Oltalama saldırısı nedir?
Oltalama saldırısı, kurbanın kendisiyle paylaşmış olduğumuz site ya da linke tıklamasıyla ağımıza düşmesini sağlamak ve bunu kullanarak hacklememizi ifade eden olaydır.
Phishing, oltalama ya da yemleme anlamına gelen bu durum bir tür tuzağa düşürme işlemi olarak bilinir.
Her saldırıda olduğu gibi bu saldırıda da kurbanı hedef alarak bir senaryo geliştirmek ve ona özel saldırı protokolleri ile saldırmak, elde edeceğimiz sonucun işe yaramasına büyük bir katkı sağlayacaktır.
Oltalama saldırısı ile yapabileceklerimizin tek sınırı hayal gücümüzdür. Örnek olarak 2 farklı senaryo üzerinden ilerleyelim. İlki kurbana “Instagram hesabınız telif hakları sebebiyle askıya alınmıştır. Lütfen aşağıda bulunan linke tıklayarak hesabınıza giriş yapın ve hesabınızı güvene alın.” şeklinde bir mail gönderip kurbanın bu linke tıkladıktan sonra bizim yönlendireceğimiz siteye geçecek script’i instagramla birebir aynı olan bir web sitesi karşılayacak, hesabının bilgilerini girdikten sonra hesabını ele geçirmiş olacağız.
Gelelim saldırı kısmına. İlk olarak inandırıcı olacak bir mail adresine ihtiyacımız var.
Bu işlem için benim tercih ettiğim mail adresi şu şekilde: lstagramcopyrightteam@yandex.com
Bu şekilde tercih etmemin sebebi telif hakkı ile ilgili mail atacağımız için daha inandırıcı olacağını düşündüm.
Mail adresimizi açtık, şimdi ise bizim hazırlamış olduğumuz bir web sitesini ücretsiz bir şekilde alıp yayınlamamız gerekmekte.
https://somee.com/default.aspx ücretsiz hosting ve domain verdiğinden dolayı ben buradan alıyorum.
Burada eğer kendi mailinizi vermek istemiyorsanız temp-mail kullanabilirsiniz.
Seçeceğimiz site ismi bizim için çok önemlidir. Çünkü kurbana oltama maili attıktan sonra linke tıklayınca o link onu bizim sitemize yönlendirecektir. Site ismindeki en ufak bir hata yapmamız kurbanı kuşkulandıracak ve elimizden kaçıracaktır.
Create website dedik ve istediğimiz alan adıyla sitemiz oluşturuldu şimdi scripti internet sitesine atalım.
Dosyalarımızı file manager’in içine atmamız gerekiyor ki web sitemizde çıksın.
Mailimiz böyle gözükecek ve inandırıcı olacak ‘Dear !’ kısmına kullanıcı adını yazıyoruz ve yolluyoruz kurbana isteğe göre Türkçe yapabilirsiniz.
Bundan sonraki adımları güvenlik gerekçesi ile screenshot olmadan anlatacağım.
Şimdiye kadar yaptıklarımızın üzerinden geçelim : web sitemize gerçekçi bir domain seçtik ve hosting’imizi aldık. İçine internetten bulduğumuz instagram scriptini attık. Böylece kurban siteye girdiği zaman instagramın sitesine gireceğini düşünecek ve oltamıza düşecek.
Birde mail hesabı açmamız gerekiyor. Ben yandex mail kullandım ve screenshot’da gözüktüğü gibi sanki instagramın kendisinden bir mail alıyormuş gibi olsun diye mail adresini ona göre aldım dikkat çekmeyecek şekilde Verify Account kısmına ise kendi tuzaklı web sitemi koydum. Böylece kurban buraya tıkladığı zaman birebir instagrama benzeyen bir siteye gidecek. Bilgilerini girdikten sonra ise onun kullanıcı adını, şifresini, mail adresini ele geçirmiş olacağız.
İkinci senaryomuzda ise kurban’ın araba aksesuarları sevdiğini varsayalım. Bu kanıya varmak için yukarıda bahsettiğim aktif ve pasif bilgi toplama işlemlerini detaylıca yapmamız gerekiyor.Unutmayın “Savaş, yüzde doksan bilgidir.” demiş Napoleon Bonaparte. Elimizde kurbana ait ne kadar çok bilgi varsa o kadar güçlü bir saldırımız olur. Önce gene bir tuzak web sitesi kuracağız. Bu siteyi indirimli araba aksesuarlı ile dolduracağız. Bunu instagram vs. sosyal medyalar ile desteklemeniz daha iyi olur.
Ardından kurban ile mail ya da sosyal medya aracılığı ile iletişime geçecek ve ona reddedemeyeceği bir teklifte bulunacağız. Örneğin web sitemize gelirsen şu aksesuarda şu kadar indirim var vs gibi ya da web sitemizdeki şu programı indirir isen şurada geçerli bir indirim sunulacaktır.
İndireceği program aslında bizim yazdığımız virüs olacaktır. Bu tarz vb oltalama saldırıları ile kurbanı hacklemek mümkün olacaktır.
Sosyal Mühendislik Yazıma Buradan Ulaşabilirsiniz => Sosyal Mühendislik
Not :Bu makale eğitim ve bilgilendirme amacıyla hazırlanmıştır. Oluşan herhangi bir hukuki sorunda mesuliyet kabul edilmez.
