S.A.,
Size yaptigim basit bir sosyal mühendislik uygulamasini anlatarak konuya gireyim. Malum son zamanlarda hotmail sifre çalma olaylarininda yeni bir teknikten bahsediliyor. Eskiden beri bu konuda kafa yorar dururum. 1999 da bu isler çok daha kolay oluyordu. Daha sonra cookies çalma, xss açiklari vb.yöntemlerle teknik olarak yapilmaya baslanildi. Hala ise yarayan teknik bir yol daha var.
Her neyse bir ay önce acaba bunu SM uygulayarak nasil yapabilirim diye düsünmeye basladim. Tabiki amacim birilerine zarar vermek degil bir istatistik çikarmak içindi.
Önce bir site ve blog açtim. Hotmail sifre çalma teknikleri üzerine bazi yazilar ve teknikler paylastim daha sonra flash bir açiktan bahsettim ve 1 gün sonra bu yöntemi kisaca açikladim. Windows Live’in deneme bir uygulama ile kayip sifreleri daha hizli ve otomatik olarak sifirlama yöntemi üzerinde çalistigini ve bu sistemin bir
XSRF ve clickjacking açigi oldugunu, bunun nasil kullanilabilecegini bahseden bir yazi hazirladim.
Yazi içeriginde windowslive in sifre sifirlama için bir mail adresi kullandigi (
[email protected] ), bu adrese password reset konulu bir mail atarak karsiliginda 24 saat içinde bir yönerge geldigini ve bu yönergeyi takip ederek istediginiz mail adresinin sifresini istediginiz gibi degistirebileceginizi yazdim. (Kulladigim kodlari burada yazmaya gerek duymuyorum) Tabi size gelecek olan ikinci maile cevap olarak göndereceginiz kod blokunda degistirmek istediginiz mail adresi ve yeni sifresi ile kendi mail adresiniz ve mevcut sifrenizin
url ve
base64 ile birlikte encode edilmis halini yazmaniz gereken yerler biraktim. Tüm bunlari yaparken neyi nereden yapabileceginizi gösteren linkler koymayi unutmadim.
Her seyi o kadar teknik hale getirdim ki daha inandirici olsun. Zaten yapmaniz gerekenleri okudugunuzda bir çok sey hep duydugunuz ama nasil uygulandigi konusunda emin olmadiginiz seylerden olusuyordu.
Bu makalenin altina bu sistemin daha deneme asamasinda oldugu ve istenilen herseyin eksiksiz bir sekilde yapilmasi gerektigininde altini çizdim.
Daha sonra beklemeye basladim. bir iki gün hiç mail gelmedi. Birkaç sitede açtigim sitenin linkini paylasarak böyle bir seyin mümkün olup olmadigini sordum. Birden mailler gelmeye basladi. tabi akabinden mail adresleri ve sifreler geliyordu.
Gelen bazi mailler sadece deneme amaçli açilmis adreslerden gelirken bazilari gerçekten kullanilan kisisel mail adreslerinden gelmeye basladi. Bu yolla yaklasik 300 üzerinde mail adresi ve sifresi ( sahislar tarafindan sürekli kullanilanlar) ile 100 civarinda deneme amaçli açilmis mail adresi sifresi geldi.
Yaptigim sey sadece insanlari heyecanlandirarak tuzaga çekmekti. Birçok kisi o heyecanla düsünmeden dogrudan harekete geçmisti.
2 maille sifrelerini encode ederek yollayanlara böyle tuzaklara düsememelerini hatirlacak birer uyari mesaji yolladim.
Mail sifrelerinizin güvenligini nasil saglayacaginizi forumda diger arkadaslarimiz anlatmisti. Benim size SM kurbani olmamaniz için tavsiyelerim ise;
-Bilmediginiz bir seylere girismeyin. Her ne kadar gerçege uygun olsada.
-Siz siz olun her gördügünüze duydugunuza inanmayin.
-Sizi heyecanlandirsa bile önce biraz düsünün.Mantikli mi?
-Hiçbir mail hizmeti veren firma sifrenizi sizden istemez.
Konumuzla alakali degil ama ;
Ben bu yöntemi uygularken su gördüm;
- Gelen çalinmak istenen maillerin çogu kizlara ait.
- Mail çalmak için mail atanlarin çogu 18 yas altinda.
- 1. maillerine cevap gönderikten sonra gelen cevaplarin çogu yarim saat içerisinde geldi.
Bu da gösteriyor ki insanlari etkilemek için duygusal yöneleri kullanmak sizi daha kolay sonuca götürebilir.
Bunu sadece sizlere nasil kandirilabileceginizi göstererek ayni hataya düsmemeniz için hazirladim.
