PhishDestroy Canlı
Haberlere Geri Dön
Yöntem

Tohum Seli: PhishDestroy Neden Açık Bir Şekilde
“Saldırı” Oluşturan Kimlik Avı Siteleri

Bunu saklamıyoruz. PhishDestroy, kripto cüzdan tohum cümlelerini toplayan aktif bir kimlik avı sitesi tespit ettiğinde, siteyi geçerli formatta tohum cümle girişleriyle dolduruyoruz. İşte tam olarak ne yaptığımız, bunu neden yaptığımız ve bundan neden utanmadığımız.

31 Mart 2026 PhishDestroy Araştırması Okuma süresi: 12 dakika
Tohum seli — kimlik avına karşı dijital savaş alanı
Kimlik avına karşı operasyonlar: Sadece ihbar etmek yeterli olmadığında, doğrudan harekete geçiyoruz
14,663CF Çalışanları
2/10 saniyeİstihdam Sınırı
5+Veri Sızıntı Kanalları
$0Saldırganın Maliyeti
<4 saatEmailJS’yi Tamamen Kullanmak İçin

Sorun: Şu anda bir kimlik avı sitesi aktif durumda

Diyelim ki, ücretli Google Ads reklamları yayınlayan bir kripto cüzdanı kimlik avı sayfası fark ettiniz. Sayfa gerçek gibi görünüyor. Trafiği var. Her birkaç dakikada bir gerçek kullanıcılar bu sayfaya giriyor, tohum cümlelerini giriyor ve her şeylerini kaybediyor.

Bunu Google’a bildirirsiniz. Bunu alan adı kayıt kuruluşuna bildirirsiniz. Barındırma sağlayıcısına bir kötüye kullanım raporu gönderirsiniz. Ve sonra bekliyorsun.

Bu arada, dolandırıcı 47. kurbanını bulur. Ardından 48.'sini. Sonra da 49.'sunu.

Bürokratik Uçurum

Standart kötüye kullanım bildirim süreci 5–10 iş günü sürer. Aktif kimlik avı siteleri ise saatler içinde geri dönüşü olmayan maddi zararlara yol açar. Bu fark, sistemdeki bir hata değildir; dolandırıcıların kasıtlı olarak istismar ettiği yapısal bir güvenlik açığıdır.

Bürokratik raporlama süreci ile aktif kimlik avı yoluyla kurban toplama karşılaştırması
Sol: Suistimal bildirim sürecinin yavaşlığı. Sağ: Siz beklerken dolandırıcı para topluyor.

Tohum Sularaltı Yöntemi Nedir?

"Seed flooding", bir tür kimlik avına karşı kullanılan bir tekniktir; bu teknikte geçerli biçimde ancak boş/anlamsız Kripto para cüzdan tohum cümleleri, kontrollü bir hızda otomatik olarak bir kimlik avı formuna girilir.

Veritabanını Bozmak
Gerçek tohum ifadeleri, sahte olanlardan ayırt edilemez hale geliyor. Her girişin manuel olarak doğrulanması gerekiyor ve bu da sinyal-gürültü oranını düşürüyor.
Egzoz Ücretsiz Kullanıma İlişkin Sınırlar
EmailJS, Formspree, Web3Forms — hepsinde katı aylık kotalar var. Bu sınırlara birkaç saat içinde ulaştık ve saldırganın bildirim akışını kesintiye uğrattık.
Toplama Boru Hattını Kes
Veri sızdırma kanalları işlevini yitirdiğinde, gerçek mağdurların verileri hiçbir yere gitmez — tohum cümlesini girmeleri durumunda bile.
Araştırma Bilgileri Oluştur
Sel olayları, daha iyi bir algılama sistemi oluşturmak için kullandığımız altyapı ayrıntılarını, hata mesajlarını ve hız sınırlama eşiklerini ortaya çıkarır.
Sahte tohum ifadeleriyle dolup taşan kimlik avı formu
Sahte tohum cümlelerinin akınına uğrayan bir kimlik avı formu — saldırganın veri toplama süreci gerçek zamanlı olarak bozuluyor

Neden İşe Yarıyor: Ucuz Bir Kimlik Avı Kitinin Yapısı

Aktif kripto dolandırıcılığı sitelerinin büyük çoğunluğu, şu platformlar üzerine kurulmuş kopyala-yapıştır kitleridir: ücretsiz kademeli üçüncü taraf hizmetleri. Bu, onların en büyük zayıf noktasıdır. Daha ayrıntılı bir inceleme için bkz. kapsamlı soruşturmamız.

Bir kimlik avı kitinin yapısı — ücretsiz seviye hizmet bağımlılıkları
Her veri sızdırma kanalı, katı gönderim sınırları olan ücretsiz bir hizmettir — bu kitin ucuzluğu, onun en büyük kusurudur
Veri tablosu: Modül
ModülÜcretsiz Kullanıma Ait LimitSelin Etkisi
EmailJSAyda yaklaşık 200 başvuruBirkaç saat içinde tükenir, e-posta gönderimini durdurur
FormspreeAyda 50 başvuruHemen devre dışı kaldı
Web3FormsAyda 250 başvuruHızla etkisiz hale getirildi
Telegram Bot API'siSaniye başına hız sınırlıZaman aşımı döngülerine girildi
Firebase Ücretsiz KatmanıOkuma/yazma kotalarıVeritabanı maliyetlerinde ani artış ya da erişim engeli
Gözlemlenen Sonuç

Seed flooding işleminin bildirim boru hattını tıkamasının ardından, kimlik avı altyapısının devre dışı kaldığını doğrudan gözlemledik. Dolandırıcı, sistemin neden çalışmayı durdurduğunu bilmiyor. Sadece veri almayı kesiyorlar.

Teknik Yaklaşımımız: Botnetler Değil, Cloudflare Workers

Kimlik avına karşı koruma amacıyla kullanılan Cloudflare uç ağı
Kenar ağ katmanında çalışan 14.663 Cloudflare Workers — hiçbir üçüncü taraf altyapısı kullanılmamaktadır

Şunları kullanıyoruz: Cloudflare Workers. İstekler, Cloudflare’in kendi uç ağından kaynaklanmaktadır. Ev tipi IP adresleri kötüye kullanılmamaktadır. Botnetler yoktur. Üçüncü taraf sunucular üzerinde yük oluşturulmamaktadır. Yalnızca dolandırıcının veri toplama sistemi etkilenmektedir.

Sel Akışı

Site AlgılandıAktif trafik teyit edildi
Anatomi AnaliziExfil kanalları eşleştirildi
İşçi GörevlendirmeCF kenar ağı
2 tohum / 10 saniyeKontrollü hız
Kota DolduSaldırganın görüş alanı kısıtlı
Rapor SunulduParalel yol

Hız sınırlaması: Sıkı bir 2 submissions per 10 seconds. DDoS saldırısı değil. Düzinelerce eşzamanlı hedefe yönelik, site başına oranların bile anlamlı hale geldiği ölçekte, yavaş, kasıtlı ve hedefli bir bulaşma.

Neler Yapmıyoruz

Amacımız sunucuları devre dışı bırakmak değil. Dolandırıcıların iş günlerini çekilmez hale getiriyor ve veritabanlarını işe yaramaz hale getiriyoruz — meşru altyapıya hiçbir dolaylı etki yaratmadan.

Canlı Vaka Çalışmaları: Uygulamada Kontrollü Kontaminasyon

Aşağıdaki işlemler, üretim günlüklerimizden aynen alınmıştır. Alan adları ve sağlayıcı tanımlayıcıları, yalnızca yayınlanmasının kaçışa yol açacağı durumlarda gizlenmiştir; HTTP veri akışı kayıtlarında herhangi bir değişiklik yapılmamıştır. Her iki hedef de müdahale anında aktif durumdaydı, ücretli reklamlardan gelen trafiği teyit edilmişti ve bağımsız olarak şu şekilde sınıflandırılmıştı: kimlik avı yazan VirusTotal’da en az 2 harici sağlayıcı bizim tarafımızdan herhangi bir işlem yapılmadan önce.

Operasyonel Doktrin

Her tohumlama operasyonu, aynı beş ilkeye dayalı çerçeve içinde gerçekleştirilir. İstisna yoktur; bu beş ilkenin tümünü karşılayamayan bir operasyon yürütülmez.

İLKE 01
Yalnızca genel uç noktalar
Verilerin sızdırıldığı URL ve ilgili tanımlayıcıları şunlardır: yayınlandı istemci tarafı JavaScript’teki kimlik avı sayfası aracılığıyla. Asla kimlik bilgilerini ele geçirmiyoruz, kaba kuvvet saldırısı yapmıyoruz veya yetki yükseltmesi gerçekleştirmiyoruz.
İLKE 02
Alt sınır verimi
İstek oranı, sağlayıcının kendi yayınladığı Hizmet Şartları (ToS) sınırının altında sabit bir üst sınıra tabi tutulmuştur. Profilimiz, sıradan kullanıcı tarafından oluşturulan içerik (UGC) trafiğinden ayırt edilemez.
İLKE 03
Kanıt eşiği
Target, VirusTotal’da en az 2 bağımsız satıcıdan pozitif sonuç alınmasını şart koşuyor ayrıca kimlik bilgisi toplama sürecinin manuel olarak onaylanması.
İLKE 04
Paralel yasal yol
Barındırma hizmeti sağlayıcısına, alan adı kayıt kuruluşuna ve form sağlayıcısına resmi şikayet bildirimleri sunulur öncesinde herhangi bir su baskını başladığında — vaka numaraları ve tüm kanıtlarla birlikte.
İLKE 05
Tam denetim izi
Tüm trafik, imzalanmış bir PhishDestroy kaynağı altında Cloudflare Workers’tan kaynaklanmaktadır. Her gönderim, zaman damgası, hedef ve operatör kimliği ile birlikte günlüğe kaydedilir.

Durum 1 — Formspark Exfil Endpoint, Aylık Kota Tükenmiş

checkblochn.pages.dev Etkisiz hale getirildi

Tehdit modeli: Cüzdan kurtarma tuzağı (“Dapp Node Sync”), 12 kelimelik BIP-39 tohum ifadelerini, saldırganın kontrolündeki ücretsiz kademedeki bir Formspark uç noktasına sızdırıyor. Etkileşimin başlangıcında iki reklam platformundan gelen ücretli reklam trafiği doğrulandı.

Saldırı yüzeyi
checkblochn.pages.dev (Cloudflare Pages)
Exfil kanalı
submit-form.com — Formspark form uç noktası
Form Kimliği
/32BrdUqfX
Yük alanı
12 kelimelik BIP-39 tohum anahtarı, şu yolla: message
Servis sağlayıcının ücretsiz kullanım sınırı
50 başvuru • 1 aylık sürekli başvuru dönemi
Dolandırıcıların sıfırlama maliyeti
Yeni Formspark hesabı + istemci tarafı JavaScript düzenlemesi + yeniden dağıtım

Operasyonel Zaman Çizelgesi (UTC, müdahale T-sıfır anına göre anonimleştirilmiştir)

T + 00:00
Alınma — PhishDestroy tarayıcısı tarafından ücretli reklam örneğinden tespit edilen alan adı. otomatik
T + 00:12
Anatomi doğrulandı — hedef belirle submit-form.com/32BrdUqfX JS sayfasından çıkarılmıştır; yükün yapısı tersine mühendislikle belirlenmiştir. analiz
T + 00:28
VirusTotal: 3 / 95 Satıcılar bunu kimlik avı olarak işaretlemiştir. Eşik değeri aşıldı.
T + 00:47
Kötüye kullanım bildirimleri yapıldı — Cloudflare Pages Güven ve Güvenlik, Formspark kötüye kullanımı, Porkbun (alan adı kayıt kuruluşu). Vaka numaraları verildi. yasal yol
T + 01:02
Sel müdahale ekibi görevlendirildi — oran 2 req / 10 s, tek bir Cloudflare Worker, tanımlanmış UA dizesi, imzalanmış kaynak.
T + 01:02
İlk sel bildirimleri geldi 200 OK ile formspark-quota: 64. Başlangıç değeri kaydedildi.
T + 06:08
formspark-quota sıfırı geçerse → uç nokta, herhangi bir uyarı vermeden iletmeyi durdurur. süzgeçli perde
T + 06:12
Son elde edilen yanıt: formspark-quota: −18. Sel müdahale ekibinden bir çalışan işten çıkarıldı.
T + 19:30
Cloudflare Pages, kötüye kullanım bildirimi üzerine dağıtımı devre dışı bırakır. kaldırıldı

Tel üzerinden gönderim (tohum, aldatıcı bir yemdir — herhangi bir gerçek cüzdanla ilgisi olmayan 12 rastgele BIP-39 kelimesi)

POST /32BrdUqfX HTTP/1.1 Host: submit-form.com Origin: https://checkblochn.pages.dev Content-Type: application/x-www-form-urlencoded message=Phrase%3A+lecture+sail+coral+swear+fiber+bonus+vanish+layer+observe+rely+orphan+height&source=Unknown+Source&from_name=Dapp+Node+Sync

Yanıt — T+01:02 (referans değer, kalan kota)

HTTP/1.1 200 OK formspark-quota: 64 formspark-status: ok content-type: application/json; charset=utf-8 { "message": "İfade: ders yelken mercan yemin lif bonus yok olmak katman gözlemlemek güvenmek yetim yükseklik" }

Yanıt — T+06:12 (kota doldu; uç nokta 200 hatasını vermeye devam ediyor ancak iletim yapılmayacak)

HTTP/1.1 200 OK formspark-quota: -18 formspark-durumu: tamam
Selden önceki kota
64
Sel sonrası kota
−18
82
Yanıltıcı başvurular
~5 saat 06 dakika
Sel süresi
0,27 istek/saniye
Ortalama oran
~11,5 KB
Giden yük toplamı
100%
Hizmet sağlayıcının Kullanım Koşulları kapsamında
0
Etkilenen meşru talepler

Gözle görülür bir etki. T+06:08'den T+19:30'daki son kapatmaya kadar — bir 13 saat 22 dakikalık zaman aralığı — ulaşan her gerçek mağdur checkblochn.pages.dev ve kurtarma sürecini tamamlayarak tohum ifadesini, şu yanıtı veren bir uç noktaya gönderdiler: 200 OK ancak artık yükü operatörün gelen kutusuna iletmiyordu. Kimlik avı sayfası ortaya çıktı kurbanın tarayıcısında başarılı bir şekilde sonuçlanmalıdır (hata çıkmamalı, herhangi bir uyarı olmamalıdır); bu durum arzu edilir: “işe yaramadı” şeklindeki refleksif bir tepki, kullanıcıların karşılaştıkları bir sonraki sahte sitede aynı kimlik bilgilerini tekrar girmelerine neden olur. Burada, etkileşim operatörün haberi olmadan sonlandırıldı.

Bu müdahalenin gerçekte neyi sağladığı

Ücretli reklamların hâlâ aktif olarak yayınlandığı bir siteye gelen her bir sonraki ziyaretçi için 13 saatlik bir koruma süresi vardı. Bu süre, Cloudflare Pages’ın paralel kanal üzerinden gönderdiğimiz kötüye kullanım raporuna yanıt vermesiyle sona erdi — tam da tasarlandığı gibi. Bu yoğun trafik, yasal kaldırma işleminin yerini almadı; sadece aradaki süreyi kapattı. ta ki Yasal kaldırma işlemi gerçekleştirildi.

Örnek 2 — EmailJS Relay, Operatör Tarafından Yayınlanan Tanımlayıcılar

allsyncapp.pages.dev Aktif Çalışma

Tehdit modeli: kurbanın girdiği tohum anahtarını, şu yol üzerinden operatörün posta kutusuna e-posta ile gönderen cüzdan “senkronizasyonu” tuzağı EmailJS — meşru bir işlem e-postası SaaS hizmeti. Kimlik avı sayfası, operatörün service_id, template_id ve user_id istemci tarafı JavaScript’te, çünkü bu tanımlayıcılar olmadan kurbanın tarayıcısı e-postayı tetikleyen POST isteğini tamamlayamaz. Dolayısıyla bu tanımlayıcılar, operatörün kendi isteğiyle açığa çıkardığı genel saldırı yüzeyinin bir parçasıdır.

Saldırı yüzeyi
allsyncapp.pages.dev (Cloudflare Pages)
Exfil kanalı
api.emailjs.com — işlem amaçlı e-posta aktarma hizmeti
Uç nokta
POST /api/v1.0/email/send-form
Operatör tarafından yayınlanan kimlikler
service_id · template_id · user_id (sayfanın JavaScript kodundan alınmıştır)
Servis sağlayıcının ücretsiz kullanım sınırı
200 e-posta • son bir ay
Sabit hız sınırları (Kullanım Koşulları)
1 istek/saniye · 50/IP/saat

Yakalanan gönderim — kimlik avı sayfasının kendi POST isteğinden aynen alınmış veri içeriği

POST /api/v1.0/email/send-form HTTP/1.1 Host: api.emailjs.com Origin: https://allsyncapp.pages.dev Content-Type: multipart/form-data; boundary=----geckoformboundary6a77738bf873975dfc9c8e4a31fa330e _redirect=TECHNICAL.html message=kabak folyo köy madeni para kasaba etek ortalama saat program sahne yoksulluk onaylamak lib_version=3.12.1 service_id=service_t0cgr9v şablon_id=template_k16demo user_id=furwEG-MZShqSPIGS

Tanımlayıcı çıkarma (kimlik avı sayfasının kaynak kodunda tek satırlık düzenli ifade)

$ curl -s https://allsyncapp.pages.dev/ | grep -oE '(service_id|template_id|user_id)["'"'"':]+["'"'"']*[A-Za-z0-9_-]+'service_id:"service_t0cgr9v" template_id:"template_k16demo" user_id:"furwEG-MZShqSPIGS"

Temel doktrinsel nokta. Bu vaka, tam da şu nedenle ibret vericidir: bizim tarafımızdan herhangi bir uç nokta tespit edilmedi. Operatör yayınlar EmailJS’nin tohum kodunu kurbanın posta kutusuna göndermesi için gerekli olan üç tanımlayıcı. Kimlik avı sayfasını görüntüleyen herhangi bir tarayıcı bu tanımlayıcılara sahiptir. Worker’ımız, kurbanın tarayıcısının yaptığını yapar — sayfanın kendisinin belirttiği tam biçime ve tanımlayıcılara sahip bir formu gönderir. Aradaki fark, yükte yatmaktadır: gerçek cüzdan kimlik bilgileri yerine rastgele BIP-39 kelimeleri.

200
Aylık üst sınır (yemler)
1 / s
ToS hızı — 0,1/s hızında çalışıyoruz
~120 KB
Aylık maksimum yük kapasitesi
0
EmailJS altyapısı yükü (belirli sınırlar dahilinde)
402 / 429
Sınır aşıldığında sağlayıcının tepkisi
Hesap kapatıldı
İstismar bildiriminin tipik sonucu

Sonuç dağılımı. Aylık sınır aşıldığında, EmailJS şu sonucu döndürür: 402 Payment Required veya 429 Too Many Requests ve şablon gönderilmiyor. Dolandırıcının posta kutusu sessizleşiyor. Buna paralel olarak, EmailJS Güven ve Güvenlik ekibi, hizmet/şablon/kullanıcı kimlik bilgilerini ve yayınladığımız kanıt paketine bir bağlantı içeren resmi bir şikayet alıyor — bu durum, geçmişteki emsallere göre, operatörün EmailJS hesabının sonlandırıldı, hız sınırlaması yoktur. Operatörün yeni bir EmailJS hesabı açması, tanımlayıcıları yeniden oluşturması, yayına alınan kimlik avı sayfasını düzenlemesi ve mevcut tüm dağıtım bağlantılarını geçersiz hale getirmesi gerekir — bu, her rotasyon için birkaç saat süren bir iş akışıdır.

Saldırı Profili Karşılaştırması: Tohum Taşması Nedir, Nedir Değildir

Sıkça yöneltilen bir suçlama, bizim kimlik avı sitelerine “saldırılar” düzenlediğimizdir. Bu iddiaya dayalı çerçeveleme, gerçek trafik profilini, onunla karıştırılan faaliyetlerin profilinin yanına koyduğunuz anda çöker.

Tohum seli ile hizmet reddi saldırıları, spam ve kolluk kuvvetlerinin düzenlediği tuzak operasyonlarının karşılaştırılması.
BoyutTohum Sularla Islatma (bizim yöntemimiz)DDoS / L7 sel saldırısıSpam gönderim suistimaliLE gizli operasyon
AmaçMağdurların korunması — bir sonraki kurban gelmeden önce dolandırıcının bilgi sızdırma kotasını doldurmakAltyapıya yönelik hizmet reddi saldırısıTicari kazanç / mesajın yayılmasıKanıt toplama, kontrollü aldatma
İşlem hacmi0,1 – 0,3 istek/sn — aşağıda hizmet sağlayıcının Kullanım Koşulları103 – 108 req/s — doygunluk odaklıToplu / otomatik yüksek hacimliTek bir etkileşim genellikle
HedefTek bir uç noktadan veri sızdırma saldırısı gerçekleştiren saldırgan, bunu yayınladıMağdur kuruluşun web sunucusu / ağ katmanıGüvenilir sitelerin iletişim formlarıŞüpheli altyapı veya kişi
Altyapı üzerindeki etkiYok — sağlayıcı sayaçları, Hizmet Şartları’nda belirtilen sınırlar dahilinde çalışmaktadırHizmet kesintisi, kaynak tarafında tıkanıklıkGelen kutusunun şişmesi, CAPTCHA'nın değişkenliği, moderasyon yüküİşleme göre değişir
Etkilenen meşru kullanıcılarSıfır — kimlik avı formlarının hiçbir meşru kullanıcısı yokturHepsiForm sahibi çalışanlar / moderatörlerTasarımda önleme
Kökeni olan kimlikAdı PhishDestroy olan Cloudflare Workers — denetlenebilirBot ağları, sahte kaynaklar, yansımaTek kullanımlık vekillerGizli altyapı
Yetkilendirme modeliUç nokta şudur: davet edilen: Form bu girişi açıkça talep ediyor; tanımlayıcılar sayfada herkese açık olarak yer alıyorYok — talep hacminin kendisi zarardırAmaçlanan kullanımı atlar, kötüye kullanım önleme sinyallerini göz ardı ederYasal yetki
Eşzamanlı yasal işlemBildirilen istismar vakaları öncesinde sel olayları, vaka kimlik numaralarıyla birlikteYokYokOperasyona entegre edilmiş
Bu ayrım retorik bir ayrım değildir. Ölçülebilir bir ayrımdır.

Bir “seed-flood” gönderimi, imzalanmış kaynak adresimizi taşıyan tek bir Cloudflare Worker’dan kaynaklanan, yaklaşık 140 bayt boyutunda tek bir HTTPS POST isteğidir; bu istek, sağlayıcının kabul edilebilir olarak yayınladığı oranın çok küçük bir kısmında gerçekleştirilir ve operatörün tanımlayıcılarını halka açık bir web sayfasına yerleştirmeyi tercih ettiği bir uç noktayı hedefler. Yani bu, gözlemlenebilir eserin tamamı. Bir talebi “saldırı” niteliğine sokan her türlü yapısal unsur — yetkisiz erişim, kaynak tükenmesini amaçlama, hacimsel doygunluk, etkilenen üçüncü taraflar, gizli kaynak — burada mevcut değildir. Aşağıdaki hukuki analiz, yaratıcı bir savunma değildir; bu, doğal olayların özeti açıkça belirtildikten sonra kanun metninin incelenmesi.

Kayalarla doldurulan bir kimlik avı tuzağı çukuru
Dolandırıcı bir tuzak kurdu. Biz de onu taşlarla dolduruyoruz.

Halka açık bir web formuna veri girmek — sahte veriler olsa bile — çoğu düzenleme kapsamında doğası gereği yasa dışı değildir. Özel sistemlere erişmiyoruz, yetkisiz güvenlik açıklarından yararlanmıyoruz ya da iletişimi dinlemiyoruz. Dolandırıcı bir tuzak kurdu. Biz de onu taşlarla dolduruyoruz.

Yasal Uyarı

PhishDestroy hukuki danışmanlık hizmeti sunmamaktadır. Bu konu, yargı yetkisi alanına göre değişiklik gösteren gerçek bir gri alandadır. Bu karmaşıklığın tam olarak farkında olarak faaliyet göstermekteyiz.

Bir kimlik avı sayfası işleten dolandırıcı meşru menfaat bulunmaması yalnızca gerçek tohum ifadelerini almakta. Suç amaçlı veri toplama altyapılarının bütünlüğü konusunda hiçbir hakları yoktur.
Sistemimiz şöyledir: hedef odaklı, hız sınırlamalı ve manuel tanımlama süreçlerine bağlıdır. Bir durumu tespit eder, analiz eder, doğrular ve ardından harekete geçeriz.
Tohumların su altında kalmasına neden olan vakaları belgeledik mağdurların paralarını kaybetmelerini doğrudan engelledi — çünkü gerçek bir kullanıcı tohum ifadesini gönderdiğinde, dolandırıcının toplama sistemi çoktan devre dışı bırakılmıştı.

Dolandırıcının Veritabanına Ne Olur?

İşlevini yitirir — binlerce girişin manuel olarak doğrulanması gerekiyor, sinyal-gürültü oranı dibe vuruyor. Ya da kırılır — Firebase Spark ve paylaşılan MongoDB örneklerinin katı sınırları vardır. Bu sınırlara ulaşılması bazı sonuçlar doğurur.

Her iki sonuç da iyi

Veritabanı ister işe yaramaz veya tamamen bozulur — Gerçek mağdurların tohum cümleleri, saldırganın eline asla kullanışlı bir biçimde geçmez. İşlenmemiş her tohum cümlesi, parası çalınamayan bir cüzdandır.

Tohum Sulamasını Ne Zaman Başlatırız?

Veri tablosu: Kriter
KriterKontrol etNeden Önemli?
Aktif trafik teyit edildiZorunluReklam platformları veya trafik araçları, siteye gerçek kullanıcıların geldiğini doğrular
Kimlik avı yapısının analiziZorunluAşırı yük oluşturmadan önce tespit edilen ücretsiz seviye veri sızdırma modülleri
Bildirilen istismar vakalarıZorunluHer zaman meşru yolu eşzamanlı olarak izliyoruz
SLA kapsamında kaldırma işlemi yapılmamıştırTipik tetikleyiciKayıt kuruluşu/barındırma hizmetinden makul bir süre içinde yanıt alınamadı
Yüksek hacimli / ücretli reklam sitesiAnlık tetikleyiciÜcretli reklamcılık, bürokratik süreçleri beklemeden harekete geçmemiz anlamına gelir

Daha Geniş Bir Bakış Açısı

Kripto ekosistemi kaybediyor yılda milyarlarca dolar kimlik avına karşı. Savunma tarafı tarihsel olarak reaktif bir tutum sergilemiştir. PhishDestroy, şu yaklaşımı getirmek amacıyla kurulmuştur: önleyici müdahale bu döngüye.

Şeffaflık, Yaptığımız İşin Temelini Oluşturur

Karanlıkta çalışmıyoruz. Metodolojimizi yayınlıyoruz. Tekniklerimizi açıklıyoruz. Analiz ettiğimiz kimlik avı kitlerini belgeliyoruz. Güvenlik topluluğu, sadece bir “kara kutu” hizmetinden yararlanmakla kalmayıp, kimlik avına karşı yöntemleri değerlendirebilmeyi hak ediyor.

PhishDestroy — kimlik avı altyapısını tespit etme ve etkisiz hale getirme
Dolandırıcılar organize bir yapıya sahip. Kullandıkları araçlar standartlaştırılmış. Bu da, bunlara karşı kullanılacak araçların da standartlaştırılabileceği anlamına geliyor.

Neler Yapabilirsiniz?

Eğer suçlulara boş cüzdanları vermek etik olmadığını düşünüyorsanız — bu sizin görüşünüzdür ve bu görüşü savunmakta özgürsünüz. Bizim tutumumuzu açıkça ortaya koyduk.