SlideShare uma empresa Scribd logo

Sosyal Mühendislik - BAU Cyber Talks 02/05/2018

R
Raif Berkay DİNÇEL

Sosyal Mühendislik - BAU Cyber Talks 02/05/2018 tarihli sunumum

Tecnologia
1 de 59
Social Engineering
Raif Berkay DİNÇEL Cyber Security Researcher Bug Hunter BlinkOS Distribution Developer (In free times) İletişim Bilgilerim  Tüm Sosyal Medyalarda @rdincel1  www.raifberkaydincel.com (Kişisel Blog)  info@raifberkaydincel.com (e-posta adresim) Linkedln: https://www.linkedin.com/in/raif-berkay-dinçel-87a51295
Konu Başlıkları  Sosyal Mühendislik Nedir?  Tanım  Kısa Tarih  Trend Olan Konu  Sosyal Mühendislik Evrimi  Sosyal Mühendisliğin farklı forumları  Sosyal Mühendislik ne zaman yapılır?  OSINT Geliştirme(Açık Kaynak İstihbaratı)  Yapılan iş için teslim yöntemi seçme  Komut oluşturma ve kontrol merkezi oluşturma  FUD payload oluşturma(FullyUnDetectable)  Demo  Sosyal Mühendislik saldırılarına karşı nasıl korunulur?
Sosyal Mühendislik Nedir?
Tanım  Sosyal Mühendislik insanları kandırmayı içeren bir çeşit saldırı vektörüdür.  Genel olarak çok az teknolojik veya güvenlik bilgisi gerektirir. En güçlü güvenlik, akıllı bir sosyal mühendis tarafından aşılabilir.  Birçok şekil, form ve renkte gelir.  Her birimiz hayatımız boyunca bir noktada onun kurbanı olmuştur. Hem son kullanıcıları hem de işletmeleri etkiler.
Sosyal Mühendisliğin Kısaca Tarihçesi Tanımlanmamış Başlangıç anı Sosyal Mühendisliğin tarih boyunca sayısız örneği
Brief History of S.E - Examples d e - 4000-6000 BC Horse - 1188 BC rker – Early1900s nzi – 1920s tig (“The man who sold the Eiffel Tower”) – 1925 gnale (Catch Me If You Can) – 1960s ick (Take Down) – Around 1980-1995 tona (treasurer of Alcona County, Michigan) – 2007 off - 2008 D Breach –2011 Hacked – 2013  Adam & Ev  The Trojan  George Pa  Charles Po  Victor Lus  FrankAba  Kevin Mitn  Thomas Ka  Bernie Ma  RSASecurI  AP Twitter  Target (HVAC contractor) - 2013
#SocialEngineering saldırılarının kullanım sıralaması...
Sosyal Mühendisliğin Evrimi  S.M. sadece fiziksel mantıkla sınırlı kalmamaktadır.  Teknoloji, sahtekarlığı daha zor bir hale getirdi, ancak uyarlanabilir suistimalciler için her türlü fırsat yeniden yaratıldı.  Saldırganlar oluşturmuş olduğu teknikleriyle daha zeki bir hal aldı.
 E-posta yoluyla bir EXE dosyası almak geçmişte kaldı.  Hiç bir Office belgesinin (Word, PowerPoint, Excel vb.) sizi etkileyebileceğinden şüpheleniyor musunuz??  HT HTA’yı duydun mu? 1999'dan beri Windows tarafından desteklenmektedir.  Çalıştırılan programlar (exe) gibi, ancak şu anda AV tarafından algılanamaz ve PowerShell'i çalıştırabilir  Unicode büyüsü! Sosyal Mühendisliğin Evrimi
S.M Farklı Methodları Can Sıkma Kimlik Avı Betik Yapma Kuyruk Geçişi Quid Pro Quo Omuz Sörfü Dumpster Dalışı
Can Sıkma  Hedeflenen kişinin merakını veya aç gözlülüğüne güvenerek, hedef almak için “yem” den ayrılmayı ifade eder..  Truva Atı, en büyük mitolojik yem örneklerinden biridir.  Modern bir gün örneği USB'leri “Zamlı Maaş Özeti Q1 2018” atar.  Ücretsiz oyun veya müzik indirilmesi formlarda kişisel bilgi vermeye zorlamak
Can Sıkma  Sekretere bir buket gül şeklinde USB gönderin.  Bir romantik sevgiliden veya hayranı varmış gibi davranın.  İçinde ne olduğunun bilinmediği kaçınılmaz olacağından USB’yi takacaktır.
Can Sıkma  Araştırmaya göre, insanların yaklaşık olarak %76'sı bilmedikleri şeyleri cihazlarına bağlıyor Örnek: Ofis bilgisayarına USB…
Can Sıkma  Sadece bilgisayarınıza takarak bilgisayarınıza fazla voltaj vererek donanımınızı yakabilecek USB'ler var... (USB Killer)
Phishing  Sahte e-postaları, web sitelerini, reklamları için tasarlanmış reklamları içerir. Kullanıcıları kandırmakla gerçek sistemleri taklit etmek amacıyla kullanılan yöntemdir.  Günümüzde görülen en yaygın Sosyal Mühendislik formlarından biri.  Sahte Anti-Virüs enfeksiyonu uyarısı (Scareware), Paypal phishing siteleri, ücretsiz müzik, vb. teklifler…
Phishing
Oltalama
Oltalama
Oltalama
Oltalama  Buradaki göreceğiniz örnekte Roger adlı kişiye gelen sahte bir mesajı görmektesiniz.  Mesajın gelmiş olduğu 7000 nolu numara sahte olabilir.  Website http://rogers-clients.com/login/
Oltalama
Ön Mesaj  Kurbanı normalde olası olmayan eylemler gerçekleştirmek için icat etmek için icat edilen senaryo olarak adlandırılır. (Phishing'in insan karşılığı) Trust Güvenilir figürün kimliğine bürünme: Sahte BT desteğine bakım yapılması, yanlış bir araştırmacı şirketin denetimi, iş arkadaşları, polis, vergi makamları vb.
Ön Mesaj
Yakın Takip  Birisi kapıyı arkanda açık tutmanı istiyor. Çünkü şirket çalışanı RFID kartını unuttu.  Bazı kötü amaçlı yazılımlar yüklerken basit bir işlem yapmak için telefonu veya dizüstü bilgisayarını ödünç almakla eşdeğerdir.
Quid Pro Quo  “Bir şey için bir şey” anlamına gelir.  Kötü niyetli bir şahıs, BT hizmeti olduğunu iddia eden çeşitli BT şirketlerini arar..  Sonunda saldırgan, sunulan hizmeti gerçekten gerektiren bir şirketle karşılaşacak ve hedefi için saldırısına devam edecektir..
Omuz Sörfü  Kişisel erişim bilgilerini almak için birinin omzuna bakma.  Birisinin ATM / Telefonunun PIN, bilgisayar parolaları..  Kameralarla belli bir mesafeden yapılabilir.
Çöplüğe Dalış   Bir kişinin / şirketin çöplüğünden verileri uygun bir şekilde imha etmediyse şirket veya kişinin gizli bilgilerini edinin..  Bankaya ait banka hesaplarını, kredi kartı numaralarını, sözleşmeleri, şirket politikalarını vb. bulabilir.
Sosyal Mühendislik Nasıl Oldu?
Açık Kaynak İstihbaratı  Kamuya açık kaynaklardan toplanır.  Bunun için birçok platform mevcut: Google, Facebook, LinkedIn, Twitter vb…  Yardımcı olabilecek yazılımlar veya hazır sistemler: Maltego, theHarvester, OSINT Framework vb…
Taşıma için Teslim Yöntemi  Çeşitli formlar: Kişide, telefon, e-posta, web sitesi, USB depolama.  Örnek.: Kendi sistemleri için çalıştığınızı düşünün ve bilgisayarında yüklü kötü amaçlı yazılım tespit ettiğinizi iddia edin.  Hedef hakkında bildiklerimizi düşünün.  En az şüphe uyandıracak hangi yöntem gözüküyor??  Güçlü ve zayıf yönlerini tanımlayın. Uygulayın..
Bir Alan Seçin  Karakter ihmali, tekrarlama, takas, değiştirme, ekleme  Eksik nokta  Tekilleştirme veya çoğullaştırma  Bit flipping ( Metin içindeki bir baytı bozarak düz metin içindeki bir baytı değiştirmek.)  Homoglyphs  Doğru olmayan TLD almak  URLCrazy tool
Komut ve Kontrol Merkezi  Sunucu ana makine: Bir AWS örneği yükleyin  Amazon = uygun fiyatlı + güvenilir IP adresi  Farklı açık kaynaklı ve ticari araçlar mevcut: Metasploit Framework PowerShell Empire Framework Çok fazla çeşitli RAT
MSF C&C  Ücretsiz (topluluk baskısı) ve güvenilir..  Sürekli olarak geliştirilen ve güncellenerek, katkıda bulunan bir topluluğa sahiptir..  Çoklu platform desteği.  Kaynak Scriptleri (otomatikleştirmek için temiz özellik)..  Rapid7 tarafından geliştirildi ve sürdürülmeye devam ediyor.
FUD ile Yük Taşıma  Public Halka açık birçok kriptor, paketleyici ve kod obfusatörleri..  Crypters & RAT'ler çevrimiçi topluluklarda, ör.:indetectables.net  Kripto elde etmek için küçük zorluklar yapılması, daha uzun süre FUD kalmaları için çalışmalar yapılması.  Birkaç saldırı vektörü hala iyi algılanmamaktadır (makrolar, HTA dosyaları(js ve vbs), PowerShell)
FUD ile Yük Taşıma
Sosyal Mühendislik Buna karşı nasıl savunma yapabiliriz?
Ben bir hedef olabilir miyim?  Kesinlikle!
Ransomware diye bir terim duydunuz mu?
Güvenli Kalmak İçin İpuçları! İlk önce şu soruyu kendimize sormalıyız, neden bu teknikler bu kadar etkili? Sizce dikkatsizlik veya farkındalık eksikliği olabilir mi? Belki ikisinden de birazcık olabilir…
Güvenli Kalmak İçin İpuçları! Kevin Mitnick’in “Aldatma Sanatı” adlı kitabından sizlere bir alıntı vermek istiyorum:  İnsanlar doğal olarak yardımcı olmak isterler ve bu nedenle kolayca kopyalanırlar.  Her şey, insanların, düşündükleri zaman zararsız olduğunu düşündükleri bilgilere erişme hakkındadır.. Bunun bir çatışmayı önlemek için bir güven seviyesi olduğunu varsayıyorlar.  Telefonda güzel sesler duymak ve yardımcı olmak istiyoruz..
Güvenli Kalmak İçin İpuçları!  Eğitim ve Bilinçlendirme  Hatırlatma (Afişler, Posterler...)  Ofiste Güvenlik Hijyeni politikası uygulanması (Temiz Masa Politikası)  Test, test ve daha fazla test!!  En İyi Güvenlik Uygulamalarını Takip Edin  Anti Virüsler?
Güvenli Kalmak İçin İpuçları!  Bağlantının URL olarak gösterdiğine güvenmeyin; Sahte! Dosya uzantıları ile aynı olabilir. Örnek olarak; <a href="https://www.google.com/" onmousedown="this.href='https://www.raifberkaydincel.com'">https://www.google.com/</a>
Aynı Parolalarınızı 2. Defa Kullanmayın!!!  Bir saldırgan sizin kimlik bilgilerinizi (parolanızı) alırsa, çoklu sistemlere erişmek için kullanabilir.
Süreklilik  Unutmayın! Zaman ve süreklilik için sabretmeniz gerekir.  Ama ne olursa olsun bu sinir bozucu saldırganlarla savaşmaya devam edin ve sonunda oraya varacaksınız!
Sorularınız? İletişim Bilgileri  t.me/rdincel1 (Telegram)  Tüm Sosyal Medyalarda @rdincel1  www.raifberkaydincel.com (Kişisel Blog)  info@raifberkaydincel.com (e-posta adresim) Linkedln: https://www.linkedin.com/in/raif-berkay-dinçel-87a51295 Çekinmeden Sorabilirsiniz! 

Recomendados

Namık Kemal Universitesi - Muhendislik Zirvesi
Namık Kemal Universitesi - Muhendislik ZirvesiNamık Kemal Universitesi - Muhendislik Zirvesi
Namık Kemal Universitesi - Muhendislik ZirvesiRaif Berkay DİNÇEL
 
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıRaif Berkay DİNÇEL
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture CodeSkeleton Technologies
 

Recomendados

Namık Kemal Universitesi - Muhendislik Zirvesi
Namık Kemal Universitesi - Muhendislik ZirvesiNamık Kemal Universitesi - Muhendislik Zirvesi
Namık Kemal Universitesi - Muhendislik ZirvesiRaif Berkay DİNÇEL
 
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıRaif Berkay DİNÇEL
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture CodeSkeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data ScienceChristy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Applitools
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at WorkGetSmarter
 
ChatGPT webinar slides
ChatGPT webinar slidesChatGPT webinar slides
ChatGPT webinar slidesAlireza Esmikhani
 
More than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike RoutesMore than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike RoutesProject for Public Spaces & National Center for Biking and Walking
 
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...DevGAMM Conference
 
Barbie - Brand Strategy Presentation
Barbie - Brand Strategy PresentationBarbie - Brand Strategy Presentation
Barbie - Brand Strategy PresentationErica Santiago
 

Mais conteúdo relacionado

Destaque

PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Applitools
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at WorkGetSmarter
 
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...DevGAMM Conference
 
Barbie - Brand Strategy Presentation
Barbie - Brand Strategy PresentationBarbie - Brand Strategy Presentation
Barbie - Brand Strategy PresentationErica Santiago
 

Destaque (20)

PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work
 
ChatGPT webinar slides
ChatGPT webinar slidesChatGPT webinar slides
ChatGPT webinar slides
 
More than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike RoutesMore than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike Routes
 
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
 
Barbie - Brand Strategy Presentation
Barbie - Brand Strategy PresentationBarbie - Brand Strategy Presentation
Barbie - Brand Strategy Presentation
 

Sosyal Mühendislik - BAU Cyber Talks 02/05/2018

  • 2.
  • 3. Raif Berkay DİNÇEL Cyber Security Researcher Bug Hunter BlinkOS Distribution Developer (In free times) İletişim Bilgilerim  Tüm Sosyal Medyalarda @rdincel1  www.raifberkaydincel.com (Kişisel Blog)  info@raifberkaydincel.com (e-posta adresim) Linkedln: https://www.linkedin.com/in/raif-berkay-dinçel-87a51295
  • 4. Konu Başlıkları  Sosyal Mühendislik Nedir?  Tanım  Kısa Tarih  Trend Olan Konu  Sosyal Mühendislik Evrimi  Sosyal Mühendisliğin farklı forumları  Sosyal Mühendislik ne zaman yapılır?  OSINT Geliştirme(Açık Kaynak İstihbaratı)  Yapılan iş için teslim yöntemi seçme  Komut oluşturma ve kontrol merkezi oluşturma  FUD payload oluşturma(FullyUnDetectable)  Demo  Sosyal Mühendislik saldırılarına karşı nasıl korunulur?
  • 6. Tanım  Sosyal Mühendislik insanları kandırmayı içeren bir çeşit saldırı vektörüdür.  Genel olarak çok az teknolojik veya güvenlik bilgisi gerektirir. En güçlü güvenlik, akıllı bir sosyal mühendis tarafından aşılabilir.  Birçok şekil, form ve renkte gelir.  Her birimiz hayatımız boyunca bir noktada onun kurbanı olmuştur. Hem son kullanıcıları hem de işletmeleri etkiler.
  • 7. Sosyal Mühendisliğin Kısaca Tarihçesi Tanımlanmamış Başlangıç anı Sosyal Mühendisliğin tarih boyunca sayısız örneği
  • 8. Brief History of S.E - Examples d e - 4000-6000 BC Horse - 1188 BC rker – Early1900s nzi – 1920s tig (“The man who sold the Eiffel Tower”) – 1925 gnale (Catch Me If You Can) – 1960s ick (Take Down) – Around 1980-1995 tona (treasurer of Alcona County, Michigan) – 2007 off - 2008 D Breach –2011 Hacked – 2013  Adam & Ev  The Trojan  George Pa  Charles Po  Victor Lus  FrankAba  Kevin Mitn  Thomas Ka  Bernie Ma  RSASecurI  AP Twitter  Target (HVAC contractor) - 2013
  • 10. Sosyal Mühendisliğin Evrimi  S.M. sadece fiziksel mantıkla sınırlı kalmamaktadır.  Teknoloji, sahtekarlığı daha zor bir hale getirdi, ancak uyarlanabilir suistimalciler için her türlü fırsat yeniden yaratıldı.  Saldırganlar oluşturmuş olduğu teknikleriyle daha zeki bir hal aldı.
  • 11.  E-posta yoluyla bir EXE dosyası almak geçmişte kaldı.  Hiç bir Office belgesinin (Word, PowerPoint, Excel vb.) sizi etkileyebileceğinden şüpheleniyor musunuz??  HT HTA’yı duydun mu? 1999'dan beri Windows tarafından desteklenmektedir.  Çalıştırılan programlar (exe) gibi, ancak şu anda AV tarafından algılanamaz ve PowerShell'i çalıştırabilir  Unicode büyüsü! Sosyal Mühendisliğin Evrimi
  • 12. S.M Farklı Methodları Can Sıkma Kimlik Avı Betik Yapma Kuyruk Geçişi Quid Pro Quo Omuz Sörfü Dumpster Dalışı
  • 13. Can Sıkma  Hedeflenen kişinin merakını veya aç gözlülüğüne güvenerek, hedef almak için “yem” den ayrılmayı ifade eder..  Truva Atı, en büyük mitolojik yem örneklerinden biridir.  Modern bir gün örneği USB'leri “Zamlı Maaş Özeti Q1 2018” atar.  Ücretsiz oyun veya müzik indirilmesi formlarda kişisel bilgi vermeye zorlamak
  • 14.
  • 15. Can Sıkma  Sekretere bir buket gül şeklinde USB gönderin.  Bir romantik sevgiliden veya hayranı varmış gibi davranın.  İçinde ne olduğunun bilinmediği kaçınılmaz olacağından USB’yi takacaktır.
  • 16. Can Sıkma  Araştırmaya göre, insanların yaklaşık olarak %76'sı bilmedikleri şeyleri cihazlarına bağlıyor Örnek: Ofis bilgisayarına USB…
  • 17. Can Sıkma  Sadece bilgisayarınıza takarak bilgisayarınıza fazla voltaj vererek donanımınızı yakabilecek USB'ler var... (USB Killer)
  • 18. Phishing  Sahte e-postaları, web sitelerini, reklamları için tasarlanmış reklamları içerir. Kullanıcıları kandırmakla gerçek sistemleri taklit etmek amacıyla kullanılan yöntemdir.  Günümüzde görülen en yaygın Sosyal Mühendislik formlarından biri.  Sahte Anti-Virüs enfeksiyonu uyarısı (Scareware), Paypal phishing siteleri, ücretsiz müzik, vb. teklifler…
  • 23. Oltalama  Buradaki göreceğiniz örnekte Roger adlı kişiye gelen sahte bir mesajı görmektesiniz.  Mesajın gelmiş olduğu 7000 nolu numara sahte olabilir.  Website http://rogers-clients.com/login/
  • 25. Ön Mesaj  Kurbanı normalde olası olmayan eylemler gerçekleştirmek için icat etmek için icat edilen senaryo olarak adlandırılır. (Phishing'in insan karşılığı) Trust Güvenilir figürün kimliğine bürünme: Sahte BT desteğine bakım yapılması, yanlış bir araştırmacı şirketin denetimi, iş arkadaşları, polis, vergi makamları vb.
  • 26.
  • 28. Yakın Takip  Birisi kapıyı arkanda açık tutmanı istiyor. Çünkü şirket çalışanı RFID kartını unuttu.  Bazı kötü amaçlı yazılımlar yüklerken basit bir işlem yapmak için telefonu veya dizüstü bilgisayarını ödünç almakla eşdeğerdir.
  • 29.
  • 30. Quid Pro Quo  “Bir şey için bir şey” anlamına gelir.  Kötü niyetli bir şahıs, BT hizmeti olduğunu iddia eden çeşitli BT şirketlerini arar..  Sonunda saldırgan, sunulan hizmeti gerçekten gerektiren bir şirketle karşılaşacak ve hedefi için saldırısına devam edecektir..
  • 31.
  • 32. Omuz Sörfü  Kişisel erişim bilgilerini almak için birinin omzuna bakma.  Birisinin ATM / Telefonunun PIN, bilgisayar parolaları..  Kameralarla belli bir mesafeden yapılabilir.
  • 33.
  • 34.
  • 35. Çöplüğe Dalış   Bir kişinin / şirketin çöplüğünden verileri uygun bir şekilde imha etmediyse şirket veya kişinin gizli bilgilerini edinin..  Bankaya ait banka hesaplarını, kredi kartı numaralarını, sözleşmeleri, şirket politikalarını vb. bulabilir.
  • 36.
  • 38. Açık Kaynak İstihbaratı  Kamuya açık kaynaklardan toplanır.  Bunun için birçok platform mevcut: Google, Facebook, LinkedIn, Twitter vb…  Yardımcı olabilecek yazılımlar veya hazır sistemler: Maltego, theHarvester, OSINT Framework vb…
  • 39.
  • 40. Taşıma için Teslim Yöntemi  Çeşitli formlar: Kişide, telefon, e-posta, web sitesi, USB depolama.  Örnek.: Kendi sistemleri için çalıştığınızı düşünün ve bilgisayarında yüklü kötü amaçlı yazılım tespit ettiğinizi iddia edin.  Hedef hakkında bildiklerimizi düşünün.  En az şüphe uyandıracak hangi yöntem gözüküyor??  Güçlü ve zayıf yönlerini tanımlayın. Uygulayın..
  • 41. Bir Alan Seçin  Karakter ihmali, tekrarlama, takas, değiştirme, ekleme  Eksik nokta  Tekilleştirme veya çoğullaştırma  Bit flipping ( Metin içindeki bir baytı bozarak düz metin içindeki bir baytı değiştirmek.)  Homoglyphs  Doğru olmayan TLD almak  URLCrazy tool
  • 42.
  • 43. Komut ve Kontrol Merkezi  Sunucu ana makine: Bir AWS örneği yükleyin  Amazon = uygun fiyatlı + güvenilir IP adresi  Farklı açık kaynaklı ve ticari araçlar mevcut: Metasploit Framework PowerShell Empire Framework Çok fazla çeşitli RAT
  • 44. MSF C&C  Ücretsiz (topluluk baskısı) ve güvenilir..  Sürekli olarak geliştirilen ve güncellenerek, katkıda bulunan bir topluluğa sahiptir..  Çoklu platform desteği.  Kaynak Scriptleri (otomatikleştirmek için temiz özellik)..  Rapid7 tarafından geliştirildi ve sürdürülmeye devam ediyor.
  • 45. FUD ile Yük Taşıma  Public Halka açık birçok kriptor, paketleyici ve kod obfusatörleri..  Crypters & RAT'ler çevrimiçi topluluklarda, ör.:indetectables.net  Kripto elde etmek için küçük zorluklar yapılması, daha uzun süre FUD kalmaları için çalışmalar yapılması.  Birkaç saldırı vektörü hala iyi algılanmamaktadır (makrolar, HTA dosyaları(js ve vbs), PowerShell)
  • 46.
  • 47.
  • 48.
  • 49. FUD ile Yük Taşıma
  • 51. Ben bir hedef olabilir miyim?  Kesinlikle!
  • 52. Ransomware diye bir terim duydunuz mu?
  • 53. Güvenli Kalmak İçin İpuçları! İlk önce şu soruyu kendimize sormalıyız, neden bu teknikler bu kadar etkili? Sizce dikkatsizlik veya farkındalık eksikliği olabilir mi? Belki ikisinden de birazcık olabilir…
  • 54. Güvenli Kalmak İçin İpuçları! Kevin Mitnick’in “Aldatma Sanatı” adlı kitabından sizlere bir alıntı vermek istiyorum:  İnsanlar doğal olarak yardımcı olmak isterler ve bu nedenle kolayca kopyalanırlar.  Her şey, insanların, düşündükleri zaman zararsız olduğunu düşündükleri bilgilere erişme hakkındadır.. Bunun bir çatışmayı önlemek için bir güven seviyesi olduğunu varsayıyorlar.  Telefonda güzel sesler duymak ve yardımcı olmak istiyoruz..
  • 55. Güvenli Kalmak İçin İpuçları!  Eğitim ve Bilinçlendirme  Hatırlatma (Afişler, Posterler...)  Ofiste Güvenlik Hijyeni politikası uygulanması (Temiz Masa Politikası)  Test, test ve daha fazla test!!  En İyi Güvenlik Uygulamalarını Takip Edin  Anti Virüsler?
  • 56. Güvenli Kalmak İçin İpuçları!  Bağlantının URL olarak gösterdiğine güvenmeyin; Sahte! Dosya uzantıları ile aynı olabilir. Örnek olarak; <a href="https://www.google.com/" onmousedown="this.href='https://www.raifberkaydincel.com'">https://www.google.com/</a>
  • 57. Aynı Parolalarınızı 2. Defa Kullanmayın!!!  Bir saldırgan sizin kimlik bilgilerinizi (parolanızı) alırsa, çoklu sistemlere erişmek için kullanabilir.
  • 58. Süreklilik  Unutmayın! Zaman ve süreklilik için sabretmeniz gerekir.  Ama ne olursa olsun bu sinir bozucu saldırganlarla savaşmaya devam edin ve sonunda oraya varacaksınız!
  • 59. Sorularınız? İletişim Bilgileri  t.me/rdincel1 (Telegram)  Tüm Sosyal Medyalarda @rdincel1  www.raifberkaydincel.com (Kişisel Blog)  info@raifberkaydincel.com (e-posta adresim) Linkedln: https://www.linkedin.com/in/raif-berkay-dinçel-87a51295 Çekinmeden Sorabilirsiniz! 