İstismar Bildirimleri Sonuçsuz Kaldığında: Kayıt Kuruluşları Nasıl Siber Suçların Sessiz Ortakları Haline Geliyor?
Kanıtlarla dolu istismar raporları gönderiyoruz — VirusTotal tespitleri, ekran görüntüleri, kara liste verileri, antivirüs taramaları. Kayıt kuruluşları bunları alıyor ama hiçbir şey yapmıyor. Bazı kimlik avı alan adları hâlâ aktif durumda 1.788 saat ve 13 ayrı rapor. Bu bir sistem hatası değil — bir tasarım tercihidir. İşte veriler.
Bozuk Sistem
Gönderdiğimiz her ihbar, net bir protokol izler: alan adı URL’si, kategori (kimlik avı, kripto para hırsızlığı, sahte kumarhane), VirusTotal’da tespit sayısı, ekran görüntüsü kanıtları ve kara liste durumu. Bunlar belirsiz şikayetler değil — adli inceleme paketleridir. Yine de, bir alan adı birbiri ardına çevrimiçi kalmaya devam ediyor haftalar ve aylar ilk raporun ardından.
Kayıt kuruluşlarının kötüye kullanım bildirimlerini nasıl ele almaları gerektiğine dair evrensel bir standart bulunmamaktadır. Hizmet Düzeyi Anlaşması (SLA) yoktur. Zorunlu yanıt süresi yoktur. Hesap verebilirlik ölçütü yoktur. Her kayıt kuruluşu, işaretlenen bir alan adının 16 antivirüs motoru dikkat gerektirir — ya da şablon bir yanıt ve kapatılmış bir bilet.
16 antivirüs motorunu kim geçersiz kılar?
Bu, hiçbir kayıt kuruluşunun cevaplamak istemediği bir sorudur. Ne zaman Kaspersky, ESET, Fortinet, BitDefender, Sophos, G-Data ve VirusTotal’da on güvenlik sağlayıcısı daha bir etki alanını zararlı olarak işaretliyor — ve kayıt kuruluşunun kötüye kullanım ekibi karar veriyor "herhangi bir işlem gerekmez" — O kararı tam olarak kim verdi?
Şu saçmalığı bir düşünün: Bir kayıt kuruluşundaki tek bir kötüye kullanım analisti, aşağıdakilerin bir araya getirdiği tehdit istihbaratını geçersiz kılıyor: 16 bağımsız antivirüs motoru, her biri milyarlarca veri noktası, özel araştırma laboratuvarları ve onlarca yıllık deneyime sahip. Neye dayanarak? NiceNIC veya GlobalDomainGroup’taki bir kötüye kullanım ekibi, Kaspersky’ninkini aşan hangi tarama altyapısını kullanıyor?
Cevap basit: hiçbiri. Taramıyorlar. Doğrulamıyorlar. Ya rapora hiç bakmıyorlar ya da mali bir hesaplama yapıyorlar: aktif bir alan adı gelir getirir; askıya alınmış bir alan adı ise getirmez.
Bunun ne anlama geldiğini açıkça belirtelim: Kayıt kuruluşundaki bir kişi, 13 bağımsız güvenlik sağlayıcısından gelen kanıtları ve 13 ayrı kötüye kullanım raporunu inceledi — ve kendi yargısının daha üstün olduğuna karar verdi. Bu bir hata değil. Bu bir politika.
Saygı Duydukları Hiçbir Otorite Yok
Kayıt kuruluşlarının güvenilir kabul ettiği tek bir antivirüs üreticisi sayın. Sayamazsınız — çünkü böyle bir üretici yok.
- Kaspersky — etki alanını algılar mı? Göz ardı edildi.
- ESET — bunu kimlik avı olarak mı işaretliyor? Göz ardı edildi.
- Fortinet — bunu ağ düzeyinde engelliyor mu? Göz ardı edildi.
- BitDefender — milyonlarca kullanıcıyı uyarıyor mu? Görmezden geliniyor.
- Google Safe Browsing — Dünyadaki en büyük internet güvenlik sistemi mi? Yine de göz ardı ediliyor.
Şöyle ki algılama eşiği yok bu durumda kayıt kuruluşunun harekete geçmesi zorunludur. Ne 5 ne de 10 ne de 16. Bir alan adı, VirusTotal’da tüm antivirüs sağlayıcıları tarafından işaretlenebilir, birden fazla kara listeye girebilir ve hakkında bir düzine kötüye kullanım raporu sunulabilir — ancak kayıt kuruluşunun herhangi bir işlem yapma konusunda yasal olarak bağlayıcı bir yükümlülüğü yoktur.
Bu, sistemdeki bir eksiklik değildir. İşte sistem budur. Alan adı kayıt sektörü, güvenlik araştırmacılarının, antivirüs üreticilerinin veya tehdit istihbarat platformlarının bulgularına uymalarını gerektirecek herhangi bir bağlayıcı standardı başarıyla önlemiştir. 70 motorun 16’sı bir alan adını tespit ediyorsa — bu “belki” değildir. Bu bir fikir birliğidir. Ancak, tarama altyapısı bulunmayan ve alan adının aktif kalmasından maddi çıkar sağlayan kayıt kuruluşunun kötüye kullanım ekibi, bu fikir birliğini hiçe saymaktadır.

Mali Teşvik
Alan adı kayıt kuruluşları, her alan adı için yıllık ücret alır. Her askıya alma işlemi gelir kaybı anlamına gelir. Her kaldırma işlemi ise para iadesi riski oluşturur. Alan adlarını aktif tutmak için doğrudan ve ölçülebilir bir mali teşvik vardır; buna karşın, kötüye kullanım bildirimlerini göz ardı etmenin herhangi bir mali cezası yoktur.
Bu durum tüm altyapı sağlayıcıları için geçerli değildir. CloudflareÖrneğin, bu şirket kötüye kullanım bildirimlerini verimli bir şekilde işler ve alan adı kayıtlarından aynı şekilde gelir elde etmez. Bu ayrım önemlidir: Bildiriminizi işleyen şirket, alan adının çevrimiçi kalmasından kâr elde ediyorsa, çıkar çatışması yapısaldır.
Kanıt: Raporlarımızdan Alınan Canlı Veriler
Aşağıda, Mart 2026 tarihli kötüye kullanım bildirim günlüğümüzden bir örnek yer almaktadır. Her bir kayıt, hala aktif raporlama anında, daha önceki raporlara ve teyit edilmiş tespitlere rağmen.
| Etki Alanı | Raporlar | Aktif (saat) | VT | BL | Kayıt Görevlisinin Görevini Kötüye Kullanması |
|---|---|---|---|---|---|
| payscrow[.]bet | 6 | 1.788 saat | 16 | — | Tucows |
| 6chicken9[.]top | 4 | 1.783 saat | 4 | 1 | Dayanıklılık |
| apphyena[.]trade | 2 | 1.781 saat | 3 | — | NiceNIC |
| airdrop[.]autos | 3 | 1.364 saat | 4 | 1 | Gname |
| amlstats[.]com | 7 | 1.363 saat | 14 | 1 | Tucows |
| amlscore[.]info | 7 | 1.363 saat | 9 | 1 | Tucows |
| amlwallets[.]io | 4 | 1.363 saat | 10 | 1 | nic.io |
| aavleaderboard[.]assetavenue[.]capital | 2 | 1.359 saat | 1 | — | IdentityDigital |
| airdropchime[.]com | 2 | 1.359 saat | 1 | — | Namecheap |
| farewex[.]com | 13 | 1.352 saat | 13 | — | apiname.com |
| app[.]whitewhalesmeme[.]com | 4 | 1.330 saat | 14 | — | Verisign |
| zordex[.]us | 3 | 1.314 saat | 14 | — | apiname.com |
| alhpatrademarket[.]com | 2 | 1.278 saat | 15 | — | GlobalDomainGroup |
| angelferno[.]com | 2 | 1.278 saat | 7 | 1 | NiceNIC |
| ansol[.]cc | 4 | 1.278 saat | 4 | 1 | NiceNIC |
| amltrackerbot[.]com | 2 | 1.278 saat | 6 | 1 | Tucows |
| amlstatement[.]info | 4 | 1.228 saat | 16 | — | Porkbun |
| a8vx[.]top | 2 | 1.049 saat | 16 | — | Dynadot |
| amlinfo[.]now | 2 | 1.033 saat | 2 | — | Porkbun |
| xwinner[.]cc | 4 | 1.026 saat | 14 | — | GlobalDomainGroup |
| xerowex[.]com | 6 | 1.021 saat | 14 | — | apiname.com |
| menty[.]sbs | 4 | 985 saat | 16 | — | gen.xyz |
| perowex[.]com | 5 | 971 saat | 14 | — | apiname.com |
| amlbot[.]im | 4 | 965 saat | 6 | — | nic.im |
| 3capitalstrading[.]com | 2 | 879 saat | 2 | — | GlobalDomainGroup |
| naebex[.]com | 5 | 826 saat | 11 | — | PDR |
| casbatle[.]com | 2 | 803h | 2 | — | NiceNIC |
| amlchecknow[.]digital | 2 | 751 saat | 6 | — | PDR |
| sollfalare[.]top | 2 | 730h | 3 | — | Dayanıklılık |
| marketcsgo[.]net | 2 | 717h | 15 | — | GlobalDomainGroup |
| dinadrop[.]com | 2 | 717h | 6 | — | GlobalDomainGroup |
| dotabuff[.]org | 2 | 674 saat | 2 | — | PIR |
| casesbattle[.]org | 2 | 652 saat | 2 | — | PIR |
| 763182819[.]top | 2 | 618 saat | 15 | — | Gname |
| kahcas[.]com | 5 | 539 saat | 14 | — | INWX |
| qizaro[.]cc | 5 | 535 saat | 12 | — | GlobalDomainGroup |
| apexresolvefix[.]com | 2 | 496 saat | 3 | — | Cosmotown |
| amlriskscore[.]ru | 2 | 448 saat | 1 | — | cctld.ru |
| patricksstash[.]to | 2 | 427 saat | 2 | — | tonic.to |
| stashhpatrick[.]cc | 2 | 427 saat | 5 | — | NiceNIC |
| stake2win[.]me | 2 | 402h | 14 | — | domain.me |
| wazbee[.]me | 2 | 388 saat | 16 | — | domain.me |
| dexscreener[.]at | 2 | 328 saat | 16 | — | nic.at |
| 2fa[.]walletpinet[.]com | 1 | — | 16 | — | Verisign |
| appether[.]fi | 1 | — | 13 | 1 | — |
VT = Yaklaşık 70 tarama motoru üzerinden VirusTotal tarafından tespit edilenler. "Aktif" = Sorunun üst mercilere iletildiği anda ilk tespitinden bu yana geçen saat sayısı. Veriler: PhishDestroy kötüye kullanım bildirim günlüğü, 19–21 Mart 2026.
Rakamlar Yalan Söylemez
Ortalama Etkinlik Süresi
Aktif çalışma saatleri bilinen tüm alan adlarında ortalama ~39 gün
Maksimum Etkin Süre
payscrow[.]bet — 75 gün, 6 rapor, VT:16
Gönderilen Raporların Toplam Sayısı
Sadece bu örneklemdeki tüm alanlara ilişkin birleştirilmiş raporlar
VT değeri 10 veya daha fazla olan alan adları
10'dan fazla antivirüs motoru tarafından kötü amaçlı olduğu doğrulanan ve hâlâ aktif olan tüm alan adlarının neredeyse yarısı
Tekrar Suçlular: Kayıt Memurlarına Göre Dağılım
Tüm kayıt kuruluşları aynı değildir. Verilerimiz net bir eğilim ortaya koyuyor: Bazı kayıt kuruluşları, en kötü performans gösteren kayıtlar arasında defalarca yer alıyor.
apiname.com
- farewex[.]com — 1.352 saat, 13 rapor, VT:13
- zordex[.]us — 1.314 saat, 3 bildirim, VT:14
- xerowex[.]com — 1.021 saat, 6 bildirim, VT:14
- perowex[.]com — 971 saat, 5 rapor, VT:14
4 alan adı. Toplamda: 4.658 saatlik suç altyapısı. 27 rapor göz ardı edildi.
GlobalDomainGroup
- xwinner[.]cc — 1.026 saat, VT:14
- marketcsgo[.]net — 717 saat, VT:15
- dinadrop[.]com — 717 saat, VT:6
- qizaro[.]cc — 535 saat, VT:12
- csgomy[.]com — 356 saat, VT:9
- tastdrop[.]com — 357 saat, VT:2
- casebatle[.]com — 327 saat, VT:6
- casebatltle[.]com — 327 saat, VT:2
- chestix[.]net — 293 saat, VT:1
- ggddrop[.]com — 365 saat, VT:1
10 alan. Veri setimizdeki en büyük tek küme. Bir tesadüf değil, bir örüntü.
Tucows / IdentityDigital
- payscrow[.]bet — 1.788 saat, 6 rapor, VT:16
- amlstats[.]com — 1.363 saat, 7 rapor, VT:14, BL:1
- amlscore[.]info — 1.363 saat, 7 rapor, VT:9, BL:1
- amltrackerbot[.]com — 1.278 saat, 2 rapor, VT:6, BL:1
Tucows: Toplam 22 bildirim, 5.792 saatlik dolandırıcılık. amlstats, haftada bir olmak üzere 7 bildirim aldı ve hepsini başarıyla atlattı.
NiceNIC (nicenic.net)
- apphyena[.]trade — 1.781 saat, VT:3
- angelferno[.]com — 1.278 saat, VT:7, BL:1
- ansol[.]cc — 1.278 saat, 4 rapor, VT:4, BL:1
- casbatle[.]com — 803h, VT:2
- stashhpatrick[.]cc — 427 saat, VT:5
- casebaetle[.]com — 310 saat, VT:2
- casebattle[.]info — ilk rapor, VT:1
- appalmanak[.]live — ilk haber, VT:2
8 alan adı. Toplamda 5.877 saatten fazla. Daha önce incelenenler: NiceNIC Değerlendirmesi — hiçbir meşru kullanım bulunamadı.
Porkbun
- amlstatement[.]info — 1.228 saat, 4 rapor, VT:16
- amlinfo[.]now — 1.033 saat, 2 rapor, VT:2
- amlspace[.]com — 712 saat, 2 rapor, VT:1
amlstatement[.]info: 16 antivirüs algılaması, 4 rapor ve 51 gündür çevrimiçi. Porkbun’un kötüye kullanım ekibi neyi kabul edilebilir buldu?
Dynadot
- a8vx[.]top — 1.049 saat, 2 rapor, VT:16
- aave[.]events — ilk rapor, VT:2, BL:1
- aavetrading[.]net — ilk rapor, VT:9
a8vx[.]top: 16 VT tespiti ve 44 gün süren suç faaliyeti. Dynadot, ICANN tarafından akredite edilmiş bir kayıt kuruluşudur.
domain.me
- wazbee[.]me — 388 saat, VT:16
- stake2win[.]me — 402h, VT:14
Her iki alan adı da 14–16 antivirüs algılamasına sahip. İkinci raporun ardından her ikisi de hâlâ aktif durumda.

Kayıt Memurunun Toplam Hareketsizlik Saatleri
Mart 2026 veri setimizde, kayıt kuruluşu bazında bildirilen tüm alan adlarının toplam aktif saatleri. Bu, kayıt kuruluşlarındaki suistimallerin toplamını yansıtmamaktadır — yalnızca bir örneklemde gözlemlediğimiz verileri göstermektedir.
Bizim Göndürdüklerimiz ve Onların Yaptıkları
Her PhishDestroy kötüye kullanım raporu şunları içerir:
Raporumuz Şunları İçeriyor
- Alan adı URL’si ve kayıt bilgileri
- VirusTotal puanı ve üretici isimleri
- Oltalama sitesinin tam sayfa ekran görüntüsü
- Kategori sınıflandırması (phishing, para sızdırma, dolandırıcı kumarhane)
- Birden fazla beslemeden gelen kara liste durumu
- URLscan.io veya benzeri tarama sonuçları
- Önceki rapor geçmişi ve zaman çizelgesi
Kayıt Memurunun Yanıtı
- Hiçbir yanıt yok (en yaygın durum)
- Şablon onayı, işlem yapılmayacak
- "İnceleme yapacağız" — haftalar geçiyor, alan adı hala duruyor
- "Bu iddiayı doğrulayamıyoruz" — 16 VT tespitine rağmen
- Bilet, çözüm bulunamadan kapatıldı
- Daha önce sunulmuş kanıtlara ilişkin talep
Kayıt kuruluşunun harekete geçmemesi üzerine, konuyu ICANN Uyumluluğu (compliance@icann.org). Yukarıda gösterilen her durumda, ICANN ikinci veya sonraki raporlara bilgi olarak eklenmişti. Sonuçlar mı? Onlar da yoktu.
Var Olmayan ICANN Standardı
ICANN'ın Kayıt Kuruluşu Akreditasyon Anlaşması (RAA), Madde 3.18 Kayıt kuruluşlarının bir kötüye kullanım irtibat kişisi bulundurmasını ve kötüye kullanım bildirimlerini “araştırmak ve uygun şekilde yanıt vermek için makul ve derhal önlemler almasını” şart koşmaktadır.
Uygulamada, “makul ve zamanında” ifadesi, kayıt memurunun ne anlama geldiğine karar verdiği şekilde yorumlanır. Şu durumlar söz konusudur:
- Maksimum yanıt süresi yok — bir kayıt kuruluşu haftalarca bekleyip bunun “makul” olduğunu iddia edebilir
- Zorunlu askıya alma eşiği yoktur — 16 VT algılaması, otomatik olarak herhangi bir eylemi tetiklemez
- Kamuya açık raporlama zorunluluğu yoktur — kayıt kuruluşlarının, kaç adet bildirim aldıklarını veya bunlara ilişkin ne tür önlemler aldıklarını açıklamak zorunda değiller
- Anlamlı bir ceza yok — ICANN, suistimallere karşı harekete geçmemesi nedeniyle akreditasyonu nadiren iptal etmiştir
Sonuç olarak: Kayıt kuruluşları, kötüye kullanımla mücadeleyi yerine getirilmesi gereken bir güvenlik yükümlülüğü olarak değil, en aza indirilmesi gereken bir maliyet kalemi olarak görüyor.
Yazım hatası ile alan adı ele geçirme konusunda önlem alıyorlar — ancak kimlik avı konusunda değil
İşte bu durumu daha da saçma kılan şey şudur: Aylarca kimlik avı bildirimlerini görmezden gelen bu kayıt kuruluşlarından bazıları, belirli bir tür kötüye kullanım konusunda son derece etkilidir: yazım hatası yoluyla alan adı ele geçirme — tanınmış marka adlarıyla karıştırılabilecek kadar benzer olan alan adları.
Neden? Çünkü yazım hatası istismarı, şu hedefleri hedef alır: yasal bütçeleri olan şirketler. Google, Apple veya Microsoft, benzer bir alan adı hakkında UDRP şikâyetinde bulunduğunda, kayıt kuruluşları birkaç gün içinde harekete geçer. Ticari marka suistimali nedeniyle dava açılma ve ICANN yaptırımlarına maruz kalma tehdidi gerçek ve acildir.
Peki ya bir kimlik avı sitesi bireysel kurbanların parasını çaldığında? Ya bir kripto para hırsızı birinin tüm birikimlerini boşalttığında? Ya sahte bir kumarhane, oyunculardan kredi kartı bilgilerini çaldığında? Şirketin hukuk ekibi yok. UDRP başvurusu yok. Aciliyet yok. Kayıt kuruluşunun kötüye kullanımla mücadele birimi farklı bir standart uygulamaktadır — bu standartta, mağdurun maddi kaybı, bir markanın ticari marka endişesiyle aynı tepkiyi tetiklememektedir.
Yazım Hatası Kötüye Kullanımı Raporu
- Marka sahibi UDRP başvurusu yapar
- Kayıt Sorumlusu birkaç gün içinde yanıt verir
- Alan adı hızlı bir şekilde kilitlendi/askıya alındı
- Harekete geçmemenin hukuki sonuçları
Kimlik Avı/Dolandırıcılık Bildirimi
- Mağdurlar/araştırmacılar istismar bildirimlerinde bulunuyor
- Kayıt memuru haftalarca/aylarca aldırış etmiyor
- Alan adı, geçerlilik süresi dolana kadar aktif kalır
- Harekete geçmemenin hiçbir sonucu yok
Mesaj açık: Kayıt kuruluşları insanları değil, markaları korur. Onlar, zarara dair kanıtlara değil, yasal yetkiye tepki gösteriyorlar. Raporlarımız, herhangi bir UDRP başvurusu kadar objektif kanıt içeriyor — VirusTotal taramaları, antivirüs tespitleri, kara liste doğrulamaları, ekran görüntüleri — ancak yine de yanıtlanmıyorlar.
Onların İşini Biz Yapıyoruz — Üstelik Ücretsiz
PhishDestroy, bir bağımsız, ticari amaç gütmeyen proje. Alan adlarını tarıyoruz. Tehditleri sınıflandırıyoruz. VirusTotal raporları oluşturuyoruz. Ekran görüntüleri alıyoruz. Ayrıntılı suistimal raporları hazırlayıp bunları kayıt operatörlerine, kayıt merkezlerine ve ICANN’e gönderiyoruz. Kayıt kuruluşlarının kendilerinin yapması gereken güvenlik işlerini biz üstleniyoruz.
Ve işte rahatsız edici gerçek şu: Bazı kayıt kuruluşları gerçekten de bu işi yapıyor. Bazı kayıt operatörleri kendi alan adı tarama altyapılarını işletiyor, özel tehdit istihbaratı kaynaklarını kullanıyor ve kötü amaçlı alan adlarını kimse ihbar etmeden önce proaktif olarak askıya alıyor. Bunlar gerçekten var. Bunun mümkün olduğunu kanıtlıyorlar.
Etkin Olarak Çalışan Kayıt Kuruluşları
- Dahili tarama araçlarını çalıştırın (özel, kamuya açık olmayan)
- Bariz dolandırıcılık amaçlı alan adlarını proaktif olarak askıya alın
- Kötüye kullanım bildirimlerine birkaç saat içinde yanıt verin
- Araştırmacılar ve kolluk kuvvetleriyle işbirliği yapmak
- VirusTotal verilerini ve kara liste verilerini delil olarak kabul etmek
Bu kayıt kuruluşları, kötüye kullanım vakalarına hızlı müdahalenin hem teknik hem de ekonomik açıdan mümkün olduğunu kanıtlamaktadır.
Dolandırıcıları Koruyan Kayıt Kuruluşları
- Hiçbir tür tarama altyapısı bulunmamaktadır
- Raporları bekleyin, sonra da onları görmezden gelin
- Şablon yanıtlar, bilet kapatıldı, alan adı aktif
- Raporları aldığını reddetme (NameSilo kalıbı)
- Hiçbir kanıt olmadan 16 antivirüs motorunu geçersiz kılmak
Bu kayıt sağlayıcılar, güvenliği değil geliri tercih ettiler. Onların harekete geçmemesi, işlerini ücretsiz olarak yapan güvenlik camiası tarafından destekleniyor.
Asıl mesele, kötüye kullanım vakalarına hızlı müdahalenin mümkün olup olmadığı değildir. Öyle. Asıl soru, bazı kayıt kuruluşlarının bunu yapmamayı tercih etmelerinin nedeni nedir? Ve cevap, her seferinde aynı yapısal teşvike geri dönüyor: Aktif alan adları gelir getirir. Askıya alınmış alan adları ise gelir getirmez.
Uygulanması Gereken Yürürlükteki Standartlar
Kayıt kuruluşlarını hesap verebilir kılmaya yönelik bir çerçeve zaten mevcut — ancak bu çerçeve uygulanmıyor:
ICANN RAA Madde 3.18
Şu Kayıt Kurumu Akreditasyon Anlaşması Kayıt kuruluşlarının kötüye kullanımla ilgili irtibat bilgilerini güncel tutmalarını ve bildirimleri derhal soruşturmalarını zorunlu kılar. Ancak bu kuralın uygulanması fiilen yok denecek kadar azdır.
APWG
Şu Kimlik Avına Karşı Çalışma Grubu sorunun boyutunu ortaya koyan üç aylık kimlik avı eğilim raporları yayınlamaktadır. Alan adı kayıt kuruluşları APWG’ye katılmaktadır — ancak yine de bu raporları görmezden gelmektedir.
FTC’nin Aldığı Önlemler
Şu FTC’nin NameSilo’ya gönderdiği uyarı mektubu (Aralık 2024) dolandırıcılık sorununa çözüm getirilmemesini açıkça eleştirdi. ICANN’ın kendi Uyum departmanı bildirimlerimizi alıyor ama yanıt vermiyor.
DNSAI
Şu DNS Kötüye Kullanım Enstitüsü (PIR tarafından) DAAR gibi araçlar geliştirir ve en iyi uygulamaları teşvik eder. Oysa PIR’ın kendi kayıt defterinde dotabuff[.]org (674 saat aktif, VT:2) ve casesbattle[.]org (652 saat) barındırılmaktadır.
50.000 Alan Adı ve Artmaya Devam Ediyor
Yukarıdaki örnekler bir tek bir haftaya ait örnek. Gerçek boyutlar akıl almaz.
Sürekli güncellenen tehdit beslememiz şu adreste yer almaktadır: content_active.txt Kötü amaçlı olduğu bildirilen 50.000'den fazla alan adı içermektedir. Her biri en az bir kötüye kullanım bildirimi almıştır. Birçoğu ise birden fazla bildirim almıştır. Kayıt kuruluşları, VirusTotal taramaları, ekran görüntüleri ve kara liste onayları gibi kanıtları almış, ancak halkın güvenliği yerine müşterilerini tercih etmiştir.
Çünkü işte bu tam da budur: bir seçenek. Kayıt kuruluşunun müşterisi, alan adını kaydettiren kişidir — yani dolandırıcı. Kayıt kuruluşunun müşterisi, sahte bir banka sayfası yüzünden birikimlerini kaybeden büyükanne, cüzdanı boşaltılan kripto para kullanıcısı ya da Steam hesabı çalınan oyuncu değildir. Kayıt kuruluşu her seferinde dolandırıcıyı seçmiştir.

Rapordan Mağdurlara: Her Saat Önemlidir
Bir kötüye kullanım raporu gönderdiğimiz anda bir süre başlar. O andan itibaren, kayıt kuruluşu resmi olarak haberdar yönetimleri altındaki bir alan adının dolandırıcılık amacıyla kullanıldığına dair. Bu bildirimin ardından harekete geçilmemesi durumunda geçen her saat, bir saatlik bilinçli suç ortaklığı.
Veri setimizdeki birçok alan adı, sadece birkaç bildirimden kurtulmakla kalmıyor — bunlar, kendi kayıt süresi sona eriyor. Tam bir döngü izliyorlar: kayıt oluyorlar, dolandırıcılık yapıyorlar, ihbar ediliyorlar, tekrar ihbar ediliyorlar, ICANN’a sevk ediliyorlar, dolandırıcılığa devam ediyorlar, süresi doğal olarak doluyor. Kayıt kuruluşu kayıt ücretini aldı. Dolandırıcı çaldığı parayı aldı. Mağdurlar ise hiçbir şey alamadı.
Zamanında yapılan bir alan adı askıya alma işlemi, sadece idari bir işlem değildir. Bu, sadece “kayıt sahibine bir rahatsızlık” da değildir. Bu bir kurtarma operasyonu. Zamanında yasaklanan her alan adı, boşaltılmamış bir cüzdan, çalınmamış bir kimlik bilgisi, boşaltılmamış bir tasarruf hesabı demektir. Alan adı kayıt kuruluşları, bu kaldırmaları “sansür” ya da “iş faaliyetlerinin aksatılması” olarak nitelendirerek, tam olarak kimin çıkarlarına hizmet ettiklerini ortaya koyuyorlar.
Kayıt Kuruluşları Mağdurlara Tazminat Ödemeli mi?
İşte tüm alan adı kayıt sektörünün ele almayı reddettiği soru şudur:
Bir düşünün. Kayıt memuru raporu aldığında, o zaman artık bilgisiz değil. Kendilerine, ellerindeki bir alan adının para, erişim bilgileri ve kimlik bilgilerini çalmak için kullanıldığına dair kanıtlarla birlikte bilgi verilmiştir. O andan itibaren, harekete geçmemek ihmal değildir — bu bir bilinçli karar zarara yol açmak.
- Kayıt kurumu sorumluluk üstlenmeye hazır mı? kendilerine uyarıldıkları bir alan adı üzerinden çalınan her dolar için mi?
- Kayıt kuruluşu mağdurlara tazminat ödemeye hazır mı? istismar ihbarı yapıldıktan ve göz ardı edildikten sonra parasını kaybedenler kimler?
- Kayıt kuruluşunun hukuk ekibi 16 antivirüs motorunun birbiriyle çeliştiği bir durumda, “inceledik ve herhangi bir sorun bulamadık” demek savunulabilir bir tutum olmadığını anlıyor musunuz?
Eğer bu üç sorunun cevabı da “hayır” ise — o zaman alan adını aktif tutmak için geçerli bir neden yoktur. Önce askıya alın, sonra soruşturun. Sorumlu altyapı sağlayıcıları işte böyle çalışır. Cloudflare işte böyle çalışır. Hetzner ve OVH gibi barındırma sağlayıcıları da giderek bu şekilde çalışmaya başlıyor. Yalnızca alan adı kayıt kuruluşları, dolandırıcının rahatlığının mağdurun güvenliğinden daha öncelikli olduğu bir modele sarılıyor.
Bedelini Kim Öder?
Bir kimlik avı alan adının çevrimiçi kaldığı her saat, doğrudan mağdurların sayısına yansır:
- Kripto para hırsızlığı amaçlı alan adları (farewex, perowex, xerowex, naebex) — cüzdanlar saniyeler içinde boşaltıldı. apiname.com alan adlarının toplam 4.658 saatlik süresi, binlerce potansiyel cüzdan boşaltma vakasını temsil ediyor.
- Sahte kumarhane / CS:GO dolandırıcılıkları (casebattle varyantları, csgomy, ggddrop, tastdrop) — oyun severleri hedef alan kredi kartı dolandırıcılığı, kimlik hırsızlığı ve hileli sonuçlar.
- Sahte hizmet kimliği taklidi (dexscreener[.]at, trustwallet[.]receipts[.]sh, amlbot[.]im, dotabuff[.]org) — kimlik bilgilerinin çalınmasına ve maddi kayıplara yol açan marka kimliğinin taklit edilmesi.
- Kartlama altyapısı (patricksstash, stashhpatrick) — çalınan ödeme verilerini diğer suçlulara satmak.
Neler Değişmeli?
Mevcut model, tasarım gereği işlevsizdir. Kayıt kuruluşları, alan adlarının aktif kalmasından kâr elde ediyor. ICANN’ın yaptırım gücü yoktur. Mağdurların başvurabileceği bir yol yoktur. Sorunu çözecek çözüm şudur:
- Kötüye kullanım vakalarına müdahale için zorunlu SLA: 24 saat içinde bildirim, 72 saat içinde ilk müdahale, 7 gün içinde eskalasyon süreci. Ölçülebilir. Denetlenebilir.
- Otomatik askıya alma eşiği: VirusTotal'da 10 veya daha fazla tespit ve 2 veya daha fazla bağımsız rapor bulunan herhangi bir alan adı, inceleme tamamlanana kadar askıya alınmalıdır — tersi geçerli değildir.
- Kamuya açık istismar şeffaflık raporları: ICANN tarafından akredite edilmiş her kayıt kuruluşu, üç ayda bir şu bilgileri yayınlamak zorundadır: alınan bildirimler, ortalama yanıt süresi, alınan önlemler ve askıya alınan alan adları.
- Uygunsuzluk durumunda uygulanacak para cezaları: Sistematik olarak gerekli önlemleri almayan kayıt kurumlarına kademeli para cezaları uygulanacaktır. Tekrar eden ihlallerde akreditasyon hakkı elinden alınacaktır.
- Bağımsız istismar ombudsmanı: Kayıt kuruluşlarının kararlarını gözden geçirebilen, eylemsizliği ortadan kaldırabilen ve kritik tehditler karşısında askıya alma işlemlerini hızlandırabilen bağımsız bir kurum.
- Kayıt kuruluşları arası yasak listesi: Bir kayıt sahibinin seri suistimalci olduğu teyit edildiğinde, tüm akredite kayıt kuruluşları bu durumdan haberdar edilmelidir. Artık alan adı alışverişi yapılmamalıdır.
PhishDestroy Bu Konuda Ne Yaptı?
Raporlar yazıp sektörün kendi kendine düzelmesini beklemiyoruz. Şeffaflığı zorunlu kılan ve harekete geçmemenin sonuçlarını ortaya çıkaran sistemler kuruyoruz.
Kamuya Açık Tehdit Veritabanı
Şunu oluşturduk ve bakımını yapıyoruz: yok etme listesi — 50.000'den fazla kötü amaçlı alan adını içeren, herkese açık ve sürekli güncellenen bir veritabanı. Artık gönderdiğimiz her kötüye kullanım raporu, alan adı kayıt kuruluşuna şu bilgileri iletir: Bu alan adı, halka açık bir veritabanında listelenecektir. Müşterilerinin alan adlarının potansiyel mağdurları, raporun ne zaman sunulduğunu ve kayıt kuruluşunun bunu ne kadar süre boyunca görmezden geldiğini görebilecekler. Bu durum kayıt kuruluşları için rahatsız edici — ve asıl amaç da bu.
Etki Alanı Tehdit Sayfaları
Şu anda işaretlediğimiz her alan adının şu adreste kendine ait bir sayfası bulunmaktadır: phishdestroy.io/domain — kapsamlı analiz, yapay zeka tarafından oluşturulan tehdit açıklaması ve bir Tehdit Müdahale Pipeline İşlemin tam aşamalarını gösterir: tespit, rapor gönderimi, üst mercilere iletme, ICANN’a bildirim. Durumlar gerçek zamanlı olarak güncellenir. Tam şeffaflık sağlamak amacıyla artık her takip raporuna kesin zaman damgaları ekliyoruz. Herkes, kayıt kuruluşunun ne zaman bilgilendirildiğini ve ne kadar süre boyunca harekete geçmemeyi tercih ettiğini tam olarak görebilir.
Escalation Sistemi — Su Baskını Bildirimi Yapılmamıştır
Biz yapıyoruz değil kayıt kuruluşlarını mükerrer raporlarla boğmamak. Vakaların %98’inde, tek bir ilk rapor göndeririz ve bunu tekrarlamayız — hem günlük e-posta sınırlamaları nedeniyle hem de toplu mükerrerliklerin yanlış bir yaklaşım olduğuna inandığımız için. Bir alan adı yalnızca tekrar aktif olarak tespit edildi yeni bir tarama sırasında. Her aktif etki alanına günlük olarak spam göndersek, bu günde 50.000 e-posta anlamına gelir. Bunu yapmıyoruz. Eskalasyon sistemimiz, yapay zeka ile analiz edilmiş tehdit özetleri, güncellenmiş VirusTotal puanları ve kayıt kuruluşunun tehdidi ne kadar süredir görmezden geldiğini gösteren saat sayısını içeren takip raporları (#2, #3 vb.) oluşturur.
Topluluk Yeniden Raporlama Aracı
Telegram botumuzda @PhishDestroy_bot, kullanıcılar artık şunları gönderebilir: yeniden raporlar İlk raporumuzdan sonra hâlâ aktif olduğunu tespit ettikleri alan adları için. Çok sayıda kayıt kuruluşu dolandırıcıların serbestçe faaliyet göstermesine izin veriyor ve yol açtıkları feci hasarı görmezden geldiği için, topluluğa sesini duyurma imkânı sunuyoruz. Bir kayıt kuruluşu bizi dinlemiyorsa, belki de gerçek kullanıcılardan gelen çok sayıda bağımsız raporu dikkate alacaktır.
PhishDestroy — markaları korumuyoruz. Mağdurları savunmuyoruz. Kimlik avı ve dolandırıcılık altyapılarını ortadan kaldırıyoruz.
Sonuç
16 antivirüs motoru bir alan adının zararlı olduğunu belirtiyorken, bir kayıt kuruluşu “herhangi bir işlem yapılmayacak” diyorsa, bu kayıt kuruluşu kendi muhakemesini kullanmıyor — gelirini koruyor. 13 ayrı kötüye kullanım bildirimi yanıtlanmadığında ve bir alan adı 1.352 saat boyunca aktif kaldığında, kayıt kuruluşu birikmiş iş yükünü işlemiyor; suç işlenmesine olanak sağlıyor.
Bu makaledeki veriler teorik değildir. Bunlar, 2026 yılının Mart ayında tek bir haftaya ait gerçek zamanlı kötüye kullanım bildirim kayıtlarımızdır — ve bunların arkasında yatan şey ise 50.000'den fazla bildirilen alan adı sürekli güncellenen tehdit akışımızda. Bu, tek bir kayıt kuruluşuyla sınırlı bir sorun değildir. Bu bir sektör genelinde yaşanan başarısızlık çünkü mevcut model kârlı olduğu için, alan adı kayıt ekosistemi bu sorunu çözmeye hiç ilgi duymuyor.
Kayıt kuruluşlarının bulgularına uymakla yükümlü olduğu hiçbir antivirüs yazılımı üreticisi yoktur. Zorunlu bir eylemi tetikleyen herhangi bir tespit eşiği yoktur. Hizmet Düzeyi Anlaşması (SLA) yoktur, hesap verme yükümlülüğü yoktur, sonuçları yoktur. Kayıt kuruluşu ücreti tahsil eder, raporları görmezden gelir ve bedelini mağdurlar öder.
Kayıt kuruluşları tarafsız altyapı sağlayıcıları değildir. Onlar, her gün, görmezden geldikleri her ihbarla birlikte suç altyapısının çevrimiçi kalmasını tercih eden “kapı bekçileri”dir. Zararın farkındalar. Bunu durdurma gücüne sahipler. Ama bunu yapmamayı tercih ediyorlar. Ve ta ki biri onlara tek önemli soruyu sorana kadar — "Askıya almayı reddettiğiniz alan adlarının mağdurlarına tazminat ödemeyi kabul ediyor musunuz?" — hiçbir şey değişmeyecek.
Sektörün bu konudaki sessizliği, en net cevaptır.
