Bu papers’da ben size gelecek vadetmiyeceğim.Onun aksine hayat dersi vereceğim.Kanımca ben bir şeyler anlatabilecek bir bilgi birikimine sahip isem bunu diğer insanlara anlatmak benim sorumluluklarım arasındadır.İnternet protokol suçu diye bir başlık attığım bir yazıda size bitkilerin dünyaya olan faydalarını yada eğitim sistemini anlatacak değilim.
İp Crime dedik demi başlıyalım o zaman:
İnternet,yıl 2018 ve interneti bilmiyen insan yoktur.Tabi siber suç denilen olay 2018 de başlamadı bügün e kadar bu dünyada hack edilmemiş bir şirket,kurum yok.Ama size şirketler ve internet gerçeklerinide anlatmıyacağım.
Bu papers daki konumuz sosyal medya ve oltalama suçu:
Oltalama zaten isim olarak size tanıdık gelecektir gelmelide zaten,ama bu isim i basite almayın bu isim yüzünden hayatı kararan çok insan var.Kimler mi var gelin bir göz atalım:
Sanatçılar var,aydınlarımız (kendini aydınlatamıyan aydınlarımız var) var,profesorlerimiz var,bakanlarımız var.Evet burada bahsettiklerim sosyal medya hesapları oltalama ile gecirilmiş insanlar var ve bunu yapanlar nasıl yaptı bir geziye çıkalım sıfır teknik ve google aramaları ile ögrendikleri bir kaç bilgi ile hazırladıkları düzenekler sayesinde insanları soyan ve onlardan haraç alan hacker grupları(tabi onlara hacker diyen medyamız,ben değil)düzenek örneklerine geçebiliriz bu kadar edebiyat yeter.İşin İlah kısmından başlıyalım çok büyük maddiyat gerektiren kısmından;Chrome,Firefox internet tarayıcıları ve bu tarayıcılar düşündüğünüz kadar mükemmel değiller.Bügün yer yüzünde chrome ve firefox un onlarca rce si var.Bu rce sayesinde ki burada bahsettiğim rce olayı min 20 bin dolarlık exploit gerektirir.Bu exloit leri kullanarak sizin bilgisayarınıza bir arka kapı açabiliyorlar sizin yapacagınız tek şey linke tıklamak olacak bu link olayınıda aynı şekilde size gönderilen ve göndericinin mail kısmında harbiden şirket yada kurumun mailinden gelmiş gibi görünen mail adresi burada bahsettiğim yöntem ise mail spoofing diye geçer,bazıları bunu dahada üst düzeye çıkararak sms spoofing kullanırlar bu da telefonunuza kurum yada kuruluştan gelmiş sms gibi görünür.Dediğim gibi bu rce olayı ile sizi avlıyacak kadar düşmüş hacker grubu olamaz.Bu tip saldırılar daha çok şirketler içindir.Tabi bu tür exploit leri ne kullanmayı bilen yada nede satın alabılecek parası olmıyan hackerlarımız,underground da satılan sosyal medya exploitlerine yönelirler onlar ise 6k falandir diyorum ya parası olanın borusu öter diye bu exploitlerde hesap başına 6bin dolara çalışır tek yapacağınız hesabın url sini vermek uzun zaman önce keşfedilen yada veri tabanı çekilmiş sosyal mecralardaki hesapların şifrelerine erişmek bu kadar basit, başkaları bulur ve bunları kullanımlık olarak para karşılığında satarlar.Tabi 6 bin dolar az para değil,daha fakir olan hacker grupları bunları temin edemeyince zararlı yazılım işine girerler tek yapabilecekleri ki windows kullanıyor iseniz size rat atıcaklardır evet bunu bilmiyen yoktur ama yiyende çok.Darcomet Windows için,Droid jack ise Android içindir.Bu iki yazılım zaten zararı yazılımın ilahi halıne geldi temin etmek ücretsiz.Kullanmak daha da basit youtube da bir arama ile ulaşabiliyoruz sorunda burada başlıyor zaten ya youtube sadece kendini düşündüğü için bu tür videoları kaldırmıyor,bu yazılımları öğrenip ve onlarla zararlı yazılım oluşturup size sms ve mail tekniği ile gönderiyorlar yada size sosyal mühendislik yapıyorlar daha da komik olan ise size kardeşim bu yazılım yeni çıkmiş denermisin? Yada ben yazılımcıyım yazılımımı denermisin tarzında gelen bir soru ve o soruyu soran ise bir kız profili daha da komik olan bu tekniği yiyen dünyaca ünlü bir firmada var.Siz ise oltayı yer ve kurarsınız sonra hey yavrum hey.Tabi,Daha farklı malware yedirme yöntemleri var onlardan birisi ise xss,bu bir web zaafiyeti pentest ciler bilir google un buna 5k ödediğinide bilir tabi bunu sadece alert verdirtmekten ibaret sanan bir hacker grubumuzda var,bu tekniği kullanarakda size bu zararlı yazılımları kurdurtabilirler.Dahası llütfen bu tekniği hafife almıyalım sosyal mühenslik sonsuza kadar var olacak nede olsa sistemlerin başında insanlar var insanlar varda bu insanlar ne yaptı da bu konu sürekli gözümüze sokuluyor.
Gelin size canlı bir örnekden bahsedeyim:
Şirket ismi vermiyeceğim,X şirketinin pentest firması deneme için kolları sıvar.Ve planları şudur:
Şirket çalışanlarına mail atılır ve alt katta açılan bir lokantada %15 lik indirim kuponu için onlardan istenilen bilgilerin girilmesini isterler,ve tüm çalışanlar o bilgileri girer daha da komik olsan ise hiç bir insan gidipde alt kata bakmaz onun yanında kimse de bu konuyu dillendirmez nede olsa diğerlerinden daha ucuza yemek yiyecekler neden diğerleri ile bunu paylaşşınlarki,onlar salakmı ?
Hadi daha alt kademeye inelim.Türkiyedeki sosyal medya calınmalari ve banka hesabı soyulmalarına,işte en çok ve popüler olan yöntem budur üsttekilerden anlamıyan ama siber dünyada ses getirmek istiyen ergenlerin yöntemidir bu:
İnstagram.com gibi insta.com diye domain alırlar ona direk instagram ın clonunu kurarlarkı bu clonlarda zaten internette satılıyor yada ücretsiz,bir db çekerler sonra gelsin userlar evet bu kadar basit ve bu yöntemi herkes yapabilir,sadece ne yaptığınızdan emin olun.Sonra bu domaini kurbana en çok mail ile atarlar neden diyeceksıniz sms teknıgı ücretli bir teknikdir.Kurbana hesabınıza mavi tik eklıyelım yada hesabınız saldırı altında yada kapatılacak tarzında ilgi çekiçi bir başlık ile yaparlar buna inanan kurbanımızda linke basar ve sonrası zaten gg.Daha kötüsü şantaj,para isteme ve gizliliğinizin ihlaline kadar gidiyor.Tabi bu sosyal mecralar içindi.
Bide Digital Kurnazlara bakalım:
Facebook ve instagramın reklamını yaptıgı insanların direk parasına gasp eden siber zorbalar.Tabi üstteki youtube olayı bu iki şirket içinde geçerli.Bir insan neden sahte banka sitesini reklam yapar,kafasını yaşamak istiyoruz.Facebook reklamlarında gören kurbanlar,aboo bankamız yarı fiyatına altın veriyor diye reklama basarlar sonrası zaten gg.Bilgilerini girerler ve karşıda bekliyen zorbalarda bütün hesabı boşaltırlar,Masum halkımız bu şekilde çok magduriyet yaşadı ama diyorum ki ben,internet kültürü bügün kuçuk yasta cocuklara örf ve adetlerimizin anlatıldıgı gibi çocuklara anlatılmalı devir internet devri ve siz siber güvenlik ve digital kültür ü bilmezseniz yok olmaya mahkumsunuzdur sonra hakkınızı emniyette aramayın!
Örnekler:
DuckLayne-Sosyal mecra
Bu güzel yazı için Ahmet Mersin’e teşekkür ederiz. Herkese iyi çalışmalar.
Ahmet MERSİN Twitter / Web Site