Kimlik avı saldırganları, yönlendirmeleri gizlemek, kimlik bilgilerini çalmak ve baypas algılamayı gizlemek için .li, .es ve .dev gibi tld’leri kötüye kullanırlar. Bkz. 2025’te Any.Run tarafından işaretlenen üst alanlar.
Bazı kimlik avı sitelerinin süslü hilelere, sadece doğru alan adına ihtiyacı yoktur. Ve çok geç olana kadar her zaman tespit etmeyeceksin.
Bilgisayar korsanları, kimlik avı sayfalarına, sahte giriş portallarına veya kötü amaçlı yazılım yönlendirmelerini barındırmak için .com, .ru veya .dev gibi bazı üst düzey alan adlarını (TLDS) kötüye kullanma konusunda usta oldu. Birçok TLD meşru amaçlar için kullanılırken, diğerleri kullanıcıları hassas bilgileri teslim etmek için kandırmak için tekrar tekrar sömürülür.
Herhangi birden gelen son sanal alan verileri.Run, Kimlik avı kampanyalarında en sık kullanılan 20 TLD Bu alanlar sahte teslimat dolandırıcılığı, kimlik bilgisi hasat sayfaları ve çok aşamalı yönlendirme zincirlerinin merkezinde yer almaktadır.
Saldırganlar tarafından en çok istismar edilen TLD hangisi?
RUN’un 2025 verisine göre, .li Domain, kimlik avı kötüye kullanımında 1. sırada yer alır. Endişe verici % 57 Gözlenen .li alanları kötü niyetli olarak işaretlendi. Ama işte bükülme: birçoğu kimlik avı içeriğini doğrudan barındırmıyor. Bunun yerine, .li yaygın olarak kullanılır Yeniden kurucu; Şüphesiz kullanıcıları sahte giriş sayfaları, kötü amaçlı yazılım indirmeleri veya kimlik bilgisi hasat sitelerine gönderen bir aracılık.
Kimlik avı zincirlerindeki bu dolaylı roller genellikle algılama araçları tarafından fark edilmez ve .li’yi birçok saldırıda sessiz ama tehlikeli bir kolaylaştırır.

Örneğin, bu herhangi bir Analiz Oturumunda, bir .li etki alanını çalışırken görüyoruz. İlk bakışta zararsız görünüyor.
Analiz Oturumunu Görüntüle

Yüklendiğinde, tarayıcı sessizce .li etki alanından aynı adın bir .com sürümüne yönlendirilir ve nihayet bir kripto madenciliği aldatmacasına bağlı bir kimlik avı sayfasına inmeden önce meşruiyet duygusunu korur.
Gösterişli bir kötü amaçlı yazılım veya belirgin bir uyarı işareti yoktur, kullanıcıyı saldırgan kontrollü bir siteye teslim eden hızlı, görünmez bir anahtar yoktur.

Bu tür bir yönlendirme taktiği .li özellikle kaygan yapar. Ancak analistlerin olabileceği herhangi bir kişinin içinde kolayca tespit edilebilir. Gerçek zamanlı olarak her yeniden yönlendirmeyi izleyingizli kimlik avı yollarını ortaya çıkarın ve kullanıcılar bağlantıyı tıklamadan önce kritik IOC’leri çıkarın. Kötü niyetli içerik genellikle bir hop uzakta yaşadığından, yalnızca etki alanı kara listelerine veya statik taramalara dayanan araçlar bunu sık sık kaçırır.
Tam yeniden yönlendirme yolları, davranış izleri ve gerçek zamanlı analizlerle kimlik avı araştırmaları üzerinde kontrol edin. Herhangi biriyle analiz etmeye başlayın.run. |
Kimlik avı kampanyalarında yaygın olarak istismar edilen diğer TLD’ler
.Li listenin oranı üzerine çıkarken, saldırganlar tarafından kötüye kullanılan tek etki alanı bölgesinden çok uzaktır. Birkaç kişi nedeniyle öne çıkıyor Kimlik avı kampanyalarında yüksek frekans ve yinelenen kullanım.
.es: sahte girişler ve teslimat dolandırıcılığı
İspanya’nın ülke kodu TLD’si, kimlik bilgisi avı ve sahte teslimat dolandırıcılığı yapan saldırganlar için popüler bir seçim haline geldi. .Es kullanan kimlik avı sayfaları genellikle Microsoft 365 veya posta kuryeleri gibi tanıdık hizmetleri taklit ederek, kullanıcıları oturum açma kimlik bilgilerini veya ödeme bilgilerini girmeye kandırır. Alan adları yerel ve güvenilir hissediyor, bu da onları İspanyolca konuşan kullanıcılar için özellikle tehlikeli hale getiriyor.

.SBS: Kimlik bilgisi hasat için ucuz alanlar
.SBS etki alanlarının kaydolması inanılmaz ucuz olduğundan, saldırganlar bunları hızlı bir şekilde kimlik avı kampanyaları için kullanırlar. Bu alanlar genellikle sahte izleme sayfalarına, acil ödeme isteklerine veya her biri giriş bilgilerini veya kredi kartı numaralarını çalmak için hazırlanmış kurumsal portalları taklit eder. Girişin düşük engelini, .SBS’yi tek kullanımlık avlama altyapısı için bir go-to yapar.

.CFD: Kimlik avı kitlerinde sık kullanılır
Başka bir bütçe tld, .cfd, belge paylaşımı veya devlet portalları olarak poz veren kimlik avı kitlerinde sıklıkla ortaya çıkar. Bu siteler PDF görüntüleyenler veya vergi formları gibi görünebilir, ancak genellikle kurumsal kimlik bilgileri veya kimlik verileri olan hassas bilgileri hasat etmek için tasarlanmıştır.
Marka jenerik olduğundan ve siteler atıldığından, saldırganlar onları toplu olarak döndürebilir.

.ru: tanıdık ama kötü niyetli
Meşru bir ülke kodu alanı olmasına rağmen, .RU kötü niyetli kampanyalarda ortak bir manzara olmaya devam ediyor. Birçok kimlik avı aktörü, özellikle Rusya’daki veya yakınlarındaki kullanıcıları hedeflerken güvenilirlik duygusu vermek için kullanır. Sıklıkla sahte giriş formlarını barındırmak veya yazılım indirmeleri olarak gizlenmiş kötü amaçlı yazılımları dağıtmak için kullanılır.

.Dev: Güvenilir platformlar aracılığıyla istismar edildi
.DEV etki alanları genellikle Google’ın Pages.dev ve Workers.dev gibi barındırma hizmetlerine bağlıdır ve onlara HTTP’ler ve temiz arayüzler aracılığıyla otomatik bir meşruiyet katmanı sağlar. Burada barındırılan kimlik avı sayfaları cilalı ve profesyonel görünebilir, bu da teknoloji meraklısı kullanıcılar için bile gerçek hizmetlerden ayrım yapmayı zorlaştırabilir. Bu, .DEV’yi SaaS platformlarını veya bulut hizmetlerini taklit etmek için güçlü bir araç haline getirir.

Kimlik avı tehditlerini ortaya çıkarmanın en hızlı yolu
Herhangi bir şekilde etkileşimli kum havuzları. 40 saniyenin altındaki kararlarla, analistler bir alanın iyi huylu, kötü niyetli veya daha geniş bir kampanyanın bir parçası olup olmadığını hızlı bir şekilde anlayabilirler.
SOC ekipleri için temel avantajlar:
- Tam yönlendirme zincirlerini izleyin – İlk alan adı kısa bir bağlantının arkasında zararsız veya maskelenmiş olsa bile her atlamayı izleyin.
- Kimlik avı kitlerini, kimlik bilgisi çalıcıları ve aldatmaca sayfalarını ortaya çıkarın – Bkz. Form yakalamaları, sahte giriş akışları ve enjekte edilen komut dosyaları dahil olmak üzere eylemdeki kimlik avı davranışına bakın.
- IOC’leri ve eserleri otomatik olarak çıkarın – Manuel kazma olmadan alan adları, URL’ler, IP’ler, bırakılan dosyalar ve daha fazlasını alın.
- Araştırma süresini ve yanlış pozitifleri azaltın -Daha hızlı, kendinden daha emin kararlar vermek için davranış tabanlı kararları kullanın.
- Kimlik avı sayfalarını platformlar arasında inceleyin – Windows, Android, Linux ve Web ortamlarını tek bir arayüzden hedefleyen tehditleri belirleyin.
- Gerçek kullanıcı davranışını simüle et -Yönlendirmeler, pop-up’lar veya sahte giriş istemleri gibi gizli eylemleri tetiklemek için kimlik avı sayfalarıyla etkileşim kurun.
- Anında paylaşılabilir raporlar oluşturun -Olay yanıtı, takım elden çıkarma veya müşteri bildirimleri için İhracat Kanıtları ve IOC açısından zengin raporlar.