Siber güvenlik zincirindeki en zayıf halka genellikle teknoloji değil, insandır. Sosyal Mühendislik (Social Engineering), manipülasyon yoluyla insanları güvenlik prosedürlerini ihlal etmeye veya gizli bilgi vermeye ikna etme sanatıdır.

Social-Engineer Toolkit (SET), Kali Linux’un içinde bulunan, etik hacker’ların oltalama (phishing) saldırıları, kimlik avı ve diğer sosyal mühendislik senaryolarını yasal ve kontrollü bir şekilde simüle etmesini sağlayan Python tabanlı bir araçtır.

 

Giriş: Neden SET Kullanmalısınız?

 

Bir şirketin teknik savunmalarının ötesinde, çalışanlarının güvenlik farkındalığını test etmek, gerçek riskleri ortaya çıkarır. SET, bu farkındalığı test etmek için standartlaştırılmış, tekrar edilebilir ve zarar vermeyen yöntemler sunar.

  • Amaç: Çalışanların şifrelerini çalmak değil, eğitim eksikliklerini ve riskli davranışlarını tespit etmektir.
  • Yasal Uyarı: SET ile yapılan tüm testler, mutlaka yazılı izin (yönetim onayı) alınarak ve çalışanlar önceden bilgilendirilerek yapılmalıdır. İzinsiz kimlik avı (phishing) girişimi, bilişim suçu teşkil eder.

 

I. SET’in Çalışma Prensibi: Saldırı Vektörleri

 

SET, tek bir komutla karmaşık saldırı zincirlerini otomatikleştirir. SET başlatıldığında (terminalde setoolkit yazarak), size bir menü sunar ve kullanmak istediğiniz saldırı vektörünü seçmenizi ister:

 

1. 🎣 Spear-Phishing Attack Vector (Hedef Odaklı Oltalama)

 

  • Menü Seçeneği: [1]
  • Ne Yapar? Belirli bir kişiye veya gruba özel e-postalar göndererek, onların zararlı bir bağlantıya tıklamasını veya sahte bir web sitesine şifre girmesini sağlamayı amaçlar.

 

2. 💻 Website Attack Vectors (Web Sitesi Saldırıları)

 

  • Menü Seçeneği: [2]
  • Ne Yapar? En popüler ve en etkili saldırı türüdür. Hedefin güvendiği bir sitenin (Örn: Şirket ağı, Gmail, Facebook) kopyasını oluşturur. Kullanıcı bu sahte siteye şifresini girdiğinde, SET otomatik olarak bu kimlik bilgilerini yakalar.

 

3. 📄 Mass Mailer Attack (Toplu E-posta Saldırısı)

 

  • Menü Seçeneği: [3]
  • Ne Yapar? Büyük bir kullanıcı listesine (genellikle bir sızma testi kapsamında sağlanan şirket e-posta listesi) toplu olarak oltalama e-postaları gönderir.

 

II. En Çok Kullanılan Saldırı: Kimlik Bilgisi Toplama (Credential Harvester)

 

Web Sitesi Saldırı Vektörleri ([2]) içindeki Credential Harvester Attack ([3]), sosyal mühendislik simülasyonlarında en sık kullanılan yöntemdir.

 

📝 Adım Adım Etik Simülasyon Senaryosu

 

  1. SET’i Başlatın: Terminalde setoolkit yazın.
  2. Saldırı Vektörünü Seçin: Ana menüden [1] Social-Engineering Attacks seçeneğini seçin.
  3. Web Saldırısını Seçin: [2] Website Attack Vectors seçeneğini seçin.
  4. Kimlik Toplayıcıyı Seçin: [3] Credential Harvester Attack Method seçeneğini seçin.
  5. Siteyi Klonlamayı Seçin: [2] Site Cloner seçeneğini seçin.
  6. Klonlanacak Siteyi Belirleyin: SET, hangi sitenin klonlanacağını soracaktır (Örn: https://www.google.com).
  7. Saldırgan IP’sini Belirleyin: Kurbanın şifreyi gireceği ve şifrenin geri döneceği IP adresini (sizin Kali IP’niz) girin.
  8. E-posta Gönderme (Opsiyonel): SET’in e-posta atıcısı (Mass Mailer) ile, oluşturduğunuz sahte siteye yönlendiren, ikna edici bir e-posta gönderin.
  9. Bekleme ve Yakalama: SET arka planda sahte siteyi yayına alır. Kurban sahte siteye şifre girdiğinde, SET konsolunda “Credentials Harvested!” mesajı görünür ve şifre terminale yansır.

 

III. Etik Sınırlar ve Raporlama

 

SET, güçlü bir araç olduğu için etik kullanımı kritik öneme sahiptir.

 

1. Etik Sorumluluklar

 

  • Zarar Vermeme: Simülasyon sırasında hedef sistemlere veya ağlara zarar verecek, sistemleri kilitleyecek veya hizmet dışı bırakacak ayarları kullanmayın.
  • Gizliliği Koruma: Testler sırasında ele geçirilen kimlik bilgileri, sadece testin tamamlanması ve kanıtlanması için kullanılmalı, daha sonra derhal silinmeli veya güvenli bir şekilde depolanmalıdır.
  • İzinsiz İletişim Yok: Simülasyon dışındaki çalışanlarla (test kapsamında olmayanlarla) iletişim kurmayın veya onları hedef almayın.

 

2. Raporlama ve Eğitimin Önemi

 

SET’in asıl amacı, bir şirketin savunma mekanizmalarını geliştirmektir.

  • Zayıflık Raporu: Test bittiğinde, hangi e-posta konusunun, hangi sitenin ve hangi çalışanın kimlik bilgilerini teslim ettiğine dair detaylı bir rapor hazırlayın.
  • Eğitim: En önemli çıktı, bu testin sonuçlarına dayanarak çalışanlara yönelik güncel ve etkili güvenlik eğitimleri sağlamaktır.

 

Sonuç

 

Sosyal Mühendislik Araç Seti (SET), Kali Linux’un teknik araçlarının tamamlayıcısıdır. Teknik zafiyetler kapatılsa bile, insan hatası her zaman bir kapı bırakabilir. SET’i etik ve yasal sınırlar içinde kullanarak, kurumların siber güvenlik duruşlarını en zayıf noktasından (insandan) güçlendirmelerine yardımcı olabilirsiniz.

Kategori:

GenelKali LinuxLinux