Ana içeriğe atla
Haberlere Geri Dön
İstismar Bildirimleri Sonuçsuz Kaldığında — Kayıt Kuruluşunun Yanıt Vermemesi
ARAŞTIRMA • Okuma süresi: 15–18 dakika

İstismar Bildirimleri Sonuçsuz Kaldığında: Kayıt Kuruluşları Nasıl Siber Suçların Sessiz Ortakları Haline Geliyor?

Kanıtlarla dolu istismar raporları gönderiyoruz — VirusTotal tespitleri, ekran görüntüleri, kara liste verileri, antivirüs taramaları. Kayıt kuruluşları bunları alıyor ama hiçbir şey yapmıyor. Bazı kimlik avı alan adları hâlâ aktif durumda 1.788 saat ve 13 ayrı rapor. Bu bir sistem hatası değil — bir tasarım tercihidir. İşte veriler.

Bozuk Sistem

Gönderdiğimiz her ihbar, net bir protokol izler: alan adı URL’si, kategori (kimlik avı, kripto para hırsızlığı, sahte kumarhane), VirusTotal’da tespit sayısı, ekran görüntüsü kanıtları ve kara liste durumu. Bunlar belirsiz şikayetler değil — adli inceleme paketleridir. Yine de, bir alan adı birbiri ardına çevrimiçi kalmaya devam ediyor haftalar ve aylar ilk raporun ardından.

Kayıt kuruluşlarının kötüye kullanım bildirimlerini nasıl ele almaları gerektiğine dair evrensel bir standart bulunmamaktadır. Hizmet Düzeyi Anlaşması (SLA) yoktur. Zorunlu yanıt süresi yoktur. Hesap verebilirlik ölçütü yoktur. Her kayıt kuruluşu, işaretlenen bir alan adının 16 antivirüs motoru dikkat gerektirir — ya da şablon bir yanıt ve kapatılmış bir bilet.

1.788 saat
payscrow[.]bet — 6 bildirim ve 16 VirusTotal tespitine rağmen 75 gündür aktif durumda. Kayıt kuruluşu: Tucows / Identity Digital.

16 antivirüs motorunu kim geçersiz kılar?

Bu, hiçbir kayıt kuruluşunun cevaplamak istemediği bir sorudur. Ne zaman Kaspersky, ESET, Fortinet, BitDefender, Sophos, G-Data ve VirusTotal’da on güvenlik sağlayıcısı daha bir etki alanını zararlı olarak işaretliyor — ve kayıt kuruluşunun kötüye kullanım ekibi karar veriyor "herhangi bir işlem gerekmez" — O kararı tam olarak kim verdi?

Şu saçmalığı bir düşünün: Bir kayıt kuruluşundaki tek bir kötüye kullanım analisti, aşağıdakilerin bir araya getirdiği tehdit istihbaratını geçersiz kılıyor: 16 bağımsız antivirüs motoru, her biri milyarlarca veri noktası, özel araştırma laboratuvarları ve onlarca yıllık deneyime sahip. Neye dayanarak? NiceNIC veya GlobalDomainGroup’taki bir kötüye kullanım ekibi, Kaspersky’ninkini aşan hangi tarama altyapısını kullanıyor?

Cevap basit: hiçbiri. Taramıyorlar. Doğrulamıyorlar. Ya rapora hiç bakmıyorlar ya da mali bir hesaplama yapıyorlar: aktif bir alan adı gelir getirir; askıya alınmış bir alan adı ise getirmez.

farewex[.]com — 13 adet kötüye kullanım bildirimi gönderildi. 13 adet VirusTotal algılaması. 1.352 saat (56 gün) boyunca aktif kaldı. Alan adı kayıt kuruluşu (apiname.com / Verisign), antivirüs yazılımı üreticileri, tehdit istihbarat platformları ve ICANN uyum biriminden kanıtlar aldı. Alan adı hâlâ aktif durumda. Bunun kabul edilebilir olduğuna kim karar verdi?

Bunun ne anlama geldiğini açıkça belirtelim: Kayıt kuruluşundaki bir kişi, 13 bağımsız güvenlik sağlayıcısından gelen kanıtları ve 13 ayrı kötüye kullanım raporunu inceledi — ve kendi yargısının daha üstün olduğuna karar verdi. Bu bir hata değil. Bu bir politika.

Saygı Duydukları Hiçbir Otorite Yok

Kayıt kuruluşlarının güvenilir kabul ettiği tek bir antivirüs üreticisi sayın. Sayamazsınız — çünkü böyle bir üretici yok.

  • Kaspersky — etki alanını algılar mı? Göz ardı edildi.
  • ESET — bunu kimlik avı olarak mı işaretliyor? Göz ardı edildi.
  • Fortinet — bunu ağ düzeyinde engelliyor mu? Göz ardı edildi.
  • BitDefender — milyonlarca kullanıcıyı uyarıyor mu? Görmezden geliniyor.
  • Google Safe Browsing — Dünyadaki en büyük internet güvenlik sistemi mi? Yine de göz ardı ediliyor.

Şöyle ki algılama eşiği yok bu durumda kayıt kuruluşunun harekete geçmesi zorunludur. Ne 5 ne de 10 ne de 16. Bir alan adı, VirusTotal’da tüm antivirüs sağlayıcıları tarafından işaretlenebilir, birden fazla kara listeye girebilir ve hakkında bir düzine kötüye kullanım raporu sunulabilir — ancak kayıt kuruluşunun herhangi bir işlem yapma konusunda yasal olarak bağlayıcı bir yükümlülüğü yoktur.

Bu, sistemdeki bir eksiklik değildir. İşte sistem budur. Alan adı kayıt sektörü, güvenlik araştırmacılarının, antivirüs üreticilerinin veya tehdit istihbarat platformlarının bulgularına uymalarını gerektirecek herhangi bir bağlayıcı standardı başarıyla önlemiştir. 70 motorun 16’sı bir alan adını tespit ediyorsa — bu “belki” değildir. Bu bir fikir birliğidir. Ancak, tarama altyapısı bulunmayan ve alan adının aktif kalmasından maddi çıkar sağlayan kayıt kuruluşunun kötüye kullanım ekibi, bu fikir birliğini hiçe saymaktadır.

0
Kayıt kuruluşlarının bulgularını dikkate alan antivirüs yazılımı üreticilerinin sayısı zorunlu harekete geçmek için. Ne Kaspersky, ne ESET, ne de Google. Hiçbiri.
Sektörün Sessizlik Duvarı — NiceNIC, Tucows, GlobalDomainGroup, apiname, Porkbun, Dynadot ve Endurance tarafından engellenmiş, bildirilen 50.000'den fazla alan adı hâlâ çevrimiçi durumda
50.000'den fazla kötüye kullanım bildirimi yapıldı. Kayıt kuruluşu duvarı ayakta. Alan adları çevrimiçi kalıyor.

Mali Teşvik

Alan adı kayıt kuruluşları, her alan adı için yıllık ücret alır. Her askıya alma işlemi gelir kaybı anlamına gelir. Her kaldırma işlemi ise para iadesi riski oluşturur. Alan adlarını aktif tutmak için doğrudan ve ölçülebilir bir mali teşvik vardır; buna karşın, kötüye kullanım bildirimlerini göz ardı etmenin herhangi bir mali cezası yoktur.

Bu durum tüm altyapı sağlayıcıları için geçerli değildir. CloudflareÖrneğin, bu şirket kötüye kullanım bildirimlerini verimli bir şekilde işler ve alan adı kayıtlarından aynı şekilde gelir elde etmez. Bu ayrım önemlidir: Bildiriminizi işleyen şirket, alan adının çevrimiçi kalmasından kâr elde ediyorsa, çıkar çatışması yapısaldır.

Kanıt: Raporlarımızdan Alınan Canlı Veriler

Aşağıda, Mart 2026 tarihli kötüye kullanım bildirim günlüğümüzden bir örnek yer almaktadır. Her bir kayıt, hala aktif raporlama anında, daha önceki raporlara ve teyit edilmiş tespitlere rağmen.

Etki AlanıRaporlarAktif (saat)VTBLKayıt Görevlisinin Görevini Kötüye Kullanması
payscrow[.]bet61.788 saat16Tucows
6chicken9[.]top41.783 saat41Dayanıklılık
apphyena[.]trade21.781 saat3NiceNIC
airdrop[.]autos31.364 saat41Gname
amlstats[.]com71.363 saat141Tucows
amlscore[.]info71.363 saat91Tucows
amlwallets[.]io41.363 saat101nic.io
aavleaderboard[.]assetavenue[.]capital21.359 saat1IdentityDigital
airdropchime[.]com21.359 saat1Namecheap
farewex[.]com131.352 saat13apiname.com
app[.]whitewhalesmeme[.]com41.330 saat14Verisign
zordex[.]us31.314 saat14apiname.com
alhpatrademarket[.]com21.278 saat15GlobalDomainGroup
angelferno[.]com21.278 saat71NiceNIC
ansol[.]cc41.278 saat41NiceNIC
amltrackerbot[.]com21.278 saat61Tucows
amlstatement[.]info41.228 saat16Porkbun
a8vx[.]top21.049 saat16Dynadot
amlinfo[.]now21.033 saat2Porkbun
xwinner[.]cc41.026 saat14GlobalDomainGroup
xerowex[.]com61.021 saat14apiname.com
menty[.]sbs4985 saat16gen.xyz
perowex[.]com5971 saat14apiname.com
amlbot[.]im4965 saat6nic.im
3capitalstrading[.]com2879 saat2GlobalDomainGroup
naebex[.]com5826 saat11PDR
casbatle[.]com2803h2NiceNIC
amlchecknow[.]digital2751 saat6PDR
sollfalare[.]top2730h3Dayanıklılık
marketcsgo[.]net2717h15GlobalDomainGroup
dinadrop[.]com2717h6GlobalDomainGroup
dotabuff[.]org2674 saat2PIR
casesbattle[.]org2652 saat2PIR
763182819[.]top2618 saat15Gname
kahcas[.]com5539 saat14INWX
qizaro[.]cc5535 saat12GlobalDomainGroup
apexresolvefix[.]com2496 saat3Cosmotown
amlriskscore[.]ru2448 saat1cctld.ru
patricksstash[.]to2427 saat2tonic.to
stashhpatrick[.]cc2427 saat5NiceNIC
stake2win[.]me2402h14domain.me
wazbee[.]me2388 saat16domain.me
dexscreener[.]at2328 saat16nic.at
2fa[.]walletpinet[.]com116Verisign
appether[.]fi1131

VT = Yaklaşık 70 tarama motoru üzerinden VirusTotal tarafından tespit edilenler. "Aktif" = Sorunun üst mercilere iletildiği anda ilk tespitinden bu yana geçen saat sayısı. Veriler: PhishDestroy kötüye kullanım bildirim günlüğü, 19–21 Mart 2026.

Rakamlar Yalan Söylemez

Ortalama Etkinlik Süresi

943 saat

Aktif çalışma saatleri bilinen tüm alan adlarında ortalama ~39 gün

Maksimum Etkin Süre

1.788 saat

payscrow[.]bet — 75 gün, 6 rapor, VT:16

Gönderilen Raporların Toplam Sayısı

150+

Sadece bu örneklemdeki tüm alanlara ilişkin birleştirilmiş raporlar

VT değeri 10 veya daha fazla olan alan adları

22

10'dan fazla antivirüs motoru tarafından kötü amaçlı olduğu doğrulanan ve hâlâ aktif olan tüm alan adlarının neredeyse yarısı

Tekrar Suçlular: Kayıt Memurlarına Göre Dağılım

Tüm kayıt kuruluşları aynı değildir. Verilerimiz net bir eğilim ortaya koyuyor: Bazı kayıt kuruluşları, en kötü performans gösteren kayıtlar arasında defalarca yer alıyor.

apiname.com

  • farewex[.]com — 1.352 saat, 13 rapor, VT:13
  • zordex[.]us — 1.314 saat, 3 bildirim, VT:14
  • xerowex[.]com — 1.021 saat, 6 bildirim, VT:14
  • perowex[.]com — 971 saat, 5 rapor, VT:14

4 alan adı. Toplamda: 4.658 saatlik suç altyapısı. 27 rapor göz ardı edildi.

GlobalDomainGroup

  • xwinner[.]cc — 1.026 saat, VT:14
  • marketcsgo[.]net — 717 saat, VT:15
  • dinadrop[.]com — 717 saat, VT:6
  • qizaro[.]cc — 535 saat, VT:12
  • csgomy[.]com — 356 saat, VT:9
  • tastdrop[.]com — 357 saat, VT:2
  • casebatle[.]com — 327 saat, VT:6
  • casebatltle[.]com — 327 saat, VT:2
  • chestix[.]net — 293 saat, VT:1
  • ggddrop[.]com — 365 saat, VT:1

10 alan. Veri setimizdeki en büyük tek küme. Bir tesadüf değil, bir örüntü.

Tucows / IdentityDigital

  • payscrow[.]bet — 1.788 saat, 6 rapor, VT:16
  • amlstats[.]com — 1.363 saat, 7 rapor, VT:14, BL:1
  • amlscore[.]info — 1.363 saat, 7 rapor, VT:9, BL:1
  • amltrackerbot[.]com — 1.278 saat, 2 rapor, VT:6, BL:1

Tucows: Toplam 22 bildirim, 5.792 saatlik dolandırıcılık. amlstats, haftada bir olmak üzere 7 bildirim aldı ve hepsini başarıyla atlattı.

NiceNIC (nicenic.net)

  • apphyena[.]trade — 1.781 saat, VT:3
  • angelferno[.]com — 1.278 saat, VT:7, BL:1
  • ansol[.]cc — 1.278 saat, 4 rapor, VT:4, BL:1
  • casbatle[.]com — 803h, VT:2
  • stashhpatrick[.]cc — 427 saat, VT:5
  • casebaetle[.]com — 310 saat, VT:2
  • casebattle[.]info — ilk rapor, VT:1
  • appalmanak[.]live — ilk haber, VT:2

8 alan adı. Toplamda 5.877 saatten fazla. Daha önce incelenenler: NiceNIC Değerlendirmesi — hiçbir meşru kullanım bulunamadı.

Porkbun

  • amlstatement[.]info — 1.228 saat, 4 rapor, VT:16
  • amlinfo[.]now — 1.033 saat, 2 rapor, VT:2
  • amlspace[.]com — 712 saat, 2 rapor, VT:1

amlstatement[.]info: 16 antivirüs algılaması, 4 rapor ve 51 gündür çevrimiçi. Porkbun’un kötüye kullanım ekibi neyi kabul edilebilir buldu?

Dynadot

  • a8vx[.]top — 1.049 saat, 2 rapor, VT:16
  • aave[.]events — ilk rapor, VT:2, BL:1
  • aavetrading[.]net — ilk rapor, VT:9

a8vx[.]top: 16 VT tespiti ve 44 gün süren suç faaliyeti. Dynadot, ICANN tarafından akredite edilmiş bir kayıt kuruluşudur.

domain.me

  • wazbee[.]me — 388 saat, VT:16
  • stake2win[.]me — 402h, VT:14

Her iki alan adı da 14–16 antivirüs algılamasına sahip. İkinci raporun ardından her ikisi de hâlâ aktif durumda.

Siber Suçlardaki Gizli Ortaklar — ABUSE IGNORED Hub'a bağlı ve saatlerce hareketsiz kalan kayıt kuruluşlarını gösteren ağ şeması
Her düğüm, ICANN tarafından akredite edilmiş bir kayıt kuruluşudur. Her sayı, kötüye kullanım bildirimlerinden sonra çevrimiçi kalmaya devam eden, doğrulanmış suç altyapısının saat cinsinden süresini gösterir.

Kayıt Memurunun Toplam Hareketsizlik Saatleri

NiceNIC
5.877 saat
Tucows
5.792 saat
GlobalDomainGroup
5.520 saat ve üzeri
apiname.com
4.658 saat
Porkbun
2.973 saat
Dayanıklılık
2.513 saat
Dynadot
1.049 saat+
domain.me
790h

Mart 2026 veri setimizde, kayıt kuruluşu bazında bildirilen tüm alan adlarının toplam aktif saatleri. Bu, kayıt kuruluşlarındaki suistimallerin toplamını yansıtmamaktadır — yalnızca bir örneklemde gözlemlediğimiz verileri göstermektedir.

Bizim Göndürdüklerimiz ve Onların Yaptıkları

Her PhishDestroy kötüye kullanım raporu şunları içerir:

Raporumuz Şunları İçeriyor

  • Alan adı URL’si ve kayıt bilgileri
  • VirusTotal puanı ve üretici isimleri
  • Oltalama sitesinin tam sayfa ekran görüntüsü
  • Kategori sınıflandırması (phishing, para sızdırma, dolandırıcı kumarhane)
  • Birden fazla beslemeden gelen kara liste durumu
  • URLscan.io veya benzeri tarama sonuçları
  • Önceki rapor geçmişi ve zaman çizelgesi

Kayıt Memurunun Yanıtı

  • Hiçbir yanıt yok (en yaygın durum)
  • Şablon onayı, işlem yapılmayacak
  • "İnceleme yapacağız" — haftalar geçiyor, alan adı hala duruyor
  • "Bu iddiayı doğrulayamıyoruz" — 16 VT tespitine rağmen
  • Bilet, çözüm bulunamadan kapatıldı
  • Daha önce sunulmuş kanıtlara ilişkin talep

Kayıt kuruluşunun harekete geçmemesi üzerine, konuyu ICANN Uyumluluğu (compliance@icann.org). Yukarıda gösterilen her durumda, ICANN ikinci veya sonraki raporlara bilgi olarak eklenmişti. Sonuçlar mı? Onlar da yoktu.

Var Olmayan ICANN Standardı

ICANN'ın Kayıt Kuruluşu Akreditasyon Anlaşması (RAA), Madde 3.18 Kayıt kuruluşlarının bir kötüye kullanım irtibat kişisi bulundurmasını ve kötüye kullanım bildirimlerini “araştırmak ve uygun şekilde yanıt vermek için makul ve derhal önlemler almasını” şart koşmaktadır.

Uygulamada, “makul ve zamanında” ifadesi, kayıt memurunun ne anlama geldiğine karar verdiği şekilde yorumlanır. Şu durumlar söz konusudur:

  • Maksimum yanıt süresi yok — bir kayıt kuruluşu haftalarca bekleyip bunun “makul” olduğunu iddia edebilir
  • Zorunlu askıya alma eşiği yoktur — 16 VT algılaması, otomatik olarak herhangi bir eylemi tetiklemez
  • Kamuya açık raporlama zorunluluğu yoktur — kayıt kuruluşlarının, kaç adet bildirim aldıklarını veya bunlara ilişkin ne tür önlemler aldıklarını açıklamak zorunda değiller
  • Anlamlı bir ceza yok — ICANN, suistimallere karşı harekete geçmemesi nedeniyle akreditasyonu nadiren iptal etmiştir

Sonuç olarak: Kayıt kuruluşları, kötüye kullanımla mücadeleyi yerine getirilmesi gereken bir güvenlik yükümlülüğü olarak değil, en aza indirilmesi gereken bir maliyet kalemi olarak görüyor.

Standart ne olmalıdır: 24 saat içinde bildirim. VT değeri 10 veya üzeri olan alan adları için 72 saat içinde işlem. 3 veya daha fazla bağımsız bildirimden sonra otomatik askıya alma. Kötüye kullanım istatistiklerine ilişkin üç ayda bir kamuya açık raporlama. Sistematik kurallara uymama durumunda mali yaptırımlar.

Yazım hatası ile alan adı ele geçirme konusunda önlem alıyorlar — ancak kimlik avı konusunda değil

İşte bu durumu daha da saçma kılan şey şudur: Aylarca kimlik avı bildirimlerini görmezden gelen bu kayıt kuruluşlarından bazıları, belirli bir tür kötüye kullanım konusunda son derece etkilidir: yazım hatası yoluyla alan adı ele geçirme — tanınmış marka adlarıyla karıştırılabilecek kadar benzer olan alan adları.

Neden? Çünkü yazım hatası istismarı, şu hedefleri hedef alır: yasal bütçeleri olan şirketler. Google, Apple veya Microsoft, benzer bir alan adı hakkında UDRP şikâyetinde bulunduğunda, kayıt kuruluşları birkaç gün içinde harekete geçer. Ticari marka suistimali nedeniyle dava açılma ve ICANN yaptırımlarına maruz kalma tehdidi gerçek ve acildir.

Peki ya bir kimlik avı sitesi bireysel kurbanların parasını çaldığında? Ya bir kripto para hırsızı birinin tüm birikimlerini boşalttığında? Ya sahte bir kumarhane, oyunculardan kredi kartı bilgilerini çaldığında? Şirketin hukuk ekibi yok. UDRP başvurusu yok. Aciliyet yok. Kayıt kuruluşunun kötüye kullanımla mücadele birimi farklı bir standart uygulamaktadır — bu standartta, mağdurun maddi kaybı, bir markanın ticari marka endişesiyle aynı tepkiyi tetiklememektedir.

Yazım Hatası Kötüye Kullanımı Raporu

  • Marka sahibi UDRP başvurusu yapar
  • Kayıt Sorumlusu birkaç gün içinde yanıt verir
  • Alan adı hızlı bir şekilde kilitlendi/askıya alındı
  • Harekete geçmemenin hukuki sonuçları

Kimlik Avı/Dolandırıcılık Bildirimi

  • Mağdurlar/araştırmacılar istismar bildirimlerinde bulunuyor
  • Kayıt memuru haftalarca/aylarca aldırış etmiyor
  • Alan adı, geçerlilik süresi dolana kadar aktif kalır
  • Harekete geçmemenin hiçbir sonucu yok

Mesaj açık: Kayıt kuruluşları insanları değil, markaları korur. Onlar, zarara dair kanıtlara değil, yasal yetkiye tepki gösteriyorlar. Raporlarımız, herhangi bir UDRP başvurusu kadar objektif kanıt içeriyor — VirusTotal taramaları, antivirüs tespitleri, kara liste doğrulamaları, ekran görüntüleri — ancak yine de yanıtlanmıyorlar.

Onların İşini Biz Yapıyoruz — Üstelik Ücretsiz

PhishDestroy, bir bağımsız, ticari amaç gütmeyen proje. Alan adlarını tarıyoruz. Tehditleri sınıflandırıyoruz. VirusTotal raporları oluşturuyoruz. Ekran görüntüleri alıyoruz. Ayrıntılı suistimal raporları hazırlayıp bunları kayıt operatörlerine, kayıt merkezlerine ve ICANN’e gönderiyoruz. Kayıt kuruluşlarının kendilerinin yapması gereken güvenlik işlerini biz üstleniyoruz.

Ve işte rahatsız edici gerçek şu: Bazı kayıt kuruluşları gerçekten de bu işi yapıyor. Bazı kayıt operatörleri kendi alan adı tarama altyapılarını işletiyor, özel tehdit istihbaratı kaynaklarını kullanıyor ve kötü amaçlı alan adlarını kimse ihbar etmeden önce proaktif olarak askıya alıyor. Bunlar gerçekten var. Bunun mümkün olduğunu kanıtlıyorlar.

Etkin Olarak Çalışan Kayıt Kuruluşları

  • Dahili tarama araçlarını çalıştırın (özel, kamuya açık olmayan)
  • Bariz dolandırıcılık amaçlı alan adlarını proaktif olarak askıya alın
  • Kötüye kullanım bildirimlerine birkaç saat içinde yanıt verin
  • Araştırmacılar ve kolluk kuvvetleriyle işbirliği yapmak
  • VirusTotal verilerini ve kara liste verilerini delil olarak kabul etmek

Bu kayıt kuruluşları, kötüye kullanım vakalarına hızlı müdahalenin hem teknik hem de ekonomik açıdan mümkün olduğunu kanıtlamaktadır.

Dolandırıcıları Koruyan Kayıt Kuruluşları

  • Hiçbir tür tarama altyapısı bulunmamaktadır
  • Raporları bekleyin, sonra da onları görmezden gelin
  • Şablon yanıtlar, bilet kapatıldı, alan adı aktif
  • Raporları aldığını reddetme (NameSilo kalıbı)
  • Hiçbir kanıt olmadan 16 antivirüs motorunu geçersiz kılmak

Bu kayıt sağlayıcılar, güvenliği değil geliri tercih ettiler. Onların harekete geçmemesi, işlerini ücretsiz olarak yapan güvenlik camiası tarafından destekleniyor.

Asıl mesele, kötüye kullanım vakalarına hızlı müdahalenin mümkün olup olmadığı değildir. Öyle. Asıl soru, bazı kayıt kuruluşlarının bunu yapmamayı tercih etmelerinin nedeni nedir? Ve cevap, her seferinde aynı yapısal teşvike geri dönüyor: Aktif alan adları gelir getirir. Askıya alınmış alan adları ise gelir getirmez.

Uygulanması Gereken Yürürlükteki Standartlar

Kayıt kuruluşlarını hesap verebilir kılmaya yönelik bir çerçeve zaten mevcut — ancak bu çerçeve uygulanmıyor:

ICANN RAA Madde 3.18

Şu Kayıt Kurumu Akreditasyon Anlaşması Kayıt kuruluşlarının kötüye kullanımla ilgili irtibat bilgilerini güncel tutmalarını ve bildirimleri derhal soruşturmalarını zorunlu kılar. Ancak bu kuralın uygulanması fiilen yok denecek kadar azdır.

APWG

Şu Kimlik Avına Karşı Çalışma Grubu sorunun boyutunu ortaya koyan üç aylık kimlik avı eğilim raporları yayınlamaktadır. Alan adı kayıt kuruluşları APWG’ye katılmaktadır — ancak yine de bu raporları görmezden gelmektedir.

FTC’nin Aldığı Önlemler

Şu FTC’nin NameSilo’ya gönderdiği uyarı mektubu (Aralık 2024) dolandırıcılık sorununa çözüm getirilmemesini açıkça eleştirdi. ICANN’ın kendi Uyum departmanı bildirimlerimizi alıyor ama yanıt vermiyor.

DNSAI

Şu DNS Kötüye Kullanım Enstitüsü (PIR tarafından) DAAR gibi araçlar geliştirir ve en iyi uygulamaları teşvik eder. Oysa PIR’ın kendi kayıt defterinde dotabuff[.]org (674 saat aktif, VT:2) ve casesbattle[.]org (652 saat) barındırılmaktadır.

50.000 Alan Adı ve Artmaya Devam Ediyor

Yukarıdaki örnekler bir tek bir haftaya ait örnek. Gerçek boyutlar akıl almaz.

50.000+
Sistemimizde aktif olan kimlik avı alan adları yok etme listesi hakkında kötüye kullanım bildirimi alınmış olanlar. Bunların çoğu hala çevrimiçi.

Sürekli güncellenen tehdit beslememiz şu adreste yer almaktadır: content_active.txt Kötü amaçlı olduğu bildirilen 50.000'den fazla alan adı içermektedir. Her biri en az bir kötüye kullanım bildirimi almıştır. Birçoğu ise birden fazla bildirim almıştır. Kayıt kuruluşları, VirusTotal taramaları, ekran görüntüleri ve kara liste onayları gibi kanıtları almış, ancak halkın güvenliği yerine müşterilerini tercih etmiştir.

Çünkü işte bu tam da budur: bir seçenek. Kayıt kuruluşunun müşterisi, alan adını kaydettiren kişidir — yani dolandırıcı. Kayıt kuruluşunun müşterisi, sahte bir banka sayfası yüzünden birikimlerini kaybeden büyükanne, cüzdanı boşaltılan kripto para kullanıcısı ya da Steam hesabı çalınan oyuncu değildir. Kayıt kuruluşu her seferinde dolandırıcıyı seçmiştir.

50.000 Alan Adı, Sıfır Sorumluluk — NiceNIC, Tucows, GlobalDomainGroup, apiname ve Porkbun’dan “HİÇBİR İŞLEM YAPILMADI” damgalı kimlik avı alan adlarının üretim hattı
Kötüye kullanım bildirimleri konveyör bandı: Alan adları VT:16 tespitleriyle sisteme girer, üzerlerine “EYLEM YOK” damgası vurulur ve akış devam eder. Kayıt kuruluşlarının adları, kendi oluşturdukları satırın üzerinde parıldar.

Rapordan Mağdurlara: Her Saat Önemlidir

Bir kötüye kullanım raporu gönderdiğimiz anda bir süre başlar. O andan itibaren, kayıt kuruluşu resmi olarak haberdar yönetimleri altındaki bir alan adının dolandırıcılık amacıyla kullanıldığına dair. Bu bildirimin ardından harekete geçilmemesi durumunda geçen her saat, bir saatlik bilinçli suç ortaklığı.

Veri setimizdeki birçok alan adı, sadece birkaç bildirimden kurtulmakla kalmıyor — bunlar, kendi kayıt süresi sona eriyor. Tam bir döngü izliyorlar: kayıt oluyorlar, dolandırıcılık yapıyorlar, ihbar ediliyorlar, tekrar ihbar ediliyorlar, ICANN’a sevk ediliyorlar, dolandırıcılığa devam ediyorlar, süresi doğal olarak doluyor. Kayıt kuruluşu kayıt ücretini aldı. Dolandırıcı çaldığı parayı aldı. Mağdurlar ise hiçbir şey alamadı.

NameSilo bizim gönderdiğimize dair belgelenmiş kanıtlarımız bulunan kötüye kullanım bildirimlerini aldığını kamuoyu önünde reddetmiştir. Bir kayıt kuruluşu, sorumluluktan kaçınmak için bildirimlerin alındığı konusunda yalan söylediğinde, mağdurların başvurabileceği ne gibi yollar vardır? Belki de kayıt kuruluşlarının kötüye kullanım vakalarını ele alma sürecine ilişkin bağımsız bir denetim yapılmasının zamanı gelmiştir — gönderilen bildirimler ile alınan önlemleri karşılaştıran ve sonuçları kamuoyuna açıklanan bir denetim.

Zamanında yapılan bir alan adı askıya alma işlemi, sadece idari bir işlem değildir. Bu, sadece “kayıt sahibine bir rahatsızlık” da değildir. Bu bir kurtarma operasyonu. Zamanında yasaklanan her alan adı, boşaltılmamış bir cüzdan, çalınmamış bir kimlik bilgisi, boşaltılmamış bir tasarruf hesabı demektir. Alan adı kayıt kuruluşları, bu kaldırmaları “sansür” ya da “iş faaliyetlerinin aksatılması” olarak nitelendirerek, tam olarak kimin çıkarlarına hizmet ettiklerini ortaya koyuyorlar.

Kayıt Kuruluşları Mağdurlara Tazminat Ödemeli mi?

İşte tüm alan adı kayıt sektörünün ele almayı reddettiği soru şudur:

Bir kayıt kuruluşu, VirusTotal tespitleri, ekran görüntüleri ve kara liste doğrulamalarını içeren kanıta dayalı bir kötüye kullanım ihbarı aldığında harekete geçmemeyi tercih ederse, o andan itibaren mağdurlara verilen zararlardan sorumlu olur mu?

Bir düşünün. Kayıt memuru raporu aldığında, o zaman artık bilgisiz değil. Kendilerine, ellerindeki bir alan adının para, erişim bilgileri ve kimlik bilgilerini çalmak için kullanıldığına dair kanıtlarla birlikte bilgi verilmiştir. O andan itibaren, harekete geçmemek ihmal değildir — bu bir bilinçli karar zarara yol açmak.

  • Kayıt kurumu sorumluluk üstlenmeye hazır mı? kendilerine uyarıldıkları bir alan adı üzerinden çalınan her dolar için mi?
  • Kayıt kuruluşu mağdurlara tazminat ödemeye hazır mı? istismar ihbarı yapıldıktan ve göz ardı edildikten sonra parasını kaybedenler kimler?
  • Kayıt kuruluşunun hukuk ekibi 16 antivirüs motorunun birbiriyle çeliştiği bir durumda, “inceledik ve herhangi bir sorun bulamadık” demek savunulabilir bir tutum olmadığını anlıyor musunuz?

Eğer bu üç sorunun cevabı da “hayır” ise — o zaman alan adını aktif tutmak için geçerli bir neden yoktur. Önce askıya alın, sonra soruşturun. Sorumlu altyapı sağlayıcıları işte böyle çalışır. Cloudflare işte böyle çalışır. Hetzner ve OVH gibi barındırma sağlayıcıları da giderek bu şekilde çalışmaya başlıyor. Yalnızca alan adı kayıt kuruluşları, dolandırıcının rahatlığının mağdurun güvenliğinden daha öncelikli olduğu bir modele sarılıyor.

Bedelini Kim Öder?

Bir kimlik avı alan adının çevrimiçi kaldığı her saat, doğrudan mağdurların sayısına yansır:

  • Kripto para hırsızlığı amaçlı alan adları (farewex, perowex, xerowex, naebex) — cüzdanlar saniyeler içinde boşaltıldı. apiname.com alan adlarının toplam 4.658 saatlik süresi, binlerce potansiyel cüzdan boşaltma vakasını temsil ediyor.
  • Sahte kumarhane / CS:GO dolandırıcılıkları (casebattle varyantları, csgomy, ggddrop, tastdrop) — oyun severleri hedef alan kredi kartı dolandırıcılığı, kimlik hırsızlığı ve hileli sonuçlar.
  • Sahte hizmet kimliği taklidi (dexscreener[.]at, trustwallet[.]receipts[.]sh, amlbot[.]im, dotabuff[.]org) — kimlik bilgilerinin çalınmasına ve maddi kayıplara yol açan marka kimliğinin taklit edilmesi.
  • Kartlama altyapısı (patricksstash, stashhpatrick) — çalınan ödeme verilerini diğer suçlulara satmak.
75
gün payscrow[.]bet sitesinin faaliyette olması — bu durum, güvenlik görevlilerine durumun bildirilmesi, kamera kayıtlarının gösterilmesi ve şüphelinin kimliğinin tespit edilmesinden sonra bir yankesiciyi 2,5 ay boyunca alışveriş merkezinde serbest bırakmakla eşdeğerdi.

Neler Değişmeli?

Mevcut model, tasarım gereği işlevsizdir. Kayıt kuruluşları, alan adlarının aktif kalmasından kâr elde ediyor. ICANN’ın yaptırım gücü yoktur. Mağdurların başvurabileceği bir yol yoktur. Sorunu çözecek çözüm şudur:

  1. Kötüye kullanım vakalarına müdahale için zorunlu SLA: 24 saat içinde bildirim, 72 saat içinde ilk müdahale, 7 gün içinde eskalasyon süreci. Ölçülebilir. Denetlenebilir.
  2. Otomatik askıya alma eşiği: VirusTotal'da 10 veya daha fazla tespit ve 2 veya daha fazla bağımsız rapor bulunan herhangi bir alan adı, inceleme tamamlanana kadar askıya alınmalıdır — tersi geçerli değildir.
  3. Kamuya açık istismar şeffaflık raporları: ICANN tarafından akredite edilmiş her kayıt kuruluşu, üç ayda bir şu bilgileri yayınlamak zorundadır: alınan bildirimler, ortalama yanıt süresi, alınan önlemler ve askıya alınan alan adları.
  4. Uygunsuzluk durumunda uygulanacak para cezaları: Sistematik olarak gerekli önlemleri almayan kayıt kurumlarına kademeli para cezaları uygulanacaktır. Tekrar eden ihlallerde akreditasyon hakkı elinden alınacaktır.
  5. Bağımsız istismar ombudsmanı: Kayıt kuruluşlarının kararlarını gözden geçirebilen, eylemsizliği ortadan kaldırabilen ve kritik tehditler karşısında askıya alma işlemlerini hızlandırabilen bağımsız bir kurum.
  6. Kayıt kuruluşları arası yasak listesi: Bir kayıt sahibinin seri suistimalci olduğu teyit edildiğinde, tüm akredite kayıt kuruluşları bu durumdan haberdar edilmelidir. Artık alan adı alışverişi yapılmamalıdır.

PhishDestroy Bu Konuda Ne Yaptı?

Raporlar yazıp sektörün kendi kendine düzelmesini beklemiyoruz. Şeffaflığı zorunlu kılan ve harekete geçmemenin sonuçlarını ortaya çıkaran sistemler kuruyoruz.

Kamuya Açık Tehdit Veritabanı

Şunu oluşturduk ve bakımını yapıyoruz: yok etme listesi — 50.000'den fazla kötü amaçlı alan adını içeren, herkese açık ve sürekli güncellenen bir veritabanı. Artık gönderdiğimiz her kötüye kullanım raporu, alan adı kayıt kuruluşuna şu bilgileri iletir: Bu alan adı, halka açık bir veritabanında listelenecektir. Müşterilerinin alan adlarının potansiyel mağdurları, raporun ne zaman sunulduğunu ve kayıt kuruluşunun bunu ne kadar süre boyunca görmezden geldiğini görebilecekler. Bu durum kayıt kuruluşları için rahatsız edici — ve asıl amaç da bu.

Etki Alanı Tehdit Sayfaları

Şu anda işaretlediğimiz her alan adının şu adreste kendine ait bir sayfası bulunmaktadır: phishdestroy.io/domain — kapsamlı analiz, yapay zeka tarafından oluşturulan tehdit açıklaması ve bir Tehdit Müdahale Pipeline İşlemin tam aşamalarını gösterir: tespit, rapor gönderimi, üst mercilere iletme, ICANN’a bildirim. Durumlar gerçek zamanlı olarak güncellenir. Tam şeffaflık sağlamak amacıyla artık her takip raporuna kesin zaman damgaları ekliyoruz. Herkes, kayıt kuruluşunun ne zaman bilgilendirildiğini ve ne kadar süre boyunca harekete geçmemeyi tercih ettiğini tam olarak görebilir.

Escalation Sistemi — Su Baskını Bildirimi Yapılmamıştır

Biz yapıyoruz değil kayıt kuruluşlarını mükerrer raporlarla boğmamak. Vakaların %98’inde, tek bir ilk rapor göndeririz ve bunu tekrarlamayız — hem günlük e-posta sınırlamaları nedeniyle hem de toplu mükerrerliklerin yanlış bir yaklaşım olduğuna inandığımız için. Bir alan adı yalnızca tekrar aktif olarak tespit edildi yeni bir tarama sırasında. Her aktif etki alanına günlük olarak spam göndersek, bu günde 50.000 e-posta anlamına gelir. Bunu yapmıyoruz. Eskalasyon sistemimiz, yapay zeka ile analiz edilmiş tehdit özetleri, güncellenmiş VirusTotal puanları ve kayıt kuruluşunun tehdidi ne kadar süredir görmezden geldiğini gösteren saat sayısını içeren takip raporları (#2, #3 vb.) oluşturur.

Topluluk Yeniden Raporlama Aracı

Telegram botumuzda @PhishDestroy_bot, kullanıcılar artık şunları gönderebilir: yeniden raporlar İlk raporumuzdan sonra hâlâ aktif olduğunu tespit ettikleri alan adları için. Çok sayıda kayıt kuruluşu dolandırıcıların serbestçe faaliyet göstermesine izin veriyor ve yol açtıkları feci hasarı görmezden geldiği için, topluluğa sesini duyurma imkânı sunuyoruz. Bir kayıt kuruluşu bizi dinlemiyorsa, belki de gerçek kullanıcılardan gelen çok sayıda bağımsız raporu dikkate alacaktır.

Dolandırıcılık amaçlı proje sahiplerine ve ihmalkâr kayıt kuruluşlarına bir uyarı: Eğer sizi “kitlesel raporlarla bombardımana tuttuğumuzu” düşünüyorsanız — öyle bir şey yapmıyoruz. Her tespit olayı için tek bir rapor gönderiyoruz. Çok sayıda rapor alıyorsanız, bunun nedeni çok sayıda kötü amaçlı alan adınızın olmasıdır. Raporların hepsi farklıdır; farklı alan adlarına aittir ve farklı kanıtlar içerir. Sorun, raporlama hacmimiz değil — asıl sorun alan adı portföyünüz.

PhishDestroy — markaları korumuyoruz. Mağdurları savunmuyoruz. Kimlik avı ve dolandırıcılık altyapılarını ortadan kaldırıyoruz.

Sonuç

16 antivirüs motoru bir alan adının zararlı olduğunu belirtiyorken, bir kayıt kuruluşu “herhangi bir işlem yapılmayacak” diyorsa, bu kayıt kuruluşu kendi muhakemesini kullanmıyor — gelirini koruyor. 13 ayrı kötüye kullanım bildirimi yanıtlanmadığında ve bir alan adı 1.352 saat boyunca aktif kaldığında, kayıt kuruluşu birikmiş iş yükünü işlemiyor; suç işlenmesine olanak sağlıyor.

Bu makaledeki veriler teorik değildir. Bunlar, 2026 yılının Mart ayında tek bir haftaya ait gerçek zamanlı kötüye kullanım bildirim kayıtlarımızdır — ve bunların arkasında yatan şey ise 50.000'den fazla bildirilen alan adı sürekli güncellenen tehdit akışımızda. Bu, tek bir kayıt kuruluşuyla sınırlı bir sorun değildir. Bu bir sektör genelinde yaşanan başarısızlık çünkü mevcut model kârlı olduğu için, alan adı kayıt ekosistemi bu sorunu çözmeye hiç ilgi duymuyor.

Kayıt kuruluşlarının bulgularına uymakla yükümlü olduğu hiçbir antivirüs yazılımı üreticisi yoktur. Zorunlu bir eylemi tetikleyen herhangi bir tespit eşiği yoktur. Hizmet Düzeyi Anlaşması (SLA) yoktur, hesap verme yükümlülüğü yoktur, sonuçları yoktur. Kayıt kuruluşu ücreti tahsil eder, raporları görmezden gelir ve bedelini mağdurlar öder.

Kayıt kuruluşları tarafsız altyapı sağlayıcıları değildir. Onlar, her gün, görmezden geldikleri her ihbarla birlikte suç altyapısının çevrimiçi kalmasını tercih eden “kapı bekçileri”dir. Zararın farkındalar. Bunu durdurma gücüne sahipler. Ama bunu yapmamayı tercih ediyorlar. Ve ta ki biri onlara tek önemli soruyu sorana kadar — "Askıya almayı reddettiğiniz alan adlarının mağdurlarına tazminat ödemeyi kabul ediyor musunuz?" — hiçbir şey değişmeyecek.

Sektörün bu konudaki sessizliği, en net cevaptır.

#AbuseReports#ICANN#Registrars#VirusTotal#PhishingTakedown#Investigation#CyberSecurity

İlgili Araştırmalar

Küresel Dolandırıcılıklara Zemin Hazırlayan Kayıt Kuruluşları
NameSilo, Webnic ve NiceNIC, kötüye kullanım bildirimlerini görmezden gelerek dolandırıcılık altyapısını nasıl ayakta tutuyor?
NiceNIC Değerlendirmesi
İncelenen tüm NiceNIC alan adlarında — portföyün tamamında hiçbir meşru kullanım tespit edilmedi.
NiceNIC Soruşturması
IANA 3765’i ifşa ediyoruz — 1.141,74’lük bir kimlik avı puanıyla küresel siber suçu besleyen ICANN kayıt kuruluşu.
Şeffaflık bildirimi. PhishDestroy, ticari amaç gütmeyen, bağımsız bir projedir. Yaptığımız araştırmalar, dolandırıcılık altyapısına ve bunu mümkün kılan hizmetlere karşı içsel bir önyargı içerebilir. Okuyucularımızı, tüm içerikleri eleştirel ve bağımsız bir bakış açısıyla değerlendirmeye davet ediyoruz. Şeffaflık beyanımızın tamamını okuyun →