Ana içeriğe atla
Bir Kaldırmanın Anatomisi
SİBER SAVUNMA

Bir Kaldırmanın Anatomisi: PhishDestroy Siber Suçları Nasıl Engelliyor?

2019’da yeni kurulmuş bir girişimden, 400.000’den fazla zararlı alan adını devre dışı bırakan bir güç merkezine dönüşen PhishDestroy’un serüveni, topluluğun, teknolojinin ve zorlu bir süreç sonunda kazanılan itibarın gücünü ortaya koyuyor.

Kaldırma süreci — algılama tarayıcısı, biyometrik doğrulama, kayıt memurunun tokmağı, DNS çıkarma, alan adı mezar taşı
Medium’da yer alan eşlik eden yazı: Kimlik Avı Operasyonlarına Karşı Doğrudan Savaş

Çevrimiçi dolandırıcılıkla yürütülen amansız mücadelede PhishDestroy, 2019 yılında özel bir girişim olarak başlayıp son derece etkili bir operasyona dönüşerek kritik bir güç haline gelmiştir. Misyonumuz nettir: Oltalama ve dolandırıcılık altyapısını ortadan kaldırarak dünya çapındaki kullanıcıları korumak. Bu sadece kötü amaçlı bağlantıları engellemekle kalmaz; siber saldırıların yapısını anlamak ve kaynağında durdurmakla ilgilidir.

Gelişim Sürecimiz: Haftalardan Dakikalara

Tek bir kimlik avı bağlantısının nasıl tam bir kaldırma zincirini tetiklediği
Tek bir kimlik avı bağlantısının nasıl tam bir kaldırma zincirini tetiklediği

PhishDestroy kurulduğunda, kötü amaçlı bir alan adını devre dışı bırakmak haftalar sürebilirdi. Yıllar içinde büyüdük, güçlü iş birlikleri kurduk ve siber güvenlik alanındaki kilit aktörlerin güvenini kazandık. Odak noktamız her zaman kimlik avına (phishing) yönelik olmuştur; bu da bize bu alanda uzmanlık kazanmamızı ve yanlış pozitif oranını en düşük seviyede tutmamızı sağlamıştır.

Eskiden haftalar süren işler, bugün artık sadece birkaç dakikaya indirgenebiliyor. Bu hızlanma, sürekli yenilikçiliğimizin ve bugüne kadar kazandığımız sağlam itibarımızın bir kanıtıdır.

Kaldırma Süreci

1. Hızlı Tespit ve Doğrulama

Tespit, platformumuz üzerinden topluluk tarafından yapılan bildirimler yoluyla gerçekleşir Telegram Botu, otomatik izleme ve tehdit istihbaratı akışları. Ekiplerimiz, yanlış pozitif oranını en aza indirmek için tehditleri hızla doğrular.

2. Derinlemesine Analiz ve Kanıt Toplama

Analistlerimiz tehdidi derinlemesine inceleyerek, özelliklerini, hedeflerini ve yöntemlerini belirler. Bu süreç, yük analizi, altyapı haritalandırması ve mağdurlar üzerindeki etkisinin değerlendirilmesini içerir. Her bir kanıt titizlikle belgelenir.

3. Stratejik Koordinasyon ve Eylem

İşte burada itibarımız devreye giriyor. Yüzlerce barındırma sağlayıcısı, alan adı kayıt kuruluşu ve kolluk kuvvetleriyle sağlam ilişkiler kurduk. PhishDestroy bir bildirim gönderdiğinde, 50'den fazla sistem talebimizi anında algılıyor. Bildirilen bir site gerçekten de kimlik avı amaçlıysa, dakikalar içinde kapatılabilir.

4. Tasfiye ve İzleme

Nihai hedef, sitenin tamamen kaldırılmasıdır. Kaldırma işlemi başlatıldığında, sitenin çevrimdışı olduğunu ve bu durumda kalmaya devam ettiğini doğrulamak için durumu takip ediyoruz. Yaptığımız çalışmalar sonucunda, şu sitelerin faaliyetleri başarıyla durdurulmuştur: 500.000'den fazla zararlı alan adı 2019 yılından bu yana, kaldırma işleminden sonra yapılan sürekli doğrulama sayesinde, yeniden ortaya çıkan altyapıyı birkaç saat içinde tespit etmek amacıyla.

Operasyonel Metodoloji: Otomasyon, Doğruluk, Ölçek

Modelimiz şunları bir araya getirir: toplum haberleri ile otomatik algılama sistemleri ve hassas analitik. Pipeline, kaliteden ödün vermeden tek bir rapordan günde binlerce kaldırma işlemine kadar ölçeklenebilecek şekilde tasarlanmıştır.

  • Özel olarak geliştirilmiş ayrıştırıcılar SEO arama sonuçlarını, sponsorlu reklam yerleşimlerini ve Google Ads’i kimlik avı belirtileri açısından sürekli olarak tarayarak, tehditleri ilk ücretli reklam yerleşiminin gerçekleştiği anda tespit eder.
  • Tespit edilen tehditler otomatik olarak şu adrese gönderilir: 50'den fazla antivirüs üreticisi ve tehdit istihbaratı akışları sayesinde, tespit edildikten sonraki ilk dakikalarda küresel engelleme kapsamını en üst düzeye çıkarır.
  • Şu şekilde bir %0,5’in altında yanlış pozitif oranı, 1'den fazla 100.000 onaylanmış rapor — bu da sistemlerimizin sadece hızlı değil, aynı zamanda son derece doğru olduğunu kanıtlıyor.
  • Gönderim yapan doğrulanmış katkıcılar 100'den fazla doğru rapor verilir "güvenilir" bu durum, denetim gerektirmeden doğrudan bildirim yapılmasına olanak tanıyarak, bilinen ihbarcılar için içeriğin kaldırma süresini önemli ölçüde kısaltmaktadır.
  • Canlı bir hasar sayacı dolandırıcıların yol açtığı mali kaybı — ortalama alan adı değeri ve tanıtım maliyetlerine dayanarak (~tipik kripto dolandırıcılığı düzenlemeleri için alan adı başına 15 $ civarında) — tahmin etmektedir.

Tespit Kaynakları — Tehditlerin Ortaya Çıktığı Yerler

Kimlik avı altyapısı nadiren gizlenir — aksine kendini gösterir. Potansiyel müşteri bilgilerini şu kaynaklardan topluyoruz:

  • Telegram Bot raporları topluluğumuzdan şu yolla @PhishDestroy_bot — birincil kamu kaynaklı alım.
  • SEO ve ücretli reklam analiz araçları — Google Ads, Bing, Yandex; kripto cüzdanı, borsa ve köprü ile ilgili sponsorlu anahtar kelimeler sürekli olarak izlenmektedir.
  • Tehdit istihbaratı akışları ortaklarımız ve araştırmacılar tarafından bizimle paylaşılan.
  • Honeypot ağları ve dolandırıcılar çalınan verileri kullanmaya çalıştıklarında bize uyarı gönderen tohum cümlesi tabanlı canary token'ları.
  • WHOIS ve sertifika şeffaflığı korunan markaları hedef alan, yeni kaydedilmiş benzer alan adlarının izlenmesi.

Kanıtın Korunması — Kalıcı Dijital Kayıt

Kaldırmalar sadece ilk adımdır. Kanıtların korunması bizim en önemli önceliğimizdir — çünkü silinmiş bir alan adı, geriye hiçbir kayıt kalmazsa soruşturmacılar için hiçbir işe yaramaz.

  • Tespit edilen her alan adı kamuya açık tarayıcılar aracılığıyla arşivlenmiştir (urlscan.io, Wayback Machine, kendi anlık görüntü alma Pipeline süreçlerimiz) aracılığıyla sitelerin tam parmak izlerini elde etmek — HTML, ekran görüntüleri, ağ istekleri, JavaScript yükleri.
  • Her işlem bir dijital kayıt saldırganlar tarafından silinmeye karşı dayanıklı olan — şu adreste açık olarak yayınlanan GitHub yok etme listesi ve ScamIntelLogs arşivi.
  • Arşivler, dolandırıcıların yönetici panellerini, Telegram sohbet kayıtlarını, ödeme akışlarını, mağdur kayıtlarını ve IOC’leri içerir; bu da, kaldırmalardan çok sonra bile sorumluların tespit edilmesini ve adli kovuşturmayı destekler.
  • Dolandırıcılar izlerini silmeye çalışırken, biz onları kalıcı hale getiriyoruz.

Kayıt Kuruluşları Arasındaki Müttefikler ve Rakipler

Sitenin kaldırma hızı tamamen kayıt kuruluşu ve barındırma sağlayıcısının yanıt hızına bağlıdır. Ortaklarımızın verileri, bu konuda belirgin bir fark olduğunu göstermektedir:

  • Duyarlı ortaklar:NamecheapSadece bu kurumun 7/24 hizmet veren istismarla mücadele ekibi, şunların ortadan kaldırılmasına yardımcı olmuştur: 30.000'den fazla zararlı alan adı. GoDaddy, Hostinger, Squarespaceve IONOS doğrulanmış bir bildirimin ardından birkaç saat içinde tutarlı bir şekilde harekete geçer.
  • Kalıcı destek unsurları:NiceNIC, Cosmotown, NameSilove Webnic istismar bildirimlerini defalarca görmezden geliyorlar — bu da siber suç faaliyetleri için adeta bir sığınak görevi görüyor. Araştırmamıza göz atın: NameSilo, Webnic ve NiceNIC’in Küresel Dolandırıcılıkları Nasıl Mümkün Kıldığı.

Cezaî Misilleme — Etkinin Doğrulanması

Etkinliğimiz, organize bir tepkiye yol açtı; biz bunu bir engel olarak değil, etki yarattığımızın kanıtı olarak görüyoruz:

  • DDoS saldırıları altyapımıza yönelik saldırılar (Cloudflare tarafından etkisiz hale getirildi).
  • Koordineli karalama ve kaldırma kampanyaları ücretli tanıtım yayınları yoluyla (bkz. Ücretli medya, siber güvenliği nasıl çarpıtıyor?).
  • Toplu bildirim sosyal medya hesaplarımızdan haberleri susturmak amacıyla.
  • X (Twitter) hesabımız, 140.000'den fazla belgelenmiş kimlik avı ihbarı kayıt memurunun baskısı üzerine kalıcı olarak askıya alındı — bkz. NameSilo Twitter Hesabımızı Kapattı. Arşiv halka açık olmaya devam ediyor: GitHub arşivi.

Suçlular izlerini silmeye çalışır; biz ise izlerinin kalıcı kalmasını sağlıyoruz.

Yasal Durum ve Koordinasyon

Biz bir kar amacı gütmeyen işletmeci kolektifi — ne bir şirket, ne de bir tüzel kişilik; hiçbir hükümetle bağlantısı yoktur. Yaptığımız her şey şeffaftır:

  • Tüm raporlar ve kanıtlar GitHub, Telegram ve Mastodon’da açık bir şekilde yayınlanmaktadır — hiçbir şey gizlenmemekte veya özel olarak saklanmamaktadır.
  • Aktörlerin tespit edilmesi, finansal izleme veya altyapı haritalandırmasını içeren büyük çaplı soruşturmalarda, biz tüm delil paketlerini resmi olarak kolluk kuvvetlerine veya CERT ekiplerine devretmek.
  • Bu tür tüm aktarımlar, yasalara tam olarak uygun şekilde ve yalnızca eyleme geçirilebilir istihbaratın doğrulanması durumunda gerçekleştirilir.
  • Biz hiçbir kişisel veriyi saklamayın katkıda bulunanlar — ihbarcıları misillemeden korumak ve veri ihlali riskini ortadan kaldırmak.

Görevimiz, kötü niyetli faaliyetleri belgelemek ve ortadan kaldırmak, ardından bu kanıtlar üzerinde harekete geçme yetkisine sahip kişilere destek sağlamaktır.

Rakamlarla

  • 500,000+ 2019'dan bu yana devre dışı bırakılan kimlik avı ve dolandırıcılık alan adları.
  • 130,000+ seçilmiş aktif tehditler yok etme listesi.
  • 50+ Antivirüs yazılımı üreticileri ve tehdit istihbaratı platformları, bizim veri akışlarımızı almaktadır.
  • 30,000+ Yalnızca Namecheap ortaklığı aracılığıyla kaldırılan alan adları.
  • <%0,5 genel olarak yanlış pozitif oranı 100,000+ doğrulanmış raporlar.
  • 140,000+ X hesabımızın askıya alınmasından sonra arşivlenen raporlar.
  • 888 bin+ farklı akışlardaki topluluk aboneleri.

Nasıl Yardımcı Olabilirsiniz?

"Toplu eylem en güçlü savunmadır. Yürüdüğümüz yol, teknoloji, uzmanlık ve topluluğun siber suçlara karşı birleştiğinde neler başarılabileceğini ortaya koyuyor."

#CyberDefense#Takedown#Phishing#Community

Bu Makaleyi Paylaş

İlgili Soruşturmalar

$0 Takedowns: How We Disrupt Phishing Infrastructure
SORUŞTURMA
$0 Takedowns: How We Disrupt Phishing Infrastructure
Etki Göstergeleri: 500 bin'den fazla kimlik avı tehdidi etkisiz hale getirildi
ÖLÇÜTLER
Etki Göstergeleri: 500 bin'den fazla kimlik avı tehdidi etkisiz hale getirildi
NameSilo, Webnic, NiceNIC: Dolandırıcılıklara Zemin Hazırlayan Kayıt Kuruluşları
SORUŞTURMA
NameSilo, Webnic, NiceNIC: Dolandırıcılıklara Zemin Hazırlayan Kayıt Kuruluşları
Şeffaflık bildirimi. PhishDestroy, ticari amaç gütmeyen, bağımsız bir projedir. Araştırmalarımız, dolandırıcılık altyapısına ve bunu mümkün kılan hizmetlere karşı içsel bir önyargı yansıtıyor olabilir. Okuyucularımızı, tüm materyalleri eleştirel ve bağımsız bir şekilde değerlendirmeye davet ediyoruz. Şeffaflık beyanımızın tamamını okuyun →