S.M. ile Mail Şifresi Çalma ! Lütfen Konuyu Sonuna Kdr Okuyalım ;) - Hack I TurkHackTeam Turkish Hacking&Security Platform

**Justice4ewer** · 13-09-2011

S.A.,
Size yaptığım basit bir sosyal mühendislik uygulamasını anlatarak konuya gireyim. Malum son zamanlarda hotmail şifre çalma olaylarınında yeni bir teknikten bahsediliyor. Eskiden beri bu konuda kafa yorar dururum. 1999 da bu işler çok daha kolay oluyordu. Daha sonra cookies çalma, xss açıkları vb.yöntemlerle teknik olarak yapılmaya başlanıldı. Hala işe yarayan teknik bir yol daha var.
Her neyse bir ay önce acaba bunu SM uygulayarak nasıl yapabilirim diye düşünmeye başladım. Tabiki amacım birilerine zarar vermek değil bir istatistik çıkarmak içindi.

Önce bir site ve blog açtım. Hotmail şifre çalma teknikleri üzerine bazı yazılar ve teknikler paylaştım daha sonra flash bir açıktan bahsettim ve 1 gün sonra bu yöntemi kısaca açıkladım. Windows Live�ın deneme bir uygulama ile kayıp şifreleri daha hızlı ve otomatik olarak sıfırlama yöntemi üzerinde çalıştığını ve bu sistemin bir XSRF ve clickjacking açığı olduğunu, bunun nasıl kullanılabileceğini bahseden bir yazı hazırladım.

Yazı içeriğinde windowslive ın şifre sıfırlama için bir mail adresi kullandığı (passwordreset@windowslive.com ), bu adrese password reset konulu bir mail atarak karşılığında 24 saat içinde bir yönerge geldiğini ve bu yönergeyi takip ederek istediğiniz mail adresinin şifresini istediğiniz gibi değiştirebileceğinizi yazdım. (Kulladığım kodları burada yazmaya gerek duymuyorum) Tabi size gelecek olan ikinci maile cevap olarak göndereceğiniz kod blokunda değiştirmek istediğiniz mail adresi ve yeni şifresi ile kendi mail adresiniz ve mevcut şifrenizin url ve base64 ile birlikte encode edilmiş halini yazmanız gereken yerler bıraktım. Tüm bunları yaparken neyi nereden yapabileceğinizi gösteren linkler koymayı unutmadım.
Her şeyi o kadar teknik hale getirdim ki daha inandırıcı olsun. Zaten yapmanız gerekenleri okuduğunuzda bir çok şey hep duyduğunuz ama nasıl uygulandığı konusunda emin olmadığınız şeylerden oluşuyordu.

Bu makalenin altına bu sistemin daha deneme aşamasında olduğu ve istenilen herşeyin eksiksiz bir şekilde yapılması gerektiğininde altını çizdim.

Daha sonra beklemeye başladım. bir iki gün hiç mail gelmedi. Birkaç sitede açtığım sitenin linkini paylaşarak böyle bir şeyin mümkün olup olmadığını sordum. Birden mailler gelmeye başladı. tabi akabinden mail adresleri ve şifreler geliyordu.
Gelen bazı mailler sadece deneme amaçlı açılmış adreslerden gelirken bazıları gerçekten kullanılan kişisel mail adreslerinden gelmeye başladı. Bu yolla yaklaşık 300 üzerinde mail adresi ve şifresi ( şahıslar tarafından sürekli kullanılanlar) ile 100 civarında deneme amaçlı açılmış mail adresi şifresi geldi.

Yaptığım şey sadece insanları heyecanlandırarak tuzağa çekmekti. Birçok kişi o heyecanla düşünmeden doğrudan harekete geçmişti.

2 maille şifrelerini encode ederek yollayanlara böyle tuzaklara düşememelerini hatırlacak birer uyarı mesajı yolladım.

Mail şifrelerinizin güvenliğini nasıl sağlayacağınızı forumda diğer arkadaşlarımız anlatmıştı. Benim size SM kurbanı olmamanız için tavsiyelerim ise;
-Bilmediğiniz bir şeylere girişmeyin. Her ne kadar gerçeğe uygun olsada.
-Siz siz olun her gördüğünüze duyduğunuza inanmayın.
-Sizi heyecanlandırsa bile önce biraz düşünün.Mantıklı mı?
-Hiçbir mail hizmeti veren firma şifrenizi sizden istemez.

Konumuzla alakalı değil ama ;
Ben bu yöntemi uygularken şu gördüm;
- Gelen çalınmak istenen maillerin çoğu kızlara ait.
- Mail çalmak için mail atanların çoğu 18 yaş altında.
- 1. maillerine cevap gönderikten sonra gelen cevapların çoğu yarım saat içerisinde geldi.
Bu da gösteriyor ki insanları etkilemek için duygusal yöneleri kullanmak sizi daha kolay sonuca g-ötürebilir.

Bunu sadece sizlere nasıl kandırılabileceğinizi göstererek aynı hataya düşmemeniz için hazırladım.

**ByElegans** · 4 Hafta önce

emeğine sağlık

**REA HACKER** · 4 Hafta önce

msn hacklemenin hapis cezası ile cezalandırıldığını bilmek gerek.

**kayra86** · 4 Hafta önce

güzelmiş

**CwAyyildiz** · 4 Hafta önce

Emeğe saygı teşekkürler dostum

**brain1907** · 4 Hafta önce

İnandırıcı bi taktik

emeğine sağlık

**velibey** · 4 Hafta önce

teşekkürler

**free24** · 4 Hafta önce

Teşekkürler.

**velibey** · 4 Hafta önce

teşekkürler (:

**ByElegans** · 4 Hafta önce

teşekkürler

**JeViL** · 3 Hafta önce

Ellerine Sağlık
--------------------

**bysony** · 3 Hafta önce

Aslanım Benim Sen Varya Adamsın Türk Evladı Övün Güven Çalış Bilginden Ötürü Seni Ayakta Saygıyla Selamlıyorum .

**GhostSentineL** · 3 Hafta önce

Eline Sağlık...

**Deadly007** · 3 Hafta önce

eline sağlık

**ByElegans** · 3 Hafta önce

Teşekkürler

**EndLeSS Peace** · 3 Hafta önce

Ellerine,emeğine sağlık yani çok güzel yazmışsın

**veffor** · 2 Hafta önce

İyi Taktik

Saolasın.

**bluerose0034** · 2 Hafta önce

bncede harika teşk kardeşim

**avalon5tarll61ll** · 2 Hafta önce

teşekkürler.

~~**DENIZBAYKAL1**~~ · 2 Gün önce

bu yontemler fazla ise yaramaz bea

13-09-2011	#1
Justice4ewer Kategori Moderatörü Sorumlusu Genel Bilgiler: Üyelik tarihi: Dec 2010 Nerden: Center of the Earth Yaş: 18 Mesajlar: 6.780 Konular: 4137 Ettiği Teşekkür: 151 682 Mesajında 948 Kez Teşekkür Aldı	S.M. ile Mail Şifresi Çalma ! Lütfen Konuyu Sonuna Kdr Okuyalım ;) S.A., Size yaptığım basit bir sosyal mühendislik uygulamasını anlatarak konuya gireyim. Malum son zamanlarda hotmail şifre çalma olaylarınında yeni bir teknikten bahsediliyor. Eskiden beri bu konuda kafa yorar dururum. 1999 da bu işler çok daha kolay oluyordu. Daha sonra cookies çalma, xss açıkları vb.yöntemlerle teknik olarak yapılmaya başlanıldı. Hala işe yarayan teknik bir yol daha var. Her neyse bir ay önce acaba bunu SM uygulayarak nasıl yapabilirim diye düşünmeye başladım. Tabiki amacım birilerine zarar vermek değil bir istatistik çıkarmak içindi. Önce bir site ve blog açtım. Hotmail şifre çalma teknikleri üzerine bazı yazılar ve teknikler paylaştım daha sonra flash bir açıktan bahsettim ve 1 gün sonra bu yöntemi kısaca açıkladım. Windows Live�ın deneme bir uygulama ile kayıp şifreleri daha hızlı ve otomatik olarak sıfırlama yöntemi üzerinde çalıştığını ve bu sistemin bir XSRF ve clickjacking açığı olduğunu, bunun nasıl kullanılabileceğini bahseden bir yazı hazırladım. Yazı içeriğinde windowslive ın şifre sıfırlama için bir mail adresi kullandığı (passwordreset@windowslive.com ), bu adrese password reset konulu bir mail atarak karşılığında 24 saat içinde bir yönerge geldiğini ve bu yönergeyi takip ederek istediğiniz mail adresinin şifresini istediğiniz gibi değiştirebileceğinizi yazdım. (Kulladığım kodları burada yazmaya gerek duymuyorum) Tabi size gelecek olan ikinci maile cevap olarak göndereceğiniz kod blokunda değiştirmek istediğiniz mail adresi ve yeni şifresi ile kendi mail adresiniz ve mevcut şifrenizin url ve base64 ile birlikte encode edilmiş halini yazmanız gereken yerler bıraktım. Tüm bunları yaparken neyi nereden yapabileceğinizi gösteren linkler koymayı unutmadım. Her şeyi o kadar teknik hale getirdim ki daha inandırıcı olsun. Zaten yapmanız gerekenleri okuduğunuzda bir çok şey hep duyduğunuz ama nasıl uygulandığı konusunda emin olmadığınız şeylerden oluşuyordu. Bu makalenin altına bu sistemin daha deneme aşamasında olduğu ve istenilen herşeyin eksiksiz bir şekilde yapılması gerektiğininde altını çizdim. Daha sonra beklemeye başladım. bir iki gün hiç mail gelmedi. Birkaç sitede açtığım sitenin linkini paylaşarak böyle bir şeyin mümkün olup olmadığını sordum. Birden mailler gelmeye başladı. tabi akabinden mail adresleri ve şifreler geliyordu. Gelen bazı mailler sadece deneme amaçlı açılmış adreslerden gelirken bazıları gerçekten kullanılan kişisel mail adreslerinden gelmeye başladı. Bu yolla yaklaşık 300 üzerinde mail adresi ve şifresi ( şahıslar tarafından sürekli kullanılanlar) ile 100 civarında deneme amaçlı açılmış mail adresi şifresi geldi. Yaptığım şey sadece insanları heyecanlandırarak tuzağa çekmekti. Birçok kişi o heyecanla düşünmeden doğrudan harekete geçmişti. 2 maille şifrelerini encode ederek yollayanlara böyle tuzaklara düşememelerini hatırlacak birer uyarı mesajı yolladım. Mail şifrelerinizin güvenliğini nasıl sağlayacağınızı forumda diğer arkadaşlarımız anlatmıştı. Benim size SM kurbanı olmamanız için tavsiyelerim ise; -Bilmediğiniz bir şeylere girişmeyin. Her ne kadar gerçeğe uygun olsada. -Siz siz olun her gördüğünüze duyduğunuza inanmayın. -Sizi heyecanlandırsa bile önce biraz düşünün.Mantıklı mı? -Hiçbir mail hizmeti veren firma şifrenizi sizden istemez. Konumuzla alakalı değil ama ; Ben bu yöntemi uygularken şu gördüm; - Gelen çalınmak istenen maillerin çoğu kızlara ait. - Mail çalmak için mail atanların çoğu 18 yaş altında. - 1. maillerine cevap gönderikten sonra gelen cevapların çoğu yarım saat içerisinde geldi. Bu da gösteriyor ki insanları etkilemek için duygusal yöneleri kullanmak sizi daha kolay sonuca g-ötürebilir. Bunu sadece sizlere nasıl kandırılabileceğinizi göstererek aynı hataya düşmemeniz için hazırladım. Facebook Sayfamızı Beğenin. bluerose0034, bysony, kayra86 and 1 others like this. __________________ Uzunca süre maske takarsan altındaki kişiliği de unutursun ...

4 Hafta önce	#2
ByElegans Asteğmen Genel Bilgiler: Üyelik tarihi: Jan 2012 Mesajlar: 31 Konular: 2 Ettiği Teşekkür: 1 Thanked 1 Time in 1 Post	emeğine sağlık Facebook Sayfamızı Beğenin.

4 Hafta önce	#3
REA HACKER Yüzbaşı Genel Bilgiler: Üyelik tarihi: Jul 2008 Nerden: lasvegas Mesajlar: 341 Konular: 5 Ettiği Teşekkür: 5 9 Mesajında 9 Kez Teşekkür Aldı	msn hacklemenin hapis cezası ile cezalandırıldığını bilmek gerek. Facebook Sayfamızı Beğenin. Beğendi __________________ ˙·٠٠•●●●● ●● ●●REA HACKER●● ●● ●● ●●•٠٠·

4 Hafta önce	#4
kayra86 Asteğmen Genel Bilgiler: Üyelik tarihi: Jan 2012 Mesajlar: 12 Konular: 6 Ettiği Teşekkür: 2 0 Mesajında 0 Kez Teşekkür Aldı	güzelmiş Facebook Sayfamızı Beğenin.

4 Hafta önce	#5
CwAyyildiz Asteğmen Genel Bilgiler: Üyelik tarihi: Jan 2012 Nerden: Antalya Mesajlar: 70 Konular: 3 Ettiği Teşekkür: 0 4 Mesajında 7 Kez Teşekkür Aldı	Emeğe saygı teşekkürler dostum Facebook Sayfamızı Beğenin.

4 Hafta önce	#6
brain1907 Asteğmen Genel Bilgiler: Üyelik tarihi: Jan 2012 Nerden: Kyiv City, Ukraine Mesajlar: 10 Konular: 0 Ettiği Teşekkür: 9 0 Mesajında 0 Kez Teşekkür Aldı	İnandırıcı bi taktik emeğine sağlık Facebook Sayfamızı Beğenin.

4 Hafta önce	#7
velibey Asteğmen Genel Bilgiler: Üyelik tarihi: Jan 2012 Mesajlar: 55 Konular: 5 Ettiği Teşekkür: 10 2 Mesajında 2 Kez Teşekkür Aldı	*teşekkürler* Facebook Sayfamızı Beğenin.

4 Hafta önce	#8
free24 Asteğmen Genel Bilgiler: Üyelik tarihi: Jan 2012 Nerden: İstanbul Mesajlar: 35 Konular: 1 Ettiği Teşekkür: 19 Thanked 1 Time in 1 Post	Teşekkürler. Facebook Sayfamızı Beğenin.

4 Hafta önce	#9
velibey Asteğmen Genel Bilgiler: Üyelik tarihi: Jan 2012 Mesajlar: 55 Konular: 5 Ettiği Teşekkür: 10 2 Mesajında 2 Kez Teşekkür Aldı	*teşekkürler (:* Facebook Sayfamızı Beğenin. __________________ BEŞİKTAŞ JK 1903 *BEŞİKTAŞ'IM SEVMİŞİZ SENİ*

4 Hafta önce	#10
ByElegans Asteğmen Genel Bilgiler: Üyelik tarihi: Jan 2012 Mesajlar: 31 Konular: 2 Ettiği Teşekkür: 1 Thanked 1 Time in 1 Post	teşekkürler Facebook Sayfamızı Beğenin. __________________

3 Hafta önce	#11
JeViL Teğmen Genel Bilgiler: Üyelik tarihi: Jan 2012 Mesajlar: 80 Konular: 4 Ettiği Teşekkür: 2 8 Mesajında 10 Kez Teşekkür Aldı	Ellerine Sağlık -------------------- Facebook Sayfamızı Beğenin.

3 Hafta önce	#12
bysony Asteğmen Genel Bilgiler: Üyelik tarihi: Jan 2010 Mesajlar: 9 Konular: 0 Ettiği Teşekkür: 15 Thanked 1 Time in 1 Post	Aslanım Benim Sen Varya Adamsın Türk Evladı Övün Güven Çalış Bilginden Ötürü Seni Ayakta Saygıyla Selamlıyorum . Facebook Sayfamızı Beğenin.

3 Hafta önce	#13
GhostSentineL Asteğmen Genel Bilgiler: Üyelik tarihi: Jan 2012 Mesajlar: 39 Konular: 0 Ettiği Teşekkür: 0 2 Mesajında 2 Kez Teşekkür Aldı	Eline Sağlık... Facebook Sayfamızı Beğenin.

3 Hafta önce	#14
Deadly007 Üsteğmen Genel Bilgiler: Üyelik tarihi: Aug 2011 Nerden: Şehitler Diyarı Mesajlar: 178 Konular: 49 Ettiği Teşekkür: 30 16 Mesajında 22 Kez Teşekkür Aldı	eline sağlık Facebook Sayfamızı Beğenin. __________________ Türklerle Uğraşmak : [G] üç [Ö] zgüven [T] ecrübe >> İSTER...! DeadLy Msn Freezer Download

3 Hafta önce	#15
ByElegans Asteğmen Genel Bilgiler: Üyelik tarihi: Jan 2012 Mesajlar: 31 Konular: 2 Ettiği Teşekkür: 1 Thanked 1 Time in 1 Post	Teşekkürler Facebook Sayfamızı Beğenin. __________________

3 Hafta önce	#16
EndLeSS Peace Teğmen Genel Bilgiler: Üyelik tarihi: Jan 2012 Mesajlar: 144 Konular: 7 Ettiği Teşekkür: 2 11 Mesajında 14 Kez Teşekkür Aldı	Ellerine,emeğine sağlık yani çok güzel yazmışsın Facebook Sayfamızı Beğenin.

2 Hafta önce	#17
veffor Asteğmen Genel Bilgiler: Üyelik tarihi: Feb 2012 Mesajlar: 31 Konular: 0 Ettiği Teşekkür: 1 2 Mesajında 2 Kez Teşekkür Aldı	İyi Taktik Saolasın. Facebook Sayfamızı Beğenin.

2 Hafta önce	#18
bluerose0034 Üsteğmen Genel Bilgiler: Üyelik tarihi: Sep 2009 Mesajlar: 149 Konular: 2 Ettiği Teşekkür: 74 2 Mesajında 2 Kez Teşekkür Aldı	bncede harika teşk kardeşim Facebook Sayfamızı Beğenin.

2 Hafta önce	#19
avalon5tarll61ll Asteğmen Genel Bilgiler: Üyelik tarihi: Feb 2012 Mesajlar: 16 Konular: 0 Ettiği Teşekkür: 25 0 Mesajında 0 Kez Teşekkür Aldı	teşekkürler. Facebook Sayfamızı Beğenin.

2 Gün önce	#20
~~DENIZBAYKAL1~~ Forumdan Uzaklaştırıldı Genel Bilgiler: Üyelik tarihi: Jun 2010 Mesajlar: 151 Konular: 33 Ettiği Teşekkür: 5 6 Mesajında 12 Kez Teşekkür Aldı	bu yontemler fazla ise yaramaz bea Facebook Sayfamızı Beğenin.

Seçenekler
Yazdırılabilir şekli göster Sayfayı E-Mail olarak gönder
Stil
Normal Hybrid-Şeklinde gösterime geç Ağaç şeklinde gösterime geç