Mail Hacking Korunma ve Güvenlik
Sizlere bu konumuzda maillerinizin güvenliğine yönelik bilgiler paylaştık. Vereceğimiz bilgiler tamamen eğitim amaçlı olup 2008 yılında yazılmış ve günümüzde bile çok etkili olan aşağıdaki mail güvenlik (mail-security) bilgileri kötüye kullanmak tamamıyla sorumluluğunuz kapsamındadır.
 |
| Siber Security (Siber Güvenlik) |
1. Gizli Soruyu Tahmin Etmek:
Tahminlerimizin ve düşüncelerimizin sınırlarını zorlayarak hedef mailin gizli sorusunu bulabilirsiniz. Tanımadığımız birisine ait gizli sorunu bulmaya çalışmak, elbette bu tahmin işlemi bizleri zorlayabilir. Şifre tahmini işlemini yaparken özellikle yabancı (tanımadığımız) birine karşı yapmamız gereken bir diğer çalışma "Sosyal Mühendislik" ile düşünce gücümüzün sınırlarını zorlamamız gerekir. Bu durumda hedefimizdeki bireyle iletişime geçerek gizli sorusuna yönelik bilgiler edinmeye çalışmamızın sonucunda, belki de istenilen sonuca ulaşmamızı sağlayacaktır. Belirtmekte fayda var. Günümüzde bu yöntemi kullanmak pek yarar sağlamasa da bilgi mahiyetinde açıklama gereği duyduk sizlere.
2. Fake Mail:
İnternet ağı dünyasında daha çok "Hacking" bilgisi olmayan kişiler üzerine "Fake Mail" çalışmaları yapıldığında, olumlu sonuçlarını alınabileceği bir yöntemdir.
Önceleri çok kullanılan bir yöntem iken günümüz için bu yöntemin pek kullanıldığını söylenemez. Günümüzde bilgileri ele geçirmenin daha profesyonel çalışmaların olduğunu biliyoruz. "Fake Mail" sahte mail anlamına gelir. Sahte mail arayüzü oluşturmak için bilgi sahibi olmasak bile internet ağında yer alan bir çok platformlarda bulabiliriz.
Diyelim ki hedefimizdeki ilgili kişinin bilgisinin orta veya iyi seviyede olduğunu varsayalım. Kendisine verilen fake mail işlemi konusunda başarısız olduğumuzu düşünelim. Bu durumda yapmamız gereken Fake mailimizi biraz daha geliştirerek skriptimizin içine "TROJAN HTML" kodunu gömmektir. Böylece fake maili işleminde başarısız olsak bile hedefimize ulaşabiliriz. Karşı tarafın bilgisayarına trojan ile erişimi yapabiliriz. Yani sosyal mühendislik düşünce gücümüzü kullanarak hedefe doğru ilerlemeyi sağlayabiliriz.
3. Trojan Keylogger
Trojan bilgisayarınıza farkında olmadan yerleştirilen ve içerdiği tehlikeli kodlar sayesinde sisteminizi herhangi bir bilgisayar aracılığı ile (ağ ya da internet) kontrol etmek isteyen kişilere açık hale getiren tehlikeli casus yazılımlardır.
Trojanı Nasıl Kullanırız?
1. Server.exe: Client ile oluşturulan exe formatındaki dosyanın, bilgisayarın açık bırakılması için kodlanılan yazılım türü.
2. Client: Hedefteki bilgisayara erişmeniz veya bilgisayarı yönetmeniz için gerekli olan programı (örneğin server.exe) oluşturur
Trojan/Keylogger çalışabilmesi için Server.exe dosyasının mutlaka hedef bilgisayara yerleştirilmesi gerekir. Trojan veya keylogger dosyamızı hedefimizdeki bilgisayara yerleştirmek için de çeşitli yollar vardır.
Örnek verecek olursak;
Çeşitli sohbet (chat) araçları (Messenger, ICQ)Resim veya fotoğrafWeb siteler üzerinden
Yukarıdaki yöntemlerden birini hedefimiz doğrultusunda kullanarak karşı bilgisayarlara casus yazılımızı yerleştirebiliriz. En popüler olanı online trojan (Trojan Downloader).
4. Mail Bomber.
Mail Bomber programları anonim mail atarak mail kapasitesini doldurmasını sağlar. Böylece kullanıcı maili kullanamaz.
Daha sonra mailin kapasitesi tam olarak dolduktan (zor bir işlem, belirtelim şimdiden) sonra hedefimizde ele geçirmek istediğimiz mail iptal olur. Bu işlemlerden sonra iptal eden mail hesabı tekrardan açarak sizler mailin sahibi olabilirsiniz.
5. Brute Force:
Şifreleri "wordlist" sayesinde kombine edilmiş ve kriptografi bir şekilde deneme yanılma yöntemi ile doğru şifreyi bulmaya çalışma yöntemidir. Pek tercih edilen bir yöntem sayılmaz. Çünkü çok uzun ve uğraş gerektiren bir yöntemdir.
6. XSS Cookies:
Kullanıcının girdiği sağlayacağı sayfalarda, kullanıcı tarafından girdiye skriptler gömülerek yapılan saldırılardır.
En tehlikeli mail ele geçirme yöntemlerindendir. Bunun için çalmak istediğiniz mailin sitesinde bir XSS yani cookieslerii (Çerezleri) çalmak için bir açık bulmak gerekir. Sonrasında bu XSS 'ye uygun sniffers hazırlayarak hedefteki bireye linki (içinde gömülmüş kodları) tıklamasını sağlamalıyız. Böylece hedeften gelen cookies'leri (çerezleri) kullanarak mail hesabına erişim sağlayabiliriz.
XSS Saldırılarından Korunmak İçin Yapılması Gerekenler:
- Mümkün olduğunca internet üzerinden gelen linklere C/P (Copy/Paste) yaparak girmeye özen gösterilmeli.
- Gelen maillerdeki linklerin ana link olup olmadığına bakılmalı. (Gömülü yanıltıcı linklere dikkat)
- Tanımadığınız kişilerden gelen linklere tıklamamaya özen gösterilmeli.
- CW XSS Security programını kullanmanız tavsiye edilir.
---
Akblog.NET
Konuda verilen mail güvenlik (mail-security) bilgileri kötüye kullanmak tamamıyla sorumluluğunuz kapsamındadır.
YanıtlaSilXSS Saldırılarından Korunmak İçin Yapılması Gerekenler:
YanıtlaSilMümkün olduğunca internet üzerinden gelen linklere C/P (Copy/Paste) yaparak girmeye özen gösterilmeli.
Gelen maillerdeki linklerin ana link olup olmadığına bakılmalı. (Gömülü yanıltıcı linklere dikkat)
Tanımadığınız kişilerden gelen linklere tıklamamaya özen gösterilmeli.