Haberlere Geri Dön
Soruşturma Raporu

“Beyaz Sayfalar”ı Neden Yasaklıyor ve Resmi Siteler’e Yönlendiriyoruz: Gizleme Sorununun Açıklaması

Gizleme, beyaz sayfalar ve TDS yönlendirmeleri, modern kimlik avı altyapısının bel kemiğidir. Bunları kullanan her site engellenir. İşte bunun nedeni — ve perde arkasına baktığımızda neyle karşılaştığımız.

29 Mart 2026 PhishDestroy Araştırması ~12 dakikalık okuma süresi
Kimlik Avı Altyapısında Gizleme ve Beyaz Sayfalar — Teknik Genel Bakış
Modern kimlik avı altyapısı, otomatik algılama sistemlerinin her katmanından kaçmak için gizleme yöntemini nasıl kullanıyor?
50,000+
Taranan Siteler
1,565
Keitaro Panelleri
0
Meşru Kullanımlar
55+
BUYTRX Alan Adları
100+
AV Motorları

Bize Sürekli Sorulan Soru

Her hafta aynı ricayı alıyoruz: “Alan adımı işaretlemişsiniz, ama kontrol ettiğimde sadece resmi web sitesine yönlendiriliyor. Burada zararlı hiçbir şey yok.”

Ya da bir başka seçenek: “Bu sayfa sadece kripto para birimiyle ilgili bir blog yazısı. Kimlik avı değil.”

Bunun neden kafa karıştırıcı olduğunu anlıyoruz. İşaretlenmiş bir etki alanını ziyaret ettiğinizde tamamen normal bir sayfa görürseniz — ya da meşru bir siteye yapılan sorunsuz bir yönlendirmeyle karşılaşırsanız — işaretlemenin yanlış olduğunu düşünmeniz doğaldır. Ancak bu sorunsuz sayfa, tespit sistemimizdeki bir hata değildir. Saldırı budur.

Bu makale, gizleme tekniğinin ardındaki teknolojiyi, “beyaz sayfaların” neden var olduğunu, Keitaro gibi Trafik Dağıtım Sistemlerinin (TDS) kurbanları nasıl yönlendirdiğini ve PhishDestroy’un bu kalıpların her birini — hiçbir istisna olmaksızın — teyit edilmiş kötü amaçlı altyapı olarak değerlendirmesinin nedenlerini açıklamaktadır.

Bunun Önemi Nedir?

Eğer bu yazıyı, alan adınız işaretlendiği için okuyorsanız ve bunun bir hata olduğunu düşünüyorsanız, yazıyı sonuna kadar okumanızı tavsiye ederiz. Ayrıca bir temyiz süreci meşru yanlış pozitifler için. Ancak deneyimlerimize göre, gizleme davranışı sergileyen alan adları %100 oranında zararlıdır.

Antivirüs Sistemleri Oyunun Kurallarını Nasıl Değiştirdi?

On yıl önce, kimlik avı oldukça basitti. Bir saldırgan bir alan adı kaydettirir, sahte bir giriş sayfası oluşturur ve bağlantıyı kurbanlara gönderirdi. Güvenlik şirketleri sonunda bu URL’yi tarar, kimlik avı sayfasını tespit eder ve engelleme listelerine eklerdi. Alan adı birkaç saat ya da birkaç gün içinde devre dışı kalırdı.

Ardından sektörde gelişmeler yaşandı. Google Safe Browsing, Microsoft SmartScreen ve VirusTotal gibi platformlardaki 100’den fazla antivirüs motoru, URL’leri neredeyse gerçek zamanlı olarak taramaya başladı. Tarayıcı düzeyindeki uyarılar, tıklama oranlarını önemli ölçüde düşürdü. Barındırma sağlayıcıları, otomatik kaldırma Pipeline’larını devreye soktu. Bir kimlik avı sayfasının yayına girmesinden engellenmesine kadar geçen süre, günlerden dakikalara indi.

Kimlik avı saldırganlarının bir sorunu vardı: sayfaları, yayına alabildiklerinden daha hızlı bir şekilde tespit ediliyordu. Kimlik avı içeriğini gerçek kurbanlara gösterirken, kendilerini tespit etmeye çalışan tüm otomatik sistemlere karşı tamamen zararsız görünmenin bir yolunu bulmaları gerekiyordu.

Cevap şuydu: gizleme.

Antivirüs algılama ve kimlik avı kaçırma yöntemlerinin gelişimi — teknik infografik
Silahlanma yarışı: Kötü amaçlı yazılım algılama süresi günlerden dakikalara inince, kimlik avı saldırganları, tarayıcılara ve gerçek kurbanlara farklı içerikler gösteren gizleme altyapıları geliştirerek buna karşılık verdiler.
Temel Sorun

Günümüzde kimlik avı saldırıları, kimlik avı sayfalarının tespit edilmesi zor olduğu için yakalanmıyor. Bu saldırılar, şu nedenlerle sonuçsuz kalıyor: Tarayıcı, kimlik avı sayfasını hiçbir şekilde görmez. Tarayıcı bir blog yazısı, bir yönlendirme veya boş bir sayfa görür. Kurban — belirli bir ülkeden, mobil cihaz üzerinden, ücretli bir reklam aracılığıyla siteyi ziyaret eden — kimlik bilgisi toplayıcıyı görür.

Gizleme Aslında Nedir?

Gizleme, ziyaretçilerin kimliklerine göre onlara farklı içerik sunma uygulamasıdır. Kimlik hırsızlığı bağlamında bunun tek bir anlamı vardır: Güvenlik tarayıcıları zararsız bir sayfa görürken, gerçek kurbanlar ise kimlik avı sayfasını görür.

Filtreleme işlemi çeşitli düzeylerde gerçekleştirilebilir:

  • IP itibarı — Bilinen veri merkezi IP’leri, VPN aralıkları ve güvenlik sağlayıcılarının IP blokları, temiz sürümü alır. Ev kullanıcılarına ait IP’lere ise kimlik avı sayfası yönlendirilir.
  • Kullanıcı Aracısı dizeleri — Başsız tarayıcılar, bilinen tarayıcılar (Googlebot, bingbot, Screaming Frog) ve güvenlik tarayıcıları tespit edilip filtrelenir.
  • Coğrafi konum — Kimlik avı sayfası yalnızca hedef ülkelerden gelen ziyaretçilere gösterilir. Diğer herkes beyaz sayfayı görür.
  • Yönlendiren başlıkları — Yalnızca belirli kaynaklardan (bir Google reklamı, bir kimlik avı e-postasındaki bağlantı, bir sosyal medya paylaşımı) gelen ziyaretçiler gerçek içeriği görebilir.
  • Cihaz parmak izi analizi — JavaScript, gerçek cihazları emülatörlerden ayırt etmek için ekran çözünürlüğünü, yüklü yazı tiplerini, WebGL işleyicisini, pil API’sini ve diğer göstergeleri kontrol eder.
  • Zamana dayalı kurallar — Kimlik avı sayfası yalnızca belirli saatlerde aktiftir (örneğin, hedef saat dilimindeki çalışma saatleri) ve bu saatler dışında varsayılan olarak boş bir sayfa görüntülenir.
  • Çerez/oturum izleme — İlk ziyaret sırasında beyaz bir sayfa görüntülenir. Belirli bir çerezi (reklam tıklamasıyla ayarlanan) taşıyan geri dönen ziyaretçiler ise kimlik avı sayfasını görür.
Gizleme altyapısı işleten üç siber tehdit aktörü — kavramsal gösterim
Gizleme altyapısı, ziyaretçileri birçok katmanda filtreler. Gerçek bir kurban kimlik avı sayfasına ulaştığında, tüm otomatik savunma sistemleri çoktan masum görünen bir tuzağa yönlendirilmiş olur.

Gelişmiş bir gizleme sistemi, tüm bunları bir araya getirir. Sonuç olarak, internet üzerindeki tüm tarayıcılara tamamen temiz görünen bir alan adı ortaya çıkar; oysa bu alan adı, hedef alınan kurbanların kimlik bilgilerini aktif olarak çalıyor.

Tespit Açığı

VirusTotal, gizlenmiş bir URL’yi taradığında boş bir sayfa görür. Sonuç: 0/93 tespit. Google Safe Browsing bu sayfayı tarar ve bir blog yazısı tespit eder. Sonuç: uyarı yok. Mağdur, telefonunda bir Google reklamındaki aynı URL’ye tıklar: sahte bir MetaMask giriş sayfası görüyorlar. Bu teorik bir sorun değildir — modern kimlik avı için standart çalışma modelidir.

Aldatmanın Arkasındaki Araçlar

Gizleme işlemi doğaçlama yapılmaz. Bu işlem, şu adla anılan özel bir ticari yazılım üzerinde çalışır: Trafik Dağıtım Sistemleri (TDS). Kimlik avı operasyonlarında en yaygın olarak kullanılan yöntem şudur: Keitaro.

Keitaro, bağlı pazarlamacıların ziyaretçi özelliklerine göre trafiği yönlendirmeleri için tasarlanmış, yasal bir reklam teknolojisi ürünüdür. Yukarıda sıralanan tüm filtreleme kriterlerini — IP aralıkları, coğrafi konum, cihaz, yönlendiren kaynak, kullanıcı ajanı — kullanıma hazır olarak destekler. Kimlik avı operatörleri, tarayıcıları boş bir sayfaya, kurbanları ise kimlik avı sayfasına yönlendirmek üzere bu ürünü kolayca yapılandırabilirler.

“[…]” başlığıyla yayınlanan araştırmamızda Keitaro TDS: 1.500 Panel Açığa Çıktı, tespit edildi 1.565 aktif Keitaro paneli kimlik avı altyapısını barındıran. 1.565 kimlik avı sayfası değil — 1.565 kontrol panelleri, her biri aynı anda onlarca ila yüzlerce kimlik avı kampanyasını yönetiyor.

Oltalama trafiğinin dağıtımında kullanılan Keitaro TDS panel altyapısı
Keitaro TDS: Ticari bir trafik dağıtım sistemi, kimlik avı gizleme faaliyetlerinin omurgası olarak yeniden işlevlendirilmiştir. 1.565’ten fazla panel tespit edilmiş ve belgelenmiştir.

Karşılaştığımız diğer TDS platformları arasında şunlar yer almaktadır:

  • Binom — BDT bölgesindeki operasyonlarda yaygın olarak kullanılan, kendi sunucusunda barındırılan izleme sistemi
  • BeMob — IP filtreleme ve bot algılama özelliklerine sahip bulut tabanlı izleme aracı
  • Özel PHP yönlendiricileri — MaxMind GeoIP ve IP engelleme listelerini kullanan kendi geliştirdiğimiz komut dosyaları
  • Cloudflare Workers — İstek, kaynak sunucuya ulaşmadan önce ziyaretçi özelliklerini değerlendiren uç tabanlı yönlendirme

Ortak nokta: hepsi farklı ziyaretçilere farklı içerikler göstermek amacıyla var. Ortaklık pazarlaması dünyasında buna “trafik optimizasyonu” denir. Kimlik avında ise buna kaçakçılık.

Tespit Aracı Mevcut

Biz şu şeyi inşa ettik: Keitaro Algılama Aracı herhangi bir etki alanında Keitaro TDS izlerini tespit etmek için. Bu araç, Keitaro kurulumlarıyla ilişkili bilinen panel yolları, yanıt başlığı kalıpları, yönlendirme zincirleri ve JavaScript imzalarını kontrol eder.

“Resmi Web Sitesi Yönlendirmesi” Senaryosu

Karşılaştığımız en yaygın gizleme yöntemlerinden biri, resmi bir web sitesine yönlendirme yapan bir alan adıdır. Bu tür çağrılar her zaman aynı şekilde görünür: “Kendiniz kontrol edin — sadece coinbase.com adresine yönlendiriyor. Kimlik avı falan yok.”

İşte gerçekte olanlar şunlar:

Tarayıcı URL’yi ziyaret eder
TDS, IP/UA/Coğrafi Konum bilgilerini kontrol eder
302 → coinbase.com
Tarayıcı: “Temiz”
Mağdur reklama tıklar
TDS, IP/UA/Coğrafi Konum bilgilerini kontrol eder
Sahte Coinbase giriş sayfası
Kimlik bilgileri çalındı

Resmi siteye yönlendirilme, alan adının zararsız olduğunun bir göstergesi değildir. Bu, gizleme mekanizmasının kendisidir. TDS, ziyaretçinin bir tarayıcı olduğunu tespit etti ve en güvenli yanıt — yani temiz bir tarama sonucuyla sonuçlanma olasılığı en yüksek olan yanıt — gerçek web sitesine yönlendirmektir.

İşte sunucu tarafı mantığının basitleştirilmiş bir örneği:

// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];

function routeVisitor(req) {
  const ip = req.headers['cf-connecting-ip'];
  const ua = req.headers['user-agent'];
  const geo = req.headers['cf-ipcountry'];

  // If scanner/bot detected: redirect to official site
  if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
    return Response.redirect('https://www.coinbase.com', 302);
  }

  // If not in target geography: show white page
  if (!TARGET_GEO.includes(geo)) {
    return renderWhitePage(); // Innocent blog post
  }

  // Real victim from target country: show phishing page
  return renderPhishingPage(); // Credential harvester
}
Önemli Bulgular

Hiçbir meşru web sitesi, ziyaretçileri başka bir şirketin alan adına yönlendirmez. Eğer crypto-wallet-app[.]com şuraya yönlendirir coinbase.com, o alan adının var olmasının bir anlamı yoktur. Gerçek bir Coinbase sayfası şu adreste barındırılırdı: coinbase.com. Yönlendirme, bunun en açık göstergesidir.

Beyaz Sayfa Sorunu

“Beyaz sayfa”, gizlenmiş bir kimlik avı etki alanının tarayıcılara ve hedef kitle dışındaki ziyaretçilere gösterdiği aldatıcı içeriktir. Adından farklı olarak, nadiren tamamen boş bir beyaz sayfadır. Günümüzün beyaz sayfaları tamamen işlevsel web siteleri meşru görünmesi için tasarlanmış:

  • Kripto para, finans veya teknoloji ile ilgili blog yazıları
  • Genel amaçlı SaaS araçları için ürün tanıtım sayfaları
  • Güvenilir yayınlardan derlenen haber makaleleri
  • Genel “yakında açılacak” mesajı içeren park edilmiş alan adı sayfaları
  • Arama sonuçlarında üst sıralarda yer alması için tasarlanmış, SEO açısından optimize edilmiş içerik

Bu son nokta hayati önem taşıyor. Beyaz sayfalar sadece kaçış araçları değildir — onlar SEO araçları. Kimlik avı alan adında yüksek kaliteli içerik barındırarak, operatörler aynı anda iki hedefe ulaşırlar: tespit edilmekten kaçınırlar ve Bu sayede, kimlik avı bağlantılarının arama sonuçlarında daha üst sıralarda yer almasını sağlayan alan otoritesi oluştururlar.

3 Aşamalı SEO Zehirleme Saldırısı

İşte White Page teknolojisiyle yürütülen bir kimlik avı kampanyasının tüm yaşam döngüsü:

1. Aşama
Yetki Oluşturma
2. Aşama
Sıralama ve Endeks
3. Aşama
Kimlik Avını Etkinleştir
1. Aşama: Otorite Oluşturma (1.–4. haftalar)
Alan adını kaydedin. SEO açısından optimize edilmiş içerik (blog yazıları, makaleler) içeren bir “beyaz sayfa” yayınlayın. Geri bağlantılar oluşturun. Alan adı zamanla olgunlaşır ve otorite kazanır. Tüm tarayıcılar, temiz içerikli bir site görür. Google, uyarı vermeden siteyi indeksler.
2. Aşama: Sıralama ve Endeksleme (4.–8. haftalar)
Alan adı, hedef anahtar kelimeler (“MetaMask cüzdanını bağla”, “Coinbase’e giriş yap”, “kripto airdrop”) için sıralamaya girmeye başlar. Beyaz sayfa içeriği yayınlanmaya devam eder. Organik trafik başlar. Alan adının itibarı, tüm puanlama sistemlerinde yerleşir.
3. Aşama: Kimlik Avı Harekâtını Başlatma (8. Hafta ve Sonrası)
TDS kuralları tersine çevrildi. Mağdur profillerine uyan ziyaretçiler (ev IP adresi, hedef ülke, mobil cihaz) artık beyaz sayfa yerine kimlik avı sayfasını görüyor. Tarayıcılar ise hâlâ beyaz sayfayı görüyor. Etki alanının zamanla oluşan itibarı nedeniyle tarayıcı uyarılarının devreye girmesi zaman alıyor. Arama sonuçlarına veya reklamlara tıklayan mağdurlar, yüksek otorite puanına sahip, güvenilir görünümlü bir etki alanına yönlendiriliyor.
Beyaz sayfa SEO zehirleme Pipeline — kimlik avı alan adı, etkinleştirilmeden önce otorite kazanıyor
Beyaz sayfalar pasif bir kaçış yolu değildir. Bunlar, alan adı otoritesini güçlendiren, arama sıralamalarında üst sıralara çıkan ve ardından bu itibarı bir silah olarak kullanarak organik arama sonuçları yoluyla kurbanlara kimlik avı saldırıları düzenleyen aktif SEO araçlarıdır.

İşte bu nedenle alan adlarını 1. Aşamada işaretliyoruz. 3. Aşama devreye girdiğinde ise zarar çoktan verilmiş oluyor. Kimlik avı sayfasının görünmesini beklemek, kurbanların kimlik bilgilerini ve paralarını kaybetmelerini beklemek anlamına gelir.

Etkin Trafik Senaryoları: Reklamlar ve E-posta Kampanyaları

Gizlenmiş tüm kimlik avı saldırıları organik aramaya dayanmaz. En agresif trafik elde etme yöntemlerinden ikisi şunlardır: ücretli reklamcılık ve e-posta kampanyaları, her ikisi de platform incelemesini atlatmak için gizleme yöntemini kullanıyor.

Google Ads Gizleme

Şu konuyla ilgili araştırmamız: BUYTRX drenaj ağı belgelenmiş 55'ten fazla alan adı Google Ads'i kullanarak para tuzaklarına trafik çekmek. İşleyiş şu şekildedir:

  1. Operatör, alan adını Google Ads incelemesine gönderir. Google’ın tarayıcısı, boş sayfayı (blockchain teknolojisiyle ilgili bir blog) görür. Reklam onaylandı.
  2. “Connect Wallet” ve “Crypto Airdrop” anahtar kelimelerini hedefleyen reklam yayına giriyor.
  3. Google kullanıcısı reklama tıklar. TDS, Google Ads kaynaklı bir ev tipi IP adresi algılar. Cüzdan boşaltıcı servis edildi.
  4. Mağdur, cüzdanını bağlar. Varlıklar, önceden imzalanmış bir işlem yoluyla saniyeler içinde boşaltılır.

Google’ın reklam inceleme sistemi — her otomatik tarayıcı gibi — yalnızca beyaz sayfayı görür. Reklam yayınlanmaya devam eder, operatör ise yönlendirilen her kurban için Google’a ödeme yapmaya devam eder.

E-posta Kampanyasında Gizleme

E-posta ağ geçitleri (Microsoft Defender for Office 365, Proofpoint, Mimecast), e-postalardaki bağlantıları teslim edilmeden önce tarar. Cloaking de bunu aynı şekilde gerçekleştirir:

  1. Oltalama e-postası, gizlenmiş bir etki alanına yönlendiren bir bağlantı içeriyor.
  2. E-posta ağ geçidi URL’yi tarar. Sunucu tarafındaki TDS, ağ geçidinin IP aralığını tanır. Beyaz sayfa gösterilir veya resmi siteye yönlendirme yapılır. E-posta gönderildi.
  3. Alıcı, e-posta istemcisinden bağlantıya tıklar. Ev tipi IP adresi, doğru yönlendiren adres, hedef coğrafi bölge. Oltalama sayfası görüntülendi.
Ölçek

Sadece BUYTRX soruşturmasında bile, Google Ads 55’ten fazla alan adında cüzdan boşaltıcıların dağıtımını aktif olarak finanse ediyordu. Her bir alan adı, Google’ın tarayıcısına boş bir sayfa gösterildiği için Google’ın otomatik incelemesinden geçmişti. Bu bir sistem açığı değil; gizleme uygulandığında reklam platformlarının açılış sayfalarını doğrulama yöntemindeki yapısal bir kusurdur.

Neden “Suçlu Olduğu Kanıtlanana Kadar Masumdur” İlkesi Burada Geçerli Değil?

Bazen, gizleme altyapısına dayalı olarak bir alan adını işaretlemenin vaktinden önce olduğu, yani harekete geçmeden önce gerçek kimlik avı içeriğinin ortaya çıkmasını beklememiz gerektiği yönünde bir argüman duyarız. Bu argüman, gizlemenin ne olduğunu yanlış anlamaktadır.

Gizleme, tarafsız bir teknoloji değildir. Bu, karşıtlık temelli altyapı tespit edilmeyi engellemek için özel olarak tasarlanmıştır. Gizleme tekniğini kullanan bir alan adı, amacını zaten açıkça ortaya koymuştur: güvenlik sistemlerine bir şey, kurbanlara ise başka bir şey göstermek. Bu, hiçbir meşru amaca hizmet eden bir yapılandırma değildir.

Aradığımız 5 İşaret

Aşağıdaki özellikleri gösteren herhangi bir alan adı herhangi bir kombinasyon Bu sinyallerden şunlar zararlı olarak işaretlenmiştir:

  1. Koşullu içerik sunumu — IP, kullanıcı ajanı, coğrafi konum, yönlendiren site veya cihaz parmak izine göre farklı içerik
  2. TDS parmak izleri — Keitaro, Binom, BeMob veya yanıt başlıklarında, yönlendirme zincirlerinde ya da JavaScript’te bulunan özel yönlendirici imzaları
  3. Resmi sitelere yönlendirme — Üçüncü tarafların meşru alan adlarına (özellikle bankacılık, kripto para veya e-posta sağlayıcıları) yapılan herhangi bir yönlendirme
  4. İlgisiz içerik barındıran beyaz sayfa — Yakın zamanda tescil edilmiş ve yerleşik bir ticari varlığı bulunmayan bir alan adındaki blog yazıları, haber makaleleri veya genel içerikler
  5. Bot önleyici JavaScript — Ne gösterileceğine karar vermeden önce başsız tarayıcıları, WebDriver’ı, ekran boyutlarını veya canvas görüntülemeyi kontrol eden komut dosyalarını belirleme

50.000'den fazla taranmış siteden oluşan veri setimizde, bu işaretleri gösteren ancak meşru olduğu ortaya çıkan alan adlarının sayısı sıfır. “Nadir” değil — sıfır. Hedef kitlesi dışındaki ziyaretçileri başka bir şirketin etki alanına yönlendirmek zorunda kalan ya da belirli IP aralıklarından gelen ziyaretçilere oturum açma formu sunarken tarayıcılara kripto para birimi ile ilgili bir blog sayfası gösteren tek bir meşru web sitesiyle bile hiç karşılaşmadık.

Politikamız

Gizleme, ikili bir sinyaldir. Bir alan adı, yukarıda açıklanan mekanizmaları kullanarak farklı ziyaretçilere farklı içerik gösteriyorsa, bu durum işaretlenir. Bir operatör bunun yanlış bir pozitif sonuç olduğuna inanıyorsa, bizim temyiz süreci tam da bu amaçla mevcuttur. Bugüne kadar, gizlemeyle ilgili hiçbir uyarıya karşı yapılan itiraz başarılı olmamıştır.

Kayıt Memuru Sorunu

Gizleme, kötüye kullanım bildirimleri açısından bir sorun yaratır. Gizlenmiş bir etki alanını bir kayıt kuruluşuna bildirdiğimizde, kayıt kuruluşunun kötüye kullanım ekibi URL’yi ziyaret eder ve karşısına… temiz bir sayfa çıkar. Bir blog yazısı. Coinbase.com’a yönlendirme. Onların bakış açısına göre, müdahale edilecek bir durum yoktur.

İşte tam da bu senaryo bizim...’de yaşandı NiceNIC soruşturması ve bizim NameSilo soruşturması. Her iki durumda da, kayıt kuruluşları bildirilen alan adlarını inceledi, içeriklerin uygun olduğunu gördü ve ya davayı kapattı ya da alan adı işletmecisini aktif olarak savundu.

Sorun sistemik niteliktedir:

  • Kötüye kullanımla mücadele ekipleri, antivirüs yazılımı üreticileriyle aynı tarama yöntemlerini kullanır — Veri merkezi IP adreslerinden standart tarayıcılar kullanarak bu URL’ye erişiyorlar. Gizleme yöntemi her seferinde bunu engelliyor.
  • Hiçbir kayıt kuruluşu gizleme tespitine yatırım yapmamıştır — Koşullu içerik sunumunu tespit etmeye yarayan bir teknoloji mevcut (bunu biz geliştirdik), ancak hiçbir kayıt kuruluşu bunu uygulamaya koymadı.
  • ICANN’ın kötüye kullanımla mücadele çerçevesi, gizleme yöntemlerini dikkate almamaktadır — Kötüye kullanım bildirimleri için zararlı içeriğe dair kanıt gereklidir. Zararlı içerik yalnızca mağdurlara gösteriliyorsa, kayıt kuruluşunun kendi doğrulama süreci bunu asla tespit edemez.
Kayıt Memurunun Yanıt Verememesi

Bu eğilimi kapsamlı bir şekilde belgeledik. Raporumuz İstismar Bildirimleri Sonuçsuz Kaldığında Bu makale, kayıt kuruluşlarının gizlenmiş alan adlarına karşı sistematik olarak harekete geçememelerinin nedenini ayrıntılı olarak açıklıyor; zira bu kuruluşların doğrulama yöntemleri, tam da gizleme tekniğinin aşmak üzere tasarlandığı yöntemlerdir.

İşte bu nedenle PhishDestroy bağımsız bir katman olarak varlığını sürdürmektedir. Tek bir IP adresinden URL’ye erişip orada neyin görüntülendiğini kontrol etmeye dayanmıyoruz. Binlerce etki alanı üzerinde yönlendirme zincirlerini, TDS parmak izlerini, JavaScript davranışını, DNS geçmişini, sertifika şeffaflığı günlüklerini ve zamansal kalıpları analiz ediyoruz. Bir etki alanını işaretlediğimizde, o etki alanının bariz yöntemlerle kontrol eden herkese temiz görüneceği gerçeğini zaten hesaba katmış oluyoruz.

Özet: Gizleme Teknikleri ve Tespiti

TeknikTarayıcıların GördükleriMağdurların GördükleriTespit Yöntemi
IP tabanlı filtrelemeBoş sayfa / yönlendirmeOltalama sayfasıÇoklu IP taraması, ev tipi proxy karşılaştırması
UA tabanlı filtrelemeBeyaz sayfa / 403Oltalama sayfasıUA rotasyonu, başlıksız tarayıcı ile gerçek tarayıcı karşılaştırması
Coğrafi tabanlı filtrelemeGenel içerikYerelleştirilmiş kimlik avıÇok bölgeli proxy taraması
Yönlendiren filtrelemeBeyaz sayfaKimlik avı (reklam/e-posta yoluyla)Yönlendiren adresinin sahteciliği, reklam tıklama simülasyonu
JS parmak izi analiziBoş sayfa (bot tespit edildi)Kimlik avı (gerçek cihaz)JavaScript statik analizi, kodun anlaşılır hale getirilmesi
Zamana dayalı kurallarTemizlik (mesai dışı saatlerde)Kimlik avı (çalışma saatleri içinde)Zamansal tarama, zaman dilimine göre uyumlu kontroller
Çerez/oturum kısıtlamasıTemizlik (ilk ziyaret)Kimlik avı (çerez kullanılarak yapılan tekrar ziyaret)Çoklu ziyaret oturumu analizi, çerez yeniden oynatma
TDS (Keitaro/Binom)Boş sayfa mı, yoksa yönlendirme mi?Oltalama sayfasına yönlendirildiKeitaro Algılama Aracı, başlık/yönlendirme analizi
Resmi siteye yönlendirme302 → güvenilir siteOltalama sayfasıYönlendirme hedefi analizi, alan adının amacının doğrulanması
Gizleme tespitine ve kimlik avı altyapısı analizine ilişkin özet
Durumun tam resmi: Her gizleme tekniğinin bir tespit yöntemi vardır. Asıl zorluk teknolojide değil; kayıt sağlayıcılarının, reklam platformlarının ve e-posta ağ geçitlerinin bu yöntemleri uygulamaya koymasını sağlamaktır.

Sonuç

Gizleme, gri bir alan değildir. Bu, en etkili kaçma tekniği modern kimlik avında; ve kimlik avı ekosisteminin her bir bileşeni — Google Ads’ten e-posta ağ geçitlerine ve alan adı kayıt kuruluşlarının kötüye kullanımla mücadele ekiplerine kadar — şu anda bu sorunu çözmekte yetersiz kalmaktadır.

PhishDestroy bir alan adını gizleme (cloaking) nedeniyle işaretlediğinde, bu bir tahmin değildir. Tek bir amaç için var olan kötü niyetli altyapının varlığını belgeliyoruz: farklı ziyaretçilere farklı içerik göstermek. 50.000’den fazla taramada, bu sinyal için yanlış pozitif oranı sıfırdır.

Eğer alan adınız işaretlenmişse:

  • Eğer yasal bir işletmeciyseniz ve bunun bir yanlış pozitif olduğunu düşünüyorsanız, itirazda bulunmak. Her birini inceliyoruz.
  • Eğer bir gizleme altyapısı işletiyorsanız, bunu zaten biliyoruz. Tarayıcımıza gösterdiğiniz beyaz sayfa, kurbanlarınızın gördüğü sayfa değil. Ve bunu kanıtlayacak delillerimiz var.
Boş sayfa bir savunma değildir. Bu bir itiraftır. Eğer web sitenizin farklı ziyaretçilere farklı içerikler göstermesi gerekiyorsa, bunun kötü niyetli olup olmadığı sorusuna zaten cevap vermiş olursunuz.

Gizlenmiş her alan adı yasaklanır. İstisna yoktur. Hiçbir itiraz kabul edilmemiştir. Çünkü 50.000 taramada bu sinyalle ilgili olarak hiç yanılmadık.

İlgili Araştırmalar ve Kaynaklar

Bu makale, 50.000’den fazla alan adını tarama, aktif kimlik avı altyapılarını inceleme ve kayıt kuruluşları ile ICANN’a kötüye kullanım raporları sunma konusundaki operasyonel deneyimlerimize dayanmaktadır. Açıklanan tüm teknikler kanıtlarla desteklenmiştir. Araştırmamız süresince hiçbir aşamada yetkisiz erişim gerçekleştirilmemiştir.

Bu Araştırmayı Paylaş

X / Twitter Telegram Reddit LinkedIn

İlgili Soruşturmalar

Keitaro TDS: 1.500 Panel Açığa Çıktı, Hiçbir Meşru Kullanım Alanı Yok
SORUŞTURMA
Keitaro TDS: 1.500 Panel Açığa Çıktı, Hiçbir Meşru Kullanım Alanı Yok
BUYTRX Ortaya Çıktı: 55 Alan Adı ve TRON Onay Hırsızı
SORUŞTURMA
BUYTRX Ortaya Çıktı: 55 Alan Adı ve TRON Onay Hırsızı
Dolandırıcılar Ortaya Çıktı: 4 Dolandırıcılık Arka Ucu İncelendi
SORUŞTURMA
Dolandırıcılar Ortaya Çıktı: 4 Dolandırıcılık Arka Ucu İncelendi