From 7791de84916ff61714188ba6501328964640abc6 Mon Sep 17 00:00:00 2001 From: Translator Date: Tue, 5 Aug 2025 03:13:52 +0000 Subject: [PATCH] Translated ['src/generic-methodologies-and-resources/phishing-methodolog --- .../phishing-methodology/README.md | 176 +++++++++++++----- 1 file changed, 132 insertions(+), 44 deletions(-) diff --git a/src/generic-methodologies-and-resources/phishing-methodology/README.md b/src/generic-methodologies-and-resources/phishing-methodology/README.md index ffeeeff67..d6e83e1bb 100644 --- a/src/generic-methodologies-and-resources/phishing-methodology/README.md +++ b/src/generic-methodologies-and-resources/phishing-methodology/README.md @@ -5,25 +5,25 @@ ## Methodology 1. Kurbanı araştır -1. **Kurban alan adını** seç. +1. **kurban alan adını** seç. 2. Kurban tarafından kullanılan **giriş portallarını arayarak** bazı temel web sayımı yap ve hangi portaldan **taklit yapacağına** **karar ver**. -3. **E-posta bulmak için** bazı **OSINT** kullan. +3. **E-postaları bulmak için** bazı **OSINT** kullan. 2. Ortamı hazırla -1. Phishing değerlendirmesi için kullanacağın **alan adını satın al**. -2. İlgili kayıtları **e-posta hizmetini yapılandır** (SPF, DMARC, DKIM, rDNS). -3. **gophish** ile VPS'yi yapılandır. +1. Phishing değerlendirmesi için kullanacağın **alan adını satın al** +2. İlgili kayıtları **e-posta hizmetini yapılandır** (SPF, DMARC, DKIM, rDNS) +3. **gophish** ile VPS'yi yapılandır 3. Kampanyayı hazırla -1. **E-posta şablonunu** hazırla. -2. Kimlik bilgilerini çalmak için **web sayfasını** hazırla. +1. **E-posta şablonunu** hazırla +2. Kimlik bilgilerini çalmak için **web sayfasını** hazırla 4. Kampanyayı başlat! ## Benzer alan adları oluştur veya güvenilir bir alan adı satın al ### Alan Adı Varyasyon Teknikleri -- **Anahtar Kelime**: Alan adı, orijinal alan adının önemli bir **anahtar kelimesini** **içerir** (örneğin, zelster.com-management.com). +- **Anahtar kelime**: Alan adı, orijinal alan adının önemli bir **anahtar kelimesini** **içerir** (örneğin, zelster.com-management.com). - **tireli alt alan**: Bir alt alanın **noktasını tire ile değiştir** (örneğin, www-zelster.com). -- **Yeni TLD**: Aynı alan adı, **yeni bir TLD** kullanarak (örneğin, zelster.org). +- **Yeni TLD**: Aynı alan adı, **yeni bir TLD** kullanarak (örneğin, zelster.org) - **Homoglif**: Alan adındaki bir harfi, **benzer görünen harflerle** **değiştirir** (örneğin, zelfser.com). {{#ref}} @@ -31,7 +31,7 @@ homograph-attacks.md {{#endref}} - **Transpozisyon:** Alan adındaki iki harfi **değiştirir** (örneğin, zelsetr.com). - **Tekil/Çoğul**: Alan adının sonuna “s” ekler veya çıkarır (örneğin, zeltsers.com). -- **Atlama**: Alan adından bir harfi **çıkarır** (örneğin, zelser.com). +- **Atlama**: Alan adındaki bir harfi **çıkarır** (örneğin, zelser.com). - **Tekrar:** Alan adındaki bir harfi **tekrarlar** (örneğin, zeltsser.com). - **Değiştirme**: Homoglif gibi ama daha az gizli. Alan adındaki bir harfi, belki de orijinal harfin klavye üzerindeki yakınındaki bir harfle değiştirir (örneğin, zektser.com). - **Alt alan**: Alan adı içinde bir **nokta** ekle (örneğin, ze.lster.com). @@ -59,17 +59,17 @@ Bu kavram **DNS isteklerine uygulandığında**, **DNS sunucusu tarafından alı Saldırganlar, kurbanın alan adına benzer **birden fazla bit-flipping alan adı kaydederek** bundan **yararlanabilirler**. Amaçları, meşru kullanıcıları kendi altyapılarına yönlendirmektir. -Daha fazla bilgi için [https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/](https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/) adresini okuyun. +Daha fazla bilgi için [https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/](https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/) ### Güvenilir bir alan adı satın al -Kullanabileceğin bir süresi dolmuş alan adı aramak için [https://www.expireddomains.net/](https://www.expireddomains.net) adresini ziyaret edebilirsin.\ -Satın alacağın süresi dolmuş alan adının **iyi bir SEO'ya sahip olduğundan emin olmak için** şu kategorilere bakabilirsin: +Kullanabileceğin bir süresi dolmuş alan adı için [https://www.expireddomains.net/](https://www.expireddomains.net) adresinde arama yapabilirsin.\ +Satın alacağın süresi dolmuş alan adının **zaten iyi bir SEO'ya sahip olduğundan emin olmak için** şu kategorilere bakabilirsin: - [http://www.fortiguard.com/webfilter](http://www.fortiguard.com/webfilter) - [https://urlfiltering.paloaltonetworks.com/query/](https://urlfiltering.paloaltonetworks.com/query/) -## E-posta Keşfi +## E-postaları Keşfetme - [https://github.com/laramies/theHarvester](https://github.com/laramies/theHarvester) (%100 ücretsiz) - [https://phonebook.cz/](https://phonebook.cz) (%100 ücretsiz) @@ -77,8 +77,8 @@ Satın alacağın süresi dolmuş alan adının **iyi bir SEO'ya sahip olduğund - [https://hunter.io/](https://hunter.io) - [https://anymailfinder.com/](https://anymailfinder.com) -Daha fazla geçerli e-posta adresi **keşfetmek** veya zaten keşfettiğin e-posta adreslerini **doğrulamak** için, kurbanın smtp sunucularını brute-force ile kontrol edebilirsin. [E-posta adresini doğrulamak/keşfetmek için burayı öğren](../../network-services-pentesting/pentesting-smtp/index.html#username-bruteforce-enumeration).\ -Ayrıca, kullanıcıların **e-postalarına erişmek için herhangi bir web portalı kullanıp kullanmadığını** unutma; eğer kullanıyorsalar, **kullanıcı adı brute force** saldırısına karşı savunmasız olup olmadığını kontrol edebilir ve mümkünse bu zafiyeti istismar edebilirsin. +Daha fazla geçerli e-posta adresi **keşfetmek** veya zaten keşfettiğin e-posta adreslerini **doğrulamak** için, kurbanın smtp sunucularını brute-force ile kontrol edebilirsin. [E-posta adresini doğrulama/keşfetme hakkında buradan öğren](../../network-services-pentesting/pentesting-smtp/index.html#username-bruteforce-enumeration).\ +Ayrıca, kullanıcıların **e-postalarına erişmek için herhangi bir web portalı kullanıp kullanmadığını** unutma, eğer kullanıyorsa, **kullanıcı adı brute force**'a karşı savunmasız olup olmadığını kontrol edebilir ve mümkünse bu zafiyeti istismar edebilirsin. ## GoPhish'i Yapılandırma @@ -87,7 +87,7 @@ Ayrıca, kullanıcıların **e-postalarına erişmek için herhangi bir web port Bunu [https://github.com/gophish/gophish/releases/tag/v0.11.0](https://github.com/gophish/gophish/releases/tag/v0.11.0) adresinden indirebilirsin. İndirin ve `/opt/gophish` dizinine çıkarın ve `/opt/gophish/gophish` komutunu çalıştırın.\ -Çıktıda, 3333 portundaki admin kullanıcı için bir şifre verilecektir. Bu nedenle, o porta erişin ve bu kimlik bilgilerini kullanarak admin şifresini değiştirin. O portu yerel olarak tünellemeniz gerekebilir. +Çıktıda port 3333'teki admin kullanıcı için bir şifre verilecektir. Bu nedenle, o porta erişin ve bu kimlik bilgilerini kullanarak admin şifresini değiştirin. O portu yerel olarak tünellemeniz gerekebilir: ```bash ssh -L 3333:127.0.0.1:3333 @ ``` @@ -95,7 +95,7 @@ ssh -L 3333:127.0.0.1:3333 @ **TLS sertifika konfigürasyonu** -Bu adımdan önce **kullanacağınız alan adını zaten satın almış olmalısınız** ve bu alan adı **gophish'i yapılandırdığınız VPS'nin IP'sine** **işaret etmelidir**. +Bu adımdan önce **kullanacağınız alan adını** **zaten satın almış** olmalısınız ve bu alan adı **gophish**'i yapılandırdığınız **VPS'nin IP'sine** **yönlendirilmiş** olmalıdır. ```bash DOMAIN="" wget https://dl.eff.org/certbot-auto @@ -126,9 +126,9 @@ Sonra alan adını aşağıdaki dosyalara ekleyin: `myhostname = `\ `mydestination = $myhostname, , localhost.com, localhost` -Son olarak **`/etc/hostname`** ve **`/etc/mailname`** dosyalarını alan adınıza göre değiştirin ve **VPS'nizi yeniden başlatın.** +Son olarak **`/etc/hostname`** ve **`/etc/mailname`** dosyalarını alan adınızla değiştirin ve **VPS'nizi yeniden başlatın.** -Şimdi, `mail.` için **DNS A kaydı** oluşturun ve VPS'nin **ip adresine** işaret edin ve `mail.` için bir **DNS MX** kaydı oluşturun. +Şimdi, `mail.` için **DNS A kaydı** oluşturun ve bunu VPS'nin **ip adresine** yönlendirin ve `mail.` için bir **DNS MX** kaydı oluşturun. Şimdi bir e-posta göndermeyi test edelim: ```bash @@ -137,7 +137,7 @@ echo "This is the body of the email" | mail -s "This is the subject line" test@e ``` **Gophish yapılandırması** -Gophish'in çalışmasını durdurun ve yapılandırmasını yapalım.\ +Gophish'in çalışmasını durdurun ve yapılandıralım.\ `/opt/gophish/config.json` dosyasını aşağıdaki gibi değiştirin (https kullanımına dikkat edin): ```bash { @@ -229,7 +229,7 @@ service gophish stop Bir alan adı ne kadar eskiyse, spam olarak yakalanma olasılığı o kadar düşüktür. Bu nedenle, phishing değerlendirmesinden önce mümkün olduğunca uzun süre (en az 1 hafta) beklemelisiniz. Ayrıca, itibarlı bir sektörde bir sayfa oluşturursanız, elde edilen itibar daha iyi olacaktır. -Bir hafta beklemeniz gerekse bile, her şeyi şimdi yapılandırmayı bitirebileceğinizi unutmayın. +Bir hafta beklemeniz gerekse bile, her şeyi şimdi yapılandırmayı tamamlayabilirsiniz. ### Ters DNS (rDNS) kaydını yapılandırın @@ -237,13 +237,13 @@ VPS'nin IP adresini alan adıyla çözen bir rDNS (PTR) kaydı ayarlayın. ### Gönderen Politika Çerçevesi (SPF) Kaydı -Yeni alan adı için **bir SPF kaydı yapılandırmalısınız**. SPF kaydının ne olduğunu bilmiyorsanız [**bu sayfayı okuyun**](../../network-services-pentesting/pentesting-smtp/index.html#spf). +Yeni alan için **bir SPF kaydı yapılandırmalısınız**. SPF kaydının ne olduğunu bilmiyorsanız [**bu sayfayı okuyun**](../../network-services-pentesting/pentesting-smtp/index.html#spf). SPF politikanızı oluşturmak için [https://www.spfwizard.net/](https://www.spfwizard.net) adresini kullanabilirsiniz (VPS makinesinin IP'sini kullanın). ![](<../../images/image (1037).png>) -Bu, alan adı içindeki bir TXT kaydına yerleştirilmesi gereken içeriktir: +Bu, alan adı içinde bir TXT kaydına yerleştirilmesi gereken içeriktir: ```bash v=spf1 mx a ip4:ip.ip.ip.ip ?all ``` @@ -251,7 +251,7 @@ v=spf1 mx a ip4:ip.ip.ip.ip ?all Yeni alan için **bir DMARC kaydı yapılandırmalısınız**. DMARC kaydının ne olduğunu bilmiyorsanız [**bu sayfayı okuyun**](../../network-services-pentesting/pentesting-smtp/index.html#dmarc). -Aşağıdaki içeriğe sahip `_dmarc.` ana bilgisayar adına işaret eden yeni bir DNS TXT kaydı oluşturmalısınız: +Aşağıdaki içeriği içeren `_dmarc.` ana bilgisayar adına işaret eden yeni bir DNS TXT kaydı oluşturmalısınız: ```bash v=DMARC1; p=none ``` @@ -275,7 +275,7 @@ Sadece sayfaya erişin ve size verilen adrese bir e-posta gönderin: ```bash echo "This is the body of the email" | mail -s "This is the subject line" test-iimosa79z@srv1.mail-tester.com ``` -Ayrıca **e-posta yapılandırmanızı kontrol edebilirsiniz** `check-auth@verifier.port25.com` adresine bir e-posta göndererek ve **yanıtı okuyarak** (bunu yapmak için **25** numaralı portu **açmanız** ve e-postayı root olarak gönderirseniz yanıtı _/var/mail/root_ dosyasında görmeniz gerekecek).\ +Ayrıca **e-posta yapılandırmanızı kontrol edebilirsiniz** `check-auth@verifier.port25.com` adresine bir e-posta göndererek ve **yanıtı okuyarak** (bunun için **25** numaralı portu **açmanız** ve e-postayı root olarak gönderirseniz yanıtı _/var/mail/root_ dosyasında görmeniz gerekecek).\ Tüm testleri geçtiğinizden emin olun: ```bash ========================================================== @@ -293,13 +293,13 @@ Authentication-Results: mx.google.com; spf=pass (google.com: domain of contact@example.com designates --- as permitted sender) smtp.mail=contact@example.com; dkim=pass header.i=@example.com; ``` -### ​Spamhouse Kara Listesinden Çıkarma +### Spamhouse Kara Listesinden Çıkarma -Sayfa [www.mail-tester.com](https://www.mail-tester.com) alan adınızın spamhouse tarafından engellenip engellenmediğini gösterebilir. Alan adınızın/IP'nizin kaldırılmasını isteyebilirsiniz: ​[https://www.spamhaus.org/lookup/](https://www.spamhaus.org/lookup/) +Sayfa [www.mail-tester.com](https://www.mail-tester.com) alan adınızın spamhouse tarafından engellenip engellenmediğini gösterebilir. Alan adınızın/IP'nizin kaldırılmasını şu adresten talep edebilirsiniz: ​[https://www.spamhaus.org/lookup/](https://www.spamhaus.org/lookup/) ### Microsoft Kara Listesinden Çıkarma -Alan adınızın/IP'nizin kaldırılmasını isteyebilirsiniz [https://sender.office.com/](https://sender.office.com). +Alan adınızın/IP'nizin kaldırılmasını [https://sender.office.com/](https://sender.office.com) adresinden talep edebilirsiniz. ## GoPhish Kampanyası Oluşturma ve Başlatma @@ -319,8 +319,8 @@ Alan adınızın/IP'nizin kaldırılmasını isteyebilirsiniz [https://sender.of - Şablonu tanımlamak için bir **isim belirleyin** - Ardından bir **konu** yazın (olağan bir e-postada okuyabileceğiniz bir şey olsun) -- "**İzleme Resmi Ekle**" seçeneğini kontrol ettiğinizden emin olun -- **e-posta şablonunu** yazın (aşağıdaki örnekte olduğu gibi değişkenler kullanabilirsiniz): +- "**İzleme Resmi Ekle**" seçeneğini işaretlediğinizden emin olun +- **e-posta şablonunu** yazın (aşağıdaki örnekteki gibi değişkenler kullanabilirsiniz): ```html @@ -339,7 +339,7 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY ``` -Not edin ki **e-postanın güvenilirliğini artırmak için**, müşteriden gelen bir e-posta imzası kullanmanız önerilir. Öneriler: +Not edin ki **e-postanın güvenilirliğini artırmak için**, müşteriden gelen bir e-posta imzası kullanılması önerilir. Öneriler: - **var olmayan bir adrese** e-posta gönderin ve yanıtın herhangi bir imza içerip içermediğini kontrol edin. - **açık e-postalar** arayın, örneğin info@ex.com veya press@ex.com veya public@ex.com ve onlara bir e-posta gönderin ve yanıtı bekleyin. @@ -348,7 +348,7 @@ Not edin ki **e-postanın güvenilirliğini artırmak için**, müşteriden gele ![](<../../images/image (80).png>) > [!TIP] -> E-posta Şablonu ayrıca **göndermek için dosyalar eklemeye** de olanak tanır. Eğer NTLM zorluklarını çalmak için özel olarak hazırlanmış dosyalar/dokümanlar kullanmak isterseniz [bu sayfayı okuyun](../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md). +> E-posta Şablonu ayrıca **göndermek için dosyalar eklemeye** de olanak tanır. Eğer bazı özel hazırlanmış dosyalar/dokümanlar kullanarak NTLM zorluklarını çalmak istiyorsanız [bu sayfayı okuyun](../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md). ### Açılış Sayfası @@ -360,11 +360,11 @@ Not edin ki **e-postanın güvenilirliğini artırmak için**, müşteriden gele ![](<../../images/image (826).png>) > [!TIP] -> Genellikle sayfanın HTML kodunu değiştirmeniz ve yerel olarak bazı testler yapmanız gerekecektir (belki bir Apache sunucusu kullanarak) **sonuçlardan memnun kalana kadar.** Sonra, o HTML kodunu kutuya yazın.\ +> Genellikle sayfanın HTML kodunu değiştirmeniz ve yerel olarak bazı testler yapmanız gerekecektir (belki bazı Apache sunucusu kullanarak) **sonuçlardan memnun kalana kadar.** Sonra, o HTML kodunu kutuya yazın.\ > HTML için **bazı statik kaynaklar** kullanmanız gerekiyorsa (belki bazı CSS ve JS sayfaları) bunları _**/opt/gophish/static/endpoint**_ dizinine kaydedebilir ve ardından _**/static/\**_ üzerinden erişebilirsiniz. > [!TIP] -> Yönlendirme için kullanıcıları **kurbanın gerçek ana web sayfasına yönlendirebilir** veya örneğin _/static/migration.html_ adresine yönlendirebilir, 5 saniye boyunca bir **dönme tekerleği** (**[**https://loading.io/**](https://loading.io)**) koyabilir ve ardından işlemin başarılı olduğunu belirtebilirsiniz. +> Yönlendirme için kullanıcıları **kurbanın gerçek ana web sayfasına yönlendirebilir** veya örneğin _/static/migration.html_ sayfasına yönlendirebilir, 5 saniye boyunca bir **dönme tekerleği** (**[**https://loading.io/**](https://loading.io)**) koyabilir ve ardından işlemin başarılı olduğunu belirtebilirsiniz. ### Kullanıcılar ve Gruplar @@ -377,7 +377,7 @@ Not edin ki **e-postanın güvenilirliğini artırmak için**, müşteriden gele Son olarak, bir isim, e-posta şablonu, açılış sayfası, URL, gönderim profili ve grup seçerek bir kampanya oluşturun. URL'nin kurbanlara gönderilecek bağlantı olacağını unutmayın. -**Gönderim Profili, son phishing e-postasının nasıl görüneceğini görmek için test e-postası göndermeye olanak tanır**: +**Gönderim Profili, test e-postası göndererek son phishing e-postasının nasıl görüneceğini görmenizi sağlar**: ![](<../../images/image (192).png>) @@ -407,18 +407,18 @@ phishing-documents.md ### Proxy MitM Üzerinden -Önceki saldırı oldukça zekice, çünkü gerçek bir web sitesini taklit ediyor ve kullanıcının belirlediği bilgileri topluyorsunuz. Ne yazık ki, kullanıcı doğru şifreyi girmediyse veya taklit ettiğiniz uygulama 2FA ile yapılandırılmışsa, **bu bilgi sizi kandırılan kullanıcı gibi davranmanıza izin vermez**. +Önceki saldırı oldukça zekice, çünkü gerçek bir web sitesini taklit ediyor ve kullanıcının belirlediği bilgileri topluyorsunuz. Ne yazık ki, kullanıcı doğru şifreyi girmediyse veya taklit ettiğiniz uygulama 2FA ile yapılandırılmışsa, **bu bilgi sizi kandırılan kullanıcı gibi göstermez**. Bu noktada [**evilginx2**](https://github.com/kgretzky/evilginx2)**,** [**CredSniper**](https://github.com/ustayready/CredSniper) ve [**muraena**](https://github.com/muraenateam/muraena) gibi araçlar faydalıdır. Bu araç, MitM benzeri bir saldırı oluşturmanıza olanak tanır. Temelde, saldırılar şu şekilde çalışır: 1. Gerçek web sayfasının **giriş** formunu taklit edersiniz. 2. Kullanıcı **kimlik bilgilerini** sahte sayfanıza gönderir ve araç bunları gerçek web sayfasına gönderir, **kimlik bilgilerin çalışıp çalışmadığını kontrol eder**. 3. Hesap **2FA** ile yapılandırılmışsa, MitM sayfası bunu isteyecek ve kullanıcı bunu girdikten sonra araç bunu gerçek web sayfasına gönderecektir. -4. Kullanıcı kimlik doğrulandıktan sonra siz (saldırgan olarak) **kimlik bilgilerini, 2FA'yı, çerezi ve aracın gerçekleştirdiği her etkileşimle ilgili bilgileri** yakalamış olacaksınız. +4. Kullanıcı kimlik doğrulandıktan sonra siz (saldırgan olarak) **kimlik bilgilerini, 2FA'yı, çerezi ve aracın MitM gerçekleştirdiği her etkileşimdeki bilgileri** yakalamış olacaksınız. ### VNC Üzerinden -Kurbanı **orijinaline benzer bir görünüme sahip kötü niyetli bir sayfaya** göndermek yerine, onu **gerçek web sayfasına bağlı bir tarayıcı ile bir VNC oturumuna** göndermeyi düşünsenize? Ne yaptığını görebilir, şifreyi, kullanılan MFA'yı, çerezleri çalabilirsiniz...\ +Kurbanı **orijinaline benzer bir kötü amaçlı sayfaya** göndermek yerine, onu **gerçek web sayfasına bağlı bir tarayıcı ile VNC oturumuna** göndermeyi düşünsenize? Ne yaptığını görebilir, şifreyi, kullanılan MFA'yı, çerezleri çalabilirsiniz...\ Bunu [**EvilnVNC**](https://github.com/JoelGMSec/EvilnoVNC) ile yapabilirsiniz. ## Tespiti Tespit Etme @@ -426,27 +426,114 @@ Bunu [**EvilnVNC**](https://github.com/JoelGMSec/EvilnoVNC) ile yapabilirsiniz. Elbette, yakalandığınızı anlamanın en iyi yollarından biri, **alan adınızı kara listelerde aramaktır**. Eğer listelenmişse, bir şekilde alan adınız şüpheli olarak tespit edilmiştir.\ Alan adınızın herhangi bir kara listede görünüp görünmediğini kontrol etmenin kolay bir yolu [https://malwareworld.com/](https://malwareworld.com) kullanmaktır. -Ancak, kurbanın **şüpheli phishing faaliyetlerini aktif olarak arayıp aramadığını** anlamanın başka yolları da vardır, bunlar aşağıda açıklanmıştır: +Ancak, kurbanın **aktif olarak şüpheli phishing faaliyetlerini araştırıp araştırmadığını** anlamanın başka yolları da vardır, bunlar aşağıda açıklanmıştır: {{#ref}} detecting-phising.md {{#endref}} -**Kurbanın alan adına çok benzer bir isimle bir alan adı satın alabilir** ve/veya **kontrolünüz altındaki bir alanın** **alt alanı için bir sertifika** oluşturabilirsiniz **ve kurbanın alan adının** **anahtar kelimesini** içerebilirsiniz. Eğer **kurban** onlarla herhangi bir tür **DNS veya HTTP etkileşimi** gerçekleştirirse, **şüpheli alan adlarını aktif olarak aradığını** bileceksiniz ve çok dikkatli olmanız gerekecek. +**Kurbanın alan adına çok benzer bir alan adı satın alabilir** ve/veya **kontrolünüzdeki bir alanın** **alt alanı için bir sertifika oluşturabilirsiniz** ve bu sertifikada kurbanın alan adının **anahtar kelimesini** içerebilirsiniz. Eğer **kurban** bu alanlarla herhangi bir **DNS veya HTTP etkileşimi** gerçekleştirirse, **aktif olarak** şüpheli alan adlarını aradığını bileceksiniz ve çok dikkatli olmanız gerekecek. ### Phishing'i Değerlendirme E-postanızın spam klasörüne düşüp düşmeyeceğini veya engellenip engellenmeyeceğini değerlendirmek için [**Phishious**](https://github.com/Rices/Phishious) kullanın. -## Panoya Ekleme / Yapıştırma Hilesi +## Yüksek Temas Kimlik Kompromosu (Yardım Masası MFA Sıfırlama) -Saldırganlar, tehlikeye atılmış veya yanlış yazılmış bir web sayfasından kurbanın panosuna kötü niyetli komutlar sessizce kopyalayabilir ve ardından kullanıcıyı **Win + R**, **Win + X** veya bir terminal penceresine yapıştırmaya kandırarak, herhangi bir indirme veya ek olmadan rastgele kod çalıştırabilir. +Modern saldırı setleri giderek e-posta tuzaklarını tamamen atlayarak **hizmet masası / kimlik kurtarma iş akışını doğrudan hedef alıyor** ve MFA'yı geçersiz kılıyor. Saldırı tamamen "yaşayan kaynaklardan yararlanma": operatör geçerli kimlik bilgilerine sahip olduğunda, yerleşik yönetici araçlarıyla geçiş yapar - kötü amaçlı yazılım gerektirmez. + +### Saldırı Akışı +1. Kurbanı keşfedin. +* LinkedIn, veri ihlalleri, kamuya açık GitHub vb. kaynaklardan kişisel ve kurumsal bilgileri toplayın. +* Yüksek değerli kimlikleri (yönetici, BT, finans) belirleyin ve **şifre / MFA sıfırlama için tam yardım masası sürecini** sıralayın. +2. Gerçek zamanlı sosyal mühendislik. +* Hedefi taklit ederek yardım masasına telefon, Teams veya sohbet yoluyla ulaşın (genellikle **sahte arayan kimliği** veya **klonlanmış ses** ile). +* Bilgiye dayalı doğrulamayı geçmek için önceden toplanmış Kişisel Tanımlayıcı Bilgileri (PII) sağlayın. +* Temsilciyi **MFA sırrını sıfırlamaya** veya kayıtlı bir mobil numara üzerinde **SIM değişimi** yapmaya ikna edin. +3. Erişim sonrası hemen yapılacak işlemler (gerçek durumlarda ≤60 dakika) +* Herhangi bir web SSO portalı aracılığıyla bir yer edinmek. +* Yerleşik araçlarla AD / AzureAD'yi sıralamak (binaries bırakmadan): +```powershell +# dizin gruplarını ve ayrıcalıklı rolleri listele +Get-ADGroup -Filter * -Properties Members | ?{$_.Members -match $env:USERNAME} + +# AzureAD / Graph – dizin rollerini listele +Get-MgDirectoryRole | ft DisplayName,Id + +# Hesabın giriş yapabileceği cihazları sıralayın +Get-MgUserRegisteredDevice -UserId +``` +* Ortamda zaten beyaz listeye alınmış **WMI**, **PsExec** veya meşru **RMM** ajanları ile yan hareket. + +### Tespit ve Azaltma +* Yardım masası kimlik kurtarmayı **ayrıcalıklı bir işlem** olarak değerlendirin – adım artırma kimlik doğrulaması ve yönetici onayı gerektirir. +* Aşağıdaki durumlarda uyarı veren **Kimlik Tehdit Tespiti ve Yanıt (ITDR)** / **UEBA** kuralları uygulayın: +* MFA yöntemi değişti + yeni cihazdan / coğrafyadan kimlik doğrulama. +* Aynı ilkenin (kullanıcı-→-yönetici) hemen yükseltilmesi. +* Yardım masası aramalarını kaydedin ve herhangi bir sıfırlama öncesinde **zaten kayıtlı bir numaraya geri arama** yapılmasını zorunlu kılın. +* Yeni sıfırlanan hesapların **yüksek ayrıcalıklı jetonları otomatik olarak miras almaması** için **Just-In-Time (JIT) / Ayrıcalıklı Erişim** uygulayın. + +--- + +## Ölçekli Aldatma – SEO Zehirleme ve “ClickFix” Kampanyaları +Ticari ekipler, yüksek temaslı operasyonların maliyetini, **arama motorlarını ve reklam ağlarını teslimat kanalı haline getiren** kitlesel saldırılarla dengelemektedir. + +1. **SEO zehirleme / kötü reklamcılık**, `chromium-update[.]site` gibi sahte bir sonucu en üst arama reklamlarına itmektedir. +2. Kurban küçük bir **ilk aşama yükleyici** (genellikle JS/HTA/ISO) indirir. Unit 42 tarafından görülen örnekler: +* `RedLine stealer` +* `Lumma stealer` +* `Lampion Trojan` +3. Yükleyici tarayıcı çerezlerini + kimlik bilgisi veritabanlarını dışarı aktarır, ardından **sessiz bir yükleyici** çeker ve bu yükleyici - *gerçek zamanlı* - dağıtılıp dağıtılmayacağına karar verir: +* RAT (örneğin AsyncRAT, RustDesk) +* fidye yazılımı / silici +* kalıcılık bileşeni (kayıt defteri Çalıştır anahtarı + planlı görev) + +### Güçlendirme İpuçları +* Yeni kayıtlı alan adlarını engelleyin ve **Gelişmiş DNS / URL Filtreleme** uygulayın *arama reklamları* ve e-posta üzerinde. +* Yazılım yüklemesini imzalı MSI / Mağaza paketleri ile sınırlayın, `HTA`, `ISO`, `VBS` yürütmesini politika ile reddedin. +* Yükleyicileri açan tarayıcıların çocuk süreçlerini izleyin: +```yaml +- parent_image: /Program Files/Google/Chrome/* +and child_image: *\\*.exe +``` +* İlk aşama yükleyiciler tarafından sıkça kötüye kullanılan LOLBins'i arayın (örneğin `regsvr32`, `curl`, `mshta`). + +--- + +## AI-Gelişmiş Phishing Operasyonları +Saldırganlar artık **LLM ve ses klonlama API'lerini** tamamen kişiselleştirilmiş tuzaklar ve gerçek zamanlı etkileşim için zincirleme yapıyor. + +| Katman | Tehdit aktörü tarafından örnek kullanım | +|-------|-----------------------------| +|Otomasyon|Rastgele kelimeler ve izleme bağlantıları ile >100 k e-posta / SMS oluşturun ve gönderin.| +|Üretken AI|Kamuya açık M&A, sosyal medyadan iç şakalarla referans veren *tek seferlik* e-postalar üretin; geri arama dolandırıcılığında derin sahte CEO sesi.| +|Ajanik AI|Otonom olarak alan adları kaydedin, açık kaynak istihbaratını kazıyın, bir kurban tıkladığında ancak kimlik bilgilerini göndermediğinde bir sonraki aşama e-postalarını oluşturun.| + +**Savunma:** +• Güvenilmeyen otomasyondan gönderilen mesajları vurgulayan **dinamik afişler** ekleyin (ARC/DKIM anormallikleri aracılığıyla). +• Yüksek riskli telefon talepleri için **ses biyometrik zorlama ifadeleri** uygulayın. +• Farkındalık programlarında AI tarafından üretilen tuzakları sürekli simüle edin – statik şablonlar geçersizdir. + +--- + +## MFA Yorgunluğu / Push Bombing Varyantı – Zorla Sıfırlama +Klasik push-bombing'in yanı sıra, operatörler yardım masası çağrısı sırasında **yeni bir MFA kaydı zorlar**, kullanıcının mevcut jetonunu geçersiz kılar. Herhangi bir sonraki giriş istemi kurban için meşru görünür. +```text +[Attacker] → Help-Desk: “I lost my phone while travelling, can you unenrol it so I can add a new authenticator?” +[Help-Desk] → AzureAD: ‘Delete existing methods’ → sends registration e-mail +[Attacker] → Completes new TOTP enrolment on their own device +``` +AzureAD/AWS/Okta olaylarını izleyin, **`deleteMFA` + `addMFA`** aynı IP'den **dakikalar içinde** gerçekleştiğinde. + +## Clipboard Hijacking / Pastejacking + +Saldırganlar, bir hedefin panosuna kötü niyetli komutları sessizce kopyalayabilirler; bu, bir ele geçirilmiş veya yanlış yazılmış web sayfasından yapılır ve ardından kullanıcıyı **Win + R**, **Win + X** veya bir terminal penceresine yapıştırmaya kandırarak, herhangi bir indirme veya ek olmadan rastgele kod çalıştırabilirler. {{#ref}} clipboard-hijacking.md {{#endref}} -## Mobil Phishing ve Kötü Amaçlı Uygulama Dağıtımı (Android ve iOS) +## Mobil Phishing & Kötü Amaçlı Uygulama Dağıtımı (Android & iOS) {{#ref}} mobile-phishing-malicious-apps.md @@ -458,5 +545,6 @@ mobile-phishing-malicious-apps.md - [https://0xpatrik.com/phishing-domains/](https://0xpatrik.com/phishing-domains/) - [https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/](https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/) - [https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy](https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy) +- [2025 Unit 42 Global Incident Response Report – Social Engineering Edition](https://unit42.paloaltonetworks.com/2025-unit-42-global-incident-response-report-social-engineering-edition/) {{#include ../../banners/hacktricks-training.md}}