Tohum Seli: PhishDestroy Neden Açık Bir Şekilde
“Saldırı” Oluşturan Kimlik Avı Siteleri
Bunu saklamıyoruz. PhishDestroy, kripto cüzdan tohum cümlelerini toplayan aktif bir kimlik avı sitesi tespit ettiğinde, siteyi geçerli formatta tohum cümle girişleriyle dolduruyoruz. İşte tam olarak ne yaptığımız, bunu neden yaptığımız ve bundan neden utanmadığımız.

Sorun: Şu anda bir kimlik avı sitesi aktif durumda
Diyelim ki, ücretli Google Ads reklamları yayınlayan bir kripto cüzdanı kimlik avı sayfası fark ettiniz. Sayfa gerçek gibi görünüyor. Trafiği var. Her birkaç dakikada bir gerçek kullanıcılar bu sayfaya giriyor, tohum cümlelerini giriyor ve her şeylerini kaybediyor.
Bunu Google’a bildirirsiniz. Bunu alan adı kayıt kuruluşuna bildirirsiniz. Barındırma sağlayıcısına bir kötüye kullanım raporu gönderirsiniz. Ve sonra bekliyorsun.
Bu arada, dolandırıcı 47. kurbanını bulur. Ardından 48.'sini. Sonra da 49.'sunu.
Standart kötüye kullanım bildirim süreci 5–10 iş günü sürer. Aktif kimlik avı siteleri ise saatler içinde geri dönüşü olmayan maddi zararlara yol açar. Bu fark, sistemdeki bir hata değildir; dolandırıcıların kasıtlı olarak istismar ettiği yapısal bir güvenlik açığıdır.

Tohum Sularaltı Yöntemi Nedir?
"Seed flooding", bir tür kimlik avına karşı kullanılan bir tekniktir; bu teknikte geçerli biçimde ancak boş/anlamsız Kripto para cüzdan tohum cümleleri, kontrollü bir hızda otomatik olarak bir kimlik avı formuna girilir.

Neden İşe Yarıyor: Ucuz Bir Kimlik Avı Kitinin Yapısı
Aktif kripto dolandırıcılığı sitelerinin büyük çoğunluğu, şu platformlar üzerine kurulmuş kopyala-yapıştır kitleridir: ücretsiz kademeli üçüncü taraf hizmetleri. Bu, onların en büyük zayıf noktasıdır. Daha ayrıntılı bir inceleme için bkz. kapsamlı soruşturmamız.

| Modül | Ücretsiz Kullanıma Ait Limit | Selin Etkisi |
|---|---|---|
| EmailJS | Ayda yaklaşık 200 başvuru | Birkaç saat içinde tükenir, e-posta gönderimini durdurur |
| Formspree | Ayda 50 başvuru | Hemen devre dışı kaldı |
| Web3Forms | Ayda 250 başvuru | Hızla etkisiz hale getirildi |
| Telegram Bot API'si | Saniye başına hız sınırlı | Zaman aşımı döngülerine girildi |
| Firebase Ücretsiz Katmanı | Okuma/yazma kotaları | Veritabanı maliyetlerinde ani artış ya da erişim engeli |
Seed flooding işleminin bildirim boru hattını tıkamasının ardından, kimlik avı altyapısının devre dışı kaldığını doğrudan gözlemledik. Dolandırıcı, sistemin neden çalışmayı durdurduğunu bilmiyor. Sadece veri almayı kesiyorlar.
Teknik Yaklaşımımız: Botnetler Değil, Cloudflare Workers

Şunları kullanıyoruz: Cloudflare Workers. İstekler, Cloudflare’in kendi uç ağından kaynaklanmaktadır. Ev tipi IP adresleri kötüye kullanılmamaktadır. Botnetler yoktur. Üçüncü taraf sunucular üzerinde yük oluşturulmamaktadır. Yalnızca dolandırıcının veri toplama sistemi etkilenmektedir.
Sel Akışı
Hız sınırlaması: Sıkı bir 2 submissions per 10 seconds. DDoS saldırısı değil. Düzinelerce eşzamanlı hedefe yönelik, site başına oranların bile anlamlı hale geldiği ölçekte, yavaş, kasıtlı ve hedefli bir bulaşma.
Amacımız sunucuları devre dışı bırakmak değil. Dolandırıcıların iş günlerini çekilmez hale getiriyor ve veritabanlarını işe yaramaz hale getiriyoruz — meşru altyapıya hiçbir dolaylı etki yaratmadan.
Canlı Vaka Çalışmaları: Uygulamada Kontrollü Kontaminasyon
Aşağıdaki işlemler, üretim günlüklerimizden aynen alınmıştır. Alan adları ve sağlayıcı tanımlayıcıları, yalnızca yayınlanmasının kaçışa yol açacağı durumlarda gizlenmiştir; HTTP veri akışı kayıtlarında herhangi bir değişiklik yapılmamıştır. Her iki hedef de müdahale anında aktif durumdaydı, ücretli reklamlardan gelen trafiği teyit edilmişti ve bağımsız olarak şu şekilde sınıflandırılmıştı: kimlik avı yazan VirusTotal’da en az 2 harici sağlayıcı bizim tarafımızdan herhangi bir işlem yapılmadan önce.
Operasyonel Doktrin
Her tohumlama operasyonu, aynı beş ilkeye dayalı çerçeve içinde gerçekleştirilir. İstisna yoktur; bu beş ilkenin tümünü karşılayamayan bir operasyon yürütülmez.
Durum 1 — Formspark Exfil Endpoint, Aylık Kota Tükenmiş
checkblochn.pages.dev Etkisiz hale getirildiTehdit modeli: Cüzdan kurtarma tuzağı (“Dapp Node Sync”), 12 kelimelik BIP-39 tohum ifadelerini, saldırganın kontrolündeki ücretsiz kademedeki bir Formspark uç noktasına sızdırıyor. Etkileşimin başlangıcında iki reklam platformundan gelen ücretli reklam trafiği doğrulandı.
messageOperasyonel Zaman Çizelgesi (UTC, müdahale T-sıfır anına göre anonimleştirilmiştir)
submit-form.com/32BrdUqfX JS sayfasından çıkarılmıştır; yükün yapısı tersine mühendislikle belirlenmiştir. analiz2 req / 10 s, tek bir Cloudflare Worker, tanımlanmış UA dizesi, imzalanmış kaynak.200 OK ile formspark-quota: 64. Başlangıç değeri kaydedildi.formspark-quota sıfırı geçerse → uç nokta, herhangi bir uyarı vermeden iletmeyi durdurur. süzgeçli perdeformspark-quota: −18. Sel müdahale ekibinden bir çalışan işten çıkarıldı.Tel üzerinden gönderim (tohum, aldatıcı bir yemdir — herhangi bir gerçek cüzdanla ilgisi olmayan 12 rastgele BIP-39 kelimesi)
Yanıt — T+01:02 (referans değer, kalan kota)
Yanıt — T+06:12 (kota doldu; uç nokta 200 hatasını vermeye devam ediyor ancak iletim yapılmayacak)
Gözle görülür bir etki. T+06:08'den T+19:30'daki son kapatmaya kadar — bir 13 saat 22 dakikalık zaman aralığı — ulaşan her gerçek mağdur checkblochn.pages.dev ve kurtarma sürecini tamamlayarak tohum ifadesini, şu yanıtı veren bir uç noktaya gönderdiler: 200 OK ancak artık yükü operatörün gelen kutusuna iletmiyordu. Kimlik avı sayfası ortaya çıktı kurbanın tarayıcısında başarılı bir şekilde sonuçlanmalıdır (hata çıkmamalı, herhangi bir uyarı olmamalıdır); bu durum arzu edilir: “işe yaramadı” şeklindeki refleksif bir tepki, kullanıcıların karşılaştıkları bir sonraki sahte sitede aynı kimlik bilgilerini tekrar girmelerine neden olur. Burada, etkileşim operatörün haberi olmadan sonlandırıldı.
Ücretli reklamların hâlâ aktif olarak yayınlandığı bir siteye gelen her bir sonraki ziyaretçi için 13 saatlik bir koruma süresi vardı. Bu süre, Cloudflare Pages’ın paralel kanal üzerinden gönderdiğimiz kötüye kullanım raporuna yanıt vermesiyle sona erdi — tam da tasarlandığı gibi. Bu yoğun trafik, yasal kaldırma işleminin yerini almadı; sadece aradaki süreyi kapattı. ta ki Yasal kaldırma işlemi gerçekleştirildi.
Örnek 2 — EmailJS Relay, Operatör Tarafından Yayınlanan Tanımlayıcılar
allsyncapp.pages.dev Aktif ÇalışmaTehdit modeli: kurbanın girdiği tohum anahtarını, şu yol üzerinden operatörün posta kutusuna e-posta ile gönderen cüzdan “senkronizasyonu” tuzağı EmailJS — meşru bir işlem e-postası SaaS hizmeti. Kimlik avı sayfası, operatörün service_id, template_id ve user_id istemci tarafı JavaScript’te, çünkü bu tanımlayıcılar olmadan kurbanın tarayıcısı e-postayı tetikleyen POST isteğini tamamlayamaz. Dolayısıyla bu tanımlayıcılar, operatörün kendi isteğiyle açığa çıkardığı genel saldırı yüzeyinin bir parçasıdır.
Yakalanan gönderim — kimlik avı sayfasının kendi POST isteğinden aynen alınmış veri içeriği
Tanımlayıcı çıkarma (kimlik avı sayfasının kaynak kodunda tek satırlık düzenli ifade)
Temel doktrinsel nokta. Bu vaka, tam da şu nedenle ibret vericidir: bizim tarafımızdan herhangi bir uç nokta tespit edilmedi. Operatör yayınlar EmailJS’nin tohum kodunu kurbanın posta kutusuna göndermesi için gerekli olan üç tanımlayıcı. Kimlik avı sayfasını görüntüleyen herhangi bir tarayıcı bu tanımlayıcılara sahiptir. Worker’ımız, kurbanın tarayıcısının yaptığını yapar — sayfanın kendisinin belirttiği tam biçime ve tanımlayıcılara sahip bir formu gönderir. Aradaki fark, yükte yatmaktadır: gerçek cüzdan kimlik bilgileri yerine rastgele BIP-39 kelimeleri.
Sonuç dağılımı. Aylık sınır aşıldığında, EmailJS şu sonucu döndürür: 402 Payment Required veya 429 Too Many Requests ve şablon gönderilmiyor. Dolandırıcının posta kutusu sessizleşiyor. Buna paralel olarak, EmailJS Güven ve Güvenlik ekibi, hizmet/şablon/kullanıcı kimlik bilgilerini ve yayınladığımız kanıt paketine bir bağlantı içeren resmi bir şikayet alıyor — bu durum, geçmişteki emsallere göre, operatörün EmailJS hesabının sonlandırıldı, hız sınırlaması yoktur. Operatörün yeni bir EmailJS hesabı açması, tanımlayıcıları yeniden oluşturması, yayına alınan kimlik avı sayfasını düzenlemesi ve mevcut tüm dağıtım bağlantılarını geçersiz hale getirmesi gerekir — bu, her rotasyon için birkaç saat süren bir iş akışıdır.
Saldırı Profili Karşılaştırması: Tohum Taşması Nedir, Nedir Değildir
Sıkça yöneltilen bir suçlama, bizim kimlik avı sitelerine “saldırılar” düzenlediğimizdir. Bu iddiaya dayalı çerçeveleme, gerçek trafik profilini, onunla karıştırılan faaliyetlerin profilinin yanına koyduğunuz anda çöker.
| Boyut | Tohum Sularla Islatma (bizim yöntemimiz) | DDoS / L7 sel saldırısı | Spam gönderim suistimali | LE gizli operasyon |
|---|---|---|---|---|
| Amaç | Mağdurların korunması — bir sonraki kurban gelmeden önce dolandırıcının bilgi sızdırma kotasını doldurmak | Altyapıya yönelik hizmet reddi saldırısı | Ticari kazanç / mesajın yayılması | Kanıt toplama, kontrollü aldatma |
| İşlem hacmi | 0,1 – 0,3 istek/sn — aşağıda hizmet sağlayıcının Kullanım Koşulları | 103 – 108 req/s — doygunluk odaklı | Toplu / otomatik yüksek hacimli | Tek bir etkileşim genellikle |
| Hedef | Tek bir uç noktadan veri sızdırma saldırısı gerçekleştiren saldırgan, bunu yayınladı | Mağdur kuruluşun web sunucusu / ağ katmanı | Güvenilir sitelerin iletişim formları | Şüpheli altyapı veya kişi |
| Altyapı üzerindeki etki | Yok — sağlayıcı sayaçları, Hizmet Şartları’nda belirtilen sınırlar dahilinde çalışmaktadır | Hizmet kesintisi, kaynak tarafında tıkanıklık | Gelen kutusunun şişmesi, CAPTCHA'nın değişkenliği, moderasyon yükü | İşleme göre değişir |
| Etkilenen meşru kullanıcılar | Sıfır — kimlik avı formlarının hiçbir meşru kullanıcısı yoktur | Hepsi | Form sahibi çalışanlar / moderatörler | Tasarımda önleme |
| Kökeni olan kimlik | Adı PhishDestroy olan Cloudflare Workers — denetlenebilir | Bot ağları, sahte kaynaklar, yansıma | Tek kullanımlık vekiller | Gizli altyapı |
| Yetkilendirme modeli | Uç nokta şudur: davet edilen: Form bu girişi açıkça talep ediyor; tanımlayıcılar sayfada herkese açık olarak yer alıyor | Yok — talep hacminin kendisi zarardır | Amaçlanan kullanımı atlar, kötüye kullanım önleme sinyallerini göz ardı eder | Yasal yetki |
| Eşzamanlı yasal işlem | Bildirilen istismar vakaları öncesinde sel olayları, vaka kimlik numaralarıyla birlikte | Yok | Yok | Operasyona entegre edilmiş |
Bir “seed-flood” gönderimi, imzalanmış kaynak adresimizi taşıyan tek bir Cloudflare Worker’dan kaynaklanan, yaklaşık 140 bayt boyutunda tek bir HTTPS POST isteğidir; bu istek, sağlayıcının kabul edilebilir olarak yayınladığı oranın çok küçük bir kısmında gerçekleştirilir ve operatörün tanımlayıcılarını halka açık bir web sayfasına yerleştirmeyi tercih ettiği bir uç noktayı hedefler. Yani bu, gözlemlenebilir eserin tamamı. Bir talebi “saldırı” niteliğine sokan her türlü yapısal unsur — yetkisiz erişim, kaynak tükenmesini amaçlama, hacimsel doygunluk, etkilenen üçüncü taraflar, gizli kaynak — burada mevcut değildir. Aşağıdaki hukuki analiz, yaratıcı bir savunma değildir; bu, doğal olayların özeti açıkça belirtildikten sonra kanun metninin incelenmesi.
Hukuki Analiz — Yasal mı? Etik mi?

Halka açık bir web formuna veri girmek — sahte veriler olsa bile — çoğu düzenleme kapsamında doğası gereği yasa dışı değildir. Özel sistemlere erişmiyoruz, yetkisiz güvenlik açıklarından yararlanmıyoruz ya da iletişimi dinlemiyoruz. Dolandırıcı bir tuzak kurdu. Biz de onu taşlarla dolduruyoruz.
PhishDestroy hukuki danışmanlık hizmeti sunmamaktadır. Bu konu, yargı yetkisi alanına göre değişiklik gösteren gerçek bir gri alandadır. Bu karmaşıklığın tam olarak farkında olarak faaliyet göstermekteyiz.
Dolandırıcının Veritabanına Ne Olur?
İşlevini yitirir — binlerce girişin manuel olarak doğrulanması gerekiyor, sinyal-gürültü oranı dibe vuruyor. Ya da kırılır — Firebase Spark ve paylaşılan MongoDB örneklerinin katı sınırları vardır. Bu sınırlara ulaşılması bazı sonuçlar doğurur.
Her iki sonuç da iyi
Veritabanı ister işe yaramaz veya tamamen bozulur — Gerçek mağdurların tohum cümleleri, saldırganın eline asla kullanışlı bir biçimde geçmez. İşlenmemiş her tohum cümlesi, parası çalınamayan bir cüzdandır.
Tohum Sulamasını Ne Zaman Başlatırız?
| Kriter | Kontrol et | Neden Önemli? |
|---|---|---|
| Aktif trafik teyit edildi | Zorunlu | Reklam platformları veya trafik araçları, siteye gerçek kullanıcıların geldiğini doğrular |
| Kimlik avı yapısının analizi | Zorunlu | Aşırı yük oluşturmadan önce tespit edilen ücretsiz seviye veri sızdırma modülleri |
| Bildirilen istismar vakaları | Zorunlu | Her zaman meşru yolu eşzamanlı olarak izliyoruz |
| SLA kapsamında kaldırma işlemi yapılmamıştır | Tipik tetikleyici | Kayıt kuruluşu/barındırma hizmetinden makul bir süre içinde yanıt alınamadı |
| Yüksek hacimli / ücretli reklam sitesi | Anlık tetikleyici | Ücretli reklamcılık, bürokratik süreçleri beklemeden harekete geçmemiz anlamına gelir |
Daha Geniş Bir Bakış Açısı
Kripto ekosistemi kaybediyor yılda milyarlarca dolar kimlik avına karşı. Savunma tarafı tarihsel olarak reaktif bir tutum sergilemiştir. PhishDestroy, şu yaklaşımı getirmek amacıyla kurulmuştur: önleyici müdahale bu döngüye.
Karanlıkta çalışmıyoruz. Metodolojimizi yayınlıyoruz. Tekniklerimizi açıklıyoruz. Analiz ettiğimiz kimlik avı kitlerini belgeliyoruz. Güvenlik topluluğu, sadece bir “kara kutu” hizmetinden yararlanmakla kalmayıp, kimlik avına karşı yöntemleri değerlendirebilmeyi hak ediyor.

Neler Yapabilirsiniz?
- Şu kişiye rapor verin: Google Güvenli Tarama, PhishTank, ve alan adı kayıt kuruluşu
- Bunu bize gönderin — yoğun trafik gösteren aktif tehditlere öncelik veriyoruz
- Kontrol et anatomi veritabanımız neye baktığınızı anlamak için
- Farkındalığı yaygınlaştırmak — çoğu mağdur, çok geç olana kadar tohum cümlesi dolandırıcılık sayfasının neye benzediğini bilmez
Eğer suçlulara boş cüzdanları vermek etik olmadığını düşünüyorsanız — bu sizin görüşünüzdür ve bu görüşü savunmakta özgürsünüz. Bizim tutumumuzu açıkça ortaya koyduk.


