Kaspersky’nin yeni araştırması, kimlik avı saldırıları sırasında çalınan verilerin tüm yaşam döngüsünü haritalandırarak, kurban bilgilerinin anında metalaştırıldığı karmaşık bir “gölge pazar taşıma bandı”nı ortaya çıkardı.
Analiz, sahte bir bağlantıya ilk tıklamadan, kimlik bilgilerinin karanlık web pazarlarında nihai satışına kadar olan dijital izi izliyor ve otomatik araçların kimlik hırsızlığını nasıl endüstriyelleştirdiğini vurguluyor.
Rapor, tehdit aktörlerinin veri toplama biçiminde önemli bir gelişme olduğunu tespit ediyor. Geleneksel yöntemler, kimlik bilgilerini bir saldırganın e-postasına ileten PHP komut dosyalarını içerirken, teslimat gecikmeleri ve sağlayıcı engellemeleri nedeniyle bu yaklaşım azalmaktadır.
Bunun yerine siber suçlular, Telegram botlarını ve “Hizmet Olarak Platform” (PaaS) yönetim panellerini giderek daha fazla benimsiyor.
Telegram botları, kurban “gönder” tuşuna bastığı anda çalınan kimlik bilgilerini doğrudan saldırganın cihazına göndererek gerçek zamanlı veri sızmasına olanak tanır.
Daha gelişmiş işlemlerde BulletProofLink gibi ticari kimlik avı çerçeveleri kullanılır. Bu yönetim panelleri, saldırganların gerçek zamanlı istatistikleri görüntüleyebildiği, çalınan verileri ülkeye göre filtreleyebildiği ve kredi kartı ayrıntılarının veya oturum açma kimlik bilgilerinin geçerliliğini otomatik olarak doğrulayabildiği merkezi bir kontrol paneli sağlar.
Saldırganlar Neleri Çalıyor?
Ocak ve Eylül 2025 arasında gerçekleştirilen saldırıların analizi, acil mali hırsızlığın genellikle uzun vadeli erişime göre ikincil olduğunu ortaya koyuyor.
Araştırma, kimlik avı saldırılarının %88,5’inin çevrimiçi hesapların kimlik bilgilerini hedef aldığını buldu. Buna karşılık, kişisel veriler (isimler ve adresler gibi) %9,5’i oluştururken, doğrudan banka kartı hırsızlığı vakaların yalnızca %2’sini oluşturdu.
Veriler toplandıktan sonra dört aşamalı bir ekosisteme giriyor: toplu “dökümler halinde birleştirme”, karanlık piyasa analistleri tarafından doğrulama, özel forumlarda satış ve son olarak hedefli saldırılarda kullanım.
Analistler genellikle yeni sızıntıları geçmiş verilerle birleştirerek mağdurlara ilişkin kapsamlı “dijital dosyalar” oluşturuyor.
Güvenliği ihlal edilmiş bir hesabın değeri, hesap türüne, bakiyeye ve iki faktörlü kimlik doğrulamanın (2FA) varlığına bağlı olarak önemli ölçüde değişiklik gösterir.
Bankacılık ve kripto hesapları en yüksek primleri alırken, sosyal medya girişleri sosyal mühendislik kampanyalarında kullanılmak üzere yalnızca dolar karşılığında satılıyor.
Çalınan Hesapların Ortalama Piyasa Fiyatları (2025)
Hesap KategorisiFiyat AralığıOrtalama Fiyat
| Hesap Kategorisi | Fiyat Aralığı | Ortalama Fiyat |
|---|---|---|
| Bankacılık | 70 – 2.000 Dolar | 350,00$ |
| Kripto Platformları | 60 – 400 Dolar | 105,00$ |
| E-Devlet Kapıları | 15 – 2.000 Dolar | 82,50$ |
| Çevrimiçi Mağazalar | 10$ – 50$ | 20,00$ |
| Kişisel Belgeler | 0,50 – 125 ABD Doları | 15,00$ |
| Sosyal Medya | 0,40 – 279 ABD Doları | 3,00$ |
| Mesajlaşma Uygulamaları | 0,06$ – 150$ | 2,50$ |
Uzun Vadeli Tehdit
Ayrıca çalınan biyometrik veriler ve belge taramaları, kimlik hırsızlığını ve derin sahte oluşturmayı kolaylaştırmak için giderek daha fazla kullanılıyor.
Araştırma, tehlikenin ilk satışla bitmediği konusunda uyarıyor. Yöneticiler veya BT yöneticileri gibi yüksek değerli hedefler genellikle “balina avcılığı” saldırıları için seçilmektedir.
Saldırganlar, eski bir parola veya önceki bir işverenden gelen ele geçirilmiş bir e-posta gibi geçmiş verilerden yararlanarak, hedefin mevcut kuruluşuna sızmak için ilgi çekici kimlik avı e-postaları hazırlayabilir.
Bu riskleri azaltmak için uzmanlar, bir ihlalden şüpheleniliyorsa tüm hizmetlerde anında parola değişikliği yapılmasını, çok faktörlü kimlik doğrulamanın yaygın şekilde uygulanmasını ve bilinen ihlallerde kişisel verilerin açığa çıkmasını izlemek için özel hizmetlerin kullanılmasını öneriyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.