Fake Sosyal Medya Login Sayfaları Oluşturmak

PwnLab.Me

Admin
Katılım
21 Ocak 2024
Mesajlar
202
Tepkime puanı
9
Puanları
18

Batuhan Pekdur tarafından yazılmıştır.​

Merhabalar herkese, bu yazımda sizlere Login yani giriş sayfalarının
nasıl kopyalarını üretebileceğinizi göstereceğim. Bu sayfalar gerçekleriyle birebir olup aynı zamanda oltalama saldırısı yapılan şahısın giriş bilgilerini girmesi halinde, size direkt olarak iletmekte.

Öncelikle Github linkini vereceğim aracı sisteminize indirmelisiniz, işlemimiz boyunca ana aracımız bu olacaktır:

https://github.com/htr-tech/zphisher.git

Şimdi terminalimize gelelim ve işimize başlayalım. Not: bu aracı docker üzerinde de çalıştırmanız mümkün.
Aracımızı öncelikle çalıştırılabilir hale getirmek için öncelikle izinlerini chmod ile düzenliyoruz.

chmod

Şimdi aracımızı çalıştırabiliriz. İlk çalıştırmanızda birkaç yardımcı eklenti indirip otomatik olarak kuracak ve konfigüre edecektir.

2.png


Aracımızın ana sayfası aşağıdaki gibidir. Gayet kolay anlaşılır bir ara yüze sahip olduğunu görebilirsiniz.

zphisherzphisher

Bu kısımda hangi sayfanın Login yani giriş sayfasının bir kopyasını üretmek
istiyorsanız, onun yanındaki sayıları yazmanız gerek. Ben bu kısımda Twitter seçmek istiyorum, bu yüzden yanındaki 08'i yazıyorum.

Şimdi sayfanızın dışarıya açılması için bir linke ihtiyacı olacaktır. Bu nedenle bir link sağlayıcısı seçmelisiniz. Ben Cloudflared tercih ettiğim için bir önceki sayfadaki gibi 03 yazıyorum.

Login

Aracımız otomatik olarak bu sağlayıcıya göre 2 tane link (url) oluşturacak ve bunları hazır edecektir. Ardından ise size iki tane url verecek ve herhangi bir giriş olması için beklemeye geçecektir.

url

Gördüğünüz gibi bize 2 tane Url vermekte, bunlardan hangisini kullanmak istediğiniz tamamen size kalmış. Şimdi test etmek için bu sayfalardan herhangi birine kendi bilgisayarımdan giriyorum.
login

Linke girdiğinizde görünüşü bu şekilde, gerçeğinden ayırt edilemez bir login sayfası gelmekte. Şimdi deneme amaçlı kullanıcı adı, şifreye Pwnlab yazıyorum ve Login butonuna basıyorum.

Login

Şimdi site bizi bir hesabını bulman ve sıfırlaman için ikinci bir sayfaya yönlendirdi. Buraya da pwnlab yazıyorum, search butonuna basıyorum.

search

Site bizi Silvia diye biri olarak tanımladığını söylüyor ve e-mail adresimizi istiyor. Bu kısımda sitenin yaptığı gerçek twitter kullanıcı ismini ve profil fotoğrafını Twitter üzerinden çekerek, inandırıcılık düzeyini arttırmak. Bu sayede bizim mail adresimizi de öğrenmiş olacak. Bu kısımda mail kısmına [email protected] yazıp submit ediyorum.

submit

Site mail adresimizin yanlış olduğunu söyledi, kurban bu kısımdan sonra büyük ihtimalle peşini bırakacaktır. Yüksek olasılıkla siteden çıkacaktır. Şimdi terminalimize dönelim ve neler olup bittiğine bakalım.

10.jpg


Ve evet karşımızda kurbanın IP adresi, kullanıcı adı ve şifre bilgisi. Bu bilgilerin hepsi aracımızın bulunduğu klasörde ip.txt ve usernames.dat olarak kayıt edilmiş bir durumda. Sonrasında bu dosyaları inceleyerek tekrardan bilgilere ulaşabilirsiniz.

ip.txt

Şimdi aracımızdan ctrl+c yaparak çıkıyoruz, terminali direkt olarak kapatmamaya özen gösteriniz.

Bonus: Linklerin görünüşünü daha inandırıcı bir hale getirmek.
Bitly
Create

Siz de fark etmişsinizdir, linklerimiz gerçekten garip ve karşımızdakinin bunu fark etmesi, tıklamaması olası. Bu nedenle linkimizi gizlemenin ve gerçekçi kılmanın bir yolunu bulmamız gerek. En basit çözümümüz link kısaltma siteleridir. Bu sitelerden en iyisi bence Bitly. Öncelikle siteye kayıt oluyoruz.
Ana sayfamızın sağ üstten Create diyerek yeni bir link oluşturuyoruz. Bizden uzun yani değiştirilmemiş linkimizi istiyor. Long URL kısmına, aracımızdan elde ettiğimiz linki yazıyoruz, alt kısımdakileri UTM parametrelerine dokunmamıza gerek yok. Create diyerek ilerliyoruz.

Ve işlemimiz bu kadar basit, bize en üstte yeni linkimizi veriyor. Bunu altındaki copy butonu ile kopyalayabiliriz. Yada QR kod haline getirip paylaşabiliriz. Bu şekilde linklerimiz daha gerçekçi ve eskisi kadar phishing linki olduğunu belli etmiyor.

-Yasal uyarı: Bu makale tamamen eğitim ve bilgilendirme amaçlı yazılmış olup
kötüye kullanımından şahsım ve PwnLab.Me ailesi sorumlu değildir. Lütfen
kötü amaçlar için kullanmayınız. -
 
Geri
Üst