
  • Azure Üzerinden Windows Server Kurulumu
  • Hyper-V Sanal Ağ Konfigürasyonu
  • Linux APT Paket Yönetimi
  • Saldırı Yöntemleri ve Güvenlik Önlemleri
  • Nexus Netflow
  • Windows Server Active Directory
  • Windows Server Hyper-V
  • Mehmetçiğin teknolojik gözü Havelsan
  • Sıvı soğutmalı İlk Dizüstü Asus ROG GX700
  • Windows Server Nano
  • Cisco Port Güvenliği
  • Server 2008 to 2012 Active Directory Migration
  • Microsoft Azure Nedir ?
  • Windows 10 BitLocker özelliğini devreye alma
  • Android ve Win8 Asus Transformer da
  • USB 3.0 ın Aktarım Hızı 10GB/s ye Çıkacak
  • Uzaktan Şarj / Wireless Charging | HD2
  • Network Policy and Access Services - HD2
  • IP Tabanlı Kameralarda Zafiyet Analizi
  • Beklenen Güncelleme Geldi! | HD2
  • Panasonic ten Görsel Şölen | HD2
  • Mobil Teknoloji Gücünü Doğadan Alacak | HD2
  • Devden Çılgın Proje | HD-2
  • Veri Merkezi Soğutma Sistemi
  • Phishing Saldırıları
  • Yerel Hesapta Kullanıcı Kısıtlama Yöntemi
  • CSharp Performans | AR-GE Grup
  • Profesyonel IP Kamera Kayıt Sistemleri
  • PHP : 10 Adımda Kod Şaşırtmaca(Gizleme)


  •   Sayfa: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27


    S.M. ile Mail Şifresi Alma
    Detaylı Ara

    Ekleyen: taçam


    S.A.,
    Size yaptığım basit bir sosyal mühendislik uygulamasını anlatarak konuya gireyim. Malum son zamanlarda hotmail şifre çalma olaylarınında yeni bir teknikten bahsediliyor. Eskiden beri bu konuda kafa yorar dururum. 1999 da bu işler çok daha kolay oluyordu. Daha sonra cookies çalma, xss açıkları vb.yöntemlerle teknik olarak yapılmaya başlanıldı. Hala işe yarayan teknik bir yol daha var.
    Her neyse bir ay önce acaba bunu SM uygulayarak nasıl yapabilirim diye düşünmeye başladım. Tabiki amacım birilerine zarar vermek değil bir istatistik çıkarmak içindi.

    Önce bir site ve blog açtım. Hotmail şifre çalma teknikleri üzerine bazı yazılar ve teknikler paylaştım daha sonra flash bir açıktan bahsettim ve 1 gün sonra bu yöntemi kısaca açıkladım. Windows Live’ın deneme bir uygulama ile kayıp şifreleri daha hızlı ve otomatik olarak sıfırlama yöntemi üzerinde çalıştığını ve bu sistemin bir XSRF ve clickjacking açığı olduğunu, bunun nasıl kullanılabileceğini bahseden bir yazı hazırladım. 

    Yazı içeriğinde windowslive ın şifre sıfırlama için bir mail adresi kullandığı (passwordreset@windowslive.com ), bu adrese password reset konulu bir mail atarak  karşılığında 24 saat içinde bir yönerge geldiğini ve bu yönergeyi takip ederek istediğiniz mail adresinin şifresini istediğiniz gibi değiştirebileceğinizi yazdım. (Kulladığım kodları burada yazmaya gerek duymuyorum) Tabi size gelecek olan ikinci maile cevap olarak göndereceğiniz kod blokunda değiştirmek istediğiniz mail adresi ve yeni şifresi ile kendi mail adresiniz ve mevcut şifrenizin url ve base64 ile birlikte encode edilmiş halini yazmanız gereken yerler bıraktım. Tüm bunları yaparken neyi nereden yapabileceğinizi gösteren linkler koymayı unutmadım.
    Her şeyi o kadar teknik hale getirdim ki daha inandırıcı olsun. Zaten yapmanız gerekenleri okuduğunuzda bir çok şey hep duyduğunuz ama nasıl uygulandığı konusunda emin olmadığınız şeylerden oluşuyordu.

    Bu makalenin altına bu sistemin daha deneme aşamasında olduğu ve istenilen herşeyin eksiksiz bir şekilde yapılması gerektiğininde altını çizdim.

    Daha sonra beklemeye başladım. bir iki gün hiç mail gelmedi. Birkaç sitede açtığım sitenin linkini paylaşarak böyle bir şeyin mümkün olup olmadığını sordum. Birden mailler gelmeye başladı. tabi akabinden mail adresleri ve şifreler geliyordu.
    Gelen bazı mailler sadece deneme amaçlı açılmış adreslerden gelirken bazıları gerçekten kullanılan kişisel mail adreslerinden gelmeye başladı. Bu yolla yaklaşık 300 üzerinde mail adresi ve şifresi ( şahıslar tarafından sürekli kullanılanlar) ile 100 civarında deneme amaçlı açılmış mail adresi şifresi geldi.

    Yaptığım şey sadece insanları heyecanlandırarak tuzağa çekmekti. Birçok kişi o heyecanla düşünmeden doğrudan harekete geçmişti.

    2 maille şifrelerini encode ederek yollayanlara böyle tuzaklara düşememelerini hatırlacak birer uyarı mesajı yolladım.

    Mail şifrelerinizin güvenliğini nasıl sağlayacağınızı forumda diğer arkadaşlarımız anlatmıştı. Benim size SM kurbanı olmamanız için tavsiyelerim ise;
    -Bilmediğiniz bir şeylere girişmeyin. Her ne kadar gerçeğe uygun olsada.
    -Siz siz olun her gördüğünüze duyduğunuza inanmayın.
    -Sizi heyecanlandırsa bile önce biraz düşünün.Mantıklı mı?
    -Hiçbir mail hizmeti veren firma şifrenizi sizden istemez.
      

    Konumuzla alakalı değil ama ;
    Ben bu yöntemi uygularken şu gördüm;
    - Gelen çalınmak istenen maillerin çoğu kızlara ait.
    - Mail çalmak için mail atanların çoğu 18 yaş altında.
    - 1. maillerine cevap gönderikten sonra gelen cevapların çoğu yarım saat içerisinde geldi.
    Bu da  gösteriyor ki insanları etkilemek için duygusal yöneleri kullanmak sizi daha kolay sonuca götürebilir.

    Bunu sadece sizlere nasıl kandırılabileceğinizi göstererek aynı hataya düşmemeniz için hazırladım.
    S.M. ile Mail Şifresi Alma / Cyber-Warrior