View
1.271
Download
6
Category
Preview:
DESCRIPTION
IstSec'14 Bilgi Güvenliği Konferansı Sunumları
Citation preview
YENİ NESİL"SOSYAL MÜHENDİSLİK
SALDIRILARI
ve !SİBER İSTİHBARAT
Ben Kimim ?
Web Uygulamaları Güvenliği Uzmanı"Uygulama Geliştirici"Google Hall of Famer"Facebook, Twitter, Friendfeed Bug Finder"KodHatasi.com Kurucusu"Starcraft 2 ve Team Fortress 2 Oyuncusu ;)
Index
1. Siber İstihbarat Nedir ?"2. Hedef Belirleme"3. OsInt / Bilgi Toplama Araçları"4. Yeni Nesil Sosyal Mühendislik"5. Vakalar"6. Korunma Yolları
Siber İstihbarat Nedir ?
Elektronik ortamlardan bilgi toplama"OsInt motorlarından / araçlarından bilgi toplama"Toplanılan bilgiyi analiz etme/kullanma
Siber İstihbarat’ın Önemi
Devlet’lerin Siber Terörizm Korkusu"Ticari Şirket Bilgilerinin Deşifresi (Mali bilgi, rakip vs.)"Kişisel Bilgiler"Hacker"Mahremiyet
Hedef Belirleme
Bir hacker’ın hedef belirlemesi…
Kim veya Ne Hedeftedir ?
Devlet Kurumu"Kurum’daki personel (Sosyal Mühendislik)"Yazılım / Ürün (Yazılım hırsızlığı)"Veri (Veri hırsızlığı)"Prestij (İstihbarat örgütleri)"
Bankalar / E-ticaret Sistemleri"Kişisel"
Veriler (Resim, Video, mahremiyet, şantaj)"Sosyal Medya Hesapları (Merak, hırs vs.)"Mail (Bilgi alma, merak vs.)
OsInt
Open Source Intelligence"Public Data"OsInt, İlk 2005 yılında ABD Savunma Bakanlığı tarafından tanımlandı
Bilgi Toplama Teknikleri "&"
Araçları
Gizlilik ?
Bitcoin"Tor Browser Bundle"Cryptocat"DoNotTrackMe"Enigmail
Fake Name Generator"Ghostery"HTTPS Everywhere"Hushmail alternative"Burn Note
Arama Motorları
Google Dorks"Baidu"binsearch.info"Bing
Duck Duck Go"PunkSpider"Google"Shodan
Google Hacking
Lulzsec ve Anonymous gibi hacker gruplarının öncelikli kullandığı teknik"Hızlı ve çoklu sonuçlar"Gelişmiş operatörler ile spesifik sonuçlar
Google Hacking
Google Hacking
Google Hacking
Google Hacking
Google Hacking
Google Hacking
Google Hacking
filetype:x
Google Hacking
Google Alert!
Pastebin
Pastebin
Pastebin
Twitter - Pastebin
Açık Kaynak ?
Açık Kaynak ?
Açık Kaynak ?
Diğer kaynaklar
Shodan ?
TheHarvester ?
Metagoofil ?
SpiderFoot!
DomainTools.com
Reverse IP, NS, MX kayıt arama"Detaylı Whois bilgileri"Whois Geçmişi
Maltego
Favori OsInt araçlarından"Kişiler, gruplar, websiteler, domainler ve sunucular hakkında bilgi toplama"Tüm platformlarda çalışır (Linux, Mac OS X, Windows)"Hızlı ve kolay kurulum"Grafiksel kullanıcı arabirimi
Sosyal Medya İstihbaratı
En sık görüştüğü kişiler"Kullandığı hashtag’ler"Paylaştığı websiteler"Beğendiği linkler, içerikler
Twitter Favorileri
Yeni Nesil Sosyal Mühendislik
“İnsanların zaafı, bilgisayarlardan daha
fazladır”
Sosyal Mühendislik ?
Aldatma Sanatı"İnsan donanımındaki hatalar"Beyni Exploit etme :)
Kimler Kullanır ?
Hackerlar"Penetrasyon Testerlar"Ajanlar"Kimlik Hırsızları
Devletler"İş verenler"Pazarlamacılar"Herkes :)
Metodlar
Bilgisayar Tabanlı"Oltalama Saldırısı"Online dolandırıcılık"
İnsan Tabanlı"Kimliğe bürünme"Omuz Sörfü"Çöplüğe dalma
Örnek ?
SET ?
The Social-Engineer Toolkit (SET)"Açık Kaynak Kodlu"Multi Phishing ve Browser Exploit
Phishing ?
Phishing ?
Phishing ?
Phishing ?
Shellshock !+ !
Phishing
Flash Disk ?
Örnek Vakalar“İnsanların zaafı,
bilgisayarlardan daha fazladır”
Hedefe Yönelik Saldırı
Mat Honan ?
Nasıl Hacklendi ?
1. Twitter > @mat"2. > honan.net"3. > mhonan@gmail.com"4. Şifremi unuttum > m••••n@me.com"5. Apple Şifremi unuttum > "
1. Fatura adresleri "2. Kredi kartlarının son dört rakamı
Nasıl Hacklendi ?
6. Google’da adres arama"7. K.K Son 4 Rakam ?"
1. Amazon müşteri hizmetleri > yeni k.k ekleme"2. İsim + Sisteme kayıtlı e-posta adresi + Fatura
adresi"3. Sahte k.k ekletilir."
8. Tekrar Amazon
Nasıl Hacklendi ?
9. Yeni bir e-posta adresi tanımlama"1. İsim + Fatura adresi + K.k numarası"
10. Amazon şifremi unuttum > yeni eklenilen e-posta adresi :)"
11. Diğer K.K son 4 rakam"12. Mat Hacked !
Hedefe Yönelik Saldırı 2
Bilgi Toplama
Korunma Yolları
Korunma Yolları
1. Her servis/website için farklı şifreler"2. 2 adımlı doğrulama servisini kullanın"3. “Güvenlik sorularınızı ?” saçmalayın
Korunma Yolları
4. Sanal kredi kartı kullanımı"5. Kişisel bilgilerinizi ve hesaplarınızı
sıkça inceleyin"6. Açık bilgi veritabanlarından
bilgilerinizi kaldırın.
Sorular ?
Teşekkürler
@Twitter"
http://seyfullahkilic.com"
bilgi@seyfullahkilic.com
Kaynakça
http://www.bishopfox.com/resources/tools/google-hacking-diggity/presentation-slides/!
http://www.securitysift.com/phishing-for-shellshock/!
http://www.social-engineer.org/framework/general-discussion/social-engineering-defined/!
http://www.net-security.org/secworld.php?id=15805!
http://resources.infosecinstitute.com/social-engineering-a-hacking-story/!
http://magazine.thehackernews.com/article-1.html
Recommended