Social-Engineer Toolkit (SET)

Social-Engineer Toolkit (SET) – Sosyal mühendislik saldırıları için araç

Siber güvenlik dünyasında sosyal mühendislik, en az teknolojik açıklar kadar büyük bir tehdit haline gelmiştir. İnsan davranışlarını hedef alarak bilgi sızdırmak isteyen kötü niyetli kişiler, Social-Engineer Toolkit (SET) gibi araçları kullanarak etkili saldırılar gerçekleştirebilir. Bu yazıda, SET’in ne olduğundan nasıl çalıştığına, hangi saldırı tekniklerine sahip olduğundan nasıl kullanılacağına kadar her yönünü detaylıca ele alacağız.

SET Nedir?

SET’in Amacı ve Kullanım Alanları

Social-Engineer Toolkit (SET), sosyal mühendislik tabanlı saldırı senaryolarını test etmek için kullanılan açık kaynaklı bir çerçevedir. Siber güvenlik uzmanları tarafından, özellikle güvenlik açıklarını tespit etmek ve kurumların farkındalık seviyesini artırmak amacıyla geliştirilmiştir.

Kullanım alanları arasında şunlar yer alır:

Phishing saldırı testleri
Sahte web sayfaları ile kimlik bilgisi toplama
Kurum içi eğitimler ve farkındalık çalışmaları
Red Team (kırmızı ekip) saldırı senaryoları

Sosyal Mühendisliğin Tanımı

Sosyal mühendislik, bireyleri manipüle ederek hassas bilgi edinme sürecidir. En zayıf güvenlik halkası olan insan faktörünü hedef alır. SET, bu saldırıların simülasyonlarını yaparak, kurumların savunma mekanizmalarını test etmeye yarar.

SET’in Tarihçesi ve Geliştiricileri

SET’in İlk Versiyonları

SET, ilk kez 2009 yılında geliştirilmiştir. Başlangıçta birkaç temel saldırı modülüne sahipken zamanla oldukça gelişmiş ve modüler bir yapıya bürünmüştür.

Dave Kennedy ve TrustedSec’in Rolü

SET’in yaratıcısı Dave Kennedy, aynı zamanda TrustedSec şirketinin de kurucusudur. Kennedy, FBI eski bir güvenlik danışmanı olup, sosyal mühendislik alanında önde gelen uzmanlardan biridir. SET aracı, bu deneyimin bir ürünüdür.

SET’in Temel Özellikleri

Otomatik Phishing Saldırıları

SET ile kimlik avı saldırılarını kolaylıkla otomatikleştirebilirsiniz. Özellikle sahte giriş sayfalarının oluşturulması ve veri toplama işlemleri oldukça pratik şekilde yapılabilir.

Exploit Integration

SET, Metasploit Framework ile entegre çalışarak sistemlere yönelik exploit’ler de çalıştırabilir. Böylece sosyal mühendislik ile teknik saldırı bir araya getirilebilir.

Post-Exploitation Araçları

Saldırı sonrası, topladığı verilerle ileri düzey analizler yapabilir. Örneğin kullanıcı adı, şifre, IP adresi gibi kritik bilgiler detaylı raporlanır.

SET Nasıl Kurulur?

Kali Linux Üzerinde Kurulum

SET, Kali Linux üzerinde ön yüklü olarak gelir. Ancak aşağıdaki komutlarla da kurulabilir:

git clone https://github.com/trustedsec/social-engineer-toolkit.git
cd social-engineer-toolkit
pip3 install -r requirements.txt
python3 setup.py

Windows ve Diğer Dağıtımlar İçin Adımlar

Windows üzerinde kullanımı önerilmez, ancak sanal makine ya da WSL ile Linux ortamı yaratılarak kullanılabilir. Ubuntu, Parrot OS gibi dağıtımlar da destekler.

SET Arayüzü ve Kullanımı

Ana Menü İncelemesi

SET'i çalıştırdığınızda sizi oldukça kullanıcı dostu bir terminal menüsü karşılar. Menü genellikle şu şekilde bölümlere ayrılmıştır:

Spear-Phishing Attack Vectors
Website Attack Vectors
Infectious Media Generator
Create a Payload and Listener
Mass Mailer Attack
Arduino-Based Attack Vectors
Wireless Access Point Attack Vector
Third Party Modules

Her menü, belirli bir saldırı tipine veya tekniğine özel modüller içerir.

Saldırı Modları Arasındaki Farklar

Website Attack Vectors: Web tabanlı sahte sitelerle bilgi toplamak için kullanılır.
Spear-Phishing Vectors: Kişiselleştirilmiş e-posta saldırıları oluşturur.
Infectious Media: USB gibi cihazlar aracılığıyla zararlı yazılım bulaştırmak için kullanılır.

En Popüler SET Saldırı Teknikleri

Credential Harvester

Bu teknikle hedefin girdiği kullanıcı adı ve şifre gibi bilgileri toplayabilirsiniz. Sahte giriş sayfası ile kurban kandırılır ve bilgileri SET tarafından kaydedilir.

Spear Phishing E-mail

SET, hedefe özel sahte e-postalar hazırlamakta oldukça başarılıdır. Kullanıcıya özel dosya ekleri veya linklerle sosyal mühendislik sağlanır.

Java Applet Attack

Eski ama etkili yöntemlerden biri olan Java Applet ile hedef sistemlerde zararlı kod çalıştırılabilir. Kullanıcı sahte web sayfasındaki Java eklentisini çalıştırırsa sistem ele geçirilebilir.

Phishing Saldırıları SET ile Nasıl Gerçekleştirilir?

Sahte Giriş Sayfaları Oluşturma

SET’in en çok kullanılan özelliklerinden biri de sahte giriş sayfası (login cloner) oluşturmaktır. Örneğin:

Facebook, Gmail, Outlook gibi sitelerin birebir kopyaları oluşturulabilir.
Bu sayfalar yerel sunucu üzerinde barındırılır.

Verilerin Toplanması

Hedef kişi bu sahte sayfaya giriş yaparsa:

Kullanıcı adı ve şifresi harvest edilir.
IP adresi, tarayıcı bilgisi gibi meta veriler de toplanır.
Veriler terminalde ve özel dosyalarda saklanır.

SET Kullanımında Etik ve Yasal Sorumluluklar

Beyaz Şapkalı Hacker’lar İçin SET Kullanımı

SET, etik hacker’lar ve güvenlik uzmanları tarafından kurumsal testlerde kullanıldığında son derece faydalıdır. Ancak:

Yasal izin olmadan kullanımı suç teşkil eder.
Kurumlar için yapılan testlerde mutlaka yazılı onay alınmalıdır.

Türkiye'deki Hukuki Durum

Türk Ceza Kanunu’nun 243. ve 244. maddeleri, bilişim sistemlerine izinsiz erişimi suç sayar. Bu nedenle:

SET yalnızca eğitim, araştırma ve izinli sızma testlerinde kullanılmalıdır.
Aksi takdirde ciddi hukuki sonuçları olabilir.

SET ile Sosyal Mühendislik Testleri

Şirket Güvenlik Açıkları Testi

Kurum içi sosyal mühendislik testlerinde SET şu amaçlarla kullanılır:

Çalışanların farkındalık düzeyini ölçmek
Phishing simülasyonları düzenlemek
Eğitim amaçlı kullanıcı davranışlarını analiz etmek

Red Team Operasyonlarında Kullanımı

Red Team ekipleri, kurum güvenliğini sahte saldırılarla test eder. SET, bu ekiplerin kullandığı başlıca araçlardan biridir:

Gerçekçi senaryolar
Çok aşamalı saldırılar
E-posta + Web + USB birleşik senaryolar

SET Kullanırken Dikkat Edilmesi Gerekenler

Güvenli Ortamda Test Etmek

SET gibi araçlarla yapılan işlemler yalnızca izole sanal makineler üzerinde yapılmalıdır. Çünkü:

Gerçek sistemlere zarar verme riski vardır.
Kendi IP’niz izlenebilir, dikkatli olunmalıdır.

Güncel Sürüm Kullanımı

SET sürekli güncellenen bir araçtır. GitHub reposundan son sürümü indirerek güncel özelliklerden faydalanabilirsiniz. Ayrıca:

Güncellemeler yeni saldırı tekniklerini de içerir.
Eski versiyonlar bazı sistemlerde çalışmayabilir.

SET’in Avantajları ve Sınırlamaları

Kullanım Kolaylığı

SET’in en büyük avantajı terminal tabanlı olmasına rağmen oldukça kullanıcı dostu olmasıdır. Menü sistemi ve otomatik senaryo kurulumları ile zamandan tasarruf sağlar.

Sınırlı Senaryo Seçenekleri

Her ne kadar çok yönlü olsa da:

Bazı saldırılar günümüzde geçerliliğini yitirmiştir.
Yeni güvenlik çözümleri SET’in bazı tekniklerini kolayca engelleyebilir.

SET Alternatifleri

Araç Adı	Kullanım Alanı	Açıklama
Gophish	Phishing simülasyonları	Web arayüzlü, e-posta temelli saldırılar
BeEF	Tarayıcı güvenlik açıkları	Web tarayıcılar üzerinden exploit çalıştırma
Cobalt Strike	Red Team operasyonları	Ticari, çok yönlü sızma test aracı

SET ile İleri Seviye Saldırılar

Multi Vector Saldırı Senaryoları

SET ile e-posta, sahte web sayfası ve USB saldırısını aynı anda planlayabilirsiniz. Bu da saldırının başarı şansını artırır.

Powershell Exploits

Windows sistemlerinde PowerShell üzerinden çalışan scriptlerle hedef sistemde oturum açma, dosya sızdırma gibi işlemler yapılabilir. SET, bu tür payload’ları otomatik oluşturabilir.

SET Topluluğu ve Güncellemeleri

GitHub Reposu

SET’in kaynak kodlarına şu adresten ulaşabilirsiniz:

https://github.com/trustedsec/social-engineer-toolkit

Forumlar ve Destek Kaynakları

SET hakkında destek alabileceğiniz platformlar:

Reddit /r/netsec
Offensive Security topluluğu
Twitter'da Dave Kennedy (@HackingDave)

SET Eğitim Kaynakları ve Öğrenme Yolları

YouTube Eğitim Serileri

Aşağıdaki kanallar SET kullanımını adım adım gösterir:

NetworkChuck
The Cyber Mentor
Null Byte

Resmi Belgeler ve Kılavuzlar

SET’in GitHub sayfasında detaylı dökümantasyon yer alır. Komut açıklamaları, modül örnekleri ve kullanım senaryoları mevcuttur.

Online Eğitimler

Udemy ve Coursera gibi platformlarda hem ücretsiz hem de ücretli sosyal mühendislik kursları bulunmaktadır.

Sıkça Sorulan Sorular (FAQ)

SET kullanmak yasal mı?

Hayır, SET yalnızca izinli ve etik amaçlarla kullanılmalıdır. İzin almadan kullanmak suç teşkil eder.

SET Türkçe dil desteği var mı?

Hayır, SET arayüzü yalnızca İngilizce'dir. Ancak komutlar oldukça sade ve öğrenmesi kolaydır.

Başlangıç seviyesi için uygun mu?

Evet, terminal deneyimi olan kullanıcılar için oldukça uygundur. Basit senaryolarla başlanabilir.

SET ne kadar güvenli?

Kendiniz test ortamında kullanırsanız güvenlidir. Ancak canlı sistemlerde kullanımı tehlikeli olabilir.

Hangi işletim sistemlerinde çalışır?

SET en iyi Linux sistemlerde çalışır (özellikle Kali Linux). Windows’ta çalışması önerilmez.

Hangi saldırı tipi SET için en uygundur?

Phishing (kimlik avı) ve sosyal mühendislik temelli saldırılar SET’in uzmanlık alanıdır.

Sonuç: Sosyal Mühendislik Saldırılarında SET’in Rolü

Social-Engineer Toolkit (SET), siber güvenlik dünyasında sosyal mühendislik saldırılarının nasıl gerçekleştirildiğini öğrenmek, test etmek ve farkındalık yaratmak için en güçlü araçlardan biridir. Etik hacker’lar ve güvenlik uzmanları için SET, gerçek dünya saldırılarını simüle ederek savunma sistemlerini güçlendirme yolunda büyük bir katkı sağlar.

Social-Engineer Toolkit (SET)

Yorum Gönder

Nmap – Ağ keşfi ve port tarama hakkında eksiksiz rehber

Etiketler

Son Gönderiler

Popüler Gönderiler

Nmap – Ağ keşfi ve port tarama hakkında eksiksiz rehber

Metasploit Framework – Exploit geliştirme ve test üzerine Kapsamlı Rehber

Burp Suite – Web Proxy ve Test Aracı: Nihai Rehber (2025)

Nessus – Ticari Zafiyet Tarayıcısı (Ayrı Kurulum): 2025'te Güvenlikte Lider Olmanın 17 Güçlü Yolu

İletişim Formu