Nasıl Oltalanıyoruz?

If you are looking for an English version of this article, please visit here.

Başlangıç

Türkiye’nin önde gelen bankaları/bilgi teknolojileri iştirakleri ağırlıklı olmak üzere 20 yıllık siber güvenlik kariyer hayatımın son 10 yılında, edindiğim tecrübeler, deneyimler ve başarılar sayesinde CISO pozisyonu da dahil olmak üzere lider, yönetici pozisyonlarında görev almaya başladım. Her ne kadar rüzgar beni son yıllarda lider yönetici pozisyonlarına taşımış olsa da, 13 yaşımdan beri siber güvenliğin teknik tarafına aynı tutkuyla bağlı kalmaya, güvenlik araştırmaları yapmaya ve SOCRadar gibi bir güvenlik üreticisinde çalışmam sayesinde de, uçsuz bucaksız veri havuzundan müşteriler gibi faydalanmaya ve farkındalık adına sizlerle öğrendiklerimi paylaşmaya gayret ediyorum.

Fikrim Geldi

Günlerden bir gün yine SOCRadar Tehdit İstihbaratı platformunda gezerken özellikle Türkiye’de öne çıkan kurumsal markaları taklit etmek (brand impersonation) amacıyla oluşturulan oltalama (phishing) sitelerindeki ciddi artış dikkatimi çekti.

Bu şekilde LinkedIn ve X sosyal ağlarında dolandırılan, mağdur olan kişilerin aşağıdakine benzer mesajlarını da anımsayınca bu konuya yani dolandırıcılar tarafından nasıl oltalandığımıza dair bir güvenlik araştırması yapmaya ve bunu da bir yazı dizisi olarak paylaşmaya karar verdim.

Yukarıdaki örnekte pişkin dolandırıcı, PttAVM.com e-ticaret platformunu taklit ederek günde 60 kişiyi dolandırdığını büyük bir gururla paylaşmaktan çekinmiyordu.
Referans: denetle!

Cogito, Ergo Sum!

Nasıl? sorusuna yanıt bulmak için düşünmeye başladığımda oltalama sitelerinin toplu bir listesi yeterli olmayacaktı. Nedeni ise elde her birine ait ekran görüntüleri olmadan bir dolandırıcılık sitesinin hangi kurumsal markayı taklit ettiği ve hangi bilgileri çalmaya çalıştığını bulması teoride urlscan.io gibi servisler ile mümkün olsa da pratikte zaman ve efor anlamında zorlu olabilirdi.

Ben de işleri hem hızlandırmak ve hem de kolaylaştırmak için SOCRadar Tehdit İstihbaratı veri havuzundan ve de Türkiye’nin Ulusal Siber Olaylara Müdahale Merkezi’nin sitesindeki Zararlı Bağlantılar sayfasından faydalanmaya karar verdim.

Yaz Kızım, 1 Adet Python Betiği

SOCRadar’ın veri havuzundan, 2025 yılının ilk 4 ayında tespit edilen, herkes tarafından sorgulanabilir/doğrulanabilir olması adına USOM’un Zararlı Bağlantılar listesi ile kesişen ve üzerinde web sitesi bulunan 5000 adet oltalama alan adını (domain), ekran görüntüleri ile birlikte temin ettim.

Sıra bu ekran görüntülerinden dolandırıcıların hangi kurumsal markaları taklit ettiklerini, kötüye kullandıklarını bulmaya geldiğinde bir Python betiği hazırlamaya ihtiyaç duydum. Fakat bu defa geçmişte olduğu gibi betiği kendime değil, herkesi işinden edeceği söylenen yapay zekalardan birine, ChatGPT‘ye yazdırmaya karar verdim. :)

Daha önceki tecrübelerimden en temiz yolun OCR ile analiz olduğunu bildiğim için ChatGPT’yi bu şekilde yönlendirerek Python betiği oluşturmasını sağladım.

ChatGPT’ye dakikalar mertebesinde böylesine katma değerli bir aracı, ufak yönlendirmelerle hem ücretsiz hem de kullanıma hazır bir şekilde hazırlatmak bundan 3-5 yıl öncesine kadar sadece bir bilim kurgu filminin senaryosu olabilecekken bugün bu yazıda gerçeğin bir parçası oldu.

Oltalama sitelerine ait ekran görüntülerini analiz edip, kurumsal markaları tespit eden Phishing Brand Detector adını verdiğim aracı çalıştırıp, devlet sitelerini, vakıfları ve sosyal yardım sitelerini de dışarıda tuttuğumda, bu oltalama sitelerinin 65 tane kurumsal markayı hedef aldığını gördüm.

ChatGPT’ye yazdırdığım bu aracının ilk sürümünde 173 (%3.46) adet Yanlış Pozitif (False Positive) tespiti oldu. Bir kaçdefa iyileştirme yaptıktan sonra ise son sürümde bu değer 91 (%1.82) adete kadar düştü.

Siber güvenlik dünyasının sektör standartlarına göre %1’in altındaki yanlış pozitif oranı (FP), otomatik işlemler (örneğin: engelleme) için ideal kabul edilir. %1–5 arası oranlar, analistler tarafından gözden geçirilen uyarılar gibi incelemeye açık durumlar için kabul edilebilir seviyededir.

SOCRadar platformunu kullananlar, bilenler, “E sen şimdi bu değerlere göre ChatGPT’ye bildiğin SOCRadar’ın Brand Protection modülünü yazdırmışsın ve başarılı da olmuş” diyebilir ancak sadece 5000 tane çevrimdışı örneğin analizine ve %1.82 yanlış pozitif değerine göre bunu söylemek çok doğru olmaz.

Burada kritik olan, öncelikle bir oltalama alan adı kayıt edildiğinde daha sonra çevrimiçi olduğunda bunu dakikalar içinde tespit etmek ve bu analizi gerçekleştirerek markayı tespit edip, alarm göndermektir. Ne zaman ChatGPT’ye SOCRadar gibi ilk 4 ayda 109.709 oltalama sitesi tespit edebilen ve yanlış pozitif değeri %1‘in altında olan bir araç yazdırabiliriz, işte o zaman bu iş oldu diyebiliriz. :)

Hangi Sektörler ve Markalar Hedefte?

Önden tahminleri alsaydım muhtemelen ben de dahil olmak üzere çoğu kişi en çok hedef alınan sektörler arasında bankacılığı birinci sıraya koyardı ancak sayılara baktığımda şaşırtıcı şekilde perakende sektörünün ön plana çıktığını, ikinci sırayı ise bankacılık sektörünün aldığını gördüm.

Aslına bakarsanız üzerine biraz düşündüğümüzde perakende sektörünün öne çıkması pek de şaşırtmamalıydı neticede piyasa satış bedeli 63.429,00 TL olan bir Apple iPhone 13 512 GB modelinin 24.990 TL‘ye satıldığını gören kişilerden dikkatsiz olanları bu ağa fazlasıyla düşüyorlardır.

Nasıl Oltalanıyoruz?

Bu yazıda özellikle dolandırıcılar tarafından hedef alınan sektörlere ve kurumsal markalara ait oltalama sitelerinin ekran görüntülerine ağırlıkla yer vermek istedim ki bunlara yönelik olarak farkındalık artsın ve daha az kişi dolandırıcıların ağına takılıp, mağdur olsun.

İlk olarak yazının başında yer verdiğim, PttAVM.com e-ticaret platformunu taklit ederek günde 60 kişiyi dolandırdığını büyük bir gururla paylaşmaktan çekinmeyen pişkin dolandırıcının iddiasının doğru olup olmadığını merak ettim. Gerçekten de söylediği gibi günde 60 kişi bu oltalama sitelerini ziyaret edip, ağlarına düşüyor muydu?

Bunun için öncelikle veri havuzundan elde ettiğim ve PttAVM markasını hedef alan oltalama sitelerinin ekran görüntülerine bakmaya başladım. Kısa bir süre sonra ekran görüntülerinden bazılarında, sayfaların üst köşelerinde yer alan çevrimiçi (online) ziyaretçi sayıları hemen dikkatimi çekti.

Ekran görüntülerine göre bir oltalama sitesindeki çevrimiçi ziyaretçi sayısı 148, diğerinde ise 99 idi. Buna göre dolandırıcının iddiasında haklılık payı olabilirdi.

Ekran görüntülerini incelemeye devam ederken bu defa Köfteci YUSUF markasının kötüye kullanıldığı başka bir oltalama sitesi ile karşılaştım. Buradan da dolandırıcıların dilinin, dininin ve ırkının olmayacağını, mevzu bahis dolandırıcılık olduğunda her şekle girebildiklerini, ahlaksızlarının sınırının olmadığını tekrar ve tekrar görmüş oldum.

Konu bankalar ve finans kurumları olduğunda dolandırıcıların yıllardır inandırıcılık adına tasarımlar da dahil olmak üzere her türlü ayrıntıya dikkat ettikleri net olarak görülüyordu. Hatta bazı ekran görüntülerinde özellikle Acil kelimesine vurgu yaparak kurbanlarını endişeye sevk etmeye çalıştıkları da gözden kaçmıyordu.

Perakende gibi e-ticaret markaları da ucuza ürün almak isteyenleri ağlarına düşürmek isteyen dolandırıcıların oltalama sitelerinde tercih ettiği markalar arasında yer alıyordu.

İstanbul Büyükşehir Belediyesi adını kötüye kullanan epey sayıda oltalama sitesine daha önce rastlamıştım ancak İzmir Büyükşehir Belediyesi benim için yeni olmuş ve anlaşılan dolandırıcıların radarına girmeyi de başarmıştı.

Türk vatandaşlarını hedef alan sahte e-devlet sitelerinin diğer kategorilerdeki oltalama sitelerine kıyasla daha fazla senaryoya sahip olması dikkat çekiciydi.

Geriye kalan sektörlere ve kurumsal markalara bakıldığında sayıları az da olsa dolandırıcılar tarafından hedef alındıkları açıkça görülüyordu.

Hangi Bilgilerimizin Peşindeler?

Merakımın bir kısmını giderdikten sonra sıra tüm bu oltalama sitelerinin ana sayfalarında ağırlıklı olarak hangi bilgilerimizin çalındığını öğrenmeye geldi. Bunun için yine sadık dostum ChatGPT’yi bir Python betiği (phishing_analysis.py) daha yazması için göreve çağırdım ve yine benzer bir şekilde OCR ile aşağıda geçen kelimeleri tespit etmesini sağladım.

KEYWORDS = {
“Credentials”: [“şifre”, “password”, “parola”, “giriş”, “login”, “username”, “kullanıcı adı”, “user name”, “sifre”],
“Identity”: [“t.c. kimlik”, “tc kimlik”, “t.c kimlik”, “soyad”, “doğum tarihi”, “anne kızlık”, “isim”, “tckn”],
“Bank”: [“kart numarası”, “cvv”, “iban”, “hesap”, “banka”, “son kullanma”, “kredi kartı”, “kredi karti”],
“Contact”: [“cep telefonu”, “e-mail”, “email”, “adres”, “eposta”, “e-posta”],
}

Tahmin edileceği üzere dolandırıcılar özellikle bankacılık sistemlerine girişte kullanıcı adı olarak kullanılan TCKN (%29.8) ve parolaların (%21.4) peşindelerdi.

Alan Adı Analizi

Bilindiğü üzere dolandırıcılar kurbanlarını kandırabilmek için oltalama siteleri kadar alan adlarının (domain) da olabildiğinde inandırıcı, gerçeğe yakın olmasına gayret etmektedirler. Bu nedenle de çoğunlukla alan kayıt ettikleri adlarında hedef aldıkları kurumsal markaların isimlerine yer vermektedirler. Tabii bu bir yandan yakalanmalarına da kolaylaştırdığı için yer yer typosquatting denilen yöntemden de faydalandıkları bilinmektedir.

Typosquatting (Yazım Hatası Dolandırıcılığı), kurumsal markaların alan adlarını taklit eden, ancak küçük yazım hataları içeren sahte/oltalama web sitelerinin oluşturulması pratiğidir.

Yaygın kullanılan typosquatting tekniklerine örnek vermek gerekirse:

Karakter Eksiltme: garanti.com.tr → garnti.com.tr
Karakter Ekleme: gratis.com → grattis.com
Karakter Değiştirme: trendyol.com → trentyol.com
Tire/Alt Çizgi Ekleme: hepsiburada.com → hepsi-burada.com
Homograf Saldırıları: а (Kiril) yerine a (Latin) kullanma

Dolandırıcılar tarafından kayıt edilen alan adlarının uzantılarını (.com, .net, .org, .shop vs.) öğrenmek ve bunların typosquatting oranını öğrenmek için ChatGPT’ye son bir betik (phishing_domain.py) daha yazdırmaya karar verdim ancak aşağıdaki örnekteki gibi spesifik olanları tespit edemediği için Claude’ye bir şans vermek istedim.

vkfbnkkkkmpnyy.duckdns.org
grarntimbasvuuronay-basvur.vercel.app
garantmobil.click
trentyolcilginkasim.com

Claude, typosquatting alan adı tespitini 500 satırlık bir betik (domain_analyzer.py) ile hakkını vererek yaparken, ChatGPT biraz kolaya kaçıp 75 satırlık bir betik ile çözmeye çalıştı ve beklediğim verimi sağlayamadı.

Sonuçlara baktığımda her kurumsal markanın typosquatting oranı değişse de genel olarak (sapmalar olabilir) analiz edilen alan adlarının %7.1’inin typosquatting alan adları olduğu anlaşılıyordu. (Devlet, vakıf, sosyal yardım ve bilinmeyenler kategorileri dışarda tutulmuştur.)

Başka bir Python betiği (domain_extension_analyzer.py) ile bu defa devlet, vakıf, sosyal yardım ve bilinmeyenler kategoriler hariç tüm bu oltalama sitelerine ait alan adlarını analiz ettiğimde, dolandırıcıların en çok .com, ikinci olarak .xyz, üçüncü olarak ise .online uzantılı alan adlarını tercih ettikleri anlaşılıyordu.

Oltalama Piyasası

Son olarak her gün mantar gibi türeyen ve yüzlerce kişiyi ağlarına düşürmek için oluşturulan bu oltalama sitelerinin piyasasını öğrenmek için dolandırıcılara ulaşmamı sağlayan güvenlik araştırması çıktıları üzerinden ilerlemeye verdim. İletişime geçtiğim dolandırıcılardan, tehdit aktörlerinden kiminin bu oltalama sitelerini 2000 TL‘ye kiminin 30.000 TL’ye satmaya çalıştığını gördüm. Kimi ise yazının başındaki örnekte olduğu gibi dolandırıcılıktan elde ettikleri haftalık kazançları böbürlenerek paylaşmaktan da çekinmiyordu.

Sonuç

Önceki başlıklara baktığımızda dolandırıcıların 2025 yılında da hız kesmeden oltalama, dolandırıcılık faliyetlerine devam ettikleri anlaşılıyordu. Yer yer sosyal medya platformlarının reklam ağlarını da kullanan dolandırıcılara karşı son kullanıcılar, vatandaşlar tarafından dikkat edilmesi gereken en önemli husus, bilinmeyen bağlantı adreslerine (link) tıklanılmaması, bir siteye TCKN, parola veya kredi kartı bilgileri girmeden önce muhakkak alan adının kontrol edilmesidir. Özellikle bir alan adı .xyz veya .online gibi uzantıya sahipse çok büyüh bir ihtimalle oranın, bilinen kurumsal bir markanın web sitesi olmayacağı akıllardan çıkarılmamalıdır.

Kurumsal markaların ise müşterilerini korumak amacıyla dolandırıcılar tarafından kayıt altına alınan, faliyete geçiren oltalama siteleri tespit etmek için muhakkak siber tehdit istihbaratı hizmetlerinden faydalanmaları gerekmektedir.

Yazıma son noktayı koymadan önce bilgi birikimi, uzmanlık olmadan spesifik bir konu özelinde yapay zekaya talimatlar verip, doğru, kaliteli bir çıktı beklemenin hayalden öte gitmeyeceğini, bir süre daha yapay zekayı yönetmek, akışlar tasarlamak (workflow) için biz insanlara, uzmanlara ihtiyaç duyulacağını gönül rahtalığıyla söyleyebilirim.

Serinin bir sonraki yazısında görüşmek dileğiyle.

Show this post in PDF formatPrint this page