SlideShare a Scribd company logo
1 of 83
YENİ NESİL
SOSYAL MÜHENDİSLİK SALDIRILARI
ve SİBER İSTİHBARAT
OWASP-Turkey
Seyfullah KILIÇ
Ben Kimim ?
Web Uygulamaları Güvenliği Uzmanı
SwordSec.com Kurucusu
Uygulama Geliştiricisi
Google Hall of Famer
KodHatasi.com Kurucusu
Öğrenci :(
Starcraft 2 ve Team Fortress 2 Oyuncusu ;)
Index
1. Siber İstihbarat Nedir ?
2. Hedef Belirleme
3. OsInt / Bilgi Toplama Araçları
4. Yeni Nesil Sosyal Mühendislik
5. Vakalar
6. Korunma Yolları
Siber İstihbarat Nedir ?
Elektronik ortamlardan bilgi
toplama
OsInt motorlarından /
araçlarından bilgi toplama
Toplanılan bilgiyi analiz
etme/kullanma
Siber İstihbarat’ın Önemi
Devlet’lerin Siber Terörizm Korkusu
Ticari Şirket Bilgilerinin Deşifresi (Mali bilgi, rakip
vs.)
Kişisel Bilgiler
Hacker
Mahremiyet
Hedef
Belirleme
Kim veya Ne Hedeftedir ?
Devlet Kurumu
Kurum’daki personel (Sosyal Mühendislik)
Yazılım / Ürün (Yazılım hırsızlığı)
Veri (Veri hırsızlığı)
Prestij (İstihbarat örgütleri)
Bankalar / E-ticaret Sistemleri
Kişisel
Veriler (Resim, Video, mahremiyet, şantaj)
Sosyal Medya Hesapları (Merak, hırs vs.)
Mail (Bilgi alma, merak vs.)
OsInt
Open Source Intelligence
Public Data
OsInt, İlk 2005 yılında ABD Savunma Bakanlığı
tarafından tanımlandı
Bilgi Toplama
Teknikleri
&
Araçları
Gizlilik ?
Bitcoin
Tor Browser Bundle
Cryptocat
DoNotTrackMe
Enigmail
Fake Name Generator
Ghostery
HTTPS Everywhere
Hushmail alternative
Burn Note
Arama Motorları
Google Dorks
Baidu
binsearch.info
Bing
Duck Duck Go
PunkSpider
Google
Shodan
Google Hacking
Lulzsec ve Anonymous gibi hacker gruplarının
öncelikli kullandığı teknik
Hızlı ve çoklu sonuçlar
Gelişmiş operatörler ile spesifik sonuçlar
Google Hacking
Google Hacking
Google Hacking
Google Hacking
Google Hacking
Google Hacking
Google Hacking
filetype:x
Google Hacking
Google Alert
Pastebin
Pastebin
Pastebin
Twitter - Pastebin
Açık Kaynak ?
Açık Kaynak ?
Açık Kaynak ?
Diğer kaynaklar
Shodan ?
TheHarvester ?
Metagoofil ?
SpiderFoot
DomainTools.com
Reverse IP, NS, MX kayıt arama
Detaylı Whois bilgileri
Whois Geçmişi
Maltego
Favori OsInt araçlarından
Kişiler, gruplar, websiteler, domainler ve
sunucular hakkında bilgi toplama
Tüm platformlarda çalışır (Linux, Mac OS X,
Windows)
Hızlı ve kolay kurulum
Grafiksel kullanıcı arabirimi
Sosyal Medya İstihbaratı
En sık görüştüğü kişiler
Kullandığı hashtag’ler
Paylaştığı websiteler
Beğendiği linkler, içerikler
mentionmapp.com
Twitter Favorileri
Yeni Nesil Sosyal
Mühendislik
Sosyal Mühendislik ?
Aldatma Sanatı
İnsan donanımındaki hatalar
Beyni Exploit etme :)
Kimler Kullanır ?
Hackerlar
Penetrasyon Testerlar
Ajanlar
Kimlik Hırsızları
Devletler
İş verenler
Pazarlamacılar
Herkes :)
Metodlar
Bilgisayar Tabanlı
Oltalama Saldırısı
Online dolandırıcılık
İnsan Tabanlı
Kimliğe bürünme
Omuz Sörfü
Çöplüğe dalma
Örnek ?
SET ?
The Social-Engineer Toolkit (SET)
Açık Kaynak Kodlu
Multi Phishing ve Browser Exploit
Phishing ?
Phishing ?
Phishing ?
Phishing ?
Shellshock
+
Phishing
Flash Disk ?
Örnek Vakalar
Hedefe Yönelik Saldırı
Mat Honan ?
Nasıl Hacklendi ?
1. Twitter > @mat
2. > honan.net
3. > mhonan@gmail.com
4. Şifremi unuttum > m••••n@me.com
5. Apple Şifremi unuttum >
1. Fatura adresleri
2. Kredi kartlarının son dört rakamı
Nasıl Hacklendi ?
6. Google’da adres arama
7. K.K Son 4 Rakam ?
1. Amazon müşteri hizmetleri > yeni k.k ekleme
2. İsim + Sisteme kayıtlı e-posta adresi + Fatura
adresi
3. Sahte k.k ekletilir.
8. Tekrar Amazon
Nasıl Hacklendi ?
9. Yeni bir e-posta adresi tanımlama
1. İsim + Fatura adresi + K.k numarası
10. Amazon şifremi unuttum > yeni eklenilen e-
posta adresi :)
11. Diğer K.K son 4 rakam
12. Mat Hacked !
Hedefe Yönelik Saldırı 2
Bilgi Toplama
Korunma
Yolları
Korunma Yolları
Korunma Yolları
1. Her servis/website için farklı şifreler
2. 2 adımlı doğrulama servisini kullanın
3. “Güvenlik sorularınızı ?” saçmalayın
Korunma Yolları
4. Sanal kredi kartı kullanımı
5. Kişisel bilgilerinizi ve hesaplarınızı
sıkça inceleyin
6. Açık bilgi veritabanlarından
bilgilerinizi kaldırın.
Sorular ?
Teşekkürler
@s3yfullah
http://seyfullahkilic.com
bilgi@seyfullahkilic.com
Kaynakça
http://www.bishopfox.com/resources/tools/google-hacking-
diggity/presentation-slides/
http://www.securitysift.com/phishing-for-shellshock/
http://www.social-engineer.org/framework/general-
discussion/social-engineering-defined/
http://www.net-security.org/secworld.php?id=15805
http://resources.infosecinstitute.com/social-engineering-a-
hacking-story/
http://magazine.thehackernews.com/article-1.html
Sponsorlar

More Related Content

What's hot

Yeni Nesil DDOS Saldırıları ve Korunma Yöntemleri
Yeni Nesil DDOS Saldırıları ve Korunma YöntemleriYeni Nesil DDOS Saldırıları ve Korunma Yöntemleri
Yeni Nesil DDOS Saldırıları ve Korunma YöntemleriBGA Cyber Security
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiSparta Bilişim
 
İleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabıİleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab KitabıBGA Cyber Security
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziBGA Cyber Security
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıBGA Cyber Security
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
 
Siber Güvenlik Kış Kampı'18 Soruları
Siber Güvenlik Kış Kampı'18 SorularıSiber Güvenlik Kış Kampı'18 Soruları
Siber Güvenlik Kış Kampı'18 SorularıBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12BGA Cyber Security
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiKurtuluş Karasu
 
Siber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı SistemiSiber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı SistemiBGA Cyber Security
 
Zararlı Yazılım Analizi ve Tespitinde YARA Kullanımı
Zararlı Yazılım Analizi ve Tespitinde YARA KullanımıZararlı Yazılım Analizi ve Tespitinde YARA Kullanımı
Zararlı Yazılım Analizi ve Tespitinde YARA KullanımıBGA Cyber Security
 
Hping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıHping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıBGA Cyber Security
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakBGA Cyber Security
 
Bilgi Güvenliği Farkındalık Eğitim Sunumu
Bilgi Güvenliği Farkındalık Eğitim SunumuBilgi Güvenliği Farkındalık Eğitim Sunumu
Bilgi Güvenliği Farkındalık Eğitim SunumuBGA Cyber Security
 
Arp protokolu ve guvenlik zafiyeti
Arp  protokolu ve guvenlik zafiyetiArp  protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19BGA Cyber Security
 

What's hot (20)

EXPLOIT POST EXPLOITATION
EXPLOIT POST EXPLOITATIONEXPLOIT POST EXPLOITATION
EXPLOIT POST EXPLOITATION
 
Yeni Nesil DDOS Saldırıları ve Korunma Yöntemleri
Yeni Nesil DDOS Saldırıları ve Korunma YöntemleriYeni Nesil DDOS Saldırıları ve Korunma Yöntemleri
Yeni Nesil DDOS Saldırıları ve Korunma Yöntemleri
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
 
Siber güvenlik kampı sunumu
Siber güvenlik kampı sunumuSiber güvenlik kampı sunumu
Siber güvenlik kampı sunumu
 
İleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabıİleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabı
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
 
Siber Güvenlik Kış Kampı'18 Soruları
Siber Güvenlik Kış Kampı'18 SorularıSiber Güvenlik Kış Kampı'18 Soruları
Siber Güvenlik Kış Kampı'18 Soruları
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
 
Siber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı SistemiSiber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı Sistemi
 
Zararlı Yazılım Analizi ve Tespitinde YARA Kullanımı
Zararlı Yazılım Analizi ve Tespitinde YARA KullanımıZararlı Yazılım Analizi ve Tespitinde YARA Kullanımı
Zararlı Yazılım Analizi ve Tespitinde YARA Kullanımı
 
Hping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıHping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif Çalışmaları
 
Kablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizKablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli Analiz
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
 
Bilgi Güvenliği Farkındalık Eğitim Sunumu
Bilgi Güvenliği Farkındalık Eğitim SunumuBilgi Güvenliği Farkındalık Eğitim Sunumu
Bilgi Güvenliği Farkındalık Eğitim Sunumu
 
Arp protokolu ve guvenlik zafiyeti
Arp  protokolu ve guvenlik zafiyetiArp  protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyeti
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19
 

Similar to Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbarat

IstSec'14 - Seyfullah KILIÇ - Sosyal Mühendisilk
IstSec'14 - Seyfullah KILIÇ - Sosyal MühendisilkIstSec'14 - Seyfullah KILIÇ - Sosyal Mühendisilk
IstSec'14 - Seyfullah KILIÇ - Sosyal MühendisilkBGA Cyber Security
 
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz? Mustafa
 
Hacking – Ethical Hacking
Hacking – Ethical HackingHacking – Ethical Hacking
Hacking – Ethical HackingAhmet TOPRAKCI
 
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıMustafa
 
NetsecTR "Her Yönüyle Siber Tehdit İstihbaratı"
NetsecTR "Her Yönüyle Siber Tehdit İstihbaratı"NetsecTR "Her Yönüyle Siber Tehdit İstihbaratı"
NetsecTR "Her Yönüyle Siber Tehdit İstihbaratı"BGA Cyber Security
 
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdfSiber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdfMurat KARA
 
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıRaif Berkay DİNÇEL
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiBGA Cyber Security
 
Siber_Guvenlik_ve_Etik_Hacking-2023-Z.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-Z.pdfSiber_Guvenlik_ve_Etik_Hacking-2023-Z.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-Z.pdfMurat KARA
 
Bilgi güvenliği ve siber güvenlik sunumu
Bilgi güvenliği ve siber güvenlik sunumuBilgi güvenliği ve siber güvenlik sunumu
Bilgi güvenliği ve siber güvenlik sunumuUmut YILMAZ
 
Yapay Zeka Güvenliği : Machine Learning & Deep Learning & Computer Vision Sec...
Yapay Zeka Güvenliği : Machine Learning & Deep Learning & Computer Vision Sec...Yapay Zeka Güvenliği : Machine Learning & Deep Learning & Computer Vision Sec...
Yapay Zeka Güvenliği : Machine Learning & Deep Learning & Computer Vision Sec...Cihan Özhan
 
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...BGA Cyber Security
 
Namık Kemal Universitesi - Muhendislik Zirvesi
Namık Kemal Universitesi - Muhendislik ZirvesiNamık Kemal Universitesi - Muhendislik Zirvesi
Namık Kemal Universitesi - Muhendislik ZirvesiRaif Berkay DİNÇEL
 
Gazeteciler İçin Hacker Kültürü ve Bilgi Güvenliği
Gazeteciler İçin Hacker Kültürü ve Bilgi GüvenliğiGazeteciler İçin Hacker Kültürü ve Bilgi Güvenliği
Gazeteciler İçin Hacker Kültürü ve Bilgi GüvenliğiAhmet A. Sabancı
 

Similar to Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbarat (20)

IstSec'14 - Seyfullah KILIÇ - Sosyal Mühendisilk
IstSec'14 - Seyfullah KILIÇ - Sosyal MühendisilkIstSec'14 - Seyfullah KILIÇ - Sosyal Mühendisilk
IstSec'14 - Seyfullah KILIÇ - Sosyal Mühendisilk
 
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
 
Hacking – Ethical Hacking
Hacking – Ethical HackingHacking – Ethical Hacking
Hacking – Ethical Hacking
 
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve Araçları
 
Kişisel Bilgi Güvenliği Neden ve Ne Kadar?
Kişisel Bilgi Güvenliği Neden ve Ne Kadar?Kişisel Bilgi Güvenliği Neden ve Ne Kadar?
Kişisel Bilgi Güvenliği Neden ve Ne Kadar?
 
CypSec Sunum
CypSec SunumCypSec Sunum
CypSec Sunum
 
NetsecTR "Her Yönüyle Siber Tehdit İstihbaratı"
NetsecTR "Her Yönüyle Siber Tehdit İstihbaratı"NetsecTR "Her Yönüyle Siber Tehdit İstihbaratı"
NetsecTR "Her Yönüyle Siber Tehdit İstihbaratı"
 
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdfSiber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
 
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
 
Siber_Guvenlik_ve_Etik_Hacking-2023-Z.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-Z.pdfSiber_Guvenlik_ve_Etik_Hacking-2023-Z.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-Z.pdf
 
Açık Kaynak ile Siber İstihbarat Sunumu
 Açık Kaynak ile Siber İstihbarat Sunumu Açık Kaynak ile Siber İstihbarat Sunumu
Açık Kaynak ile Siber İstihbarat Sunumu
 
Sosyal Medya ve Güvenlik
Sosyal Medya ve GüvenlikSosyal Medya ve Güvenlik
Sosyal Medya ve Güvenlik
 
Bilgi Güvenliği
Bilgi GüvenliğiBilgi Güvenliği
Bilgi Güvenliği
 
Bilgi güvenliği ve siber güvenlik sunumu
Bilgi güvenliği ve siber güvenlik sunumuBilgi güvenliği ve siber güvenlik sunumu
Bilgi güvenliği ve siber güvenlik sunumu
 
Yapay Zeka Güvenliği : Machine Learning & Deep Learning & Computer Vision Sec...
Yapay Zeka Güvenliği : Machine Learning & Deep Learning & Computer Vision Sec...Yapay Zeka Güvenliği : Machine Learning & Deep Learning & Computer Vision Sec...
Yapay Zeka Güvenliği : Machine Learning & Deep Learning & Computer Vision Sec...
 
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
Muhammer KARAMAN, Hayrettin ÇATALKAYA - KURUMSAL SİBERGÜVENLİK: Açık Kaynak İ...
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
 
Namık Kemal Universitesi - Muhendislik Zirvesi
Namık Kemal Universitesi - Muhendislik ZirvesiNamık Kemal Universitesi - Muhendislik Zirvesi
Namık Kemal Universitesi - Muhendislik Zirvesi
 
Gazeteciler İçin Hacker Kültürü ve Bilgi Güvenliği
Gazeteciler İçin Hacker Kültürü ve Bilgi GüvenliğiGazeteciler İçin Hacker Kültürü ve Bilgi Güvenliği
Gazeteciler İçin Hacker Kültürü ve Bilgi Güvenliği
 

Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbarat

Editor's Notes

  1. En sonunda; Vaktimiz kalırsa 5 dklık kısa bir video izleyeceğiz.
  2. OsInt > açık kaynakdan bilgi toplama
  3. Hacker’lar için de önemli tabi.
  4. Siber İstihbarat için Hacker’ların Hedef belirlemesi
  5. Open Source Intelligence’ın kısaltılmasıdır. Web’de public datalardan istihbarat toplama tekniğidir. Bir çok araçlar mevcuttur.
  6. Siber İstihbarat Döngüsü
  7. Hacker’ın İstihbarat toplaması için gereken gizlilik araçları
  8. Vazgeçilmez arama motorları Gördüğünüz gibi hackerların Shodan, Google Dorks gibi sıklıkla kullandığı arama motorları var.
  9. diğer adı ile Google Hacking Dork
  10. pcf dosyalarında kullanıcı adı ve şifre arama dorku
  11. Offline olarak Ip aralığı arama. Bu arada digitalocean’ın ıp aralığıdır bu
  12. Port tarama ve Ip aralık belirleme Tabi bu taramalar offline bir taramadır.
  13. hassas data aramaya gerek kalmadı gibi :) Geçen aylarda hacklendi :)
  14. Google dökümanlarda password içeren config dosyaları arıyoruz.
  15. Farklı formatları, farklı arama motorlarında arayabiliriz
  16. 2012 yılı için verilen Google Sonuçlar istatistiği Google, 1 Milyar’dan fazla PDF dosyası taramış
  17. Google Hacking Database en çok bilinen google dork arama sitesidir.
  18. Google alert’i, basit bir güvenlik alarm aracı olarak da kullanabilirsiniz
  19. Pastebin underground camiasının vazgeçilmezi. Trendlerden, Hacking gündemini takip etmek bile mümkün.
  20. Pastebinde basit bir search
  21. En çok sevilen özelliği alarm eklenmesi. İstenilen kelimeleri takip edebilirsiniz.
  22. Twitter’da yer alan bir hesap. Pastebine düşen mailleri tweet atıyor.
  23. GitHub’da basit bir arama ile SQL Injection ihtimali olan projeler çıkıyor. Bu aramamda, 220.000’den fazla sonuç yer aldı
  24. Beyaz şapkalı hackerlar > Regex geliştirir, popüler açık kaynak kodlu web yazılımlarında ararlar Zaafiyeti bulup, doğrularlar, kodu yazana bilgi verirler ve patch yaparlar
  25. Siyah şapkalı hackerlar ise yine aynı adımları yaparlar fakat, Siber İstihbarat yöntemleri ile Web’i tararlar ve çoklu saldırı yaparlar.
  26. Yine diğer OpenSource proje barındıran sistemlerde aynı tehlikeler bulunuyor.
  27. Shodan adlı hackerlar için arama motoru Dünya’ca ünlü BlackHat konferansında, sadece Shodan arama motoru ile ilgili bir sunum yapılmıştır.
  28. Anlık siber istihbarat için güzel bir ücretli proje. Kelime takibi ve data mining yaparak, geçmişte ve gelecekteki olacak şeyleri tarihe göre sıralama yapıyor. Örneğin 16 şubatta Apple’ın 6s i duyuracağına dair sağlam kaynaklardan bir haber alıp bunu 16 Şubatta Apple’ın bir event’i olacağına dair DB’lerine ekliyor.
  29. 2011’de Anonymous grubunun Türkiye’ye saldırı grafiği yer almaktadır. Hangi sitelere, hangi eylemlerde bulunulduğu kayıtlarda görülmektedir. Bu da gelecek ve geçmiş için Siber İstihbarat toplamak için güzel bir kaynak.
  30. Python dili ile yazılmış, Güzel bir İstihbarat toplama aracı Girilen domain’e ait mailler ve host’lar listeleniyor.
  31. yine aynı şekilde python ile yazılmış güzel bir tool Online olarak döküman arıyor.
  32. İstihbarat toplama, web spider gibi özelliklere sahip Python tabanlı web uygulaması. Yine açık-kaynak kodlu
  33. domain ve hosting için En popüler bilgi toplama sitesi
  34. Maltego içinde bir çok özellik ve modül barındıran bir İstihbarat Toplama aracıdır.
  35. Twitter arkadaş bağlantıları
  36. NameServer ve Ip bağlantıları
  37. İsim’den mail bulma özelliği
  38. Sosyal medya İstihbarat’ı OSINT için çok önemli bir veridir. Hacker’lar hedefdeki kişiyi veya kişileri seçerek, en sık görüştüğü kişileri, kullandığı hashtagleri, paylaştığı websiteleri ve beğendiği linkleri, içerikleri toplayarak, kişi hakkında analiz ve profilleme yapabilir.
  39. Mentionmapp sosyal medya istihbaratına güzel bir örnek.
  40. Twitter’da Favoriler Herkesin belki unutarak, belki dalgın olarak FAV’ladığı tweetleri bir hacker takip edebilir, analizini yapabilir. Tabi bu manuel bir yöntem. İsterse Twitter API ile güzel bir robot yazabilir.
  41. Kendim kodladığım Twitter istihbarat aracı
  42. Aldatma sanatı. en büyük sorun insan donanımındaki hatalar aslında beyni exploit etme diye nitelendirebiliriz :)
  43. Bir bu sunumda Bilgisayar Tabanlı saldırıları dikkate alacağız.
  44. Bir hacker, İnternet’e güvenli bağlanıp, Şirket önünde Firewall’ları geçip, sunucuda açık bulmaktansa, Sosyal mühendislik methodları ile direk çalışanlara hedef alıp, sunucuya öyle ulaşıyor. Evet burada şeytan olan Sosyal mühendisimiz :)
  45. Linux Kali ve Backtrack’da güncel sürümleri mevcut
  46. Huzeyfe beye atılan bir mail :)
  47. Bu da daha gelişmişi ?
  48. Burada Gmail’de bulunan gizli bir zaafiyet kullanılmış :)
  49. Twitter direct message yoluyla atılan kısaltılmış linkleri artık kabul etmiyor.
  50. Ortalığı sallayan “Shellshock” zaafiyet ve phishing örneği. *Tabi çalışması için update edilmemiş olması gerekli* Kullanıcnın header bilgilerini zararlı kodlar ile değiştirerek javascript ile post ediliyor. Reverse connection ile kurbanın bilgisayarı ele geçiriliyor.
  51. Üst düzey bir şekilde hazırlanmış zararlı kod yüklenebilen bir flash disk. Aslında bu flashdisk klavyenizi taklit ederek gizli olarak, ayarladığınız tuş kombinasyonlarını basıyor. Hedef flashdiski takar takmak tuşlar arka planda çalışıyor ve istenildiği gibi zararlı yazılım vs. yüklenebiliyor. Yeni nesil sosyal mühendislik saldırıları ve testlerinde kullanılıyor. Bu araç, BadUSB zaafiyeti ile daha da gündeme geldi
  52. Teknoloji dergisi Wired’ın yazarı.
  53. Hackerlar twitter’da bulunan Mat’i gözüne kestiriyorlar. web sitelerini profilinden buluyorlar. Oradan mail adresine ulaşıyorşar Şifremi unuttum ile başlayarak, diğer mail adresinin bir kısmına ulaşabiliyorlar.
  54. SON olarak: Hackleyen kişiler: 19 yaşındaki bir genç ve ona yardım eden bir arkadaşı. Ayrıca, şikayette bulunmaması karşılığında bu “hack” operasyonunu Honan’a adım adım anlatmış.
  55. Kişinin adı ile basit bir google araması
  56. Ünlü sosyal medya hesaplarından kişi ile ilgili bilgi toplama
  57. Facebook kullanıcı adını ve maili tahmin etme
  58. Mail’i bulma
  59. Mail doğrulama sistemi
  60. güzel hazırlanmış bir phishing saldırısı ile kullanıcı hackleniyor.
  61. Intel’in paylaştığı güzel bir mesaj :) Şifreler iç çamaşırlarına benzer. Bunları sıklıkla değiştirin, gizli tutun ve kimse ile paylaşmayın.
  62. Evet, İşin esprisini geçelim, gerçekten neler yapabiliriz şimdi ona geçelim.