“Beyaz Sayfalar”ı Neden Yasaklıyor ve Resmi Siteler’e Yönlendiriyoruz: Gizleme Sorununun Açıklaması
Gizleme, beyaz sayfalar ve TDS yönlendirmeleri, modern kimlik avı altyapısının bel kemiğidir. Bunları kullanan her site engellenir. İşte bunun nedeni — ve perde arkasına baktığımızda neyle karşılaştığımız.

Bize Sürekli Sorulan Soru
Her hafta aynı ricayı alıyoruz: “Alan adımı işaretlemişsiniz, ama kontrol ettiğimde sadece resmi web sitesine yönlendiriliyor. Burada zararlı hiçbir şey yok.”
Ya da bir başka seçenek: “Bu sayfa sadece kripto para birimiyle ilgili bir blog yazısı. Kimlik avı değil.”
Bunun neden kafa karıştırıcı olduğunu anlıyoruz. İşaretlenmiş bir etki alanını ziyaret ettiğinizde tamamen normal bir sayfa görürseniz — ya da meşru bir siteye yapılan sorunsuz bir yönlendirmeyle karşılaşırsanız — işaretlemenin yanlış olduğunu düşünmeniz doğaldır. Ancak bu sorunsuz sayfa, tespit sistemimizdeki bir hata değildir. Saldırı budur.
Bu makale, gizleme tekniğinin ardındaki teknolojiyi, “beyaz sayfaların” neden var olduğunu, Keitaro gibi Trafik Dağıtım Sistemlerinin (TDS) kurbanları nasıl yönlendirdiğini ve PhishDestroy’un bu kalıpların her birini — hiçbir istisna olmaksızın — teyit edilmiş kötü amaçlı altyapı olarak değerlendirmesinin nedenlerini açıklamaktadır.
Eğer bu yazıyı, alan adınız işaretlendiği için okuyorsanız ve bunun bir hata olduğunu düşünüyorsanız, yazıyı sonuna kadar okumanızı tavsiye ederiz. Ayrıca bir temyiz süreci meşru yanlış pozitifler için. Ancak deneyimlerimize göre, gizleme davranışı sergileyen alan adları %100 oranında zararlıdır.
Antivirüs Sistemleri Oyunun Kurallarını Nasıl Değiştirdi?
On yıl önce, kimlik avı oldukça basitti. Bir saldırgan bir alan adı kaydettirir, sahte bir giriş sayfası oluşturur ve bağlantıyı kurbanlara gönderirdi. Güvenlik şirketleri sonunda bu URL’yi tarar, kimlik avı sayfasını tespit eder ve engelleme listelerine eklerdi. Alan adı birkaç saat ya da birkaç gün içinde devre dışı kalırdı.
Ardından sektörde gelişmeler yaşandı. Google Safe Browsing, Microsoft SmartScreen ve VirusTotal gibi platformlardaki 100’den fazla antivirüs motoru, URL’leri neredeyse gerçek zamanlı olarak taramaya başladı. Tarayıcı düzeyindeki uyarılar, tıklama oranlarını önemli ölçüde düşürdü. Barındırma sağlayıcıları, otomatik kaldırma Pipeline’larını devreye soktu. Bir kimlik avı sayfasının yayına girmesinden engellenmesine kadar geçen süre, günlerden dakikalara indi.
Kimlik avı saldırganlarının bir sorunu vardı: sayfaları, yayına alabildiklerinden daha hızlı bir şekilde tespit ediliyordu. Kimlik avı içeriğini gerçek kurbanlara gösterirken, kendilerini tespit etmeye çalışan tüm otomatik sistemlere karşı tamamen zararsız görünmenin bir yolunu bulmaları gerekiyordu.
Cevap şuydu: gizleme.

Günümüzde kimlik avı saldırıları, kimlik avı sayfalarının tespit edilmesi zor olduğu için yakalanmıyor. Bu saldırılar, şu nedenlerle sonuçsuz kalıyor: Tarayıcı, kimlik avı sayfasını hiçbir şekilde görmez. Tarayıcı bir blog yazısı, bir yönlendirme veya boş bir sayfa görür. Kurban — belirli bir ülkeden, mobil cihaz üzerinden, ücretli bir reklam aracılığıyla siteyi ziyaret eden — kimlik bilgisi toplayıcıyı görür.
Gizleme Aslında Nedir?
Gizleme, ziyaretçilerin kimliklerine göre onlara farklı içerik sunma uygulamasıdır. Kimlik hırsızlığı bağlamında bunun tek bir anlamı vardır: Güvenlik tarayıcıları zararsız bir sayfa görürken, gerçek kurbanlar ise kimlik avı sayfasını görür.
Filtreleme işlemi çeşitli düzeylerde gerçekleştirilebilir:
- IP itibarı — Bilinen veri merkezi IP’leri, VPN aralıkları ve güvenlik sağlayıcılarının IP blokları, temiz sürümü alır. Ev kullanıcılarına ait IP’lere ise kimlik avı sayfası yönlendirilir.
- Kullanıcı Aracısı dizeleri — Başsız tarayıcılar, bilinen tarayıcılar (Googlebot, bingbot, Screaming Frog) ve güvenlik tarayıcıları tespit edilip filtrelenir.
- Coğrafi konum — Kimlik avı sayfası yalnızca hedef ülkelerden gelen ziyaretçilere gösterilir. Diğer herkes beyaz sayfayı görür.
- Yönlendiren başlıkları — Yalnızca belirli kaynaklardan (bir Google reklamı, bir kimlik avı e-postasındaki bağlantı, bir sosyal medya paylaşımı) gelen ziyaretçiler gerçek içeriği görebilir.
- Cihaz parmak izi analizi — JavaScript, gerçek cihazları emülatörlerden ayırt etmek için ekran çözünürlüğünü, yüklü yazı tiplerini, WebGL işleyicisini, pil API’sini ve diğer göstergeleri kontrol eder.
- Zamana dayalı kurallar — Kimlik avı sayfası yalnızca belirli saatlerde aktiftir (örneğin, hedef saat dilimindeki çalışma saatleri) ve bu saatler dışında varsayılan olarak boş bir sayfa görüntülenir.
- Çerez/oturum izleme — İlk ziyaret sırasında beyaz bir sayfa görüntülenir. Belirli bir çerezi (reklam tıklamasıyla ayarlanan) taşıyan geri dönen ziyaretçiler ise kimlik avı sayfasını görür.

Gelişmiş bir gizleme sistemi, tüm bunları bir araya getirir. Sonuç olarak, internet üzerindeki tüm tarayıcılara tamamen temiz görünen bir alan adı ortaya çıkar; oysa bu alan adı, hedef alınan kurbanların kimlik bilgilerini aktif olarak çalıyor.
VirusTotal, gizlenmiş bir URL’yi taradığında boş bir sayfa görür. Sonuç: 0/93 tespit. Google Safe Browsing bu sayfayı tarar ve bir blog yazısı tespit eder. Sonuç: uyarı yok. Mağdur, telefonunda bir Google reklamındaki aynı URL’ye tıklar: sahte bir MetaMask giriş sayfası görüyorlar. Bu teorik bir sorun değildir — modern kimlik avı için standart çalışma modelidir.
Aldatmanın Arkasındaki Araçlar
Gizleme işlemi doğaçlama yapılmaz. Bu işlem, şu adla anılan özel bir ticari yazılım üzerinde çalışır: Trafik Dağıtım Sistemleri (TDS). Kimlik avı operasyonlarında en yaygın olarak kullanılan yöntem şudur: Keitaro.
Keitaro, bağlı pazarlamacıların ziyaretçi özelliklerine göre trafiği yönlendirmeleri için tasarlanmış, yasal bir reklam teknolojisi ürünüdür. Yukarıda sıralanan tüm filtreleme kriterlerini — IP aralıkları, coğrafi konum, cihaz, yönlendiren kaynak, kullanıcı ajanı — kullanıma hazır olarak destekler. Kimlik avı operatörleri, tarayıcıları boş bir sayfaya, kurbanları ise kimlik avı sayfasına yönlendirmek üzere bu ürünü kolayca yapılandırabilirler.
“[…]” başlığıyla yayınlanan araştırmamızda Keitaro TDS: 1.500 Panel Açığa Çıktı, tespit edildi 1.565 aktif Keitaro paneli kimlik avı altyapısını barındıran. 1.565 kimlik avı sayfası değil — 1.565 kontrol panelleri, her biri aynı anda onlarca ila yüzlerce kimlik avı kampanyasını yönetiyor.

Karşılaştığımız diğer TDS platformları arasında şunlar yer almaktadır:
- Binom — BDT bölgesindeki operasyonlarda yaygın olarak kullanılan, kendi sunucusunda barındırılan izleme sistemi
- BeMob — IP filtreleme ve bot algılama özelliklerine sahip bulut tabanlı izleme aracı
- Özel PHP yönlendiricileri — MaxMind GeoIP ve IP engelleme listelerini kullanan kendi geliştirdiğimiz komut dosyaları
- Cloudflare Workers — İstek, kaynak sunucuya ulaşmadan önce ziyaretçi özelliklerini değerlendiren uç tabanlı yönlendirme
Ortak nokta: hepsi farklı ziyaretçilere farklı içerikler göstermek amacıyla var. Ortaklık pazarlaması dünyasında buna “trafik optimizasyonu” denir. Kimlik avında ise buna kaçakçılık.
Biz şu şeyi inşa ettik: Keitaro Algılama Aracı herhangi bir etki alanında Keitaro TDS izlerini tespit etmek için. Bu araç, Keitaro kurulumlarıyla ilişkili bilinen panel yolları, yanıt başlığı kalıpları, yönlendirme zincirleri ve JavaScript imzalarını kontrol eder.
“Resmi Web Sitesi Yönlendirmesi” Senaryosu
Karşılaştığımız en yaygın gizleme yöntemlerinden biri, resmi bir web sitesine yönlendirme yapan bir alan adıdır. Bu tür çağrılar her zaman aynı şekilde görünür: “Kendiniz kontrol edin — sadece coinbase.com adresine yönlendiriyor. Kimlik avı falan yok.”
İşte gerçekte olanlar şunlar:
Resmi siteye yönlendirilme, alan adının zararsız olduğunun bir göstergesi değildir. Bu, gizleme mekanizmasının kendisidir. TDS, ziyaretçinin bir tarayıcı olduğunu tespit etti ve en güvenli yanıt — yani temiz bir tarama sonucuyla sonuçlanma olasılığı en yüksek olan yanıt — gerçek web sitesine yönlendirmektir.
İşte sunucu tarafı mantığının basitleştirilmiş bir örneği:
// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];
function routeVisitor(req) {
const ip = req.headers['cf-connecting-ip'];
const ua = req.headers['user-agent'];
const geo = req.headers['cf-ipcountry'];
// If scanner/bot detected: redirect to official site
if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
return Response.redirect('https://www.coinbase.com', 302);
}
// If not in target geography: show white page
if (!TARGET_GEO.includes(geo)) {
return renderWhitePage(); // Innocent blog post
}
// Real victim from target country: show phishing page
return renderPhishingPage(); // Credential harvester
} Hiçbir meşru web sitesi, ziyaretçileri başka bir şirketin alan adına yönlendirmez. Eğer crypto-wallet-app[.]com şuraya yönlendirir coinbase.com, o alan adının var olmasının bir anlamı yoktur. Gerçek bir Coinbase sayfası şu adreste barındırılırdı: coinbase.com. Yönlendirme, bunun en açık göstergesidir.
Beyaz Sayfa Sorunu
“Beyaz sayfa”, gizlenmiş bir kimlik avı etki alanının tarayıcılara ve hedef kitle dışındaki ziyaretçilere gösterdiği aldatıcı içeriktir. Adından farklı olarak, nadiren tamamen boş bir beyaz sayfadır. Günümüzün beyaz sayfaları tamamen işlevsel web siteleri meşru görünmesi için tasarlanmış:
- Kripto para, finans veya teknoloji ile ilgili blog yazıları
- Genel amaçlı SaaS araçları için ürün tanıtım sayfaları
- Güvenilir yayınlardan derlenen haber makaleleri
- Genel “yakında açılacak” mesajı içeren park edilmiş alan adı sayfaları
- Arama sonuçlarında üst sıralarda yer alması için tasarlanmış, SEO açısından optimize edilmiş içerik
Bu son nokta hayati önem taşıyor. Beyaz sayfalar sadece kaçış araçları değildir — onlar SEO araçları. Kimlik avı alan adında yüksek kaliteli içerik barındırarak, operatörler aynı anda iki hedefe ulaşırlar: tespit edilmekten kaçınırlar ve Bu sayede, kimlik avı bağlantılarının arama sonuçlarında daha üst sıralarda yer almasını sağlayan alan otoritesi oluştururlar.
3 Aşamalı SEO Zehirleme Saldırısı
İşte White Page teknolojisiyle yürütülen bir kimlik avı kampanyasının tüm yaşam döngüsü:
Yetki Oluşturma
Sıralama ve Endeks
Kimlik Avını Etkinleştir

İşte bu nedenle alan adlarını 1. Aşamada işaretliyoruz. 3. Aşama devreye girdiğinde ise zarar çoktan verilmiş oluyor. Kimlik avı sayfasının görünmesini beklemek, kurbanların kimlik bilgilerini ve paralarını kaybetmelerini beklemek anlamına gelir.
Etkin Trafik Senaryoları: Reklamlar ve E-posta Kampanyaları
Gizlenmiş tüm kimlik avı saldırıları organik aramaya dayanmaz. En agresif trafik elde etme yöntemlerinden ikisi şunlardır: ücretli reklamcılık ve e-posta kampanyaları, her ikisi de platform incelemesini atlatmak için gizleme yöntemini kullanıyor.
Google Ads Gizleme
Şu konuyla ilgili araştırmamız: BUYTRX drenaj ağı belgelenmiş 55'ten fazla alan adı Google Ads'i kullanarak para tuzaklarına trafik çekmek. İşleyiş şu şekildedir:
- Operatör, alan adını Google Ads incelemesine gönderir. Google’ın tarayıcısı, boş sayfayı (blockchain teknolojisiyle ilgili bir blog) görür. Reklam onaylandı.
- “Connect Wallet” ve “Crypto Airdrop” anahtar kelimelerini hedefleyen reklam yayına giriyor.
- Google kullanıcısı reklama tıklar. TDS, Google Ads kaynaklı bir ev tipi IP adresi algılar. Cüzdan boşaltıcı servis edildi.
- Mağdur, cüzdanını bağlar. Varlıklar, önceden imzalanmış bir işlem yoluyla saniyeler içinde boşaltılır.
Google’ın reklam inceleme sistemi — her otomatik tarayıcı gibi — yalnızca beyaz sayfayı görür. Reklam yayınlanmaya devam eder, operatör ise yönlendirilen her kurban için Google’a ödeme yapmaya devam eder.
E-posta Kampanyasında Gizleme
E-posta ağ geçitleri (Microsoft Defender for Office 365, Proofpoint, Mimecast), e-postalardaki bağlantıları teslim edilmeden önce tarar. Cloaking de bunu aynı şekilde gerçekleştirir:
- Oltalama e-postası, gizlenmiş bir etki alanına yönlendiren bir bağlantı içeriyor.
- E-posta ağ geçidi URL’yi tarar. Sunucu tarafındaki TDS, ağ geçidinin IP aralığını tanır. Beyaz sayfa gösterilir veya resmi siteye yönlendirme yapılır. E-posta gönderildi.
- Alıcı, e-posta istemcisinden bağlantıya tıklar. Ev tipi IP adresi, doğru yönlendiren adres, hedef coğrafi bölge. Oltalama sayfası görüntülendi.
Sadece BUYTRX soruşturmasında bile, Google Ads 55’ten fazla alan adında cüzdan boşaltıcıların dağıtımını aktif olarak finanse ediyordu. Her bir alan adı, Google’ın tarayıcısına boş bir sayfa gösterildiği için Google’ın otomatik incelemesinden geçmişti. Bu bir sistem açığı değil; gizleme uygulandığında reklam platformlarının açılış sayfalarını doğrulama yöntemindeki yapısal bir kusurdur.
Neden “Suçlu Olduğu Kanıtlanana Kadar Masumdur” İlkesi Burada Geçerli Değil?
Bazen, gizleme altyapısına dayalı olarak bir alan adını işaretlemenin vaktinden önce olduğu, yani harekete geçmeden önce gerçek kimlik avı içeriğinin ortaya çıkmasını beklememiz gerektiği yönünde bir argüman duyarız. Bu argüman, gizlemenin ne olduğunu yanlış anlamaktadır.
Gizleme, tarafsız bir teknoloji değildir. Bu, karşıtlık temelli altyapı tespit edilmeyi engellemek için özel olarak tasarlanmıştır. Gizleme tekniğini kullanan bir alan adı, amacını zaten açıkça ortaya koymuştur: güvenlik sistemlerine bir şey, kurbanlara ise başka bir şey göstermek. Bu, hiçbir meşru amaca hizmet eden bir yapılandırma değildir.
Aşağıdaki özellikleri gösteren herhangi bir alan adı herhangi bir kombinasyon Bu sinyallerden şunlar zararlı olarak işaretlenmiştir:
- Koşullu içerik sunumu — IP, kullanıcı ajanı, coğrafi konum, yönlendiren site veya cihaz parmak izine göre farklı içerik
- TDS parmak izleri — Keitaro, Binom, BeMob veya yanıt başlıklarında, yönlendirme zincirlerinde ya da JavaScript’te bulunan özel yönlendirici imzaları
- Resmi sitelere yönlendirme — Üçüncü tarafların meşru alan adlarına (özellikle bankacılık, kripto para veya e-posta sağlayıcıları) yapılan herhangi bir yönlendirme
- İlgisiz içerik barındıran beyaz sayfa — Yakın zamanda tescil edilmiş ve yerleşik bir ticari varlığı bulunmayan bir alan adındaki blog yazıları, haber makaleleri veya genel içerikler
- Bot önleyici JavaScript — Ne gösterileceğine karar vermeden önce başsız tarayıcıları, WebDriver’ı, ekran boyutlarını veya canvas görüntülemeyi kontrol eden komut dosyalarını belirleme
50.000'den fazla taranmış siteden oluşan veri setimizde, bu işaretleri gösteren ancak meşru olduğu ortaya çıkan alan adlarının sayısı sıfır. “Nadir” değil — sıfır. Hedef kitlesi dışındaki ziyaretçileri başka bir şirketin etki alanına yönlendirmek zorunda kalan ya da belirli IP aralıklarından gelen ziyaretçilere oturum açma formu sunarken tarayıcılara kripto para birimi ile ilgili bir blog sayfası gösteren tek bir meşru web sitesiyle bile hiç karşılaşmadık.
Gizleme, ikili bir sinyaldir. Bir alan adı, yukarıda açıklanan mekanizmaları kullanarak farklı ziyaretçilere farklı içerik gösteriyorsa, bu durum işaretlenir. Bir operatör bunun yanlış bir pozitif sonuç olduğuna inanıyorsa, bizim temyiz süreci tam da bu amaçla mevcuttur. Bugüne kadar, gizlemeyle ilgili hiçbir uyarıya karşı yapılan itiraz başarılı olmamıştır.
Kayıt Memuru Sorunu
Gizleme, kötüye kullanım bildirimleri açısından bir sorun yaratır. Gizlenmiş bir etki alanını bir kayıt kuruluşuna bildirdiğimizde, kayıt kuruluşunun kötüye kullanım ekibi URL’yi ziyaret eder ve karşısına… temiz bir sayfa çıkar. Bir blog yazısı. Coinbase.com’a yönlendirme. Onların bakış açısına göre, müdahale edilecek bir durum yoktur.
İşte tam da bu senaryo bizim...’de yaşandı NiceNIC soruşturması ve bizim NameSilo soruşturması. Her iki durumda da, kayıt kuruluşları bildirilen alan adlarını inceledi, içeriklerin uygun olduğunu gördü ve ya davayı kapattı ya da alan adı işletmecisini aktif olarak savundu.
Sorun sistemik niteliktedir:
- Kötüye kullanımla mücadele ekipleri, antivirüs yazılımı üreticileriyle aynı tarama yöntemlerini kullanır — Veri merkezi IP adreslerinden standart tarayıcılar kullanarak bu URL’ye erişiyorlar. Gizleme yöntemi her seferinde bunu engelliyor.
- Hiçbir kayıt kuruluşu gizleme tespitine yatırım yapmamıştır — Koşullu içerik sunumunu tespit etmeye yarayan bir teknoloji mevcut (bunu biz geliştirdik), ancak hiçbir kayıt kuruluşu bunu uygulamaya koymadı.
- ICANN’ın kötüye kullanımla mücadele çerçevesi, gizleme yöntemlerini dikkate almamaktadır — Kötüye kullanım bildirimleri için zararlı içeriğe dair kanıt gereklidir. Zararlı içerik yalnızca mağdurlara gösteriliyorsa, kayıt kuruluşunun kendi doğrulama süreci bunu asla tespit edemez.
Bu eğilimi kapsamlı bir şekilde belgeledik. Raporumuz İstismar Bildirimleri Sonuçsuz Kaldığında Bu makale, kayıt kuruluşlarının gizlenmiş alan adlarına karşı sistematik olarak harekete geçememelerinin nedenini ayrıntılı olarak açıklıyor; zira bu kuruluşların doğrulama yöntemleri, tam da gizleme tekniğinin aşmak üzere tasarlandığı yöntemlerdir.
İşte bu nedenle PhishDestroy bağımsız bir katman olarak varlığını sürdürmektedir. Tek bir IP adresinden URL’ye erişip orada neyin görüntülendiğini kontrol etmeye dayanmıyoruz. Binlerce etki alanı üzerinde yönlendirme zincirlerini, TDS parmak izlerini, JavaScript davranışını, DNS geçmişini, sertifika şeffaflığı günlüklerini ve zamansal kalıpları analiz ediyoruz. Bir etki alanını işaretlediğimizde, o etki alanının bariz yöntemlerle kontrol eden herkese temiz görüneceği gerçeğini zaten hesaba katmış oluyoruz.
Özet: Gizleme Teknikleri ve Tespiti
| Teknik | Tarayıcıların Gördükleri | Mağdurların Gördükleri | Tespit Yöntemi |
|---|---|---|---|
| IP tabanlı filtreleme | Boş sayfa / yönlendirme | Oltalama sayfası | Çoklu IP taraması, ev tipi proxy karşılaştırması |
| UA tabanlı filtreleme | Beyaz sayfa / 403 | Oltalama sayfası | UA rotasyonu, başlıksız tarayıcı ile gerçek tarayıcı karşılaştırması |
| Coğrafi tabanlı filtreleme | Genel içerik | Yerelleştirilmiş kimlik avı | Çok bölgeli proxy taraması |
| Yönlendiren filtreleme | Beyaz sayfa | Kimlik avı (reklam/e-posta yoluyla) | Yönlendiren adresinin sahteciliği, reklam tıklama simülasyonu |
| JS parmak izi analizi | Boş sayfa (bot tespit edildi) | Kimlik avı (gerçek cihaz) | JavaScript statik analizi, kodun anlaşılır hale getirilmesi |
| Zamana dayalı kurallar | Temizlik (mesai dışı saatlerde) | Kimlik avı (çalışma saatleri içinde) | Zamansal tarama, zaman dilimine göre uyumlu kontroller |
| Çerez/oturum kısıtlaması | Temizlik (ilk ziyaret) | Kimlik avı (çerez kullanılarak yapılan tekrar ziyaret) | Çoklu ziyaret oturumu analizi, çerez yeniden oynatma |
| TDS (Keitaro/Binom) | Boş sayfa mı, yoksa yönlendirme mi? | Oltalama sayfasına yönlendirildi | Keitaro Algılama Aracı, başlık/yönlendirme analizi |
| Resmi siteye yönlendirme | 302 → güvenilir site | Oltalama sayfası | Yönlendirme hedefi analizi, alan adının amacının doğrulanması |

Sonuç
Gizleme, gri bir alan değildir. Bu, en etkili kaçma tekniği modern kimlik avında; ve kimlik avı ekosisteminin her bir bileşeni — Google Ads’ten e-posta ağ geçitlerine ve alan adı kayıt kuruluşlarının kötüye kullanımla mücadele ekiplerine kadar — şu anda bu sorunu çözmekte yetersiz kalmaktadır.
PhishDestroy bir alan adını gizleme (cloaking) nedeniyle işaretlediğinde, bu bir tahmin değildir. Tek bir amaç için var olan kötü niyetli altyapının varlığını belgeliyoruz: farklı ziyaretçilere farklı içerik göstermek. 50.000’den fazla taramada, bu sinyal için yanlış pozitif oranı sıfırdır.
Eğer alan adınız işaretlenmişse:
- Eğer yasal bir işletmeciyseniz ve bunun bir yanlış pozitif olduğunu düşünüyorsanız, itirazda bulunmak. Her birini inceliyoruz.
- Eğer bir gizleme altyapısı işletiyorsanız, bunu zaten biliyoruz. Tarayıcımıza gösterdiğiniz beyaz sayfa, kurbanlarınızın gördüğü sayfa değil. Ve bunu kanıtlayacak delillerimiz var.
Boş sayfa bir savunma değildir. Bu bir itiraftır. Eğer web sitenizin farklı ziyaretçilere farklı içerikler göstermesi gerekiyorsa, bunun kötü niyetli olup olmadığı sorusuna zaten cevap vermiş olursunuz.
Gizlenmiş her alan adı yasaklanır. İstisna yoktur. Hiçbir itiraz kabul edilmemiştir. Çünkü 50.000 taramada bu sinyalle ilgili olarak hiç yanılmadık.
İlgili Araştırmalar ve Kaynaklar
Keitaro TDS: 1.500 Panel Açığa Çıktı
Dünya çapında kimlik avı altyapısını destekleyen 1.565 Keitaro panelini nasıl haritalandırdık.
Keitaro Algılama Aracı
Herhangi bir alan adını Keitaro TDS parmak izleri, yönlendirme zincirleri ve gizleme imzaları açısından tarayın.
BUYTRX: 55 alan adı, Google Ads finansmanı
Google Ads incelemesini geçmek için gizlenmiş beyaz sayfalar kullanan, cüzdanları boşaltan bir ağ.
İstismar Bildirimleri Sonuçsuz Kaldığında
Kayıt kuruluşlarının kötüye kullanımla mücadele ekipleri neden gizlenmiş alan adlarına karşı harekete geçemiyor ve nelerin değişmesi gerekiyor?
NiceNIC Değerlendirmesi
ICANN, kötüye kullanım bildirimlerine sistematik olarak müdahale etmemesi nedeniyle NiceNIC aleyhine dava açtı.
NameSilo Soruşturması
NameSilo, 2 milyon dolarlık kripto hırsızını nasıl savundu ve nasıl bir örtbas hikayesi uydurdu?
Bu makale, 50.000’den fazla alan adını tarama, aktif kimlik avı altyapılarını inceleme ve kayıt kuruluşları ile ICANN’a kötüye kullanım raporları sunma konusundaki operasyonel deneyimlerimize dayanmaktadır. Açıklanan tüm teknikler kanıtlarla desteklenmiştir. Araştırmamız süresince hiçbir aşamada yetkisiz erişim gerçekleştirilmemiştir.



