Küresel tatil alışveriş sezonu zirveye ulaşırken, siber güvenlik araştırmacıları, sahte e-ticaret sitelerinden oluşan gelişmiş bir ağ aracılığıyla tüketicileri dolandırmak için tasarlanmış devasa, endüstriyel bir operasyonu ortaya çıkardı.
BforeAI’nin araştırma bölümü olan PreCrime™ Labs, Kasım 2025’te yayınlanan bir raporda, sahte çevrimiçi mağaza alan adlarının toplu olarak kaydedilmesini içeren koordineli bir kampanya tespit etti.
Bu siteler, meşru perakendecilerin kimliğine bürünmek, finansal verileri çalmak ve sahte ödeme sistemleri aracılığıyla kötü amaçlı yazılım dağıtmak için tasarlanmıştır.
Araştırma, yılın başından bu yana kayıtlı 244 alanı analiz ederek Kara Cuma ve Bekarlar Günü gibi büyük perakende etkinliklerini hedeflemeye yönelik net bir strateji ortaya çıkardı.
Telemetri, öncelikle Çin altyapısına dayanan iyi yapılandırılmış bir operasyona işaret ediyor. Tanımlanan alan adlarından 79’u Çin’de kayıtlı olup West263 International Limited (46 alan adı) ve Dynadot (41 alan adı) en iyi kayıt şirketleri olarak hizmet vermektedir.
Endüstriyel Altyapı ve TTP’ler
Kampanya, münferit olayların bir derlemesi değil, “son derece organize bir hizmet olarak altyapı modeli”dir. Kayıt etkinliğinin en yoğun olduğu ay, tatil trafiğini yakalamak için tam zamanında 78 yeni alan adının ortaya çıkmasıyla Ekim ayında gerçekleşti.
Araştırmacılar, bu WHOIS girişlerinin %50’sinden fazlasının, atıfları gizlemek için gizlilik korumasından yararlandığını, ancak arka uç ASN meta verilerinin sürekli olarak Çin veya Hong Kong barındırma sağlayıcılarını işaret ettiğini belirtti.
Tehdit aktörleri bu vitrinleri toplu olarak üretmek için otomatik site oluşturma araçlarından yararlanıyor.
OSINT aracılığıyla çapraz referans verme, paylaşılan JavaScript kitaplıkları, aynı ödeme şablonları (genellikle Shopify yapılarını taklit eder) ve birden fazla alanda yeniden kullanılan izleme pikselleri.
DNSlytics aracılığıyla yapılan pivotlama, bazı alan adlarının kökenlerini gizlemek için Cloudflare kullandığını ancak barındırma bloklarının birkaç haftada bir yeni kümeler için sıklıkla geri dönüştürüldüğünü ortaya çıkardı.
Raporda mağdurları kandırmak için kullanılan birkaç farklı strateji vurgulanıyor:
- Gündem Odaklı Kampanyalar: “Barış için güvenlik” gibi bazı alanlar[.]com”, “Kadın Elbiseleri 2025” satan lüks moda mağazaları kılığına girdi. Bu taktik muhtemelen hayırseverlik duygularından yararlanmaya veya tespit edilmekten kaçınmak için büyük markaların meşru insani yardım kampanyalarına uyum sağlamaya çalışmaktadır.
- Belirsiz Çapraz Markalama: Saldırganlar tüketicilerin kafasını karıştırmak için markaları karıştırıyor. Örneğin, “lululemonsalehub[.]com”un atletik markayla ilgisi olmayan saç ürünlerini tanıttığı, sayfa başlıklarında ise “Shein”e atıfta bulunulduğu ve kaotik bir çok markalı taklit yaratıldığı görüldü.
- Mevsimsel Aciliyet: Aktörler anında tıklamaları artırmak için “mango-flashsale” gibi alan adlarını kaydettirdi[.]com” ve “gymclothes980” gibi genel siteler[.]mağaza.” Bu siteler, Kişisel Olarak Tanımlanabilir Bilgiler (PII) ve kredi kartı ayrıntılarını toplamak için kaba şablonlardan ve “ücretsiz gönderim” tekliflerinden yararlanır.
Azaltma ve Görünüm
Bu kampanya, alan adı kayıt trendlerinin, özellikle de TikTok ve Facebook gibi sosyal platformlarda görünürlüğü en üst düzeye çıkarmak için büyük perakende dönemleriyle senkronize olanların sürekli izlenmesine yönelik kritik ihtiyacın altını çiziyor.
Bu bulgulara yanıt olarak BforeAI, onaylanmış alan adlarını derhal askıya alınmaları için GDO ve Dynadot gibi kayıt şirketlerine iletti.
Sunucunun kapatılması birçok kümeyi çözümlenemez hale getirmiş olsa da, bu operatörlerin dayanıklılığı büyük olasılıkla .top, .shop ve .vip gibi yeni TLD’lere yöneleceklerini gösteriyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.