Senaryo
Amaç: Hedefteki şirkete/kuruma ait e-mail adreslerinin toplanıp, bu e-mail adreslerine zayıf parola saldırısı yaparak bir e-mail hesabı ele geçirmek ve ele geçirilen e-mail hesabıyla hedefteki şirket için tespit edilen diğer e-mail adreslerine zararlı dosya (trojan) gönderip şirketi içerden fethetmek.
NOT: Şirket Microsoft Exchange mail servisini kullanıyorsa OWA'ya yönelik zayıf parola saldırısını Eyüp Çelik'in hOWAttacker yazılımını veya Metasploit'teki owa_login modülünün kullanımını öneririm.
Alternatif Senaryo
Hedefteki şirkete ait tespit edilen e-mail adreslerine yapılan zayıf parola saldırısı ile bir sonuç alınmadıysa devreye Fake (Sahte) Mail kullanma girecektir. Ve biz alternatif senaryoyu kullanacağız.
İlk olarak theHarvester veya Maltego araçlarına kullanarak hedef şirkete ait e-mail adreslerini toplayabiliriz.
theHarvester Örneği
Maltego Örneği
Alternatif senaryoyu kullanacağımıza göre şuan ihtiyacımız olan şey fake mail servisidir, 4 adet fake mail servisi hazırladım buradan indirebilirsiniz >>> İndir / Download
Ben indireceğiniz dosyalardan ilk olanını kullanacağım
Yukarıdaki resimde yer alan kısımları açıklamak gerekirse;
From Name: Gönderen kişinin adı ve soyadı. (Kimin adına e-posta gönderilecekse onun ad ve soyadı yazılmalı)
From E-Mail: Gönderen kişinin e-mail adresi. (Kimin adına e-posta gönderilecekse onun e-mail adresi yazılmalı, örneğin support@google.com gibi..)
To: E-posta kişinin e-mail adresi. (Hedef kişinin e-mail adresi yazılmalı)
Subject: Gönderilecek olan e-posta konusu.
Attachment: Varsa ekli dosya bu seçeneği kullanarak hedef kişiye dosya da gönderebilirsiniz.
Content-Type: Editör seçimi. (text/html olanını öneririm, gelişmiş yazı editördür)
Text: Hedefe gönderilecek olan e-postanın içeriği.
Captcha: Güvenlik kodu.
Send: Son olarak bu butona bastığınızda e-postanız hedef kişinin e-mail adresine gönderilecektir.
Aşağıdaki resimlerde gördüğünüz gibi ism4ils4ygili@gmail.com olan kendi adresime Bill Gates'den geliyormuş gibi bir e-posta gönderme denemesi yaptım, nasıl olmuş, güzel değil mi? :)
Gelen e-postanın görüntüsü;
E-postanın içeriği;
Peki gelen e-postanın fake (sahte) olup olmadığını nasıl öğrenebiliriz?
E-postanın kaynağını görüntüleyerek tam olarak nereden geldiğinin detaylarına bakabilirsiniz:
İyi çalışmalar..
Çok güzel paylaşım olmuş insanlarımızın bu türde gelen fake maile karşı bilinçlenlenmeleri bir nebze dahi olsa da kendilerine yararlı olacaktır..
YanıtlaSil