Merhaba.
Bu videoyu seminerlerimde ve eğitimlerimde kullanmak için hazırladım ve sizlerle paylaşmak istiyorum. Video DEMO olarak hazırlandığı için kullanılan MSFCONSOLE komutları, gerçek hayatta eski sistemler haricinde işe yaramamaktadır!
Saldırı senaryosu gereği sahte bir AVM, sahte bir çalışan ve mail adresleri yarattım.
Videoda kullanılan şifreler, sosyal medya ve mail hesapları tamamen videoya özel olarak tarafımca yaratılmış olup, gerçek kişi/kurumlar ile ilgili değildir ve video paylaşıldıktan sonra yine tarafımda "SİLİNMİŞTİR."
"BURASI BİR MARKET" adında bir AVM'nin IT/Bilgi İşlem Departmanı bize gelerek "Sızma Testi" talebinde bulunur, sözleşmeler hazırlandıktan sonra sızma testimizin ilk aşaması olarak internette, sosyal medya platformlarında AVM'yi aratmaya başlarız. Bu AVM'nin bir çalışanını Twitter üzerinde bulduk, yaptığı bir paylaşım neticesinde ona uygun bir saldırı senaryosu hazırladıktan sonra oluşturduğumuz saldırı senaryosu işlemeye başlayacaktır. Elbette gerçek hayatta işler videoda gördüğünüz kadar hızlı ilerlemiyor, bazen günlerce, hatta 1 ay boyunca bize talepte bulunan şirket/kurum hakkında, çalışanları hakkında OSINT adını verdiğimiz açık kaynak istihbaratını yapıyor ve çalışanlar hakkında bir profil çıkartıp, o şekilde saldırı senaryosu hazırlıyoruz. Video içerisinde çalışanların mail adreslerinin nasıl bulunacağına dair ufak bir trick paylaştım, buna ek olarak ise videoya bahsettiğim python kodunun GitHub sayfasını aşağıya bırakıyorum.
Video bir eğitim videosu değildir, yukarıda bahsettiğim üzere "seminerlerimde ve eğitimlerimde" kullanmak üzere hazırladığım bir videodur.
Bu videoyu izlemenin size "Sosyal Medya'da kişisel bilgilerin, özel bilgilerin vb... paylaşılması" sonucu neler yaşayabileceğinizi anlatacağını ümit ediyorum.
Python kodunun linki;