Bugün sizlere sosyal mühendislik senaryolarında ve hack öncesi hedef kurum, kuruluş, birey hakkında daha fazla bilgi toplamanızı sağlayabilecek yöntemlerden biri olan SMS Spoofing yönteminden ve nasıl yapılabildiğinden bahsedeceğiz. SMS Spoofing tekniğini nasıl kullanacağınız kuracağınız onlarca sosyal mühendislik senaryosu ile sınırlı. Yani ucu bucağı yok desek yeri olur sanırım. Konuya başlamadan önce SMS Spoofing konusundan bahsetmekte fayda var.

SMS Spoofing Nedir?

SMS Spoofing kısaca SMS’i gönderdiğimiz kaynağın yani karşı tarafta gözüken numaranın farklı bir şekilde gözükmesini sağlayarak istenilen numaradan gönderilmiş gibi gözükmesine yarayan bir zafiyettir. Bir örnek verecek olursak; A numarasından gönderdiğimiz mesajın B numarasından gitmiş gibi gözükmesi SMS Spoofing’e bir örnektir. Günümüzde gündeme de sık sık düşen SMS Spoofing vakaları görmekteyiz.

SMS Spoofing’in Sızma Testi’nde Kullanımı

Peki ama biz dolandırıcı mıyız bunun bize sızma testi noktasında ne gibi bir faydası olacak ki diyebilirsiniz. Örnek bir senaryo oluşturacak olursak; bir kurum ile sızma testi için anlaşma sağladığımızı varsayalım. Bu kurumda çalışan yetkili kişiler (Örneğin kurumun ağ yöneticisi) hakkında bilgiler topladığımızı varsayalım. Bir şekilde kurum içerisinde çalışan işimize yarayacak birinin telefon numarasına ulaştığımızı düşünürsek çok çeşitli yöntemler ile SMS Spoofing yöntemi ile birlikte kuruma sızmak mümkün olabilir. Bu noktada yapabilecekleriniz yalnızca hayal gücünüz ve bilgi toplayabilme kabiliyetiniz ile sınırlı olacaktır. Bu işlemi Kali Linux’ta bulunan Social Engineer Toolkit (SET) aracı ile yapacağız.

Social Engineer Toolkit (SET) Nedir?

Tüm bu işlemleri Kali Linux’ta bulunan SET aracı ile yapacağız. SET, Trusted SEC tarafından geliştirilmiş açık kaynak kodlu vazgeçilmezimiz Python dili ile yazılmış bir araçtır. Aracımızın içerisinde pek çok atak vektörü bulunmaktadır. Bunlardan bazıları;

  • Java Applet Attack Vector
  • Metasploit Browser Exploit Vector
  • Web Jacking Attack Vector
  • Multi Attack Web Vector
  • Wireless Attack Vector
  • QR Code Attack Vector
  • Wireless Attack Vector
  • SMS Spoofing Attack Vector
  • Code Signing Certificates
  • Ve nicesi…

Kurulum

Eğer Kali Linux kullanıyorsanız muhtemelen işletim sisteminizin içerisinde zaten kurulu olarak gelecektir. Fakat Kali dışında bir işletim sistemine SET kurulumu yapmak istiyorsanız veya Kali’nizde kurulu değil ise şu şekilde kurulumu gerçekleştirebilirsiniz;

git clone https://github.com/trustedsec/social-engineer-toolkit/ set/
cd set
python setup.py install

Kullanım

Aracımızı başlattığımızda karşımıza aşağıdaki gibi bir ekran karşınıza gelecektir.

Sonrasında Social-Engineering Attacks > SMS Spoofing Attack Vector yolunu takip ediyoruz. Ardından karşımıza aşağıdaki gibi bir ekran gelmektedir.

Zaman zaman kullandıkları Spoofing sisteminden dolayı aşağıdaki gibi bir hata alabilirsiniz.

Bize burada demek istediği kullandıkları hizmetin şu an etkin durumda olmadığından dolayı şu anda SMS Spoofing vektörünü kullanamayacağımız anlamına gelmekte. Biz işlemimize devam edelim.

1 numaralı seçeneği seçiyoruz ve devam ediyoruz. Karşımıza aşağıdaki gibi bir ekran gelmesi gerekmekte.

Hemen ardından tek bir telefon numarasına SMS Spoofing uygulayacağımızı var sayarak 1 diyoruz. Ardından bize kurbanın telefon numarasını sormakta. Hemen telefon numarasını giriyoruz ve devam ediyoruz. Telefon numarasını +905XXXXXXXXX şeklinde girmemiz beklenmekte. Telefon numarasını girdikten sonra karşımıza aşağıdaki gibi bir ekran gelmesi gerekmekte.

 

Bu adımdan sonra önceden hazırlanmış bir tema seçmemiz veya tek kullanımlık bir SMS göndermemizi istemekte. Bu adımı da tamamladıktan sonra işlemimiz tamamlanmakta.

Yazımızın sonuna gelirken tüm bu anlatılanları etik yöntemler dahilinde kullanmanızı temenni etmekteyiz. Öğrendiklerimizi siber güvenlik alanında kariyer yaparken veya kariyer hayatımız süresince kullanabileceğimizi unutmayalım.