YENİ NESİL"SOSYAL MÜHENDİSLİK

SALDIRILARI

ve !SİBER İSTİHBARAT

Ben Kimim ?

Web Uygulamaları Güvenliği Uzmanı"Uygulama Geliştirici"Google Hall of Famer"Facebook, Twitter, Friendfeed Bug Finder"KodHatasi.com Kurucusu"Starcraft 2 ve Team Fortress 2 Oyuncusu ;)

Index

1. Siber İstihbarat Nedir ?"2. Hedef Belirleme"3. OsInt / Bilgi Toplama Araçları"4. Yeni Nesil Sosyal Mühendislik"5. Vakalar"6. Korunma Yolları

Siber İstihbarat Nedir ?

Elektronik ortamlardan bilgi toplama"OsInt motorlarından / araçlarından bilgi toplama"Toplanılan bilgiyi analiz etme/kullanma

Siber İstihbarat’ın Önemi

Devlet’lerin Siber Terörizm Korkusu"Ticari Şirket Bilgilerinin Deşifresi (Mali bilgi, rakip vs.)"Kişisel Bilgiler"Hacker"Mahremiyet

Hedef Belirleme

Bir hacker’ın hedef belirlemesi…

Kim veya Ne Hedeftedir ?

Devlet Kurumu"Kurum’daki personel (Sosyal Mühendislik)"Yazılım / Ürün (Yazılım hırsızlığı)"Veri (Veri hırsızlığı)"Prestij (İstihbarat örgütleri)"

Bankalar / E-ticaret Sistemleri"Kişisel"

Veriler (Resim, Video, mahremiyet, şantaj)"Sosyal Medya Hesapları (Merak, hırs vs.)"Mail (Bilgi alma, merak vs.)

OsInt

Open Source Intelligence"Public Data"OsInt, İlk 2005 yılında ABD Savunma Bakanlığı tarafından tanımlandı

Bilgi Toplama Teknikleri "&"

Araçları

Gizlilik ?

Bitcoin"Tor Browser Bundle"Cryptocat"DoNotTrackMe"Enigmail

Fake Name Generator"Ghostery"HTTPS Everywhere"Hushmail alternative"Burn Note

Arama Motorları

Google Dorks"Baidu"binsearch.info"Bing

Duck Duck Go"PunkSpider"Google"Shodan

Google Hacking

Lulzsec ve Anonymous gibi hacker gruplarının öncelikli kullandığı teknik"Hızlı ve çoklu sonuçlar"Gelişmiş operatörler ile spesifik sonuçlar

Google Hacking

Google Hacking

Google Hacking

Google Hacking

Google Hacking

Google Hacking

Google Hacking

filetype:x

Google Hacking

Google Alert!

Pastebin

Pastebin

Pastebin

Twitter - Pastebin

Açık Kaynak ?

Açık Kaynak ?

Açık Kaynak ?

Diğer kaynaklar

Shodan ?

TheHarvester ?

Metagoofil ?

SpiderFoot!

DomainTools.com

Reverse IP, NS, MX kayıt arama"Detaylı Whois bilgileri"Whois Geçmişi

Maltego

Favori OsInt araçlarından"Kişiler, gruplar, websiteler, domainler ve sunucular hakkında bilgi toplama"Tüm platformlarda çalışır (Linux, Mac OS X, Windows)"Hızlı ve kolay kurulum"Grafiksel kullanıcı arabirimi

Sosyal Medya İstihbaratı

En sık görüştüğü kişiler"Kullandığı hashtag’ler"Paylaştığı websiteler"Beğendiği linkler, içerikler

mentionmapp.com

Twitter Favorileri

Yeni Nesil Sosyal Mühendislik

“İnsanların zaafı, bilgisayarlardan daha

fazladır”

Sosyal Mühendislik ?

Aldatma Sanatı"İnsan donanımındaki hatalar"Beyni Exploit etme :)

Kimler Kullanır ?

Hackerlar"Penetrasyon Testerlar"Ajanlar"Kimlik Hırsızları

Devletler"İş verenler"Pazarlamacılar"Herkes :)

Metodlar

Bilgisayar Tabanlı"Oltalama Saldırısı"Online dolandırıcılık"

İnsan Tabanlı"Kimliğe bürünme"Omuz Sörfü"Çöplüğe dalma

Örnek ?

SET ?

The Social-Engineer Toolkit (SET)"Açık Kaynak Kodlu"Multi Phishing ve Browser Exploit

Phishing ?

Phishing ?

Phishing ?

Phishing ?

Shellshock !+ !

Phishing

Flash Disk ?

Örnek Vakalar“İnsanların zaafı,

bilgisayarlardan daha fazladır”

Hedefe Yönelik Saldırı

Mat Honan ?

Nasıl Hacklendi ?

1. Twitter > @mat"2. > honan.net"3. > mhonan@gmail.com"4. Şifremi unuttum > m••••n@me.com"5. Apple Şifremi unuttum > "

1. Fatura adresleri "2. Kredi kartlarının son dört rakamı

Nasıl Hacklendi ?

6. Google’da adres arama"7. K.K Son 4 Rakam ?"

1. Amazon müşteri hizmetleri > yeni k.k ekleme"2. İsim + Sisteme kayıtlı e-posta adresi + Fatura

adresi"3. Sahte k.k ekletilir."

8. Tekrar Amazon

Nasıl Hacklendi ?

9. Yeni bir e-posta adresi tanımlama"1. İsim + Fatura adresi + K.k numarası"

10. Amazon şifremi unuttum > yeni eklenilen e-posta adresi :)"

11. Diğer K.K son 4 rakam"12. Mat Hacked !

Hedefe Yönelik Saldırı 2

Bilgi Toplama

Korunma Yolları

Korunma Yolları

1. Her servis/website için farklı şifreler"2. 2 adımlı doğrulama servisini kullanın"3. “Güvenlik sorularınızı ?” saçmalayın

Korunma Yolları

4. Sanal kredi kartı kullanımı"5. Kişisel bilgilerinizi ve hesaplarınızı

sıkça inceleyin"6. Açık bilgi veritabanlarından

bilgilerinizi kaldırın.

Sorular ?

Teşekkürler

@Twitter"

http://seyfullahkilic.com"

bilgi@seyfullahkilic.com

Kaynakça

http://www.bishopfox.com/resources/tools/google-hacking-diggity/presentation-slides/!

http://www.securitysift.com/phishing-for-shellshock/!

http://www.social-engineer.org/framework/general-discussion/social-engineering-defined/!

http://www.net-security.org/secworld.php?id=15805!

http://resources.infosecinstitute.com/social-engineering-a-hacking-story/!

http://magazine.thehackernews.com/article-1.html