Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

IstSec'14 - Seyfullah KILIÇ - Sosyal Mühendisilk

2,930 views

Published on

IstSec'14 Bilgi Güvenliği Konferansı Sunumları

Published in: Technology
  • Be the first to comment

IstSec'14 - Seyfullah KILIÇ - Sosyal Mühendisilk

  1. 1. YENİ NESİL" SOSYAL MÜHENDİSLİK SALDIRILARI ve ! SİBER İSTİHBARAT
  2. 2. Ben Kimim ? Web Uygulamaları Güvenliği Uzmanı" Uygulama Geliştirici" Google Hall of Famer" Facebook, Twitter, Friendfeed Bug Finder" KodHatasi.com Kurucusu" Starcraft 2 ve Team Fortress 2 Oyuncusu ;)
  3. 3. Index 1. Siber İstihbarat Nedir ?" 2. Hedef Belirleme" 3. OsInt / Bilgi Toplama Araçları" 4. Yeni Nesil Sosyal Mühendislik" 5. Vakalar" 6. Korunma Yolları
  4. 4. Siber İstihbarat Nedir ? Elektronik ortamlardan bilgi toplama" OsInt motorlarından / araçlarından bilgi toplama" Toplanılan bilgiyi analiz etme/kullanma
  5. 5. Siber İstihbarat’ın Önemi Devlet’lerin Siber Terörizm Korkusu" Ticari Şirket Bilgilerinin Deşifresi (Mali bilgi, rakip vs.)" Kişisel Bilgiler" Hacker" Mahremiyet
  6. 6. Hedef Belirleme Bir hacker’ın hedef belirlemesi…
  7. 7. Kim veya Ne Hedeftedir ? Devlet Kurumu" Kurum’daki personel (Sosyal Mühendislik)" Yazılım / Ürün (Yazılım hırsızlığı)" Veri (Veri hırsızlığı)" Prestij (İstihbarat örgütleri)" Bankalar / E-ticaret Sistemleri" Kişisel" Veriler (Resim, Video, mahremiyet, şantaj)" Sosyal Medya Hesapları (Merak, hırs vs.)" Mail (Bilgi alma, merak vs.)
  8. 8. OsInt Open Source Intelligence" Public Data" OsInt, İlk 2005 yılında ABD Savunma Bakanlığı tarafından tanımlandı
  9. 9. Bilgi Toplama Teknikleri " &" Araçları
  10. 10. Gizlilik ? Bitcoin" Tor Browser Bundle" Cryptocat" DoNotTrackMe" Enigmail Fake Name Generator" Ghostery" HTTPS Everywhere" Hushmail alternative" Burn Note
  11. 11. Arama Motorları Google Dorks" Baidu" binsearch.info" Bing Duck Duck Go" PunkSpider" Google" Shodan
  12. 12. Google Hacking Lulzsec ve Anonymous gibi hacker gruplarının öncelikli kullandığı teknik" Hızlı ve çoklu sonuçlar" Gelişmiş operatörler ile spesifik sonuçlar
  13. 13. Google Hacking
  14. 14. Google Hacking
  15. 15. Google Hacking
  16. 16. Google Hacking
  17. 17. Google Hacking
  18. 18. Google Hacking
  19. 19. Google Hacking
  20. 20. filetype:x
  21. 21. Google Hacking
  22. 22. Google Alert!
  23. 23. Pastebin
  24. 24. Pastebin
  25. 25. Pastebin
  26. 26. Twitter - Pastebin
  27. 27. Açık Kaynak ?
  28. 28. Açık Kaynak ?
  29. 29. Açık Kaynak ?
  30. 30. Diğer kaynaklar
  31. 31. Shodan ?
  32. 32. TheHarvester ?
  33. 33. Metagoofil ?
  34. 34. SpiderFoot!
  35. 35. DomainTools.com Reverse IP, NS, MX kayıt arama" Detaylı Whois bilgileri" Whois Geçmişi
  36. 36. Maltego Favori OsInt araçlarından" Kişiler, gruplar, websiteler, domainler ve sunucular hakkında bilgi toplama" Tüm platformlarda çalışır (Linux, Mac OS X, Windows)" Hızlı ve kolay kurulum" Grafiksel kullanıcı arabirimi
  37. 37. Sosyal Medya İstihbaratı En sık görüştüğü kişiler" Kullandığı hashtag’ler" Paylaştığı websiteler" Beğendiği linkler, içerikler
  38. 38. mentionmapp.com
  39. 39. Twitter Favorileri
  40. 40. Yeni Nesil Sosyal Mühendislik “İnsanların zaafı, bilgisayarlardan daha fazladır”
  41. 41. Sosyal Mühendislik ? Aldatma Sanatı" İnsan donanımındaki hatalar" Beyni Exploit etme :)
  42. 42. Kimler Kullanır ? Hackerlar" Penetrasyon Testerlar" Ajanlar" Kimlik Hırsızları Devletler" İş verenler" Pazarlamacılar" Herkes :)
  43. 43. Metodlar Bilgisayar Tabanlı" Oltalama Saldırısı" Online dolandırıcılık" İnsan Tabanlı" Kimliğe bürünme" Omuz Sörfü" Çöplüğe dalma
  44. 44. Örnek ?
  45. 45. SET ? The Social-Engineer Toolkit (SET)" Açık Kaynak Kodlu" Multi Phishing ve Browser Exploit
  46. 46. Phishing ?
  47. 47. Phishing ?
  48. 48. Phishing ?
  49. 49. Phishing ?
  50. 50. Shellshock ! + ! Phishing
  51. 51. Flash Disk ?
  52. 52. Örnek Vakalar “İnsanların zaafı, bilgisayarlardan daha fazladır”
  53. 53. Hedefe Yönelik Saldırı
  54. 54. Mat Honan ?
  55. 55. Nasıl Hacklendi ? 1. Twitter > @mat" 2. > honan.net" 3. > mhonan@gmail.com" 4. Şifremi unuttum > m••••n@me.com" 5. Apple Şifremi unuttum > " 1. Fatura adresleri " 2. Kredi kartlarının son dört rakamı
  56. 56. Nasıl Hacklendi ? 6. Google’da adres arama" 7. K.K Son 4 Rakam ?" 1. Amazon müşteri hizmetleri > yeni k.k ekleme" 2. İsim + Sisteme kayıtlı e-posta adresi + Fatura adresi" 3. Sahte k.k ekletilir." 8. Tekrar Amazon
  57. 57. Nasıl Hacklendi ? 9. Yeni bir e-posta adresi tanımlama" 1. İsim + Fatura adresi + K.k numarası" 10. Amazon şifremi unuttum > yeni eklenilen e-posta adresi :)" 11. Diğer K.K son 4 rakam" 12. Mat Hacked !
  58. 58. Hedefe Yönelik Saldırı 2
  59. 59. Bilgi Toplama
  60. 60. Korunma Yolları
  61. 61. Korunma Yolları 1. Her servis/website için farklı şifreler" 2. 2 adımlı doğrulama servisini kullanın" 3. “Güvenlik sorularınızı ?” saçmalayın
  62. 62. Korunma Yolları 4. Sanal kredi kartı kullanımı" 5. Kişisel bilgilerinizi ve hesaplarınızı sıkça inceleyin" 6. Açık bilgi veritabanlarından bilgilerinizi kaldırın.
  63. 63. Sorular ?
  64. 64. Teşekkürler @Twitter" http://seyfullahkilic.com" bilgi@seyfullahkilic.com
  65. 65. Kaynakça http://www.bishopfox.com/resources/tools/google-hacking-diggity/ presentation-slides/! http://www.securitysift.com/phishing-for-shellshock/! http://www.social-engineer.org/framework/general-discussion/social-engineering- defined/! http://www.net-security.org/secworld.php?id=15805! http://resources.infosecinstitute.com/social-engineering-a-hacking-story/! http://magazine.thehackernews.com/article-1.html

×