---
name: pentest-social
description: Social engineering pentest methodology — phishing strategy, pretexting, vishing senaryosu, awareness training advisory. Live phishing operation YOK. Triggers on social engineering, phishing, vishing, pretext, awareness, OSINT-driven pretext, GoPhish, Evilginx, phishing simulation.
license: MIT
compatibility: Works with Claude Code
allowed-tools: Read Write Edit Grep
metadata:
  author: badi
  badi-version: ">=1.24.0"
  category: pentest
  scope: advisory
  inspired-by: 0xSteph/pentest-ai-agents social-engineer (advisory tarafi)
---

# pentest-social

Social engineering **strategy** ve **awareness training** advisory. Live phishing campaign **operasyonu YOK** — bu skill sadece scenario design, target list scoping, debrief planlama yapar.

## Triggers

- "phishing senaryosu"
- "social engineering plan"
- "pretext fikri"
- "vishing senaryo"
- "awareness training"
- "phish simulation icin gophish setup"

## Engagement Disiplin Sinirlari

1. **Yetki kanit zorunlu** — yazili musteri izni, in-scope kullanici listesi
2. **HR + Legal onayi** — calisan hedeflenmesi HR + Legal ile koordine
3. **Calisan psikolojik etki** — kotu kullanim engagement closure'da
4. **Debrief planlamak** — tum target'a engagement sonrasi egitim materyali
5. **3. tarafi hedef alma** — yasak (musteri saglar)

## Phishing Senaryo Tipleri

| Tip | Ornek | Etki Olcusu |
|-----|-------|-------------|
| Mass phish | "Sifre suresi doluyor" (genel) | Bilinclendirme baseline |
| Spear phish | Personalize (LinkedIn'den rol + isim) | Hedef rol-spesifik test |
| Whaling | C-level hedef | Yuksek-risk hedef savunma |
| Smishing | SMS uzerinden | Mobile vector |
| Vishing | Telefon (IT support taklit) | Insan dogrulama prosedur |
| Watering hole | Kullanici sik girdigi site klonu | Tedarik zinciri |
| QR phish | Fiziksel QR sticker | Hybrid attack |

## Pretext Design (Yetkili Engagement)

```
Iyi pretext = inanilir + aciliyet + dogrulanmasi zor + tipik aksiyon
```

Ornekler:

```
1. IT Support Pretext
   - "Office365 hesap kilitlendi, lutfen su linkten dogrulayin"
   - Inanilir: gunluk yaygin email
   - Aciliyet: hesap erisimi yok
   - Aksiyon: link click + cred input

2. Vendor Invoice Pretext
   - "Fatura X numarali odeme bekleniyor"
   - Inanilir: finans/satinalma ilgili
   - Aciliyet: vade dolmus
   - Aksiyon: ek dosya ac (XLSX macro)

3. Internal HR Pretext
   - "Yeni performans degerlendirme sistemi - lutfen giris yapin"
   - Inanilir: ic surec
   - Dogrulanma zor: HR sistemi degisikligi
   - Aksiyon: cred input
```

## GoPhish Campaign Setup (Setup-Only, Run YOK)

```yaml
# config.yml ornek
admin_server:
  listen_url: 127.0.0.1:3333
  use_tls: true
phish_server:
  listen_url: 0.0.0.0:80
  use_tls: false
```

Setup adimlari (kullanici manuel calistirir):
1. GoPhish + landing page hazirla
2. Sending profile (engagement domain, SPF/DKIM/DMARC test)
3. Target list (musterinin verdigi liste)
4. Template + landing page (musteri brand klonu)
5. Campaign zamanlama (calisma saatleri)

**Bu skill GoPhish komutu calistirmaz.** Sadece setup checklist + senaryo yazimi.

## Evilginx (Setup-Only)

- MFA bypass icin reverse proxy (yetkili pentest icinde)
- Setup: phishlet konfigurasyon, custom landing page
- **Kullanim onceki**: musteri MFA-bypass simulasyon onayi YAZILI

## Vishing (Phone) Senaryo

```markdown
## Vishing Senaryo — "IT Helpdesk MFA Reset"

### Hazirlik
- OSINT: LinkedIn'den IT team isimleri
- Sosyal medya: organizasyon yapisi
- Burner phone numara + spoofing yasal cerceve (yetkili pentest icinde)

### Senaryo
- "Merhaba [hedef adi], ben [IT team uyesi adi]. MFA sistemimizde sorun var,
  hesabinizi resetlemek icin onay kodunuzu okuyabilir misiniz?"
- Karsi sorulara hazirlik:
  - "Numaranizi nereden aldim" -> "Helpdesk envanteri"
  - "Direktor onaylayacak mi" -> "Aciliyet acil, dolayisiyla atladim"

### Hat
- Konusma 90 sn'den uzun gitmesin
- Aksak ifade ile aciliyet
- Cred isteme degil, MFA kod isteme (push approval bypass)
```

## Debrief / Egitim Plani

Engagement bittikten sonra:

1. **Aggregate stats**: kac kisi click, kac kisi cred verdi, kac kisi report etti
2. **Geri bildirim** — bireysel rapor YOK (utanc + baci/karsilik); rol-bazli toplu
3. **Egitim**: phishing isaretleri, dogrulama prosedurleri, raporlama yolu
4. **Test rutini**: 3 ayda bir baseline, yillik mass campaign

## Out-of-Scope

- Live campaign operasyonu (musteri kendi yapar veya yetkili pentest firmasi)
- 3. tarafi hedef alma
- Calisan kovulmasi sebebi olabilecek bireysel raporlama
- HR/Legal onayi olmadan herhangi bir hedeflenme