Dolandırıcıların Gizlenme Oyunları





If you are looking for an English version of this article, please visit here.

Başlangıç

Yatırım Dolandırıcıları başlıklı blog yazımı okuyanlarınız, sosyal medya ve ağlar üzerinden dolandırıcıların sahte reklamlarla masum vatandaşları hangi yöntemlerle, nasıl ağlarına düşürmeye çalıştıklarını görmüşlerdir. O yazıda da olduğu gibi dolandırıcılık girişiminin önemli bir parçasında yer alan web siteleri, dolandırıcıların operasyonları açısından kritik bir yere sahiptir.

Çoğu vakada ikna yolu ile bir şekilde kurbanlarını web sitelerine getirebilen dolandırıcılar, kurbanlarına ait bilgileri buradan ele geçirmekte, ardından operasyonlarının diğer adımı olan çağrı veya WhatsApp, Telegram gibi kanallar üzerinden kurbanları ile iletişime geçmektedirler. Tahmin edilebileceği üzere bu son adımda da kurbanlarına para transferi yaptırmaya çalışarak kötü emellerine ulaşmayı hedeflemektedirler.

Tabii bu dolandırıcılardan biraz işi bilenler, SOCRadar, Netcraft gibi siber suçlarla mücadele eden şirketlerin ve USOM gibi birimlerin web sitelerini taradıklarını, raporladıklarını ve ardından da şüpheli/zararlı olanları kapattırdıklarını bildikleri için bu taramaları atlatma adına 1996 yılından beri SEO dünyasında kullanılan Cloaking dediğimiz maskeleme taktiğinden faydalanmaktadırlar. Ben de bu yazımda farkındalık yaratması adına maskeleme tekniklerinden en çok kullanılanlarına ve bunları basit bir şekilde atlatmak amacıyla yapay zekaya geliştirttiğim bir araca yer vermeye çalıştım.

Cloaking, bir web sitesinin arama motorlarına gösterdiği içeriğin, kullanıcılara gösterdiği içerikten farklı olmasıdır; bu, arama motoru optimizasyonu (SEO) kurallarına aykırı bir uygulamadır. Kullanıcılar ve arama motorları tarafından farklı içeriklerin sunulduğu bu yöntem, arama sonuçlarında avantaj sağlamak amacıyla kullanılır.

Cloaking’in Amacı ve Yöntemi

Arama Motoru Optimizasyonu (SEO):
Cloaking, bir web sitesinin arama motoru sonuçlarında daha üst sıralarda yer almasını sağlamak için kullanılan bir tekniktir.

Farklı İçerik Sunumu:
Arama motoru botları, web sitesinin daha zengin ve arama sorgularına uygun anahtar kelimelerle dolu bir içeriğe sahip olduğunu düşünür. Ancak, gerçek kullanıcılara sitenin farklı ve genellikle daha az optimize edilmiş bir sürümü gösterilir.

Kötü Niyetli Kullanım:
Bu yöntem, Google gibi arama motorlarının algoritmalarını kandırmak ve kullanıcılara spam veya yanıltıcı içerikler göstermek amacıyla kullanılır.

Öncelikle maskeleme tekniği kullanılan oltalama siteleri üzerinde güvenlik araştırması yapabilmek için oltalama sitelerinin kaynak koduna ihtiyacım vardı. Ha deyince bunlara ulaşmak pratikte pek mümkün olamayacağı için önceki yazılarımda olduğu gibi SOCRadar’ın yardımına başvurmaya verdim. :)

SOCRadar platformu oltalama (phishing) sitelerini sadece tespit etmekle kalmayıp bunların arkasındaki tehdit aktörlerine ulaşabilmek için yeri geldiğinde kaynak kodlarını da elde edebildiği için Türk vatandaşlarını hedef alan 500 tane oltalama sitesine ait kaynak kodunu temin edip, üzerinde güvenlik araştırması yapmaya karar verdim.

Coğrafi Maskeleme

İlk olarak Yatırım Dolandırıcıları blog yazıma konu olan tehdit aktörüne ait bir web sitesini inceledim. Bir yıldır dolandırıcılık operasyonlarına hız kesmeden devam eden bu tehdit aktörü, 6 Ağustos 2025 tarihinde navoisco[.]info isimli alan adını kayıt edip, 13 Ağustos 2025 tarihinde ise web sitesini dolandırıcılık amacıyla kullanmaya başladı.

Bu web sitesini yurt dışından ziyaret ettiğinizde karşınıza sörf ürünleri satan bir içerik geliyordu fakat Türkiye’den ziyaret ettiğinizde bu defa Baykar savunma şirketinin adını kullarak dolandırıcılık faliyeti gerçekleştiren, kısaca Coğrafi Maskeleme tekniği kullanan bir web sayfası olarak karşınıza çıkıyordu. Google arama motorunda bu adresi arattığınızda ise dolandırıcıların kullandığı bu maskeleme tekniği sayesinde kayıtlara sörf ürünleri satan bir mağaza olarak girdiği görülüyordu.

Cloaking Techniques
Cloaking Techniques
Cloaking Techniques
Cloaking Techniques
Cloaking Techniques

Not: Yaklaşık bir yılı aşkın süredir takip ettiğim ve Rus olduklarına kanaat getirdiğim, operasyonlarını ise ağırlıkla Ukrayna IP adresleri (185.38.218.86, 185.237.75.100, 91.123.155.63) üzerinden gerçekleştiren tehdit aktörlerinin, Şubat 2025’ten bu yana 699 oltalama (phishing) web sitesi hayata geçirdiğini, yaklaşık 9000 Türk vatandaşını hedef alıp kişisel bilgilerini (isim, soyad, e-posta adresi, telefon numarası, ip adresi) ele geçirdiklerini tespit ettim.

Cloaking Techniques
Cloaking Techniques

Kullanıcı Aracısı (User-Agent) Tabanlı Maskeleme

İkinci olarak 17 Nisan 2025 tarihinde Ziraat Bankası müşterilerini hedef alan mybbau[.]sa[.]com oltalama sitesine ait kaynak kodlarını incelemeye başladım ve dosyalar arasında netcraft_check.php isimli dosya dikkatimi çekti.

Netcraft, 1995’ten beri faaliyet gösteren İngiltere merkezli bir siber güvenlik ve internet ölçümleme şirketidir. En çok phishing (oltalama) ve kötüye kullanım raporlama hizmetleriyle bilinir; barındırma analizi ve internet altyapısı istatistikleri sunar.

Oltalama sitesinin ziraatbank alt klasöründe yer alan index.php dosyasından çağrılan bu dosyada, Netcraft şirketi tarafından oltalama sitesini tespit etmek amacıyla kullanıldığı düşünülen kullanıcı aracısı dizesi (User-Agent) yer alıyordu. Bu dize ile web sitesine bağlantı yapıldığında kullanıcının web tarayıcısı google.ca adresi üzerinden https://appleid.apple.com web adresine yönlendirerek maskeleme işlemi gerçekleştiriyordu.

Cloaking Techniques
Cloaking Techniques
Cloaking Techniques

Kara Liste Tabanlı Maskeleme

Dosyalara bakarken yine index.php dosyasında belirtilen blocker.php dosyası gözüme çarptı. Bu dosyayı incelediğimde içinde web sitesine bağlanan IP adresine ve ters DNS kaydına yönelik kara liste kontrolü yapıldığını gördüm. Bunlardan birinin tespit edilmesi durumunda sitenin içeriği yerine 404 Not Found hatası dönülerek, maskeleme işlemi gerçekleştiriliyordu.

Cloaking Techniques
Cloaking Techniques

16 Ağustos 2025 tarihinde CarrefourSA markasını hedef almak için oluşturulan ve yazgeldihosgeldi[.]online alan adına sahip başka bir oltalama sitesinin kaynak kodlarına baktığımda bu defa dosyaların birindeki USOM adı dikkatimi çekti. Aynı klasörde bulunan botMother.php dosyasını incelediğimde içerisinde USOM’a yönelik çeşitli kontroller olduğunu gördüm. Kontrollerden birinde, bilgisayar üzerinden gelen ve siteden şüphelenen kişilerin kandırılarak, sahte USOM bloklama sayfasına yönlendirildiği kısaca sitenin ihbar edilmesi önlenmeye çalışılıyordu.

Cloaking Techniques
Cloaking Techniques
Cloaking Techniques
Cloaking Techniques
Cloaking Techniques

Abra Kadabra

Tabii elimde SOCRadar’dan temin ettiğim oltalama sitelerine ait kaynak kodları varken statik kod analizi ile maskeleme tekniklerini pas geçerek gerçek içeriğe ulaşmak oldukça kolay oluyordu. Peki elinde kaynak kodu olmayan ve bir ihbarı değerlendiren siber güvenlik merkezi analisti, tehdit istihbaratı analisti veya tehdit araştırmacısı, bu tür maskeleme tekniği kullanan bir oltalama sitesinin gerçek içeriğine ulaşmak için ne yapabilirdi?

Bu soruya yanıt bulmak için daha önceki yazılarımda olduğu gibi yine ChatGPT‘nin kapısını çalarak bu defa maskeleme tekniklerini atlatan bir kod yazmasını istedim ve ortaya Cloaker Probe adında bir araç çıktı.

Cloaker Probe: Maskeleme tekniği kullanılan bir web sitesindeki gerçek içeriğe ulaşmak için vekil sunucu (proxy) desteği ile farklı ülkelerden bağlantı kurmanın yanı sıra çok sayıda kullanıcı aracısı (User-Agent) dizesinden faydalanarak web sitesi içeriğinde şüpheli anahtar kelimeler (giriş, şifre, parola vs.) aramakta ve bunları tespit etmesi durumunda uyarı (PHISH) vermektedir.

Cloaking Techniques

Aracı mybbau[.]sa[.]com oltalama sitesinin kaynak kodları üzerinde test etmek için öncelikle kaynak kodlarının bulunduğu klasöre girip aşağıdaki komutu çalıştırarak yerel ağımda web sitesinin bir kopyasının çalışmasını sağladım.

php -S localhost:8000

Internet tarayıcısı ile http://localhost:8000 adresine gitmeye çalıştığımda ana sayfa dosyası, (index.php) oltalama sitesi içeriğini göstermek yerine maskeleme tekniğini kullanarak beni Ziraat Bankası’nın resmi Facebook sayfasına yönlendiriyordu.

Cloaking Techniques

Maskeleme tekniğini atlatmak için hemen Cloaker Probe aracına bir şans tanıyarak python cloaker_probe.py –url http://localhost:8000 komutunu çalıştırdım ve saniyeler içinde aracın oltalama içeriğine başarıyla ulaşabildiğini ve amacına ulaşabildiğini gördüm.

Cloaking Techniques
Cloaking Techniques

Sonuç

Dolandırıcıların, tehdit aktörlerinin kurbanlarını ağlarına düşürmek için türlü türlü taktiklerden ve tekniklerden faydalandığı son yıllarda, son kullanıcılar olarak ziyaret ettiğimiz, bilgilerimizi girdiğimiz web sitelerinin adreslerine çok çok dikkat edip, tedbiri elden bırakmamamız gerekiyor.

Diğer yandan da SOC analistleri, siber tehdit istihbaratı analistleri, tehdit araştırmacıları olarak tehdit aktörlerinin, dolandırıcıların kullandığı yöntemlere, taktiklere karşı yapay zeka sayesinde yeni araçlar geliştirerek işlerinizi hızlandırıp, kolaylaştırabilirsiniz.

Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim.

image_pdfShow this post in PDF formatimage_printPrint this page
Leave a Reply

Your email address will not be published. Required fields are marked *

You May Also Like
Read More

e-Devlet Hacklendi mi?

If you are looking for an English version of this article, please visit here. Öncelikle yazının sonunda söyleyeceğimi başta söyleyeyim, “Hayır, hack-len-me-di!” Peki bu durumda vatandaş olarak rahat bir nefes alabilir misiniz ? Maalesef hayır. Bunun sebebini de yazının devamında okuyabilirsiniz. Zaman zaman hortlayan “e-Devlet Hacklendi!”, “e-Devlet verileri çalındı!”, “85…
Read More
Read More

WhatsApp Dolandırıcıları

If you are looking for an English version of this article, please visit here. Başlangıç Son günlerde hemen hemen WhatsApp uygulaması kullanan herkesi rahatsız eden yabancı cep telefonu numaralarından gelen çağrılardan, mesajlardan ben de yakın zamanda nasibimi aldım ve tabii ki diğer dolandırıcılıklarla ilgili yazılarımda (Kripto Para Dolandırıcıları, LinkedIn Dolandırıcıları,…
Read More
Read More

e-Devlet Hesaplarımızı Nasıl Hackliyorlar?

If you are looking for an English version of this article, please visit here. Başlangıç 25 Ekim 2023 günü saat 11:46’da e-Devlet uygulamasından ve e-posta adresime gelen uyarılardan e-Devlet Kapısı hesabıma üst üste birden fazla defa yanlış parola ile giriş yapılmaya çalışıldığı için hesabımın bir saatliğine geçici olarak kullanıma kapatıldığını…
Read More
Read More

LinkedIn Dolandırıcıları

If you are looking for an English version of this article, please visit here. Uzun yıllardan beri sosyal ağları ve medyayı etkin kullanan bir siber güvenlik araştırmacısı olarak bağlantılarım arasında yer alanlarınız özellikle hafta içi LinkedIn ve Twitter üzerinden okuduğum ve beğendiğim siber güvenlik makalelerini, haberleri paylaştıklarımı farkediyorlardır. Twitter hesabımın…
Read More