S.A.,
Size yaptığım basit bir sosyal mühendislik uygulamasını anlatarak konuya gireyim. Malum son zamanlarda hotmail şifre çalma olaylarınında yeni bir teknikten bahsediliyor. Eskiden beri bu konuda kafa yorar dururum. 1999 da bu işler çok daha kolay oluyordu. Daha sonra cookies çalma, xss açıkları vb.yöntemlerle teknik olarak yapılmaya başlanıldı. Hala işe yarayan teknik bir yol daha var.
Her neyse bir ay önce acaba bunu SM uygulayarak nasıl yapabilirim diye düşünmeye başladım. Tabiki amacım birilerine zarar vermek değil bir istatistik çıkarmak içindi.
Önce bir site ve blog açtım. Hotmail şifre çalma teknikleri üzerine bazı yazılar ve teknikler paylaştım daha sonra flash bir açıktan bahsettim ve 1 gün sonra bu yöntemi kısaca açıkladım. Windows Live�ın deneme bir uygulama ile kayıp şifreleri daha hızlı ve otomatik olarak sıfırlama yöntemi üzerinde çalıştığını ve bu sistemin bir XSRF ve clickjacking açığı olduğunu, bunun nasıl kullanılabileceğini bahseden bir yazı hazırladım.
Yazı içeriğinde windowslive ın şifre sıfırlama için bir mail adresi kullandığı (passwordreset@windowslive.com ), bu adrese password reset konulu bir mail atarak karşılığında 24 saat içinde bir yönerge geldiğini ve bu yönergeyi takip ederek istediğiniz mail adresinin şifresini istediğiniz gibi değiştirebileceğinizi yazdım. (Kulladığım kodları burada yazmaya gerek duymuyorum) Tabi size gelecek olan ikinci maile cevap olarak göndereceğiniz kod blokunda değiştirmek istediğiniz mail adresi ve yeni şifresi ile kendi mail adresiniz ve mevcut şifrenizin url ve base64 ile birlikte encode edilmiş halini yazmanız gereken yerler bıraktım. Tüm bunları yaparken neyi nereden yapabileceğinizi gösteren linkler koymayı unutmadım.
Her şeyi o kadar teknik hale getirdim ki daha inandırıcı olsun. Zaten yapmanız gerekenleri okuduğunuzda bir çok şey hep duyduğunuz ama nasıl uygulandığı konusunda emin olmadığınız şeylerden oluşuyordu.
Bu makalenin altına bu sistemin daha deneme aşamasında olduğu ve istenilen herşeyin eksiksiz bir şekilde yapılması gerektiğininde altını çizdim.
Daha sonra beklemeye başladım. bir iki gün hiç mail gelmedi. Birkaç sitede açtığım sitenin linkini paylaşarak böyle bir şeyin mümkün olup olmadığını sordum. Birden mailler gelmeye başladı. tabi akabinden mail adresleri ve şifreler geliyordu.
Gelen bazı mailler sadece deneme amaçlı açılmış adreslerden gelirken bazıları gerçekten kullanılan kişisel mail adreslerinden gelmeye başladı. Bu yolla yaklaşık 300 üzerinde mail adresi ve şifresi ( şahıslar tarafından sürekli kullanılanlar) ile 100 civarında deneme amaçlı açılmış mail adresi şifresi geldi.
Yaptığım şey sadece insanları heyecanlandırarak tuzağa çekmekti. Birçok kişi o heyecanla düşünmeden doğrudan harekete geçmişti.
2 maille şifrelerini encode ederek yollayanlara böyle tuzaklara düşememelerini hatırlacak birer uyarı mesajı yolladım.
Mail şifrelerinizin güvenliğini nasıl sağlayacağınızı forumda diğer arkadaşlarımız anlatmıştı. Benim size SM kurbanı olmamanız için tavsiyelerim ise;
-Bilmediğiniz bir şeylere girişmeyin. Her ne kadar gerçeğe uygun olsada.
-Siz siz olun her gördüğünüze duyduğunuza inanmayın.
-Sizi heyecanlandırsa bile önce biraz düşünün.Mantıklı mı?
-Hiçbir mail hizmeti veren firma şifrenizi sizden istemez.
Konumuzla alakalı değil ama ;
Ben bu yöntemi uygularken şu gördüm;
- Gelen çalınmak istenen maillerin çoğu kızlara ait.
- Mail çalmak için mail atanların çoğu 18 yaş altında.
- 1. maillerine cevap gönderikten sonra gelen cevapların çoğu yarım saat içerisinde geldi.
Bu da gösteriyor ki insanları etkilemek için duygusal yöneleri kullanmak sizi daha kolay sonuca g-ötürebilir.
Bunu sadece sizlere nasıl kandırılabileceğinizi göstererek aynı hataya düşmemeniz için hazırladım.