Garip Bir Sosyal Mühendislik Yöntemi ile Facebook Hacking

09 August 2015

Facebook hacking, sosyal mühendislerin en temel ve basit hobilerinden biri olarak gösterilebilir. Çünkü Facebook, brute-force gibi saldırılar için fazla güvenli bir sistem. Hedef kişinin Facebook hesabını ele geçirmek için kişiyle iletişime geçerek phishing saldırısı yapmanız ya da bir malware yardımıyla tarayıcısını/bilgisayarını ele geçirmeniz gerekir.

Bu konu üzerine yaptığım çalışmalarda bunlardan daha kolay bir yöntem olduğunu keşfettim. Bir kullanıcının hesabını ele geçirmek için sadece şu üç bilgiye ihtiyacımız var:

1)Kişinin Facebook'ta kayıtlı e-mail adresi

2)Kişinin doğum günü

3)Kişinin fotoğrafı (tercihen selfie)

Nasıl yani? Bu kadar mı? Bunlar çok kolay bulunabilir şeyler???

Evet neredeyse bu kadar. Detaya girmeden önce The Prestige filminden sosyal mühendislerin felsefesi haline gelen şu repliği paylaşmak istiyorum.

B1v1tNPCYAAen51

Fakat bu sefer sırrı paylaşmayı tercih ediyorum (blog çok boş kaldı)

Facebook, şifremizi unuttuğumuzda ya da çaldırdığımızda bize hesabımızı geri almak için güvenlik sorusu, sms onayı, e-mail onayı gibi çeşitli alternatifler sunar. Fakat bunlara artık erişimim yok diyerek başka bir alternatife ulaşma şansımız var. O da; geçerli kimlik belgesi yükleyerek hesabın sana ait olduğunu kanıtlamak.

851591_10202277361267792_1741395434_n

Burada bizden istenen şey; pasaport, nüfus cüzdanı, ehliyet gibi devlet onaylı belgeler. Fakat işin ilginç yanı "I don't have government issued ID (Devlet tarafından onaylı bir belgem yok)" seçeneğine sahibiz. Oldukça anlamsız bir seçenek. Sanırım mültecilerin de hesaplarını kurtarma hakları olduğu düşünülmüş (dişlerini sıkan emoji.jpg)

alternative_facebook_ID

Facebook, hesabımızı kurtarmak için kütüphane ya da spor kartı gibi belgeleri yeterli görmektedir. Fakat istediği şey, bu kartların üzerinde ad, soyad, doğum tarihi ve fotoğrafın açıkca görülmesi (bunu sonraki adımda belirtiyor ekran görüntüsü almayı unuttum)

Şimdi gelelim önemli noktaya: Spor salonu kartının evrensel bir standartı yok. Hatta ülke içinde bile bir standart yok. Her salon kendisine has tasarımda kart çıkartmakta (bazıları hiç çıkartmıyor) O zaman neden kendi kartımızı kendimiz yapmayalım?

Başlayalım. İhtiyaç listemiz: e-mail adresi, doğum günü, fotoğraf, adobe photoshop ya da benzeri bir resim düzenleyici, boş bir kart, makas, yapıştırıcı.

Adım 1 - Kişinin Facebook'a kayıtlı e-mail adresini bulma

İşin belki de en zor kısmı bu. Ama güzel olan şu ki, çoğu insan Facebook hesabını günlük hayatta kullandığı e-mail adresiyle açıyor. Bu e-mail adresine ulaşmak için kişinin sosyal medyadaki bütün hesaplarını, varsa web sitesini kontrol edebilirsiniz. Elbet bir yerlerde paylaşmıştır. Facebook'a bulduğunuz e-mail adresleri ve rastgele bir şifre ile giriş yapmaya çalışarak doğrulama yapabilirsiniz. E-mail adresini hiçbir yerde paylaşmadıysa bile kendisinden isteyebilirsiniz, büyük ihtimalle verecektir.

Adım 2 - Kişinin doğum gününü bulma

Kişinin doğum günü genellikle Facebook hesabında görülebilirdir. Değilse bile kişinin zaman tünelinde yeterince dolaşırsanız elbet insanların kendisini tebriğe boğduğu o büyük günü yakalayabilirsiniz. Doğum yılını bulmak için de okuduğu okullardan mezun olduğu tarihler yeterli olacaktır.

Adım 3 - Kişinin fotoğrafını bulma (tercihen selfie)

Instagram bu konuda bize epey yardımcı oluyor. Elbet çektiği bir selfisi vardır. O selfiden Photoshop ile kişinin kafasını kesip beyaz bir arka plana monte ederek vesikalık fotoğraf görüntüsü verebilirsiniz.

Adım 4 - Photoshop'ta Sahte Kart Tasarımı

Spor salonu kartlarının bir standartı olmadığı için istediğiniz gibi bir tasarım yapabilirsiniz ya da internetten hazır tasarımlar bulabilirsiniz. Dikkat etmeniz gereken nokta; kartın üzerinde kişinin adı soyadı, fotoğrafı ve doğum tarihinin olması. Benim hazırladığım kart şöyle bir şeydi:

kart

Bilgileri gizledim çünkü bu yöntemi bir arkadaşımı gerçekten hacklemek için kullandım (son adımda kendisine haber vererek izin aldım) Vesikalık fotoğrafı instagram hesabından alınmış bir selfiyi düzenleyerek oluşturdum. Geri kalan bilgilere zaten sahiptim.

Kartın boyutları standart kredi kartı boyutlarında olmalıdır: 85.60 mm × 53.98 mm (ISO/IEC 7810)

Adım 5 - Kart üretimi

Çok fazla uğraşmaya gerek yok, kartı polise ya da Facebook bodyguard'ına göstermeyeceğiz. Sadece kartın fotoğrafını çekeceğiz. Kart tasarımını printerdan çıkartın, kesin, yapıştırıcıyla boş bir kartın üzerine yapıştırın. (kullanılmayan kredi kartı, akbil, gereksiz üyelik kartları vs.)

Screenshot_6

Dikkat ederseniz printer kartuşunun kalitesizliğinden dolayı tasarım biraz bozuk çıktı. Daha kaliteli olması yararınıza olacaktır. Kartın daha inandırıcı gözükmesi için kartı pvc kaplatacaktım fakat kırtasiye kapalıydı. Pvc kaplama daha güzel bir görünüm verecektir.

Adım 6 - Fotoğrafı Facebook'a yükleme

Başlık yeterince açık. Çektiğiniz bu fotoğrafı Facebook'a yükleyip beklemeye geçin.

Adım 7 - Profit?

Ertesi gün kendi girdiğim e-mail adresine Facebook'tan hesabı geri almayla ilgili bir e-mail aldım. Evet hacking işlemi başarıyla sonuçlandı.

Screenshot_5