Sosyal mühendislik denemeleri penetrasyon testlerinde genellikle önemsenmeyen bir bileşendir. Oysa tecrübeler göstermektedir ki teknik zafiyetler kolay kapatılabilmektedir fakat insanı hedef alan saldırılar ve insani zafiyetler kolay kolay kapatılamamaktadır. Sosyal mühendislik saldırıları kullanıcıların dikkatsizliğini/bilinçsizliğini hedef alan çeşitli akıl oyunları içerdiğinden başarı oranı yüksektir. BGA olarak gerçekleştirilen penetrasyon testlerinde sosyal mühendislik saldırılarının başarı oranı %100’dür.
Bu yazıda, BGA pentest çalışmalarında gerçekleştirdiği örnek bir sosyal mühendislik senaryosuna yer verilmiştir.
Senaryo : Amaç, hedef firmanın eposta hesaplarını ele geçirmek.
1- Hedef firma hakkında bir süre araştırma yapılarak; alan adı, web servisleri (eposta,b2b vb.), müşterileri hakkında çeşitli bilgiler toplanır.
2- Firmanın web adresine benzer bir alan adı alınarak içeriği kopyalanır ve bilgileri çalmak için form alanlarında uygun değişiklikler yapılır.
3- Arama motorlarından hedef firmaya ait eposta adresleri toplanarak, ilgi çekici bir içeriğe sahip eposta gönderilir.
4- Kullanıcı bilgileri elde edildikden sonra, kullanıcı gerçek kaynağa yönlendirilir.
Uygulama;
Hedefimizde BGA firmasının, hedeffirma.com alan adı bulunmaktadır. Bu firmanın alan adında tekrar eden “f” harflerinden birini çıkararak hedefirma.com alan adını alalım. Bu alan adının dns kayıtlarını, interneten erişilebilen pentest makinamıza yönlendirelim. Saldırıları bu alan adı üzerinden gerçekleştireceğiz.
Diğer yöntemler ise, “o” harfi yerine “sıfır 0” kullanmak. .com uzantısı yerine .co uzantısı almak, isimler arasına “-” ifadesi koymak veya doğrudan hedef firmanın alan adını alt alan adı olarak kullanmak(webmail.kurum.gov.tr yerine webmail.kurum.gov.tr.bga.com.tr gibi.) olabilir.
Keşif Aşaması:
1-Arama motorları (özellikle google) hedef hakkında bilgi toplamak için en uygun kaynaktır.
Örneğin, google ile hedefin subdomain ve web servislerini bulmak için aşağıdaki operatörler ile arama yapılabilir;
“site:hedeffirma.com -www.hedeffirma.com“
“site:hedeffirma.com “password|username|”“
“site:hedeffirma.com (username* | password*)”
“site:hedeffirma.com webmail“
Veya çeşitli bilgi toplama araçları kullanılabilir, maltego, theharvaster vb.
Eposta adreslerini ve subdomainleri elde etmek;
root@seclabs:/pentest/enumeration/theharvester# python theHarvester.py -d hedeffirma.com -b google -l 500
*************************************
*TheHarvester Ver. 2.1 (reborn) *
*Coded by Christian Martorella *
*Edge-Security Research *
*cmartorella@edge-security.com *
*************************************[-] Searching in Google:
Searching 0 results…
Searching 500 results…[+] Emails found:
——————
bilgi@hedeffirma.com
ozan.ucar@hedeffirma.com
huzeyfe.onal@hedeffirma.com[+] Hosts found in search engines:
————————————
50.22.202.162:www.hedeffirma.com
50.22.202.162:webmail.hedeffirma.com
2- Web sayfasının içeriğini klonlamak için SET- Social Engineer Toolkit aracından faydalanacağız.SET kurulumu için aşağıdaki blog girdisinden faydalanabilirsiniz.
Kopyalayacağımız web sayfası, hedefin webmail servisi (webmail.hedeffirma.com) olacaktır. Aşağıdaki adımlarla, site kopyalama adımlarını tamamlayabilirsiniz.
Site İçeriğinin Benzerini Oluşturma(Klonlama)
./set
1) Social-Engineering Attacks
2) Website Attack Vectors
3) Credential Harvester Attack Method
2) Site Cloner
SET aracı bizim için, webmail.hedeffirma.com web sayfasını bire bir kopyaladı. Kurbanlara eposta göndererek, kendi kaynağımız olan “webmail.hedefirma.com” adresine yönlendirebiliriz.
Spam Eposta Göndermek;
admin@hedeffirma.com alan adından geliyormuş gibi, kullanıcılara sahte eposta göndermek mümkün. Aşağıdaki kaynak bir çok antispam uygulamasını bypass ederek eposta gönderebiliyor. (Kendi antispam uygulamanızada test edebilirsiniz!)
Kurbanın eposta gelen kutusundan bir görünüm, gmail bile bu sahte epostayı yakalayamadı (test edebilirsiniz!)
Kurban, Eposta adresine tıkladığında sahte webmail adresine yönlenecektir.
Kullanıcı adı ve parolasını girdiğinde, bilgileri SET tarafından kaydedilecek ve kurban gerçek webmail adresine (webmail.hedeffirma.com) yönlendirilecektir.Kurban bu durumda, tekrar parolasını girmek istediğinde gerçek kaynakda bulunan webmail servisine giriş yapmış olacak ve saldırının farkına varması güçleşecektir.
Bu aşamadan sonra kurbanın hesap bilgileri ile VPN yapılarak yerel ağa erişim sağlanabilir-two factor authentication kullanılmıyorsa-, kablosuz ağ hizmeti veriliyorsa bu bilgiler kullanılarak kablosuz ağa erişim sağlanabilir(PEAP vs kullanıldığı varsayılmakta) ya da kurbanın hesabına erişim sağlayarak mailleri arasında hassas bilgiler araştırılabilir.
Yazar:
Ozan UÇAR
ozan.ucar@bga.com.tr